NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

NISP-PT线上班测验申请

  • 姓名 *

  • 手机号 *

  • 学历 *

  • 专业 *

  • 年龄 *

  • 提交申请

  • 验证码
    看不清?换一张
    取消
    确定

  • 报名咨询
  • 登录学习

免费领取渗透测试线上班试听课

  • 姓名 *

  • 手机号 *

  • 微信号

  • 立即领取

  • 验证码
    看不清?换一张
    取消
    确定

图片展示

图片展示

聚焦RSAC2020热点话题:应用安全与DevSecOps

作者:Pauline

2020年RSA大会于2月24日至28日在旧金山召开。大会主题为“Human Element”。去年作为RSA大会DevSecOps日的转折点,约有超过800名从业人员参加了为期一天的专题活动。今年,重点则放在从业者如何在组织内部调整并向DevSecOps转型,详细解析了组织所面临阻碍其进步的问题类型,以及如何从公司的各个层面上获得支持帮助等内容展开讨论。

此前,嘶吼在分析参展厂商时发现有绝大多数企业聚焦DevSecOps这一话题,它作为一种为应用程序开发的生命周期引入安全性的设计考虑,最大程度地减少漏洞并使安全性更贴近IT实景和业务目标。就在当地时间2月24日结束的RSAC2020创新沙盒大赛上,十家初创公司中有半数企业聚焦应用安全,可以见得DevSecOps落地已成为大势所趋。

笔者认为 DevSecOps的前提是软件开发生命周期中的每个人都应对安全负责,也就是实质上将操作、开发与安全功能相结合。即安全性嵌入到开发流程中来,它并非将安全性最终固定于IT系统之中,而是通过在DevOps工作流程中嵌入安全控制流程进行安全管理的核心任务。

DevSecOps重要性体现在?

IT基础架构的巨大变化:向动态配置、共享资源和云计算的转变已推动了IT系统演进速度、敏捷性和成本收益等方面,这些都有助于改善应用程序的开发。

在云中部署应用程序的能力提高了规模和速度,向DevOps方法论的迁移和持续交付使得“大爆炸式”应用程序成为过去。尤其,DevOps一直以来将开发和IT运营集成在“单一自动化保护伞下”的原则对所有事情都有所帮助,从更频繁的功能发布调整到增强的应用程序稳定性中来。但是,许多安全性和合规性监视工具无法跟上这种变化的步伐,因为它们并不是为开发代码而开发的,它们无法以DevOps要求的速度进行测试。也就出现了以下观点:安全性是快速开发应用程序以及IT创新性最大障碍。

而人们为了破除这一阻碍,令安全性和IT系统架构更加巧妙的结合,推出了DevSecOps的方法论,改进由安全性带来的矛盾和阻碍。

DevSecOps的时代已然来临

DevSecOps优势:简而言之,它能够缩短实现更高标准的自动化时间长度,进而减少因决策失误带来的风险和一般情况下操作错误导致系统宕机或遭受不同程度攻击等问题。当然,这种自动化还一定程度上减少了安全人员手动配置平台的操作。

随着企业从DevOps逐渐过渡到DevSecOps,我们发现安全性和开发人员领域的出现重叠。在RSAC2020大会上,不论从达美航空公司的“Delta的DevOps转型”的演讲,还是英特尔公司的“开发人员的安全策略和法规趋势”的演讲中,均发现许多会议更多面向的是组织内部如何处理DevSecOps转型,他们面临的困扰、问题,进一步提升并将安全性更好的纳入开发流程的最佳实践中来。

RSAC2020 创新沙盒上应用安全与DevSecOps公司概览:

·BluBracket

关键词:代码安全

公司成立于2019年,BluBracket于上周宣布获得650万美元的投资。其主营代码安全解决方案,第一款产品是BluBracket CodeInsight,它是一种审核工具,目前已发布使用,该工具使公司可以全面了解谁从Git库中撤回了代码;第二个工具BluBracket CodeSecure需到2020年下半年才能使用,它保护代码安全性,囊括了按照分级对代码分类的安全能力,最高级别的代码将具有特殊地位,组织内部可以为其附加规则,如:未经允许不能将其分发到开源文件夹中等。

·ForAllSecure

关键词:下一代代码测试(模糊测试)解决方案

成立于2012年,2016年在DARPA网络大挑战赛中获得第一名;2017年入选《麻省理工科技评论》的50家智慧公司;去年ForAllSecure在New Enterprise Associates的领导下筹集了1500万美元的A轮融资。旗下技术平台Mayhem的下一代模糊测试安全方案,旨在做到“自动识别和修复软件中的安全漏洞”,对当前的威胁作出足够迅速的反应,而模糊测试的本身就是降低测试门槛,有效为组织建立起信任。

ForAllSecure的首席执行官David Brumley博士称“如果组织内安全人员不了解编码基础,要改进的不是令其成为开发人员,而是确保他们明悉软件和计算机是如何深入工作的,进一步提高安全技能。”

·Sqreen

关键词:RASP、WAF

Sqreen此前已经完成了1400万美元的A轮融资,该公司旨在提高Web应用程序和云基础架构的安全性。它的宗旨是不需要组织更改代码或防火墙设置,通过在服务器上安装一个软件包,并添加几行代码以在应用程序中执行调用所需Sqreen模块,更为轻量级的输出安全服务。它的应用程序安全平台可帮助组织保护应用程序,增加可见性,并通过查找关键威胁,修复漏洞将安全性集成到SDLC中来保护代码。其提供了低成本、高水平的RASP+in App WAF解决方案,为实现快速部署、高可扩展性、降低延迟提供了促进作用。

·Tala Security

关键词:WAF

现代化的Web体系结构极大地加快了网站和应用层攻击的速度,例如Magecart、XSS、重定向攻击和基于Web的恶意软件等。Tala Security的主打产品WAF,通过基于AI引擎进行实时分析,解决攻击目标为依赖JavaScript和第三方特权访问等威胁,其平台可抵御最广泛的客户端攻击,并对组织系统的性能影响为零。

·Vulcan Cyber

关键词:SOAR

Vulcan Cyber已于去年9月完成1000万美元A轮融资,截止目前总计融资1400万美元。该公司旨在通过自动化修补程序完成对于漏洞的修复操作。其平台将优先级和部署流程自动化,以更快地修复更多漏洞,有效较低业务运营风险和成本。

Vulcan Cyber可以很好地与所有主要的云平台以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具结合使用,还集成了众多主要的安全测试工具和漏洞扫描程序,其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

总结

尽管CI / CD在不断发展以满足包括容器编排在内的越来越多的软件开发需求,但应用程序中的许多默认设置都需要进行额外的强化以确保安全性。由此,将安全性集成到开发过程中成为必然趋势。组织选择使用更好的DevSecOps工具,确保从构建、部署、程序运行的整个生命安全周期中纳入安全性。随后,可以通过创建良好的DevSecOps文化氛围,搭建位于安全团队和运营团队之间的桥梁,保障开发团队在开发过程中也可以及时确认安全性,该步骤可以通过自动化检测与响应推进。还需要注重的一点是,组织不仅应将DevSecOps纳入IT架构规划中,还应尽可能的从不同角度进行安全测试,以确保正在运行的组织平台的安全性。

加入NISP、CISP课程学习网络安全行业

报考联系人nisp证书管理中心丹丹老师

微信号:nisptest/13520967307

0
NISP管理中心

聚焦RSAC2020热点话题:应用安全与DevSecOps

作者:Pauline 浏览: 发表时间:2020-02-26 11:18:26

2020年RSA大会于2月24日至28日在旧金山召开。大会主题为“Human Element”。去年作为RSA大会DevSecOps日的转折点,约有超过800名从业人员参加了为期一天的专题活动。今年,重点则放在从业者如何在组织内部调整并向DevSecOps转型,详细解析了组织所面临阻碍其进步的问题类型,以及如何从公司的各个层面上获得支持帮助等内容展开讨论。

此前,嘶吼在分析参展厂商时发现有绝大多数企业聚焦DevSecOps这一话题,它作为一种为应用程序开发的生命周期引入安全性的设计考虑,最大程度地减少漏洞并使安全性更贴近IT实景和业务目标。就在当地时间2月24日结束的RSAC2020创新沙盒大赛上,十家初创公司中有半数企业聚焦应用安全,可以见得DevSecOps落地已成为大势所趋。

笔者认为 DevSecOps的前提是软件开发生命周期中的每个人都应对安全负责,也就是实质上将操作、开发与安全功能相结合。即安全性嵌入到开发流程中来,它并非将安全性最终固定于IT系统之中,而是通过在DevOps工作流程中嵌入安全控制流程进行安全管理的核心任务。

DevSecOps重要性体现在?

IT基础架构的巨大变化:向动态配置、共享资源和云计算的转变已推动了IT系统演进速度、敏捷性和成本收益等方面,这些都有助于改善应用程序的开发。

在云中部署应用程序的能力提高了规模和速度,向DevOps方法论的迁移和持续交付使得“大爆炸式”应用程序成为过去。尤其,DevOps一直以来将开发和IT运营集成在“单一自动化保护伞下”的原则对所有事情都有所帮助,从更频繁的功能发布调整到增强的应用程序稳定性中来。但是,许多安全性和合规性监视工具无法跟上这种变化的步伐,因为它们并不是为开发代码而开发的,它们无法以DevOps要求的速度进行测试。也就出现了以下观点:安全性是快速开发应用程序以及IT创新性最大障碍。

而人们为了破除这一阻碍,令安全性和IT系统架构更加巧妙的结合,推出了DevSecOps的方法论,改进由安全性带来的矛盾和阻碍。

DevSecOps的时代已然来临

DevSecOps优势:简而言之,它能够缩短实现更高标准的自动化时间长度,进而减少因决策失误带来的风险和一般情况下操作错误导致系统宕机或遭受不同程度攻击等问题。当然,这种自动化还一定程度上减少了安全人员手动配置平台的操作。

随着企业从DevOps逐渐过渡到DevSecOps,我们发现安全性和开发人员领域的出现重叠。在RSAC2020大会上,不论从达美航空公司的“Delta的DevOps转型”的演讲,还是英特尔公司的“开发人员的安全策略和法规趋势”的演讲中,均发现许多会议更多面向的是组织内部如何处理DevSecOps转型,他们面临的困扰、问题,进一步提升并将安全性更好的纳入开发流程的最佳实践中来。

RSAC2020 创新沙盒上应用安全与DevSecOps公司概览:

·BluBracket

关键词:代码安全

公司成立于2019年,BluBracket于上周宣布获得650万美元的投资。其主营代码安全解决方案,第一款产品是BluBracket CodeInsight,它是一种审核工具,目前已发布使用,该工具使公司可以全面了解谁从Git库中撤回了代码;第二个工具BluBracket CodeSecure需到2020年下半年才能使用,它保护代码安全性,囊括了按照分级对代码分类的安全能力,最高级别的代码将具有特殊地位,组织内部可以为其附加规则,如:未经允许不能将其分发到开源文件夹中等。

·ForAllSecure

关键词:下一代代码测试(模糊测试)解决方案

成立于2012年,2016年在DARPA网络大挑战赛中获得第一名;2017年入选《麻省理工科技评论》的50家智慧公司;去年ForAllSecure在New Enterprise Associates的领导下筹集了1500万美元的A轮融资。旗下技术平台Mayhem的下一代模糊测试安全方案,旨在做到“自动识别和修复软件中的安全漏洞”,对当前的威胁作出足够迅速的反应,而模糊测试的本身就是降低测试门槛,有效为组织建立起信任。

ForAllSecure的首席执行官David Brumley博士称“如果组织内安全人员不了解编码基础,要改进的不是令其成为开发人员,而是确保他们明悉软件和计算机是如何深入工作的,进一步提高安全技能。”

·Sqreen

关键词:RASP、WAF

Sqreen此前已经完成了1400万美元的A轮融资,该公司旨在提高Web应用程序和云基础架构的安全性。它的宗旨是不需要组织更改代码或防火墙设置,通过在服务器上安装一个软件包,并添加几行代码以在应用程序中执行调用所需Sqreen模块,更为轻量级的输出安全服务。它的应用程序安全平台可帮助组织保护应用程序,增加可见性,并通过查找关键威胁,修复漏洞将安全性集成到SDLC中来保护代码。其提供了低成本、高水平的RASP+in App WAF解决方案,为实现快速部署、高可扩展性、降低延迟提供了促进作用。

·Tala Security

关键词:WAF

现代化的Web体系结构极大地加快了网站和应用层攻击的速度,例如Magecart、XSS、重定向攻击和基于Web的恶意软件等。Tala Security的主打产品WAF,通过基于AI引擎进行实时分析,解决攻击目标为依赖JavaScript和第三方特权访问等威胁,其平台可抵御最广泛的客户端攻击,并对组织系统的性能影响为零。

·Vulcan Cyber

关键词:SOAR

Vulcan Cyber已于去年9月完成1000万美元A轮融资,截止目前总计融资1400万美元。该公司旨在通过自动化修补程序完成对于漏洞的修复操作。其平台将优先级和部署流程自动化,以更快地修复更多漏洞,有效较低业务运营风险和成本。

Vulcan Cyber可以很好地与所有主要的云平台以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具结合使用,还集成了众多主要的安全测试工具和漏洞扫描程序,其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

总结

尽管CI / CD在不断发展以满足包括容器编排在内的越来越多的软件开发需求,但应用程序中的许多默认设置都需要进行额外的强化以确保安全性。由此,将安全性集成到开发过程中成为必然趋势。组织选择使用更好的DevSecOps工具,确保从构建、部署、程序运行的整个生命安全周期中纳入安全性。随后,可以通过创建良好的DevSecOps文化氛围,搭建位于安全团队和运营团队之间的桥梁,保障开发团队在开发过程中也可以及时确认安全性,该步骤可以通过自动化检测与响应推进。还需要注重的一点是,组织不仅应将DevSecOps纳入IT架构规划中,还应尽可能的从不同角度进行安全测试,以确保正在运行的组织平台的安全性。

加入NISP、CISP课程学习网络安全行业

报考联系人nisp证书管理中心丹丹老师

微信号:nisptest/13520967307

聚焦RSAC2020热点话题:应用安全与DevSecOps
就在当地时间2月24日结束的RSAC2020创新沙盒大赛上,十家初创公司中有半数企业聚焦应用安全,可以见得DevSecOps落地已成为大势所趋。
长按图片保存/分享
0
文章推荐

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6