XiaoMi-AI文件搜索系统
World File Search System安全控制
初始访问时经常利用薄弱的安全控制和做法
未强制执行多因素身份验证 (MFA)。MFA(尤其是用于远程桌面访问)可帮助防止帐户被盗用。由于远程桌面协议 (RDP) 是勒索软件最常见的感染媒介之一,因此 MFA 是减轻恶意网络攻击的关键工具。不要将任何用户(包括管理员)排除在该策略之外。 特权或权限应用不正确以及访问控制列表中的错误。这些错误可能会阻止访问控制规则的执行,并可能允许未经授权的用户或系统进程被授予对对象的访问权限。 软件不是最新的。未打补丁的软件可能允许攻击者利用已知的漏洞来访问敏感信息、发起拒绝服务攻击或控制系统。这是最常见的不良安全做法之一。 使用供应商提供的默认配置或默认登录用户名和密码。许多软件和硬件产品在出厂时都带有过于宽松的出厂默认配置,目的是使产品易于使用并减少客户服务的故障排除时间。但是,安装后保留这些出厂默认配置可能会为攻击者提供可乘之机。网络设备还经常预先配置了默认管理员用户名和密码以简化设置。这些默认凭据并不安全 - 它们可能物理标记在设备上,甚至可以在互联网上随时获取。如果不更改这些凭据,将为恶意活动创造机会,包括未经授权访问信息和安装恶意软件。网络防御者还应注意,同样的注意事项也适用于可能带有预配置默认设置的额外软件选项。 虚拟专用网络 (VPN) 等远程服务缺乏足够的控制来防止未经授权的访问。近年来,有人观察到恶意威胁行为者将远程服务作为目标。网络防御者可以通过添加访问控制机制(例如强制实施 MFA、在 VPN 前实施边界防火墙以及利用入侵检测系统 / 入侵防御系统传感器检测异常网络活动)来降低远程服务受到侵害的风险。 未实施强密码策略。恶意网络行为者可以使用多种方法利用弱密码、泄露密码或被泄露的密码获得对受害者系统的未经授权的访问。恶意网络行为者已将这种技术用于各种邪恶行为,尤其是在针对 RDP 的攻击中。 云服务不受保护。配置错误的云服务是网络行为者的常见目标。不良的配置可能导致敏感数据被窃取,甚至加密劫持。 开放端口和配置错误的服务暴露在互联网上。这是最常见的漏洞发现之一。网络攻击者使用扫描工具检测开放端口,并经常将其用作初始攻击媒介。成功入侵主机上的服务可能使恶意网络攻击者获得初始访问权限,并使用其他策略和程序入侵暴露和易受攻击的实体。RDP、服务器消息块 (SMB)、Telnet 和 NetBIOS 都是高风险服务。
通过随机多周期交流安全约束最优潮流设想可再生能源主导电力系统的安全控制
摘要 — 可再生能源 (RES) 渗透率的加速带来了环境效益,但代价是增加了运营成本并削弱了 N-1 安全标准的满足。为了解决后一个问题,本文设想通过随机多周期交流安全约束最优潮流 (SCOPF) 实现 RES 主导电力系统中的 N-1 安全控制。本文扩展了最先进的确定性和单时间段交流 SCOPF,以捕捉两个新维度,即 RES 随机性和多时间段,以及新兴的灵活性来源,如灵活负载 (FL) 和储能系统 (ESS)。因此,本文首次提出并解决了一种新的问题公式,即随机多周期交流 SCOPF (S-MP-SCOPF)。S-MP-SCOPF 被公式化为非线性规划 (NLP) 问题。它计算灵活性资源和其他常规控制手段的最优设定点,用于日前运行中的拥塞管理和电压控制。本文的另一个显着特点是全面而准确的建模,使用:用于预应急和后应急状态的交流电力流模型,24 小时时间范围内的 FL 和 ESS 等资源的跨时间约束以及 RES 不确定性。通过直接方法将问题规模推至求解器极限,在两个分别有 5 个节点和 60 个节点的测试系统上说明了所提出的模型的重要性和性能,而未来的工作将开发一种易于处理的算法。索引术语 — 拥塞管理、储能系统、灵活性、灵活负载、安全约束最优电力流、电压控制
云网络安全控制
国家网络安全局(本文中称为“局”或“NCA”)在对多个国家和国际网络安全框架、标准和控制措施进行全面研究,并审查了网络安全领域的常见行业实践和经验后,制定了云网络安全控制措施 (CCC – 1: 2020)。对国际云计算标准和控制措施进行了映射研究,例如美国 FedRAMP(FedRAMP 要求的数量从 125 到 421 不等)、包含 535 项要求的新加坡多层云安全标准 (MTCS SS)、包含 114 项要求的德国 C5、包含 133 项控制措施的云控制矩阵 (CCM) 以及包含 114 项控制措施的 ISO/IEC 27001。此映射的详细信息在扩展到 CCC 的单独文档中提供。
联邦信息安全控制建议...
美国国家标准与技术研究所 (NIST) 的信息技术实验室 (ITL) 通过为国家测量和标准基础设施提供技术领导来促进美国经济和公共福利。ITL 开发测试、测试方法、参考数据、概念验证实施和技术分析,以促进信息技术的开发和生产使用。ITL 的职责包括制定管理、行政、技术和物理标准和指南,以确保联邦信息系统中除国家安全相关信息之外的其他信息具有成本效益的安全性和隐私性。特别出版物 800 系列报告了 ITL 在信息系统安全方面的研究、指南和推广工作,以及它与行业、政府和学术组织的合作活动。
MCO P3720.1C 空中交通和空中导航辅助设备 (SCATANA) 的安全控制
A1 国务卿直属办公室 A2A 独立办公室 A3 海军作战部长 B3 学院 B4 军事空中交通协调办公室 21A 舰队总司令 22 舰队指挥官 23A 海军部队指挥官 23B 特种部队指挥官 24 类型指挥官 26BB 空中后勤控制办公室 27F 旗舰行政单位 28A 航母大队 29H 攻击机航母(CV),(CVN) 29J 训练机航母(CVT) 32KK 杂项指挥舰(AGF) 37 移动报告中心 42 海军航空 C1 参加陆军活动的海军军官 C2 参加空军活动的海军军官 C3 参加联合军事活动的海军军官 C4E 海军工厂分支机构和技术代表 C4F1 航天集团支队 C4F6 空中设施/站点支队 C4F8 附属设施、分支机构、集团、靶场和辅助着陆场(仅限圣克莱门特岛设施) C4F16 空军预备队支队 C4K 直接受海军物资总长指挥的项目经理 C5 军事援助顾问组 C7 美国国防武官办公室FF 由海军作战部长指挥的岸上活动(仅限 FF1、FF2、FF4、FF5、FF15、FF18、FF21、FF22) FA 在美国大西洋舰队总司令指挥下进行的岸上活动(仅限 FA2、FA5、FA6、FA7、FA24、FA27、FA28) FB 在美国太平洋舰队总司令指挥下进行的岸上活动(仅限 FB1、FB6、FB7、FB10、FB28、FB31、FB33、FB39) FC 在美国总司令指挥下进行的岸上活动欧洲海军部队(仅限 FC4、FC7、FC11) FG 由海军电信司令部指挥官指挥的岸上活动(仅限 FG2、FG3) FKA 由海军物资司令部指挥官指挥的岸上活动(仅限 FKA6A1、FKA6B1)