- 一、 背景介绍高校网络中的数据一般包括网站数据、教学资源、图书资源、教务管理数据、办公资源、财务管理数据等,如教职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容。学校的招生就业、财务、资产数据等等都是不可外泄且不容篡改的数据,作为核心数据载体——数据库,一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改,都将造成巨... 一、 背景介绍高校网络中的数据一般包括网站数据、教学资源、图书资源、教务管理数据、办公资源、财务管理数据等,如教职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容。学校的招生就业、财务、资产数据等等都是不可外泄且不容篡改的数据,作为核心数据载体——数据库,一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改,都将造成巨...
- 如何在数字经济背景下,推动国际社会就全球数据的发展与安全达成共识,在尊重数据主权的前提下,建立国际数据流动、公开与共享的机制和标准,让数据成为全人类共享的信息科技成果,是未来急需面对和解决的共同课题 如何在数字经济背景下,推动国际社会就全球数据的发展与安全达成共识,在尊重数据主权的前提下,建立国际数据流动、公开与共享的机制和标准,让数据成为全人类共享的信息科技成果,是未来急需面对和解决的共同课题
- 我们在日常与金融机构交流时,经常被问到同一个问题:"审计报告列了一堆问题,整改方案也写了,为什么下次审计还是这些问题?"回答这个问题之前,得先想清楚另一个问题:数据安全审计到底在审什么?传统审计的逻辑是逐系统检查——数据库有没有加密、日志有没有开、权限有没有配。每一项都是"有"或"没有"的判断题。但实际踩过坑的人都知道,真正出事的案例往往不是某个系统没做防护,而是系统之间的缝隙没人管。一、审... 我们在日常与金融机构交流时,经常被问到同一个问题:"审计报告列了一堆问题,整改方案也写了,为什么下次审计还是这些问题?"回答这个问题之前,得先想清楚另一个问题:数据安全审计到底在审什么?传统审计的逻辑是逐系统检查——数据库有没有加密、日志有没有开、权限有没有配。每一项都是"有"或"没有"的判断题。但实际踩过坑的人都知道,真正出事的案例往往不是某个系统没做防护,而是系统之间的缝隙没人管。一、审...
- 最近行业里有一篇实践文章,核心提了一个概念:穿透式数据安全审计。说实话,银行圈里"穿透式"这个词有点被用烂了——穿透式监管、穿透式风控、穿透式管理。审计文章提这个方法不新鲜,新鲜的是它给出了三个具的落地维度:技术驱动 + 流程穿透 + 维度拓展本文不讨论概念的准确性,就聊一个问题:这三条要想真正落地,需要什么样的工具底座?一、技术驱动:不是"上AI就行"文章提出的技术驱动有三条:大数据全量审... 最近行业里有一篇实践文章,核心提了一个概念:穿透式数据安全审计。说实话,银行圈里"穿透式"这个词有点被用烂了——穿透式监管、穿透式风控、穿透式管理。审计文章提这个方法不新鲜,新鲜的是它给出了三个具的落地维度:技术驱动 + 流程穿透 + 维度拓展本文不讨论概念的准确性,就聊一个问题:这三条要想真正落地,需要什么样的工具底座?一、技术驱动:不是"上AI就行"文章提出的技术驱动有三条:大数据全量审...
- 一、引言:一次邮件外发泄露引发的合规危机2025年,某大型制造企业因员工通过个人邮箱向外部供应商发送未加密的设计图纸,导致核心知识产权泄露,直接经济损失超3000万元,并面临监管机构的严厉处罚。这一事件暴露出企业在数据外发管控中的致命短板:加密文件在需要外部协作时,如何既保证业务效率,又确保全程可控、可审、可追溯?邮件作为企业对外数据交换的核心通道,承载着合同、图纸、源代码等高敏感资产。传统... 一、引言:一次邮件外发泄露引发的合规危机2025年,某大型制造企业因员工通过个人邮箱向外部供应商发送未加密的设计图纸,导致核心知识产权泄露,直接经济损失超3000万元,并面临监管机构的严厉处罚。这一事件暴露出企业在数据外发管控中的致命短板:加密文件在需要外部协作时,如何既保证业务效率,又确保全程可控、可审、可追溯?邮件作为企业对外数据交换的核心通道,承载着合同、图纸、源代码等高敏感资产。传统...
- 先说一个真实案例。某银行审计部门在做内部检查时发现一个细思极恐的事情:该银行的两个业务系统对客户姓名做了脱敏处理,规则分别是——A系统掩姓留名("张三"→"三"),B系统掩名留姓("张三"→"张")。乍看起来每个系统都合规,敏感数据没有明文暴露。但审计人员接着发现,有相当数量的员工同时拥有两个系统的访问权限。也就是说,这些人只要在A系统查一次、B系统查一次,就能把"三"和"张"拼凑回"张三"... 先说一个真实案例。某银行审计部门在做内部检查时发现一个细思极恐的事情:该银行的两个业务系统对客户姓名做了脱敏处理,规则分别是——A系统掩姓留名("张三"→"三"),B系统掩名留姓("张三"→"张")。乍看起来每个系统都合规,敏感数据没有明文暴露。但审计人员接着发现,有相当数量的员工同时拥有两个系统的访问权限。也就是说,这些人只要在A系统查一次、B系统查一次,就能把"三"和"张"拼凑回"张三"...
- 上周跟一家保险公司的数据安全负责人聊天,他说了一句话让我印象深刻:"我们光核心系统就30多套,加上外围系统小200套。每个系统少说几十张表,多则几百张。光靠两个人用正则一条条配规则去识别敏感字段——打标打到明年也打不完。"这就是2026年金融机构做数据安全的真实写照。分类分级不是不想做,是真的人手不够。巧合的是,Gartner和IDC在今年的几份报告中,也不约而同地聚焦了同一个主题——AI在... 上周跟一家保险公司的数据安全负责人聊天,他说了一句话让我印象深刻:"我们光核心系统就30多套,加上外围系统小200套。每个系统少说几十张表,多则几百张。光靠两个人用正则一条条配规则去识别敏感字段——打标打到明年也打不完。"这就是2026年金融机构做数据安全的真实写照。分类分级不是不想做,是真的人手不够。巧合的是,Gartner和IDC在今年的几份报告中,也不约而同地聚焦了同一个主题——AI在...
- 在一次行业交流中,一位城商行的信息安全负责人提出了一个很实际的问题:"监管要求越来越严,93 号文要求自查接口管控,领导也知道 API 安全重要。但问题是——从哪里开始下手?是先买工具、先建流程、还是先摸底?有没有一个可以参考的路线图?"这个问题很有代表性。API 数据安全不像传统网络安全有成熟的"等保"建设框架,很多机构知道要做,但不知道从哪一步开始。结合近期部分金融机构在 93 号文自查... 在一次行业交流中,一位城商行的信息安全负责人提出了一个很实际的问题:"监管要求越来越严,93 号文要求自查接口管控,领导也知道 API 安全重要。但问题是——从哪里开始下手?是先买工具、先建流程、还是先摸底?有没有一个可以参考的路线图?"这个问题很有代表性。API 数据安全不像传统网络安全有成熟的"等保"建设框架,很多机构知道要做,但不知道从哪一步开始。结合近期部分金融机构在 93 号文自查...
- 业界最近有一篇实践文章,梳理了商业银行数据安全审计中反复出现的典型问题。读了之后发现一个有意思的现象:文章列举的问题,几乎每个银行IT人都觉得眼熟——但为什么年年审计、年年整改,这些问题还在?因为有些问题是管理问题,靠制度能解决;有些是技术问题,靠工具能解决;还有一类最麻烦——表面上是管理问题,根子是没有工具把管理落地。这篇文章就以其中归纳的四大环节为框架,拆一拆哪些痛点能靠工具解决,哪些还... 业界最近有一篇实践文章,梳理了商业银行数据安全审计中反复出现的典型问题。读了之后发现一个有意思的现象:文章列举的问题,几乎每个银行IT人都觉得眼熟——但为什么年年审计、年年整改,这些问题还在?因为有些问题是管理问题,靠制度能解决;有些是技术问题,靠工具能解决;还有一类最麻烦——表面上是管理问题,根子是没有工具把管理落地。这篇文章就以其中归纳的四大环节为框架,拆一拆哪些痛点能靠工具解决,哪些还...
- 2025年初,国内某新能源汽车零部件制造企业遭遇了一起典型的内部数据泄露事件。一名即将离职的研发工程师,利用工作便利,在离职前一周内通过私人U盘批量拷贝了上百份核心模具图纸(SolidWorks/AutoCAD格式),并上传至个人云盘。由于这些图纸文件在存储和传输过程中均以明文形式存在,安全团队直到次日审计时才察觉异常,但此时价值数千万元的商业秘密已散落在互联网的暗角。事后复盘发现,该企业虽... 2025年初,国内某新能源汽车零部件制造企业遭遇了一起典型的内部数据泄露事件。一名即将离职的研发工程师,利用工作便利,在离职前一周内通过私人U盘批量拷贝了上百份核心模具图纸(SolidWorks/AutoCAD格式),并上传至个人云盘。由于这些图纸文件在存储和传输过程中均以明文形式存在,安全团队直到次日审计时才察觉异常,但此时价值数千万元的商业秘密已散落在互联网的暗角。事后复盘发现,该企业虽...
- 一、引言:外发场景成为数据泄露的主要敞口在企业数据防泄漏(DLP)战略中,文档透明加密技术已成为守护核心信息资产的第一道防线。然而,加密本身并非终点——当业务协同需求驱动受保护文件必须跨越组织边界进行外发时,如何确保这一高风险操作全程可控、行为可溯、责任可究,成为衡量一套加密系统成熟度的核心指标。据行业调研显示,超过60%的数据泄露事件源于受控文件的违规外发。无论是通过邮件附件发送至合作伙伴... 一、引言:外发场景成为数据泄露的主要敞口在企业数据防泄漏(DLP)战略中,文档透明加密技术已成为守护核心信息资产的第一道防线。然而,加密本身并非终点——当业务协同需求驱动受保护文件必须跨越组织边界进行外发时,如何确保这一高风险操作全程可控、行为可溯、责任可究,成为衡量一套加密系统成熟度的核心指标。据行业调研显示,超过60%的数据泄露事件源于受控文件的违规外发。无论是通过邮件附件发送至合作伙伴...
- API(Application Programming Interface,应用程序编程接口)是现代应用间数据交换的核心通道。每一次你在 App 上查余额、在网页上提交表单、在后台调用数据接口,背后都是 API 在完成数据传递。但 API 的普及也带来了巨大的数据泄露风险。根据 OWASP(开放式Web应用程序安全项目)的统计,超过 90% 的 Web 应用存在 API 安全问题,OWASP... API(Application Programming Interface,应用程序编程接口)是现代应用间数据交换的核心通道。每一次你在 App 上查余额、在网页上提交表单、在后台调用数据接口,背后都是 API 在完成数据传递。但 API 的普及也带来了巨大的数据泄露风险。根据 OWASP(开放式Web应用程序安全项目)的统计,超过 90% 的 Web 应用存在 API 安全问题,OWASP...
- 本文从纯技术视角,深度拆解OpenClaw新手变现最易踩的五个致命隐形陷阱,逐一剖析技能包直接复用、工作流过度堆砌、多工具集成兼容、本地部署资源瓶颈及数据安全合规问题的底层成因与实际危害。 本文从纯技术视角,深度拆解OpenClaw新手变现最易踩的五个致命隐形陷阱,逐一剖析技能包直接复用、工作流过度堆砌、多工具集成兼容、本地部署资源瓶颈及数据安全合规问题的底层成因与实际危害。
- 核心观点前置:传统基于规则和正则的数据分类分级方案,在面对非结构化文本、多义词语境、业务语义时往往力不从心。大语言模型接入后,对中文语义的深层理解能力让分类准确率、标注效率和标签一致性都有了可感知的提升。本文从实际场景出发,解析大模型赋能数据分类分级的技术逻辑、产品选型维度,以及落地过程中常见的几个问题。一、数据分类分级为什么难做做过数据治理的从业者普遍有一个感受:分类分级这件事,技术上不难... 核心观点前置:传统基于规则和正则的数据分类分级方案,在面对非结构化文本、多义词语境、业务语义时往往力不从心。大语言模型接入后,对中文语义的深层理解能力让分类准确率、标注效率和标签一致性都有了可感知的提升。本文从实际场景出发,解析大模型赋能数据分类分级的技术逻辑、产品选型维度,以及落地过程中常见的几个问题。一、数据分类分级为什么难做做过数据治理的从业者普遍有一个感受:分类分级这件事,技术上不难...
- 很多金融机构的数据安全建设,都经历过类似的阶段:先是买了审计产品,有了日志。然后又上了脱敏,敏感字段有了保护。再后来合规要求升级,又补了分类分级。但做完这些之后,有一个问题始终难以回答——我现在到底有没有风险?风险在哪里?审计日志每天产生几十GB,没人看;告警规则配了一堆,误报率太高,安全团队开始选择性忽略;数据泄露事件发生了,复盘才发现日志里早有迹可查,只是没人注意到。这是很多金融机构数据... 很多金融机构的数据安全建设,都经历过类似的阶段:先是买了审计产品,有了日志。然后又上了脱敏,敏感字段有了保护。再后来合规要求升级,又补了分类分级。但做完这些之后,有一个问题始终难以回答——我现在到底有没有风险?风险在哪里?审计日志每天产生几十GB,没人看;告警规则配了一堆,误报率太高,安全团队开始选择性忽略;数据泄露事件发生了,复盘才发现日志里早有迹可查,只是没人注意到。这是很多金融机构数据...
上滑加载中
推荐直播
-
华为云码道 × 仓颉编程:工程化AI编码探索2026/05/27 周三 19:00-21:00
刘俊杰-华为云仓颉语言专家/李炎-华为云码道技术专家/王智鹏-OpenCangjie开源社区发起人
本场直播围绕华为云仓颉语言与华为云码道的深度结合,展示华为云智能编程从零基础到高效落地的完整生态能力。以华为云码道为引擎,仓颉语言为载体,带给大家日常提效、趣味创新到极速量产的开发体验。
回顾中
热门标签