信息安全读书笔记day01-网络安全的概念

已于 2024-01-06 09:27:01 修改
阅读量789 收藏 17
点赞数 14
文章标签: web安全 网络 安全
于 2023-12-31 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/135299700
版权

网上买的《信息安全原理及应用》的书还没到,就找了一本《密码编码学与网络安全》的电子书,写的也不错,计划今天和明天把第一章绪论和第二章的数论给看完

1. 计算机网络安全概念

计算机安全的三个核心是:完整性(只要特定授权方法才可修改数据)、保密性(确保数据不被泄露)、可用性(系统能快速工作,不得拒绝授权用户的访问)。

1.1 OSI安全架构:

  • 安全攻击:* 主动安全攻击:劫持流量+修改流量。* 被动安全攻击:劫持流量
  • 安全机制:主要是加密数据,防止破解* 数据加密、数字签名(数据的尾端定义解密算法)、流量填充、公证(第三方做加密解密)、路由控制(选择特定物理线路)、访问控制(设置访问资源的权限)
  • 安全服务:针对攻击做出的预防方案* 认证:确保双方是声称的实体* 数据保密性:主要防止被动攻击和流量分析。包括连接保密性(保护一次连接中的所有用户的数据)、无连接保密性(保护单个数据块中的所有用户数据)、流量保密性(防止劫持流量得出重要信息)。* 数据完整性:包括具有恢复功能的连接完整性(检测一次连接中是所有用户数据的操作和完整性,可以恢复数据)、无恢复的连接完整性(提供检测数据的操作日志,但不可恢复)、无连接完整性(检测无连接下数据块是否修改)。* 不可否认性:防止通信双方有拒绝对方的行为,验证对方是否属实。

1.2 网络安全模型:

下面是我画的流程图:

1.3 攻击面和攻击树

攻击面主要是指一系列可利用的系统漏洞组成,例如web端口扫描渗透、SQL注入、以及对一些文件注入代码等。

攻击树是根据不同的攻击,利用漏洞形成以一个可行攻击方法的集合,组织成树状结构,从各个层次节点进行攻击。

1.4 安全设计准则

  • 机制的经济性:代码尽可能的简单、短小。
  • 权限分离:不同的角色有不同的操作数权限
  • 故障安全默认、开放的设计、完整的监察、模块化、隔离等

总结:

大致了解了攻击者是从哪几个部分进行攻击,以及相应的预防措施如数据加密、认证、不可否认性、以及数据完整性。明天开始学习数论基础,更好的理解加密算法。

参考链接:

blog.csdn.net/zourzh123/a…学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的小强
关注
  • 14
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全技术》学习笔记02
m0_72683647的博客
11-13 1046
计算机病毒是一种计算机程序,它通过修改其他程序把它自己的一个拷贝或其演化的拷贝插入到其他程序中,从而感染它们。
信息安全管理 读书笔记
weixin_43525479的博客
09-18 1145
第一章 绪论 1.1信息安全 1.1.2信息安全概念、特点及意义 1.信息安全概念 “在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露” 信息安全主要包括3个方面:机密性、完整性、可用性 目前信息安全的内涵已经扩展到机密性、完整性、可用性、真实性、抗抵赖性、可靠性、可控性等更多领域。 机密性: 完整性: 可用性: 真实性: 抗抵赖性: 可靠性: 可控性: ...
信息安全与对抗》读书笔记
zzqnnu的专栏
02-20 564
1  机房里的电磁辐射和电磁泄露(可能泄露信息)主要来源于硬盘驱动器 2  交换机上网是大家分别拨号的,独立带宽。路由器上网是共用同一宽带账号,共用带宽 3  防火墙是隔离内外部网络的设备,有软件防火墙,有硬件防火墙(性能高,有售后,报价在1万到2万之间)。 4  对称密码和非对称密码? 5  数字水印? 6  VPN的原理? 7  HTTP状态码: 1XX,请求被接受 2XX,...
信息安全工程》读书笔记
weixin_34292287的博客
12-08 299
译者序 如何保证信息的如下特性:保密性、完整性、可用性、抗否认性。 学习的一般思路:先了解概念、其次是原理、再次是技术。 信息安全问题绝非单纯的技术问题,仅从技术角度是无法解决西悉尼安全问题的。 将自己思考的内容写下来是发现自己欠缺哪些知识的绝佳途径。 安全工程的含义 如何应对:错误、灾难和恶意攻击。 软件工程旨在确保某些事情能够发生,而安全工程则确保某些事情不能发生。 典型的系统...
读书笔记:《互联网企业安全高级指南》知识梳理
Lee_Natuo的博客
03-21 1097
贝加莱培训笔记DAY5第五天
11-22
【贝加莱培训笔记DAY5第五天】 在第五天的贝加莱培训中,主要讨论了贝加莱自动化系统中的AsIMA(Automation Studio Industrial Middleware Architecture)及其相关通讯配置。AsIMA是贝加莱自动化环境中用于不同设备...
Day3DNS服务搭建和实战案例-详细笔记文档总结
07-19
以下是对"Day3DNS服务搭建和实战案例-详细笔记文档总结"的详细解读。 1. DNS解析分类: - 正向解析:将域名或主机名转换为IP地址,这是最常见的DNS查询类型。 - 反向解析:将IP地址解析为对应的域名或主机名,...
Day01.zip
04-28
总的来说,"Day01.zip"这类压缩文件是IT知识和实践中的基本元素,涉及到文件管理、数据传输、网络安全等多个方面。无论是学习新技能还是日常工作中,理解和掌握如何有效地利用这种文件格式都是至关重要的。
物联网综合设计 day05 笔记 代码 图
07-07
5. **安全性与隐私保护**:物联网设备的广泛分布使得网络安全问题更加突出。研究加密技术、身份验证和数据完整性保护策略,是保障物联网系统安全运行的重要部分。 6. **应用实例**:在"day05"的笔记中,可能会讨论...
day3 zabbix监控详细笔记文档总结
07-20
请注意,这只是一个基本的指南,实际部署时还需要根据网络环境和安全策略进行相应的调整。例如,生产环境中通常会关闭不必要的端口,重新启用SELinux和iptables,并对数据库连接进行加密等。同时,Zabbix的监控范围...
web安全--读书笔记
u010129251的专栏
09-15 641
第一篇世界观安全  第1章我的安全世界观2  1.1Web安全简史2  1.1.1中国黑客简史2  1.1.2黑客技术的发展历程3  1.1.3Web安全的兴起5  1.2黑帽子,白帽子6  1.3返璞归真,揭秘安全的本质7  1.4破除迷信,没有银弹9  1.5安全三要素10  1.6如何实施安全评估11  1.6.1资产等级划分12  1.6.2威胁分析13  1.6
网络信息安全课程笔记整理(一)
热门推荐
wenbuer_的博客
09-04 6万+
网络信息安全 第一章 1.1 网络安全概念 1.2 主要的网络安全威胁 1.3 TCP/IP协议簇的安全问题 1.4 OSI安全体系结构 1.5 网络安全服务及其实现层次 1.6 TCP/IP协议簇的安全架构 1.7 PPDR安全模型 1.8 可信计算机系统评价准则TCSEC 1.9 ...
白帽子讲web安全 读书笔记
think_ycx的专栏
04-18 1641
回顾一下经典
网络安全科普】勒索病毒 防护指南
a38417的博客
07-20 1355
常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。一旦勒索病毒感染了计算机,它会立即开始加密用户的文件,包括文档、图片、视频等,并在屏幕上显示要求用户支付赎金的消息。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。
网络安全法规对企业做等保有哪些具体规定?
最新发布
gmqqcsdn的博客
07-22 631
企业需根据信息系统被定级的保护等级,执行必要的安全保护措施,包括技术措施和其他必要措施,确保网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或被窃取、篡改。根据《中华人民共和国网络安全法》,企业作为网络运营者,需要履行网络安全等级保护制度的相关义务,确保网络安全和数据保护。:企业应根据网络安全等级保护制度的要求,对其负责运行的信息系统进行安全保护等级的划分,并采取相应级别的安全保护措施。:企业在处理个人信息时,应遵循法律、行政法规的规定,建立个人信息保护影响评估等义务,确保个人信息的合法合规处理。
网络安全常用易混术语定义与解读(Top 20)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-21 1069
没有网络安全就没有国家安全网络安全已成为每个人都重视的话题。随着技术的飞速发展,各种网络攻击手段层出不穷,保护个人和企业的信息安全显得尤为重要。**然而,在这个复杂的领域中,许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语,博主整理了20多个常见且容易混淆的专业术语。** 接下来,让我们一起深入探讨这些术语,掌握它们的真正含义!
网络安全领域五大注入攻击类型介绍
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-21 995
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。
网络安全----web安全防范
weixin_55357256的博客
07-16 802
以下代码用来防范流行的DDoS攻击,ARP欺骗,CC攻击,XXS攻击,对输入的恶意代码进行过滤,嵌入到web程序可以很好的防范网络攻击,但如果想要更好的防范网络攻击,还需要更加复杂的配置和更硬核的硬件。print(f"可能的 CC 攻击针对资源 {resource} 检测到")# 用于检测 CC 攻击的函数(简单示例,通过监测短时间内对同一资源的请求频率)# 用于检测 XSS 攻击的函数(简单示例,检查输入中是否存在可疑脚本标签)# 用于检测 DDoS 攻击的函数(简单示例,通过监测短时间内的连接数量)
HCIA-Security网络安全学习笔记:OSI模型、TCP/IP协议详解
HCIA-Security 网络安全学习笔记 本笔记涵盖了HCIA-Security 认证考试的重要知识点,包括网络安全、USG 模拟器使用、OSI 模型、TCP/IP 模型、各层协议之间的关系等。 **USG 模拟器使用** USG 模拟器是网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值