文章目录
一、自学网络安全学习的误区和陷阱
1.不要试图先成为一名程序员(以编程为基础的学习)再开始学习
我在之前的回答中,我都一再强调不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,而且实际向安全过渡后可用到的关键知识并不多
一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。而且学习编程只是工具不是目的,我们的目标不是成为程序员。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少
2.不要把深度学习作为入门第一课
很多人都是冲着要把网络安全学好学扎实来的,于是就很容易用力过猛,陷入一个误区:就是把所有的内容都要进行深度学习,但是把深度学习作为网络安全第一课不是个好主意。原因如下:
【1】深度学习的黑箱性更加明显,很容易学的囫囵吞枣
【2】深度学习对自身要求高,不适合自学,很容易走进死胡同
3.不要收集过多的资料
网上有很多关于网络安全的学习资料,动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”,一下子购买十几本书,或者收藏几十个视频
网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料,下面我会推荐一些自认为对小白还不错的学习资源,耐心往下看
二、学习网络安全的一些前期准备
1.硬件选择
经常会问我“学习网络安全需要配置很高的电脑吗?”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以,不要打着学习的名义重新购买机器…
2.软件选择
很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统,Linux虽然看着很酷炫,但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习
至于编程语言,首推Python,因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。其他语言还包括C++、Java…
很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用我上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员
(这里额外提一句,学习编程虽然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识)
3.语言能力
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,所以需要一定量的英文和黑客专业名词(不需要特别精通,但是要能看懂基础的)
比如说:肉鸡、挂马、shell、WebShell等等
三、自学网络安全学习路线
信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。通过风险评估,能及早发现和解决问题,防患于未然。
重点内容
概述
信息安全风险评估
信息安全风险评估标准
一、信息安全风险评估
信息安全风险评估,是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
评估是一个收集安全保障证据的过程,也是针对功能性和保障性准则的分析过程。
信息安全风险评估是建立信息安全保障机制中的一种科学方法。
1、评估概述
风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
通常信息安全系统的评估方法具有以下几个特征:
一组功能需求,定义了系统或者产品的安全功能;
一组安全保障需求,描述系统或者产品为满足功能需求而采取的若干措施,这种措施通常指所需的安全保障证据;
一种用于确定系统是否满足功能需求的方法,这种方法建立在分析安全保障证据的基础之上;
一种针对评估结果的度量标准(称为可信等级),它是为产品或者系统定义的关于安全功能的需求,表明产品或者系统的可信程度。
2、评估步骤
在风险评估过程中,有几个关键的问题需要考虑。
(1)首先要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
(2)其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
(3)资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
(4)一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
(5)最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
3、评估分类
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析。
实际工作中经常使用的风险评估途径:
基线评估
详细评估
组合评估
二、信息安全风险评估标准
标准中有若干评估标准对整个信息安全形式化评估方法具有重大的影响力,其中最主要的有《可信计算机系统评估准则》TCSEC和《信息技术安全评估标准》ITSEC :
TCSEC
欧洲的安全评价标准(ITSEC)
加拿大的评价标准(CTCPEC)
美国联邦准则(FC)
国际通用标准CC
中国的安全标准
1、TCSEC
TCSEC(可信计算机安全评估准则)(Trusted Computer Security Evaluation Criteria)
美国国防部, 1985年
开发者: 指导信息安全产品的制造和应用
评测机构: 为安全产品的测评提供准则和方法
用户: 通过比较, 选择适合自己的产品和系统
TCSEC(可信计算机安全评估准则)
针对孤立计算机系统(如小型机和主机系统)
假设有一定的物理隔离保障
适合政府和军队, 不适合企业
3、CTCPEC
在信息安全保障阶段,欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的《信息技术安全评价准则》(ITSEC,Information Technology Security Evaluation Criteria),又称欧洲白皮书。
吸收TCSEC的成功经验
功能性需求
保密性
完整性
可用性
功能准则分为F1-F10
评估准则分为6级
4、CTCPEC
加拿大1988年制定的《加拿大可信计算机产品评估准则》CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)专门针对政府需求而设计。
1989年5月公布第一版,并于1993年1月结合TCSEC与ITSEC的基础上,公布了第三版。
功能性需求
机密性
完整性
可用性
可控性
保证性需要
5、FC
1993年,美国对TCSEC做了补充和修改,制定了《信息技术安全性评价联邦准则》FC(Federal Criteria),是对TCSEC的升级,并引入了“保护轮廓”(PP)的概念。
每个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和CTCPEC的优点,在美国的政府、民间和商业领域得到广泛应用。
6、CC
1993年6月,CTCPEC、FC、TCSEC、ITSEC的发起者联合起来,将各自独立的标准组合成一个单一的、能被广泛使用的IT安全准则:CC(Common Criteria)。并把结果作为国际标准提交给ISO,是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。
1996年6月,CC第一版发布;1998年5月,CC第二版发布;1999年10月CC V2.1版发布,并且成为ISO标准。
主要思想和框架都取自ITSEC和FC
充分突出了“保护轮廓”概念
将评估过程划分为功能和保证两部分
等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级
每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估
7、中国的安全标准
公安部提出并组织制定、国家质量技术监督局发布的强制性国家标准:《计算机信息系统安全保护等级划分准则GB 17859-1999》,将计算机信息系统的安全保护等级划分为五个等级:
用户自主保护级;
系统审计保护级;
安全标记保护级;
结构化保护级;
访问验证保护级。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
