企业安全建设之搭建开源SIEM平台(上)

本文原创作者:兜哥,本文属FreeBuf原创奖励计划,未经许可禁止转载 

前言

SIEM(security information and event management),顾名思义就是针对安全信息和事件的管理系统,针对大多数企业是不便宜的安全系统,本文结合作者的经验介绍下如何使用开源软件搭建企业的SIEM系统,数据深度分析在下篇。

SIEM的发展

对比Gartner2009年和2016年的全球SIEM厂商排名,可以清楚看出,基于大数据架构的厂商Splunk迅速崛起,传统四强依托完整的安全产品线和成熟市场渠道,依然占据领导者象限,其他较小的厂商逐渐离开领导者象限。最重要的存储架构也由盘柜(可选)+商业数据库逐渐转变为可横向扩展的大数据架构,支持云环境也成为趋势。

1.png

2.jpg

开源SIEM领域,比较典型的就是ossim和Opensoc,ossim存储架构是mysql,支持多种日志格式,包括鼎鼎大名的Snort、Nmap、 Nessus以及Ntop等,对于数据规模不大的情况是个不错的选择,新版界面很酷炫。

3.png

完整的SIEM至少会包括以下功能:

  • 漏洞管理
  • 资产发现
  • 入侵检测
  • 行为分析
  • 日志存储、检索
  • 报警管理
  • 酷炫报表

其中最核心的我认为是入侵检测、行为分析和日志存储检索,本文重点集中讨论支撑上面三个功能的技术架构。

Opensoc简介

Opensoc是思科2014年在BroCon大会上公布的开源项目,但是没有真正开源其源代码,只是发布了其技术框架。我们参考了Opensoc发布的架构,结合公司实际落地了一套方案。Opensoc完全基于开源的大数据框架kafka、storm、spark和es等,天生具有强大的横向扩展能力,本文重点讲解的也是基于Opensoc的siem搭建。

4.png

上图是Opensoc给出的框架,初次看非常费解,我们以数据存储与数据处理两个纬度来细化,以常见的linux服务器ssh登录日志搜集为例。

数据搜集纬度

数据搜集纬度需求是搜集原始数据,存储,提供用户交互式检索的UI接口,典型场景就是出现安全事件后,通过检索日志回溯攻击行为,定损。

11.png

logtash其实可以直接把数据写es,但是考虑到storm也要数据处理,所以把数据切分放到logstash,切分后的数据发送kafka,提供给storm处理和logstash写入es。数据检索可以直接使用kibana,非常方便。数据切分也可以在storm里面完成。这个就是大名鼎鼎的ELK架构。es比较适合存储较短时间的热数据的实时检索查询,对于需要长期存储,并且希望使用hadoop或者spark进行大时间跨度的离线分析时,还需要存储到hdfs上,所以比较常见的数据流程图为:

6.png

数据处理纬度

这里以数据实时流式处理为例,storm从kafka中订阅切分过的ssh登录日志,匹配检测规则,检测结果的写入mysql或者es。

12.png

在这个例子中,孤立看一条登录日志难以识别安全问题,最多识别非跳板机登录,真正运行还需要参考知识库中的常见登录IP、时间、IP情报等以及临时存储处理状态的状态库中最近该IP的登录成功与失败情况。比较接近实际运行情况的流程如下:

14.png

具体判断逻辑举例如下,实际中使用大量代理IP同时暴力破解,打一枪换一个地方那种无法覆盖,这里只是个举例:

9.png

扩展数据源

生产环境中,处理安全事件,分析入侵行为,只有ssh登录日志肯定是不够,我们需要尽可能多的搜集数据源,以下作为参考:

  • linux/window系统安全日志/操作日志
  • web服务器访问日志
  • 数据库SQL日志
  • 网络流量日志

简化后的系统架构如下,报警也存es主要是查看报警也可以通过kibana,人力不足界面都不用开发了:

10.png

storm拓扑

storm拓扑支持python开发,以处理SQL日志为例子:

假设SQL日志的格式

"Feb 16 06:32:50 "	"127.0.0.1" "[email protected]" "select  from user where id=1"

一般storm的拓扑结构

截图.png

简化后spout是通用的从kafka读取数据的,就一个bolt处理SQL日志,匹配规则,命中策略即输出”alert”:”原始SQL日志”

核心bolt代码doSQLCheckBolt伪码

import storm

class doSQLCheckBolt(storm.BasicBolt):
    def process(self, tup):
        words = tup.values[0].split(" ")
         sql = word[3]
        if re.match(规则,sql):
            storm.emit(["sqli",tup.values[0]])

doSQLCheckBolt().run()
TopologyBuilder builder = new TopologyBuilder();        
builder.setSpout("sqlLog", new kafkaSpout(), 10);        
builder.setBolt("sqliAlert", new doSQLCheckBolt(), 3)
        .shuffleGrouping("sqlLog");

拓扑提交示例

Config conf = new Config();
conf.setDebug(true);
conf.setNumWorkers(2);

LocalCluster cluster = new LocalCluster();
cluster.submitTopology("doSQL", conf, builder.createTopology());
Utils.sleep(10000);
cluster.killTopology("doSQL");
cluster.shutdown();

logstash

在本文环节中,logstash的配置量甚至超过了storm的拓扑脚本开发量,下面讲下比较重点的几个点,切割日志与检索需求有关系,非常个性化,这里就不展开了。

从文件读取

input
    file {
        path => ["/var/log/.log", "/var/log/message"]
        type => "system"
        start_position => "beginning"
    }
}

从kafka中订阅

input {
    kafka {
        zk_connect => "localhost:2181"
        group_id => "logstash"
        topic_id => "test"
        reset_beginning => false # boolean (optional), default: false
        consumer_threads => 5  # number (optional), default: 1
        decorate_events => true # boolean (optional), default: false
        }
    }

写kafka

output {
    kafka {
        broker_list => "localhost:9092"
        topic_id => "test"
        compression_codec => "snappy" # string (optional), one of ["none", "gzip", "snappy"], default: "none"
    }
}

写hdfs

output {
    hadoop_webhdfs {
        workers => 2
        server => "localhost:14000"
        user => "flume"
        path => "/user/flume/logstash/dt=%{+Y}-%{+M}-%{+d}/logstash-%{+H}.log"
        flush_size => 500
        compress => "snappy"
        idle_flush_time => 10
        retry_interval => 0.5
    }
}

写es

output {
    elasticsearch {
        host => "localhost"
        protocol => "http"
        index => "logstash-%{type}-%{+YYYY.MM.dd}"
        index_type => "%{type}"
        workers => 5
        template_overwrite => true
    }
}

后记

如何在离线数据中,通过行为分析和攻击建模识别出深入的入侵行为呢?请看下篇。

本文原创作者:兜哥,本文属FreeBuf原创奖励计划,未经许可禁止转载 

信息安全意识教育案例之商业黑客参与搜索引擎专利大战

猜您喜欢

浙江海利得新材料股份有限公司2016年度业绩快报
珠江啤酒#8211;分析 内附大盘分析 http://www.isvoc.com/201702231450.html
信息安全意识教育案例之商业黑客参与搜索引擎专利大战
企业安全歌,唱红中国,唱响全球
PEPALO USEDCARSPHOENIXARIZONA
后PC时代的安全管理软件前景分析
北京市食品药品监督管理局关于2017年食品安全监督抽检信息的公…

小邮课堂┃关注支付安全,慎设账户密码

网络语言是建构者还是入侵者?

确实要更解用户使用密码的苦恼,设定密码策略和告知用户不难,难在生成方便记忆、各不相同而且高复杂度的密码。

日本一少年因非法入侵学生成绩管理系统再次被捕

由于目前某些网站的安全防护能力较弱,容易遭到黑客攻击,从而导致注册用户的信息泄露。同时,如客户的支付账户设置了相同的用户名和密码,则极易被盗用。
1、对于支付账户的登陆密码、消费密码应与一般网站登录密码区别设置,并养成定期更改密码的习惯,防止因其他网站信息泄露而造成支付账户的资金损失。
2、网络支付相对POS消费等传统用卡渠道,存在交易场景虚拟化,验证强度相对较弱等特点,因此主要定位于小额支付。建议客户根据自身情况设置合理的单笔与单日交易限额,防止发生大额盗刷。
3、开通短信提醒服务,可及时掌握账户动态信息,避免发生连续盗刷。

炉石宕机运维警示 云和恩墨Bethune助力安全

挖角泄密纠纷 高德诉滴滴索赔7000万元

微信扫一扫关注该公众号

业务持续性计划越来越受到全球大型商业组织的重视,业务越来越依赖信息系统,业务影响分析、风险分析、灾难恢复、紧急响应、危机管理、高可用性、备份等等机制考验着未来的组织管理层。

猜您喜欢

时代●文化●信息安全
电脑开着,人却不见了
网络安全公益短片防范移动僵尸网络
进名校、回头看、机动式 中央新一轮巡视开启
EINFACH-SCHNELL-GESUND-KOCHEN FLHEALTHSOURCE
信息安全意识公开课提升国民网络素养

Telecommunications fraud report credit card fraud alarm QQ

绥化市食药监管局多措并举强化农村聚餐场所食品安全监管

政府官员和军方人士的个人信息是网络犯罪分子的主要窃取目标,因为这类信息可以被用于对存有机密文件的电脑发动有针对性的攻击。
保密讲堂第一弹:准确定密并正确标识国家秘密
立警为民【QQ:857543110】北京网警总部为您追回资金【QQ:857543110】严厉打击网络诈骗,24小时为您服务。全力为您追回被骗财物,维护公民利益!。 .
Legislative police for the people [QQ:857543110] Beijing police headquarters for you to recover funds [QQ:857543110] to crack down on network fraud, 24 hours to serve you. For you to recover the stolen property, safeguard the interests of citizens!. .

青岛信用社会体系规划:力争2020年信用机构达30家

微信扫一扫关注该公众号

浙江舟山严查学生信息泄露,教育局:已要求学校强化保密意识

Sweep the concern of the public, WeChat

除非确认消息是安全无毒的,否则一律将电子邮件附件、社交网站链接和网站上的可下载文件视同病毒处理,立即删除。

猜您喜欢

俄媒:特朗普对华政策将基本符合学者建议
终端用户保障数据安全从何处入手
环境Environment、健康Health、安全Safety在线动画教程
美35位精神科医生发公开信:特朗普有精神病
PROVENCE-PLAISIRS NIC-FAB
互联网金融行业信息安全意识

超声波追踪技术可以暴露Tor用户的真实信息(去匿名化,含视频)

Clipboard Image.png

很多广告商会在自己的网页广告中使用一种名叫uXDT的技术,这项技术可以帮助他们追踪用户的访问习惯,这样就可以更有针对性地向用户投放广告了。此时,攻击者就可以在一个Web页面中嵌入能够发出超声波的广告或JavaScript代码,当Tor用户使用Tor浏览器访问这个页面时,他就可以利用附近的手机或电脑来劫持目标设备向广告商发送识别信标来获取到包含用户敏感信息的数据了。

这种攻击模型是一个由六名研究人员组成的团队研发出来的,并在2016年底发布了出来。据了解,他们还在2016年的Black Hat黑客大会第33届混沌通信大会上演示了这种攻击技术。

基于超声波跨设备追踪技术(uXDT)的攻击模型

他们的研究主要集中在超声波跨设备追踪技术(uXDT)之上,而现代广告平台在2014年左右就已经开始使用这项新技术了。

uXDT技术实现的基础是广告商隐藏于广告中的超声波信号。当广告在电视或广播中播放时,或者是广告代码在移动设备或计算机中运行时,它会发射出超声波信号,而这些信号可以被附近配备了麦克风的笔记本电脑、台式电脑、平板电脑或手机所捕获。这些设备在监听到超声波信号之后,可以解析出其中包含的隐藏指令,然后再根据广告商服务器所返回的数据来提取出目标设备的相关信息。

广告商之所以要使用uXDT技术,主要是为了将不同的设备与同一用户联系起来,了解用户的习惯,并向用户投放更加合适的广告。

的确可以用超声波来对Tor用户进行去匿名化

该团队的其中一位研究人员名叫Vasilios Mavroudis,他在前段时间举行的第33届混沌通信大会上对这种针对Tor用户的去匿名化攻击进行了详细的描述,其中涉及到了Tor用户的真实IP以及其他的一些敏感数据。

这项攻击技术需要欺骗Tor用户去点击访问一个特制的页面,这个页面中包含有能够发射超声波信号的广告或JavaScript代码,而这些广告和JS代码可以命令浏览器通过HTML5的音频API来发射出超声波。

如果Tor用户的手机在旁边,并且手机中安装有特定App的话,那么他的手机将会与一个或多个广告商服务器进行通信,并向服务器发送设备的详细信息。此时,广告商就可以专门为用户量身定制广告,并将用户的电脑和手机联系起来。

根据Mavroudis的描述,移动设备中必须安装一款嵌入了广告SDK的app,且SDK必须支持uXDT。

这也就意味着,情报机构只需要一纸禁令,就可以从广告商那里得到用户的真实身份和其他的详细信息。

Clipboard Image.png

在Mavroudis所进行的测试过程中,研究人员在对他们所截获的超声波信号进行了解析之后,从中获取到了大量的用户信息,其中包括用户的真实IP地址、地理位置坐标、电话号码、AndroidID、设备IMEI码、以及设备的MAC地址等等。

发动这种攻击的方法不止一种

根据Mavroudis的描述,除了利用社会工程学技术来欺骗Tor用户访问特定的URL之外,我们还有很多种方法可以发动这种攻击。

研究人员表示,攻击者可以利用XSS漏洞来向包含XSS漏洞的网站中注入恶意JavaScript代码。同样的,攻击者也可以搭建一个恶意的Tor结点来进行中间人攻击,然后通过注入恶意代码来强制触发所有流经这个Tor伪节点的Tor流量中的uDXT信标。

还有一种更加简单的方法,就是将负责发射超声波的恶意代码注入至一些Tor用户可能会打开的视频或音频文件中,人耳是无法听见超声波的,所以用户根本就不会觉察到任何的异常。

美国联邦调查局肯定会对这种攻击方法非常感兴趣,因为他们可以用这项技术来追踪那些使用Tor网络来观看儿童色情视频的人,就像当初他们在调查Playpen案件时一样,只不过当时他们利用的是一个AdobeFlash漏洞。

针对uXDT攻击的缓解方案

目前相关部门还没有针对uXDT出台任何的监管条例。目前,FTC公司的安全研究人员正在对uXDT广告的影响进行评估。与此同时,该团队也给我们提供了一系列能够限制这种攻击的缓解方案。

首先,该团队开发出了一款名叫SilverDog的Chrome浏览器插件,该插件可以对浏览器所要播放的HTML5音频文件进行过滤,并去除其中可能存在的超声波。

遗憾的是,如果用户使用的是FlashPlayer,并且回放音频文件的话,这款插件就失效了,而且它也无法保证Tor浏览器的用户,因为Tor浏览器是基于Firefox的。

Clipboard Image.png

除此之外,研究人员也提出了一种新型的Android权限检测机制,用户也许可以通过对AndroidApp进行权限检查来发现那些可能会发射超声波的App。

Clipboard Image.png

从长远的角度来看,该研究团队认为有关部门应该针对这种超声波广告信标专门制定出一种行业化标准,并且开发出一款可以检测和管理超声波信标的系统层API。除此之外,研究团队在几个月前就已经将相关信息告知了Tor项目组,希望Tor开发者们可以尽快解决这个问题。

下面就是Mavroudis在第33届混沌通信大会上的演讲视频:

参考来源:bleepingcomputer, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

射洪县国税局举办网络信息安全专题培训

猜您喜欢

高合规要求行业切勿匆匆上马虚拟化大数据和云计算
我国网络犯罪已占犯罪总数的1/3 http://news.chinacybersecurity.org/201702171736.html
《信息基础设施三年行动方案》发布,安全防护如何并行?
信息安全爱好者特别是无线网络渗透测试人员、白帽黑客、安卓和苹果应用开发者,如何通过移动设备来控制他人呢?
TOTEMKER VICNAPIER
小白电商用户战胜窃贼的高招
ISMS实施过程中常见的困惑与应对

全球首艘黑客邮轮起锚在即,你够实力上船吗?

从特斯拉到无人机,从物联网到人工智能,全球首个关注智能生活的安全极客大赛GeekPwn(极棒)现场总是上演着令人应接不暇的智慧碰撞。

 518833987389487468.jpg

2017年GeekPwn年中赛将于5月12日-14日在香港“云顶梦号”邮轮举行,此次背负“全球首艘黑客邮轮”名号的来自首个亚洲本土豪华邮轮品牌星梦邮轮旗下,乘载挑战、突破、创新的极客精神,开启史上最酷炫的黑客狂欢。

破译智能生活的DNA:选手报名启动

“无所不PWN”的GeekPwn从不限制参赛极客的脑洞,与PWN2OWN等黑客比赛,GeekPwn接受一切被发现的智能领域漏洞。

如果你能在合理条件下针对市场在售的任何智能设备、物联网(IoT)产品或其中的安全模块实施越权控制、越权访问或者突破其原有的安全机制;

如果你可以对已发布的人工智能(AI)服务或产品进行误导、欺骗,让它们产生错误或者违反规则的判断,就可以报名参加!

报名地址https://wj.qq.com/s/945354/079f(中文)

此次极棒年中赛初始奖金高达500万人民币,单项最高奖金则有80万元。选手报名截止时间为4月12日,据悉,成功入围极棒香港站的选手都能免费得到价值千元的邮轮船票。

回顾过去三年的GeekPwn,来自中国、美国、俄罗斯、塞内加尔、新加坡等国际顶级黑客曾登上极棒的舞台,GeekPwn负责任披露了近百高危安全漏洞。想了解更多,可以登录极棒官方名人堂页面查看历史选手(hof.geekpwn.org)

唯极客无止境:推荐报名,赢取船票

目前,极棒官网仅开放了选手报名通道,观众购票入口会在后续开通,我们会持续关注

FreeBuf还了解,除了报名和购票之外,大家还可以通过推荐选手赢取免费船票。规则如下:

4月12日选手报名截止前,填写“选手推荐表格https://wj.qq.com/s/1092033/6f3b

只要被推荐的项目入围,你就有机会获得免费的邮轮船票;

只要被推荐的项目入围,你就有机会获得免费的邮轮船票。

黑客邮轮,极客起航

由碁震(KEEN)公司创办的GeekPwn(极棒)大赛为中国黑客架起了一座与国际顶尖人才对话的桥梁,为奇思妙想的极客提供更广阔的舞台和发展机会,使尖端技术得以分享,始终引领着技术革新的潮流。

824222926263197347.jpg

公司内部信息安全管理需要实干精神

猜您喜欢

兰州消防联合省监狱管理局开展消防安全培训 https://119.china.com.cn/xfxc/txt/2016-08/24/content_8985493.htm
『中银传媒旷实团队』传媒互联网行业日报(2.16):浙报传媒拟向控股股东出售旗下新闻类资产,网易2016年营收382亿元 http://www.isvoc.com/2017021739.html
海尔快捷通打造安全防护铜墙铁壁
EHS专员想都不敢想的EHS动画教程
TOTALTRAINING FASTCOSTARICAFINANCE
信息安全主管如何带领下属实施短信认证
传感器:未来信息安全又一主战场 不容忽视

法律法规科学技术保密规定

(2015年 11 月 16 日科学技术部、国家保密局发布科学技术部、国家保密局令第16号)
第一章 总则
第一条为保障国家科学技术秘密安全,促进科学技术事业发展,根据《中华人民共和国保守国家秘密法》《中华人民共和国科学技术进步法》和《中华人民共和国保守国家秘密法实施条例》,制定本规定。
第二条本规定所称国家科学技术秘密,是指科学技术规划、计划、项目及成果中,关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
第三条涉及国家科学技术秘密的国家机关、单位(以下简称机关、单位)以及个人开展保守国家科学技术秘密的工作(以下简称科学技术保密工作),适用本规定。
第四条科学技术保密工作坚持积极防范、突出重点、依法管理的方针,既保障国家科学技术秘密安全,又促进科学技术发展。
第五条科学技术保密工作应当与科学技术管理工作相结合,同步规划、部署、落实、检查、总结和考核,实行全程管理。
第六条国家科学技术行政管理部门管理全国的科学技术保密工作。省、自治区、直辖市科学技术行政管理部门管理本行政区域的科学技术保密工作。
中央国家机关在其职责范围内,管理或者指导本行业、本系统的科学技术保密工作。
第七条国家保密行政管理部门依法对全国的科学技术保密工作进行指导、监督和检查。县级以上地方各级保密行政管理部门依法对本行政区域的科学技术保密工作进行指导、监督和检查。
第八条机关、单位应当实行科学技术保密工作责任制,健全科学技术保密管理制度,完善科学技术保密防护措施,开展科学技术保密宣传教育,加强科学技术保密检查。
第二章 国家科学技术秘密的范围和密级

第九条关系国家安全和利益,泄露后可能造成下列后果之一的科学技术事项,应当确定为国家科学技术秘密:
(一)削弱国家防御和治安能力;
网银风险多来自客户端,应对模仿的钓鱼网站和社交工程诈骗攻击,网银安全方案及终端安全技术几乎帮不上忙。教育人们网银黑客的惯用伎俩,提升人们的安全防范意识,方能培养好的安全使用习惯。
(二)降低国家科学技术国际竞争力;
(三)制约国民经济和社会长远发展;
(四)损害国家声誉、权益和对外关系。
国家科学技术秘密及其密级的具体范围(以下简称国家科学技术保密事项范围),由国家保密行政管理部门会同国家科学技术行政管理部门另行制定。
第十条国家科学技术秘密的密级分为绝密、机密和秘密三级。国家科学技术秘密密级应当根据泄露后可能对国家安全和利益造成的损害程度确定。
除泄露后会给国家安全和利益带来特别严重损害的外,科学技术原则上不确定为绝密级国家科学技术秘密。
第十一条有下列情形之一的科学技术事项,不得确定为国家科学技术秘密:

Rumuki应用能够让性爱录像带泄露事件不再发生

(一)国内外已经公开;
(二)难以采取有效措施控制知悉范围;
(三)无国际竞争力且不涉及国家防御和治安能力;
(四)已经流传或者受自然条件制约的传统工艺。
第三章 国家科学技术秘密的确定、变更和解除
第十二条中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家科学技术秘密;设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级、秘密级国家科学技术秘密。
第十三条国家科学技术秘密定密授权应当符合国家秘密定密管理的有关规定。中央国家机关作出的国家科学技术秘密定密授权,应当向国家科学技术行政管理部门和国家保密行政管理部门备案。省级机关,设区的市、自治州一级的机关作出的国家科学技术秘密定密授权,应当向省、自治区、直辖市科学技术行政管理部门和保密行政管理部门备案。
第十四条机关、单位负责人及其指定的人员为国家科学技术秘密的定密责任人,负责本机关、本单位的国家科学技术秘密确定、变更和解除工作。
第十五条机关、单位和个人产生需要确定为国家科学技术秘密的科学技术事项时,应当先行采取保密措施,并依照下列途径进行定密:
(一)属于本规定第十二条规定的机关、单位,根据定密权限自行定密;
(二)不属于本规定第十二条规定的机关、单位,向有相应定密权限的上级机关、单位提请定密;没有上级机关、单位的,向有相应定密权限的业务主管部门提请定密;没有业务主管部门的,向所在省、自治区、直辖市科学技术行政管理部门提请定密;
(三)个人完成的符合本规定第九条规定的科学技术成果,应当经过评价、检测并确定成熟、可靠后,向所在省、自治区、直辖市科学技术行政管理部门提请定密。
第十六条实行市场准入管理的技术或者实行市场准入管理的产品涉及的科学技术事项需要确定为国家科学技术秘密的,向批准准入的国务院有关主管部门提请定密。
第十七条机关、单位在科学技术管理的以下环节,应当及时做好定密工作:
(一)编制科学技术规划;
(二)制定科学技术计划;
(三)科学技术项目立项;
(四)科学技术成果评价与鉴定;
(五)科学技术项目验收。
第十八条确定国家科学技术秘密,应当同时确定其名称、密级、保密期限、保密要点和知悉范围。
第十九条国家科学技术秘密保密要点是指必须确保安全的核心事项或者信息,主要涉及以下内容:
(一)不宜公开的国家科学技术发展战略、方针、政策、专项计划;
(二)涉密项目研制目标、路线和过程;
(三)敏感领域资源、物种、物品、数据和信息;
(四)关键技术诀窍、参数和工艺;
(五)科学技术成果涉密应用方向;
(六)其他泄露后会损害国家安全和利益的核心信息。
第二十条国家科学技术秘密有下列情形之一的,应当及时变更密级、保密期限或者知悉范围:
(一)定密时所依据的法律法规或者国家科学技术保密事项范围已经发生变化的;
(二)泄露后对国家安全和利益的损害程度会发生明显变化的。
国家科学技术秘密的变更,由原定密机关、单位决定,也可由其上级机关、单位决定。
第二十一条国家科学技术秘密的具体保密期限届满、解密时间已到或者符合解密条件的,自行解密。出现下列情形之一时,应当提前解密:
(一)已经扩散且无法采取补救措施的;
(二)法律法规或者国家科学技术保密事项范围调整后,不再属于国家科学技术秘密的;
(三)公开后不会损害国家安全和利益的。
提前解密由原定密机关、单位决定,也可由其上级机关、单位决定。
第二十二条国家科学技术秘密需要延长保密期限的,应当在原保密期限届满前作出决定并书面通知原知悉范围内的机关、单位或者人员。延长保密期限由原定密机关、单位决定,也可由其上级机关、单位决定。
第二十三条国家科学技术秘密确定、变更和解除应当进行备案:
(一)省、自治区、直辖市科学技术行政管理部门和中央国家机关有关部门每年12月31日前将本行政区域或者本部门当年确定、变更和解除的国家科学技术秘密情况报国家科学技术行政管理部门备案;
(二)其他机关、单位确定、变更和解除的国家科学技术秘密,应当在确定、变更、解除后20个工作日内报同级政府科学技术行政管理部门备案。
第二十四条科学技术行政管理部门发现机关、单位国家科学技术秘密确定、变更和解除不当的,应当及时通知其纠正。
第二十五条机关、单位对已定密事项是否属于国家科学技术秘密或者属于何种密级有不同意见的,按照国家有关保密规定解决。
第四章国家科学技术秘密保密管理
第二十六条国家科学技术行政管理部门管理全国的科学技术保密工作。主要职责如下:
(一)制定或者会同有关部门制定科学技术保密规章制度;
(二)指导和管理国家科学技术秘密定密工作;
(三)按规定审查涉外国家科学技术秘密事项;
(四)检查全国科学技术保密工作,协助国家保密行政管理部门查处泄露国家科学技术秘密案件;
(五)组织开展科学技术保密宣传教育和培训;
(六)表彰全国科学技术保密工作先进集体和个人。
国家科学技术行政管理部门设立国家科技保密办公室,负责国家科学技术保密管理的日常工作。
第二十七条省、自治区、直辖市科学技术行政管理部门和中央国家机关有关部门,应当设立或者指定专门机构管理科学技术保密工作。主要职责如下:
(一)贯彻执行国家科学技术保密工作方针、政策,制定本行政区域、本部门或者本系统的科学技术保密规章制度;
(二)指导和管理本行政区域、本部门或者本系统的国家科学技术秘密定密工作;
(三)按规定审查涉外国家科学技术秘密事项;
(四)监督检查本行政区域、本部门或者本系统的科学技术保密工作,协助保密行政管理部门查处泄露国家科学技术秘密案件;
(五)组织开展本行政区域、本部门或者本系统科学技术保密宣传教育和培训;
(六)表彰本行政区域、本部门或者本系统的科学技术保密工作先进集体和个人。
第二十八条机关、单位管理本机关、本单位的科学技术保密工作。主要职责如下:
(一)建立健全科学技术保密管理制度;
(二)设立或者指定专门机构管理科学技术保密工作;
(三)依法开展国家科学技术秘密定密工作,管理涉密科学技术活动、项目及成果;
(四)确定涉及国家科学技术秘密的人员(以下简称涉密人员),并加强对涉密人员的保密宣传、教育培训和监督管理;
(五)加强计算机及信息系统、涉密载体和涉密会议活动保密管理,严格对外科学技术交流合作和信息公开保密审查;
(六)发生资产重组、单位变更等影响国家科学技术秘密管理的事项时,及时向上级机关或者业务主管部门报告。
第二十九条涉密人员应当遵守以下保密要求:
(一)严格执行国家科学技术保密法律法规和规章以及本机关、本单位科学技术保密制度;
(二)接受科学技术保密教育培训和监督检查;
(三)产生涉密科学技术事项时,先行采取保密措施,按规定提请定密,并及时向本机关、本单位科学技术保密管理机构报告;
(四)参加对外科学技术交流合作与涉外商务活动前向本机关、本单位科学技术保密管理机构报告;
(五)发表论文、申请专利、参加学术交流等公开行为前按规定履行保密审查手续;
(六)发现国家科学技术秘密正在泄露或者可能泄露时,立即采取补救措施,并向本机关、本单位科学技术保密管理机构报告;
(七)离岗离职时,与机关、单位签订保密协议,接受脱密期保密管理,严格保守国家科学技术秘密。
第三十条机关、单位和个人在下列科学技术合作与交流活动中,不得涉及国家科学技术秘密:
(一)进行公开的科学技术讲学、进修、考察、合作研究等活动;
(二)利用互联网及其他公共信息网络、广播、电影、电视以及公开发行的报刊、书籍、图文资料和声像制品进行宣传、报道或者发表论文;
(三)进行公开的科学技术展览和展示等活动。
第三十一条机关、单位和个人应当加强国家科学技术秘密信息保密管理,存储、处理国家科学技术秘密信息应当符合国家保密规定。任何机关、单位和个人不得有下列行为:
(一)非法获取、持有、复制、记录、存储国家科学技术秘密信息;
(二)使用非涉密计算机、非涉密存储设备存储、处理国家科学技术秘密;
(三)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家科学技术秘密信息;
(四)通过普通邮政、快递等无保密措施的渠道传递国家科学技术秘密信息;
(五)在私人交往和通信中涉及国家科学技术秘密信息;
(六)其他违反国家保密规定的行为。
第三十二条对外科学技术交流与合作中需要提供国家科学技术秘密的,应当经过批准,并与对方签订保密协议。绝密级国家科学技术秘密原则上不得对外提供,确需提供的,应当经中央国家机关有关主管部门同意后,报国家科学技术行政管理部门批准;机密级国家科学技术秘密对外提供应当报中央国家机关有关主管部门批准;秘密级国家科学技术秘密对外提供应当报中央国家机关有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准。
有关主管部门批准对外提供国家科学技术秘密的,应当在10个工作日内向同级政府科学技术行政管理部门备案。
第三十三条机关、单位开展涉密科学技术活动的,应当指定专人负责保密工作、明确保密纪律和要求,并加强以下方面保密管理:
(一)研究、制定涉密科学技术规划应当制定保密工作方案,签订保密责任书;
(二)组织实施涉密科学技术计划应当制定保密制度;
(三)举办涉密科学技术会议或者组织开展涉密科学技术展览、展示应当采取必要的保密管理措施,在符合保密要求的场所进行;
(四)涉密科学技术活动进行公开宣传报道前应当进行保密审查。
第三十四条涉密科学技术项目应当按照以下要求加强保密管理:
(一)涉密科学技术项目在指南发布、项目申报、专家评审、立项批复、项目实施、结题验收、成果评价、转化应用及科学技术奖励各个环节应当建立保密制度;
(二)涉密科学技术项目下达单位与承担单位、承担单位与项目负责人、项目负责人与参研人员之间应当签订保密责任书;
(三)涉密科学技术项目的文件、资料及其他载体应当指定专人负责管理并建立台账;

Akamai变革远程应用程序访问规则 提供安全方便的企业级应用程…

(四)涉密科学技术项目进行对外科学技术交流与合作、宣传展示、发表论文、申请专利等,承担单位应当提前进行保密审查;
(五)涉密科学技术项目原则上不得聘用境外人员,确需聘用境外人员的,承担单位应当按规定报批。
第三十五条涉密科学技术成果应当按以下要求加强保密管理:
(一)涉密科学技术成果在境内转让或者推广应用,应当报原定密机关、单位批准,并与受让方签订保密协议;
(二)涉密科学技术成果向境外出口,利用涉密科学技术成果在境外开办企业,在境内与外资、外企合作,应当按照本规定第三十二条规定报有关主管部门批准。
第三十六条机关、单位应当按照国家规定,做好国家科学技术秘密档案归档和保密管理工作。
第三十七条机关、单位应当为科学技术保密工作提供经费、人员和其他必要的保障条件。国家科学技术行政管理部门,省、自治区、直辖市科学技术行政管理部门应当将科学技术保密工作经费纳入部门预算。
第三十八条机关、单位应当保障涉密人员正当合法权益。对参与国家科学技术秘密研制的科技人员,有关机关、单位不得因其成果不宜公开发表、交流、推广而影响其评奖、表彰和职称评定。
对确因保密原因不能在公开刊物上发表的论文,有关机关、单位应当对论文的实际水平给予客观、公正评价。
第三十九条国家科学技术秘密申请知识产权保护应当遵守以下规定:
(一)绝密级国家科学技术秘密不得申请普通专利或者保密专利;
(二)机密级、秘密级国家科学技术秘密经原定密机关、单位批准可申请保密专利;
(三)机密级、秘密级国家科学技术秘密申请普通专利或者由保密专利转为普通专利的,应当先行办理解密手续。

舟山学生信息泄露 教育局副局长:2000多人不算多

第四十条机关、单位对在科学技术保密工作方面作出贡献、成绩突出的集体和个人,应当给予表彰;对于违反科学技术保密规定的,给予批评教育;对于情节严重,给国家安全和利益造成损害的,应当依照有关法律、法规给予有关责任人员处分,构成犯罪的,依法追究刑事责任。
第五章 附则
第四十一条涉及国防科学技术的保密管理,按有关部门规定执行。
第四十二条本规定由科学技术部和国家保密局负责解释。
第四十三条本规定自公布之日起施行,1995年颁布的《科学技术保密规定》(国家科学技术委员会、国家保密局令第20号)同时废止。
微信扫一扫关注该公众号

互联网金融“宝宝们”的信息安全敌手并非黑客
不能否认的是大多数安全事件都和内部员工有一定的关联,不管是故意的还是无意的。

猜您喜欢

华南师范大学附属中学教育集团 为了创新拔尖人才的成长
保密第一课
中国企业如何与海外环境及当地的民族文化融合,海外安全知识:
黄晓明Baby铜像曝光按婚纱照等比例缩放
BHN RAMPFARM
大型企业开始改造整个信息安全架构以适应新变化

Xin Hai customs actively participate in cross-border electricity supplier WCO meeting

1月23日至25日,世界海关组织跨境电商研讨会在比利时布鲁塞尔召开。欣海报关作为IFCBA的代表参加了此次会议。此次会议有88名来自全球的代表参会,分别为海关代表、协会代表、企业代表。中国代表为驻欧盟使团的邵伟坚、阿里巴巴国际事务总监徐菁、一达通副总肖锋、欣海报关副总汪敏。
January 23rd to 25, the World Customs Organization cross-border electricity supplier seminar held in Brussels, belgium. Xin Hai customs declaration as a representative of IFCBA attended the meeting. The meeting was attended by 88 representatives from around the world, respectively, customs representatives, representatives of the association, business representatives. China representative mission to the European Union’s Shao Weijian Alibaba, director of international affairs Xu Jing, a deputy general Xiao Feng, deputy director Wang Min Xin sea customs.
此次会议共分为四个小组,分别探讨跨境电商的4个话题
The meeting was divided into four groups, respectively, to explore the cross-border electricity supplier of the 4 topics

男子脚踝藏刀欲躲过安检 被取消乘机资格

1)贸易的便利化和流程的简化,
1 trade facilitation and simplification of processes,
打出血性,广州证券队主场战胜江苏同曦创2连胜

数据泄露愈演愈烈 千万邮箱信息流入黑市

2)货物安全和运输安全;
2) safety and safety of goods;
3)税收征管;
3) tax collection;
4)统计和分析。
4) statistics and analysis.
经过两天的讨论,各小组在25日报告了研讨成果,在以下几点上达成共识:
After two days of discussion, the team reported on the results of the study on the 25, reached consensus on the following points:
1)跨境电商的模式定义为B2C模式和C2C模式;
1 cross-border electricity supplier model is defined as B2C mode and C2C mode;
2)目前各国海关监管所面临的挑战有个人包裹数量巨大,海关监管资源有限,通关实效性问题,税收问题,以及贸易参与方的监管问题;同时,最低关税免征额、数据质量控制、电子零售商合法性认证也需要考虑。
2) the current national customs supervision is facing the challenge of a huge number of individual packages, customs clearance problems, limited resources, the effectiveness of tax issues, and the parties involved in trade regulatory issues; at the same time, the lowest tariff exemption, data quality control, electronic retailers also need to consider the legality authentication.
3)随着电子商务的发展,越来越多的个人和大量的贸易商参与进来,需要不断提升公众意识以保证安全,且非法渠道需要界定并控制。
3 with the development of e-commerce, more and more individuals and a large number of traders involved, the need to constantly enhance public awareness to ensure safety, and illegal channels need to define and control.
4)解决通关效率的重点在于可靠的提前申报信息,海关应与支付平台、物流企业、电商平台等利益相关方进行合作获取可靠的申报数据,并具备处理这些信息的能力。

4) focus on the efficiency of customs clearance is to declare in advance of reliable information, the customs shall report the data and payment platform, logistics enterprises, business platform and other stakeholders to obtain reliable cooperation, and has the capability of processing the information.
5)为促进贸易便利化下,需要贸易国之间建立以互信为基础的双边合作信息共享。同时需要政府部门的支持,供应链各个环节企业之间合作互信模式的建立。
5 in order to promote trade facilitation, it is necessary to establish mutual trust and cooperation based on mutual trust. At the same time, we need the support of government departments, the establishment of cooperation and mutual trust among enterprises in the supply chain.
6)跨境电商的参与方需要判定风险因素,理解WCO的安全框架协议在此领域依然有效;
6 cross-border electricity providers need to determine the risk factors involved in the understanding of the WCO security framework agreement is still valid in this field;
7)海关与快件、邮政进行数据交换以进行风险锁定和便利化。
7 customs and express mail, postal exchange of data for risk locking and facilitation.
8)关于税收的征管,如何保证数据的可靠性将是面临的挑战。同时,政府部门认为限制免征额将有助于税收的征收,而私人组织认为增加免税额将有助于推进跨境电商的发展并创造就业机会,如何缩小两者差距也是免征额上需要考虑的。
8. How to ensure the reliability of the data will be the challenge. At the same time, government departments will help to limit the exemption of tax collection, and private organizations that increased allowances will help promote cross-border business and create employment opportunities, how to narrow the gap between the two is also need to consider the exemption.
9)税收征管模式上讨论了四种模式的优缺点,分别是承运人征税模式、单一窗口的卖家征税模式、第三方支付平台征税模式、买家征税模式。
9 the advantages and disadvantages of the four modes of tax collection and management are discussed, namely, the tax model of the carrier, the seller’s tax model of a single window, the tax model of the third party payment platform, the tax model of the buyer.
此次会议为跨境电商的第二次讨论会议,会议讨论结果将提交给WCO在指定相关规则时参照。欣海报关在此次会议中介绍了中国跨境电商的模式,并提出了一些建议,希望能为跨境电商的发展献言献策!

规范办学行为构建平安校园

The meeting for the second discussion of cross-border electricity supplier meeting, the meeting will be submitted to the results of the WCO in the relevant rules of reference. Xinhai customs introduced China cross-border electricity mode in the conference, and puts forward some suggestions, hope for the development of cross-border electricity supplier offerwords!
WCO电商工作小组背景介绍:
WCO electricity supplier working group background:
某些网络安全公司内部的安全事故报告流程形同虚设,还在对外部客户进行网络安全应急响应服务,其实,多数也只停留在技术层面。
国际海关组织WCO是一个世界性的海关权威组织,其首要任务是加强各国海关监管效率,帮助成员国海关实现其国家发展目标,尤其是在税收征管,国家安全,贸易便利,贸易数据统计等方面。为了实现这一目标,WCO除了永久技术委员会,私营部门咨询小组(PSCG)等常驻机构以外还会成立一些工作组来专门应对相关问题,其中包括WCO安全工作组,WCO贸易便利协议工作组,WCO单一窗口工作组等。电子商务的繁荣是全世界范围内的大趋势,也是世界海关组织WCO目前十分关切的问题,因此WCO于2016年9月成立了新的电商工作小组来商讨海关应对新业态的措施,并已经成功举行了第一次分组讨论会。此次举办的是第二次工作小组会议。
International Customs Organization WCO is a worldwide customs authority organization, its primary task is to strengthen the efficiency of customs supervision, the customs to help member states achieve their national development goals, especially in the tax collection and management, national security, trade facilitation, trade statistics etc.. In order to achieve this goal, in addition to the permanent WCO Technical Committee, the private sector advisory group (PSCG) will be outside the resident offices set up some work team to deal with related issues, including WCO security working group, the WCO Working Group on trade facilitation agreement, WCO single window working group. The prosperity of e-commerce is the trend in the world, and the World Customs Organization WCO is very concerned about the problem, and in September 2016 WCO established a new electricity supplier working group to discuss the customs to deal with the new format of the measures, and has been successfully held the first group discussion will. This is the second working group meeting.
微信扫一扫关注该公众号
Sweep the concern of the public, WeChat

如何让程序员写出安全的代码,如何让全面的安全成为互联网服务内置的一部分,该成为老总们的床头案了。

猜您喜欢

《证券日报》记者注意到,业绩预增和略增的9家汽车上市公司表现…
地铁机场的无线安全使用
保密讲堂第一弹:准确定密并正确标识国家秘密
朝鲜跟特朗普第一次通话 是用导弹完成的
ALLDAYCHEMIST PESCADOSSEAFOOD
通过开展“安全周”活动促进员工安全意识