您现在的位置是:首页 > 网络信息安全
  • 长城、马奇诺防线、巴列夫防线与网络安全

    长城、马奇诺防线、巴列夫防线与网络安全

    这是我们内部周报的其中一篇,因为觉得可以给更多人启发,所以分享了出来。最近从不同文章中读到了长城、马奇诺防线、巴列夫防线的故事,这三个防御工事都被对手突破了,但细细分析又都起到了相应的作用。作为网络安全从业者,这样的案例一定要好好分析一下。...

    xiaozq2022-03-18网络信息安全

  • 《孙子兵法》与网络安全之“五事”

    《孙子兵法》与网络安全之“五事”

    前言:为什么要将网络安全与《孙子兵法》关联?笔者一直认为,在虚拟世界里的网络安全与现实世界的国土安全越来越相似。从国家层面也提出了“没有网络安全就没有国家安全”的理念。所以从事网络安全行业从业者有必要对兵法有一定了解。那为什么是《孙子兵法》,而不是其他兵书呢?《孙子兵法》在中国被奉为兵家经典,后世的兵书大多受到它的影响,对中国的军事学发展影响非常深远。本文很多思路来源于《华杉讲透孙子兵法》和《善战者说》两本书,在此对两本书的作者华杉老师和宫玉振老师表示感谢,并献上我的膝...

    xiaozq2021-09-27网络信息安全

  • 漏洞之痛

    漏洞之痛

    漏洞是几乎所有安全事件的源头,所以漏洞挖掘是几乎所有组织安全运维必备的一项工作,同时这也是一个很庞大的话题。本文主要讨论的是技术层面的漏洞,关于安保和员工意识导致的漏洞不在本文讨论的范围之内。...

    xiaozq2021-09-16网络信息安全

  • 信息安全第四讲

    信息安全第四讲

    这次原定的议题是内网安全和数据安全,但第一个议题就出现了反转。现在的IT基础架构中“内网”与“外网”的概念越来越模糊。经过大家分析,决定将“内网安全”改为“安全架构”议题。
    但第二个问题就来了,这个议题实在太大!所以本次主要针对“数据层”和“应用层”进行了展开。这也侧面证明了,清流派的组织和选题上还有很大的提升空间!废话不多说了,上干货!...

    xiaozq2021-09-14网络信息安全

  • 论安全从业者的职业前景

    论安全从业者的职业前景

    本文内容来自于由一篇梦境管理的文章引发的思考。这是MIT媒体实验室的一个实验项目。简单的说,就是利用在受试者半睡半醒的状态下,用微弱的音量输入一些简单的信息,比如:“兔子”、“茶杯”等,他们发现全部受试者都在梦中出现了输入的信息。这项技术除了在技术伦理上存在一些问题外,另一个让人担忧的就是安全问题。因为这项技术可能对人类的主观意识造成侵犯。试想,在某个重要人物做出做重要决策前,如果能提前在其意识中植入某个意愿,就能严重影响决策方向,是不是有点《盗梦空间》的意思了。...

    xiaozq2021-09-01网络信息安全

  • 安全团队在企业中的几个身份

    安全团队在企业中的几个身份

    很多安全团队都希望公司高层能更重视安全,但很多时候安全团队需要先认清自己再公司内的身份。这是让公司领导重视安全团队的前提。笔者认为,安全团队至少要担任如下几个身份:
    1、能力的提供者;
    2、一类问题的解决者;
    3、服务+协作者。...

    xiaozq2021-08-20网络信息安全

  • 如何缓解内部对抗情绪

    如何缓解内部对抗情绪

    安全工作的意义其实不用多说,理性上大家都能理解。但不得不说在很多时候,配合安全工作是一件反直觉的事,毕竟要为未知的风险增加工作量。所以我们一直在思考一个问题:安全团队如何避免公司内部其他部门的对抗情绪?
    如果你的公司安全与运维和开发都很和睦,那恭喜你,你的生存环境很好,下面的文章基本可以当故事看。没那么幸运的朋友可以思考一下对策,下文笔者尽量用中立的态度分析一下安全团队和业务团队之间的不同视角导致的对抗情绪,和我们的一些缓解方法。
    ...

    xiaozq2021-08-16网络信息安全

  • 对安全技术运营指标的一些思考

    对安全技术运营指标的一些思考

    安全运营是越来越受到重视的话题,我们希望通过设定和不断达成运营指标来持续提高安全能力。...

    xiaozq2021-08-12网络信息安全

  • 安全运营三部曲之安全响应中心与企业文化

                      安全运营三部曲之安全响应中心与企业文化

    作者,某国企安全运营CEO。从0到1搭建了该企业安全运营体系,主导了多次内部运营活动。在内部培训、团队管理、SRC建设、危机公关等方面有大量的经验和思考。企业安全实录将连载其三篇安全运营文章,从观念、实践和愿景三个方面完整的分析企业安全运营工作的方方面面。...

    xiaozq2021-08-10网络信息安全

  • 风险管理体系设计与实现

    风险管理体系设计与实现

    风险管理是一个比较大的概念,对于央视网来说,我们并不是在进行安全建设之初就设计了风险管理的目标,而是在大量基础工作和频繁对抗的过程中,逐步积累而形成的体系的雏形,再将这个雏形不断的完善,才形成了一个相对完整的风险管理体系。本文将先从风险的三个基本要素(资产、脆弱性和威胁)分别展开管理思路,最后再将这三要素整合到一起。...

    xiaozq2021-08-07网络信息安全

  • 攻击面管理策略梳理

    攻击面管理策略梳理

    现在很多安全企业和厂商都在谈论漏洞/病毒分析、态势感知、或者用户行为分析这种高大上的话题。这听起来很牛X,但对于很多企业来说这些工作的技术门槛和经费代价还是很高的。但有些不那么高大上的,且技术门槛和经费代价也不那么高的工作可能会达到更好的效果...

    xiaozq2021-08-06网络信息安全

  • 安全开发那些事

    安全开发那些事

    安全开发团队的建设并不是每个企业的必选项,但针对安全需求的定制开发确是越来越多企业的需求。从行业整体情况看,安全需求趋于复杂化、差异化。标准的,大而全的产品未来很难满足企业安全需求。所以越来越多的企业对针对自己在某个垂类的特殊需求,定制或改造安全产品。本文从三个方面分别论述安全开发工作的一些要点...

    xiaozq2021-08-04网络信息安全

  • 企业视角看攻防演练

    企业视角看攻防演练

    近年来,攻防演练越来越受到企业安全团队的重视,能否让攻击方帮助防守方找到防御能力的缺陷、找到防守视角的缺失,是企业安全团队需要思考的问题。本文相关的思考是让攻防演练越来越有深度,而不是不仅停留在表面文章。...

    xiaozq2021-08-03网络信息安全

  • 网络安全与孙子兵法

    网络安全与孙子兵法

    前言:为什么要将网络安全与《孙子兵法》关联?笔者一直认为,在虚拟世界里的网络安全与现实世界的国土安全越来越相似。从国家层面也提出了“没有网络安全就没有国家安全”的理念。所以从事网络安全行业从业者有必要对兵法有一定了解。那为什么是《孙子兵法》,而不是其他兵书呢?《孙子兵法》在中国被奉为兵家经典,后世的兵书大多受到它的影响,对中国的军事学发展影响非常深远。更主要的是笔者最近读了《华杉讲透<孙子兵法>》一书(感谢借书人赵总),更新了笔者太多根深蒂固的错误认知,所以本文的成文要感谢华杉老师的著作,也将此文献给广大...

    xiaozq2021-08-02网络信息安全