最新Web安全-等保测评_db2等保测评命令，2024年最新自学者福利

2401_84297193

于 2024-05-14 01:16:12 发布

阅读量614

点赞数 12

分类专栏：程序员文章标签：网络安全学习面试

本文链接：https://blog.csdn.net/2401_84297193/article/details/138826795

版权

程序员专栏收录该内容

154 篇文章 0 订阅

订阅专栏

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

等级保护涉及范围

省辖市以上党政机关的重要网站和办公信息系统；
电信、广电行业的公用通信网、广播电规传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

信息系统等级划分

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：
在这里插入图片描述
等级保护工作流程

信息安全等级保护工作包括 定级、备案、整改建设、等级测评、监督检查五个阶段。

在这里插入图片描述 等保基本要求的三种技术类型（S/A/G）

等保测评类型	介绍
S	保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求；物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等；
A	保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求；电力供应、资源控制、软件容错等
G	通用安全保护类要求。技术类中的安全审计、管理制度等

等级保护测评指标

等保1.0 VS 等保2.0

2019年5月13日，在网络安全领域，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准今日正式发布，2019年12月1日开始实施。
在这里插入图片描述

1、结构的变化：将安全管理中心从管理层面提升至技术层面。
在这里插入图片描述
2、要求项数量的变化

其他变化项	介绍
覆盖范围的变化	等保2.0实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
防护理念的变化	等保2.0从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变，注重全方位主动防御、安全可信、动态感知和全面审计。
定级流程的变化	等保2.0标准不再自主定级，而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格，将促进定级过程更加规范，系统定级更加合理。
测评周期的变化	相较于等保1.0，等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求，第三级以上的系统每年开展一次测评，修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。
测评结果的变化	等保2.0里，测评达到75分以上才算基本符合。基本分高了，要求变得更高，过等保相对以往一是没那么容易了，另一点也需要投入更多。

三权分立

目前大量的数据都是保存在数据库中的。数据库提供了基本的用户名/口令保护，必须有相应的用户名/口令才能查询到数据，而且不同用户之间也不能随意看到对方的数据。

但是数据一旦保存在数据库里就真的安全了吗？事实并非如此简单。因为在数据库中还存在一些所谓的“超级用户”（也称为DBA——数据库管理员的英文文缩写），例如Oracle数据库中的sys和system用户，IBM DB2数据库的db2admin用户, Microsoft SQL Server或Sybase数据库的 sa用户。只要用这些超级用户登录数据库，就可以看到数据库中所有用户的数据，也可以修改任何用户的数据。

为什么会存在这些超级用户呢？这些超级用户是数据库创建过程中的缺省用户，可以认为是数据库中的“造物主”，因为所有新的用户都是由他们创建的。他们就象Unix系统的 root 用户，Windows的Adminstrator用户，有着至高无上的权力。当然，为了安全，一般这种超级用户的口令都被掌握在极少数人手里。

但是过度集中的权力都会带来问题，当超级用户拥有最高权力的时候，意味着他或她可以做任何想做的事，而且可以不留下任何痕迹。

现实世界里解决权力过度集中的方式之一就是三权分立。我们想象一下，如果有人可以执行管理数据的操作，有人负责控制管理数据的规则，另外还有人监督和审计前两类人的行为，那么权力过度集中的问题就可以通过互相制约被解决。这就和政治学里著名的行政、立法、司法三权分立不谋而合。

概念	解释
三权	配置，授权，审计；
三员	系统管理员，安全保密管理员，安全审计员；
三员之三权	废除超级管理员；三员是三角色并非三人；安全保密管理员与审计员必须非同一个人。

BMB20-2007 提出的系统管理员、安全保密管理员和安全审计员是 3 类岗位或角色，并不是指 3 个人，可以是多人。各涉密信息系统应该根据实际情况，配备合理数量的安全保密管理人员，以满足系统安全保密管理的需要。

系统管理员主要负责系统的日常运行维护工作，其主要职责是确保涉密信息系统处于无故障运行的状态。
安全保密管理员主要负责涉密信息系统的日常安全保密管理工作，包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查分析，是整个系统安全方面的主要责任人。
安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报相关情况。

以下是数据管理三权分立的详细规划：

【第一类】用户是数据库管理员，他们有数据的管理权（行政权）。

他们可以授予和取消普通用户数据访问的权限，执行数据管理的各种操作。他们仍然能做一些特殊的，需要数据库级权限的操作，例如备份整个数据库的数据。但是传统的数据库管理员的“万能”的权力被大大削减，包括创建新用户的权限也会被收回。

【第二类】用户是安全管理员，他们拥有安全规则的制定权（立法权）。

和之前的由DBA管理用户权限不同的是，他们在数据库原有的权限管理之外，对数据的访问控制做更周密和灵活的规则设置。例如指定某些敏感数据的集合只能被指定的用户访问，如果没有被指定，即使是DBA也无法访问。又例如，即使是数据的所有者，也可以被安全管理员限制不能删除自己的数据。安全管理员可以规定某些操作只能在某个时间段内执行，或者某些操作只能在指定的IP地址上执行。

但是安全管理员不能为用户授予各种权限，也就是说，如果要想让某个用户（包括安全管理员自己）看到另一个用户的数据，还必须由另一个用户自身或者数据库管理员先对该用户授权。这是一种互相制约的机制。安全管理员可以创建新用户，可以指定新用户为某些敏感数据的允许访问者，这是个必要条件。但是并不意味着这个新用户就可以看到这些敏感数据，他还需要得到DBA的授权。而DBA也不再能随意查询或修改其他用户的数据。DBA原来的种种特权也可以被安全管理员根据实际需求通过命令规则进行限制。

【第三类】用户是审计管理员，他们拥有数据操作的审计权（司法权）。

他们可以监督前两类用户的操作，如果发现有不符合法规或内部控制要求的活动，他们可以调查这些活动的细节。这些活动可能包括数据库管理员将权限授给不合适的用户，或者安全管理员临时取消某些安全规则，以方便某些用户执行非法操作等等。

审计管理员和安全管理员一样，本身都不能执行对其他用户的具体数据的操作，这是一种平衡。但是审计管理员拥有一套机制，可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。对于普通的数据库用户，相当于平民大众，他们的日常操作不会受到任何影响，所有访问数据库的应用程序也不需要做任何修改。但是他们对敏感数据的所有操作，也可以被记录下来，受到审计管理员的审计和监督。

至此，滥用数据库超级用户特权的安全漏洞可以完全被堵住。整个数据管理的安全性也得到了本质的提高。

角色	职责
系统管理员	菜单管理、参数管理、角色设置、组织机构管理、用户的运维管理（只能修改和重置密码，不能新建和删除）、不允许查看审计日志
安全管理员	用户权限的分配（可以分配业务角色）、可以新建和删除用户、不可修改用户信息；不允许查看审计日志
审计管理员	只允许查看审计日志，监督系统管理员和安全管理员的操作行为

实例三员分配实例

系统管理员、安全保密管理员和安全审计员分别承担本单位涉密信息系统的日常运行维护（配置）、安全保密管理（授权）及安全审计（审计）工作。“三员”权限设置相互独立、相互制约，安全保密管理员与安全审计员不得由一人兼任。

一、系统管理员职责
（一）定期或不定期巡检，确保机房设备的安全和正常运行，发现异常情况及时处理；
（二）掌握网络设备配置情况，负责网络和设备的管理维护，及时排除故障；
（三）安装、配置涉密终端，做好维护和故障处理；
（四）负责重要数据的定期备份和数据恢复。

二、安全保密管理员职责
（一）掌握本单位涉密终端的配用情况，建立管理台账（包括数量、密级、责任人、责任处室、安放地点等）；
（二）管理分配用户账号及相应权限，定期更改口令；
（三）负责安全设备的日常管理和维护；
（四）每月对重要安全产品的日志进行分析整理，及时发现安全保密隐患并妥善处理。

三、安全审计员职责
（一）审计涉密信息系统安全策略执行情况；
（二）每周查看安全审计记录，并记录审查情况；
（三）定期备份安全审计日志，保留周期为两年；
（四）每月检查系统管理员和安全保密管理员的工作情况，并进行符合性检查，形成审计记录，报送主管领导；
（五）在工作中发现问题应立即报告主管领导。

双机热备

在这里插入图片描述

概念	解释
单机部署（stand-alone）	只有一个饮水机提供服务，服务只部署一份
集群部署（cluster）	有多个饮水机同时提供服务，服务冗余部署，每个冗余的服务都对外提供服务，一个服务挂掉时依然可用
热备部署（hot-swap）	只有一个桶提供服务，另一个桶stand-by，在水用完时自动热替换，服务冗余部署，只有一个主服务对外提供服务，影子服务在主服务挂掉时顶上

【背景】服务器宕机，好捉急！有些人对服务器宕机没什么，但对于那些赚起钱来堪比印钞机的互联网公司一分、甚至一秒服务器宕机都无法容忍，这种情况如何避免呢？——双机热备方案。

【需求】保证服务器正常运行，提高服务器的高可用性，避免服务器单点故障。比如说:服务器宕机对于一些需要实时在线的用户而言，网站打开不等于丢失了客户，更有甚者丢失数据，造成更大的经济损失。

【原理】双机热备即使用两台服务器互相备份。当一台服务器出现故障时，可由另一台服务器承担服务任务，从而在不需要人工干预的情况下，自动保证系统能持续对外提供服务。

【方案】
在这里插入图片描述
双机热备采用两台服务器（尽量配置完全相同，不一样存在未知风险），使用磁盘阵列共享数据，而两台服务器采用一主、一备方式。

两台服务器将以一个虚拟IP连接外网，将服务请求发送其中一台服务器完成工作。同时，服务器通过心跳线侦测另一台服务器的工作状态；当一台服务器出现故障时，另一台根据心跳做出判断，切换为主、接管工作。对于用户而言，这一过程是全自动的，切换时间很短(服务器的应用不同，切换的时间不同)。

对比项	冷备份	热备份
概念	冷备份发生在数据库已经正常关闭的情况下，当正常关闭时会提供给我们一个完整的数据库。	热备份是在数据库运行的情况下，备份数据库操作的SQL语句，当数据库发生问题时，可以重新执行一遍备份的SQL语句。
优点	1．是非常快速的备份方法（只需拷贝文件）2．容易归档（简单拷贝即可）3．容易恢复到某个时间点上（只需将文件再拷贝回去）4．能与归档方法相结合，作数据库“最新状态”的恢复。5．低度维护，高度安全。	1．可在表空间或数据文件级备份，备份时间短；2．备份时数据库仍可使用；3. 可达到秒级恢复（恢复到某一时间点上）；4．可对几乎所有数据库实体作恢复；5．恢复是快速的，在大多数情况下在数据库仍工作时恢复。
缺点	1．单独使用时，只能提供到“某一时间点上”的恢复；2．在实施备份的全过程中，数据库必须要作备份而不能作其它工作，也就是说，在冷备份过程中，数据库必须是关闭状态；3．若磁盘空间有限，只能拷贝到磁带等其它外部存储设备上，速度会很慢；4．不能按表或按用户恢复。	1．不能出错，否则后果严重；2．若热备份不成功，所得结果不可用于时间点的恢复；3．因难于维护，所以要特别仔细小心，不允许“以失败而告终”。

站库分离

所谓的站库分离，简单说，就是网站和数据库不在同一个服务器上，数据库一般用的是内网网络，速度快些，安全也好很多。
在这里插入图片描述对于站库分离的系统，在做主机安全的测试过程中，需要分别对数据库服务器主机和应用程序服务器主机进行主机安全检测和记录。

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。