给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G ,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
5. 离职
- 禁用、删除用户账号
- 撤销证书
- 取消访问代码权限
- 解雇过程需要安全部门和 HR 参与,尊重员工的同时降低风险,离职面谈需要重申之前签署的安全协议
第三方人员管理
- 签署 SLA,SLA 需要包含安全改进相关的内容(保密相关仍然需要签署 NDA,SLA 不能满足)
- 使用 VMS 供应商管理系统
合规策略
在人员层面,合规=员工是否遵循公司的策略。
合规是一种行政或管理 形式的安全控制。
隐私策略
隐私内容包含:
- 未授权访问个人可识别信息(PII),例如电话号、地址、IP 等
- 未经授权的个人机密信息访问
- 未经同意的监视
要遵照法律要求保护和存储隐私数据:
- HIPAA 健康保险流通与责任法案
- SOX 萨班斯-奥克斯利法案
- FERPA 家庭教育权利和隐私法案 :学生相关的数据
- GDRP 通用数据保护条例
风险管理 - 关注资产
风险管理的目标:将风险降至可接受的水平。
绝对安全的环境是不存在的,需要平衡收益/成本,安全性/可用性。
风险来自很多方面,可能是非 IT 的灾难,比如自然灾害等。
风险管理包含两大部分:
- 风险评估/风险分析:基于价值/性质分析每个系统的风险
- 风险响应:使用成本/收益的方式评估风险控制措施
风险相关的术语解释
-
资产:可以是业务流程或者使用到的任何事物,可以是有形的也可以是无形的
-
资产估值 AV:资产对应的货币价值,综合重要性、使用情况、成本、支出等元素得出
-
威胁:可能导致资产破坏、变更、泄露等的行为
-
威胁主体:主体利用威胁来危害目标
-
威胁事件:对脆弱性的意外和有意利用
-
威胁向量(Threat Vector) :攻击者为了伤害目标而使用的路径和手段,比如 Wifi、物理访问、社会工程学等
-
脆弱性:资产中的弱点,使威胁能够造成损害的缺陷、漏洞、疏忽,可以是技术上的,也可以是管理逻辑上的
-
暴露:资产丢失暴露的可能性
-
风险:
- 风险=威胁*脆弱性
- 风险=损害的可能性*损害的严重程度
-
攻击:威胁主体进行的脆弱性利用尝试
-
破坏:成功的攻击
1. 风险分析
风险分析的目标是:确保只部署具有成本效益的措施 。
定性风险分析 - 基于定性的更容易分析
基于分级 来进行。基于场景,而非计算,依赖经验和判断。
-
场景:针对单个威胁的描述
- 通常比较概要,限制在一页纸,方便参与的人分配等级
- 威胁如何产生
- 对组织带来的影响
- 可能的防护措施
-
Delphi 技术:匿名 的反馈和响应
- 对于每个反馈,参与者通过数字消息匿名写下反馈,最后汇总给风险分析小组,重复这个过程直至达成共识
定量风险分析
几个关键词:
- AV 资产价值
- EF 暴露因子:潜在的损失,EF 仅表示单个风险发生时对整体资产价值造成的损失 (比如硬件故障带来的损失),以百分比计算
- SLE 单一损失期望(Single Loss Expectancy):SLE = AV * EF
- ARO 年发生率
- ALE 年度损失期望
ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比
| 特征 | 定性分析 | 定量分析 |
|---|---|---|
| 使用数学计算 | 否 | 是 |
| 使用成本/收益分析 | 可能 | 是 |
| 需要估算 | 是 | 有时 |
| 支持自动化 | 否 | 是 |
| 涉及大量信息 | 否 | 是 |
| 客观的 | 较少 | 较多 |
| 依赖于专家意见 | 是 | 否 |
| 耗费的时间 | 一般 | 多 |
| 提供有用的意义和结果 | 是 | 是 |
2. 风险响应
风险响应的形式:
- 风险缓解:最常用 ,通过实施防护措施、安全控制来减少脆弱性,阻止威胁。比如加密和防火墙
- 风险转让:购买服务、保险等。可以转让风险,但无法转移责任
- 风险威慑:比如实施审计、监控、警告 banner、安保人员等
- 风险规避(risk avoidance):灾难避免,比如关闭重要系统以降低安全风险
- 风险接受:可以接受安全风险,通常意味着保护成本>资产价值
- 风险拒绝:不接受但是可能发生,不应该有
残余风险处理(除已经防护的,剩下的风险):
- 定期 进行评估
风险控制的成本和效益
几个关键词:
- ACS ( annual cost of the safeguard)年度防护成本
- ALE 年度损失期望
- 实施措施前的 ALE
- 实施措施后的 ALE
防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类
按照方式:
- 管理行政类:数据分类、背景调查、工作说明书、审查、监督、培训
- 技术/逻辑类:IPS、防火墙、IAM、加密
- 物理类:门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
按照作用:
-
预防性控制 :部署预防控制以阻止非预期的或未经授权的活动发生,身份认证、门禁、报警系统、岗位轮换、IPS、培训等
-
威慑控制:锁、保安等,可能和预防性的重叠
-
检测控制 :保安、IPS 、审查
-
补偿控制:另一种控制手段的补充或增强,比如主要手段是防止删除,补偿手段是存在备份可恢复
-
纠正 :例如杀毒、阻止入侵行为、备份恢复等,将环境从非预期的活动中进行恢复
- 恢复性控制:纠正的扩展,不像纠正是单一的行为,恢复性可能更复杂,安全策略被破坏后,恢复控制尝试修复或恢复资源、功能和能力
-
指令式/指示控制:比如通知、公司标准等,强制或鼓励主体遵守安全策略
安全控制评估 SCA
Security Control Assessment
根据基线 或可靠性期望对安全机制的正式评估 。可作为渗透测试报告的补充。
目的:确保安全机制的有效性 。评估组织风险管理过程中的质量和彻底性,生成已部署安全措施的优缺点报告 。
对应的标准为 NIST SP 800-53 Rev5 ,信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM
Risk Maturity Model
RMM 5 个级别:
- 初始级 (ad hoc):混乱的状态
- 预备级(Preliminary):初步尝试遵守风险管理流程,但是每个部门执行的风险评估不同
- 定义级(Defined):在整个组织内使用标准的风险框架
- 集成级(Integrated):风险管理集成到了业务流程中,风险是业务战略决策中的要素
- 优化级(Optimized):侧重于实现目标,而不是被动响应
风险管理框架 RMF
Risk Management Framework,被 NIST SP 800-37 Rev2 定义。
风险框架用于评估、解决和监控风险的指南或方法。
1+6个循环的 阶段:先进行准备,准备上下文和优先级(优先处理哪些系统)
- 分类:根据对损失影响的分析,对信息及系统进行分类
- 选择:选择合适的控制手段,可以将风险降到可接受水平
- 实施:实施上面描述的控制
- 评估:确保控制实施到位(也就是检查)
- 授权:在确定风险可接受的基础上,授权上线(类似于认可)
- 监控:持续监控系统,保证控制的有效性
安全培训 SAET
Security Awareness, Education, and Training Program
意识
- 建立对安全认知的最小化通用标准 或基础
- 教学、视频、海报、媒体等
培训
- 培训是指教导员工执行他们的工作任务和遵守安全策略
- 定期 的培训,加强人员安全意识
- 最好是强制的培训
教育
- 教育是一项更详细的上作,用户学习的内容比 他们完成其工作任务实际需要知道的内容多得多
- 教育可能是获取资格认证的培训,或者和晋升相关的教育
改进
- 培训完成后需要做的
- 制定改进计划、下一步计划
有效性评估
- 考试
- 审查事件日志,了解违规发生率
业务连续性计划 BCP
**BCP 和业务中断有关。**关注上层,以业务流程和运营为主。
**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节,描述站点恢复、备份和容错等技术。
BCP 四个阶段:
- 项目范围和计划
- 业务影响分析 BIA
- 连续性计划
- 计划批准和实施
1. 项目范围和计划
- 首要职责,组织分析 :了解部门职责
- 选择 BCP 团队:包括业务、法务、IT、安全、公关、财务、高层代表等
- 资源需求:有人员需求和财务需求(购买软硬件)
- 法律和法规要求
2. 业务影响分析 BIA
目的:识别关键业务功能及这些功能相关的 IT 资源,分析中断的影响。
支持定量分析和定性分析,BCP 通常喜欢使用定量分析,从而忽略定性分析,BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级
定量分析:
- 确定资产价值 AV
- 确定 MTD 最大容忍中断时间
- RTO 应该始终小于 MTD(MTD = RTO + 业务确认的时间 WRT)
2, 风险识别
识别自然风险和人为风险:
- 暴雨、累计、地震、火山、流行病等
- 恐怖袭击、火灾、互联网终端等
3, 可能性评估
确定每种可能性发生的概率,确定 ARO 年发生率。
4, 影响分析
年损失期望 ALE
ALE = SLE *ARO = AV * EF * ARO
5, 资源优先级排序
3. 连续性计划
-
策略开发:
- 目标、范围、需求
- 基本的原则和指导方针
- 职责
-
预备和处理:
- 制定具体的流程和机制来减轻风险
- 人员优先
- 建筑设施的保护,比如加固,或者备用站点
- Infra 保护,包括冗余设施,物理性的加固(UPS 及防火等)
4. 计划批准和实施
- 计划批准:计划得到上层的认可,展示业务领导对于业务连续性的承诺,在其他人员眼中更具重要性和可信度
- 计划实施:
- 培训和教育:培训的目的是让相关的人熟悉其职责,以及操作步骤
5. BCP 文档
- 文档化可以防止执行时偏离
- 文档包含重要性声明
- 优先级声明
- 组织职责声明:重申组织对业务连续性计划的承诺
- 紧急程度和时间限制要求(时间表)
- 风险评估的内容
- 风险接受、风险缓解的内容,比如哪些风险可接受,哪些风险不可接受需要采取缓解措施
- 重要记录:标识
- 应急响应指南
- 定期维护
- 测试和演练
法律法规
知识产权 IP - 保护创作者
保护创作者,软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权,代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA
受保护的类型:
- 文学作品(计算机软件属于此分类)
- 音乐作品
- 戏剧作品
- 哑剧和舞蹈作品
- 绘画、图形、雕刻作品
- 电影和其他音响作品
- 声音录音
- 建筑作品
版权的保护期:
- 单个或多个作者:最后一位作者去世后 70 年内
- 因受雇而创作的作品:作品第一次发表 95 年,或者创建之日起 120 年,其中较短的一个
数字化相关:
- 针对 DVD 等违权最高判处 100w 美元和 10 年监禁
- 使用 ISP 线路违权时,ISP 承担责任。但是对于用户的临时性活动不负责(比如临时发送一些东西,不知道目标人)
商标
商标不需要注册即拥有版权。
目的:
- 辨识公司及公司的服务和产品
- 避免市场混乱
专利 - 保护作品
保护发明者的知识产权。自首次申请发明起,有 20 年有效期,发明者有该发明的独家使用权利。过期后即可允许任何人使用,比如 PGP 使用的 IDEA 算法。
三个重点要求:
- 发明具有新颖性
- 发明具有实用性
- 发明具有创造性
商业秘密
对于公司很重要的知识产权,不能外泄。
通常公司自己持有,不做专利保护,严格限制访问,加密存储。
隐私法案
个人数据的使用原则:
- 收集个人数据需要征得主体的同意,并告知用途
- 只收集和用途有关的数据
- 只在用途所需期限内使用和保存
第四修正案
保护公民隐私,防止未授权的搜查、窃听。
1974 隐私法案 - 仅适合联邦政府
限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。
电子通信隐私法 ECPA
Electronic Communications Privacy Act
适用于非法窃听、非授权访问电子数据的行为。
针对手机的窃听,处以最多 500 美元和 5 年监禁。
通信执法协助法案 CALEA
Communications Assistance for Law Enforcement Act
修正了 ECPA,允许在法院同意的情况下由执法人员进行窃听。
经济间谍法案
Economic Espionage Act
任何窃取专有信息(Confidential、Property)的行为视为间谍行为。
GDPR 通用数据保护条例
GDPR 用于替换之前颁布的 DPD。
GDPR 的一些主要规则:
- 合法、公平、透明:必须对数据处理活动保持公开和诚实的态度
- 目的限制:必须清楚记录和披露使用数据的目的,而且按照披露来使用数据
- 数据最小化:确保处理的数据可以满足既定目的,并且仅限于你使用这些数据
- 准确性
- 存储限制:仅在合法、公开目的所需的时间内保留数据,遵守“遗忘权”,允许人们在不需要时删除这些信息
- 安全性
- 问责性
GDPR 数据保护:
-
去标识:
- 假名化(Pseudonymization),指在不使用额外信息时不能追溯到个人,过程可逆,比如有对应的 key 时
- 哈希、加密
-
匿名化(Anonymization):数据无法再和个人关联,匿名化的数据不再是个人数据
-
及时通知:
- 如果发生个人数据泄露,72 小时内要通知监管机构
- 如果造成了高风险,还需要通知数据主体
任何违反 GDPR 的违法行为将导致最高 2000 万欧元或母公司所有营业额 4% 的罚金,二者取金额大者。
GDPR 对于个人数据的定义:
是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。个人信息实例:
- 姓名
- 地址
- 电子邮箱
- 身份证号
- 地理位置
- IP地址
- cookie ID
- the advertising identifier of your phone 广告ID
- 根据用户画像可以确定某一类人的信息
标准合同条款(standard contractual clauses),或具有约束力的公司规则(binding corporate
rules)现已取代隐私盾(安全港) 。
美国 HIPAA 健康保险流通和责任法案
指定了一系列如何处理健康信息的规定:
- 在确保私密性的情况下保存病人信息档案 6 年
- 新法规强制要求:第三方商业伙伴 与数据所有者(实体)一样,直接受到 HIPAA 和 HIPAA 执法活动的约束,两个公司需要 签署商业伙伴协议(BAA)的书面合同约束。
HIPAA 使用和披露的原则:
-
基本原则:限定使用,除非签署了 BAA;个人书面同意授权
-
必要的披露 :
- 个人(或个人的代表)要求时,专门向他们进行披露
- 在进行合规调查、审计时
-
经允许的使用和披露:在没有个人授权的情况下,出于下列目的进行使用和披露
- 对信息主体披露其 PHI
- 治疗、付款和医疗保险业务
- 偶然的使用和披露
- 公共利益或福利活动
- 为研究、公共卫生或医疗保险业务而进行的有限数据集
-
经信息主体授权的使用和披露:所有上述定义之外的用途,都需要经过个人的书面同意
-
将使用和披露限制在最低限度(数据最小化原则)
健康信息技术促进经济和临床健康法案 HITECH
HITECH 是 HIPAA 的修订,新增了泄露通知,如果发生泄露,则必须讲信息告知受影响的个人,当信息泄露超过 500
人时,必须通知卫生与社会服务部门和媒体。
1999 GLBA 金融现代化法
金融现代化法(GLBA)对金融机构制定了严格的隐私法规,包括向客户提供隐私书面通知 。
加拿大隐私法 PIPEDA
Personal Information Protection and Electronic Documents Act
PIPEDA 不适合于非营利组织、市政府、学校和医院。
包含下列个人数据:
- 种族、民族、宗教
- 年龄、婚姻情况
- 医疗、教育、工作经历、财务信息
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
1507
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
