章节
-
网络发展状况与重要性认识(了解)
-
网络信息安全现状与问题(了解)
-
网络信息安全基本属性(必须掌握)
-
网络信息安全目标与功能(目前了解,功能必须掌握)
-
网络信息安全基本技术要求(熟悉)
-
网络信息安全管理内容与方法(熟悉)
-
网络信息安全法律与政策文件(熟悉)
-
网络信息安全科技信息获取(熟悉)
网络发展状况与重要性认识*
-
**「数字化、网络化、智能化」**成为信息社会的主要特征,"万物互联’'时代己经来临。
-
狭义上的网络信息安全特指网络信息系统的各组成要素符合安全属性的要求,即**「机密性、完整性、可用性、抗抵赖性、可控性」**。
-
广义上的网络信息安全是涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的"大安全"。
-
围绕网络安全问题,保障网络信息安全的对象内容、理念方法、持续时间都在不断演变,其新的变化表现为三个方面:
-
一是保障内容从单维度向多维度转变,保障的维度包含网络空间域、物理空间域、社会空间域,
-
二是网络信息安全保障措施从单一性(技术)向综合性(法律、政策、技术、管理、产业、教育)演变;
-
三是保障时间维度要求涵盖网络系统的整个生命周期,保障响应速度要求不断缩短,网络信息安全没有战时、平时之分,而是时时刻刻。
-
2016年国家发布了《国家网络空间安全战略》,相关的网络安全法律法规政策也相继出台。
-
《中华人民共和国网络安全法》已于**「2017年6月1日」**起实施。为加强网络安全教育,网络空间安全己被增设为一级学科。
网络信息安全现状与问题*
-
根据国家信息安全漏洞共享平台统计(截至2020年5月),操作系统漏洞条目己达到上万条,网络设备漏洞条目有七千多条,数据库漏洞条目有两千多条。
-
2018年,国家信息安全漏洞共享.平台收集新增漏洞14201个,其中,高危漏洞4898个。
-
网络信息安全是网络信息化不可回避的重要工作,主要网络安全问题有:
-
网络强依赖性及网络安全关联风险凸显
-
网络信息产品供应链与安全质量风险
-
网络信息产品技术同质性与技术滥用风险
-
网络安全建设与管理发展不平衡、不充分风险
-
网络数据安全风险
-
高级持续威胁风险
-
恶意代码风险
-
软件代码和安全漏洞风险
-
人员的网络安全意识风险
-
网络信息技术复杂性和运营安全风险
-
网络地下黑产经济风险
-
网络间谍与网络战风险
网络信息安全基本属性
网络信息安全基本属性-CIA安全属性***
常见的网络安全基本属性有机密性、完整性、可用性、抗抵赖性、可控性,此外还有真实性、时效性、合规性、隐私性、合规性、公平性、可靠性、可生存性。
❝
「CIA三大属性」 核心内容:
「机密性(Confidentiality)」 :是指网络信息 「不泄露」 给非授权的用户,实体或程序,能够防止非授权者获取信息。
「完整性(Integrity)」 :是指网络信息或系统 未经授权不能进行更改的特性 。( 「不被篡改」 )
「可用性(Availability)」 :是指合法许可的用户能够 「及时获取」 网络信息或服务的特性。( 「随时可以使用」 )
❞
抗抵赖性:是指 「防止」 网络信息系统相关 「用户否认」 其活动行为的特性。( 「不可否认性」 )
可控性:是指网络信息系统责任主体对其 「具有管理、支配能力的属性」 ,能够根据授权规则对系统进行有效掌握和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。
网络信息安全基本属性-其他安全属性**
| 其他特性 | 概念 |
|---|---|
| 真实性 | 是指网络空间信息与实际物理空间、社会空间的客观事实**「保持一致性」** |
| 时效性 | 是指网络空间信息、服务及系统能够满足**「时间约束」**要求 |
| 合规性 | 是指网络信息、服务及系统符合**「法律法规」**政策、标规标准等要求 |
| 公平性 | 是指网络信息系统相关主体处于**「同等地位」**处理相关任务,任何一方不占据优势的特性要求 |
| 可靠性 | 是指网络信息系统在规定条件及时间下,能够**「有效完成」**预定的系统功能的特性 |
| 可生存性 | 是指网络信息系统在安全受损的情形下,提供最小化、必要的服务功能,能够**「支撑业务继续运行」**的安全特性 |
| 隐私性 | 是指有关个人的敏感信息**「不对外公开」**的安全属性 |
网络信息安全目标与功能
网络信息安全目标与功能一网络信息安全目标*
-
网络安全目标可以分成**「宏观」的网络安全目标和「微观」**的网络安全目标。
-
宏观的网络安全目标是指网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规等。
-
微观的网络安全目标则指网络信息系统的具体安全要求。
-
网络安全的具体目标是**「保障网络信息及相关信息系统免受网络安全威胁」**,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营,数据安全得到有效保护。
网络信息安全目标与功能一网络信息安全功能**
要实现网络信息安全基本目标,网络应具备**「防御」、「监测」、「应急」、「恢复」**等基本功能。( 「防御监测、应急恢复」 )
| 安全功能 | 内容 |
|---|---|
| 防御 | 是指采取各种手段和措施,使得网络系统**「具备阻止、抵御各种己知网络安全威胁」**的功能 |
| 监测 | 是指采取各种手段和措施,**「检测、发现各种己知或未知的网络安全威胁」**的功能 |
| 应急 | 是指采取各种手段和措施,针对网络系统中的突发事件,**「具备及时响应和处置网络攻击」**的功能 |
| 恢复 | 是指采取各种手段和措施,针对己经发生的网络灾害事件,**「具备恢复网络系统运行」**的功能 |
网络信息安全基本技术要求一九个方面*
| 技术要求 | 内容 |
|---|---|
| 物理环境安全 | 是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是**「网络系统安全、可靠、不间断运行的基本保证」。物理安全需 求主要包括「环境安全、设备安全、存储介质安全」**。 |
| 网络信息安全认证 | 是**「实现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法」**。网络认证的作用是标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。 |
| 网络信息访问控制 | 是有效保护网络管理对象,使其免受威胁的关键技术方法。其目标主要有两个:「(1)限制非法用户获取或使用网络资源;(2)防止合法用户滥用权限,越权访问网络资源」 |
| 网络安全保密 | 网络安全保密的目的就是**「防止非授权的用户访问网上信息或网络设备」**。 |
| 网络信息安全漏洞扫描 | 入侵者通常都是通过一些程序来探测网络系统中存在的安全漏洞,然后通过所发现的安全漏洞,采取相应技术进行攻击。因此,网络系统中需**「配备弱点或漏洞扫描系统」**,用以检测网络中是否存在安全漏洞,以便网络安全管理员根据漏洞检测报告,制定合适的漏洞管理方法 |
| 恶意代码防护 | 网络是病毒、蠕虫、特洛伊木马等恶意代码最好、最快的传播途径之一。恶意代码可以通过网上文件下载、电子邮件、网页、文件共享等传播方式进入个人计算机或服务器。因此,「防范恶意代码是网络系统必不可少的安全需求」。 |
| 网络信息内容安全 | 是指相关网络信息系统承载的信息及数据符合法律法规要求,防止不良信息及垃圾信息传播。相关网络信息内容安全技术主要有**「垃圾邮件过滤、IP地址/URL过滤、自然语言分析处理」**等 |
| 网络信息安全监测与预警 | 网络系统面临着不同级别的威胁,网络安全运行是一件复杂的工作。网络安全监测的作用在于发现综合网系统入侵活动和检查安全保护措施的有效性,以便及时报警给网络安全管理员,对入侵者采取有效措施,阻止危害扩散并调整安全策略 |
| 网络信息安全应急响应 | 网络系统所遇到的安全威胁往往难以预测,虽然采取了一些网络安全防范措施,但是由于人为或技术上的缺陷,「网络信息安全事件仍然不可避免地会发生」。既然网络信息安全事件不能完全消除,则必须采取一些措施来保障在出现意外的情况下,恢复网络系统的正常运转。同时,对于网络攻击行为进行电子取证,打击网络犯罪活动。 |
网络信息安全管理内容与方法
网络信息安全管理内容与方法一网络信息安全管理*
-
网络信息安全管理是指**「对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性」**等,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。
-
网络信息安全管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。网络信息安全涉及内容有**「物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全」**。
-
网络信息安全管理的目标就是通过适当的安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。
-
网络安全管理方法主要有**「风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-Check-Act,戴明循环)」**方法等。
-
网络信息安全管理要素由**「网络管理对象、网络威胁、网络脆弱性,网络风险、网络保护措施」**组成。
-
网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的存在形式包括有形的和无形的,如网络设备硬件、软件文档是有形的,而服务质量、网络带宽则是无形的。
-
根据威胁主体的自然属性,可分为**「自然威胁和人为威胁」。自然威胁有「地震、雷击、洪水、火灾、静电、鼠害和电力故障」等。从威胁对象来分类,可分为「物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁」**。
-
脆弱性指计算系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。CC标准指出,「脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险」。
-
保护措施是指为对付网络安全威胁,减少脆弱性,限制意外事件的影响,检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。
-
网络信息安全管理评估是指对网络信息安全管理能力及管理工作是否符合规范进行评价。常见的网络信息安全管理评估有网络安全等级保护测评、信息安全管理体系认证(简称 ISMS) 系统安全工程能力成熟度模型(简称 SSE-CMM) 等。
网络信息安全管理内容与方法一网络信息安全风险**
网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单地说,「网络风险就是网络威胁发生的概率和所造成影响的乘积」。
网络安全管理实际上是对网络系统中网管对象的风险进行控制:
| 风险控制 | 内容 |
|---|---|
| 避免风险 | 通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击 |
| 转移风险 | 购买商业保险计划或安全外包 |
| 减少威胁 | 安装防病毒软件包,防止病毒攻击 |
| 消除脆弱点 | 给操作系统打补丁或强化工作人员的安全意识 |
| 减少威胁的影响 | 采取多条通信线路进行备份或制定应急预案 |
| 风险监测 | 定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为 |
网络信息安全管理内容与方法一网络信息安全管理流程**
- 网络信息安全管理一般遵循如下工作流程:
-
「确定」网络信息安全管理「对象」
-
「评估」网络信息安全管理对象的「价值」
-
「识别」网络信息安全管理对象的「威胁」
-
「识别」网络信息安全管理对象的「脆弱性」
-
「确定」网络信息安全管理对象的「风险级别」
-
「制定」网络信息安全「防范体系及防范措施」
-
「实施」和落实网络信息安全「防范措施」
-
「运行/维护」网络信息「安全设备、配置」
(「确定对象一评估价值一识别威胁一识别脆弱性一确定级别一制定措施一实施措施一运行配置」)
网络信息安全法律与政策文件**
-
《中华人民共和国网络安全法》,自**「2017年6月1日」**起施行。
-
《中华人民共和国密码法》(以下简称密码法)于**「2020年1月1日」**起实施。
-
采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志**「不少于六个月」**。
-
网络安全等级保护的主要工作可以概括为**「定级、备案、建设整改、等级测评、运营维护」**(监督管理)。
-
定级工作是确认定级对象,确定合适级别,通过专家评审和主管部门审核,
-
备案工作是按等级保护管理规定准备备案材料,到当地公安机关备案和审核;
-
建设整改工作是指依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系
-
等级测评工作是指等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书
-
运营维护(监督管理)工作是指等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。
-
「中国网络安全审查技术与认证中心(CCRC」,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
-
域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全事件时,应当在**「24小时内」**向电信管理机构报告。域名是政府网站的基本组成部分和重要身份标识。
-
国家计算机网络应急技术处理协调中心(简称’'国家互联网应急中心",英文缩写为CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。CNCERT的主要职责是:按照**「积极预防、及时发现、快速响应、力保恢复」**的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保障关键信息基础设施的安全运行。
网络信息安全科技信息获取*
-
网络信息安全科技信息获取来源主要有**「网络安全会议、网络安全期刊、网络安全网站、网络安全术语」**等。
-
网络信息安全领域"四大"顶级学术会议是S&P、CCS、NDSS、USENIX Security。
-
网络信息安全术语是获取网络安全知识和技术的重要途径,常见的网络安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等。
-
基础技术类术语常见的是密码。常见的密码术语如加密(encryption)、解密(decryption)、、非对称加密算法 (asymmetric cryptographic algorithm) 、公钥加密算法 (public key cryptographic algorithm) 、公钥 (public key)等。
-
风险评估技术类术语包括拒绝服务 (Denial of Service) 、分布式拒绝服务 (Distributed Denial of Service) 、网页篡改 (Website Distortion) 、网页仿冒 (Phishing) 、网页挂马( Website Malicious Code) 、域名劫持 (DNS Hijack) 、路由劫持 (Routing Hijack) 、垃圾邮件 (Spam) 、恶意代码 (Malicious Code) 、特洛伊木马 (Trojan Horse) 、网络蠕虫 (Network Worm) 、僵尸网络 CBotNet) 等。
-
检测技术类术语包括入侵检测(IntrusionDetection)、漏洞扫描(VulnerabilityScanning)等。
-
防护技术类术语包括访问控制 (Access Control )防火墙 (Firewall) 、入侵防御系统 (Intrusion Prevention System) 等。
-
检测技术类术语包括入侵检测 (Intrusion Detection) 、漏洞扫描 (Vulnerability Scanning) 等。
-
响应/恢复技术类术语包括应急响应(Emergency Response )灾难恢复(Disaster Recovery) 备份 (Backup) 等。
-
测评技术类术语包括黑盒测试 (Black Box Testing) 、白盒测试 (White Box Testing) 、灰 盒测试 (Gray Box Testing) 、渗透测试 (Penetration Testing) 、模糊测试 (Fuzz Testing)。
练习
1、()不是网络信息安全的CIA安全属性?
A、机密性
B、可用性
C、可控性
D、完整性
2、()是指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求?
A、真实性
B、公平性
C、可靠性
D、可生存性
3、网络信息安全功能不包括()?
A、防御
B、监测
C、应急
D、识别
4、网络信息安全威胁从威胁对象来分类,以下不正确的是()?
A、物理安全威胁
B、网络通信威胁
C、网络服务威胁
D、网络数据威胁
5、某企业采取多条通信线路进行备份或制定应急预案,此措施属于()?
A、避免风险
B、转移风险
C、减少威胁
D、减少威胁的影响
6、()是中国计算机网络应急处理体系中的牵头单位?
A、CCRC
B、CNCERT
C、国家网信办
D、国家应急管理局
7、以下哪项不是信息化社会的主要特征()
A、数字化
B、虚拟化
C、网络化
D、智能化
8、狭义上的网络安全指的是()
A、网络信息系统的各组成要素符合安全属性的要求。
B、涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全在内的安全。
C、网络信息系统运行环境、软件、硬件、运行维护安全。
D、网络信息系统开发生命周期的安全
9、以下哪项不是网络安全问题的新的变化()
A、保证内容从单维度向多维度转变
B、保障措施从单一性向综合性转变
C、保证时间维度要求涵盖网络系统的整个生命周期,保障响应速度要求不断缩短
D、保证空间范围从局部向全局转变
10、未授权的实体得到了数据的访问权,这属于对安全的()的破坏
A、机密性
B、完整性
C、合法性
D、可用性
11、()是指采取各种手段和措施,使得网络系统具备阻止、抵御各种己知网络安全威胁的功能。
A、防御
B、预防
C、监测
D、阻断
12、《中华人民共和国密码法》于()起实施。
A、2018年1月1目
B、2019年1月1日
C、2020年1月1目
D、2021年1月1日
13、以下关于CNCERT(国家互联网应急中心)的主要职责描述错误的是()
A、积极预防
B、定期发现
C、快速响应
D、力保恢复
14、网络信息安全术语是获取网络安全知识和技术的重要途径,以下()是风险评估技术类。
A、加密
B、风险监测
C、防火墙
D、拒绝服务
15、简述网络信息安全的CIA属性内容?(简答题)
16、简述常见的网络安全风险控制的措施有哪些?(简答题)
17、简述网络信息安全管理遵循的一般流程?(简答题)
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
-
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
-
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取