Safe: 02-安全入门-法律法规-安全趋势
- TAGS: Safe
主要内容:
- 网络安全当前趋势、环境、法律法规
- 数据安全法、个人信息保护法的解读
- 网络安全就业环境,企业安全人员需求
- 安全职业发展前景
- 网络安全学习路径
法律法规
《网络安全法》
概述
《网络安全法》是我国第一部网络安全领域的法律,是保障网络安全的基本法,与《国家安全法》、《反恐怖主义法》、 《刑法》、《保密法》、《治安管理处罚法》、《计算机 信息系统安全保护条例》等现行法律法规共同构成中国关 于网络安全管理的法律体系。
条文解读
第十二条 国家保护公民、法人和其他组织依法使用网络的权利。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不 得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家 政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端 主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信 息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权 益等活动。
解读: 点明了哪些事情不可为。即时通讯、搜索、网络社区等存在较多言论行为的网络服务注意信息审计,净化网络环境。
案例:
- 乌云平台事件:发现了军方网站漏洞,把这个漏洞披露出来,下午乌云平台负责人被带走,后续乌云平台关闭。
- Apache log 漏洞事件:阿里云人员发现该漏洞,没有报告网信办、通信办,直接报告给 Apache 官方。后续阿里云被暂停半年合作资质并罚款。
- 中国修订反间谍法将对国家机关实施网络攻击等行为明确为间谍行为。
第三十七条 运营中收集和产生的个人信息和重要数据应当在境内存储。因业务 需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办 法进行安全评估;法律、行政法规另有规定的,依照其规定。
解读: 个人信息和重要信息需境内存储。外企和有海外业务的国内企业应重点 关注。
案例: 下架滴滴 App
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对 其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情 况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
解读: 每年至少一次的网络安全检测和风险评估。
第四十条 网络运营者应当建立健全用户信息保护制度,对其收集的用户信息必须严格保密。
*解读 : * 进行用户信息保护。用户信息主要是指:用户使用产品或服务过程中收集的信息构成用户信息,包括IP地址、用户名和密码、上网时间、Cookie信息等。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原 则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收 集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、 行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规 的规定和与用户的约定,处理其保存的个人信息。
解读: 进行个人信息保护。个人信息指:以电子或者其他方式记录的能够单独或 者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、 出生日期、身份证件号码、个人生物识别信息、住址、电话号码
总结
严处中介买卖交换个人信息,收集用户信息应取得同意
个人信息有了“保护伞”
网络运营者不得泄露其收集的个人信息;中介买卖交换个人信息也算侵权;提供个人信息违法所得 5000元以上可入刑 。
网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意; 网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得 向他人提供个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信 息,不得非法出售或者非法向他人提供个人信息;任何个人和组织应当对其使用 网络的行为负责,不得设立用于实施诈骗,传授犯罪方法等。
贩卖 50 条个人信息可入罪
对于刑法相关规定中“情节严重”的认定标准,司法解释明确规定了入罪 10 种情
形,包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信
息 50条以上的 ;非法获取、出售或提供住宿信息、通信记录、健康生理信息、
交易信息等其他可能影响人身、财产安全的公民个人信息 500条以上的 。
《数据安全法》
概述
2021年6月10日,《数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。
数据安全法是总体国家安全观框架下,国家安全法律体系的重要组成部分。
该法律在网络安全法的基础上,进一步明解了数据安全相关者的保护义务与职责,并 与国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》相互照应。 《数据安全法》的诞生,标志着数据安全上升到国家安全层面,意义重大。
条文解读
第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
解读: 数据安全问题不仅在国内受到监管,境外势力威胁我国数据安全的恶意活动也将受到追究与惩罚。
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理, 包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通 过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续 安全状态的能力。
解读: 扩大了数据保护范围。
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
解读: 有监管才能有推进。
第十八 条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第三十条 重要的数据处理者就当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
解读: 网络安全行业的又一分支,热门发展方向。
第6 18 30 条放一起,6有上级监管,18有国家鼓励,30要求定期测评。代表着在未来几年内网络安全的一个热门方向数据安全。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
解读: 明确数据是可交易的,但不能滥用。
第二十一条 国家建立 数据分类 分级保护制度 ,根据数据在经济社会发展中的重
要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、
公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
国家数据安全工作协调机制统筹协调有关部门制定重要数据目录 ,加强对重要数
据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家 核心数据 ,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的 重要数据 具体目录,对列入目录的数据进行重点保护。
解读: 数据安全的工作重点–分类分级。核心数据、重要数据、一般数据
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数控安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明解数据安全负责人和管理机构,落实数据安全保护责任。
解读: 数据安全要在满足等保的基础上进行。
总结
- 建立数据安全管理制度,落实数据安全生命周期管控责任
- 通过数据分类分级,实现企业数据安全建设第一步
- 针对不同类别&级别的数据,实施具体保护措施
- 建立数据安全事件应急响应机制
- 组织开展数据安全培训教育
《个人信息保护法》
概述
数字时代的《个人信息保护法》,是保障个人信息权益乃至宪法性权利的基本法。
《个人信息保护法》第一条即开宗明义,为了保护个人信息权益,规范个人信息 处理活动,促进个人信息合理利用,根据宪法,制定本法。其中在立法依据中" 根据宪法" 这四个字表明:我国将个人信息受保护的权利提升至更高高度,其来 源于《宪法》:国家尊重和保障个权,公民的人格尊严不受侵犯,公民的通信自 由和通信秘密受法律保护。
《个人信息保护法》于2021年8月20日正式出台,同年11月1日起施行。 自此, 我国终于形成了以《网络安全法》《数据安全法》《个人信息保护法》三法为核 心的网络安全法律体系 ,为数字时代网络安全、数据安全、个人信息权益保护 提供了基础制度保障。
条文解读
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息 。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第二十八条 敏感个人信息 是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息, 以及不满十四周岁未成年人的个人信息 。
只有在具有特定的目的和充分的必要性,并采取严格措施的情况下,个人信息处理者方可处理敏感个人信息。
解读: 对个人信息和敏感个人信息进行了明确界定。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明解作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 基于个人同意处理个人信息的, 个人有权撤回同意 。 个人信息处理者应当提供便捷的撤回同意的方式 。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
解读: 处理个人信息的核心原则是告知和同意。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
解读: 重点保护未成年人信息。
条文解读–个人在个人信息处理活动中的权利:
- 第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
- 第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外 。
- 第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
- 第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
- (一)处理目的已实现、无法实现或者为实现处理目的不再必要;
- (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
- (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
- (五)法律、行政法规规定的其他情形。
- 第四十八条 个人有权要求个人信息处理者对其个人信息
处理规则进行解释说明。 - 第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的
查阅、复制、更正、删除等权利;死者生前另有安排的除外。 - 第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
- 个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
总结
《个人信息保护法》正式实施,强化了对公民个人信息的系统保护。
之前,对于公民个人信息的保护虽然也写入了立法,但主要散落于《民法典》 《刑法》《网络安全法》《消费者权益保护法》《电子商务法》《数据安全法》 等法律中,且缺乏保护的基本原则。经由一部专门的法律"提纲挈领",不仅集个 人信息的法律保护之大成,便于公民个人"按图干索骥",保护合法权益,更凸显 了立法对个人信息保护的重视程度,释放出依法维护个人信息安全的强烈讯号。 尤其重要的是,《个人信息保护法》明确将"告知–同意"原则作为个人信息保护 的基本规则,作为个人信息处理者处理用户信息的规范前提,赋予了公民对个人 信息处理的知情权、决定权,也为界定"合法"与"违法"划出了分水岭。
刑法
刑法第二百八十六条
第一种类型是,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重;
第二种类型是,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的;
第三种类型是,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重
网络安全趋势
网络安全趋势
2014年,我国成立了中央网络安全和信息化领导小组,统筹协调涉及各个领域的 网络安全和信息化重大问题。国务院重组了国家互联网信息办公室,授权其负责 全国互联网信息内容管理工作,并负责监督管理执法。
工信部发布了《关于加强电信和互联网行业网络安全工作的指导意见》,明确了 提升基础设施防护、加强数据保护等八项重点工作,着力完善网络安全保障体系。 我国国家网络与信息安全顶层领导力量明显加强,管理体制日趋完善,机构运行 日渐高效,工作目标更加细化。
近年来,我国互联网蓬勃发展,网络规模不断扩大,网络应用水平不断提高,成 为推动经济发展和社会进步的巨大力量。与此同时,网络和业务发展过程中也出 现了许多新情况、新问题、新挑战,尤其是当前网络立法系统性不强、及时性不 够和立法规格不高,物联网、云计算、大数据等新技术新应用、数据和用户信息 泄露等的网络安全问题日益突出。
未来,我国将不断加强网络安全依法管理、科学管理,更加重视新技术新应用安 全问题,促进移动互联网应用生态环境优化,加速构建网络安全保障体系,推动 网络安全相关技术和产业快速发展。一是国无法不立,网无法不兴,依法治网将 成为新常态。
网络IT的发展不停滞,网络安全发展一定不会停下来。只要不加安全防护设备,还是有很多漏洞的。
专业竞争力排名
| 排名 | 专业名称 | 竞争力指数 |
|---|---|---|
| 1 | 软件安全 | 134.8 |
| 2 | 信息安全 | 132.8 |
| 3 | 计算机科学与技术 | 129.8 |
| 4 | 信息与计算科学 | 127.8 |
| 5 | 电子科学与技术 | 127.8 |
| 6 | 数学与应用数学 | 127.6 |
| 7 | 计算机应用技术 | 127.5 |
| 8 | 应用物理学 | 126.7 |
| 9 | 网络工程 | 126.6 |
| 10 | 电子与通信工程 | 126.2 |
工作五年后薪酬最高的十五个行业
| 软件工程 | 14.6 |
| 信息安全 | 14.4 |
| 计算机科学与技术 | 13.9 |
| 数学与应用数学 | 13.5 |
| 项目管理 | 12.9 |
| 信息与计算机 | 12.9 |
| 网络工程 | 12.5 |
| 计算机应用 | 12.1 |
| 统计学 | 11.9 |
| 电子信息科学与技术 | 11.2 |
| 金融学 | 11.2 |
| 通信工程 | 10.9 |
| 材料科学与管理 | 10.9 |
| 应用物理学 | 10.3 |
| 数字媒体技术 | 10.1 |
国家有哪些关键信息技术行业
通信行业
中国移动、联通、电信、铁通等
铁路航空行业
中国航空、高铁、铁路部门等
金融行业
上海银监局,东亚银行,宁波银行,兰州银行,法国兴业银行,中国工商银行数据中心,澳新银行(中国)北京分行,成都银行,广西北部湾银行,申银万国证券,光大证券;
电力行业
国网电力科学研究院,浙江省电力,上海电气,安徽电力,云南云电同方科技有限公司,上海电力科学研究院等
互联网
英特尔公司Intel(供应商),思科中国 Cisco,联想集团,百度在线网络技术(北京)有限公司,支付宝(中国)网络技术有限公司,杭州华三通信技术有限公司,网神信息技术(北京)股份有限公司,上海启明软件股份有限公司,北京江南博仁科技有限公司等;
其他行业
创维得志控股有限公司,天建天土力集团有限公司,安利(中国)日用品有限公司。家得宝 (天洼)商业有限公司,快乐购物股份有限公司,CHIC,TCL集团,群邑媒介集团,宝钢集团有限公司,上海江森自控有限公司,上海汽车集团股份有限公司,上海大众汽车有限公司。丰田汽车金融(中国)有限公司等;
除上面之外,还有腾讯、网易、百度、阿里、淘宝 、美团、抖音、拼多多、新浪等公司都需要网络安全人才来支撑关键业务安全稳定运行。
哪些行业更容易引起攻击者的注意?
医疗行业、教育行业。不直接和钱打交道,对安全的重视不够,但拥有宏大的用户信息。
安全工程师事业
SRC(Security Response Center)安全应急响应中心
- 对外发布突发安全事件
- 接受用户漏洞报告并奖励
安全应急响应中心(SRC, Security Response Center),是企业用于对外接收 来自用户发现并报告的产品缺陷的站点。一般用来对外发布企业突发安全事件处 理动态,作为企业与热心用户以及安全研究人员沟通反馈的平台以及对外发布企 业信息安全团队研究成果的重要作用。
习近平强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人 民群众利益也难以得到保障。要树立正确的网络安全观,加强信息基础设施网络 安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应 急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。
习近平强调,推进全球互联网治理体系变革是大势所趋、人心所向。国际网络空 间治理应该坚持多边参与、多方参与, 发挥政府、国际组织、互联网企业、技 术社群、民间机构、公民个人等各种主体作用。
ASRC(阿里 SRC): https://security.alibaba.com/
TSRC(腾讯 SRC) 漏洞处理和评分标准 : https://security.tencent.com/uploadimg_dir/other/TSRC.pdf
推荐从一些的小的 SRC 上挖起。
SRC 导航平台
- 补天平台:https://www.butian.net/Reward/plan/2 各厂商奖励计划,适合新手
- 漏洞盒子:https://src.vulbox.com/
- 安全KER:https://www.anquanke.com/src/
护网:公安部组织的网络攻防演习
HW是什么
- 每只队伍 3~5 人
- 设置目标,访问该目标,但是不能进行破坏
- 不限攻击手段和路径
- 攻方:互联网大厂、关基单位、研究院、安全厂商
- 守方:关键基础设施、国内大型企业
“护网行动”是由 GA 国公安部统一组织的,以国家组织关键信息基础设施单位和大型企业等作为目标,开展攻防对抗的网络安全实战演习活动。
每支队伍 3-5 人组成,明确目标系统,不限攻击路径, 获取到目标系统的权限、数据即可得分,禁止对目标实施破坏性操作,对目标系统关键区域操作必须得到指挥部批准。
不限制攻击路径和手段 ,以获取权限和数据为目标来开展,高度模拟真实对抗场景,更加考验防守的全面性。
护网的根本目的 ,就是面对当代风云突变的国际形势,国家关键信息基础设施单位(CII)如何在保证关乎国计民生业务稳定运行的情况下,不被黑客病毒等恶意攻击。
护网一般按照行政级别分为国家级护网、省级护网、市级护网等,根据级别的不同,时间长度也不一致。国家级护网,一般来说是每年的中旬左右开始,持续时间是2~3周。护网一般分为攻守双方进行红蓝对抗,红队为攻击队,蓝队为防守队,此外,还有一个“紫队”的概念。
HW–大型攻防演练
目的:提供国家关键信息基础设施行业的整体安全防护能力和水平
HW发展历史
- 2016 年:内测,少部分行业参与
- 2017-2018:初始阶段,攻击队比较容易得手,防守工作比较混乱,被动挨打。
- 2019:出现了流量监控设备,给防守方的工作提供了抓手,防守方不再被动挨打,可以撰写防守报告,大量。
- 2020:精准监控、应急处置,对防守报告的要求增加
- 2021&2022:溯源反制,大量0day 漏洞登场。0day 漏洞即没被公布出来的漏洞。
- 未来:攻防常态化
攻击难度增加,攻击队压力越来越大,攻击人员的要求越来越高。
不同行政级别的HW
- 国家级: 通常是国家
- 省级:
- 市级:
- 行业&单位内部:各行各业都可以参与
HW规则解读
每支攻击队伍由3~5人组成,赛前会明确目标系统, 不限攻击路径
- 禁用DDOS
- 不能使用破坏性的物理入侵。即可以物理入侵但不能破坏
- 不能使用传播性的木马病毒
- 对目标系统关键区域操作必须得到指挥部批准。
提交漏洞并不能得分,获取目标系统的权限or数据才能得分。
对照上述攻击方的得分规则,防守方的失分规则也是同理。
护网的根本目的,就是面对当代风云突变的国际形势,国家关键信息基础设施单位(CII)如何在保证关乎国计民生业务稳定运行的情况下,不被黑客病毒等恶意攻击。
HW要求解读
| HW级别 | 攻击方 | 防守方 |
| 国家级 | 提交漏洞不得分。拿下系统权限或者数据才得分 | 有防守需求和分值。需要防守人员24h值守 |
| 省级 | 提交漏洞不得分。拿下系统权限或者数据才得分 | 可能有防守需求和分值。需要防守人员工作时间值守 |
| 市级 | 提交漏洞可能会得分。拿下系统权限或者数据会得分 | 通常没有防守需求 |
| 行业&单位内部 | 不同的行业或者单位,其网络安全水平不同,不好进行评价 |
岗位分组参考
- 国家级
岗位级别低
攻击方
几乎没有此类需求
防守方
具备计算机网络、操作系统、中间件、网络安全基础知识,熟练使用常见的渗透测试工具,具备漏洞挖掘能力(如OWASP TOP10、常见的框架漏洞),熟悉常见的渗透攻击手段和安全防护设备,能够进行日志分析。
岗位级别中
攻击方
- 掌握各种主流系统、 Web安全漏洞的利用及原理,能够独立挖掘各类高危漏洞,具备内网渗透、域渗透、防护产品绕过等手法以及脚本编写能力。
防守方
- 独立分析告警内容,判断攻击路径,完成攻击面全局分析、溯源,提出有效解决方案;熟练掌握攻击能力,可第一时间基于突发漏洞形成应急响应;具备安全设备基础知识,了解防火墙、 IDS、安全管理平台、蜜罐、威胁分析平台等。
岗位级别:高
攻击方
- 情报整合、边界打点、权限维持、建立隧道、内网移动;丰富的大型环境渗透经验、赛事实战经验,掌握各种技战法。
防守方
- 技术:溯源反制能力、应急响应专家;
- 管理:把控护网行动的整体流程,制定防守方案,推动护网工作进度。
网络安全发展前景
根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这 里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全 (电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。
web 安全 发展前景以及发展面更加宽广,建议以 web 安全工程师为切入点进入安全行业,再结合自身的优势确认未来的发展方向。
网络安全
[网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业。
这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。
通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。
围绕一些安全产品,售卖
Web安全
Web安全领域从狭义的角度来看,就是一门研究[网站安全]的技术,相比[网络安全]领域,普通用户能够更加直观感知。
例如,网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。
当然,大的安全项目里面,Web安全仅仅是一个分支,是需要跟[网络安全]是相辅相成的,只不过Web安全关注上层应用和数据,网络安全关注底层网络安全。
如今,社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用,都可以直接基于Web技术来提供。
由于Web所承载的意义越来越大,围绕Web安全对应的攻击方法与防御技术也层出不穷,例如WAF(网页防火墙)、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。
网站安全,使用广
适合我们的岗位有哪些?
安全目前主要应聘的岗位是:安全工程师、安全运维、安全服务工程师、Web渗透测试、Web安全工程师,当然,也有安全研发和安全售前岗位。
例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、渗透测试等岗位,在甲方单位例如运营商(中国移动、中国电信)、金融类公司(平安科技、招商银行)等更多做安全运维、Web应用审计、Web渗透测试等岗位
网络安全学习路径
- 基础阶段
- 模块一:基础前置知识掌握
- 模块二:网络安全入门核心知识
- 模块三:信息安全基础
- 模块四:信息安全工具使用
- 模块五:渗透测试
- 模块六:等级保护*
- 模块七:风险评估*
- 模块八:安全巡检*
- 进阶阶段
- 模块九:信息安全工具使用(Kail 之 MSF 渗透测试)
- 模块十:渗透测试进阶
- 模块十一:应急响应
- 模块十二:代码审计
- 模块十三:代码审计进阶
- 模块十四:Kubernetes 安全
- 模块十五:安全开发
| 学期安排 | 课程内容 | ||
| 预习周 | 前置知识学习 | 自学 | 网络协议&Linux基础 |
|
第一节(8.5) |
网络安全环境Web与基础 |
上午 | 网络安全法&趋势 |
| 下午 | HTML、JavaScript | ||
|
第二节(8.12) |
上午 | Docker、DVWA安装 | |
| 下午 | MySQL数据库 | ||
|
第三节(8.19) |
上午 | Web应用程序安全与风险 | |
|
下午 |
Tomcat、Struts2、Jboss等攻防环 境搭建 |
||
|
第四节(8.26) |
信息收集、必备工具 |
上午 | 渗透测试之信息收集 |
| 下午 | Nmap、Xray、X-Scan工具使用 | ||
|
第五节(9.2) |
上午 | Appscan、Nessus、AWVS工具使用 | |
| 下午 | BurpSuite安装和使用 | ||
|
第六节(9.9) |
SQL注入+SQLMap |
上午 | SQL注入漏洞利用 |
|
下午 |
SQL注入实现GetShell、SQLMap工 具使用 |
||
|
第七节(9.16) |
XSS、上传验证绕过 |
上午 | XSS漏洞利用和防御 |
|
下午 |
文件上传漏洞绕过方法(前端绕过 、黑名单、白名单) |
||
|
第八节(9.23) |
上传验证绕过、文件包含 |
上午 |
文件上传漏洞绕过方法(内容检测 、条件竞争) |
| 下午 | 文件包含漏洞利用和防御 | ||
|
第九节(9.30) |
CSRF、SSRF、XXE、远程代码执行 |
上午 | CSRF、SSRF、XXE漏洞利用和防御 |
| 下午 | RCE 漏洞专项 | ||
|
第十节(10.14) |
编辑器漏洞、旁注&跨库&CDN绕过 、越权漏洞、逻辑漏洞、暴力猜解 |
上午 |
编辑器漏洞、旁注&跨库&CDN绕过 |
| 下午 | 越权漏洞、逻辑漏洞、暴力猜解 | ||
|
第十一节(10.21) |
验证码安全、社会工程学、APT攻 击、CTF |
上午 |
验证码安全、社会工程学、 |
| 下午 | APT攻击、CTF | ||
|
第十二节(10.28) |
等级保护、风险评估、安全巡检 |
上午 | 等级保护 |
| 下午 | 风险评估、安全巡检 | ||
|
第十三节(11.4) |
Kali MSF、渗透测试进阶课程 |
上午 | Kali MSF基本介绍、MSF 漏洞利用 |
| 下午 | WAF绕过 | ||
|
第十四节(11.11) |
渗透测试进阶课程 |
上午 |
Webshell后门分析、操作系统权限 提升 |
| 下午 | 数据库权限提升、免杀 | ||
|
第十五节(11.18) |
应急响应 |
上午 | 入侵排查 |
| 下午 | 日志分析、权限维持 | ||
|
第十六节(11.25) |
Kubernetes 安全 |
上午 |
Kubernetes 安全 |
| 下午 | |||
|
第十七节(12.2) |
PHP代码基础 |
上午 | PHP基础 |
|
下午 |
PHP基本语法和类型 | ||
| PHP函数流程和控制 | |||
|
第十八节(12.9) |
PHP代码审计 |
上午 |
PHP函数流程和控制 |
| PHP文件上传 | |||
| 下午 | PHP代码审计 | ||
|
第十九节(12.16) |
上午 | PHP代码审计 | |
| 下午 | PHP代码审计函数精讲 | ||
|
第二十节(12.23) |
JAVA代码审计 |
上午 | Java基础 |
|
下午 |
Java基础 | ||
| Java代码审计 | |||
|
第二十一节(12.30) |
Python |
上午 | Java代码审计 |
| 下午 | Python基础 | ||
|
第二十二节(1.6) |
Python安全开发 |
上午 | Python基础 |
| 下午 | Python基础及安全编程入门 | ||
|
第二十三节(1.13) |
上午 |
Python安全应用编程入门 | |
|
爬虫暴力破解工具信息收集工具编 写 |
|||
|
下午 |
Python信息收集工具编写 | ||
| Python信息收集工具编写 | |||