0x00 前言

本文中的合规指的是在符合法律法规的情况下开展的安全活动。

0x01 网络犯罪与数据泄露

计算机辅助犯罪:使用计算机作为工具帮助实施犯罪。
计算机为目标的犯罪:计算机专门针对其自身实施攻击
计算机牵涉性攻击

1.计算机辅助犯罪

  • 利用金融系统进行诈骗
  • 通过攻击政府系统获取军事或者情报
  • 通过攻击竞争对手,从事商业间谍行为
  • 利用劫持的具有影响力的账户张开信息站
  • 从事黑客主意活动
  • DDOS
  • 窃取口令或其他敏感数据
  • 挖矿
  • 勒索

计算机犯罪法律主要解决的问题是:

  • 未授权的修改或破坏
  • 泄露敏感信息
  • 恶意软件

2.网络犯规的复杂性

  • 跳板机
  • 供应链安全

3.攻击的发展

  • 炫耀技术
  • HaaS
  • APT

4.数据泄露

数据是很多公司的命脉,并且价值连城,用户信息泄露比如之前的微博,酒店,以及最近的菜鸟裹裹。公司知识产权泄露,比如bilibili的源码泄露。

4.1 个人信息泄露

  • 全名
  • 身份证号
  • 家庭住址
  • IP地址
  • 车辆车牌号
  • 面部,指纹,笔记
  • 信用卡
  • 数字身份证
  • 生日
  • 出生地
  • 就读学校和工作地
  • 成绩,薪水
  • 犯罪记录

补充知识

企业安全

企业安全是指组织或公司采取一系列措施,以确保其业务、员工、资产和客户数据受到保护,防止遭受恶意攻击、非法侵入、数据泄露和其他威胁。企业安全包含以下方面:

  1. 网络安全:包括网络拓扑结构、数据加密、网络设备、网络监控和数据备份等。
  2. 信息安全:包括对敏感信息、数据加密、数据备份和灾难恢复等的保护。
  3. 物理安全:包括安全摄像头、入口管理、安全锁、防火墙等设备以及对员工的安全培训等。
  4. 人员安全:包括对员工的安全培训,以及员工背景调查和入职前的安全审查等。
  5. 应用安全:包括软件安全许可证、安全更新、应用程序安全审查等。

企业安全必须是一个持续不断的过程,需要不断更新和改善,以确保企业在不断变化的威胁面前保持安全。企业安全是指组织或公司采取一系列措施,以确保其业务、员工、资产和客户数据受到保护,防止遭受恶意攻击、非法侵入、数据泄露和其他威胁。企业安全包含以下方面:

  1. 网络安全:包括网络拓扑结构、数据加密、网络设备、网络监控和数据备份等。
  2. 信息安全:包括对敏感信息、数据加密、数据备份和灾难恢复等的保护。
  3. 物理安全:包括安全摄像头、入口管理、安全锁、防火墙等设备以及对员工的安全培训等。
  4. 人员安全:包括对员工的安全培训,以及员工背景调查和入职前的安全审查等。
  5. 应用安全:包括软件安全许可证、安全更新、应用程序安全审查等。

企业安全必须是一个持续不断的过程,需要不断更新和改善,以确保企业在不断变化的威胁面前保持安全。

合规

安全合规是指在工作、生产、服务、交易等活动中,遵守相关的法律法规和公司规定,保障个人和组织的财产、生命、健康和安全不受威胁,确保企业的合法经营和社会责任。安全合规包括但不限于生产安全、网络安全、环境安全、食品安全、消防安全等方面。企业要积极落实安全合规制度和要求,建立健全的内部安全管理体系,防范和化解各类安全风险,提高企业的安全生产和服务质量。安全合规是指在工作、生产、服务、交易等活动中,遵守相关的法律法规和公司规定,保障个人和组织的财产、生命、健康和安全不受威胁,确保企业的合法经营和社会责任。安全合规包括但不限于生产安全、网络安全、环境安全、食品安全、消防安全等方面。企业要积极落实安全合规制度和要求,建立健全的内部安全管理体系,防范和化解各类安全风险,提高企业的安全生产和服务质量。

SDL介绍

SDL是Simple DirectMedia Layer(简单直接媒体层)的缩写,是一个跨平台的多媒体库,它提供了一个简单的API,允许开发者轻松地使用音频、视频、输入设备和图形硬件等多媒体资源。SDL最初是为游戏开发而设计的,但它的高效性和跨平台特性使其也被广泛应用于其它领域,如图像处理、模拟器等。SDL支持的平台包括Windows、Linux、Mac OS X、iOS、Android等。SDL是Simple DirectMedia Layer(简单直接媒体层)的缩写,是一个跨平台的多媒体库,它提供了一个简单的API,允许开发者轻松地使用音频、视频、输入设备和图形硬件等多媒体资源。SDL最初是为游戏开发而设计的,但它的高效性和跨平台特性使其也被广泛应用于其它领域,如图像处理、模拟器等。SDL支持的平台包括Windows、Linux、Mac OS X、iOS、Android等。

DevSecOps介绍

DevSecOps是一种软件开发流程的方法论,将安全性集成到DevOps流程中,以确保在代码编写、构建、部署和维护过程中的安全性。它强调了团队成员的跨职能性和协作,旨在创建安全的软件系统。DevSecOps的目标是使安全性成为软件开发和交付过程的一部分,而不是在系统部署后才考虑安全性,以减少安全漏洞和风险,保护客户和企业数据。DevSecOps是一种软件开发流程的方法论,将安全性集成到DevOps流程中,以确保在代码编写、构建、部署和维护过程中的安全性。它强调了团队成员的跨职能性和协作,旨在创建安全的软件系统。DevSecOps的目标是使安全性成为软件开发和交付过程的一部分,而不是在系统部署后才考虑安全性,以减少安全漏洞和风险,保护客户和企业数据。

SDL和DevSecOps的比较

SDL(Security Development Lifecycle)和DevSecOps都是与软件开发和安全有关的方法论,但它们有不同的重点和目标。

SDL是一种按照安全最佳实践整合到软件开发生命周期中的流程。它着重于在软件开发的早期阶段就识别和处理潜在的安全问题,以降低在后期开发和维护中出现安全漏洞的风险。SDL包括多个阶段,包括需求分析、设计、实现、测试和部署等,每个阶段都有特定的活动和文档来确保软件的安全性。

DevSecOps则是一种将安全性嵌入到整个软件开发流程中的方法。它强调通过自动化和协作来促进快速、持续和安全的软件发布。DevSecOps的目标是打破安全和开发之间的壁垒,使安全团队可以快速响应开发团队的需求,并将安全性纳入到自动化的构建、测试和部署流程中。

总的来说,SDL注重整个软件开发生命周期中的安全性,而DevSecOps则更加注重集成安全性到整个软件开发流程中。两种方法都是很有用的,具体的应用需要根据具体项目的需求和情况来决定。SDL(Security Development Lifecycle)和DevSecOps都是与软件开发和安全有关的方法论,但它们有不同的重点和目标。

SDL是一种按照安全最佳实践整合到软件开发生命周期中的流程。它着重于在软件开发的早期阶段就识别和处理潜在的安全问题,以降低在后期开发和维护中出现安全漏洞的风险。SDL包括多个阶段,包括需求分析、设计、实现、测试和部署等,每个阶段都有特定的活动和文档来确保软件的安全性。

DevSecOps则是一种将安全性嵌入到整个软件开发流程中的方法。它强调通过自动化和协作来促进快速、持续和安全的软件发布。DevSecOps的目标是打破安全和开发之间的壁垒,使安全团队可以快速响应开发团队的需求,并将安全性纳入到自动化的构建、测试和部署流程中。

总的来说,SDL注重整个软件开发生命周期中的安全性,而DevSecOps则更加注重集成安全性到整个软件开发流程中。两种方法都是很有用的,具体的应用需要根据具体项目的需求和情况来决定。