网络安全 on XieJava's blog

网络安全资产画像实战

Fri, 20 Feb 2026 17:58:07 +0000

资产是安全防守的基石。如果你不知道自己有什么，就不可能保护好它们。在网络安全攻防实战中，企业对自己资产的了解程度往往远低于攻击者。攻击者只需要找到一个入口点，而防守者需要保护所有可能的入口，资产画像就是解决这个问题的核心方法论。

让Claude Code写了个运维健康检查的Skill还挺好用的

Tue, 20 Jan 2026 08:00:00 +0000

摘要

手头上有几台服务器，经常要对服务器进行健康检查、安全检查等。这几天让ClaudeCode自己写了个Skill这样就一句话活就让AI给干了。本文详细介绍了如何使用Claude Code AI辅助开发工具，从零开始构建一个生产级运维健康检查的Skill。重点阐述了整体架构设计、核心功能实现细节以及实际应用效果。该系统采用模块化设计，提供三大检查模块（基础健康检查、深度安全审计、Docker容器监控），支持双格式输出（Markdown人工可读 + JSON机器可处理），具有良好的可扩展性和兼容性。

为了管好IP我上了一套开源的IP管理系统phpIPAM

Fri, 19 Dec 2025 14:33:19 +0000

通常，网络或系统管理员会使用一个电子表格来记录IP地址的分配信息，然而，随着网络中的设备越来越多依赖于电子表格并不方便，十分容易出错，想管理好这些加入网络中的设备，就得有个更方便的工具。就我家里的网络而言，接入的设备就已经接近40个了，亟需找这么一个工具来记录和管理这些IP，目前找到的比较好用又轻量化的IP管理工具就是phpIPAM。

开源安全管理平台wazuh-检测SQL注入攻击

Wed, 22 Oct 2025 16:33:12 +0000

Wazuh是一个功能强大的开源安全平台，它集成了安全信息与事件管理（SIEM）和扩展检测与响应（XDR）的能力，旨在为本地、虚拟化、容器化及云环境中的工作负载提供统一的威胁预防、检测和响应解决方案。

开源安全管理平台wazuh-非法可疑进程检测

Wed, 15 Oct 2025 19:50:52 +0000

开源安全管理平台wazuh-与网络入侵检测系统集成增强威胁检测能力

Sun, 12 Oct 2025 16:19:42 +0000

开源安全管理平台wazuh-暴力破解检测与响应

Sat, 11 Oct 2025 14:25:00 +0000

开源安全管理平台wazuh-文件完整性监控FIM

Wed, 08 Oct 2025 20:26:53 +0000

Wazuh是一个功能强大的开源安全平台，它集成了安全信息与事件管理（SIEM）和扩展检测与响应（XDR）的能力，旨在为本地、虚拟化、容器化及云环境中的工作负载提供统一的威胁预防、检测和响应解决方案。文件完整性监控（File integrity monitoring FIM）有助于审计敏感文件和满足合规性要求。Wazuh内置了一个FIM模块，用于监控文件系统变化，以检测文件的创建、修改和删除。本文通过POC来验证Wazuh的FIM功能，使用Wazuh FIM模块来检测Ubuntu和Windows端点上监控目录的变化。Wazuh FIM模块通过使用who-data审计获取有关更改用户和进程的信息来丰富告警数据。

开源安全管理平台wazuh-阻止恶意IP访问

Tue, 07 Oct 2025 19:46:43 +0000

Wazuh是一个功能强大的开源安全平台，它集成了安全信息与事件管理（SIEM）和扩展检测与响应（XDR）的能力，旨在为本地、虚拟化、容器化及云环境中的工作负载提供统一的威胁预防、检测和响应解决方案。《开源安全管理平台wazuh-安装与配置》介绍了wazuh的安装和配置，本文基于已经完成的wazuh安装配置基础上通过POC来验证wazuh的功能，通过wazuh来阻止已知的恶意IP的访问。

开源安全管理平台wazuh-安装与配置

Mon, 29 Sep 2025 19:49:14 +0000

为搞清楚凌晨上网都在干啥，我建了一套AI上网行为分析系统

Sun, 10 Aug 2025 18:57:20 +0000

近期小孩放假在家，发现晚上还抱着平板不放，每天搞到凌晨。这得要劝说有正常的作息时间，少拿平板做与学习无关的事情，但又不能强制拿平板检查看在哪些时间段都在干啥。于是为了搞清楚其凌晨上网都在干啥，我建了一套AI上网行为分析系统，随时收到上网行为的分析报告。

通过TPLink路由器进行用户行为审计实战

Mon, 21 Jul 2025 22:08:26 +0000

用户行为审计是指对用户在网络平台上的行为进行监控和记录，以便对其行为进行分析和评估的过程。随着互联网的普及和发展，用户行为审计在网络安全和数据隐私保护方面起到了重要的作用。用户行为审计可以帮助发现和预防网络安全威助。通过对用户的行为进行监控和记录，可以及时发现并阳止恶意攻击、病毒传播等网络安全威胁。例如，当用户的行为异常时，系统可以自动发出警报并采取相应的措施，保护网络平台的安全。本文以家用的TP-Link 路由器为例，来实战一下用户行为审计，看看能发现一些什么异常。 TP-Link路由器是家用比较常见的路由器，通过简单的配置就可以实现用户行为管控。

什么是互联网暴露面？什么是攻击面？暴露面与攻击面有什么区别？

Mon, 24 Feb 2025 11:28:04 +0000

一、定义与核心概念

1. ‌互联网暴露面‌

定义：指组织在互联网上公开可访问的数字化资产和服务，如服务器、开放端口、API、网站、云服务等。 暴露面指网络系统中对外界开放的可见部分，包括公开的接口、网络端口、服务或应用程序等。例如Web服务、API、数据库端口等，这些资源可直接被外部访问或识别‌。暴露面的大小直接影响潜在攻击机会‌。

一文搞懂什么是攻击面管理（ASM）

Wed, 19 Feb 2025 12:24:11 +0000

攻击面是网络安全防御的“第一道防线”，其管理能力直接决定企业的安全基线。

攻击面管理（Attack Surface Management，ASM）是一种新兴的网络安全策略和实践，旨在通过持续发现、分析、监控和评估组织内外部的所有资产，识别并管理潜在的安全风险。其核心是从攻击者的视角出发，主动识别企业网络资产的攻击面及脆弱性，包括已知和未知的资产、漏洞、配置缺陷以及泄露信息等。

网络安全“挂图作战”及其场景

Tue, 18 Feb 2025 09:40:28 +0000

一、网络安全挂图作战来源与定义

1、网络安全挂图作战的来源

网络安全挂图作战的概念源于传统军事作战中的“挂图作战”，即通过地图来指挥和协调作战行动。在网络空间安全领域，这一概念被引入并发展为一种新的网络安全管理和防御策略。其灵感来自于地理学中的“人地”关系理论，通过将网络空间的要素与地理空间相结合，构建网络空间地图。

网络安全之国际主流网络安全架构模型

Mon, 18 Nov 2024 17:12:44 +0000

目前，国际主流的网络安全架构模型主要有： ● 信息技术咨询公司Gartner的ASA（Adaptive Security Architecture自适应安全架构） ● 美国政府资助的非营利研究机构MITRE的ATT&CK（Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识） ● 信息技术咨询公司Gartner的CSMA（Cybersecurity Mesh Architecture网络安全网格架构）

什么是软件定义安全SDSec

Tue, 09 Jul 2024 16:06:27 +0000

一、软件定义安全SDSec产生的背景

软件定义安全（Software Defined Security，SDSec）的产生背景主要源于传统网络安全防护方法在面对复杂网络环境时的不适应性，以及软件定义网络（SDN）技术的发展和应用。

常见网络攻击方式及防御方法

Thu, 04 Jul 2024 11:22:23 +0000

网络安全威胁的不断演变和增长，网络攻击的种类和数量也在不断增加，攻防对抗实战演练在即，让我们一起了解一下常见网络攻击方式及防御方法。

1. DDOS攻击（分布式拒绝服务攻击）

借助于C/S（客户端/服务器）技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS攻击，从而成倍地提高拒绝服务攻击的威力。 防护方法： 所有的主机平台都有低于DDOS的设置，基本的有：

什么是基于风险的漏洞管理RBVM及其优势

Thu, 13 Jun 2024 22:20:11 +0000

一、什么是漏洞管理

安全漏洞是网络或网络资产的结构、功能或实现中的任何缺陷或弱点，黑客可以利用这些缺陷或弱点发起网络攻击，获得对系统或数据的未经授权的访问，或以其他方式损害组织。常见漏洞的示例包括可能允许某些类型的恶意软件进入网络的防火墙配置错误，或可能允许黑客接管设备的操作系统远程桌面协议中未修补的错误。

什么是安全左移,如何实现安全左移

Fri, 24 May 2024 09:10:39 +0000

一、传统软件开发面临的安全挑战

传统软件开发面临的安全挑战主要包括以下几个方面：

安全意识和文化的缺乏：在传统软件开发过程中，往往缺乏对安全性的足够重视和深入理解。开发团队可能更注重功能的实现和交付时间，而忽视了安全性在软件开发过程中的重要性。这种缺乏安全意识和文化的环境使得软件容易受到各种安全威胁的攻击。
代码漏洞和缺陷：在软件开发过程中，由于人为错误、不安全的编程实践或缺乏足够的安全测试，代码中可能存在各种漏洞和缺陷。这些漏洞和缺陷可能被攻击者利用，从而实现对系统的未授权访问、数据泄露或系统破坏等攻击。
依赖的第三方组件和库的安全问题：传统软件开发通常依赖于各种第三方组件和库来加速开发过程。然而，这些第三方组件和库可能存在安全漏洞或已知的安全问题，如果未经过充分的安全验证和测试，就可能会被引入到软件中，从而给软件带来安全隐患。
安全的配置和管理：在软件开发和部署过程中，如果配置不当或管理不善，可能会导致安全问题。例如，错误的权限设置、不安全的网络连接、未加密的敏感数据等，都可能成为攻击者的目标。
应对新型攻击和威胁的能力不足：随着网络攻击技术的不断发展和新型威胁的出现，传统软件开发可能无法及时应对这些新型攻击和威胁。例如，零日漏洞、勒索软件、分布式拒绝服务攻击（DDoS）等新型攻击手段可能给软件带来严重的安全风险。

为了应对这些安全挑战，传统软件开发需要采取一系列措施来加强安全性。这包括提高开发团队的安全意识和技能、加强代码审查和测试、对第三方组件和库进行充分的安全验证和测试、实施安全的配置和管理等。此外，还可以引入安全左移等新的安全开发方法，将安全性作为软件开发的核心考量因素，从源头上降低安全风险。

安全运营之通行字管理

Fri, 26 Apr 2024 08:56:55 +0000

一、什么是通行字

安全管理所指的通行字指的是对用于身份验证的账号密码或口令的管理。在计算机系统、网络服务、数据库管理等领域，通行字（或称账号口令、密码）是用于验证用户身份的重要机制。通行字管理的核心目标是确保只有授权用户才能访问系统资源，同时保护敏感信息不被未授权访问。

什么是关键信息基础设施及其安全保护条例？

Thu, 18 Apr 2024 10:45:11 +0000

关键信息基础设施是国家的重要战略资源，涉及到国家的主权、安全和发展利益。这些设施在国家经济和社会服务中承担着重要角色，其安全稳定运行直接关系到国家安全和经济社会健康发展。让我们一起来了解一下什么是关键信息基础设施及其安全保护条例。

数据安全产品之认识数据脱敏系统

Wed, 10 Apr 2024 19:52:30 +0000

随着业务的快速发展，特别是在银行、电信、医疗等行业中，企业积累了大量的包含账户、个人身份信息、财务信息等敏感信息的数据。这些数据如果被泄露或损坏，不仅会给企业带来经济上的损失，还可能严重影响企业的声誉和客户的信任。

实战要求下，如何做好资产安全信息管理

Tue, 09 Apr 2024 16:02:48 +0000

“摸清家底，认清风险”做好资产管理是安全运营的第一步。本文一起来看一下资产管理的重要性、难点痛点是什么，如何做好资产管理，认清风险。

一、资产安全信息管理的重要性

安全风险管理的三要素分别是资产、威胁和脆弱性，脆弱性的存在将会导致风险，而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象（资产）自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。什么是网络安全资产参见《网络安全之资产及攻击面管理》

什么是HW，企业如何进行HW保障？

Sun, 07 Apr 2024 11:23:04 +0000

一、什么是HW

网络安全形势近年出现新变化，网络安全态势变得越来越复杂，黑客攻击入侵、勒索病毒等网络安全事件愈演愈烈，严重威胁到我国的网络空间安全。同时，国内不少关键信息基础设施的建设管理单位安全意识不够、安全投入不足，面临网络安全保护的巨大挑战，让国家关键信息基础设施成为网络攻击的重灾区。

数据安全之认识数据库防火墙

Wed, 03 Apr 2024 10:08:13 +0000

随着信息技术的快速发展，数据库已成为企业信息化建设的核心组成部分，存储着大量的关键业务数据和敏感信息。与此同时，数据库也面临着来自内部和外部的各种安全威胁和攻击，如SQL注入、未授权访问、数据泄露等。为了保护数据库的安全性和完整性，传统的安全措施如防火墙、入侵检测系统等在一定程度上起到了作用。然而，这些措施往往只关注于网络层面的安全防护，而缺乏对数据库应用层面的深入保护。因此，针对数据库的安全防护需求，数据库防火墙应运而生。

网络安全产品之认识4A统一安全管理平台

Thu, 28 Mar 2024 16:14:33 +0000

随着业务网的发展，网络规模迅速扩大，安全问题不断出现。传统的账号口令管理、访问控制及审计措施已无法满足企业业务发展的需求。过去每个业务网系统常常各自维护一套用户信息数据，这种方式使得管理变得复杂且难以统一。同时，孤立地以日志形式审计操作者在系统内的操作行为，也使得审计过程变得繁琐和低效。

mitmproxy实战-通过mitmdump爬取京东金榜排行数据

Mon, 04 Mar 2024 14:09:45 +0000

对于APP的数据爬取或需要构建复杂的接口参数数据的爬取可以通过mitmproxy抓包还原流量，解析流量数据包来获取。mitmproxy是一个免费的开源交互式的HTTPS代理工具。它类似于其他抓包工具如WireShark和Fiddler，支持抓取HTTP和HTTPS协议的数据包，并可以通过控制台形式进行操作。mitmproxy具有两个非常有用的组件：mitmdump和mitmweb。mitmdump是mitmproxy的命令行接口，可以直接抓取请求数据。

mitmproxy安装与配置

Thu, 29 Feb 2024 18:33:41 +0000

mitmproxy是一个免费的开源交互式的HTTPS代理工具。它类似于其他抓包工具如WireShark和Fiddler，支持抓取HTTP和HTTPS协议的数据包，并可以通过控制台形式进行操作。mitmproxy具有两个非常有用的组件：mitmdump和mitmweb。mitmdump是mitmproxy的命令行接口，可以直接抓取请求数据，而mitmweb是一个web程序，可以清楚地观察mitmproxy抓取的请求数据。

网络安全产品之认识蜜罐

Wed, 14 Feb 2024 09:28:29 +0000

蜜罐的概念首次由Clifford Stoll在其1988年出版的小说《The Cuckoo’s Egg》中提出。Clifford Stoll不仅是一位著名的计算机安全专家，还是这本小说的作者。他在小说中描述了自己作为一个公司的网络管理员如何追踪并发现一起商业间谍案的故事。在这个过程中，他成功地利用包含虚假信息的文件作为诱饵来检测入侵，这种技术思想就是蜜罐的雏形。因此，可以认为Clifford Stoll是首次提出蜜罐概念的人。随后，在1998年，商用的蜜罐产品开始出现，这标志着蜜罐技术开始从理论走向实际应用。本文让我们一起来认识蜜罐。

网络安全产品之认识防非法外联系统

Tue, 06 Feb 2024 16:01:59 +0000

非法外联是指计算机或其他内部网络设备在未经授权的情况下私自连接到外部网络或设备，如互联网、其他公共网络或非法设备等。这种行为可能涉及违反法律法规、公司政策或安全规定。非法外联的危害包括可能导致数据泄露、恶意软件感染、非法访问和攻击等安全风险，同时可能违反合规要求并导致法律责任。

网络安全产品之认识准入控制系统

Sun, 04 Feb 2024 16:09:43 +0000

随着企业信息化建设的不断深入，企业的各种信息资产越来越多，网络安全问题也越来越突出。如何防止外来电脑、移动设备接入局域网，保护企业信息资产的安全，成为企业网络管理的重要问题。准入控制系统的出现，为企业提供了一种有效的解决方案。本文我们一起来认识一下准入控制系统。

网络安全产品之认识防病毒软件

Tue, 30 Jan 2024 12:07:15 +0000

随着计算机技术的不断发展，防病毒软件已成为企业和个人计算机系统中不可或缺的一部分。防病毒软件是网络安全产品中的一种，主要用于检测、清除计算机病毒，以及预防病毒的传播。本文我们一起来认识一下防病毒软件。

网络安全产品之认识安全隔离网闸

Sat, 27 Jan 2024 20:26:46 +0000

随着互联网的发展，网络攻击和病毒传播的方式越来越复杂，对网络安全的要求也越来越高。传统的防火墙设备在面对一些高级的网络攻击时，往往难以做到全面的防护，因此需要一种更加有效的网络安全设备来提高网络的安全性。此外，随着信息技术的不断发展，各个行业对信息系统的依赖程度也越来越高，一旦信息系统遭受攻击或入侵，可能会导致数据泄露、系统瘫痪等严重后果。因此，对于一些高安全级别的网络环境，如政府、军队、公安、银行等，需要一种更加可靠的安全设备来保证网络的安全性。在这样的背景下，安全隔离网闸作为一种新型的网络安全设备应运而生。本文让我们一起来认识安全隔离网闸。

网络安全产品之认识漏洞扫描设备

Wed, 24 Jan 2024 15:16:48 +0000

漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。关于什么是漏洞及如何管理漏洞请参考《安全运营之漏洞管理》。漏洞的形成原因有很多，例如后门、程序员自身的素质、网络协议等都可能导致漏洞的产生。因此，为了保障系统的安全性，需要及时发现和修复漏洞。这可以通过漏洞扫描设备等工具进行自动化检测和修复，同时也可以加强安全意识和培训，提高人员的安全防范能力。虽然无法完全避免漏洞的存在，但通过采取有效的措施可以大大减少漏洞的数量和危害程度，保障系统的安全性和稳定性。本文让我们一起来认识漏洞扫描设备。

网络安全产品之认识防毒墙

Mon, 22 Jan 2024 21:46:40 +0000

在互联网发展的初期，网络结构相对简单，病毒通常利用操作系统和软件程序的漏洞发起攻击，厂商们针对这些漏洞发布补丁程序。然而，并不是所有终端都能及时更新这些补丁，随着网络安全威胁的不断升级和互联网的普及，病毒往往能够轻易地感染大量计算机。在这样的背景下，防毒墙应运而生。接下来让我们认识一下防毒墙。

网络安全产品之认识入侵防御系统

Sun, 21 Jan 2024 14:57:01 +0000

由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及，网络攻击的种类和数量也在不断增加，给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时，存在一定的局限性和不足，无法满足当前网络安全的需求。入侵防御系统(IPS)作为一种主动防御的解决方案应运而生。它可以实时检测和防御网络流量中的恶意攻击和威胁，通过串接的方式部署在网络中，对入侵行为进行实时阻断，从而极大地降低了入侵的危害。入侵防御系统（IPS）的出现弥补了传统安全产品的不足，为网络安全提供了更加全面和有效的防护方案。前面介绍了入侵检测系统（IDS）《网络安全产品之认识入侵检测系统》，本文我们来认识一下入侵防御系统（IPS）。

网络安全产品之认识入侵检测系统

Thu, 18 Jan 2024 10:53:38 +0000

随着计算机网络技术的快速发展和网络攻击的不断增多，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。因此，入侵检测系统作为新一代安全保障技术，成为了传统安全防护措施的必要、有效的补充。《安全防御之入侵检测与防范技术》介绍了入侵检测技术，今天让我们从入侵检测系统的工作原理、主要功能、主要类型及与入侵防御系统的关系与区别等方面认识入侵检测系统。

网络安全产品之认识WEB应用防火墙

Mon, 15 Jan 2024 19:53:56 +0000

随着B/S架构的广泛应用，Web应用的功能越来越丰富，蕴含着越来越有价值的信息，应用程序漏洞被恶意利用的可能性越来越大，因此成为了黑客主要的攻击目标。传统防火墙无法解析HTTP应用层的细节，对规则的过滤过于死板，无法为Web应用提供足够的防护。为了解决上述问题，WAF应运而生。它通过执行一系列针对HTTP、HTTPS的安全策略，专门对Web应用提供保护。

网络安全产品之认识防火墙

Fri, 12 Jan 2024 10:07:23 +0000

防火墙是一种网络安全产品，它设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

安全防御之备份恢复技术

Wed, 10 Jan 2024 09:37:59 +0000

随着计算机和网络的不断普及，人们更多的通过网络来传递大量信息。在网络环境下，还有各种各样的病毒感染、系统故障、线路故障等，使得数据信息的安全无法得到保障。由于安全风险的动态性，安全不是绝对的，信息系统不可能保证不出现安全事故，因此，一旦出现安全事件造成信息系统中断或者数据丢失，如果事先采取了必要的备份准备并及时启用，能够最小程度的减少系统重构时间和对业务中断的影响。备份恢复技术是安全防御体系中的重要组成部分，旨在保护数据安全，防止数据丢失或损坏，提高企业的数据安全性和业务连续性水平。

安全防御之可信计算技术

Tue, 09 Jan 2024 16:53:32 +0000

可信计算技术是一种计算机安全体系结构，旨在提高计算机系统在面临各种攻击和威胁时的安全性和保密性。它通过包括硬件加密、受限访问以及计算机系统本身的完整性验证等技术手段，确保计算机系统在各种攻击和威胁下保持高度安全和保密性。

安全防御之密码技术

Mon, 08 Jan 2024 16:44:37 +0000

密码学是信息安全的基础技术之一，是达到信息系统安全等级保护要求的核心技术支持，在身份验证、访问控制、文件加密、数据加密和安全传输中都得到广泛应用。其核心目标是保证信息的机密性、完整性和可用性。密码学包括加密和解密两个部分。一般过程是：发送方通过加密算法，将可读的文件（明文）变换成不可理解的乱码，即密文，然后传输给接收方；接收方接收密文之后，通过解密算法进行解密，获得明文。密码技术的实施过程，支持等级保护在机密性、完整性、认证性和非否认性等方面的要求。

安全防御之漏洞扫描技术

Mon, 08 Jan 2024 11:08:49 +0000

每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。

安全防御之安全审计技术

Sun, 07 Jan 2024 10:25:10 +0000

安全防御中的安全审计技术是保障信息系统安全的重要手段之一。其主要目标是对信息系统及其活动进行记录、审查和评估，以确保系统符合安全策略、法规要求，并能够及时发现潜在的安全风险和异常行为。通过安全审计，可以对系统中的各种活动进行记录、检测和监控，以发现潜在的安全风险和威胁，并及时采取相应的措施进行防范和处理。

安全防御之入侵检测与防范技术

Fri, 05 Jan 2024 09:33:54 +0000

安全防御中的入侵检测与防范技术主要涉及到入侵检测系统（IDS）和入侵防御技术（IPS）。入侵检测系统（IDS）是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。入侵防御技术（IPS）是一种主动的安全防御技术，旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁，保护网络和系统免受攻击。

安全防御之恶意代码与防护技术

Thu, 04 Jan 2024 10:33:16 +0000

恶意代码是指没有作用却会带来危险的代码。通常把未经授权便干扰或破坏计算机系统、网络功能的程序或代码（一组指令）称之为恶意程序。恶意程序包括计算机病毒、木马、蠕虫等。详见《网络安全之恶意代码》恶意代码的防范，不是单靠一种或几种技术就能解决的，而要靠技术、管理以及用户安全意识的共同防范，只有三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。目前，恶意代码防范方法主要分为两方面：基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。

安全防御之授权和访问控制技术

Wed, 03 Jan 2024 14:23:26 +0000

授权和访问控制技术是安全防御中的重要组成部分，主要用于管理和限制对系统资源（如数据、应用程序等）的访问。授权控制用户可访问和操作的系统资源，而访问控制技术则负责在授权的基础上，确保只有经过授权的用户才能访问相应的资源。

安全防御之身份鉴别技术

Wed, 03 Jan 2024 09:22:27 +0000

身份认证技术用于在计算机网络中确认操作者的身份。在计算机网络世界中，用户的身份信息是用一组特定的数据来表示的，计算机也只能识别用户的数字身份。身份认证技术能够作为系统安全的第一道防线，主要用于确认网络用户的身份，防止非法访问和恶意攻击，确保数字身份的操作者就是这个数字身份合法拥有者。

安全运营之团队人员组织建议

Fri, 22 Dec 2023 22:35:05 +0000

安全运营是一个持续的过程，需要不断地评估风险、监测威胁、改进措施和更新策略，以确保组织的安全性和可靠性。由人员、数据、平台（工具）、流程的共同组合构成安全运营体系。

安全运营之态势感知与监测

Thu, 21 Dec 2023 10:45:23 +0000

信息安全是一个动态的过程，操作系统、应用软件、中间件，还有硬件，平台的种类越来越多，技术越来越复杂，稍有不慎就会留下安全隐患和管理漏洞，依靠客户自身的IT资源无论从技术的先进性还是方案的严密性上都越来越难以应对，企业往往由于人手或技术力量的不足，无法自如的处理各种复杂的信息安全问题。针对这种情况，就需要持续对新的安全威胁、安全漏洞进行跟踪、分析和响应。

安全运营之安全加固和运维

Tue, 19 Dec 2023 14:06:03 +0000

安全运营是一个将技术、流程和人有机结合的复杂系统工程，通过对已有安全产品、工具和服务产出的数据进行有效的分析，持续输出价值，解决安全问题，以确保网络安全为最终目标。

安全运营之安全检查和测试

Tue, 19 Dec 2023 09:28:06 +0000

网络安全之了解安全托管服务（MSS）

Thu, 16 Nov 2023 14:32:27 +0000

数字化已深入千行百业。数字化将给各行各业带来巨大的变化，现实世界和虚拟世界也将联系得更加紧密。随着云计算、大数据等新技术结合企业级业务的落地，数字时代的安全面临着前所未有的新挑战。近年来，网络安全问题日益严重，在企业数字化转型中，安全需求也变得越来越重要。对于企业来说，一方面是合规要求压力大，随着法规监管的日趋完善，企业需要遵守的合规要求也越来越多，这些法规对企业的网络安全和数据保护提出了更高的要求；另一方面企业面临的外部威胁加剧，随着网络攻击技术的不断发展，黑客、恶意软件等外部威胁也越来越严重。为了应对这些挑战确保企业顺利完成数字化转型并保障信息安全，企业除需要部署专业的安全产品之外，同样需要技术供应商提供专业有效的安全服务。

网络安全之认识托管威胁检测与响应（MDR）

Sun, 12 Nov 2023 17:22:27 +0000

随着数字化转型加速，企业的IT环境日益复杂，面临的网络安全威胁也在不断增加。传统的防御措施已经无法有效应对新型威胁，而且很多企业缺乏专业的网络安全团队和技术手段，导致大量的安全事件未能及时被发现和处理。

SOAR安全事件编排自动化响应-安全运营实战

Wed, 18 Oct 2023 15:10:59 +0000

SOAR是最近几年安全市场上最火热的词汇之一。各个安全产商都先后推出了相应的产品，但大部分都用得不是很理想。SOAR不同与传统的安全设备，买来后实施部署就完事，SOAR是一个安全运营系统，是实现安全运营过程中人、工具、流程的有效协同，提高安全运营效率的平台。核心在于运营，在运营的过程中不断结合自身企业的安全情况，对接设备、优化剧本流程、制定相应的制度来发挥SOAR安全事件编排自动化响应系统的最大的效果。在安全运营实战过程中人员、工具、流程、制度一个都不能少。本文介绍如何通过SOAR安全事件编排自动化响应进行实战化的安全运营。

告警繁杂迷人眼，多源分析见月明

Sat, 07 Oct 2023 19:37:30 +0000

随着数字化浪潮的蓬勃兴起，网络安全问题日趋凸显，面对指数级增长的威胁和告警，传统的安全防御往往力不从心。网内业务逻辑不规范、安全设备技术不成熟都会导致安全设备触发告警。如何在海量众多安全告警中识别出真正的网络安全攻击事件成为安全运营的痛点问题。传统的分析手段，没有从威胁来源和攻击者视角来分析问题，从黑客攻击杀伤链来看，检测点和分析手段严重不足。因此需要从多源安全信息数据融合分析，实现网络攻击精准研判和处置。

网络安全之认识网络安全网格架构（CSMA）

Mon, 11 Sep 2023 16:18:40 +0000

“网络安全网格（CyberSecurity Mesh）”是 Gartner 提出的网络安全技术发展新趋势，近两年连续入选其年度重要战略技术趋势研究报告，成为当前网络安全领域流行的热词，受到网络安全从业者的高度关注。

网络安全之互联网暴露资产端口

Mon, 15 May 2023 14:22:32 +0000

互联网暴露资产因直接向公众互联网开放，极易遭受来自外部组织或人员的入侵与攻击，是风险管控的高危区域。

作为企业的安全管理，互联网暴露资产的管理是非常重要的一环。应该建立规范的流程严控互联网暴露端口的审批，对互联网暴露出口应尽量缩减收敛减少暴露面，对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产，对因为业务需要必须要暴露的资产端口进行有效的访问控制策略等。

网络安全入行？来了解下网络安全从业人员类别及其工作任务

Thu, 27 Apr 2023 11:20:28 +0000

又到了每年重保期间，红蓝双方都开始进行准备蓄势待发，网络安全从业人员每年供不应求，尤其是重保期间，双方都在疯狂的招揽准备网络安全人员。那网络安全从业人员分类到底有哪些，都负责哪些具体的工作任务呢？

安全运营之资产安全信息管理

Tue, 18 Apr 2023 17:05:48 +0000

安全风险管理的三要素分别是资产、威胁和脆弱性，脆弱性的存在将会导致风险，而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象（资产）自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。“摸清家底，认清风险”做好资产安全信息管理是安全运营的第一步也是最重要的一步。

运营商在安全领域的优势分析

Tue, 11 Apr 2023 14:03:26 +0000

背景

近年来，中美贸易摩擦加剧，国际争端凸显，国家高度重视网络安全的建设，网络安全已上升及国家战略层面，网络空间作为“第五疆域”受到极大重视。个人与企业对于网络安全的需求不断增加，中国网络安全市场也随之发展。

OpenResty+OpenWAF的WEB防护实战

Fri, 07 Apr 2023 16:38:57 +0000

OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。本文介绍通过OpenResty+OpenWAF来搭建软WAF的应用，用来防护DVWA的靶机，然后我们通过攻击DVWA的靶机来看一下OpenWAF的防护效果。

CentOS7+LAMP+DVWA靶机搭建

Fri, 31 Mar 2023 15:43:55 +0000

一、什么是DVWA

Damn Vulnerable Web Application (DVWA)(译注：可以直译为：“该死的"不安全Web应用程序)，是一个编码差的、易受攻击的 PHP/MySQL Web应用程序。它的主要目的是帮助信息安全专业人员在合法的环境中，练习技能和测试工具，帮助 Web 开发人员更好地了解如何加强 Web 应用程序的安全性，并帮助学生和教师在可控的教学环境中了解和学习 Web 安全技术。 DVWA的中文介绍见 https://github.com/digininja/DVWA/blob/master/README.zh.md 下载地址：git clone https://github.com/digininja/DVWA.git

网络安全之认识勒索病毒

Thu, 23 Mar 2023 16:36:27 +0000

一、什么是勒索病毒

勒索病毒，是一种新型电脑病毒，伴随数字货币兴起，主要以邮件、程序木马、网页挂马、服务器入侵、捆绑软件等多种形式进行传播，一旦感染将给用户带来无法估量的损失。如果遭受勒索病毒攻击，将会使绝大多数文件被加密算法加密，并添加一个特殊的后缀，用户无法读取原文件内容，被感染者一般无法解密，必须拿到解密的私钥才有可能无损还原被加密文件。而拿到解密的私钥，通常需要向攻击者支付高昂的赎金，这些赎金必须是通过数字货币支付，一般无法溯源，因此极易造成严重损失。

网络安全之认识日志采集分析审计系统

Fri, 10 Mar 2023 17:12:22 +0000

日志对于大家来说非常熟悉，机房中的各种系统、防火墙、交换机、路由器等等，都在不断地产生日志。无数实践告诉我们，健全的日志记录和分析系统是系统正常运营与优化以及安全事故响应的基础。我们一起来认识日志采集分析审计系统。

网络安全之资产及攻击面管理

Sun, 05 Mar 2023 12:54:30 +0000

“摸清家底，认清风险”做好资产管理是安全运营的第一步。那么什么是资产，资产管理的难点痛点是什么，如何做好资产管理，认清风险。带着这些问题我们来认识一下资产及攻击面管理。

安全评估之漏洞扫描、基线检查、渗透测试

Wed, 01 Mar 2023 09:41:25 +0000

为保证业务系统运营的安全稳定，在业务系统上线前需要开展三同步检查，针对新业务系统上线、新版本上线、项目验收前开展安全评估。可以帮助其在技术层面了解系统存在的安全漏洞。今天就来了解一下安全评估之漏洞扫描、基线检查、渗透测试。

网络安全之认识挖矿木马

Wed, 22 Feb 2023 09:33:44 +0000

一、什么是挖矿木马？

比特币是以区块链技术为基础的虚拟加密货币，比特币具有匿名性和难以追踪的特点，经过十余年的发展，已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后，会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价，比特币的获得需要高性能计算机（又称矿机，一般配置顶级CPU和GPU）按特定算法计算，计算的过程被形象的称为“挖矿”。

网络安全保障之“三同步”

Mon, 06 Feb 2023 15:54:39 +0000

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。
–《网络安全法》第三十三条

信息系统的生命周期层面和安全保障要素层面不是相互孤立的，而是相互关联、密不可分的。在信息系统生命周期模型中，将信息系统的整个生命周期抽象成计划组织、开发采购、实施交付、运行维护和废弃5个阶段，加上在运行维护阶段的变更产生的反馈，形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上，都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。从信息系统建设开始，就应该综合考虑系统的安全保障要求，确保信息系统建设和信息系统安全保障建设同步规划、同步实施。也就是我们平时讲的信息系统和安全保障要“三同步”–同步规划、同步建设、同步使用。

安全托管与重保安全服务

Wed, 28 Dec 2022 14:48:37 +0000

近年来，高新技术数字经济快速发展，数字化转型成为各个行业高质量发展的重要引擎和创新路径。网络安全作为数字化建设的安全基石，却面临着网络安全人才缺口不断攀升的直接挑战。各安全公司依托自己网络安全经验的人才优势向客户提供各类安全服务，最常见的就是安全托管和重保安全。

认识XDR-扩展威胁检测与响应平台

Thu, 13 Oct 2022 19:30:54 +0000

近年安全圈XDR的概念非常火，是近几年热点的安全技术之一，究竟什么是XDR，XDR核心能力是什么？能够解决什么问题，XDR与EDR、NDR关系和区别又是什么？让我们带着这些问题一起来认识一下XDR。

网络安全设备-认识运维安全管理与审计系统（堡垒机）

Wed, 11 May 2022 10:09:49 +0000

一、什么是运维安全管理与审计系统

运维安全管理与审计系统（俗称 “堡垒机”）：是采用新一代智能运维技术框架，基于认证、授权、访问、审计的管理流程设计理念，实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计；通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能，为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。

网络信息安全之信息系统安全保障

Fri, 29 Apr 2022 14:39:23 +0000

一、信息系统安全保障相关概念

信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。随着当前社会信息化程度的不断提高，各类信息系统越来越成为其所从属的组织机构生存和发展的关键因素，信息系统的安全风险也成为组织风险的一部分。同时，信息系统受来自于组织内部与外部环境的约束，信息系统的安全保障除了要充分分析信息系统本身的技术、业务、管理等特性，还要考虑这些约束条件所产生的要求。为了保障组织机构完成使命，系统安全管理人员必须针对信息系统面临的各种各样的风险制定相应的策略。

安全运营之漏洞管理

Mon, 25 Apr 2022 15:38:05 +0000

1947年冯·诺依曼建立计算机系统结构理论时认为，计算机系统也有天生的类似基因的缺陷，也可能在使用和发展过程中产生意想不到的问题。20世纪七八十年代，早期黑客的出现和第一个计算机病毒的产生，软件漏洞逐渐引起人们的关注。在各种产品、主机、网络和复杂信息系统中，安全漏洞以不同形式存在，而且数量逐年增加，利用漏洞造成的各类安全事件层出不穷。攻击行为或网络安全事件的发生正越来越多地受到利益驱动的影响，这种“黑色产业链”的兴起，导致越来越多的网络终端受害，大量机密信息被窃取，敏感数据信息在互联网上传播，并在黑市中待价而沽。工业控制领域以及新技术新应用的安全漏洞，特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。在安全运营过程中一个最重要的工作就是漏洞管理。

网络信息安全之基于时间的安全模型（PDR和PPDR模型）

Sat, 23 Apr 2022 10:18:07 +0000

基于时间的安全模型是基于"任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破的“这样的前提。该模型主要给出了信息系统的攻防时间表。攻击时间指的是在系统采取某种防守措施，通过不同的攻击手段来计算攻破该防守措施所需要的时间。防守时间指的是，对于某种固定攻击手法，通过采取不同的安全防护措施，来计算该防护措施所能坚守的时间。

网络信息安全之零信任

Thu, 21 Apr 2022 14:43:15 +0000

一、零信任产生的背景

对于资源的访问保护，传统方式是划分安全区域，不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备，包括防火墙、IPS、防毒墙、WAF等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的（不安全的），没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制；安全区域内的用户默认都是可信的（安全的），对边界内用户的操作不再做过多的行为监测，但是这就在每个安全区域内部存在过度信任（认为是安全的，给予的权限过大）的问题。同时由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网（互联网），这种风险就更为明显。

网络信息安全之安全风险管理

Tue, 19 Apr 2022 15:06:00 +0000

在信息时代，信息已经成为第一战略资源，信息对组织使命的完成、组织目标的实现起着至关重要的作用，因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体，资产价值越高，面临的风险就越大。而对于目前的组织机构而言，由于组织的业务运营越来越依赖于信息资产，信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度，保护信息及其相关资产，最终保障组织能够完成其使命，实现其目标。

CWPP与EDR的定义与区别

Sat, 16 Apr 2022 14:34:04 +0000

随着信息系统的发展，大家都在说网络安全要覆盖“云”、“管”、“端”，CWPP与EDR是目前非常火的产品，一个面向云端服务器的防护，一个是面向常规终端PC端的防护。

网络信息安全之APT攻击

Sat, 02 Apr 2022 15:54:07 +0000

一、什么是APT攻击

当今，网络系统面临着越来越严重的安全挑战，在众多的安全挑战中，一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗，国际上常称之为APT（Advanced Persistent Threat高级持续性威胁）攻击。 APT攻击是一种以商业或者政治目的为前提的特定攻击，其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息，特别是针对国家重要的基础设施和单位开展攻击，包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段，包括一些最为先进的手段和社会工程学方法，并通过长时间持续性的网络渗透，一步步的获取内部网络权限，此后便长期潜伏在内部网络，不断地收集各种信息，直至窃取到重要情报。对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的，该定义给出了APT攻击的4个要素，具体如下。 (1)攻击者：拥有高水平专业知识和丰富资源的敌对方。 (2)攻击目的：破坏某组织的关键设施，或阻碍某项任务的正常进行。 (3)攻击手段：利用多种攻击方式，通过在目标基础设施上建立并扩展立足点来获取信息。 (4)攻击过程：在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

网络信息系统安全的发展演变

Fri, 01 Apr 2022 20:38:17 +0000

随着通信技术和信息技术的发展，极大的改变了人们处理信息的方式和效率。计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理，并在网络中传输。网络信息系统安全是通信安全和信息系统安全的综合，网络信息安全已经覆盖了信息资产的生成、处理、传输和存储等各个阶段。包括信息自身的安全、信息应用的安全、计算机信息系统安全、通信网络安全。

网络信息安全之纵深防御

Wed, 30 Mar 2022 18:30:28 +0000

什么是“纵深防御”？很多人和资料都有不同的解释，有许多资料将“纵深防御”和“分层防护”等同起来，上次文章介绍了“分层防护”，分层防护是根据网络的应用现状情况和网络的结构，将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理等各个层级，在每个层级实施相应的防护策略和手段。“纵深防御”与“分层防护”既有区别又有联系。

“纵深防御”实际上并不是一个网络安全领域的专属名词，早在二十世纪初，前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上，提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战，所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处，其核心都是多点布防、以点带面、多面成体，以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。

网络安全体系之分层防护

Tue, 29 Mar 2022 10:40:55 +0000

作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

什么是用户实体行为分析（UEBA）

Thu, 24 Mar 2022 15:30:47 +0000

一、背景

数字新时代正在加速全面到来，网络环境变得更加多元、人员变得更复杂、接入方式多种多样，网络边界逐渐模糊甚至消失，同时伴随着企业数据的激增。数字化转型促进组织的业务发展的同时，也带来了重大的网络安全挑战。 1.越来越多的外部攻击，包括被利益驱动或国家驱动的难以察觉的高级攻击； 2.心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导致的各种内部威胁； 3.数字化基础设施的脆弱性和风险暴露面越来越多，业务需求多变持续加剧的问题； 4.安全团队人员不足或能力有限，深陷不对称的“安全战争”之中。在数字化带来的巨大变化下，传统的安全威胁发现能力受到了巨大的挑战。传统安全产品、技术、方案基本上都是基于已知特征进行规则匹配来进行分析和检测，基于特征、规则和人工分析，以“特征”为核心的检测分析存在安全可见性盲区，有严重的滞后效应、无力检测未知攻击、容易被绕过，以及难以适应攻防对抗的网络现实和快速变化的企业环境、外部威胁等问题。

网络信息安全常用术语

Tue, 22 Mar 2022 09:21:37 +0000

网络信息安全术语是获取网络安全知识和技术的重要途径，常见的网络安全术语可以分为基础技术类、风险评估技术类、防护技术类、检测技术类、响应/恢复技术类、测评技术类等。

网络信息安全基本属性

Thu, 17 Mar 2022 19:33:32 +0000

常见的网络信息安全基本属性主要有机密性、完整性、可用性、不可抵赖性和可控性等，其中机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）被称为网络信息系统核心的CIA安全属性，此外还有其他的安全属性包括：真实性、时效性、合规性、隐私性等。

网络安全之常用安全设备功能及作用

Mon, 07 Mar 2022 14:38:40 +0000

随着网络技术发展，网络威胁无孔不入，网络攻击手段呈现复杂性及多变性的趋势。要建立防御体系应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施，形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此，为了满足不同防护需求的安全设备应运而生。有的设备是为了严防非授权访问。有的设备是为了实时检测，拦截攻击行为。有的设备是为了自查自审，发现自身存在的问题。每一种安全设备分工都不同，设备缺失肯定会使防御体系失效造成安全隐患。

网络安全之恶意代码

Mon, 17 Jan 2022 22:31:41 +0000

恶意代码是一种有害的计算机代码或 web 脚本，其设计目的是创建系统漏洞，并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失，而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益，从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上，都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。

网络安全之暴露面、攻击面、脆弱性

Mon, 10 Jan 2022 10:53:54 +0000

暴露面 暴露在攻击者视线范围内，可以被利用进行入侵的系统、设备、信息等，都属于暴露面。虽然大多数企业都认识到暴露面的风险所在，并想方设法来减少暴露面；但不幸的是，并非所有暴露面都是显而易见的，大量的暴露面都潜藏在不容易被发现的暗处，很容易因为资产排查不彻底、人员疏漏等问题被忽略。互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产，所面临的安全风险更高。

机器学习实现恶意URL检测实战一

Thu, 09 Dec 2021 08:58:04 +0000

恶意URL检测的方法很多，这里介绍通过机器学习分析URL文本分词词频来检测恶意URL。训练的数据集为开源数据集，通过机器学习训练检测模型，然后做了部分工程化的应用，将模型持久化，在应用的时候加载进来直接应用，不用重新进行训练。通过接口调用实现恶意URL检测预测判断。

Python快速实现一个域名、IP信息聚合网站

Sun, 21 Nov 2021 14:18:19 +0000

域名和IP地址信息是非常基础的情报信息，目前网上有很多网站都提供了域名信息的查询、IP地址及归属地的查询。本文通过Python Flask实现域名及IP情报信息的聚合网站。

Python通过GeoIP获取IP信息（国家、城市、经纬度等）

Wed, 10 Nov 2021 10:24:01 +0000

IP地址信息是非常重要的情报信息，通过IP可以定位到该IP所在的国家、城市、经纬度等。获取IP信息的方式有很多，很多服务商都提供了相应的地址库或API接口服务。如国内的ipip.net，国外的ip-api.com、maxmind.com等。很多公司都是使用Maxmind网站的IP信息库，里面包含着IP的详细信息，有付费的也有免费的，收费与免费的区别就是精准度和覆盖率。

认识SOAR-安全事件编排自动化响应

Mon, 01 Nov 2021 21:54:04 +0000

SOAR是最近几年安全市场上最火热的词汇之一。SOAR究竟是什么，发展历程是什么，能够起什么作用，带着这些问题我们来认识一下SOAR。

一、SOAR是什么

SOAR 一词来自分析机构 Gartner，SOAR-Security Orchestration, Automation and Response 安全编排和自动化响应。在Gartner的报告里，SOAR平台的核心组件为，编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠：SOAR=SOA+SIRP+TIP 1）精密编排的联动安全解决方案(SOA)； 2）事件应急响应平台(SIRP)； 3）威胁情报平台(TIP)。

安全运维与安全运营

Fri, 20 Aug 2021 11:18:22 +0000

安全运维与安全运营是安全人员经常听到的两个名词。到底什么是安全运维，什么是安全运营，两者之间有什么区别和联系呢？

我们先来看一下运维与运营的概念区别。运维一般来说指的是运行维护，通过一定的技术和管理手段保障平台或系统的正常运行。本质上是对平台、系统或产品所涉及的网络、服务器、服务的生命周期各个阶段的运营与维护，在成本、稳定性、效率上达成一致可接受的状态。

网络信息安全管理之资产、脆弱性、威胁、风险

Thu, 19 Aug 2021 15:16:23 +0000

网络信息安全管理是指对网络资产采取合适的安全措施，以确保网络资产的可用性、完整性、可控制性和抗抵赖性，不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害，而导致网络中断、信息泄露或破坏。网络信息管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。网络信息安全管理的目标就是通过适当的安全防范措施，保障网络的运行安全和信息安全，满足网上业务开展的安全要求。

初识威胁情报

Fri, 25 Jun 2021 09:45:58 +0000

初识威胁情报

随着网络空间的广度和深度不断拓展，当今网络攻击的多样化、复杂化、专业化，安全对抗日趋激烈，传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要，新的安全理念、新的安全技术不断涌现。业界普遍认同：仅仅防御是不够的，更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应，安全情报必不可少。有效的威胁情报可以提高安全产品的对恶意攻击识别能力，提高溯源效率，并及时采取应对措施，减少甚至消除攻击的危害。

如何理解企业安全能力框架(IPDRR)

Thu, 17 Jun 2021 16:49:08 +0000

企业安全能力框架(IPDRR)是美国国家标准与技术研究所（National Institute of Standards and Technology）的网络安全框架（简称NISTCSF )。第一个版本于2014年发布，旨在为寻求加强网咯安全防御的组织提供指导。企业可以根据自身需求加强网络安全防御。企业网络安全系统框架（参考IPDRR）

网络信息安全管理要素和安全风险评估

Fri, 04 Dec 2020 16:41:52 +0000

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。由于网络管理对象自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。

等级保护与分级保护的关系和区别

Sat, 24 Oct 2020 16:35:36 +0000

等级保护与分级保护既有联系又有区别：

国家安全信息等级保护，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

浅析SIEM、态势感知平台、安全运营中心

Mon, 02 Mar 2020 21:50:03 +0000

近年来SIEM、态势感知平台、安全运营中心等概念炒的火热，有的人认为这都是安全管理产品，这些产品就是一回事，有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心，他们之间有什么联系和区别呢？