【网络安全】网络安全的标准和规范

已于 2024-12-06 23:41:35 修改
阅读量4.2k 收藏 29
点赞数 19
文章标签: web安全 网络 安全 网络安全
于 2023-12-04 15:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Spontaneous_0/article/details/134779667
版权

在这里插入图片描述

网络安全的标准和规范是网络安全领域的重要组成部分。它们为网络安全提供了技术依据,规定了网络安全的技术要求和操作方式,帮助我们构建安全的网络环境。下面,我们将详细介绍一些主要的网络安全标准和规范,以及它们在实际操作中的应用。

一、ISO/IEC 27000系列标准

ISO/IEC 27000系列标准是国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的关于信息安全管理的一系列国际标准。它们为信息安全管理提供了框架和指导,帮助我们建立、运行、维护和改进信息安全管理系统(ISMS)。

1.1 ISO/IEC 27001

ISO/IEC 27001是ISO/IEC 27000系列标准中的核心标准。它规定了建立、实施、运行、监控、审查、维护和改进ISMS的要求。

例如,它要求组织确定信息安全风险,选择适当的风险处理选项,制定信息安全策略,实施信息安全控制,监控和审查ISMS的效果,不断改进ISMS。

# 一个简单的例子是,你可以使用Python的hashlib模块来实现信息的加密,以保护信息的安全。
import hashlib

# 原始信息
message = "Hello, world!"

# 使用SHA-256算法加密信息
hashed_message = hashlib.sha256(message.encode()).hexdigest()

print(hashed_message)
# 输出:c0535e4be2b79ffd93291305436bf889314e4a3faec05ecffcbb7df31ad9e51a
1.2 ISO/IEC 27002

ISO/IEC 27002是ISO/IEC 27000系列标准中的实践标准。它提供了实施ISO/IEC 27001中信息安全控制的指导。

例如,它提供了关于人员安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业务连续性管理、合规性等方面的指导。

# 一个简单的例子是,你可以使用Python的getpass模块来隐藏输入的密码,以实现访问控制。
import getpass

# 输入密码
password = getpass.getpass("Enter your password: ")

# 检查密码
if password == "secret":
    print("Access granted.")
else:
    print("Access denied.")

二、NIST SP 800系列标准

NIST SP 800系列标准是美国国家标准与技术研究院(NIST)制定的关于计算机安全的一系列专业标准。它们为计算机安全提供了详细的指导,帮助我们建立、运行、维护和改进计算机安全系统。

2.1 NIST SP 800-53

NIST SP 800-53是NIST SP 800系列标准中的主要标准。它提供了信息系统的安全和隐私控制。

例如,它提供了关于访问控制、意识和培训、审计和责任、安全评估、配置管理、污点保护、身份和认证、风险评估、系统和服务获取、系统和通信保护、系统和信息完整性等方面的控制。

# 一个简单的例子是,你可以使用Python的os模块来检查文件的权限,以实现访问控制。
import os

# 文件路径
file_path = "/path/to/your/file"

# 检查文件是否可读
if os.access(file_path, os.R_OK):
    print("The file is readable.")
else:
    print("The file is not readable.")

# 检查文件是否可写
if os.access(file_path, os.W_OK):
    print("The file is writable.")
else:
    print("The file is not writable.")

# 检查文件是否可执行
if os.access(file_path, os.X_OK):
    print("The file is executable.")
else:
    print("The file is not executable.")
2.2 NIST SP 800-61

NIST SP 800-61是NIST SP 800系列标准中的实践标准。它提供了计算机安全事件处理的指导。

例如,它提供了关于事件处理的预备、检测和分析、包含和清除、后期事件活动等阶段的指导。

# 一个简单的例子是,你可以使用Python的logging模块来记录安全事件,以便于后期的分析和处理。
import logging

# 创建日志记录器
logger = logging.getLogger("security")

# 设置日志级别
logger.setLevel(logging.INFO)

# 创建日志处理器
handler = logging.FileHandler("/path/to/your/log/file")

# 设置日志格式
formatter = logging.Formatter("%(asctime)s - %(name)s - %(levelname)s - %(message)s")
handler.setFormatter(formatter)

# 添加日志处理器
logger.addHandler(handler)

# 记录安全事件
logger.info("A security event happened.")

三、PCI DSS

PCI DSS(Payment Card Industry Data Security Standard)是由主要的信用卡公司联合制定的数据安全标准。它规定了处理、存储和传输信用卡信息的要求。

PCI DSS包括12个要求,分别涵盖了网络安全的各个方面,如防火墙配置、密码策略、物理安全、访问控制、网络监视和测试等。

例如,PCI DSS要求公司必须使用防火墙保护信用卡信息,不能使用供应商提供的系统默认密码,必须限制物理访问信用卡信息,必须对所有访问信用卡信息的行为进行跟踪和监视等。

四、OWASP Top 10

OWASP Top 10是由开放网络应用安全项目(OWASP)发布的最常见的10种网络应用安全风险。它是网络应用安全的重要参考,可以帮助开发者和安全工程师理解和防止网络应用安全风险。

例如,OWASP Top 10 2021版本中的第一种风险是"注入"。注入风险是指恶意数据被插入或"注入"到一个命令或查询中,导致命令或查询执行非预期的行为。注入风险的一个常见例子是SQL注入。

SQL注入是攻击者通过输入恶意的SQL代码,篡改原有的SQL查询语句,从而获取未经授权的数据访问、修改数据、执行管理员操作等。例如,假设一个登录表单的SQL查询语句是这样的:

SELECT * FROM users WHERE username = '[username]' AND password = '[password]'

如果攻击者在用户名字段输入"admin’ --,那么SQL查询语句就变成了:

SELECT * FROM users WHERE username = 'admin' --' AND password = '[password]'

在SQL中,"–“是注释的开始,所以”–"之后的内容都会被忽略。这样,攻击者就可以在不知道密码的情况下登录admin账户。

防止SQL注入的方法包括使用参数化查询、使用预编译语句、限制和控制输入等。

五、CIS Controls

CIS Controls是由美国网络安全中心(CIS)发布的20个网络安全控制措施。它是一种实用的网络安全策略,可以帮助组织防止和应对网络攻击。

CIS Controls包括基础控制、高级控制和组织控制三个层次。基础控制包括最基本的网络安全措施,如硬件和软件资产管理、持续的漏洞管理、受控使用管理权限等。高级控制包括更高级的网络安全措施,如数据保护、边界防御、数据恢复能力等。组织控制包括组织层面的网络安全措施,如安全技能评估和培训、应用软件安全、事故响应和管理等。

例如,CIS Controls的第一项控制就是"硬件资产管理"。它要求组织必须建立、维护和持续更新一个包含组织内所有硬件资产的清单。这个清单可以帮助组织理解网络的规模和复杂性,识别未授权的硬件,防止和应对攻击。

结论

网络安全的标准和规范是保障网络安全的重要手段。它们为网络安全提供了技术指南和操作规程,帮助我们理解和实施网络安全措施。在面对网络安全问题时,我们需要理解和遵守相关的标准和规范,以保护我们自己和他人的权益,避免网络攻击。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

在这里插入图片描述

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全该如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
在这里插入图片描述

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
如果你对网络安全入门感兴趣,

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

在这里插入图片描述

nist sp800-53
12-05
nist 发布的云计算安全标准
NIST_SP800-53
01-23
NIST_SP800-53 好资源 非常难得
62项“网络安全等级保护”标准大合集(文末附下载)
jidunkeji的博客
02-20 983
概述/要求:本文件规定了电力行业网络安全等级保护测评的工作流程、方法测评要求,包括总体测评要求第二级到第四级的电力监控系统管理信息系统测评要求,包括安全测评通用要求安全测评扩展要求。概述/要求:本标准总结了金融行业应用系统多年的安全需求业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。概述/要求:本文件规定了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求安全扩展要求。
软件供应链安全标准:NIST SP 800-161 与 GB/T 43698-2024-信息安全领域的重要标准对比
最新发布
chengoodflower的博客
04-14 1306
在数字化浪潮汹涌的当下,信息系统举足轻重。从企业运营视角而言,它是保障业务连续性的生命线。一旦软件供应链遭受攻击,企业可能面临系统瘫痪、数据泄露等灾难,致使业务中断,经济损失惨重,声誉也会一落千丈。对广大用户来说,安全的软件供应链意味着个人隐私与数据安全得以捍卫,免遭恶意软件窃取信息、侵扰生活。上升至国家层面,软件广泛应用于关键基础设施,其供应链安全直接关系到国家经济安全与社会稳定,关乎国计民生。因此,维护信息系统,是企业稳健发展、用户安心使用、国家长治久安的必要前提,不容丝毫懈怠。
网络安全】4.2 网络安全标准规范
Andy0214的专栏
10-19 7529
网络安全标准规范网络安全领域的重要组成部分。它们为网络安全提供了技术依据,规定了网络安全的技术要求操作方式,帮助我们构建安全网络环境。下面,我们将详细介绍一些主要的网络安全标准规范,以及它们在实际操作中的应用。
NIST SP 800-53 Rev4 所有控制措施繁中版
05-07
NIST SP 800-53 Revision 4 附錄D之後的所有控制措施(繁中版)
NIST SP 800-53A: 联邦信息系统中安全控制评价指南
04-16
NIST SP 800-53A: 联邦信息系统中安全控制评价指南,与NIST SP 800-53配套
网络安全行业安全基线配置标准规范.
05-27
网络安全行业安全基线配置标准规范,主要包括网络安全行业安全基线配置标准规范,主要包括操作系统、安全设备、网络设备、数据库、中间件、web应用等基线标准,很适合通信行业的人员使用。
《智慧城市轨道交通 信息技术架构及网络安全规范第3部分:网络安全标准解读.pdf
09-20
《智慧城市轨道交通信息技术架构及网络安全规范标准的第三部分着重讨论了网络安全,这一部分的重要性不言而喻,因为网络安全是确保轨道交通信息系统稳定运行的基础。 《规范》中提到的“系统自保,平台统保,边界...
网络数据信息安全管理标准规范.doc
12-13
标准规范规定了企业计算机信息及网络安全领导小组的设置职责,负责领导、检验、督促、制订信息安全策略、规章制度方法,加强计算机信息安全工作管理指导,落实国家相关计算机信息安全法律、法规上级相关...
《智慧城市轨道交通 信息技术架构及网络安全规范第2部分:技术架构》标准解读.pdf
09-20
总体来说,《智慧城市轨道交通信息技术架构及网络安全规范第2部分:技术架构》标准解读是城市轨道交通行业对技术架构网络安全进行规范指导的重要文件,对于推动城市轨道交通信息化、网络智能化的发展具有...
NIST.SP.800-53r5-draft.pdf
08-04
2020年3月NIST SP 800-53 r5 第五版草案,目前的最新版本 本基础 NIST 出版物的第 5 修订版代表了开发下一代安全隐私控制的多年努力。出版物的主要变化包括: 通过更改控件的结构,创建更基于结果的安全隐私控制; 将隐私控制完全集成到安全控制目录中,创建一套统一统一的控件; 为隐私供应链风险管理增加两个新的控制系列; 将项目管理控制系列集成到统一的控制目录中; 将控制选择过程与控件分离 — 允许不同感兴趣的社区使用控件; 将控制目录与控制基线分离; 促进与不同的风险管理网络安全方法词典(包括NIST 网络安全隐私框架)保持一致; 澄清安全与隐私之间的关系,改进必要的控制措施的选择,以应对安全隐私风险的全部范围; 结合基于威胁情报、经验攻击数据以及系统工程供应链风险管理最佳实践的新的实践状态控制,包括以下控制: 加强安全隐私治理问责制; 支持安全系统设计; 支持网络弹性系统生存能力。
关于NIST SP 800-53新版浅说
03-12
关于nist sp 800-53的详细分析,说明。帮助安全人员快速掌握sp 800-53的要点
NIST.SP.800-53r4
06-05
Security and Privacy Controls for Federal Information Systems and Organizations
NIST SP800-53-rev2-final.pdf
02-18
INTRODUCTION THE NEED FOR SECURITY CONTROLS TO PROTECT INFORMATION SYSTEMS he selection and employment of appropriate security controls for an information system3 are important tasks that can have major implications on the operations4 and assets of an organization as well as the welfare of individuals. Security controls are the management, operational, and technical safeguards or countermeasures prescribed for an information system to protect the confidentiality, integrity, and availability of the system and its information. There are several important questions that should be answered by organizational officials when addressing the security considerations for their information systems: T • What security controls are needed to adequately protect the information systems that support the operations and assets of the organization in order for that organization to accomplish its assigned mission, protect its assets, fulfill its legal responsibilities, maintain its day-to-day functions, and protect individuals? • Have the selected security controls been implemented or is there a realistic plan for their implementation? • What is the desired or required level of assurance (i.e., grounds for confidence) that the selected security controls, as implemented, are effective5 in their application? The answers to these questions are not given in isolation but rather in the context of an effective information security program for the organization that identifies, controls, and mitigates risks to its information and information systems.6 The security controls defined in Special Publication 800-53 (as amended) and recommended for use by organizations in protecting their information systems should be employed in conjunction with and as part of a well-defined and documented information security program. An effective information security program should include: • Periodic assessments of risk, including the magnitude of harm that could result from the unauthorized access, use, disclosure, disruption, modification, or destruction of information and information systems that support the operations and assets of the organization; • Policies and procedures that are based on risk assessments, cost-effectively reduce information security risks to an acceptable level and address information security throughout the life cycle of each organizational information system;
NIST SP800-53A rev1.pdf
02-18
INTRODUCTION THE NEED TO ASSESS SECURITY CONTROL EFFECTIVENESS IN INFORMATION SYSTEMS T T oday’s information systems9 are complex assemblages of technology (i.e., hardware, software, and firmware), processes, and people, working together to provide organizations with the capability to process, store, and transmit information in a timely manner to support various missions and business functions. The degree to which organizations have come to depend upon these information systems to conduct routine, important, and critical missions and business functions means that the protection of the underlying systems is paramount to the success of the organization. The selection of appropriate security controls for an information system is an important task that can have major implications on the operations and assets of an organization as well as the welfare of individuals.10 Security controls are the management, operational, and technical safeguards or countermeasures prescribed for an information system to protect the confidentiality, integrity (including non-repudiation and authenticity), and availability of the system and its information. Once employed within an information system, security controls are assessed to provide the information necessary to determine their overall effectiveness; that is, the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for the system. Understanding the overall effectiveness of the security controls implemented in the information system and its environment of operation is essential in determining the risk to the organization’s operations and assets, to individuals, to other organizations, and to the Nation resulting from the use of the system.
网络安全标准实践指南:资产信息格式规范助力产品互联互通
03-28
内容概要:本文档由全国网络安全标准化技术委员会发布,旨在规范网络安全产品互联互通中资产信息的描述格式。主要内容涵盖资产信息的组成、字段类型及其格式,适用于网络安全产品的设计、开发、应用测试。文档还...
网络安全规范(范例)
zcqq1980cn的专栏
09-08 3181
网络安全规范(范例)
等保合规2022系列 | 今年,关于等保你该了解什么?
山石网科的博客
07-14 755
2022等保合规
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值