合规合法,合规依据
**2017年发布的《网络安全法》第四十二条:**网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
**2021年发布的《数据安全法》第二十七条:**开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
**2021年发布的《个人信息保护法》第五十一条:**个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的加密、去标识化等安全技术措施。
数据脱敏三个阶段
- 识别数据库中敏感字段信息
- 脱敏
- 对脱敏后数据集进行评价
脱敏技术
脱敏主要有静态数据脱敏和动态数据脱敏
- 静态数据脱敏:将数据脱敏完毕后放入非生产环境,所以这种脱敏是与生产环境脱离的,通常用于非实时场景
- 动态数据脱敏:实时进行脱敏,并且分为不同级别的脱敏,根据不同角色和权限进行分等级脱敏
脱敏用到的一些方式:
数据脱敏厂家
- 国外:Informatica
- 国内:比特信安、美创、安华、神州数码
由于敏感数据的重要性以及特殊性,一般不建议使用国外产品。
数据库漏扫
又叫数据库安全评估系统
漏扫对象
- DBMS脆弱点:已知的DBMS自身存在的漏洞
- 弱口令
- 缺省口令:初始密码
- 配置缺陷
- 补丁
- 易受攻击代码
- 程序后门:存储在数据库中的可执行程序
- 敏感数据
漏扫方式
- 授权扫描(白盒检测):已知账户密码
- 非授权扫描(黑盒检测)
- 弱口令扫描
- 渗透检测
黑盒检测
模拟攻击者行为,尝试发现漏洞(已知漏洞,所以黑盒漏洞扫描工具的内置漏洞库很重要)
只需要知道对外提供的接口和功能
黑盒工具
Nessus、OpenAVS
步骤
1.收集信息,IP、URL、端口、web服务器类型(Windows IIS、Apache、Nginx、Tomcat)
2.发现漏洞
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!