网络安全的标准和规范是网络安全领域的重要组成部分。它们为网络安全提供了技术依据,规定了网络安全的技术要求和操作方式,帮助我们构建安全的网络环境。下面,我们将详细介绍一些主要的网络安全标准和规范,以及它们在实际操作中的应用。
一、ISO/IEC 27000系列标准
ISO/IEC 27000系列标准是国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的关于信息安全管理的一系列国际标准。它们为信息安全管理提供了框架和指导,帮助我们建立、运行、维护和改进信息安全管理系统(ISMS)。
1.1 ISO/IEC 27001
ISO/IEC 27001是ISO/IEC 27000系列标准中的核心标准。它规定了建立、实施、运行、监控、审查、维护和改进ISMS的要求。
例如,它要求组织确定信息安全风险,选择适当的风险处理选项,制定信息安全策略,实施信息安全控制,监控和审查ISMS的效果,不断改进ISMS。
# 一个简单的例子是,你可以使用Python的hashlib模块来实现信息的加密,以保护信息的安全。
import hashlib
# 原始信息
message = "Hello, world!"
# 使用SHA-256算法加密信息
hashed_message = hashlib.sha256(message.encode()).hexdigest()
print(hashed_message)
# 输出:c0535e4be2b79ffd93291305436bf889314e4a3faec05ecffcbb7df31ad9e51a
1.2 ISO/IEC 27002
ISO/IEC 27002是ISO/IEC 27000系列标准中的实践标准。它提供了实施ISO/IEC 27001中信息安全控制的指导。
例如,它提供了关于人员安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业务连续性管理、合规性等方面的指导。
# 一个简单的例子是,你可以使用Python的getpass模块来隐藏输入的密码,以实现访问控制。
import getpass
# 输入密码
password = getpass.getpass("Enter your password: ")
# 检查密码
if password == "secret":
print("Access granted.")
else:
print("Access denied.")
二、NIST SP 800系列标准
NIST SP 800系列标准是美国国家标准与技术研究院(NIST)制定的关于计算机安全的一系列专业标准。它们为计算机安全提供了详细的指导,帮助我们建立、运行、维护和改进计算机安全系统。
2.1 NIST SP 800-53
NIST SP 800-53是NIST SP 800系列标准中的主要标准。它提供了信息系统的安全和隐私控制。
例如,它提供了关于访问控制、意识和培训、审计和责任、安全评估、配置管理、污点保护、身份和认证、风险评估、系统和服务获取、系统和通信保护、系统和信息完整性等方面的控制。
# 一个简单的例子是,你可以使用Python的os模块来检查文件的权限,以实现访问控制。
import os
# 文件路径
file_path = "/path/to/your/file"
# 检查文件是否可读
if os.access(file_path, os.R_OK):
print("The file is readable.")
else:
print("The file is not readable.")
# 检查文件是否可写
if os.access(file_path, os.W_OK):
print("The file is writable.")
else:
print("The file is not writable.")
# 检查文件是否可执行
if os.access(file_path, os.X_OK):
print("The file is executable.")
else:
print("The file is not executable.")
2.2 NIST SP 800-61
NIST SP 800-61是NIST SP 800系列标准中的实践标准。它提供了计算机安全事件处理的指导。
例如,它提供了关于事件处理的预备、检测和分析、包含和清除、后期事件活动等阶段的指导。
# 一个简单的例子是,你可以使用Python的logging模块来记录安全事件,以便于后期的分析和处理。
import logging
# 创建日志记录器
logger = logging.getLogger("security")
# 设置日志级别
logger.setLevel(logging.INFO)
# 创建日志处理器
handler = logging.FileHandler("/path/to/your/log/file")
# 设置日志格式
formatter = logging.Formatter("%(asctime)s - %(name)s - %(levelname)s - %(message)s")
handler.setFormatter(formatter)
# 添加日志处理器
logger.addHandler(handler)
# 记录安全事件
logger.info("A security event happened.")
三、PCI DSS
PCI DSS(Payment Card Industry Data Security Standard)是由主要的信用卡公司联合制定的数据安全标准。它规定了处理、存储和传输信用卡信息的要求。
PCI DSS包括12个要求,分别涵盖了网络安全的各个方面,如防火墙配置、密码策略、物理安全、访问控制、网络监视和测试等。
例如,PCI DSS要求公司必须使用防火墙保护信用卡信息,不能使用供应商提供的系统默认密码,必须限制物理访问信用卡信息,必须对所有访问信用卡信息的行为进行跟踪和监视等。
四、OWASP Top 10
OWASP Top 10是由开放网络应用安全项目(OWASP)发布的最常见的10种网络应用安全风险。它是网络应用安全的重要参考,可以帮助开发者和安全工程师理解和防止网络应用安全风险。
例如,OWASP Top 10 2021版本中的第一种风险是"注入"。注入风险是指恶意数据被插入或"注入"到一个命令或查询中,导致命令或查询执行非预期的行为。注入风险的一个常见例子是SQL注入。
SQL注入是攻击者通过输入恶意的SQL代码,篡改原有的SQL查询语句,从而获取未经授权的数据访问、修改数据、执行管理员操作等。例如,假设一个登录表单的SQL查询语句是这样的:
SELECT * FROM users WHERE username = '[username]' AND password = '[password]'
如果攻击者在用户名字段输入"admin’ --,那么SQL查询语句就变成了:
SELECT * FROM users WHERE username = 'admin' --' AND password = '[password]'
在SQL中,"–“是注释的开始,所以”–"之后的内容都会被忽略。这样,攻击者就可以在不知道密码的情况下登录admin账户。
防止SQL注入的方法包括使用参数化查询、使用预编译语句、限制和控制输入等。
五、CIS Controls
CIS Controls是由美国网络安全中心(CIS)发布的20个网络安全控制措施。它是一种实用的网络安全策略,可以帮助组织防止和应对网络攻击。
CIS Controls包括基础控制、高级控制和组织控制三个层次。基础控制包括最基本的网络安全措施,如硬件和软件资产管理、持续的漏洞管理、受控使用管理权限等。高级控制包括更高级的网络安全措施,如数据保护、边界防御、数据恢复能力等。组织控制包括组织层面的网络安全措施,如安全技能评估和培训、应用软件安全、事故响应和管理等。
例如,CIS Controls的第一项控制就是"硬件资产管理"。它要求组织必须建立、维护和持续更新一个包含组织内所有硬件资产的清单。这个清单可以帮助组织理解网络的规模和复杂性,识别未授权的硬件,防止和应对攻击。
结论
网络安全的标准和规范是保障网络安全的重要手段。它们为网络安全提供了技术指南和操作规程,帮助我们理解和实施网络安全措施。在面对网络安全问题时,我们需要理解和遵守相关的标准和规范,以保护我们自己和他人的权益,避免网络攻击。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全该如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
如果你对网络安全入门感兴趣,
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
2842
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
