分享到:

文物保管惊天漏洞谁来补

$T近来,文物监守自盗行为屡屡发生,其程度令人震惊,文物界、考古界人士强烈呼吁:$E$$最近,央视“焦点访谈”揭露了景德镇陶瓷历史博物馆文物“失踪”一案,引起社会极大关注。同时记者了解到,景德镇陶瓷历史博物馆是国家重点文物保护单位,还曾被评为江西省优秀博物馆,不但原应收藏于此博物馆的文物唐伯虎的《侍女图》折扇、清代郑板桥的《石竹图》现在难觅踪影,文物目录上数千件文物都无法在库房中找到,相关单位对其下落说法不一。这件令人震惊的事件暴露出我国现行文物保管体制的缺漏触目惊心,再次引发人们对近几年来某些博物馆陆续出现的监守自盗现象的关注。$$中国是众所周知的文物大国,每年各地都会有大量的文物出土。在经过了各种研究、展出后,按照《文物法》的规定,各级博物馆成为了绝大多数出土文物的“归宿”。在这种情况下,如果博物馆对文物的保管出现疏漏,那么对我国文物工作所造成的后果就可想而知了。$$如果说单个事件可以用偶然来解释,那么类似案件的一再发生就让...  (本文共2页) 阅读全文>>

《网络安全和信息化》2018年10期
网络安全和信息化

安全漏洞的完整生命周期管理

漏洞全生命周期管理平台总体架构如图1所示。漏洞生命周期管理平台包括漏洞验证、漏洞处置、漏洞复查、漏洞归档四个阶段。漏洞验证1.针对系统漏洞,通过加载基于漏洞测试框架编写的漏洞函数,将oval语言封装的漏洞情报信息转换为可执行的POC脚本,形成漏洞验证脚本的自动化编辑模式,进而实现自动化的漏洞验证。2.针对应用漏洞进行人工验证。3.通过IT资产指纹信息的精确分析,实现漏洞情报信息对内部IT资产的精准推送,形成漏洞预警。平台总体架构漏洞处置通过自动化手段将资产、漏洞、补丁进行三方关联,并自动调用已经验证通过补丁进行批量、自动化补丁分发,实现自动加固。漏洞复查对比分析从漏洞、资产、责任人等维度将每次检查的系统漏洞和应用漏洞进行比对分析,及时发现新增漏洞、未加固的漏洞、加固完成后仍存在的漏洞、顽固漏洞等。漏洞归档针对漏洞处置的效果进行评价,通过漏洞状态管理标记各种漏洞信息,做到漏洞处置情况的精确掌握。图1漏洞全生命周期管理平台总体架构图...  (本文共4页) 阅读全文>>

《中国信息安全》2018年01期
中国信息安全

2017年国内外信息安全漏洞情况

2017年,国家信息安全漏洞库(CNNVD)共发布漏洞信息13417条,其中原创漏洞305条;发布补丁信息9156条,安全新闻952条。新增漏洞数量与2016年披露的8336个相比,呈现大幅度上升趋势,上涨近60.95%,涨幅达到历史最高。总体来看,随着软硬件产品及应用迅猛增长,漏洞数量急剧攀升,今年漏洞数量达到2016年的近2倍;其中已发布修复补丁的漏洞有10742个,整体修复率为80.06%,与2016年的90.88%相比,下降幅度较大,表明漏洞的修复效率尚未赶上漏洞的增长速度,这些未修复的漏洞将威胁网络空间的安全;在超危、高、中、低危四个等级中,超危漏洞占比有所上升,由2016年的7.76%上升至今年的10.49%,在四个危害等级中超危漏洞修复率最高,达到90.27%,针对超危漏洞的修复是保障网络安全的重中之重。一、漏洞统计概况根据CNNVD统计,2017年CNNVD共发布漏洞信息13417条,累计发布漏洞信息103179...  (本文共5页) 阅读全文>>

《中小学心理健康教育》2018年08期
中小学心理健康教育

每个漏洞都会找到一个补洞人

几米说:“尽管这个世界漏洞百出,但真的不用担心,每个漏洞都会找到一个补洞的人。”教师,极有可能就是一个“补洞”的人。但是,偏偏,也正是教师,极有可能在挖洞,自觉或不自觉地在孩子的心田中“挖洞”,随之,教育的漏洞也就愈来愈大,而身在其中的孩子,就有可能“长得歪歪斜斜”,长着长着就成了“赝品”。“二十四番花信风”,菊花选择在秋天开放,自有它的生长规律和成长天性。每一个小孩也有自己成长的“花期”,有独属于自己的行走方式和轨道。如果,我们非要按照成人的标准或期望去试图改变孩子们的“花期”;如果,成人总是强迫孩子们踏进事先规定好的轨道;如果,成人偏执于自己的观念,让所有的鱼都必须适应养鱼者提供的“水”环境,那么,我们就不是一个好的“补洞者”。比如,总有人认为移民区的孩子大多来自于贫困山区,可能带有自身的愚昧,可能卫生习惯不好,可能学习习惯不好,甚至可能是一个小偷小摸者;总有人认为“下山入川”生态移民的子女可能天生有“瑕疵”,再怎么精雕细刻...  (本文共1页) 阅读全文>>

《网络安全和信息化》2017年05期
网络安全和信息化

防御漏洞利用工具

包给企图发布恶意软件的犯罪份子。在登录到漏洞利用工具的管理控制台后,主页面会显示基本的统计和检测状态。管理控制台的另一个页面还可用于上传恶意软件。其他页面提供高级的统计信息,显示出一些重要信息,例如,有哪些反病毒厂商可以检测到恶意软件。漏洞利用工具的事件在漏洞利用工具中,为成功实施感染,必须经过如下几步:首先是“着陆页”,侦察受害者的主机;其次是漏洞利用,主要是利用目标主机上的基于浏览器的应用程序的漏洞,最后是上传网络罪犯准备发布的文件下载漏洞利用工具如何运行多数漏洞利用工具的作者都使用软件即服务(Saa S)作为其业务模式。这种模式有时被称为平台即服务(Paa S),恶意软件即服务(Maa S)、漏洞利用工具即服务(EKaa S)。利用漏洞利用工具即服务(EKaa S)这种模式,漏洞利用工具的制作者会将其出租给制造威胁的不法之徒。漏洞利用工具可以通过广告或口头相传的方式来传播,而领先的漏洞利用工具的价格往往达到每月几千美元。例...  (本文共3页) 阅读全文>>

《网络安全和信息化》2018年06期
网络安全和信息化

实现系统全量漏洞核查

设备系统漏洞是导致系统风险、网络攻击等安全事件频繁发生的重要原因,目前企业IT系统主要以传统的漏洞检查工具对系统漏洞进行检查,而传统的漏洞检查工具采用远程方式发现漏洞,在发现的准确性、及时性和安全性上有较大隐患,而且错报、误报和影响业务正常运行的现象普遍存在,本文采用智能漏洞分析算法核查设备全量漏洞,实现了漏洞检测从“扫描”到“检查”质的飞跃,在漏洞发现的准确性、发现速度的及时性上都有巨大提升。本文研究的全量漏洞核查方法架构流程如图1所示,采用类搜索引擎的分布式网络爬虫技术,获取包括权威漏洞发布网站、原厂安全公告和专业安全公司等来源的海量漏洞信息。建立能够对漏洞进行精准智能分析的、可灵活拓展的漏洞智能分析引擎,并在每个漏洞基本信息的基础上补充自动化分析信息。通过大规模分布式并行采集引擎,自动化批量采集现网资产信息。由系统漏图1整体架构流程图图2漏洞库架构洞智能分析引擎对采集到的各类信息进行统一处理分析,综合分析漏洞存在情况。最后...  (本文共3页) 阅读全文>>