0x00 前言
安全基础架构中主要的安全目标和宗旨通常是指三元组CIA,保密性,完整性和可用性
0x01 保密性
什么是保密性?
保密性是指为保障数据、客体或资源保密状态而采取的措施。
保密性的主要目的是?
阻止或最小化未经授权的数据访问。
什么情况下可能会违反保密性
- 恶意攻击
- 人为错误,用户或者管理员的不当行为
- 安全策略配置有误。
有哪些控制措施可以增强或者有利于保密性
- 加密
- 填充网络流量
- 严格的访问控制
- 严格的身份认证程序
- 数据分类
- 充分的人员培训
什么是填充网络流量
就是正常数据里填充一些无用的信息,其实用混淆这个词来形容会更好一点。
什么是敏感性
敏感性是指信息的特征,这些特征的数据一旦泄露就会导致伤害或者损失。比如一些比较重要的数据,身份id,password,生物特征等,实际上对应的就是密级,针对不同的密级有不同的处理手段和方法。
什么是判断力
判断力是一种决策行为,操作者可影响或控制信息泄露,以将伤害或损失程度降到最低。
这里的判断力实际上对应的是风险评估能力,就是可以通过现况来分析判断出可能存在的风险,通过对风险的管控从而达到降低伤害或者损失的目的。
什么是关键性
信息的关键成都是关键性的衡量指标,关键性和敏感性应该是息息相关的,都代表了数据的重要程度。
0x02 完整性
什么是完整性
完整性是保护数据可靠性和正确性的概念。
完整性的目的
防止了未经授权的数据更改,预防故意和恶意的未经授权的活动以及授权用户的误操作。
如何校验完整性
- 防止未经授权的主体进行修改
- 防止授权主体进行的未经授权的修改
- 权限逻辑清晰
0x03 可用性
什么是可用性
可用性意味着授权主体被授予实时的,不间断的客体访问权限。
可用性面临的问题
- 人为因素
- 恶意攻击
- 环境因素
- 硬件因素
0x04 DAD&真实性&不可否认性和AAA服务
什么是DAD
DAD三元组由 泄露(disclosure)、修改(alteration)、破坏(destruction)组成。代表CIA三元组中安全保护的失败的情况。
什么是AAA?
AAA服务是所有安全环境中的一个核心安全机制。三个A分别代表身份认证(authentication),授权(authorization)和记账(accounting)
实际上这三个字母代表了五个不同的内容:
- 标识 声明的身份
- 身份认证,认证身份
- 授权 对身份授权
- 审计 记录系统和主体相关的事件喻活动日志
- 记账 通过日志来做合规
0x05 保护机制
1.常见的保护机制有?
- 纵深防护
- 抽象
- 数据隐藏
- 加密
0x06 安全控制框架
什么是COBIT的刘哥关键原则
- 为利益相关方创造价值
- 采用整体分析法
- 动态地治理系统
- 把治理从管理中分离出来
- 根据企业需求量身定制
- 采用端到端的治理系统
0x07 威胁建模
STRIDE
- 欺骗 Spoofing
- 篡改 Tampering
- 否认 Reputation
- 信息泄露 information Disclosure
- 拒绝服务 DoS
- 权限提升 Elevation of privilege
0x08 其他问题
什么是安全治理?
支持、定义和指导组织安全工作相关的实践集合。
安全治理是将组织内所使用的安全流程和基础设施从外部来源获得的只是和见解进行比较。
什么是ITIL
一套用于IT服务管理的最佳实践框架,由英国政府开发,最后成为国家框架。
什么是CIS
互联网安全中心提供操作系统、影院公程序和硬件安全配置指南。
什么是CSF
NIST网络安全框架,为关键基础设施和商业组织设计。主要特点是随着时间推移支持和改进安全。
什么是尽职审查
在正确等时间采取正确的行动。
什么是ATO
ATO是操作授权。
补充
CISSP
CISSP,全称为Certified Information Systems Security
Professional,是国际上最具影响力和广泛认可的信息系统安全管理证书之一。CISSP证书由国际信息系统安全认证机构(ISC)2颁发。
CISSP证书旨在验证和证明持有人在信息安全领域具备高水平的知识、技能和经验。持有CISSP证书的专业人士被认为是全球范围内企业、机构和政府部门中最佳的信息安全顾问和专家。
CISSP培训课程和考试涵盖了信息安全的8个核心领域,包括安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与事件响应、软件开发安全。考试通常包括250道多选题,需要在6小时内完成。
持有CISSP证书的人可以在信息安全领域的各个职位上发挥重要作用,包括信息安全经理、安全工程师、风险分析师、安全顾问等。此外,CISSP证书也被广泛用于企业招聘中,作为评估候选人信息安全能力的重要标准。
值得注意的是,取得CISSP证书需要满足一定的工作经验要求,并且持有人需要定期参加继续教育并重新认证,以保持其证书的有效性和专业水平。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!