NISP一级备考知识总结之信息安全概述、信息安全基础 (1)

NISP一级备考知识总结之信息安全概述、信息安全基础

参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 一级证书,nisp 一级本身没啥考的价值,能白嫖自然很香

1.信息安全概述

信息与信息技术

信息概述
  • 信息奠基人香农认为:信息是用来消除随即不确定性的东西
  • 信息是事务运动状态或存在方式的不确定性的描述
  • 信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用
  • 信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在
  • 信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性
  • 信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。它可以存储在计算机、磁带、纸张等介质中,亦可以记忆在人的大脑中,可以通过网络等方式进行传播
信息的基本属性
  1. 信息具有普遍性和客观性
  2. 信息具有实质性和传递性
  3. 信息具有可扩散性和可扩充性
  4. 信息具有中介性和共享性
  5. 信息具有差异性和转换性
  6. 信息具有时效性和增值性
  7. 信息具有可压缩性
  • 信息不同于消息,消息是信息的外壳,信息是消息的内核,也可以说:消息是信息的笼统概念,信息则是消息的精确概念
  • 信息不同于数据,数据是信息的符号表示,或称为载体;信息是数据的内涵,是数据地予以解释。数据是信息存在的一种形式,只用通过解释或处理才能成为有用的信息。数据可用不同的形式表示,而信息不会随数据的不同形式而改变
信息技术

信息技术(Information Technology,IT),是用于管理和处理信息所采用的各种技术的总称

信息技术主要利用计算机科学和通信技术来设置、开发、安装和实时信息系统及应用软件。其中,信息处理是获取信息并对它进行变换,使之成为有用信息并发布出去的过程,主要包括信息的获取、存储、加工、发布和表示等几个环节。目前,信息收集和处理已经成为人类社会工作的一个重要组成部分

信息技术包括生产和应用两个方面

  • 生产主要体现在现在信息技术产业本身,包括计算机软件、计算机硬件、设备制造、微电子电路等
  • 应用体现在信息技术的扩散上,包括信息服务、信息管理系统等
信息技术发展

微电子、通信、计算机和网络是信息系统的核心技术,其发展进程大致可分为以下四个阶段

  • 第一阶段:电讯技术的发明
  • 第二阶段:计算机技术的发明
  • 第三阶段:互联网的使用
  • 第四阶段:网络社会

第一阶段:电讯技术的发明

信息技术的起源可以追溯到19世纪30年代,其标志性事件是随着电
磁技术的发展,出现了电话电报。人类远程通信手段有了飞跃,开
始进入新时代。这一时期的突出成果包括: 1835年, 美国人莫尔斯
(Morse)发明电报; 1837年,莫尔斯电磁式有线电报问世; 1886
年,马可尼发明无线电报机; 1876年, 贝尔(BelI) 发明电话机;
1906年,美国物理学家费森登成功研究出无线电广播; 1912年美 国
Emer son公司制造出世界上第一台收音机; 1925年,约翰●贝德发明
了世界上第一台电视机。这些技术成果统称为电讯技术,它们为信
息技术的进一步发展奠定了基础。

第二阶段:计算机技术的发明

进入20世纪30年代,计算机理论与技术迅速发展,信息技术
进入计算机阶段。
20世纪50年代末,第一代电子管计算机出现,用于军事科研
信息处理;
60年代中期,
第二代晶体管计算机逐渐在民用企业中使用
60年代末,集成电路(Integrated Circuit, IC) 和大规模
集成电路计算机接踵而至,并开始在社会普及应用;
70年代,随着个人计算机的普及,人们开始使用计算机处理
各种业务。计算机技术的发展和应用加快了人类奔向信息时
代的步伐。

第三阶段:互联网的使用

20世纪60年代末,美国出现了第一一个用于军事目的的计算机网
络ARPANET。ARPANET的重要意义在于它使连接到网络上的计算
机能够相互交流信息。
20世纪90年代,计算机网络发展成为全球性网络一一因特网 (
Internet),网络技术和网络应用迅猛发展。此外,这一阶段
电话、计算机等设备也实现了互联互通,信息和数据的传输更
加容易。信息技术在这一-阶段的飞速发展,深刻地影响着人们
的工作和生活方式。

第四阶段:网络社会

20世纪末,以Internet为核心的信息技术进一步发展,人们的工
作、生活和学习越来越离不开网络,国家的经济、社会治理也与
网络密不可分。
高度发展的信息网络,一方面通过现实社会投射,构成了虚拟
“网络社会”;另一方面通过网络信息渗透,融合了各种已存在的
社会实体网络,使“网络社会”成为整个现实社会的结构形态。
至此,信息技术步入一个崭新的阶段一网络社会 阶段。
在这一阶段,云计算、物联网和大数据技术进入人们的生活,信
息和数据的保存、传输更加容易。

信息安全

信息安全概述
  • 信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段
  • 信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或者无法处理等,这样可以使得我们在最大限度地利用信息为我们服务的同时不招致损失或损失最小
  • 信息安全问题已经涉及到人们日常生活的各个方面
  • 建立在网络基础之.上的现代信息系统,信息安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行
  • 在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度
信息安全的两个方面

NISP一级备考知识总结之信息安全概述、信息安全基础_nisp

信息系统安全四个层面
  1. 设备安全
    信息设备的安全是信息系统安全的首要问题
  • 设备的稳定性
  • 设备的可靠性
  • 设备的可用性

设备包括:软设备和硬设备

  1. 数据安全
  • 数据的秘密性(Secrecy)
  • 数据的真实性(Authenticity)
  • 数据的完整性(Integrity)

IBM对于数据安全的定义:采取措施确保数据免受未授权的泄露、篡改和毁坏

  1. 内容安全
    内容安全是信息安全在法律、政治、道德层次上的要求
  • 政治上健康
  • 符合国家法律法规
  • 符合中华民族道德规范
  1. 行为安全
    行为安全是信息安全的终极目的
  • 行为的秘密性
  • 行为的完整性
  • 行为的可控性

符合哲学上,实践是检验真理的唯一标准

我国面临的信息安全威胁

国家威胁

  • 一是恐怖组织通过网络大肆发布恐怖信息,渲染暴力活动
  • 二是邪教组织通过网络极力宣扬种族歧视,煽动民族仇恨,破坏民族团结,宣扬邪教理念,破坏国家宗教政策,煽动社会不满情绪,甚至暴力活动
  • 三是西方势力通过网络传播他们的意识形态、价值观念和生活方式,进行文化渗透、侵略(颜色革命)
  • 四是其他国家情报机构收集我国政治、军事、经济等情报信息

组织威胁

主要针对企业或组织受保护的财产、专有技术。具体表现为:

  • 一是网络恐怖分子破坏公共秩序、制造社会混乱等
  • 二是通过工业间谍掠夺竞争优势、打击竞争对手,使企业或组织蒙受经济或声誉损失

个人威胁

  • 一是对知识产权的威胁
  • 二是侵犯、破坏个人计算机系统中的信息,通过互联网对财产权进行侵犯,对E-mail系统进行破坏,影响人们正常的工作、学习和生活
信息安全问题产生根源
  • 内因:系统自身的脆弱性

复杂性导致脆弱性

  • 外因:来自恶意攻击者的攻击,来自自然灾害的破坏

NISP一级备考知识总结之信息安全概述、信息安全基础_数据_02

信息安全发展阶段

NISP一级备考知识总结之信息安全概述、信息安全基础_nisp_03

通信安全(COMSEC)

  • Communication Security
  • 20世纪,40-70年代

核心思想

  • 通过密码技术解决通信保密,保证数据的保密性和完整性
  • 主要关注传输过程中的数据保护

安全威胁

  • 搭线窃听,密码学分析

安全措施

  • 加密

计算机安全(COMPUSEC)

  • Computer Security
  • 20世纪,70-90年代

核心思想

  • 确保信息系统的保密性、完整性和可用性

安全威胁

  • 非法访问、恶意代码、脆弱口令等

安全措施

  • 安全操作系统设计技术(TCB)

信息系统安全(INFOSEC)

  • Information Systems Security
  • 20世纪,90年代后

核心思想

  • 确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法访问或破坏

安全威胁

  • 网络入侵、病毒破坏、信息对抗等

安全措施

  • 防火墙、防病毒、漏洞扫描、入侵检测、PKI(Public Key Infrastructure)、VPN等

信息安全保障(IA)

  • Information Assurance

核心思想

  • 动态安全,保障信息系统的业务正常、稳定的运行
  • 综合技术、管理、过程、人员

安全威胁

  • 黑客、恐怖分子、信息战、自然灾害、电力中断等

安全措施

  • 技术安全保障体系、安全管理体系、人员意识/培训/教育

NISP一级备考知识总结之信息安全概述、信息安全基础_nisp_04

我国信息安全形势

2013年,“棱镜门”事件在全球持续发酵隐藏在互联网背后的国家力量和无所不在的“监控”之手,引起舆论哗然和网络空间的连锁反应。全球范围内陡然上升的网络攻击威胁,导致各国对信息安全的重视程度急剧提高,越来越多的国家将信息安全列为国家核心安全利益。网络安全进一步成为大国竞争的战略基点,较量和博弈逐步深化升级

我国信息安全环境日趋复杂,网络安全问题对互联网的健康发展带来日益严峻的挑战,网络安全事件的影响力和破坏程度不断扩大

体现在以下几个方面:

  • 针对网络信息的破坏活动日益严重,利用网络进行违法犯罪案件逐年上升
  • 安全漏洞和安全隐患增多,对信息安全构成严重威胁
  • 黑客攻击、恶意代码对重要信息系统安全造成严重影响

信息安全保障

信息安全保障定义

信息安全保障是指采用技术、管理等综合手段,保护信息和信息系统能够安全运行的防护性行为

通过保证信息和信息系统的可用性、完整性、机密性和不可否认性来保护并防御信息和信息系统的操作,包括通过综合保护、检测和响应等能力为信息系统提供修复

防护行为

  • 防止信息泄露、修改和保护
  • 检测入侵行为,计划和部署针对入侵行为的防御措施
  • 采用安全措施和容错机制在遭受攻击的情况下保证机密性、私密性、完整性、抗抵赖性、真实性、可用性、可靠性
  • 修复信息和信息系统所遭受的破坏

NISP一级备考知识总结之信息安全概述、信息安全基础_信息安全_05

信息安全保障与其他概念的区别

信息安全保障与信息安全、信息系统安全的区别

信息安全保障的概念更加广泛

  • 信息安全的重点是保护和防御,而安全保障的重点是保护、检测和响应综合
  • 信息安全不太关注检测和响应,但是信息安全保障非常关注这两点
  • 攻击后的修复不在传统信息安全概念的范围之内,但是它是信息安全保障的重要组成部分
  • 信息安全的目的是为了防止攻击的发生,而信息安全保障的目的是为了保证信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性
信息安全保障模型

信息安全保障模型能准确描述安全的重要方面与系统行为的关系,提高对成功实现关键安全需求的理解层次,计划-执行-检查-改进(Plan Do Check Act,PDCA)模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想

除 PDCA 模型外,还有两种模型

  • 防护-检测-响应(Protection Detection Response,PDR)模型
    该模型的基本思想是:承认信息系统中存在漏洞,正视系统面临的威胁,通过适度防护并加强检测,落实安全时间响应,建立威胁源威慑,保障系统安全。该模型认为,任何安全防护措施都是基于时间的,超过该时间段,这种防护措施就可能被攻破,PDR 模型直观、使用,但是对于系统的安全隐患和安全措施采取像对固定的家实前提,难以适应网络安全环境的快速变化
  • 策略-防护-检测-响应(Policy Protection Detection Response,P2DR/PPDR)模型
    策略是核心
信息安全保障作用

由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供越来越多有益信息及其他信息服务的同时,也存在着- -些虚假和错误导向的信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务

对社会的作用

在实施国家信息化发展战略中,要高度重视信息安全保障体系建设,实现信息化与信息安全协调发展

国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障,信息化带来的巨大经济与社会效益就难以有效发挥,信息化发展也会受到严重制约

加强信息安全保障的目的,就是要保障和促进信息化发展,而不是以牺牲信息化发展来换取信息安全

采取不上网、不共享、不互联互通等传统封闭的方式保安全,会严重影响甚至阻碍信息化发展,也不可能从根本.上解决信息安全保障问题

只有继续大力推动信息化建设,全面提高信息化发展水平才能为应对各种信息安全问题提供强有力的物质和技术保障

全面推进信息化,只有高度重视信息安全保障建设,才能形成健康有序、安全稳定的信息网络秩序,才能确保信息化进程稳步、快速地发展

对国家的作用

构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务

由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供和获取越来越多的有用、有益的新闻信息及其他信息服务的同时,也存在着- -些虚假和错误导向的新闻信息,以及直接危害公众利益、民族团结、国家统一- 、社会稳定和国家安全的违法与有害信息及活动

为有效开展互联网治理工作,我国政府提出了互联网管理的基本原则,即积极促进互联网发展,并依法进行管理,鼓励行业自律和公众监督,旨在形成一个可信和安全的互联网信息空间

信息系统安全保障

信息系统

信息系统是具有集成性的系统,每一个组织中信息流动的总和构成一个信息系统,信息系统是根据一定的需要进行输入、系统控制、数据处理、数据存储与输出等活动而涉及到的所有因素的综合体

NISP一级备考知识总结之信息安全概述、信息安全基础_信息安全_06

信息系统安全保障含义

信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出的安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命

信息系统的生命周期包括:分析、设计、研发、测试

信息系统的安全保障要求:技术、管理、工程和人员

信息系统的安全保障目的:确保信息系统的保密性、完整性和可用性

NISP一级备考知识总结之信息安全概述、信息安全基础_信息安全_07

信息系统安全保障模型

NISP一级备考知识总结之信息安全概述、信息安全基础_信息系统_08

2.信息安全基础技术

密码学、身份认证、访问控制、安全审计

密码学

NISP一级备考知识总结之信息安全概述、信息安全基础_信息系统_09

加密与解密

数据加密是指将明文信息采取数学方法进行函数转换成密文,只有特定接收方(有解密密钥)才能将其解密还原成明文的过程

数据加密主要涉及三要素:明文、密钥、密文

  • 明文(Plain Text):被隐蔽的原始信息,通常用 m 表示
  • 密文(Cipher Text):隐蔽后的消息,通常用 c 表示
  • 密钥(Key):加密和解密时使用的一组秘密信息,用来控制加密和解密算法的操作,通常用 Ke(加密密钥 encryption)kd(解密密钥 decryption) 表示
  • 发送者、接收者:在消息传送过程中,主动提供信息的一方称为发送方,得到消息的一方称为接收者
  • 加密(Encryption):将明文通过数学算法转换成密文的过程
  • 解密(Decryption):将密文还原成铭文的过程

NISP一级备考知识总结之信息安全概述、信息安全基础_nisp_10

加密可以采用密码算法来实现,密码算法从密钥实用角度,可分为对称密码算法和非对称密码算法

对称密码

NISP一级备考知识总结之信息安全概述、信息安全基础_国家信息安全水平考试_11

对称密码算法(也称单钥或私钥密码算法):发送和接受数据的双方使用相同的密钥对铭文进行加密和解密运算,就是说加密和解密使用同一密钥

优点:

  • 效率高,算法简单,系统开销小
  • 适合加密大量数据
  • 明文长度与密文长度相等

缺点:

  • 需要以安全的方式进行密钥交换
  • 密钥管理复杂

典型对称密码和非对称密码

对称密码:

  • 分组密码:DES、AES、SM4
  • 序列密码:祖冲之序列密码、RC4

非对称密码:

  • RSA、ECC(椭圆曲线密码)、SM2SM3

粗体表示算法为国家密码管理局编制的商用算法

混合加密算法

NISP一级备考知识总结之信息安全概述、信息安全基础_nisp_12

为了更好利用对称密码、非对称密码算法两者的优点,尽可能消除两者自身存在的缺陷,实际多采用混合加密算法。数据使用对称加密算法加密,产生的密钥通过非对称加密算法加密传输

哈希函数

NISP一级备考知识总结之信息安全概述、信息安全基础_国家信息安全水平考试_13

哈希函数,确保消息完整性,防止消息被篡改

  • 哈希(Hash)函数(也成为杂凑函数或单项散列函数),哈希函数接受消息作为输入,输出一个称为哈希值(也成为散列、消息摘要或者指纹)的输出
  • 哈希值可以看做是该输入消息的指纹
  • 优点:输入的信息即使仅改变一个比特的内容,输出的哈希值也会发生变化
  • 可以通过哈希值是否发生变化来判断信息是否被篡改

数字签名

密码学技术可以解决信息的可鉴别性(真实性或认证性)和不可否认性,简单地说,前者确认对方是否是本人的认证,后者防止对方否认自己曾经的行为

简单的说数字签名具有防止伪造、否认的功能

NISP一级备考知识总结之信息安全概述、信息安全基础_数据_14

NISP一级备考知识总结之信息安全概述、信息安全基础_信息系统_15

NISP一级备考知识总结之信息安全概述、信息安全基础_数据_16

工作原理

NISP一级备考知识总结之信息安全概述、信息安全基础_国家信息安全水平考试_17

身份认证

身份认证概念

身份认证是在计算机网络中确认操作者身份的过程

在分布式系统中有两类主要认证;

  • 用户与主机间的认证
  • 主机与主机之间的认证

身份认证技术不可避免的会用到加密技术,可以分为

  • 基于对称密钥技术的身份认证(如:Kerberos)
  • 基于公开密钥的身份认证(如:CA)

NISP一级备考知识总结之信息安全概述、信息安全基础_nisp_18

数字证书和公钥基础设施

  • 数字证书
    数字证书(又称电子证书、公钥证书或证书)是一段经认证权威机构(Certification Authority,CA)签名的,包含拥有着身份信息和公开密钥的数据体
  • 公钥基础设施
    公钥基础设施(Public Key Infrastructure,PKI)是一种遵循既定标准的公钥管理平台,它能够为所有的网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理体系
  • 认证权威机构
    认证权威机构(又称认证中心或认证机构,Certification Authoriy,CA),专门复杂数字证书的产生、发放和管理,以保证数字证书真实可靠

数字证书定义

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字提供了一种在Internet上验证通信实体身份的方式,其作用似于司机的驾驶执照或日常生活中的身份证

它是由一个由权威机构-CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥名称以及证书授权中心的数字签名,此外,数字证书只在特定时间段内有效

数字证书内容

  • 所有者公钥
  • 用户或实体的身份
  • 发布者身份
  • 由第三方信任机构签名(Certificate Authority)
  • 有限的有效期
  • X.509 定义该结构(ITU,IETF PKIX standards),现在是 v3

NISP一级备考知识总结之信息安全概述、信息安全基础_信息系统_19

数字证书功能

数字证书通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:

  • 信息除发送方和接收方外不被其它人窃取: (保密性)
  • 信息在传输过程中不被篡改: (不可修改性)
  • 发送方能够通过数字证书来确认接收方的身份: (身份认证性)
  • 发送方对于自己的信息不能抵赖: (不可否认性)

数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动

PKI 公钥基础设施

PKI|(Public Key Infrastructure )即“公钥基础设施”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立
的提供安全服务的基础设施

  • [](javascript:;)赞
  • [](javascript:;)收藏
  • [](javascript:;)评论
  • [](javascript:;)分享
  • [](javascript:;)举报

上一篇:win10或11非华为电脑安装最新的电脑管家(支持移动应用引擎)安装方法及问题解决

下一篇:CTFshow刷题日记-WEB-文件包含

提问和评论都可以,用心的回复会被更多人看到 评论

发布评论

全部评论 () 最热 最新

相关文章

  • [

    Kubernetes Secrets:安全管理敏感信息的完整指南

    引言在容器编排系统中,保护和管理敏感信息,如密码、API 密钥等,至关重要。Kubernetes 提供了 Secrets 这一强大工具,以安全、集中和可控的方式处理敏感信息。本文将深入探讨 Kubernetes Secrets 的原理、优点、不足、创建、更新、使用,以及一些实战建议。Secrets 原理Secrets 以 base64 编码的形式存储敏感信息,如密码、API 密钥等。存储在 etc

    ](https://blog.51cto.com/jiemei/8919448)

    Kubernetes Secrets 敏感信息 云原生 密钥

  • [

    修改MySQL 8.0的版本信息和登录信息,改成你自己的。

    修改MySQL 8.0的版本信息和登录信息,改成你自己的。编译环境准备# yum install make -y# yum -y install centos-release-scl# yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++ devtoolset-9-binutils# scl enable devtoolset-9 bash# e

    ](https://blog.51cto.com/hcymysql/9293487)

    mysql vim c++

  • [

    Android 手机信息获取详解

    经典好文推荐,通过阅读本文,您将收获以下知识点:一、 获取手机基本信息(厂商、型号等参数)二、设备信息获取实现图三、 获取手机设备 宽、高、IMEI 信息四、 获取手机厂商名、产品名、手机品牌、手机型号、主板名、设备名五、获取手机硬件名、SDK版本、android版本 、语言支持、默认语言六、 获取 SD 卡存储信息七、 获取手机 RAM、ROM存储信息八、DeviceInfoUtils 封装类九

    ](https://blog.51cto.com/u_11099047/8882726)

    android Android 设备名

  • [

    信息安全基础知识之五

    摘要:对于【软件评测师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、网络杀毒软件厂商已经开始使用数据库技术和 LDAP 技术进行策略日志存储和用户管理,这里 LDAP

    ](https://blog.51cto.com/u_15336074/7622073)

    安全防护 入侵检测 漏洞扫描

  • [

    信息安全基础知识之四

    摘要:对于【软件评测师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、以下关于信息安全的叙述,不正确的是( )。A、 SYN 洪水攻击通过发送大量 TCP 连接请求以占满

    ](https://blog.51cto.com/u_16236295/7622072)

    数字证书 加密算法 数字签名

  • [

    信息安全基础知识

    摘要:对于【软件评测师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、下列安全协议中,与TLS最接近的协议是( )。A、 PGP B、 SSL C、 HTTPS D、 I

    ](https://blog.51cto.com/u_16236295/7622069)

    SSL 主动攻击 传输层

  • [

    信息安全基础综合知识之四

    摘要:对于【信息安全工程师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础综合知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、【 2016年下半年试题13】在以下网络威胁中( )不属于信息泄露。A、数据窃听

    ](https://blog.51cto.com/u_16236295/7612565)

    暴力破解 安全等级 二级

  • [

    信息安全基础知识之六

    摘要:对于【软件评测师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、1976年Diffie与Hellman首次公开提出( )的概念与结构,采用两个从此独立的密钥对数据分

    ](https://blog.51cto.com/u_16236244/7622074)

    数据 公钥加密 密钥对

  • [

    信息系统安全集成一级

    信息系统安全集成一级与软考:全面解读与应对策略随着信息技术的飞速发展,信息系统安全集成已经成为了企业与组织不可或缺的一部分。而在这一领域中,信息系统安全集成一级认证具有举足轻重的地位。本文将围绕这一关键词,对软考相关信息进行深入剖析,为广大考生提供有价值的参考。一、信息系统安全集成一级认证概述信息系统安全集成一级认证是国家对信息安全领域从业人员的能力认可,是衡量企业在信息安全领域实力的

    ](https://blog.51cto.com/u_15538975/8337208)

    信息系统 信息安全 信息技术

  • [

    nisp和信息安全工程师

    NISP(国家信息安全水平考试)与信息安全工程师是信息安全领域中的两个重要认证,对于从事信息安全工作的人员来说,持有这两个认证具有很大的意义。本文将介绍NISP和信息安全工程师认证的相关内容。一、NISP认证NISP是国家信息安全水平考试的英文缩写,是由国家信息安全测评中心推出的一项国家级认证考试。NISP认证主要考察考生在信息安全技术、管理、法律法规等方面的综合能力和素质,是评估考生是否

    ](https://blog.51cto.com/u_16178075/8279738)

    信息安全 管理经验 二级

  • [

    信息安全基础综合知识

    摘要:对于【信息安全工程师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础综合知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、1. 【2018年上半年试题1】2016年11月7日,十二届全国人大

    ](https://blog.51cto.com/u_16236295/7612562)

    结构化保护 强制访问控制 自定义

  • [

    信息安全概述

    信息安全的目的:保护企业信息资产随着技术的发展,企业的业务流程及信息处理越来越依赖于IT设施,甚至将所有的业务信息电子化。因此,IT基础设施的正常运行及对电子信息的良好保护,成为企业业务顺利进行和发展的关键因素之一由于信息在当前企业业务中的重要地位,因此可以认为信息也是一种资产,称之信息资产信息资产包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密切相关的内容,所以信息资产也面临大量

    ](https://blog.51cto.com/ITEvan/6460785)

    信息安全 数据 正常运行

  • [

    软考-信息安全-网络信息安全概述

    1.1 网络发展现状与重要性认识 主要阐述了网络安全从古至今发展的来历,发展至今目前已经是数字化,网络化,智能化的信息社会,万物互联的时代已经来临,基于TCP/IP协议的互联网技术已广泛的深入到工业,商业,社会等各个领域,她们形成了各式各样的网络,例如:工业互联网,车联网,社交网,产业互联网等等。计

    ](https://blog.51cto.com/u_5139878/5418441)

    安全 信息安全 网络安全 信息系统

  • [

    AUTOSAR信息安全概述

    文章目录1.信息安全需求来源2.信息安全的相关场景3.信息安全的风险点1.信息

    ](https://blog.51cto.com/u_12740336/6168493)

    汽车 信息安全 数据 自动驾驶

  • [

    信息安全基础之简单攻防

    1、实例:数据库安全• 数据库mysql默认安装后存在root空口令漏洞,如果不补上的话,任意远程主机都可以使用如下命令连接你服务器上的mysql数据库,任意编辑,修改,删除数据库。• mysql –h218.184.196.9 -uroot• 解决方法:设置root密码• #./mysqladmin -u root

    ](https://blog.51cto.com/swjtu/556774)

    职场 安全 基础 休闲

  • [

    信息安全基础知识之三

    摘要:对于【软件评测师】软考考试而言,试题无疑是最重要的学习资料之一。在软考备考过程中,吃透试题、掌握试题所考知识点、熟悉试题的出题思路,对我们提升分数的效果是最明显的,通过对试题的反复练习,还可以查漏补缺。今天,给大家带来【信息安全基础知识】部分试题的详解,一起来看看吧~【软文头部自定义信息】1、PKI体制中,保证数字证书不被篡改的方法是( )。A、 用CA的私钥对数字证书签名 B、 用CA的公

    ](https://blog.51cto.com/u_16178075/7622071)

    数字证书 IP TCP

  • [

    软考信息安全基础知识

    软考信息安全基础知识是信息技术领域中的一项重要内容,涵盖了信息安全的基本概念、原则、技术和管理等方面的知识。在当今信息化快速发展的时代,信息安全已经成为各个组织和企业不可或缺的一部分,掌握软考信息安全基础知识对于信息技术从业人员来说具有重要意义。信息安全是指保护信息系统和信息资源免受未经授权的访问、使用、披露、破坏、修改或丧失的能力。它是确保信息的机密性、完整性和可用性的重要手段。信息安全不仅

    ](https://blog.51cto.com/u_16236244/9859591)

    信息安全 访问控制 信息技术

  • [

    软考-信息安全工程师信息安全基础信息安全基础

    在信息化的现代社会,信息安全问题的重要性日益凸显。软考-信息安全工程师作为一项专业认证考试,对信息安全基础进行深入的探讨和理解,对于保障和维护信息系统的安全具有至关重要的作用。本文将详细介绍信息安全基础在信息安全工程师考试中的重要性和相关内容。一、信息安全基础概述信息安全基础是信息安全工程师考试的核心内容之一,涵盖了信息安全的基本概念、安全模型、安全策略等方面。它旨在帮助考生理解信息安

    ](https://blog.51cto.com/u_15143048/8166812)

    信息安全 安全模型 安全策略

  • [

    软考信息安全工程师下一级

    **软考信息安全工程师下一级:深度解析与备考建议**在信息技术迅猛发展的今天,信息安全已成为企业乃至国家不可或缺的重要组成部分。作为衡量信息安全专业人才水平的重要标准之一,软考信息安全工程师认证在国内具有广泛的认可度和影响力。而对于那些已经获得信息安全工程师认证的专业人士来说,进一步提升自己的技能水平和职业竞争力,迈向软考信息安全工程师的下一级认证,成为了他们职业发展道路上的必然选择。软考

    ](https://blog.51cto.com/u_15543573/9794539)

    信息安全 职业发展 安全漏洞

  • [

    信息安全系列(2)–信息安全基础

    信息安全是什么、核心概念有哪些,为什么人们会如此关心安全问题,信息安全该如何去做三个方面,希望能对朋友们有所启发,掌握一些信息安全基础知识,以更好学习后续知识。

    ](https://blog.51cto.com/u_13531288/2060569)

    信息 安全基础 信息安全

  • [

    opencv dll 易语言 opencv易语言模块

    个人比较喜欢总分的方式处理问题,所以在处理一个个方法之前会做个总结,先看看都有那些方法,然后根据需求来进行选择,这里总结的虽然不是很全面,不过可以先看看,后面会对每个方法使用指出些例子:*OpenCV模块*Core模块(OpenCV基本数据结构) 图像求和:addWeighted 矩阵掩码:filter2D 绘图: line ->直线 ellipse->椭圆 rectangle -

    ](https://blog.51cto.com/u_16213628/9879294)

    opencv dll 易语言 OpenCV Pycharm O 角点

  • [

    stringRedisTemplate 单元测试怎么mock spring的单元测试

    1. 需要Spring 依赖注入的测试 为了测试Spring管理下的Bean,可以自行构造BeanFactory,也可以继承于 AbstractDependencyInjectionSpringContextTests,实现public String[] getConfigLocations()函数, 返回applicationContext文件路径的数组。 &nbs

    ](https://blog.51cto.com/u_16099272/9881538)

    spring 单元测试 测试 selenium string

  • [

    python 如何调用lib文件 python调用文件中的内容

    文章目录一、文件(一)、从文件中读取数据1、 读取整个文件2、文件路径3、逐行读取4、创建一个包含文件各行的列表5、使用文件的内容6、处理百万位的大型文件(二)、写入文件1、写入空文件2、附加到文件 本篇博客为 python学习记录系列博客的 内容,欢迎访问 python速成博客导航: ?不会吧,都2021年了还有人不会Python?三天急速入门教程!? 一、文件(一)、从文件中读取数据1、

    ](https://blog.51cto.com/u_14273/9884448)

    python 如何调用lib文件 python pycharm 爬虫 git

  • [

    cypress usb generic driver 签名 stuck with u签名cd

    upan启动写入usb驱动 Creating bootable CDs and DVDs tends to be a simple, straightforward process, but why is it more complex when creating bootable flash drives? Is there really that much differe

    ](https://blog.51cto.com/u_16213617/9889546)

    java python linux 编程语言 mysql

  • [

    java hash值取模 java的hash值

    Map,顾名思义,是一种映射的机制在JAVA中,常用的有Hashtable,HashMap,LinkedHashMap,TreeMapHashtable的大部分方法都做了同步,是线程安全的,HashMap是非线程安全的;而且Hashtable不允许key/value为Null,而HashMap可以1、HashMapHashMap底层的数据结构还是数组,内存地址就是数组的下标,HashMap中的哈希

    ](https://blog.51cto.com/u_16213707/9898656)

    java hash值取模 数组 链表 哈希算法

接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。