XiaoMi-AI文件搜索系统
World File Search SystemWinds
GAO-22-104746,网络安全:联邦政府对 SolarWinds 和 Microsoft Exchange 事件的响应
虽然对 SolarWinds 漏洞的响应和调查仍在进行中,但微软在 2021 年 3 月报告了利用漏洞或滥用漏洞来访问多个版本的 Microsoft Exchange Server。其中包括联邦机构在其场所托管和使用的版本。根据白宫的一份声明,基于高度可信度,隶属于中华人民共和国国家安全部的恶意网络行为者利用这些 Microsoft Exchange 漏洞开展了行动。这些漏洞最初允许威胁行为者从未经授权的外部来源与 Microsoft Exchange Server 建立经过身份验证的连接。一旦威胁行为者建立连接,行为者便可以利用其他漏洞来提升帐户权限并安装 Web shell,从而使行为者能够远程访问 Microsoft Exchange Server。这反过来又允许即使在修补漏洞后仍能持续进行恶意操作(见图 2)。
SolarWinds 及相关供应链入侵
执行摘要 这份白皮书由联邦能源管理委员会 (FERC) 工作人员和 E- ISAC 联合编写,强调电力行业需要持续警惕与供应链入侵和事件相关的事件,并建议采取具体的网络安全缓解措施,以更好地确保大容量电力系统 (BPS) 的安全。虽然主要关注与 SolarWinds Orion 平台和相关的 Microsoft 365/Azure Cloud 入侵相关的持续网络事件,但它也解决了 Pulse Connect Secure 等产品中的相关入侵问题。另外两个入侵示例是 Microsoft 的内部部署 Exchange 服务器和 F5 的 BIG-IP,我们将讨论这两个入侵示例,以说明对手对无处不在的软件系统的持续兴趣和利用。由于 SolarWinds 的广泛使用和所使用的对抗策略,即使是未在其网络上安装 SolarWinds 的实体也可能受到影响。例如,在没有 SolarWinds 的网络上发现了入侵指标 (IOC)。此外,尽管实体可能没有使用 SolarWinds,但他们的主要供应商可能会使用该产品。如果供应商受到攻击,供应商反过来可能会危害其客户,包括那些没有 SolarWinds 的客户。事实上,有证据表明科技公司因此成为攻击目标。2020 年 12 月 13 日,网络安全解决方案和取证公司 FireEye Inc. 公开发布了有关对 SolarWinds Orion 开发的某些软件进行攻击的详细信息。对于受害者来说,这次攻击尤其具有破坏性,因为为了正常运行,SolarWinds 必须对其管理的网络(包括实体的企业网络和运营网络)拥有广泛和特权的访问权限。此次入侵为对手提供了监控网络流量和破坏系统的机会,这可能会导致其运营中断。为强调事件的严重性,2020 年 12 月 13 日,美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 发布了紧急指令 21-01,要求联邦机构根据国土安全部的评估采取行动,即 SolarWinds 攻击的成功入侵将产生“严重”后果。2020 年 12 月 15 日,白宫国家安全委员会 (NSC) 成立了一个由多个联邦机构组成的网络统一协调小组 (UCG),以协调对“重大”网络事件的调查和补救。2020 年 12 月 17 日,CISA 发布了针对私营部门的警报 AA20-352A,其中描述了针对行业的攻击、受影响的产品和缓解建议。为了应对此次入侵,SolarWinds 发布了其软件的新版本,该版本消除了受感染的代码并解决了其他漏洞。至少,建议受感染软件的用户使用更新后的版本更新其 SolarWinds 软件。然而,CISA 警告称,即使是更新后的 SolarWinds 版本也可能存在一定风险,并解释说“……攻击者很可能能够识别 SolarWinds Orion 代码中任何潜在的……漏洞,这些漏洞与插入的恶意代码无关,因此可能在被删除后仍能幸存下来。” 1 考虑到 SolarWinds 攻击的复杂性、广度和持久性,建议电力行业利益相关者充分考虑可用的诊断和缓解措施,以有效解决软件入侵问题。同样,实体考虑这两个 CISA 警报的建议也很有价值。虽然 CISA 紧急指令 21-01 是针对联邦机构的,但私营部门实体也可以从文件中规定的具体缓解措施中受益,
智能产品设计方法 - 温莎大学奖学金
本在线数据库包含 1954 年以来温莎大学学生的博士论文和硕士论文全文。这些文件仅供个人学习和研究之用,符合加拿大版权法和知识共享许可 — CC BY-NC-ND(署名、非商业、禁止演绎)。根据此许可,作品必须始终归属于版权持有人(原作者),不得用于任何商业目的,也不得更改。任何其他用途均需获得版权持有人的许可。学生可以咨询如何从本数据库中撤回其学位论文和/或论文。如需其他咨询,请通过电子邮件( scholarship@uwindsor.ca )或电话 519-253-3000ext. 3208 联系存储库管理员。
FEMA P-424:地震、洪水和强风中提高学校安全性的设计指南
本出版物强调,危险及其发生频率的识别以及抵御这些危险的精心设计必须与所有其他设计问题相结合,并从选址和建筑设计过程的开始就纳入其中。虽然规划学校建设计划时要考虑的基本问题对所有学区来说或多或少都是共同的,但具体过程却大不相同,因为每个学区都有自己的方法。学区规模各异,从只负责几所学校的农村学区到监督所有类型和规模的学校的复杂计划的城市学区或全州系统。这些学区中的任何一个都可能负责新设计和建设、翻修和扩建。虽然一个学区可能有一个长期的学校建设计划,并且熟悉规划、融资、聘请设计师、招标程序、合同管理和新建筑的调试,但另一个学区可能几十年来都没有建造过新学校,也没有熟悉该过程的工作人员。
调查甲板上相对风对 MH-60S 直升机在船上发射和回收操作中的影响
我在此提交由 Dominick J. Strada 撰写的论文,题为“研究甲板上相对风对 MH-60S 直升机在船上发射和回收操作中的影响”。我已经检查了这篇论文的最终电子版的形式和内容,并建议接受它作为获得理学硕士学位(主修航空系统)的部分要求。
风切变和湍流什么是“逆风”、“顺风”和……
本出版物所载的所有内容,包括但不限于所有数据、地图、文字、图像、图画、图表、照片、录像及数据或其他材料的汇编(统称“材料”)均受知识产权所规限。该等知识产权由香港特别行政区政府(统称“政府”)拥有或已获该等材料的知识产权拥有人特许政府处理该等材料,以供本出版物所载的所有用途。如将材料用于非商业用途,则须遵守“香港天文台出版物所载材料非商业用途使用条件”(可于以下网址查阅:https://www.hko.gov.hk/en/publica/non-commercialuse.htm)所列的所有条款和条件。此外,除非符合《香港天文台刊物资料商业用途使用条件》(可于 https://www.hko.gov.hk/en/publica/commercialuse.htm 查阅)所列的所有条款及条件,并取得香港天文台(下称“天文台”)代表政府的事先书面授权,否则严禁将资料用作商业用途。如有查询,请以电邮(mailbox@hko.gov.hk)或传真(+852 2311 9448)或邮寄方式与天文台联络。
风切变和湍流什么是“逆风”、“顺风”和……
本刊物所载的所有内容,包括但不限于所有数据、地图、文字、图像、图画、图表、照片、影片及数据或其他资料的汇编(统称“资料”)均受香港特别行政区政府(统称“政府”)所拥有或该等资料的知识产权拥有人已授权政府处理该等资料,以作本刊物所载的所有用途。资料作非商业用途时,须遵守“香港天文台刊物内资料作非商业用途使用条件”(可于以下网址查阅:https://www.hko.gov.hk/en/publica/non-commercialuse.htm)所列的所有条款和条件。此外,除非符合《香港天文台刊物内资料商业用途使用条件》(可于 https://www.hko.gov.hk/en/publica/commercialuse.htm 找到)所列的所有条款及条件,并取得香港天文台(下称“天文台”)代表政府的事先书面授权,否则严禁将资料用作商业用途。如有查询,请以电邮(mailbox@hko.gov.hk)或传真(+852 2311 9448)或邮寄方式与天文台联络。
SolarWinds Orion 平台漏洞
• 后门 - 后门是一种典型的绕过正常身份验证来访问系统或应用程序的隐蔽方法。 • SolarWinds Orion - 一种网络和应用程序基础设施监控工具,用于识别、警告和报告设备、应用程序和网络性能问题。 • 供应链攻击 - 威胁行为者将恶意代码插入合法软件的组件中,软件公司在不知情的情况下将受感染的代码分发给软件用户。
皇家自治市温莎和梅登黑德转型......
以社区为中心的设计意味着从专家为人设计转变为人为自己设计。传统上,专家为人、社区或居民设计和实施解决方案。以社区为中心的设计利用社区内的创造力来解决他们自己的问题,因为社区内的人们最了解阻碍和支持变革的问题、障碍和好处。然后,专家成为推动者和支持者,提供各种形式的工具、研讨会和支持。通过采用新的设计理念,我们的居民将体验到:• 一个不断发展、多样化、创新、协作、以社区为中心的行政区。• 易于获取信息/与理事会及其合作伙伴互动。• 在开发服务中听到并看到他们的声音。• 公开透明地看待民主进程。• 基于结果的服务物有所值。• 在需要时得到很好的照顾——预防胜于治疗。• 强大的志愿和社区部门。• 教育和就业机会,包括基于技能和职业的机会。
基于上下文的可视化策略使自动化的人机交互检查系统能够增强风暴风险工程师的态势感知能力
简介 ................................................................................................ 167 研究问题 ...................................................................................... 170 假设 ................................................................................................ 170 方法 ................................................................................................ 171 研究样本 ................................................................................................ 171 仪器 ................................................................................................ 172 模拟 ................................................................................................ 172 刺激 ................................................................................................ 172 自变量 ............................................................................................. 172 因变量 ............................................................................................. 173 程序 ................................................................................................ 174 数据分析 ............................................................................................. 175 结果 ................................................................................................ 176 SAGAT ............................................................................................. 176 性能 ................................................................................