先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
轨道行业的国际安全标准主要由CENELEC是欧洲铁路电工设备标准化委员会(替代国家标准)发布,CENELEC与IEC合作,其标准通常被接受为全球标准。目前CENELEC/IEC标准主要包括:
轨道行业主要安全标准
•EN 50126 :1999 (IEC 62278) **(Part2 :2017)**铁路控制和保护系统的RAMS(可靠性,可用性,可维护性和安全性)规范和演示
•EN 50129:2003 (IEC 62280) 铁路控制和保护系统的安全案例
•EN 50128:2011 (IEC 62279) 铁路控制和保护系统软件
EN 50126 和 EN 50129 关注系统层需求 , EN 50128 关注软件层需求
预告:下一篇讲继续介绍基于以上标准,各个行业的认证、鉴定、信用批准,以及各个标准的技术比较。
【参考文献目录】
- Emmanuel Ledinot(1), Jean-Marc Astruc(2), Jean-Paul Blanquart(3), A cross-domain comparison of software development assurance
- P. Baufreton1, JP. Blanquart2, JL. Boulanger3,Multi-domain comparison of safety standards,2010
引言
上一篇文章简要介绍了各个行业主要的安全标准,这一篇继续分享— 基于各行业的安全标准,怎样进行软件认证、工具鉴定、信用批准等方面。
首先,我们来看两个概念----
认证 Certification Vs. 评估 Assessment
谈到安全标准,我们就避不开两个基本概念:认证和评估。
- 评估 Assessment: 为某个实体(个人、组织或人工产品)授予某置信水平的一系列活动。其有效性依赖于: 项目、参与者、使用情况、时间线。
- 认证 Certification: 评估申请人向认证机构证明其工程过程,表明制造商通过遵守安全标准来确保对安全目标的监管。认证旨在验证在一个领域(如能源或运输)提供安全关键产品或服务的工业行为者确实提供了安全的产品或服务。 认证涉及申请人,标准条例,管理局和必须独立或部分独立于申请人的评估机构。
大多情况下,这些标准条例是由国际组织成员国设立的,成员国同意建立共同的规则来防止共同的风险。比如: ICAO在民航,IAEA核工业,联合国在航天工业。某些情况下,标准条例在国家级生效,然后在国际层面上解决跨境互操作性问题。 比如铁路行业,欧洲成员国目前正在执行标准的统一进程 — 相互接受其国家证书。
*注意:工业领域的认证并不会导致责任从申请人转移到认证机构。 在发生严重事故的情况下,涉及的制造商或服务提供者是唯一可以起诉的实体。*
此外,还有一个概念也经常被提及,那就是鉴定 Qualification:
鉴定针对**特定项目中的特定任务,**是为一个实体(可以是一个组织、一个人、一个工具)提供置信水平的一系列活动。
例如,用鉴定来确保通过使用工具自动化的软件生命周期过程将导致与手动执行过程相同或更高质量的输出。
目前,无论是航空、轨道、汽车等领域,还是工业领域,都对工具使用有着特别的要求,如果通过使用工具,消除或者自动化了部分人工工作,都需要根据所涉及的软件安全级别,对所使用的工具进行相应等级的工具鉴定。这实际上是把软件开发人员的部分工作转移到了工具开发商那边。
各行业对评估和认证的信用批准
根据各行业的不同情况,管理局和评估机构可能是同一机构(例如,民用航空局的FAA和EASA),也可能只有颁发证书的机构,但没有与申请人(例如工业自动化和航天业)独立的评估机构的情况。
申请人和评估机构之间的利益无关,是核工业(IRSN)、铁路(ERA,EPSF,STRM-TG)和航空(EASA-FAA)认证的关键要求。
- 航空
由FAA或EASA等独立机构负责飞机及其嵌入式系统的安全认证。
认证通常适用于飞机或发动机类型。
认证机构将软件视为安装在认证飞机或发动机中的机载系统或设备的一部分; 也就是说,认证机构不会将该软件作为唯一的独立产品。 目前,计算机硬件和软件必须做为每次安装的一个“系统”被批准。
- 航天
适用于欧洲航天领域的一系列标准,由ECSS、欧洲航天标准化合作,欧洲航天局,国家航天机构和欧洲工业协会为发展和维持共同目标而合作制定。
ECSS标准不是法律强制的,而是通过合同逐案提出、采用、修改。这并不意味着航天业不会以更严格的方式进行认证 — 大多数国家对于在其领土上发射的航天设备,都制定了与发射装置、航天器、发射程序有关的特定法律规则,以及相应的许可证制度。
- 汽车领域
SAE ISO 26262提供了一系列要求,即所谓的确认措施,以确保对E/E方面的安全性进行适当的评估。
执行确认措施的行为人员应具有与负责发展和释放生产的人员的最低程度的独立性。 **ASIL(汽车安全完整性等级)**越高,所需的独立性就越高。 值得注意的是,所需的最高独立性, 可能允许在同一家公司内。
确认措施包括:
**安全评估,**以验证关键的可交付成果,
安全审计,以验证过程的适当性,
评估整个安全项目的安全评估。
- 轨道交通
主要认证标准是法律要求的欧洲铁路标准 CENELEC 5012x系列标准, 它们是欧盟铁路行业的“实践守则”,也是铁路安全相关应用审批的先决条件和促进市场准入的国际标准,在欧洲各国具有法律的约束力。
认证和鉴定根据符合特定标准和/或规范要求确定。可能需要第三方认证,或进行自我评估。
比较成熟的评估体系包括:英国CASS安全评估框架、德国TUV评估体系等,他们主要以EN铁路标准为基准,依托第三方评估机构对已有线路和在建项目的进行安全性论证。
- 工业自动化
标准IEC 61508 不提供任何类型的认证。
欧洲机械业指令(EMD)要求完成具有CE标识的认证 — 由制造商完成自我认证。
- 核工业
所有使用核能的国家都设立了安全管理局,以控制其使用,保护人民和环境免受辐射的有害影响。比如在法国,安全管理局是ASN大学, 其技术支持是无线电保护和核保安学院(IRSN)。核电厂不是去提交“认证”申请,而是通过授权运营。 根据ASN的提案,授权必须通过政府的正式法令。
一张图总结:
各行业的申请人、评估机构与认证机构
我们可以看到,通常在航空、轨道、航天、核能领域,都要求由独立的第三方机构进行认证,而自动化、汽车领域,并没有强制要求第三方认证(近年来,汽车行业随着自动驾驶的快速发展,安全性要求进一步提升,已经有改变的趋势)。
不同行业,评估和认证独立性要求严格程度递增
预告: 不小心写太长,下一篇继续介绍各行业标准的技术比较。
【参考文献目录】
- Emmanuel Ledinot(1), Jean-Marc Astruc(2), Jean-Paul Blanquart(3), A cross-domain comparison of software development assurance
- P. Baufreton1, JP. Blanquart2, JL. Boulanger3,Multi-domain comparison of safety standards,2010
引言
上两篇文章简要总结了不同行业的软件安全标准概况和认证、取证,这篇接着来说说各个标准在技术上的具体差别。
Jessie Yang:不同行业的软件安全标准介绍和对比 (上篇)9 赞同 · 0 评论文章
Jessie Yang:不同行业的软件安全标准介绍和对比 (中篇)5 赞同 · 0 评论文章
各个标准的软件安全标准技术比较
不同行业对于软件安全的标准和要求各有特点,基本上可以从几个方面来做个比较和总结:
- 集成安全系统 Vs. 独立安全系统
- 规定目标 Vs. 规定方法
- 严重程度和保证级别分类
- 容错或故障预防
- 概率评估与确定性分析
- 安全案例
1)集成安全系统 Vs. 独立安全系统
根据不同应用和领域,“安全”是通过不同架构来确保的。
比如, 核电、机械自动化、航天和轨道领域通常采用一个专门的安全系统:安全由一个相对独立的系统来监控和保证,与执行所需功能的系统区分开来。而汽车和航空领域,安全性通常是“集成”在功能系统中。
在具体实践中,这种选择是根据风险与保护系统的结构来确定。例如,如果没有特定的安全状态,分离的保护系统是没有作用的,因为在保护系统故障时,不可能将受控设备驱动到安全状态。因此,必须专注于安全控制系统,而不是去开发专用的独立保护系统。
汽车行业,硬件成本是关键的设计驱动。因此,不会考虑专用的独立保护系统。在大多数应用中,控制系统提供内置机制来检测故障并将系统置于安全状态。在某些情况下,当可以使用另一个系统的现有功能作为保护机制时,则会考虑外部安全。
2)规定目标 Vs. 规定方法
各个安全标准,或者对满足高级别安全目标的方法进行规定,或者对目标进行规定,至于方法,则完全由申请人负责。
**方法规范性标准,**在严格按照作者所设想条件的情况下,易于使用。然而,它不能很好地应对新技术、方法和工具的出现。
目标规范性标准可适用于各种技术、生命周期、工具等,但需要在使用前进行解释 ; 并且解释可能存在问题,可能与标准作者的意图有很大差异。
在这两个极端之间,不同的标准采取了各种立场:
IEC 61508和EN 50128是指定方法的,因为它“建议”、“强烈建议”甚至“命令”具体的方法来实现安全目标;
ED-12 / DO-178 一般认为是目标性规定标准;
ISO / DIS 26262和ECSS,通过建议技术方法,混合了一些针对目标的要求。
3)严重程度和保证级别分类
在各个行业领域中,标准都有 “级别”的分类,比如安全完整性级别、关键类别等。其思想是将系统(或功能,组件等)与潜在故障的最坏后果(严重程度)相关联 ,某些领域(例如汽车)里,可能与曝光频率相结合。 经典的基于风险评估的方法中,每个“级别”对发生故障的可能性设置了限制,从而将风险控制在可接受的范围内。
关键类别通常都是分配给功能, 这样就定义了用于开发(和验证)该功能的实施元素(系统\硬件\软件项目)的(部分)需求,以便针对不同类别适当地处理可能的故障来源:
- 随机硬件故障:对于每个类别,安全标准定义了目标最大故障率、导致故障的最小独立错误数。
- 影响系统、硬件或软件设计的开发错误:安全标准定义了适用于所有开发和验证过程的要求,特别是开发和验证流程。对于不同的关键类别(或类似概念),有着不同的要求,定义不同的DAL(开发保证级别)。 其思想是,不试图量化评估由于这些错误而导致的故障概率,而是考虑满足这些要求,提供了与风险严重程度相当水平的信心。
所有标准在基本原则上都是一致的,并且都认为必须强制隔离不同级别元素之间的故障传播。但是,针对如何对后果的严重程度定义和排序,以及如何分配关键类别(例如,是否以及如何,通过在较低级别采用某种冗余方案,来实现某个级别的功能),标准之间存在着明显的差异。
- IEC 61508 分为SIL 1-4 ,EN50128分为SIL 0-4 ,ISO / DIS 26262分为ASIL A,B,C,D
- ED-12 / DO-178 分为 DAL A,B,C,D ,其中A级针对灾难性后果,为最高级别
每个类别相关的要求甚至其性质也存在差异。
- ED-12B / DO-178B对不同的级别规定了过程目标
- IEC 61508或EN 50128明确列出了不同级别推荐的技术
- ISO / DIS 26262和ECSS,通过建议技术方法,混合了一些针对目标的要求。
4)容错和故障预防
基本上,各个领域中,容错都是在系统级别要求,而不是在软件层面进行要求:软件标准基本上针对如何实现无错误的软件,或明确规定(IEC 60880 或 EN 50128),或隐含要求(ED-12 / DO-178等),通常是通过对过程(例如,清晰全面的文档、遵守规范、设计和代码标准)和产品(例如,验证、确定性结构、管理并行性、完全由输入确定功能的行为)提出要求。
软件标准(如 IEC 60880)通常要求的自检,主要面向随机硬件故障的检测,例如内存损坏或传输错误。在检测到故障的情况下,标准不要求继续正常处理,但要求采取预定义的行为(例如,将输出设置到安全位置)。软件不考虑对自身错误的容错,因为检测和重新配置算法,可能比功能软件本身更复杂,反而增加错误的可能性。
- IEC 60880等标准要求自检不会对预期功能产生不利影响。
- 轨道行业标准 CENELEC EN 50128 指出,不建议软件的向后和向前恢复、动态重新配置和/或故障校正。
**在系统级别或顶层架构上,可以通过冗余设计,实现对潜在软件容错。**例如,系统内的次计算机可以监视主计算机,并使用不同的算法检查其输出的合理性,或者基于涉及不同物理测量的不同算法,两个不同的系统可以独立地触发给定的安全动作。这些架构解决方案之间的选择主要取决于底层受控过程的特征。
5)概率评估与确定性分析
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-UJ2FtE0P-1713212502810)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
3112
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
