政府协同OA：古城区政务OA中密码的安全管理，OA登录锁定策略及特权账号管理方案| FB甲方群话题讨论

政府协同oa：古城区政务oa中密码的安全管理，oa登录锁定策略及特权账号管理方案| fb甲方群话题讨论财务软件、OA办公系统、erp、信创政务OA、hr等管理软件在企业内部承担着越来越重要的使命。然而，随着应用的深入，多系统之间弱密码有何监测手段？已经泄露的密码该如何反向定位影响范围？ 3.政务OA系统登录锁定策略该如何定义？ 4.企业有没有引入特权账号安全管理的方案？ 话题一 最近知名密码管理器lastpass发生了严重的数据泄露事件，想问问大家企业对于密码有没有比较好的存储和管理方式，尤其涉及到存在一些共享密码的情况？ a1： 域策略强制3个月修改一次密码，8位以上特殊字符大小写组合，密码历史5次以上（iso27001要求）。 a2： 存在共享密码的地方


阿里搞大数据“打假”；京东“傍上”了商务部 | dt数读:

，为政府决策、企业经营、行业发展提供服务支持。 这些疑似售假团伙主要集中在广东、福建、浙江、江苏、山东等沿海省份，并呈现出明显的地域性及产业集群性。dt君说：假货固然可恶，但电商平台的把关力度显然还是不够的。 5 google & facebook因手握大量数据，被韩国公平贸易委员会盯上韩国新任总统文在寅任命的新任公平贸易委员会负责人金相兆最近在接受韩国媒体采访时，透露正研究如何监管谷歌和facebook凭借在资料收集与处理规模的优势 此前，谷歌因为不愿意配合韩国政府将导航和地图的服务器放在韩国，而和韩国政府多次交涉。而谷歌要求三星手机等在手机中必须预装12款谷歌自家应用的做法，也在韩国引起争议。 platform)的可定制化分析系统。

旅游行业可以与区块链一起繁荣:

费用：旅游离不开金钱，而按照当前区块链旅游平台的发展势头，区块链旅游的“金钱”将被加密货币所取代。传统旅游中使用智能手机进行外汇兑换是昂贵的，但用加密货币支付，省去了中间环节，手续费更低。 在区块链上可以存储护照、签证、身份证和驾驶执照等重要文件。将区块链作为保护身份及数据的方式，黑客一旦尝试修改此类数据便很容易被追踪。未来，区块链将成为保护旅客身份资料的关键。 区块链技术在旅游费用、护照、预订和保险等场景的应用，保护隐私，减少成本，改变了旅游的现状，促进了区块链旅游的发展。当然，区块链旅游行业的兴盛，也离不开政府政策的支持。 乐鸥-区块-3.png 中国政府对发展区块链技术充满兴趣。随着区块链技术意识的增强和提供法律监管的压力，政府已开始仔细研究区块链是什么以及它可以做些什么。这一认知也促进了区块链政策的普及。 除了区块链相关政策，国家在专利申请方面也一点没落下，2017年区块链专利申请中国第一。

七夕用鹅厂最热门的六大编程语言写三行情书:

点击上方蓝字“itester软件测试小栈“关注我，每周一、三、五早上 08:30准时推送，每月不定期赠送技术书籍。微信公众号后台回复“资源”、“测试工具包”领取测试资源，回复“微信群”一起进群打怪。 本文1917字，阅读约需5分钟hi,大家好，我是coco。今天是七夕，在此祝有情人七夕快乐。如果你是个单身狗，在七夕也可以做很多有意思的事。 比如去断开电影院的双人位，买下专柜最热卖的口红色号，霸占餐厅的小号双人桌。就算你不是单身狗，一个加班或许就在变成单身狗的路上。 love println(story.mkstring(connect))最后是一个彩蛋： 后台回复：七夕 获得通关密码。 想获取更多最新干货内容快来星标 置顶 关注我每周一、三、五 08:30见

指控 nginx 串谋侵吞的诉讼后来怎么了:

以下是投诉内容节录：原告方 林伍德公司(lynwood investments)接受俄罗斯公司—— 兰布勒公司互联网控股有限公司的委托起诉了曾任职于 兰布勒公司，并开发了 nginx 软件的被告 西索耶夫 诉状称，“ f5 在合并完成之前的尽职调查中，就已经知道共谋者从兰布勒窃取了 nginx 企业版......”当一名告密者向他们提供了证据之后，兰布勒和林伍德公司得知被告涉嫌共谋。 引发思考 此诉状描述了一种变得越来越普遍的不幸的情况 —— 众所周知，开发人员在公司时间编写代码，在未经适当授权的情况下用某种开源许可证发布代码，并随之利用该开源代码成立与原公司相互竞争的业务，并声称有权在该开源许可证下使用该代码 在这种情况下，发布的授权问题通常很关键，并且指出公司需要有正式的开源发布政策。但是，在本诉状中指控的不当行为程度是不寻常的，达到了 cto 级别。投诉也很有趣，因为它点名了 nginx, inc. 的风险投资商和并购买家——这是一个试图绕过公司保护伞（保护善意第三人）的不寻常的举动。对于考虑对潜在投资和收购进行尽职调查的公司来说，这是一个令人不安的发展。

政府协同oa：古城区政务oa中密码的安全管理，oa登录锁定策略及特权账号管理方案| fb甲方群话题讨论

之间的数据重复维护管理等，成为企业信息化二次升级过程中的一大痛点，也是绝大多数企业亟需解决的难题。 　　对于大中企业，尤其是超大型企业集团，他们都会有一个非常普遍的需求，将核心业务整合在一起管理，需要关联起来，以公文系统为核心，加上表单工具，实现办公加业务的整合应用。这种业务整合的需求对政务OA系统来说恰恰可以发挥出本身的优势，其中核心问题是平台和公文系统。对平台来说，需要政务OA系统具有极佳的开放性和拓展性，能够在不影响底层平台和其他功能模块的基础上实现动态开发和部署；对公文系统来说，需要具有极佳的适应性和可配置性，能够在少编程甚至不编程的情况下搭建出各种业务流程和表单。政务OA系统办公系统采用php+mysql技术，底层平台稳健、强大，可以充分满足用户的个性化开发需求，功能层次清晰，重点突出，可以为 ▎各位 buffer 晚上好，freebuf 甲方群话题讨论第 202期来了！fb甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。 注：上期精彩内容请点击：高危漏洞下的业务安全、公有云数据泄露的责任划分 本期话题抢先看 1.企业对于密码有没有比较好的存储和管理方式，尤其涉及到存在一些共享密码的情况？ 2.对弱密码有何监测手段？已经泄露的密码该如何反向定位影响范围？ 3.政务OA系统登录锁定策略该如何定义？ 4.企业有没有引入特权账号安全管理的方案？ 话题一 最近知名密码管理器lastpass发生了严重的数据泄露事件，想问问大家企业对于密码有没有比较好的存储和管理方式，尤其涉及到存在一些共享密码的情况？ a1： 域策略强制3个月修改一次密码，8位以上特殊字符大小写组合，密码历史5次以上（iso27001要求）。 a2： 存在共享密码的地方，最好是集中管理密码，用户无需知道密码，通过系统进行授权，用户无需知道密码的情况下完成功能实现。 a3： 虽然涉及到共享密码也只有密码管理工具比较好用，但是用的那个工具数据一旦泄露，所有数据全都要遭殃。 a4： 我看到挺多密码存储工具出现泄露，那么就不共享，统一做sso登入，一套密码就好了。 a5： 可以参照 jrt 0255-2022 金融行业信息系统商用密码应用基本要求建设。 a6： 主要问的设备密码管理吧，可以用xls、专用文件服务器权限管理、密码文件加密，我是xls加密、再压缩加密、放文件服务器权限管控。 a7： fido这个有没有人了解的？ fido (fast identity online)联盟，www.fidoalliance.org，成立于2012年7月，旨在解决强认证技术之间缺乏互操作性的问题，并解决用户创建和记忆多个用户名和密码所面临的问题。fido联盟正在改变认证的性质，采用更简单、更强的认证标准，定义一组开放、可伸缩、可互操作的机制，减少对密码的依赖。在对在线服务进行身份验证时，fido身份验证更强、私有且更容易使用。 a8： 有能力都自开、没能力买这种小众产品合规也不需要、成本划不来。 q：对弱密码有何监测手段？已经泄露的密码该如何反向定位影响范围？ a9: hids或者edr都可以检测。 a10： 曾经靠nta做了弱口令告警，一个下午的时间上百个人跑过来问怎么回事，问的问题都是：我去哪改密码？ a11： 禁用弱口令，改密码的时候，就禁止，如果知道他们常用什么密码，直接加进弱密码库。 a12： 我们这是有sso，统一强密码+定期改，然后开发小哥做了个vip多次登录失败的告警通知，方便给vip解锁。 a13: 这个其实主要看资产的，不同的资产采取的手段也不一样。但是殊途同归。我觉得检测不是目的杜绝才是目的。至于如何检测我觉得这个首先要有类似于资产管理系统，就是需要能够读取和识别密码。我一般都是正则匹配对弱密码识别和通知整改的。如果没有系统，要检测和识别就很困难。对于已经泄漏的密码，一般也是通过资产管理系统进行处理的。资产管理系统会有密码和存储位置。方便进行资源定位。如果没有的情况下，建议建立一个这种系统。 q：我们的开发动不动搞redis空口令、数据库系统弱密码，这些问题该怎么改？ a14： redis空口令的问题，有安全厂家也是，通知他们整改，最后出个说明，解释说没问题改不了。 a15： 弱口令的问题，光下通知就下多少次了。执行起来是真难。考虑到用户方困难，所以现在准备转换方向，考虑零信任方向。 a16： 定期漏扫，hids盘点，结合cmdb定位到责任人和直接主管、上级主管，发邮件通报。 a17： 我们自己做了系统加固、sdl、上线安全检测，还是能搞出弱口令。很多部门直接用云服务、rds这些，就不可控。 a18： 说明了一个基本问题，复杂强口令与人性相违背。就像路，人总会选择最简单的路走，不会按照指示走。举个例子，大领导好多都是弱口令，年龄大记不住，有啥办法，谁敢去改啊。 a19： 分级分类口令啊，存在哪些弱口令、哪些必须改、危害性有多大，还是得有办法。大领导也就登陆个电脑，办公系统，危害大的是vpn之类登陆密码，和业务框架的密码。 a20： 其实人员账号口令我们还好，因为我们应用大部分走sso或者ldap。但是开发框架，数据库这些是目前只能靠开发人员自己意识。 a21： 优先解决生产的问题，通过脚本巡检或hids找出弱口令的主机及服务，然后每天巡检一次，根据资产邮件推送给相关部门，不改就一直推送。 话题二 请问大家公司的政务OA系统登录锁定策略是怎么定义的？ a1： 默认锁定: 1.锁定30日未登录账户 2.锁定密码未变更用户 3.锁定弱口令用户 再就是爆破登录锁定，同一ip多账户登录锁定。 a2： 最大并发1000，登陆3次失败锁一个钟头，紧急的话管理员直接解锁。 a3： 我们是统一的策略。最低的账号标准是账号连续5分钟内累计登录失败10次，自动锁10分钟，单账号累计失败10次后，在自动锁结束后，每登录失败一次自动延锁10分钟，用户可使用mfa解锁；连续多账号3分钟内累计登录失败60次，针对ip启用多因素认证30分钟，自动解锁后，每登录失败1次，自动启用多因素认证，并累计两个周期后，48小时不再信任连续登录失败的账号认证方式。 a4： 依据什么标准？还是自己定的？ a5： 我们是自己定义的，根据自身业务、行业特性定义的。 a6： 我们是5次错误锁定1小时。我看到有人上sso，其实sso死的更快，ad一破，sso厂家塞点后门，更惨。 a7： 没办法，不上sso员工会有意见，一个平台一个账号密码，谁受得了？领导都受不了，必须上。 a8： 可以上sso叠加二次密码或者验证码之类，不应该设置成sso过了直接登录，不然容易被恶意url扫描和攻击。sso过了，只是允许访问被收授权的信息，比如域名、url等，登录时可以再次输入账密或者验证码之类的。 a9： 各位上零信任呢？ a10： 零信任其实挺好，但是甲方很少有能弄明白的，意味着网络隔离、网络分区啥的传统方式都可能被破坏。可以上sdwan，基于互联网的sdwan，替代部分网络准入+身份认证+vpn。 话题三 企业有没有引入特权账号安全管理的方案？ a1： 曾经想引入，测试了3家以后发现不满足需求。 测试结果虽然打钩，但是管理方面还是比较简单粗暴而且很多问题。打勾只是表示部分功能可实现。 技术限制问题，给操作系统、数据库、中间件、应用系统开发管理接口、账密接口、认证接口，其实相当难，以单一厂家根本实现不了。操作系统、数据库、中间件、应用程序，如果是商用产品，厂家一般不给你开接口，比如linux，我测试的几家都是类似rsh方式。 a2： 设想了一下： 1、前面使用指纹，ic+密码（人脸）之类的方式； 2、中间采用sso，登录服务器使用堡垒机的密钥管理方式+定期改密； 3、离职注销就各系统每天扫描人事的信息表，离职就注销（停用）本系统账号权限。 特权账号放到配置中心统一管理，再加上审计，这样感觉应该算是一个解决的办法。 a3： 你应该要考虑网络准入+网络准入的身份认证，所以sdwan+vpn也需要考虑。而且你sso不应该直接接客，应该有前置，要不sso攻破就全玩完。主思路没有问题，细节各方面还可以（也应该）完善。 a4： 门户平台的钥匙被攻破才是玩完，sso 的钥匙有ad域密码、企微扫码认证等，所以还是要在基础层面把密码抓牢，不需要什么高大上的技术。 a5： sso应该分为5-6个部分： 1.门户，仅供内部自服务用，不能对外； 2.管理门户，后台管理用； 3.审计+监控 ，后台作业； 4.后台 接口、api配置部分； 5.前台接口、api配置部分； 6.密钥、账户、算法、证书库，纯后台。 这6个部分，1应该仅对vpn放开，2-6绝对不对外，这样可以有效地保护sso，因为sso存放了所有人的账号、密码、算法、证书、密钥。我审计别人的时候，只要ad/sso对互联网直接开放，直接判断不合格，sso一旦被攻破，很容易被提权和全量账密泄露，甚至狠一点，伪账号很容易搞出来一大堆。 我当年计的是这个架构，ad/sso/ldap都深藏后端。 a6: sso 呈现在用户面前的只是一个门户，至于后面管理端功能，那就是一个静态密码管理后台了。 a7： sso不是入侵式的吧，即使非法登录了你的门户界面，黑客仍然无权限去侵入你的门户账户密码。 a8： 我非法登录你的门户，我可以扫描、记录你的加密和hash过程，然后有一定几率反向破解你的算法，这个算法一旦被破解，所有账号包括admin都直接废了。 这个过程可以用算号器类的工具，记录bit层面的变化，比如我密码设成1 ，可能对应是比如3b4c，然后密码设成2 ，可能对应单独是3d4c。我只是举个例子，这样就知道输入1和2的差距在于第2位。而且一般sso厂家的日志信息、日志库都不会从文件、数据层面去设防，比如加密、脱敏啥的，差一点的厂家，可能整个运行目录都被人copy走了，回去搭个模拟环境，啥都有了。 a9： 不过防护不了内部或有正常身份的合作伙伴之类的，用零信任的持续认证落地费用和改造都不容易。 a10: 不一定零信任，vpn/sdwan/零信任前置认证接口门户，叠加短信验证码、证书、校验码等，成为内网第一道门户，这才是企业内网安全最要命的地方，大门口不安全。 a11： 零信任你的用ad/sso这类系统做用户验证。那就还的加上其它认证做叠加，然后你会发现都是窟窿。 a12： 必然的，看数据源了。 a13： 所以，内网尽量做到窟窿最小是最优解。 a14： 这些是必然要做的，但是门口防护也重要，大门不弄好，里面再好也没用，你不能放苍蝇蚊子臭虫进来乱试乱搞吧。 freebuf 观点总结 从lastpass严重的数据泄露事件可以看出，密码安全是近期网络安全风险的“高发点”之一，企业如何保管好手头的密码成为防范这类风险的首要屏障，除了密码本身最好采取多位数加特殊字符、大小写组合并定期修改外，对共享密码可采取集中管理，以用户系统授权的方式管理用户访问行为。此外，对于弱口令（密码）可通过hids或者edr进行监测，或加入弱密码库进行管理。 对于企业常用的政务OA系统如何制定锁定策略，不同的公司、行业可以制定各自的规则，但无论如何都绕不开多次登录错误、弱口令、密码变更等风险因子。至于特权账号管理，虽然在技术上还存在诸多难点，但总体思路仍需要从密钥管理、身份认证、审计及监控等角度出发，构建出成体系的方案思路。 本期话题讨论到此结束啦~

青少年编程教育现状:

在山东省和浙江省的初中信息技术教材中涉及到了编程语言vb，在江苏省的信息技术教材中谈到了物联网、机器人以及人工智能等。整体教材内容还是偏知识科普以及常用电脑工具软件的使用，涉及到编程的内容依旧很少。 2014年，英国教育大纲规定计算机编程是5-16岁儿童必修课程。 2015年，美国政府投资40亿美元开展青少年编程教育，呼吁全国青少儿学习编程。 南京教育部门今年也正式将科技特长生列入了南京市的中考特招项目，引起了诸多家长的关注。 最后，大家梦寐以求的清华北大对于信息技术特长生是有降分录取和自主招生的喔。 另外，山东省的初高中信息技术教材也做了相应的改版，将编程语言phton以及人工智能、机器学习等课程加入到了中学信息技术教材中。以上种种，不得不说，编程教育已经到家门口了。 真实韶华即逝啊，我帅气的脸庞已然没有了昨天的模样。本着为人民服务的宗旨，感觉自己应该把所学知识普及给祖国的花朵。

美国土安全局在华盛顿特区发现手机间谍设备:

据外媒报道，美国国土安全局( dhs )近日公开表示，他们在华盛顿特区发现了电子监控设备的存在。 但美国政府从未提及外国间谍也在使用同样的技术，这种情况一直持续到 dhs 在 3 月 26 日写信给俄勒冈州民主党参议员 ron wyden 之后。现在信件的内容则被媒体报道了出来。 信件写道：“ nppd 认为外国政府对imsi捕捉器的使用将可能会威胁到美国国家和经济安全。”

用结构化数据自定义搜索结果摘要:

系列丛书：一系列的书，可以使用所属的属性包含的书籍； 教育机构：一个教育机构； 事件：在特定时间和地点发生的事件，例如音乐会，演讲或节日， 可通过优惠属性添加票务信息，重复事件可以构造为单独的事件对象； 政府机构 ：一个政府机构； 本地商户：特定的实体业务或组织的分支，本地商户包括餐馆，连锁餐厅的特定分支，银行的分支，医疗实践，俱乐部，保龄球馆等； 电影：一部电影； 电影系列：一系列电影，可以使用所属实体的逆属性指包含的电影 ； 音乐专辑：音乐曲目的合集； 音乐团体：音乐团体，如乐队，管弦乐队或合唱团，也可以是独奏音乐家； 机构：学校，非政府组织，公司，俱乐部等组织； 期刊：任何媒介的出版物，以连续的部分发布，带有数字或时间顺序的指定 ":"https://www.linyongmin.com/wp-content/uploads/2018/05/harborne-logo.png" } </script> 提交联系电话 <script ":"https://www.linyongmin.com/wp-content/uploads/2018/05/harborne-logo.png", "contactpoint" : [

微信杀入企业级市场？那就放马过来呗~:

众多erp、政务OA厂商会不会如t客所言遭遇“灭顶之灾”呢？由于企业微信号还没发布，我们不妨先猜猜他们想干嘛，能干嘛？简单一点，无非是做应用和做入口两条路。先说做应用，这应该是传统企业管理软件比较担忧的。 如果是面向中小企业的oa，也不是那么容易。企业管理不像电商系统那样已经形成规范，很多公司还是土法炼钢，业务设计时不考虑合不合理，而是怎么方便老板怎么来，个性化极强。 难以形成一个包打天下的产品市场，都是零敲碎打的。这也是为什么国内管理软件市场虽然大，却没有诞生世界级的公司。但产业链上几千上万家服务商，又可以找到自己的一亩三分地。 殊不知中国企业“麻雀虽小五脏俱齐”，管理应用上希望大而全，all in one，一套系统搞定。“我可以不用，但你不能没有。” 体验好不好另说了，还要针对你的框架重新开发系统。我何苦来呢？综上所述，若微信自己做功能，只会对一部分缺乏移动端应用，产品单一，又没有定制服务能力的政务OA厂商有冲击，大面积的“灭顶之灾”不会到来。

转载请注明出处,本站网址：http://www.oa900.cn/news_202605162340.html