张显达 zxd blog
  文章分类
前端 114 后端 130 软件设计 22 软件工具 14 数据库 9 编程之道 9 人工智能 134 推荐工具 10 AI安全 7 Java 99 技术快报 6 工具链 2 工具 1 云计算 2 软件开发 2 网络安全 102 前端技术 2 物联网 99 可持续科技 1 量子计算 99 增强现实/虚拟现实 1 软件工程 99 消费电子 1 数字治理 99 Python 95 java 6 python 3 最新AI开发工具推荐 73 AI 工具链 4 科技深潮 1
零信任实战升级:强身份、设备信任与敏感操作门禁的工程落地 零信任实战升级:强身份、设备信任与敏感操作门禁的工程落地
导语:身份与设备仍是攻击入口,零信任不该停留在口号。本文给出工程化落地方案:强身份、设备信任、敏感操作门禁、风险引擎与审计证据包,并附可执行的核查清单。 1. 目标与指标 强身份覆盖率:高价值系统/管理员 100%,关键业务 ≥
2026-01-14 网络安全
MFA Zero Trust Audit Access Control Device Trust
API与身份安全的闭环运营:强身份、签名防重放与速率风控落地指南 API与身份安全的闭环运营:强身份、签名防重放与速率风控落地指南
导语:API 与身份是当前攻击的主战场,凭证泄露、重放、撞库、成本滥用频发。要把 API 安全做成运营闭环,需要强身份、签名防重放、速率与行为风控、审计可回放。本文给出可执行的落地方案与 SOP。 1. 目标与指标 强身份覆盖率:高价值接口
2026-01-13 网络安全
Zero Trust Audit Signing API Security Rate Limit
API安全运营闭环:身份前置、速率治理与签名溯源的实战方案 API安全运营闭环:身份前置、速率治理与签名溯源的实战方案
导语:当下攻击面正从Web页面转向API,常见风险包括凭证泄露、重放与撞库、滥用成本、供应链投毒。要把API安全做成“运营闭环”,需要身份前置、速率与风控治理、签名溯源、审计可回放。本文提供可直接落地的工程方案与SOP。 1. 安全目标与指
2026-01-09 网络安全
Zero Trust Audit Signing API Security Rate Limit
身份为先的零信任落地:多因素、设备信任与敏感操作门禁的工程方案 身份为先的零信任落地:多因素、设备信任与敏感操作门禁的工程方案
导语:安全圈近期的共识是:攻击面从“边界”转向“身份与设备”。VPN 和口令早已不够,凭证泄露、鱼叉钓鱼、被盗设备都可能成为入口。要把零信任落到工程层,需要三件套:多因素认证(MFA)、设备信任、敏感操作门禁与审计。本文给出可直接执行的落地
2026-01-07 网络安全
MFA Zero Trust Audit Access Control Device Trust
供应链安全的工程化打法:SBOM、签名溯源与可回放应急的落地流程 供应链安全的工程化打法:SBOM、签名溯源与可回放应急的落地流程
导语:当日与近期安全圈讨论最集中的议题之一,是“攻击面从业务系统转向供应链与身份链”。漏洞本身不可避免,但可避免的是:你不知道哪些服务受影响、补丁是否真的上线、以及事后无法复盘。本文给出一套工程化落地流程:用 SBOM 解决“我有哪些组件”
2026-01-04 网络安全
SBOM Zero Trust Incident Response Signing SLSA
从事件响应到节奏运营:补丁周、身份回收与供应链门禁的安全体系 从事件响应到节奏运营:补丁周、身份回收与供应链门禁的安全体系
导语:近期安全攻防的一个确定性趋势是:窗口期更短、扩散更快、链路更长。组织若仍依赖“事故发生后的临时加班”,很难长期对抗。更可行的路径是把安全做成运营系统:漏洞与补丁管理节奏化、身份权限可回收、供应链材料门禁化、处置过程证据化并可回放抽检。
2026-01-03 网络安全
Supply Chain Evidence Identity Vulnerability Management
安全运营闭环:漏洞节奏、身份回收与证据化响应的工程实践 安全运营闭环:漏洞节奏、身份回收与证据化响应的工程实践
导语:当日与近期安全事件持续提醒组织:窗口期更短、攻击链更复杂、扩散更迅速。安全不能只靠“事件发生后的强响应”,而要做成可持续运营系统:漏洞与补丁管理要节奏化与可验证,身份权限要可回收与可审计,供应链材料要门禁化与可核验,处置过程要证据化并
2025-12-31 网络安全
Zero Trust Evidence Pack Identity Vulnerability Management
攻击面运营化:补丁节奏、身份回收与供应链门禁的安全闭环 攻击面运营化:补丁节奏、身份回收与供应链门禁的安全闭环
导语:当日与近期安全事件的共同特征是窗口期短、传播快、链路长。组织若仍依赖“临时加班式响应”,很难长期对抗。更可行的方向是把攻击面管理做成运营系统:补丁响应节奏化与可验证,身份权限可回收与可审计,供应链材料门禁化与可核验,处置过程证据化与可
2025-12-30 网络安全
Supply Chain Evidence Identity Vulnerability Management
零信任从口号到运营:会话、设备与供应链的三条落地路径 零信任从口号到运营:会话、设备与供应链的三条落地路径
导语:当日与近期安全新闻的高频关键词仍然是:凭据滥用、会话盗用、边界入口漏洞与供应链投毒。零信任并不会自动解决这些问题,真正有效的零信任是“运营系统”:会话与身份链路可观测可回放,设备与工作负载身份可轮换可回收,供应链材料可核验可门禁,处置
2025-12-29 网络安全
SBOM Zero Trust Session Security Device Identity
以身份为控制面:会话治理、供应链证据与可回放处置的安全体系 以身份为控制面:会话治理、供应链证据与可回放处置的安全体系
导语:当日与近期安全事件呈现同一条攻击逻辑:攻击者更偏好从身份与会话缝隙扩散,而不是正面硬刚最强边界;供应链与构建链路则成为更隐蔽的入口。组织要提升韧性,必须把安全做成可运营系统:以身份为控制面、以供应链证据为交付面、以检测工程为增长面、以
2025-12-28 网络安全
Supply Chain Evidence Identity Session Security
1 / 11