据外媒报道,近期,涉及全球50多家科技公司的源代码泄露,其中包括华为海思、联想、微软、高通等。遭泄露的源码被发布在GitLab上一个公开存储库中,并被标记为“exconfidential”(绝密),以及“Confidential & Proprietary”(保密&专有)。 虽然网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko指出,“从技术角度来看,这次的泄露并不算很严重,若没有每天的支持和改进,源代码也会迅速贬值”。 但是,作为有史以来最大范围的一次源代码泄露,不少安全专家仍然对此表示了深深的担忧,“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。” 源代码被泄露事件屡见不鲜,由此带来的安全问题和经济损失也不容忽视。 2017年6月,微软被曝多个内部Windows操作系统版本及内核源代码泄漏到网上,获得这些数据可以开...
安全建设整改工作是开展等级保护工作的核心和落脚点,无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。安全建设整改是指在符合等级保护的要求的基础上,对新建或已经建的信息系统进行建设和整改。目的是使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。 信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一并或者分步实施,做到技术为基础,管理是关键,服务做支撑。 一、信息系统安全技术建设 (一)技术整改思路 等级保护2.0对于等级保护对象技术的设计,要求需要考虑建设“可信”、“可控”、“可管”的安全防护体系; 安全保护模型由相应级别的安全物理环境、安全通信网络、安全区域边界、安全计算环境和...
在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。 虽然等保分为五个级别,但实现项目落地的都是二、三和四级,最低的一级单位作为建议,也是可以自行备案,但是作用不大。最高的等保五级信息系统受到破坏后,会对国家安全造成特别严重损害,这类系统一般都涉及国家秘密,等级保护体系无法担此重任,所以也不会用。现阶段普遍需要第三方测评机构测评的是第二级和第三级。 那二级和三级又是如何确定的呢? 安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主...
电力安全攸关国家安全、社会稳定和经济发展。近年来,随着互联网在工业控制系统中的广泛应用,针对电力行业的各种网络攻击事件日益增多,电力行业数据安全迫在眉睫。 2020年上半年,能源、电网、水利等关键基础设施领域多次成为网络攻击靶心。今年2月,美国电力公司受到黑客组织攻击;5月,委内瑞拉国家电网再遇网络攻击,造成全国大面积停电。上述案例还只是冰山一角,但是造成的损失和社会影响面非常之大。充分了解电力系统所面临的安全威胁,可以帮助我们认识到电力行业数据安全的重要性。 业务场景再复杂也要保障万无一失,电力系统遭受攻击造成的影响:社会生产瘫痪、交通瘫痪、人员伤亡、设备损坏、环境污染等。 正因为以上特点,让我国电力行业信息安全建设在起步较早情景下,最先提出了“安全分区、专网专...
当地时间7月15日星期三,美国社交媒体推特(TWITTER)遭到了黑客大规模的攻击。据不完全统计,美国前总统奥巴马、总统候选人拜登、麦克·布隆伯格、马斯克、比尔盖茨、说唱歌手坎耶·韦斯特、巴菲特、贝索斯,以及苹果、优步等10多个认证用户发布了诈骗消息。从被黑账号的规模和知名度来说,这次的黑客攻击可能是Twitter史上最大的安全漏洞。考虑到美国总统特朗普等人热衷于在Twitter上宣布重大政策决定,政客账号轻易被盗极有可能造成严重后果,在11月即将举行的美国大选前夕,出现此次黑客攻击也表现出Twitter网络安全防护薄弱。 事件发生后,Twitter在当天下午的2:45承认这种情况,称其为“安全事件”,并回应:检测到了协同社会工程攻击,已采取对访问内部系统限制等措施。在审查这一事件的过程中,用户可能无法发Twitter或者重置...
随着全球数字经济的快速展,当前对数据掌控和利用能力,已成为衡量国家之间竞争力的核心要素。今年4月份,中央首次明确了将数据作为五大生产要素之一,加快对数据要素市场的培养,并通过新基建等一系列措施进行政策的落地。面对数字经济迎来新的发展机遇同时,国内外数据安全的形势不容乐观,根据公开报道,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%。数据泄漏事件影响大、损失重。 数据安全是数字经济的零因子,零乘以亿万等于零。2020年6月28日,第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法(草案)》(以下简称“数安法”)。7月3日在中国人大网公布,向社会征求意见,通过立法实现数据安全与共享的平衡发展。 外力驱动和内部需求,促使数安法快速落地 外力...
根据外媒报道得知,在过去一年的时间里,“超大型”的数据泄露事件成本以想象不到的速度快速增长中。IBM发布了年度《数据泄露成本报告》,报告中称,现在平均数据泄露成本为386万美元。虽然这一平均值与2019年相比下降了1.5%,但当涉及超过5000万条消费者记录时,则高于2019年的3.88亿美元。这些受到安全事件影响的企业,预计得支出高达3.92亿美元的费用来弥补安全事件带来的损失。 如今,数据泄露事件仿佛成为了人们的饭后谈资,屡见不鲜。因安全事件催生的安全保险、安全建设行业由此崭露头角。部分没办法自我实现数据保护、数据监管、安全建设的企业,只能寻找第三方网络安全服务公司制定一系列网络安全预防补救方案,例如葫芦娃集团提供一站式网络安全解决方案,为企业网站安全建设保驾护航。当然网络安全建设不光是企业...
网络安全引发的数据泄露给企业造成的损失非常严重。调研机构Audit Analytics发现,2011年至今有639起上市公司曾发生过网络安全事件,每起网络数据泄露事件的平均损失高达1.16亿美元。 Audit Analytics发布的《网络安全事件披露趋势》披露,2011年以来,不少企业因数据泄露付出高额的代价,其中最严重的有:2013年的塔吉特(2.92亿美元),2014年的家得宝(2.98亿美元),2017年的Equifax(17亿美元)和2018年的万豪(1.14亿美元),2019年Facebook被罚50亿美元。这些还不包括名誉受损、信任度下降带来的长期影响。报告数据显示,2018年,姓名和信用卡信息最受窃密者欢迎,而2019年窃密者的目标是获取客户姓名、住址和电子邮件地址。 国内外关于用户信息保护的监管越趋严格,国内的《网络安全法》、《个人信息安全规范》《等级保护2.0》以及即将推出的...
2020年勒索病毒攻击比以往都来的更猛了一点,各种不同的勒索病毒黑客组织都似乎加大了这方面的投入,而且又有一些新的黑客组织加入进来,导致现在勒索病毒攻击越来越频繁了,最近几款流行的勒索病毒都非常活跃,经常有人通过各种渠道向我咨询勒索病毒相关的问题,勒索病毒攻击已经越来越严重了,目前大部分流行的勒索病毒都是无法解密的,勒索病毒以防为主,提高安全意识,虽然外界已经宣传了很多,但仍然有很多企业还是没有引起足够的重视,导致被勒索病毒攻击之后,悔之晚矣。根据COVEWARE公司的报告,2020年Q1季度,企业平均赎金支付增加至111,605美元,比2019年第四季度增长了33%,勒索软件分销商越来越多地将目标对准大型企业,并成功地强制勒索付款以安全恢复数据,大型企业赎金支付在数量上占少数,但支付规模极大地拉...
灾难恢复的对象主要有两个,其一是应用的业务数据,其二是应用的运行状态。通常的灾难恢复技术包括数据的备份、复制、应用的远程集群群等。目前针对业务运行状态的灾难恢复技术:持续数据保护是灾难恢复目前较理想的选择。传统数据保护解决方案专注在对数据的周期性备份上,因此一直伴随有备份窗口、数据一致性以及对生产系统影响等问题。而CDP为用户提供了不一样的数据保护手段,系统管理者无须关注数据的备份过程(因为CDP系统会不断检测数据据的变化,从而不断地自动实现数据的保护),仅仅当灾难发生后,简单地选择需要恢复到的数据备份时间点即可实现数据的快速恢复。1.基本概念对比传统备份:备份主要是对数据提供多副本冗余,当数据发生误操作、病毒感染和丢失等逻辑错误后,可以用备份副本进行恢复,保证数据少...
