《网络安全评估》第一章 1.2网络安全

最新推荐文章于 2024-08-31 20:59:18 发布
最新推荐文章于 2024-08-31 20:59:18 发布
阅读量841 收藏 17
点赞数 11
分类专栏: 安全 Web安全 网络安全 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiandxx/article/details/139372378
版权
安全 同时被 3 个专栏收录
284 篇文章 0 订阅
订阅专栏
网络安全
271 篇文章 3 订阅
订阅专栏
Web安全
88 篇文章 0 订阅
订阅专栏

《网络安全评估》1.2网络安全

评估服务定义
安全销售商从各个方面提供了零零散散的多种安全评估服务。图1-1展示了服务商所提供 的一些关键服务、评估深度以及相应的成本。不同的服务类型提供了不同程度的安全保 障能力。

漏洞扫描 (Vulnerability scanning) 使用一些自动化的工具(如Nessus 、ISS Internet Scanner 、QualysGuard 以及eEye Retina), 并能对系统存在的漏洞进行最小限度的评估 和量定。这是一种比较廉价的方式,也能够保证系统中不再存在明显的漏洞,但这种方 式没有提供能有效提升安全性的清晰的策略。

网络安全评估 (Network security assessment) 是一种混合进行的过程,它使用了一些有 效的自动化工具,也包括由训练有素的安全分析员对漏洞进行人工的测试和量定。网络 安全评估的报告通常是由评估者手工完成的,准确而细致,报告中一般会包括一些能够 有效提高系统安全性的专业建议。

Web 应用程序测试 (Web Application Testing) 涉及到对web 应用程序组件的认证后评 估,以识别目标系统中存在的命令注入漏洞、脆弱的访问权限设置,以及web 应用程序中存在的其他漏洞。这一层次的评估需要广泛的人工参与,如安全分析员对漏洞的分析 与量定、安全顾问的建议等,因此,不能轻易地采用自动化工具完成。

充分的渗透测试 (Full-blown penetration testing) 超出了本书的范围,这种方法使用多 重的攻击方式(包括电话战争拨号、社会工程、无线测试等)来突破目标网络。而本书 则全面展示和讨论了那些坚定的Internet 攻击者为远程攻陷IP网络所采用的方法和技术, 读者在了解这些之后也可以反过来用于提高IP网络的安全性。

现场审计 (Onsite auditing) 可以最清晰地刻画网络的安全性。具有本地系统访问权限以 及运行工具权限的安全顾问可以识别系统中任何不良迹象,包括rootkits、脆弱的用户口 令、脆弱的访问权限机制以及其他一些漏洞。802.11无线测试通常也是现场审计的一部 分,由于定位不同,现场审计也不在本书的讨论范围。

网络安全评估方法学
对坚定的攻击者和网络安全顾问而言,最常用的评估方法学包括如下四个层面:
· 通过网络探测识别相关的IP网络和主机
· 通过大量的网络扫描和探测来识别存在漏洞的主机
· 研究漏洞并进一步手动地探测网络
· 对漏洞的渗透和安全防护机制的欺骗
这种方法学的具体应用是与目标网络的实际情况相关的,比如有时候可能仅仅具有目标

网络的一些极为有限的信息(比如仅有一个DNS 域名),这就需要这几个层面的逐步进 行;而如果安全顾问被告知评估某特定的IP地址空间,他就可以跳过最初的网络枚举而 直接着手开始网络扫描和漏洞研究。

Internet 主机与网络枚举
攻击者可以通过很多探测技术查询公开的信息源,以便识别出那些感兴趣的主机与网 络。这些开放的信息源包括wcb 与新闻组搜索引擎、WHOIS 数据库、DNS 名服务器等。 通过这些公开的信息源,攻击者通常可以从Internet 获取目标网络结构等有用的信息,而 不需要真正地对目标网络进行直接的扫描和探测。

这些初始的探测是非常重要的,能帮助黑客识别那些没有做好足够安全加固的网络和主 机。坚定的攻击者愿意在外围的网络和主机上花费一些精力,而公司和组织往往只是把 注意力放到那些显而易见的公开系统(如公开的web 服务器和邮件服务器),但却忽略 了那些通常不被注意的主机和网络,这就增加了攻击者通过这些外围设备入侵系统的成 功几率。

坚定的攻击者还可以对目标网络的第三方供应商或商业伙伴的网络进行枚举,由于供应 商和商业伙伴通常会具有对目标网络的相应的访问权限,通过这种迁回的策略,攻击者 也可以获取一些相关的信息。现今,第三方通常通过VPN隧道或其他形式的专门通道连 接到目标网络中来,这在客观上增加了攻击者的难度。

通过这种初始探测可以获取的信息包括基于Internet 的网络段的一些详细资料、通过DNS 服务器获得的内部IP 地址、目标组织内部DNS 服务器结构的信息(包括域名、子域、主 机名等),以及物理位置不同的IP网络之间的关系。

攻击者可以利用这些信息对目标网络进行结构化的大规模网络扫描和探测,以探究目标 网络空间可能存在的漏洞。通过进一步的探测可能会提取用户的一些详细资料,包括电 子邮件地址、电话号码、办公室地址等。

结语

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

网络安全的知识多而杂,怎么科学合理安排?

下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
在这里插入图片描述

网络安全实验室
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第4章 网络安全体系与网络安全模型
qq_33828816的博客
09-05 9308
第4章 网络安全体系与网络安全模型第4章 网络安全体系与网络安全模型1. 网络安全体系概述1.1 概念1.2 特征1.3 用途2. 网络安全体系相关模型[2.1 BLP机密性模型](https://blog.csdn.net/sinat_36082782/article/details/104506721)2.2BiBa完整性模型2.3 信息流模型2.4 信息保障模型2.5 能力成熟度模型2.6 纵深防护模型2.7 分层防护模型2.8 等级保护模型2.9 网络生存模型3. 网络安全体系建设原则与安全策略建设
信安软考 第十六章 网络安全风险评估技术原理与应用
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
10-18 2672
网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然地威胁导致安全事件发生所造成的可能性影响。网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学的评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。简单的来说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。网络安全风险评估涉及。
信安软考 第十八章 网络安全测评技术与标准
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
10-18 2549
常见的网络漏洞扫描工具有Nmap、Nessus、 OpenVAS。,是从风险管理角度,评估系统面临的威胁以及脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响,提出有针对性的抵御威胁的方法措施,将风险控制在可接受的范围内,达到系统稳定运行的目的,为保证信息系统的安全建设、稳定运行提供技术参考。网络信息系统安全风险测评从技术和管理两方面进行,主要内容包括系统调查、资产分析、威胁分析、技术及管理脆弱性分析、安全功能测试、风险分析等,出具风险评估报告,提出安全建议。
第一章网络信息安全概述精讲笔记
master_jian的博客
10-11 1682
二、本章大纲要求 1.网络信息安全概述 1.1 网络信息安全基本属性 ● 机密性 ● 完整性 ● 可用性 ●抗抵赖性 ● 可控性 ● 其他(真实性、时效性、合规性、隐私性、公平性等) 1.2 网络信息安全现状与问题 ● 网络信息安全现状● 网络信息安全问题 1.3 网络信息安全目标与功能 ● 网络信息安全目标● 网络信息安全功能 1.4 网络信息安全基本技术需求 ● 物理环境安全网络信息安全认证 ● 网络信息访问控制 ●网络信息安全保密与内容安全网络信息安全监测与预警 ●网络信息安全漏洞扫描与.
信安软考 第十三章 网络安全漏洞防护技术原理
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
10-11 2348
网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常被称为安全隐患。安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控性下降、真实性不保等。根据安全补丁的状况,将漏洞分为普通漏洞和0-day。普通漏洞指安全厂商已有修补方案的漏洞,0-day是指系统或软件中新发现的、尚未提供补丁的漏洞。
信息安全工程师学习笔记《第一章
humblepromise的博客
04-05 1万+
第一章网络信息安全概述 1.1网络发展现状与重要认识 1.1.1网络信息安全相关概念 **网络安全**是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行状态,以及保障网络数据的完整性、保密性、可用性的能力。 1.1.2网络信息安全重要性认识 **网络空间**具有网络安全威胁高隐蔽性、网络安全技术高密集性、网络安全控制地理区域不可限制性、网络安全防护时间不可区分性、网络攻防严重非对称性的特点。 2016年国家发布了《国家网络空.
安恒“网安三剑客”:大模型时代下的网络安全实战指南
热门推荐
屿小夏.的知识博客
06-06 6万+
大模型风潮已掀起,各大巨头争相入局,从ChatGPT到Sora,全球的AI应用“卷出了花”。然而,网络安全人员在享受AI技术带来的便捷之余,也不得不面对一系列新兴的安全挑战,无法忽视。 对于大模型时代的数字安全问题,安恒信息的专家曾进行过如下的分析与总结: 首先是隐私泄露问题,AI大模型需要海量的数据来训练,这意味着个人敏感信息有可能在不知不觉中被吸收进模型之中,一旦这些信息泄露,后果不堪设想。比如你的购物习惯、位置信息,甚至面部识别数据可能都会落入不法分子之手。 其次是数据滥用问题,即使数据没有直接泄露
【软考中级信安】第四章--网络安全体系与网络安全模型
RexHa的博客
03-08 4748
1.网络安全体系概述 1.1 网络安全体系概念 网络安全体系:是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。 1.2 网络安全体系特性 • 整体性:网络安全单元按照一定规则,相互依赖,相互约束,相互作用而形成人机物一体化的网络安全保护方式。 • 协同性:网络安全体系依赖于多种安全机制相互协作,构建系统性的网络安全保护方案。
《密码编码学与网络安全第一章 读书笔记
weixin_40934065的博客
09-17 426
密码算法与协议的分类:对称加密、非对称加密、数据完整性算法、认证协议 1.1 计算机安全概念 定义(源于NIST):对于一个自动化的信息系统,采取保护措施确保信息系统资源(包括硬件、软件、固件、信息/数据和通信)的完整性、可用性和保密性【CIA三元组】。 ①保密性缺失的定义是信息的非授权泄露 ②完整性缺失的定义是对信息的非授权修改和毁坏 ③可用性缺失的是对信息和信息系统的访问和使用的中断 除...
第1章计算机网络安全概述完整.pptx
11-14
* 评估人员:关注网络安全评价标准、安全等级划分、安全产品测评方法与工具、网络信息采集以及网络攻击技术。 * 网络管理或网络安全管理人员:关心网络安全管理策略、身份认证、访问控制、入侵检测、网络安全审计、...
第1章计算机网络安全概述.ppt
11-13
计算机网络安全概述 随着互联网的快速发展和网络社会的深入...总的来说,网络安全是一个涵盖广泛领域的复杂体系,需要结合技术、管理、法规等多方面的努力,才能构建起有效的防护体系,以应对不断变化的网络安全挑战。
网络安全与系统集成之网络工程项目.doc
07-16
尽管项目取得了一定的成功,但仍可能存在一些不足,如网络安全防护措施的完善度、网络故障恢复机制的健全性等,这些都需要在未来持续优化和完善。 综上所述,铝业公司的网络工程项目是一个集先进技术和企业实际需求...
网络安全应急预案.docx
12-28
第一章 总则 1.1 编制目的 网络安全应急预案的编制目的是为了建立健全组织的网络安全防护体系,预防、预警、控制和恢复可能的网络安全事件,减少这些事件对组织业务、客户数据以及公共信任度的影响。通过明确的预案...
网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
最新发布
goldfish8848的博客
08-31 703
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
网络安全售前入门08安全服务——Web漏洞扫描服务
打工人
08-31 343
Web漏洞扫描服务主要针对应用系统漏洞进行扫描,主要包括扫描WEB服务器(IIS、Websphere、Weblogic、Apache等)的漏洞;识别数据库类型;扫描第三方组件的漏洞;检测常见的WEB应用弱点,支持OWASP TOP 10等主流安全漏洞。
网络安全】分析cookie实现PII IDOR
等风来
08-27 118
目标:公共电子商务类型的网站,每月有大约6万到10万访问者,注册用户大约有5万。
网络安全 加密编码进制
m0_73245690的博客
08-31 644
BASE64 编码:用于在文本格式中传输二进制数据,增加数据长度约 33%。URL 编码:用于将 URL 中的特殊字符转换为百分号编码格式,确保 URL 的安全传输。HEX 编码:将二进制数据转换为直观的十六进制字符表示,便于调试和数据分析。ASCII 编码:历史悠久的文本编码标准,适用于表示基础的英文字母和控制字符。这些编码方式各有其用途,选择合适的编码方式取决于具体的应用场景和数据类型。JS 前端代码加密:通常指代码混淆,通过工具减少代码可读性,但仍可被解码。JS 颜文字。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-30 849
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
CCNA安全:现代网络威胁与防护策略
"CCNA Security"课程的第一章探讨了"Modern Network Security Threats",旨在帮助学习者理解和应对当前网络环境中的安全挑战。课程设计考虑全面,预计教学时长为3到6小时,包括讲座、演示、讨论和评估环节,适用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值