网络安全治理与风险管理中的三线模型探析

一个健全的网络安全治理结构（包括网络风险管理）应该包括对网络安全的明确问责和对组织内网络决策的明确授权。从公认的治理和风险管理规范模型之一的三线模型（即过去的三道防线模型）的角度审视网络安全治理尤为有益。

6款较流行的开源漏洞扫描工具推荐及特点分析

未修补的漏洞是网络犯罪分子最容易攻击的目标之一。企业中很多的数据安全事件往往由于已知的漏洞造成的，尽管相关的安全补丁已经发布，但许多企业由于种种原因并不能及时发现并修补这些漏洞。

调查：1/4的组织因网络攻击而关闭OT运营

一项由Palo Alto Networks委托进行的研究显示，很多工业组织都曾遭受过网络攻击，而其中相当一部分的攻击会导致OT运营的中断。

EISS-2024企业信息安全峰会之北京站即将举行

EISS企业安全峰会始办于2016年，在上海、北京、深圳等地已成功举办19届。

简析数据安全保护策略中的10个核心要素

数据显示，全球企业组织每年在数据安全防护上投入的资金已经超过千亿美元，但数据安全威胁态势依然严峻，其原因在于企业将更多资源投入到数据安全能力建设时，却忽视了这些工作本身的科学性与合理性。

审计师眼中的API安全与风险控制

API（应用程序编程接口）是互联网不可或缺的一部分。当我们访问一个网站时，承载该网站的Web服务器会展示网页。API正是那个使网站数据能够为登录所使用的客户端（无论是台式机、笔记本电脑还是移动设备）消化理解的工具。API

蛰伏近三年！复盘XZ开源项目后门投毒事件完整时间线

日前，开源软件XZ被植入“后门”事件，引发了网络安全界的轩然大波。研究人员发现，在包括Red Hat和Debian在内的多个流行Linux版本中，一款压缩工具被悄悄植入了恶意代码，这样攻击者即使没有有效账号，也可以通过SSHD（一个负责SSH连接工作的关键二进制文件）访问系统了。

国家网信办发布生成式人工智能服务备案信息

4月2日，国家网信办官网发布了关于《生成式人工智能服务已备案信息的公告》。公告指出：促进生成式人工智能服务创新发展和规范应用，网信部门会同相关部门按照《生成式人工智能服务管理暂行办法》要求，有序开展生成式人工智能服务备案工作，现将已备案信息予以公告。提供具有舆论属性或者社会动员能力的生成式人工智能服务的，可通过属地网信部门履行备案程序，属地网信部门应及时将已备案信息对外公开发布，将在官网定期汇总更

Gartner：CISO应如何看待生成式人工智能的发展

近日，Gartner发布了2024年网络安全重要趋势，推动2024年主要网络安全趋势的因素包括生成式人工智能（GenAI）、持续威胁暴露、第三方风险、隐私驱动的应用和数据解耦和网络安全技能重塑等。