精华内容
下载资源
问答
  • 网络安全类学习资源

    千次阅读 2020-11-20 21:41:12
    目录分类 媒体社区 安全公司 应急响应 安全团队 高校社团 CTF 个人类 web安全类 网络运维 安全研发 二进制安全类 硬件安全类 其他 媒体社区 媒体、资讯、社区 网络安全和信息化 :- 《网络...
    
    

    媒体社区类

    媒体、资讯、社区

    • 网络安全和信息化 :- 《网络安全和信息化》(原《网络运维与管理》)杂志官方所属,IT运维管理人员的专业管理类经验、知识、资料。提高IT基础设施运营水平,提高IT管理人员工作能力。
    • i春秋 :- 专业的网络安全、信息安全、白帽子技术的培训平台及学习社区,78万安全用户的精准推荐。
    • 合天智汇 :- 为广大信息安全爱好者提供有价值的文章推送服务!
    • 极客公园 :- 用极客视角,追踪你最不可错过的科技圈。
    • 实验楼 :- 实验楼是100万+技术学习者关注的IT在线实训平台,提供海量免费教程、技术干货和在线实验环境。官网www.shiyanlou.com
    • GeekPwn :- GeekPwn,全球首个关注智能生活的安全极客大赛!我们在寻找可能默默无闻但出类拔萃—注定可以改变世界、可以和我们一起保护未来的正能量—顶级 Geek 的思路、敢于 Pwn 破禁锢的你,这里是你的舞台,一起来,做到“极棒”!
    • 安在 :- 人物、热点、互动、传播,有内涵的信息安全新媒体。
    • 青藤云安全资讯 :- 青藤云安全是最理解中国互联网企业的安全伙伴,这里我们一起关注互联网企业安全那些事。
    • FreeBuf :- 国内网络安全行业门户
    • 黑白之道 :- 我们是网络世界的启明星,安全之路的垫脚石。
    • SecWiki :- 汇集国内外优秀安全资讯、工具和网站,只做高质量聚合与评论,每天一篇优秀资讯推荐。
    • V安全资讯 :- V安全资讯是隶属于丝路安全团队(SRsec)旗下的一个以分享网络安全技术文稿和网络前端安全资讯的自媒体平台,在这里你可以学习别人的技术和心得,你也可以在这里分享你的学习成果和心得体会!我们期待着您的分享!
    • 安全牛 :- 发现、挖掘与推荐、传播优秀的安全技术、产品,提升安全领域在全行业的价值,了解机构与企业的安全需求,一家真正懂安全的专业咨询机构,我们是安全牛!
    • 长亭安全课堂 :- 长亭科技专注于为企业提供网络安全解决方案。分享专业的网络安全知识,网络威胁情报。
    • E安全 :- E安全 | 全球网络安全资讯新传媒 新版门户站点:http://www.easyaq.com/
    • 安全客 :- 打破黑箱 客说安全
    • 网络空间安全军民融合创新中心 :- 作为军地沟通、军地协同的网络空间安全发展产业平台,聚焦网络空间国防安全领域,探索建立网络国防安全建设创新发展模式,致力于打造网络空间安全领域的民间智库。
    • 网信军民融合 :- 《网信军民融合》杂志提供网络安全、信息化、军民融合资讯和咨询服务,为网信企业“民参军”、“军转民”搭建桥梁,致力于成为党政军企共推网信军民融合发展的高端平台。
    • 中国信息安全 :- 《中国信息安全》杂志,介绍国内外最新网络安全动态,深度解读网络安全事件。
    • 重生信息安全 :- 专注安全行业,分享最新安全技术及咨询.
    • MottoIN :- 互联网威胁情报社区
    • 阿里云先知 :- 阿里云安全应急响应中心为云上客户提供最精准风险预警通告,基于云安全中心的威胁情报收集能力、分析能力、漏洞挖掘能力、应急响应处置能力为客户上云提供高效、精准,真实的漏洞威胁预警、重大安全事件预警。
    • 行长叠报 :- 漏洞银行-行长叠报,最新的安全资讯/最全的黑客干货/最有料的业内伙伴,每时每刻连接热爱安全的你我。
    • 网信防务 :- 运筹网络空间,汇聚大众力量
    • 维他命安全 :- 信息安全那些事儿
    • 安全圈 :- 专注网络安全:网罗圈内热点事件,细说安全风云变幻!
    • 安全帮 :- 安全帮,是中国电信基于专业安全能力自主研发的云安全服务平台,包含“1+4”产品体系。“1”:SaaS云安全服务电商;“4”:SDS分布式调度管理系统、安全能力开放平台、安全大数据平台、安全态势感知平台。
    • 互联网安全内参 :- 《安全内参》是专注于网络安全产业发展和行业应用的高端智库平台,致力于成为网络安全首席知识官。投稿&合作请邮件联系 anquanneican#163.com
    • CNCERT风险评估 :- CNCERT风险评估与软硬件安全相关动态信息分享

    安全公司类

    安全公司官方微信

    • 四叶草安全 :- 发布四叶草安全最新动态,洞悉安全领域热点事件,剖析黑客前沿技术
    • 绿盟科技 :- 绿盟科技 官方微信
    • 默安科技 :- 引领下一代企业安全体系——开发安全(DevSecOps)与运营安全(AISecOps)双轮驱动。
    • 知道创宇 :- 知道创宇公众微信,知道创宇是微软在亚太地区唯一的安全提供商,致力于互联网安全研究,为用户打造更好更安全的互联网
    • 无声信息 :- 做最受信赖的安全服务提供商
    • 阿里云安全 :- 最前沿的云安全趋势、观点、评论;帮助企业了解本行业的安全解决方案;还有最新的优惠信息、轻松有料的视频科普栏目。阿里云上的安全感,让你天天看得到。
    • bigsec岂安科技 :- 岂安科技( bigsec.com ) ,专注于互联网业务风险控制
    • 补天平台 :- 补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。
    • 雷神众测 :- 雷神SRC涵盖雷神众测、威胁库,专注于渗透测试技术及全球最新网络攻击技术的分析。
    • 炼石网络CipherGateway :- 炼石是基于密码技术的新一代数据安全厂商,将加密与细粒度访问控制、审计追溯等安全技术结合,以适配的方式将数据安全嵌入到业务流程,免开发改造应用系统增强安全防护能力,让企业数字化业务更安全。
    • 绿盟科技研究通讯 :- 绿盟科技研究通讯-绿盟研究成果发布地,创新、孵化、布道,只玩最酷的安全技术
    • 永信至诚 :- 永信至诚秉承“人是安全的核心”的主导思想,基于核心团队深厚的攻防技术基因,打造了国内知名的网络安全教育平台;举办了一系列影响力重大的网络安全赛事和演练活动;研制了国内领先水平的城市级网络靶场、高处置态势感知和高甜度蜜罐类产品。
    • 长亭科技 :- 长亭科技,专注为企业级用户提供专业的应用安全解决方案。更多信息请访问:https://www.chaitin.cn
    • 安恒信息 :- 杭州安恒信息技术股份有限公司(DBAPPSecurity),科创板:688023,全球网络安全创新500强。以自主可控的专利技术,提供Web应用安全、数据库安全、网站安全监测产品与服务、态势感知大数据中心及智慧城市云安全运营整体解决方案。
    • 安全优佳 :- 安全是一种感觉,安全是一种信任、安全是一种技术,无论安全是什么,她都可以为你带来价值。
    • 东软网络安全 :- 东软网络安全
    • 山石网科安全技术研究院 :- 山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,山石安研院旗下包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。
    • 邑安全 :- 邑安全//江门邑安科技有限公司运营的订阅号。第一时间了解全球安全资讯、研讨最新信息安全技术和提供本地信息安全沙龙!
    • 安全威胁情报 :- Threatbook微步在线,专业的安全威胁情报服务提供商。让您知己知彼掌控全局,面对安全威胁如同凌波微步般应对自如。
    • 默社安全 :- 工具分享,技术研究,经验教学,这些这里都没有 有的是一个在安全之路上渐行渐远的呆帽子
    • SecIN技术平台 :- 专注于网络安全、信息安全的技术内容学习平台,白帽子及技术爱好者的聚集社区。
    • 疯猫网络 :- 疯猫网络致力于网络安全和反病毒分析的前沿,同时是国内领先的IDC服务商。
    • 开源聚合网络空间安全研究院 :- 山西开源聚合科技有限公司是山西省第一家研发生产销售MOOE信息安全实验室的高科技企业。公司专注于大型在线信息安全实验室的研发、销售和技术服务,为客户提供仿真在线实验软件和解决方案。公司自成立以来一直秉承“专注信息安全,立足教育”的核心理念。
    • 锦行信息安全 :- 广州锦行网络科技有限公司(简称“锦行科技”)成立于2014年3月,由国内多名顶尖信息安全专家联合创办,拥有数十名一线安全人才,致力于研究国内外最新核心攻防对抗技术及案例,提供基于攻击者视角的新型安全解决方案,帮助政府、企业保障信息资产安全。
    • 星阑科技 :- 北京星阑科技有限公司
    • 中睿天下 :- 汇全球之智,明安全之道。
    • 携程技术 :- 携程技术官方账号,分享交流成长。

    应急响应类

    应急响应中心、应急响应技术

    • OPPO安全应急响应中心 :- OPPO安全应急响应中心(OSRC)官方公众号。
    • 小米安全中心 :- 小米安全中心(MiSRC)是致力于保障小米产品、业务线、用户信息等安全,促进与安全专家的合作与交流,而建立的漏洞收集及响应平台。
    • 京东安全应急响应中心 :- 京东安全应急响应中心(JSRC)官方
    • 百度安全应急响应中心 :- 百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。欢迎访问 bsrc.baidu.com 提交百度安全漏洞。
    • 美丽联合集团安全应急响应中心 :- 美联安全应急响应中心(MLSRC)官方微信
    • 唯品会安全应急响应中心 :- 唯品会安全应急响应中心(VSRC)官方微信
    • 滴滴安全应急响应中心 :- 滴滴安全应急响应中心官方微信公众号。欢迎访问 sec.didichuxing.com 提交滴滴出行安全漏洞
    • 腾讯安全应急响应中心 :- 腾讯安全应急响应中心(TSRC)官方微信
    • 阿里安全响应中心 :- 阿里巴巴安全应急响应中心官方微信公众号
    • 网络安全应急技术国家工程实验室 :- 网络安全应急技术国家工程实验室是由国家互联网应急中心运营的国家级实验室。实验室致力于物联网安全领域的基础理论研究、关键技术研发与实验验证,并为国家关键基础设施的物联网建设和运行提供安全保障。
    • 同程艺龙安全应急响应中心 :- LYSRC是目前唯一公开漏洞的SRC ,欢迎提交漏洞 https://sec.ly.com
    • 陌陌安全 :- 陌陌安全致力于守护陌陌亿万用户信息安全,为陌陌产品安全保驾护航,为亿万用户提供安全的互联网生态环境。
    • 本地生活安全响应中心 :- 阿里巴巴本地生活安全响应中心(ALSCSRC)
    • 绿盟科技安全情报 :- 绿盟科技安全情报针对高危的网络安全事件进行快速响应,提供可落地的解决方案,协助用户提升应对未知威胁的能力。
    • CNVD漏洞平台 :- 国家信息安全漏洞共享平台(CNVD)是由CNCERT发起,集漏洞统一收集验证、预警发布及应急处置平台,目标是切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
    • 斗象智能安全平台 :- 斗象科技以人工智能、大数据技术为核心,结合流量监听与主动探测技术,自主研发的新一代智能安全产品解决方案,为企业建立基于人工智能的威胁监测与数据分析体系。
    • 喜马拉雅安全响应平台 :- 喜马拉雅安全响应中心
    • 中通安全应急响应中心 :- 中通安全应急响应中心(ZSRC)官方服务号
    • VIPKID安全响应中心 :- VIPKID安全响应中心官方账号
    • 关键基础设施安全应急响应中心 :- 国家互联网应急中心下属机构,专门致力于国家关键信息基础设施的网络安全应急保障工作,开展相关领域的关键技术研究、安全事件通报与应急响应。
    • 奇安信安全监测与响应中心 :- 为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
    • 美团安全应急响应中心 :- 美团安全应急响应中心官方公众号

    安全团队类

    公司安全研究团队、实验室

    • 腾讯安全威胁情报中心 :- 御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
    • Seebug漏洞平台 :- Seebug,原 Sebug 漏洞平台,洞悉漏洞,让你掌握第一手漏洞情报!
    • 山丘安全攻防实验室 :- 三思网安攻防实验室官方公众号!
    • 腾讯安全联合实验室 :- 为了体系性解决移动互联时代的连接安全,腾讯安全联合各方实力,建立七大实验室,针对性解决各领域安全问题,彼此协作、联合对外解决系统性安全问题。
    • SecPulse安全脉搏 :- 安全脉搏,有温度的安全自媒体;关注最新安全事件,分享独家技术文章;安全资讯、安全报告实时共享;官网www.secpulse.com。
    • 信安之路 :- 专注信息安全技术和经验的分享,坚持原创,不蹭热点
    • ChaMd5安全团队 :- 一群不正经的老司机组成的史上最牛逼的安全团队。小二,来杯优乐美。
    • Tide安全团队 :- Tide安全团队以信安技术研究为目标,致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域,对安全感兴趣的小伙伴可以关注我们。
    • 腾讯玄武实验室 :- 腾讯玄武实验室官方微信公众号
    • 三六零CERT :- 360CERT是360成立的针对重要网络安全事件进行快速预警、应急响应的安全协调中心
    • 奇安信威胁情报中心 :- 威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
    • 火绒安全实验室 :- 火绒是一家纯粹的信息安全公司。在这里为大家分享专业的技术报告和安全信息。
    • 水滴安全实验室 :- 水滴安全实验室-互联网安全资讯订阅号
    • 飓风网络安全 :- 专注网络安全,成立于2016年;专注于研究安全服务,黑客技术、0day漏洞、提供服务器网站安全解决方案,数据库安全、服务器安全运维。
    • 猎户攻防实验室 :- 江南天安猎户攻防实验室,专注于信息安全攻防研究。分享有关渗透测试、代码审计、漏洞分析与挖掘、攻击溯源、逆向工程、数据挖掘、关联分析等领域的所见所得。 其他奇淫技巧及神兵利器,请关注我们的技术博客 liehu.tass.com.cn
    • 红日安全 :- 安全技术的交流与传播
    • Secquan圈子社区 :- secquan.org汇聚新锐 共同进步
    • 网络尖刀 :- 国内民间互联网组织网络尖刀团队(1AQ.COM)官方公众号,由阿喵与曲子龙二人共同运营,不定期分享对互联网安全、技术、科技、创业等相关的一些观点。
    • 安比实验室 :- 硬核区块链技术团队,致力于参与共建共识、可信、有序的区块链经济体。
    • 新兴产业研究中心 :- 致力于新兴产业研究与个股投资机会挖掘。
    • 天融信阿尔法实验室 :- 天融信阿尔法实验室将不定期推出技术研究新方向成果,专注安全攻防最前沿技术
    • 天御攻防实验室 :- 专注威胁感知、威胁猎杀、高级威胁检测,Adversary Simulation、Adversary Detection、Adversary Resilience
    • PolarisLab :- 勾陈安全实验室 Www.Polaris-Lab.Com
    • T00ls :- T00ls,十年民间网络安全老牌社区,聚合安全领域最优秀的人群,低调研究潜心学习讨论各类网络安全知识,为推动中国网络安全进步与技术创新贡献力量!
    • OWASP :- OWASP中国,SecZone互联网安全研究中心官方平台
    • ArkTeam :- 攻与防,矛与盾,仗剑与Arkers走天涯
    • 永安在线反欺诈 :- 永安在线是一家专注于黑灰产对抗的创新型安全企业,基于对黑灰产的布控能力,提供一站式反欺诈解决方案。核心产品包括:设备指纹、手机号画像、IP画像、账号安全、内容安全等。
    • 网络安全社区悦信安 :- 一个专心研究网络安全技术的小团体,专为热爱或从事网络安全、信息安全、移动端逆向安全、二进制安全、web渗透测试等安全技术人员提供。 我们的主旨是低调求发展,潜心习技术。专攻术业!
    • 米斯特安全团队 :- 一群热爱网络安全的青年们,能给互联网的安全带来什么?
    • Ms08067安全实验室 :- www.ms08067.com
    • 贝塔安全实验室 :- 致力于网络安全攻防研究!
    • 银河安全实验室 :- 银河安全实验室
    • 弥天安全实验室 :- 弥天安全实验室,需要您的支持!
    • 西子实验室 :- 一生等不到表哥一句我带你
    • [Nu1L Team](/team.md#Nu1L Team) :- 这里是Nu1L Team,欢迎关注我们。我们会不定期发放一些福利,技术文章等。
    • 洞见网安 :- 洞见网安,专注于网络空间测绘、漏洞研究、远程监测、漏洞预警
    • 安全钢琴家 :- 我们的征途是星辰大海
    • AD风险实验室 :- 攻防实验室,您身边的攻防专业知识学习平台。专注于分析互联网黑产群体的作恶手段,研究对抗策略。拥有新鲜黑产情报,前沿防护攻略,欢迎关注!
    • 百度安全实验室 :- 百度安全实验室
    • 川云安全团队 :- 川云安全团队官方公众号,不定期推送技术文章,渗透技巧和热点新网等文章。
    • 暗影安全实验室 :- 暗影安全实验室-移动互联网安全咨询订阅号,为您分享最新移动互联网安全咨询
    • 盘古实验室 :- 专注于移动互联网安全
    • ThreatPage全球威胁情报 :- 发布网络空间安全态势,提供最新网络空间威胁情报。
    • 鸿鹄实验室 :- 鸿鹄实验室,欢迎关注
    • Gcow安全团队 :- Gcow是当前国内为数不多的民间网络信息安全研究团队之一。本着“低调发展,自信创新,技术至上”理念,团队主要研究范围“APT捕获分析、渗透测试、代码审计、病毒样本分析、RedTeam、红蓝对抗、程序开发”
    • 靶机狂魔 :- 欢迎各路靶机狂魔的各种sao思路
    • Khan安全团队 :- 研究方向Web内网渗透,红蓝攻防对抗,CTF。
    • 黑鸟情报局 :- 黑鸟威胁情报中心下属分局,专注严肃情报输出
    • 连接世界的暗影 :- 如果我们不曾看到影子,那就证明我们深处黑暗。
    • 安世加 :- 安世加 专注于信息安全⾏业,通过互联⽹平台、线下沙⻰、培训、峰会、⼈才招聘等多种形式,培养安全⼈才,提升⾏业的整体素质,助推安全⽣态圈的健康发展。
    • 零度安全攻防实验室 :- 一个分享实战经验的平台; 一个专注于web安全、渗透测试、漏洞挖掘、资源分享并为广大网络安全爱好者提供交流分享学习的平台。欢迎各位喜欢做安全的朋友加入。
    • WhITECat安全团队 :- WhITECat安全团队是起源实验室合作安全团队,主要致力于分享小组成员技术研究成果、最新的漏洞新闻、安全招聘以及其他安全相关内容。团队成员暂时由起源实验室核心成员、一线安全厂商、某研究院、漏洞盒子TOP10白帽子等人员组成。
    • 酒仙桥六号部队 :- 知其黑,守其白。 分享知识盛宴,闲聊大院趣事,备好酒肉等你!
    • 安恒信息安全研究院 :- 一群技术宅
    • T9Sec :- T9Sec Team 是一个乐于分享、交流至上的安全团队,团队将不定期更新漏洞挖掘中的奇技淫巧以及队员丰富的实战经验技术,绝对干货满满,期待您的关注!
    • IRT工业安全红队 :- IRT(Industrial Red Team)作为国内以守护工控安全为目标的红队组织,团队成员主要来自众多企业内资深安全专家与工控安全研究员。从技术方向和技术深度都是以工控安全为主线,熟悉众多厂商PLC、DCS系统。
    • 5号黯区 :- 5号黯区是一支致力于红队攻防与培训的团队,官网:www.dark5.net
    • 黑伞攻防实验室 :- 安全加固 渗透测试 众测 ctf 安全新领域研究
    • [Pai Sec Team](/team.md#Pai Sec Team) :- Penetration Testing & Red Team & Security
    • 哈拉少安全小队 :- 专注安全研究,漏洞复现,python脚本编写,经常更新一些最新的漏洞复现,以及脱敏的实战文章。
    • LSCteam :- 网络安全技术分享,让网络安全完全深入人心!
    • 美团技术团队 :- 10000+工程师,如何支撑中国领先的生活服务电子商务平台?4.6亿消费者、630万商户、2000多个行业、几千亿交易额背后是哪些技术?这里是美团、大众点评、美团外卖、美团配送、美团优选等技术团队的对外窗口。
    • 爱奇艺技术产品团队 :- 爱奇艺的技术产品团队
    • 字节跳动技术团队 :- 字节跳动的技术实践分享
    • 奇安信安全服务 :- 奇安信安全服务团队官方账号!
    • 轩辕实验室 :- 车联网信息安全和预期功能安全技术
    • 513安全实验室 :- 专注于网络安全研究与分享,不限于渗透测试,红蓝对抗,python编程等。我们的口号是“爱研究、爱分享”。
    • ipasslab :- 软件安全智能并行分析实验室——专注于分享最新技术
    • yudays实验室 :- 记录一个菜鸡的蜕变
    • 渗透云笔记 :- 分享学习网络安全的路上,把自己所学的分享上来,帮助一些网络小白避免“踩坑”,既节省了学习时间,少走了弯道,我们也可以去回顾自己所学,分享自己所得与经验,为此我们感到光荣。
    • 渗透攻击红队 :- 一个专注于渗透红队攻击的公众号
    • null安全团队 :- 信息安全
    • [Admin Team](/team.md#Admin Team) :- 专注于网络安全、渗透测试、反诈骗。为提升国民的网络安全意识做贡献!
    • 雷石安全实验室 :- 雷石安全实验室以团队公众号为平台向安全工作者不定期分享渗透、APT、企业安全建设等新鲜干货,团队公众号致力于成为一个实用干货分享型公众号。

    高校社团类

    高校网络安全社团


    CTF类

    CTF赛事、writeup、技巧

    • XCTF联赛 :- XCTF联赛是在国际范围主要针对大学生的网络安全技术对抗赛,本公众号主要用来宣传XCTF联赛规则,精彩活动,技能训练营等,以此吸引、聚集更多网络安全技术兴趣者,为网络空间安全培养更多的顶级人才。
    • 胖哈勃 :- 1990年,哈勃望远镜(Hubble Space Telescope)发射升空,开启了人类对宇宙空间的崭新探索。 现在,Pwnhub的出现,将引领那些对网络安全感兴趣的人们探索“0 1”世界中的无限奥秘。

    个人类

    个人、技术分享

    • nmask :- 分享信息安全相关技术文章
    • 二道情报贩子 :- 二道情报贩子,专注任何情报领域。上知天文,下知地理,中晓人和,明阴阳,懂八卦,晓奇门,知遁甲,运筹帷幄之中,决胜千里之外,自比管仲乐毅之贤,抱膝危坐,笑傲风月,未出茅庐,先定三分天下。
    • 红队防线 :- 没有章法,便是最好的章法
    • 安全泰式柑汁 :- 记录、分享自己的一些安全知识和心得
    • 安全小飞侠 :- 安全漏洞信息播报平台,为您提供新鲜,一手的安全资讯与漏洞详情,@安全小飞侠 荣誉出品,欢迎关注!
    • 兜哥带你学安全 :- 介绍企业安全建设以及AI安全基础知识,畅销安全类图书《web安全之机器学习入门》《web安全之深度学习实战》《企业安全建设入门:基于开源软件打造企业网络安全》作者主编
    • qz安全情报分析 :- 独到观点的安全情报分析
    • 皮相 :- tombkeeper 的公众号
    • 即刻安全 :- 即刻安全,致力于网络信息安全的研究学习与传播!我们的目标是,将网络安全带进大家的生活,提高大家的网络安全意识和认知!
    • 安全回忆录 :- 专注于网络攻防技术的研究与分享!
    • 威胁情报小屋 :- 个人公众号!仅代表个人观点!内容:威胁情报,国际威胁组织动态记录。督促自己学习……感谢大佬们关注
    • 电驭叛客 :- 追求技术的纯粹
    • baronpan :- 就是写点东西用来对外发
    • 小强说 :- 发布IT、信息安全等领域的资讯信息、个人观点
    • 汉客儿 :- 分享原创技术文章和工具,包括但不限于逆向破解、编程技术、漏洞分析、漏洞挖掘、系统原理等,欢迎交流。
    • 安全喷子 :- 自己一些行业见解,权当我是喷子。
    • 危险解除 :- 我还在。
    • LemonSec :- Security for life
    • n1nty :- 记录平日所看所学。
    • 懒人在思考 :- 本懒号主要关注点:隐私(包括加密货币)、攻击、安全开发。从我们这,你至少可以知道当下黑客世界的另类视角。By 余弦@LanT34m
    • 逢人斗智斗勇 :- 仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担!
    • 我的安全视界观 :- 大大的世界,小小的人儿;喜欢夜的黑,更爱昼的白。因为热爱安全,所以想起该做些什么了?!公众号主要将不定期分享个人所见所闻所感,包括但不限于:安全测试、漏洞赏析、渗透技巧、企业安全
    • 渗透攻防笔记 :- Advanced attack perspective
    • 无级安全 :- 无极,无有一极也,无有不及也,无有不及,乃谓太极。低调求发展,安心学技术,做网络安全时代的耕耘者。
    • 寒剑夜鸣 :- 容貌美丑,皆是皮下白骨,表象声色,又有什么分别? 合作邮箱:rki@live.com
    • 码农翻身 :- 有趣且硬核的技术文章!
    • Bypass :- 致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。 闻道有先后,术业有专攻,如是而已。
    • 湛卢工作室 :- 普及安全攻防知识,记录安全学习心得。
    • 漏洞感知 :- 漏洞感知不是过眼云烟的个人订阅号,提供实战能力,这里是值得您反复回看的档案室。
    • 赵武的自留地 :- 关注"赵武的自留地",在艰苦的生活中,每天获取一些苦中作乐的正能量,给生活添点彩!
    • Hacking就是好玩 :- 写安全工具的同时,写写字解闷~
    • 牵着蜗牛学安全 :- 积跬步而至千里,分享学习记录和心得体会。
    • 陈冠男的游戏人生 :- 终有一天会发现,现在追逐和拥有的,只不过就像当初幼儿园里的小红花
    • Sec盾 :- 分享安全技术,跟进安全发展。
    • 远洋的小船 :- 网络安全之路不孤单,愿你乘风破浪,披荆斩棘,归来仍少年。
    • 黑鸟 :- 一介草民,深耕威胁情报领域多年,自封威胁分析师,APT狩猎者,战略忽悠分析师。 专注推送一切前沿高科技战争分析,敌我战略分析,“数据”挖掘,情报拓展,网络武器分析,社会工程学,军事分析忽悠等。
    • HacTF :- 聚焦网络安全,传播黑客思维,广交天下豪杰
    • 白帽技术与网络安全 :- 致力于分享白帽黑客技术,维护网络安全!
    • 网安小师傅 :- 网络空间安全学习记录,资源分享,cisa、cisp、cissp、oscp、HCIA、HCIP、HCIE等等,CTF,靶场练习,漏洞复现,安全建设,实战测试……
    • thelostworld :- 开发、安全 学习-工作记录
    • 渗透Xiao白帽 :- 积硅步以致千里,积怠惰以致深渊!
    • 台下言书 :- stay hungry ,stay foolish.
    • 黑白天实验室 :- 研究学习一切网络安全相关的技术
    • 安全档案 :- 跨站师,渗透师,结界师聚集之地
    • 阿乐你好 :- 安全相关信息推送
    • 漏洞推送 :- 专注于安全漏洞、威胁情报发掘。
    • 安全鸭 :- 回头下望人寰处,不见长安见尘雾
    • 一名白帽的成长史 :- 黑客技术学习
    • 漫流砂 :- 有态度,不苟同 No System Is Safe!
    • 三里河安全研究 :- 分享网络安全技术、法律法规、威胁情报,红蓝对抗技术和网络安全事件资讯。
    • gakki的童养夫 :- emmmmm gakki是我的
    • RedTeamWing :- Know it,Then hacking it!
    • wintrysec :- 渗透测试
    • 信安随笔 :- 信息安全学习笔记。
    • 404安全 :- 特色工具,安全文章分享
    • NearSec :- 专注Web安全领域,分享渗透测试、漏洞挖掘实战经验,面向广大信息安全爱好者。 NearSec - 更接近安全
    • 安全分析与研究 :- 专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动
    • EnjoyHacking :- 分享一些网络安全攻防对抗的趣事
    • 大兵说安全 :- 和大家聊聊网络安全的那些事。
    • 黑金笔谈 :- 在小空间里分享我们对网络安全与金融市场的一些有意思的感悟与记录:)
    • 一溪风月不如云子闲敲 :- 余生,这座城
    • don9sec :- 不会编程的攻防都是耍流氓。
    • 代码审计 :- 这里是phith0n的公众号,分享和代码相关的所有问题,不仅限于代码安全。
    • Tools杂货铺 :- 工具人。
    • HACK之道 :- HACK之道,专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。
    • 凌晨安全 :- 人说:林深时见鹿,海蓝时见鲸,梦醒时见你。可实际:林深时雾起,海蓝时浪涌,梦醒时夜续。不见鹿,不见鲸,也不见你。但终究:鹿踏雾而来,鲸随浪而涌。表哥,你到底在哪里!
    • 渗了个透 :- 分享日常学习记录和渗透测试中遇到的奇妙姿势。

    web安全类

    web漏洞、业务安全、前端安全

    • 安全祖师爷 :- 官网:www.secshi.com。国内领先的互联网安全媒体,WEB安全爱好者们交流与分享安全技术的最佳平台!这里聚集了XSS牛、SQL牛、提权牛、WEB牛、开发牛、运维牛,公众号定期分享安全教程及相关工具。与其在别处仰望 不如在这里并肩!
    • 云众可信 :- 云众展现全新魅力,可信凝聚无穷力量
    • 嘶吼专业版 :- 为您带来每日最新最专业的互联网安全专业信息。
    • HACK学习呀 :- HACK学习,专注于互联网安全与黑客精神;渗透测试,社会工程学,Python黑客编程,资源分享,Web渗透培训,电脑技巧,渗透技巧等,为广大网络安全爱好者一个交流分享学习的平台!
    • APT攻击 :- 研究网络开源最新技术
    • 天億网络安全 :- 全面介绍网络安全相关知识、安全建设方案、分享网络安全行业法律法规及相关政策等内容,一个学习网络安全知识、技术、业务交流的全国性平台。
    • Rapid7 :- 定期发送产品相关技术文章,关键更新推送,解决方案分享等
    • [Timeline Sec](/web.md#Timeline Sec) :- Timeline Sec 网络安全团队官方公众号。这里记录着每一个漏洞的发生,手把手教你学会漏洞复现。这里会不定期举办公益性安全学习活动,为你找到更多安全路上的交流伙伴。这里有一群斗志昂扬积极向上的年轻人,等待着你的关注与加入!
    • 宽字节安全 :- 二十年专注安全研究,漏洞分析
    • 守卫者安全 :- 守卫者安全,守卫安全!
    • 关注安全技术 :- 要什么介绍?
    • GobySec :- 新一代网络安全测试工具,由赵武Zwell(Pangolin、FOFA作者)打造,能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。
    • 利刃信安 :- 利刃信安资源技术服务
    • 渗透测试教程 :- 只会分享安全技术文章,不会分享安全娱乐新闻。专注渗透测试、渗透自动化武器研发。记录分享学习路上的知识,祝你早日登上SRC英雄榜!

    网络运维类

    运维、操作系统、加固

    • Linux学习 :- 专注分享Linux/Unix相关内容,包括Linux命令、Linux内核、Linux系统开发、Linux运维、网络编程、开发工具等Linux相关知识和技术
    • Linux中国 :- 十万级技术订阅号,依托于『Linux中国』(https://linux.cn/)社区,专注于 Linux 学习、技术研究、开源思想传播。
    • 运维帮 :- 互联网技术分享平台,分享的力量。帮主一直坚信技术可以改变世界,从毕业到现在干了15年运维,有许多话要和你说。
    • Docker中文社区 :- Docker中文社区旨在为大家提供Docker、K8s相关工具及前沿资讯信息,方便大家了解学习Docker相关技术。官网:www.dockerchina.cn
    • 云计算和网络安全技术实践 :- 史上最具参考性的云计算和网络安全技术实践博客。
    • 高效运维 :- 高效运维公众号由萧田国及朋友们维护,经常发布各种广为传播的优秀原创技术文章,关注运维转型,陪伴您的运维职业生涯,一起愉快滴发展。
    • 分布式实验室 :- 关注分布式相关的开源项目和基础架构,致力于分析并报道这些新技术是如何以及将会怎样影响企业的软件构建方式。
    • 马哥Linux运维 :- 马哥教育创办于2009年,国内高端IT培训品牌,毕业学员薪资12K+以上,累计培养数万人。有Linux云计算运维、Python全栈、自动化、数据分析、人工智能、Go高并发架构等高薪就业课程。凭借高品质课程和良好口碑,与多家互联网建立人才合作

    安全研发类

    开发、后端、业务安全、安全研发规范

    • Python开发者 :- 人生苦短,我用 Python。「Python开发者」分享 Python 相关的技术文章、工具资源、精选课程、热点资讯等。
    • 大邓和他的Python :- 管理学在读博士,本公众号基本围绕着文科生科研需要,分享python网络爬虫、文本数据清洗、文本数据分析。内容相对简单易懂,力求原创文章末尾附有实验代码和数据,方便大家看后动手练习。
    • 进击的Coder :- 分享技术文章和编程经验,内容多为网络爬虫、机器学习、Web 开发等方向。
    • Python编程 :- 人生苦短,我用 Python !关注 Python 编程技术和运用。分享 Python 相关技术文章、开发工具资源、热门信息等。
    • Web开发 :- 分享Web后端开发技术,分享PHP、Ruby、Python等用于后端网站、后台系统等后端开发技术;还包含ThinkPHP,WordPress等PHP网站开发框架、Django,Flask等Python网站开发框架。
    • 数据库开发 :- 分享数据库开发、原理和应用,涵盖MySQL、PostgreSQL、MS SQL Sever、Oracle等主流关系数据库的应用和原理,以及MongoDB、Redis、Memcached等NoSQL数据库和缓存技术。
    • Java后端 :- 公众号「Java后端」专注于 Java 技术,包括 Spring 全家桶,MySQL,JavaWeb,Git,Linux,Nginx,IDEA,数据结构,高并发,多线程,面试题,GitHub项目精选等相关内容,欢迎 Java 程序员关注。
    • Python之美 :- 《Python web开发实战》作者的公众号。发现Python之美,主要包含Web开发、Python进阶、架构设计、Python开发招聘信息等方面内容。 不接任何形式的广告,请绕行!
    • 进击的Hunter :- 专注Python、爬虫、后端、Poc、Exp及各种骚操作。各位如有什么想法,请私信我~
    • SIGAI :- 全方位覆盖AI经典算法与工业应用,紧跟业界新趋势,让你始终站在技术前沿。
    • NightTeam :- 夜幕团队公众号,涉猎的编程语言包括 Python、Rust、C++、Go,领域涵盖爬虫、深度学习、服务研发和对象存储等,反正谁先关注,谁先涨工资。
    • 七夜安全博客 :- 本公众号分享的内容不仅仅是python开发,还有更多的安全内容。 主要内容: python 爬虫; python web; web安全; 无线安全; 移动安全; 硬件安全; 逆向破解; 操作系统。
    • 安全乐观主义 :- 实践分享企业在建设安全开发生命周期各阶段及流程中的优秀实践,内容涉及代码审计、业界对标、系统工程化心得、国外资料分享,搭建应用安全交流平台。
    • 小生观察室 :- 本观察室仅个人做内容存档使用!

    二进制安全类

    汇编、逆向、溢出、破解

    • 吾爱破解论坛 :- 吾爱破解论坛致力于软件安全与病毒分析的前沿,丰富的技术版块交相辉映,由无数热衷于软件加密解密及反病毒爱好者共同维护,留给世界一抹值得百年回眸的惊艳,沉淀百年来计算机应用之精华与优雅,任岁月流转,低调而奢华的技术交流与探索却是亘古不变。
    • malwarebenchmark :- 开源恶意代码基准测试(OMB,malwarebenchmark.org)持续跟踪全球最新恶意代码,实时发布网络空间安全以及恶意代码技术、分布、演变等信息,定期公开相关基准测试集合以及测评报告。
    • 看雪学院 :- 致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。

    硬件安全类

    路由器、工控、摄像头、无线电

    • 全频带阻塞干扰 :- 坚持以非正常体位探寻未知信号。 国内商业安全、TSCM技术反窃密、隐私保护及物理安全领域引领者。 在通信安全,海外威胁情报,犯罪防御和群氓效应方面也有一点点建树。
    • 物联网IOT安全 :- 我们是一个专注于物联网IOT安全 固件逆向 近源攻击 硬件破解的公众号,与我们一起学习进步。
    • Gh0xE9 :- 个人势公众号,专攻网络安全,硬件等方面,狩猎范围极广,不积跬步,无以至千里,低调说话,高调做事。
    • 取证杂谈 :- 分享电子取证及司法鉴定相关知识
    • 电子取证及可信应用协创中心 :- 电子取证及可信应用湖北省协同创新中心(培育)的订阅号。介绍和宣传法庭科学中的电子数据取证(Digital Forensics)涉及的科学知识、技术实践和创新应用,推动电子数据取证的普及和发展。
    • 湘雪尘奕 :- 最近公众号主要以视频为主,每周发布一个新的视频!内容主要围绕工业控制系统网络内容,主要涉及工控设备、协议解析及检测评估等方向。
    • 电子物证 :- 关注刑事证据科学前沿发展,传递电子物证技术最新趋势
    • 老马玩工控安全 :- 聚焦工控安全,提供集政策标准、工具、论文等免费下载以及技术交流、互动、交友为一体的工控安全交流平台。
    • 威努特工控安全 :- 我们将为你分享最前沿的国际工控网络安全技术,国家相关政策法规解读及经典成功案例解析。

    其他

    杂项

    • 黑客技术与网络安全 :- 分享黑客技术和网络安全知识,让程序员了解黑客世界,学习黑客技术;普及上网和网络安全知识;帮助黑客、安全从业者、安全爱好者学习与成长。
    • 安全学术圈 :- 分享安全方面的论文写作、会议发表、基金申请方面的资料。
    • 安全帮Live :- 安全帮 帮你学安全
    • 一本黑 :- 一双互联网阴暗面的眼睛
    • MS509 :- MS509为中国网安开展互联网攻防技术研究的专业团队,当前主攻方向包括WEB安全、移动安全、二进制安全等。
    • 正阳风控学社 :- 风控是一个大系统。
    • 全球技术地图 :- 洞见前沿,引领未来。
    • 情报分析师 :- 情报研究中心,普及情报知识,培养情报思维,传播情报文化,服务情报人员。
    • 虎符智库 :- “虎符智库” 专注解读网络安全重大事件与技术趋势,提供高层决策参考。
    • lymmmx :- lymmmx
    • IMKP :- 星光不问赶路人
    • DJ的札记 :- 关注信息安全的新技术和未来趋势
    • bloodzer0 :- 不是从0开始,而是从1开始!
    • 谛听ditecting :- 东北大学“谛听”网络安全团队
    • [vessial的安全Trash Can](/other.md#vessial的安全Trash Can) :- 一个安全研究人员的自留地
    • 深澜深蓝 :- 安全风云波澜壮阔,对酒当歌人间值得。
    • GoCN :- 国内最具规模和生命力的 Go 开发者社区
    • 冷渗透 :- 黑产研究,渗透测试,漏洞挖掘,记录非常规思路的hackdom。
    • 小议安全 :- 有关网络安全、零信任、安全管理、安全分析和数据安全的一些沉淀和想法,以及个人成长,以原创为主。
    • 腾讯安全智能 :- 该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开,内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享,业界领先的产品和前沿趋势的解读分析等。通过分享、交流,推动安全智能的落地、应用。
    • 落水轩 :- 不谈技术,只说故事。喝完这杯,还有三杯
    • PeckShield :- A blockchain security company with the goal to elevate the security, privacy, and usability of current ecosystem.
    • 青衣十三楼飞花堂 :- C/ASM程序员之闲言碎语
    • 安全引擎 :- What is Security?
    • 浅黑科技 :- 在未来面前,我们都是孩子。
    • Viola后花园 :- 杂七杂八的分享
    • 数据安全与取证 :- 我们专注于电子取证技术的分享及司法鉴定实践的交流,涵盖了计算机取证、手机取证、电子物证、司法鉴定等众多领域,是电子取证公司与电子取证从业者交流学习的首选平台。
    • 这里是河马 :- 这里是河马,SHELLPUB.COM 公众号
    • 专注安管平台 :- 专注安管平台、SIEM、SOC、SOAR、大数据安全分析、态势感知等平台类安全领域。
    • [404 Not F0und](/other.md#404 Not F0und) :- 致力于分享原创高质量干货,包括但不限于:安全、数据、算法、思考
    • 虚拟框架 :- 解锁 Android 手机黑科技!
    • 网安寻路人 :- 立足本土实践和需求,放眼全球做法和经验,探寻网络空间安全之法道。
    • 夜暗心明 :- 阳光白云蓝天与你,缺一不可
    • 边界无限 :- 专注于攻防对抗研究及云安全领域研究
    • 熊貓情報局PIB :- 熊貓情報局PIB关注全球网络安全。

    Contribution

    感谢为平台提供优质公众号
    hack4
    admin

    吴才子
    Joynice
    Hatcat123
    404
    CyberDefense
    Cooper
    沈登年
    xzw
    Paper-Pen
    你们的饭不好吃
    mmmshuoka
    Jdrops
    yichen
    lengyi
    crazyman
    HELEL
    lsh4ck
    黑鸟
    许心痕
    Tone
    HacTF
    hacker520sb
    0pen1
    暗影安全团队
    zonei123
    冰崖
    thelostworld
    梁景普
    Dooonsec
    启明星辰–云众可信
    慧保天下
    预言
    守卫者安全
    suxuan
    palink
    Chyxs
    Kobe_Fans
    Kali
    xdccmwyh123
    None安全团队
    龙鑫泰
    tangxiaofeng7
    赵彬彬

    展开全文
  • 计算机级 信息安全技术题库——选择题1

    万次阅读 多人点赞 2018-09-10 23:54:22
    <------------纯手打内容并不能保证百分百没错字------------> 更新:考试过啦 虽然只是及格( 感觉单靠买的题库的的话 良好应该没什么...计算机四级信息安全工程师部分更新啦 四级全是选择题 直接看我的博客...

           <------------纯手打内容并不能保证百分百没错字------------>

    更新:考试过啦 虽然只是及格( 感觉单靠买的题库的的话 良好应该没什么问题 但是优秀可能比较困难,感觉考试的题目也还是有挺多变动的 不过亲测四五天保证每天有四个小时的学习时间及格还是可以的 当然学习的时候一定要好好学哇。计算机四级信息安全工程师部分更新啦 四级全是选择题 直接看我的博客就可以了✌ 戳个人分类即可看见

    PS:应用题题目太长所以当时没有留存截图 感觉应用题分数还挺重要的 所以还是建议大家自己淘宝买题 淘宝的题大概是30多吧 一般都可以两个人用 一般是电脑端两个验证号+手机端一个验证号 因为几乎也是一次性用品 所以觉得也没必要一个人买 如果有意拼 在这篇博客下面评论一下 留个QQ小号? 无利益相关 单纯随便一想

    1.信息技术的发展,大致分为电讯技术的发明,19世纪30年代开始  , 计算机技术的发展,20世纪50年代开始   ,和互联网的使用 20世纪60年代开始三个阶段。

     

    2.同时具有强制访问控制和自主访问控制属性的访问控制模型是Chinese wall

     

    3.信息安全的五个基本属性是可用性,可靠性,完整性,保密性,不可抵赖性

     

    4.MD5算法首先将任意长度的消息填充为512的倍数然后进行处理

     

    5.数字签名是非对称密钥加密技术与数字摘要技术的综合应用

     

    6.对称加密最大的缺点在于其秘钥管理困难

     

    7.消息认证目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(消息完整性认证),消息的源和宿认证(身份认证),及消息和序号和操作时间认证等,但是发送方否认将无法保证

     

    8.

    9.Kerberos是一种网络认证协议,其认证过程的实现不依赖于主机操作系统的认证,其身份认证采用的是传统的密码技术(对称加密机制)

     

    10.IKL属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME

     

    11.一个简单的PKI系统包括证书机构CA,注册机构RA,和相应的PKI存储库。PKI存储库包括LDAP目录服务器和普通数据库

     

    12.状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的是TCP

     

    13.CCB(密码块链接)没有分组工作模式

     

    14.主体是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程,服务和设备等。可以是另一个客体

     

    15.进程与CPU的通信是通过共享存储器系统,消息传递系统,管道通信来完成的。而不是通过系统调用来完成的。

     

    16.守护进程是脱离于终端并且在后台运行的进程。守护进程还能完成很多系统任务

     

    17.在unix系统中,chmod 文件/目录权限设置命令,chown 改变文件的拥有者,chgrp 变更文件与目录的所属群组。who 显示系统登录者。改变文件分组的命令是chgrp

     

    18.Windows有三个环境子系统,Win32,POSIX,OS/2。win32子系统必须始终处于运行状态

     

    19.视图不存储数据

     

    20.COMMIT语句用于告诉DBMS,事务处理中的语句被成功执行完成了,ROLLBACK也是告诉DBMS事务处理中的语句不能被成功执行,不能回退SELECT语句,因此该语句在事务中必然成功执行

     

    21.P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,该模型的四个组成部分,policy策略,protection防护,detective检测和response响应,核心是策略

     

    22.ESP协议可以对应用层协议,传输层协议,网络层协议进行封装,但是不能对链路层协议进行封装

     

    23.HTTPS是以安全为目标的HTTP通道,即HTTP下加入SSL层,SSL是HTTPS的安全基础。用户认证的请求通过加密信道进行传输的是HTTPS

     

    24.AH协议用于保证数据包的完整性和真实性,考虑到计算效率,AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。它具有的功能是数据完整性鉴别

     

    25.

    26.SMTP 简单邮件传输协议,由他控制信件的中转方式。SET 安全电子交易协议。POP3 邮局协议的第三个版本。S/MIME为多用途网络邮件扩充协议,可以把MIME实体,比如数字签名和加密信息等封装成安全对象,S/MIME可为电子邮件提供数字签名和数据加密功能

     

    27.NIDS网络入侵检测系统,。在计算机网络系统中,NIDS的探测器要连接的设备是交换机

     

    28.

    29.软件漏洞网络攻击框架性工具是Metasploit

     

    30.OWASP的十大安全威胁排名,第一位是注入式风险,第二位跨站脚本攻击,第三位无限的认证及会话管理功能,第十位是未经验证的重新指向及转发

     

    31.提出软件安全开发生命周期SDL模型的公司是微软

     

    32.代码混淆技术包括词法转换,控制流转换,数据转换。不属于代码混淆技术的是语法转换

     

    33.漏洞转换三要素,漏洞是计算机系统本身存在的缺陷,漏洞的存在和利用都有一定的环境要求,漏洞存在的本身是没有危害的。漏洞在计算机系统中不可避免不属于漏洞定位三要素

     

    34.堆的生长方向是向上,也就是向内存增加的方向。栈相反

     

    35.操作系统所使用的缓冲区又被称为 堆栈 。不属于缓冲区溢出的是整数溢出

     

    36.在信息安全事故响应中,必须采取的措施中包括 建立清晰的优先次序。清晰的指派工作和责任,对灾难进行归档。不包括保护物理资产。

     

    37.系统开发分为五个阶段 ,规划,分析,设计,实现和运行。

     

    38.任何系统都会经历一个发生,发展和消亡的过程

     

    39.在信息安全管理中的控制策略实现后就应该对控制效果进行监控和衡量,从而来确定安全控制的有效性,并估计残留风险的准确性,整个安全控制是一个循环过程不会终止,并不能减少这方面的预算

     

    40.并不是所有的组织都需要进行认证。认证可以建立信任度而已

     

    41.涉密信息系统建设使用单位将保密级别分为三级,秘密,机密和绝密

     

    42.基本安全要求中基本技术要求从五个方面提出,物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复。没有路由安全

     

    43.应急三要素是事件响应,灾难恢复,业务持续性计划。基本风险评估预防风险,而应急计划是当风险发生时采取的措施

     

    44.

    45.

    46.

    47.电子签名是一种电子代码,利用他收件人可以在网上轻松验证发件人的身份和签名,它还能验证出文件的原文在传输过程中有无变动。公用事业服务信息无需进行验证

     

    48.签署电子签名时电子签名制作数据仅有电子签名人控制

     

    49.TCSEC将计算机系统的安全划分为四个等级七个级别

     

    50.除了纵深防御这个核心思想外,IATF还提出了其他一些信息安全原则。LATF将信息系统和信息保障技术层面划分为四个技术框架焦点域,分别为保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施

     

    51.计算机系统安全评估的第一个正式标准是TCSEC

     

    52.数据加密又称密码学,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。

     

    53.消息认证,数字签名和口令保护均属于哈希函数的应用

     

    54.目前的认证技术有用对用户的认证和对消息的认证两种方式。数字签名,又称公钥数字签名,电子签章,是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领悟的技术实现,用于鉴别数字信息的方法,数字签名不能用于产生认证码

     

    55.

    56.

    57.RADIUS是一个客户端/服务器端协议,它运行在应用层,使用UDP协议,它的审计独立于身份验证和授权服务,审计服务使用一个独立的UDP端口进行通讯,不能很好的提供完备的丢包处理及数据重传机制。

     

    58.EBC模式是分组密码的基本工作模式。CBC模式的初始密码不需要保密,可以明文形式与密文一起传送

     

    59.非对称加密算法又名为公开密钥加密算法,对称加密算法名为非公开密钥加密算法。非对称密钥加密算法复杂,在实际应用中不适合数据加密

     

    60.SHA所产生的摘要比MD5长32位,耗时要更长,更加安全

     

    61.TCP,ICMP,UDP均会被DoS攻击,IPSec无法被DoS攻击

     

    62.文件系统是一种数据链表,用来描述磁盘上的信息结构,并支持磁盘文件的取出和写回,在安装系统之前总是会先将存储盘格式化成某种文件系统格式

     

    63.Linux系统启动后运行的第一个进程是init,初始化进程,boot是在Linux启动之前运行的进程,sysini进程和login进程是后续部分的进程

     

    64.可执行文件(exe)不属于Unix/Linux文件类型

     

    65.在Windows系统中,查看当前已经启动的服务列表的命令是net start

     

    66.SQL命令中,删除表的命令是DROP,删除记录的命令是delete,建立视图的命令是CREATE view,更新记录的命令是update

     

    67.

    68.ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺骗。路由器ARP欺骗的原理是截获网关数据,第二种ARP欺骗的原理是伪造网关。网站挂马,网站钓鱼,社会工程都属于诱骗式攻击

     

    69.SSO,Kerberos,SESAME都属于分布式访问控制方法,RADIUS属于集中式

     

    70.Internet安全协议(IPsec)是由互联网工程任务组提供的用于保障Internet安全通信的一系列规范。支持IPv4协议和IPv6协议

     

    71.SSL协议为应用层提供了加密,身份认证和完整性验证的保护

     

    72.网状信任模型,层次信任模型,桥证书认证机构信任模型都属于PKI信任模型。链状信任模型不属于PKI信任模型

     

    73.特征检测又称误用检测,主要有五种方法,基于专家系统,模型推荐,状态转换,条件概率,键盘监控

     

    74.木马不会刻意的去感染其他文件,不具备感染性

     

    75.

    76.动态污点分析,模糊测试,智能模糊测试都属于软件动态安全检测技术。对源代码的检测,模型检验属于软件静态安全检测技术。词法分析是计算机科学中将字符序列转换为单词序列的过程

     

    77.BitBlaze采用软件动静结合安全检测技术

     

    78.加壳欺骗不属于恶意程序传播方法

     

    79.微软公司漏洞分为,第一级:紧急,第二级:重要,第三级:警告,第四级:注意

     

    80.UAF(Use After Free)类漏洞,即引用了已经释放的内存,例如,内存地址对象破坏性调用的漏洞

     

    展开全文
  • 等保2.0安全要求

    万次阅读 2020-06-07 12:22:55
    安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测...

    第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

    以下加粗字段为等保三级与二级的区别,需重点关注。

    1安全通用要求

    1.1安全物理环境

    1.1.1物理位置选择
    本项要求包括:
    a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;
    b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

    1.1.2物理访问控制
    机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。

    1.1.3防盗窃和防破坏
    本项要求包括:
    a)应将设备或主要部件进行固定,并设置明显的不易去除的标识;
    b)应将通信线缆铺设在隐蔽安全处;
    c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。

    1.1.4防雷击
    本项要求包括:
    a)应将各类机柜、设施和设备等通过接地系统安全接地;
    b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。

    1.1.5 防火
    本项要求包括:
    a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
    b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
    c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。

    1.1.6防水和防潮
    本项要求包括:
    a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
    b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
    c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

    1.1.7防静电
    本项要求包括:
    a)应采用防静电地板或地面并采用必要的接地防静电措施;
    b)应采取措施防止静电的产生,例如釆用静电消除器、佩戴防静电手环等。

    1.1.8温湿度控制
    应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。

    1.1.9电力供应
    本项要求包括:
    a)应在机房供电线路上配置稳压器和过电压防护设备;
    b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
    c)应设置冗余或并行的电力电缆线路为计算机系统供电。

    1.1.10电磁防护
    本项要求包括:
    a)电源线和通信线缆应隔离铺设,避免互相干扰;
    b)应对关键设备实施电磁屏蔽。

    1.2安全通信网络

    1.2.1网络架构
    本项要求包括:
    a)应保证网络设备的业务处理能力满足业务高峰期需要;
    b)应保证网络各个部分的带宽满足业务高峰期需要;
    c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
    d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应釆取可靠的技术隔离手段;
    e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

    1.2.2通信传输
    本项要求包括:
    a)应采用校验技术或密码技术保证通信过程中数据的完整性;
    b)应釆用密码技术保证通信过程中数据的保密性。

    1.2.3可信验证
    可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,**并在应用程序的关键执行环节进行动态可信验证,**在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

    1.3安全区域边界

    1.3.1边界防护
    本项要求包括:
    a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
    b)应能够对非授权设备私自联到内部网络的行为进行检査或限制;
    c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
    d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

    1.3.2访问控制
    本项要求包括:
    a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受
    控接口拒绝所有通信;
    b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
    c)应对源地址、目的地址、源端口、目的端口和协议等进行检査,以允许/拒绝数据包进出;
    d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
    e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

    1.3.3入侵防范
    本项要求包括:
    a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
    b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
    c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
    d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击事件,在发生严重入侵事件时应提供报警。

    1.3.4恶意代码和垃圾邮件防范
    本项要求包括:
    a)应在关键网络节点处对恶意代码进行检测和清楚,并维护恶意代码防护机制的升级和更新;
    b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

    1.3.5安全审计
    本项要求包括:
    a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计;
    b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息;
    c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
    d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

    1.3.6 可信验证
    可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,**并在应用程序的关键执行环节进行动态可信验证,**在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

    1.4安全计算环境

    1.4.1身份鉴别
    本项要求包括:
    a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
    b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
    c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
    d)应釆用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

    1.4.2访问控制
    本项要求包括:
    a)应对登录的用户分配账户和权限;
    b)应重命名或删除默认账户,修改默认账户的默认口令;
    c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
    d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
    e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
    f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
    g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

    1.4.3 安全审计
    本项要求包括:
    a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
    b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
    c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
    d)应对审计进程进行保护,防止未经授权的中断。

    1.4.4入侵防范
    本项要求包括:
    a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
    b)应关闭不需要的系统服务、默认共享和高危端口;
    c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
    d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设 定要求;
    e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
    f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

    1.4.5恶意代码防范
    应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

    1.4.6可信验证
    可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, **并在应用程序的关键执行环节进行动态可信验证,**在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

    1.4.7数据完整性
    本项要求包括:
    a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
    b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

    1.4.8数据保密性
    本项要求包括:
    a)应釆用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
    b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

    1.4.9数据备份恢复
    本项要求包括:
    a)应提供重要数据的本地数据备份与恢复功能;
    b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
    c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

    1.4.10剩余信息保护
    本项要求包括:
    a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
    b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

    1.4.11个人信息保护
    本项要求包括:
    a)应仅采集和保存业务必需的用户个人信息;
    b)应禁止未授权访问和非法使用用户个人信息。

    1.5安全管理中心

    1.5.1系统管理
    本项要求包括:
    a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
    b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、 系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

    1.5.2审计管理
    本项要求包括:
    a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
    b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和査询等。

    1.5.3安全管理
    本项要求包括:
    a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
    b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一 安全标记,对主体进行授权,配置可信验证策略等。

    1.5.4集中管控
    本项要求包括:
    a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
    b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
    c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
    d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符 合法律法规要求;
    e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
    f)应能对网络中发生的各类安全事件进行识别、报警和分析。

    1.6安全管理制度

    1.6.1安全策略
    应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。

    8.1.6.2管理制度
    本项要求包括:
    a)应对安全管理活动中的各类管理内容建立安全管理制度;
    b)应对管理人员或操作人员执行的日常管理操作建立操作规程;
    c)应形成由安全策略、管理制度、操作规程、记录表単等构成的全面的安全管理制度体系。

    1.6.3制定和发布
    本项要求包括:
    a)应指定或授权专门的部门或人员负责安全管理制度的制定;
    b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。

    1.6.4评审和修订
    应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

    1.7安全管理机构

    1.7.1岗位设置
    本项要求包括:
    a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;
    b)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
    c)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。

    8.1.7.2人员配备
    本项要求包括:
    a)应配备一定数量的系统管理员、审计管理员和安全管理员等;
    b)应配备专职安全管理员,不可兼任。

    1.7.3授权和审批
    本项要求包括:
    a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
    b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
    c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。

    1.7.4沟通和合作
    本项要求包括:
    a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;
    b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;
    c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。

    1.7.5审核和检查
    本项要求包括:
    a)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
    b)应定期进行全面安全检査,检査内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
    c)应制定安全检査表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。

    1.8安全管理人员

    1.8.1人员录用
    本项要求包括:
    a)应指定或授权专门的部门或人员负责人员录用;
    b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;
    c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议

    1.8.2人员离岗
    本项要求包括:
    a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
    b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。

    1.8.3安全意识教育和培训
    本项要求包括:
    a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;
    b)应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训;
    c)应定期对不同岗位的人员进行技能考核。

    1.8.4外部人员访问管理
    本项要求包括:
    a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
    b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;
    c)外部人员离场后应及时清除其所有的访问权限;
    d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。

    1.9安全建设管理

    1.9.1定级和备案
    本项要求包括:
    a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;
    b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
    c)应保证定级结果经过相关部门的批准;
    d)应将备案材料报主管部门和相应公安机关备案。

    1.9.2安全方案设计
    本项要求包括:
    a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
    b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;
    c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。

    8.1.9.3产品釆购和使用
    本项要求包括:
    a)应确保网络安全产品釆购和使用符合国家的有关规定;
    b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;
    c)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。

    1.9.4自行软件开发
    本项要求包括:
    a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;
    b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
    c)应制定代码编写安全规范,要求开发人员参照规范编写代码;
    d)应具备软件设计的相关文档和使用指南,并对文档使用进行控制;
    e)应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;
    f)应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;
    g)应保证开发人员未专职人员,开发人员的开发活动受到控制、监视和审查。

    1.9.5外包软件开发
    本项要求包括:
    a)应在软件交付前检测其中可能存在的恶意代码;
    b)应保证开发单位提供软件设计文档和使用指南;
    c)应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道

    1.9.6工程实施
    本项要求包括:
    a)应指定或授权专门的部门或人员负责工程实施过程的管理;
    b)应制定安全工程实施方案控制工程实施过程;
    c)应通过第三方工程监理控制项目的实施过程。

    1.9.7测试验收
    本项要求包括:
    a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;
    b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。

    1.9.8系统交付
    本项要求包括:
    a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
    b)应对负责运行维护的技术人员进行相应的技能培训;
    c)应提供建设过程文档和运行维护文档。

    1.9.9等级测评
    本项要求包括:
    a)应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;
    b)应在发生重大变更或级别发生变化时进行等级测评;
    c)应确保测评机构的选择符合国家有关规定。

    1.9.10服务供应商选择
    本项要求包括:
    a)应确保服务供应商的选择符合国家的有关规定;
    b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务;
    c)应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。

    1.10 安全运维管理

    1.10.1环境管理
    本项要求包括:
    a)应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;
    b)应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定;
    c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。

    1.10.2资产管理
    本项要求包括:
    a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
    b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
    c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。

    1.10.3介质管理
    本项要求包括:
    a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
    b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。

    1.10.4设备维护管理
    本项要求包括:
    a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
    b)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等;
    c)信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密;
    d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。

    1.10.5漏洞和风险管理
    本项要求包括:
    a)应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补;
    b)应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。

    1.10.6网络和系统安全管理
    本项要求包括:
    a)应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;
    b)应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
    c)应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常管理、日常操作、升级与打补丁、口令更新周期等方面做出规定;
    d)应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
    e)应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;
    f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;
    g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
    h)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
    i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;
    j)应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。

    1.10.7恶意代码防范管理
    本项要求包括:
    a)提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;
    b)应定期验证防范恶意代码攻击的技术措施的有效性。

    1.10.8配置管理
    本项要求包括:
    a)应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;
    b)应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。

    1.10.9 密码管理
    本项要求包括:
    a)应遵循密码相关国家标准和行业标准;
    b)应使用国家密码管理主管部门认证核准的密码技术和产品。

    1.10.10 变更管理
    本项要求包括:
    a)应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施;
    b)应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程;
    c)应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责。必要时对恢复过程进行演练。

    1.10.11备份与恢复管理
    本项要求包括:
    a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
    b)应规定备份信息的备份方式、备份频度、存储介质、保存期等;
    c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。

    1.10.12安全事件处置
    本项要求包括:
    a)应及时向安全管理部门报告所发现的安全弱点和可疑事件;
    b)应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
    c)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训;
    d)对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。

    1.10.13应急预案管理
    本项要求包括:
    a)应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容;
    b)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
    c)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练;
    d)应定期对原有的应急预案重新评估,修订完善。

    1.10.14 外包运维管理
    本项要求包括:
    a)应确保外包运维服务商的选择符合国家的有关规定;
    b)应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容;
    c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确;
    d)应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。

    2云计算安全扩展要求

    2.1安全物理环境

    2.1.1基础设施位置
    应保证云计算基础设施位于中国境内。

    2.2安全通信网络

    2.2.1网络架构
    本项要求包括:
    a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;
    b)应实现不同云服务客户虚拟网络之间的隔离;
    c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;
    d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;
    e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。

    2.3安全区域边界

    2.3.1访问控制
    本项要求包括:
    a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
    b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。

    2.3.2入侵防范
    本项要求包括:
    a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
    b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
    c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
    d)应在检测到网络攻击行为、异常流量情况时进行告警。

    2.3.3安全审计
    本项要求包括:
    a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
    b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

    2.4安全计算环境

    2.4.1身份鉴别
    当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。

    2.4.2访问控制
    本项要求包括:
    a)应保证当虚拟机迁移时,访问控制策略随其迁移;
    b)应允许云服务客户设置不同虚拟机之间的访问控制策略。

    2.4.3入侵防范
    本项要求包括:
    a)应能检测虚拟机之间的资源隔离失效,并进行告警;
    b)应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;
    c)应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。

    2.4.4镜像和快照保护
    本项要求包括:
    a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
    b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
    c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

    2.4.5数据完整性和保密性
    本项要求包括:
    a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需岀境应遵循国家相关规定;
    b)应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;
    c)应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时釆取必要的恢复措施;
    d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。

    2.4.6数据备份恢复
    本项要求包括:
    a)云服务客户应在本地保存其业务数据的备份;
    b)应提供査询云服务客户数据及备份存储位置的能力;
    c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致;
    d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。

    2.4.7剩余信息保护
    本项要求包括:
    a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
    b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。

    2.5安全管理中心

    2.5.1集中管控
    本项要求包括:
    a)应能对物理资源和虚拟资源按照策略做统一管理调度与分配;
    b)应保证云计算平台管理流量与云服务客户业务流量分离;
    c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;
    d)应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。

    2.6安全建设管理

    2.6.1云服务商选择
    本项要求包括:
    a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
    b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
    c)应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
    d)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除;
    e)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。

    2.6.2供应链管理
    本项要求包括:
    a)应确保供应商的选择符合国家有关规定;
    b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户;
    c)应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。

    2.7 安全运维管理

    2.7.1云计算环境管理
    云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。

    3移动互联安全扩展要求

    3.1安全物理环境

    3.1.1无线接入点的物理位置
    应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。

    3.2安全区域边界

    3.2.1边界防护
    应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

    3.2.2访问控制
    无线接入设备应开启接入认证功能,并支持釆用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

    3.2.3入侵防范
    本项要求包括:
    a)应能够检测到非授权无线接入设备和非授权移动终端的接入行为;
    b)应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为;
    c)应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;
    d)应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等;
    e)应禁止多个AP使用同一个认证密钥;
    f)应能够阻断非授权无线接入设备或非授权移动终端。

    3.3安全计算环境

    3.3.1移动终端管控
    本项要求包括:
    a)应保证移动终端安装、注册并运行终端管理客户端软件;
    b)移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等。

    3.3.2移动应用管控
    本项要求包括:
    a)应具有选择应用软件安装、运行的功能;
    b)应只允许指定证书签名的应用软件安装和运行;
    c)应具有软件白名単功能,应能根据白名单控制应用软件安装、运行。

    3.4安全建设管理

    3.4.1移动应用软件采购
    本项要求包括:
    a)应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名;
    b)应保证移动终端安装、运行的应用软件由指定的开发者开发。

    3.4.2移动应用软件开发
    本项要求包括:
    a)应对移动业务应用软件开发者进行资格审查;
    b)应保证开发移动业务应用软件的签名证书合法性。

    3.5安全运维管理

    3.5.1配置管理
    应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别。

    4物联网安全扩展要求

    4.1安全物理环境

    4.1.1感知节点设备物理防护
    本项要求包括:
    a)感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;
    b)感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域);
    c)感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等;
    d)关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)。

    4.2安全区域边界

    4.2.1接入控制
    应保证只有授权的感知节点可以接入。

    4.2.2入侵防范
    本项要求包括:
    a)应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为;
    b)应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

    4.3安全计算环境

    4.3.1感知节点设备安全
    本项要求包括:
    a)应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更;
    b)应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力;
    c)应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。

    4.3.2网关节点设备安全
    本项要求包括:
    a)应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力;
    b)应具备过滤非法节点和伪造节点所发送的数据的能力;
    c)授权用户应能够在设备使用过程中对关键密钥进行在线更新;
    d)授权用户应能够在设备使用过程中对关键配置参数进行在线更新。

    4.3.3抗数据重放
    本项要求包括:
    a)应能够鉴别数据的新鲜性,避免历史数据的重放攻击;
    b)应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。

    4.3.4数据融合处理
    应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。

    4.4安全运维管理

    4.4.1感知节点管理
    本项要求包括:
    a)应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护;
    b)应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定,并进行全程管理;
    c)应加强对感知节点设备、网关节点设备部署环境的保密性管理,包括负责检查和维护的人员调离工作岗位应立即交还相关检查工具和检查维护记录等。

    5工业控制系统安全扩展要求

    5.1安全物理环境

    5.1.1室外控制设备物理防护
    本项要求包括:
    a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;
    b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。

    5.2安全通信网络

    5.2.1网络架构
    本项要求包括:
    a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
    b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应釆用技术隔离手段;
    c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

    5.2.2通信传输
    在工业控制系统内使用广域网进行控制指令或相关数据交换的应釆用加密认证技术手段实现身份认证、访问控制和数据加密传输。

    5.3安全区域边界

    5.3.1访问控制
    本项要求包括:
    a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务;
    b)应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。

    5.3.2拨号使用控制
    本项要求包括:
    a)工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并釆取用户身份鉴别和访问控制等措施;
    b)拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。

    5.3.3无线使用控制
    本项要求包括:
    a)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;
    b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;
    c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;
    d)对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。

    5.4安全计算环境

    5.4.1控制设备安全
    本项要求包括:
    a)控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;
    b)应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;
    c)应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理;
    d)应使用专用设备和专用软件对控制设备进行更新;
    e)应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。

    5.5安全建设管理

    5.5.1产品采购和使用
    工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。

    5.5.2外包软件开发
    应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。

    展开全文
  • 物联网安全综述报告

    万次阅读 多人点赞 2018-11-26 13:26:50
    文章目录物联网安全综述报告1. 物联网安全概述2. 物联网安全层次及其需求分析2.1 感知层概述及需求分析2.2 传输层概述及需求分析2.3 云服务层概述及需求分析2.4 应用层概述及需求分析3. 物联网安全特征及关键技术3.1...

    物联网安全综述报告

    1. 物联网安全概述

    随着“互联网 +”时代的到来,物联网发展迅猛,正在逐渐渗透到生活的各个领域之中, 物联网设备规模呈现爆发性增长趋势,万物互联时代正在到来,物联网安全的重要地位也在物联网快速的发展中愈加凸显。物联网根据业务形态可分为:工业控制物联网、车载物联网、智能家居物联网等三个部分,且不同的业务形态又对于安全具有不同的业务需求:

    • 工业物联网:主要涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击,全需求基本是传统安全的思路。
    • 车联网:涉及到驾车人生命安全,安全需求集中在车载核心物联网硬件安全上。
    • 智能家居:涉及到个人家庭隐私安全,安全需求更多的是对于隐私的保护上。

    根据惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,一些关键数据如下:

    80%的IOT设备存在隐私泄露或滥用风险;

    80%的IOT设备允许使用弱密码;

    70%的IOT设备与互联网或局域网的通讯没有加密;

    60%的IOT设备的web 界面存在安全漏洞;

    60%的IOT设备下载软件更新时没有使用加密;

    物联网在给我们带来便利的同时,物联网的设备、网络、应用等也在面临着严峻的安全威胁,例如:

    1. 2015年,两名网络安全专家通过中间人攻击的方式,对高速公路上的吉普车实现了远程控制(例如,控制空调、收音机、挡风玻璃刮水器和制动器等)。这次袭击展示了中间人攻击的危害性,也导致厂商召回了140万辆汽车。;
    2. “水滴直播”、“海康威视”事件中的摄像头遭到入侵而被偷窥;
    3. 美国制造零日漏洞病毒,利用 “震网”攻入伊朗核电站,破坏伊朗核实施计划等;
    4. 2015年,英国的网络供应商Talk Talk遭受几个网络安全漏洞的攻击,导致未经加密存储的客户数据暴露在云端。黑客能够轻松访问和窃取数百万客户的信用卡和银行详细信息。

    物联网因为其具有开放性、多源异构性、泛在性等特性,所以物联网的安全关系到个人、家庭、社会、乃至国家的安全,种种安全威胁的出现,也在不断的提醒着我们:万物互联,安全先行。

    2. 物联网安全层次及其需求分析

    物联网的安全层次可分为:感知层(设备层)、网络层(传输层)、平台层(云服务层)和应用层。(每个层次可能名字会有所不同,但是基本的功能和职责范围大致相同)。如图所示:
    在这里插入图片描述

    图2-1 物联网安全架构图

    2.1 感知层概述及需求分析

    感知层又称为设备层,在物联网中主要负责对信息的采集、识别和控制,由感知设备和网关组成。主要的感知设备包括:RFID装置、各类传感器、图像捕捉装置、GPS等。

    感知层所面临的安全威胁主要包括以下几个方面:

    (1)操作系统或者软件过时,系统漏洞无法及时的修复。

    (2)感知设备存在于户外、且分散安装,容易遭到物理攻击,被篡改和仿冒导致安全性丢失。

    (3)接入在物联网中的大量的感知设备的标识、识别、认证和控制问题。

    (4)隐私的泄露,RFID标签、二维码等的嵌入,使物联网接入的用户不受控制地被扫描、追踪和定位,极大可能的造成用户的隐私信息的泄露。

    loT中对于感知层的安全设计具有以下的需求:

    (1)物理防护:需要保护终端的失窃和从物理攻击上对于感知设备进行复制和篡改。另外,确保设备在被突破后其中全部与身份、认证以及账户信息相关的数据都被擦除,这将使得相关信息不会被攻击者利用;

    (2)节点认证:终端节点的接入,需要进项进项验证,防止非法节点或者被篡改后的节点接入;

    (3)机密性:终端所存储的数据或者所需要传输的数据都需要进行加密,因为目前大多数的传感网络内部是不需要认证和进行密钥管理的;

    (4)设备智能化:设备必须具有鲁棒性,并且能够在有限的支持下进行现场操作,且能边缘处理,意味着敏感信息不需要上传到云端,因此在设备层处理数据有助于强化整个网络。

    2.2 传输层概述及需求分析

    传输层又称为网络层,是连接感知层和应用层的信息传递网络,即安全地发送/接收数据的媒介。传输层的主要功能是将由感知层采集的数据传递出去。主要包含的通信的技术有:短距离的通信有Wi-Fi、RFID、蓝牙等;长距离的主要有:互联网、移动通信网和广域网等。

    因为物联网的传输层是一个多网络重合的叠加型开放性网络,所以其具有比一般的网络更加严重的安全问题:

    (1) 对服务器所进行的DOS攻击、DDOS攻击;

    (2) 对网络通信过程进行劫持、重放、篡改等中间人攻击;

    (3) 跨域网络攻击;

    (4) 封闭的物联网应用/协议无法被安全设备识别,被篡改后无法及时发现;

    loT中对于传输层的安全设计具有以下的需求:

    (1)数据机密性:需要保证数据的机密性,从而确保在传输过程中数据或信息的不泄露;

    (2)数据完整性:需要保证数据在整个传输过程中的完整性,从而确保数据不会被篡改,或者能够及时感知或分 辨被篡改的数据;

    (3)DDOS、DOS攻击的检测与预防:DDOS攻击为物联网中较为常见的攻击方式,要防止非法用户对于传感网络中较为脆弱的节点发动的DDOS攻击,从而避免大规模的终端数据的拥塞。

    (4)数据的可用性:要确保通信网络中的数据和信息在任何时候都能提供给合法的用户。

    2.3 云服务层概述及需求分析

    云服务层又称为平台层,更具功能又可划分为:终端管理平台、连接管理平台、应用开发平台、和业务分析平台。主要的功能是将从感知层获取到的数据进行分析和处理,并进行控制和决策,同时将数据转换为不同的格式,以便于数据的多平台共享。

    其所主要面临的安全问题有:

    (1)平台所管理的设备分散、容易造成设备的丢失以及难以维护等;

    (2)新平台自身的漏洞和API开放等引入新的风险;

    (3)越权访问导致隐私数据和安全凭证等泄露;

    (4)平台遭遇DDOS攻击以及漏洞扫面的风险极大;

    loT中对于云服务层的安全设计具有以下的需求:

    (1)物理硬件环境的安全:为了保证整个平台的平稳运行,我们需要保证整个云计算、云储存的环境安全和设备设施的可靠性。

    (2)系统的稳定性:主要是指在遭到系统异常时,系统是否具有及时处理、恢复或者隔离问题服务的灾难应急机制。

    (3)数据的安全:这里的数据安全更多的是指在数据的传输交互过程中数据的完整性、保密性和不可抵赖性。因为云服务层无时无刻都在跟数据进行"打交道",所以数据的安全时至关重要的。

    (4)API安全:因为云服务层需要对外提供相应的API服务,所以保证API的安全,防止非法访问和非法数据请求是至关重要的,否则将极大的消耗数据库的资源。

    (5)设备的鉴别和验证:需要具有可靠的密钥管理机制,从而来实现和支持设备接入过程中安全传输的能力,并能够阻断异常的接入。

    (6)全局的日志记录:需要具有全局的日志的记录能力,让系统的异常能够完整的进行进行,以便后面的系统升级和维护。

    2.4 应用层概述及需求分析

    应用层是综合的或有个体特性的具体业务层。因为应用层是直接面向于用户,接触到的也是用户的隐私数据,所以也是风险最高的层级。

    应用层所面临的安全威胁有:

    (1)如何根据不同的权限对同一数据进行筛选和处理;

    (2)实现对于数据的保护和验证;

    (3)如何解决信息泄露后的追踪问题;

    (4)恶意代码,或者应用程序本身所具有的安全问题;

    loT中对于应用层的安全设计具有以下的需求:

    (1)认证能力:需要能够验证用户的合法性,防止非法用户假冒合法用户用的身份进行非法访问,同时,需要防止合法用户对于未授权业务的访问;

    (2)隐私保护:保护用户的隐私不泄露,且具有泄漏后的追踪能力;

    (3)密钥的安全性:需要具有一套完整的密钥管理机制来实现对于密钥的管理,从而代替用户名/密码的方式;

    (4)数据销毁:能够具有一定的数据销毁能力,是在特殊情况下数据的销毁。

    (5)知识产权的保护能力:因为应用层是直接对接与用户,所以需要具有一定的抗反编译的能力,从而来实现知识产权的保护。

    3. 物联网安全特征及关键技术

    3.1 物联网安全特征

    我们从上面关于物联网安全层次的分析中可以看出,物联网的从信息的采集、汇聚、传输、决策、控制整个过程中都面临了大量的安全问题,这些安全问题都具有以下几个方面的特征:

    (1)多源异构性及智能化不足:在物联网的感知层中,感知节点存在多源异构,各个厂商提高和使用的协议都存在一定的差异,没有特定的标准,导致无法进行统一的安全设计。同时,感知设备的功能简单,无法进行复杂的安全保护工作。

    (2)核心网络的传输和数据的安全:在物联网网络中,核心网络具有一定的相对完整的保护机制,但是物联网节点以集群的方式存在,且数量庞大,各个节点之间的安全就无法保障,且当大量数据传回中心节点时,容易造成网络拥塞,从而造成拒绝服务的情况。

    3.2 物联网安全关键技术

    物联网作为互联网的延伸,融合了多种网络的特点,物联网安全自然就会涉及到各个网络的不同层次,在这些网络中,已经应用了多种与安全相关的技术,下面是关于这些安全技术的一些梳理:

    (1)数据处理与安全:物联网除了面临数据采集的安全外,还需要面对信息的传输过程的私密性以及网络的可靠、可信和安全。物联网能否大规模的应用很大程度上取决于是都能够保障用户数据和隐私的安全;

    (2)密钥管理机制:密钥系统是安全的基础,是实现感知信息隐私保护的手段之一;

    (3)安全路由协议:物联网的路由需要经过多类路由,所以主要面临的问题就是多协议路由的融合问题,以及传感网络的安全路由;

    (4)认证与访问控制:认证是物联网安全的第一道防线,主要是证明“我是我”的问题,能够有效的防止伪装类用户。同时,对于消息的认证能够有效的确保信息的安全有效。同时访问控制是对合法用户的非法请求的控制,能够有效的减少隐私的泄露。

    (5)入侵检测和容错机制:物联网系统遭到入侵有时是不可避免的,但是需要有完善的容错机制,确保能够在入侵或者非法攻击发生时,能够及时的隔离问题系统和恢复正常的功能。

    (6)安全分析和交付机制:除了能够防止现有可见的安全威胁外,物联网系统应该能够预测未来的威胁,同时能够根据出现的问题实现对设备的持续的更新和打补丁。

    4. 物联网安全发展趋势

    随着物联网迅猛发展的同时,物联网安全也成为了最大的痛点。在物联网安全时间频发的背后,也证明了在物联网安全领域存在着巨大的机遇。根据调查研究公司MarketsandMarkets预计,2020年全球的物联网安全时候出那个将从2015年的68.9亿美元增长至289亿美元。目前物联网安全具有以下几大趋势:

    (1)物联网勒索软件和“流氓软件”将越来越普遍:黑客利用网络摄像头这样的物联网设备,将流量导入一个携带流氓软件的网址,同时命令软件对用户进行勒索,让用书赎回被加密的泄露的数据。

    (2)物联网攻击将目标瞄准数字虚拟货币:虚拟货币因为其的私密性和不可追溯性,近年来市值的不断飙升,自然物联网的攻击者们也不会放过这一巨大的市场,目前已经发现了物联网僵尸网络挖矿的情况剧增,导致黑客甚至利用视频摄像头进行比特币挖矿。

    (3)迎来量子计算时代,安全问题应该得到更加的重视:今年全球软件企业的量子计算竞赛更趋白热化。短短几个月内,英特尔公司就造出了包含 17 个量子位的全新芯片,而且已经交付测试;微软公司也详细展示了用于开发量子程序的新型编程语言;IBM 公司则发布了50个量子位的量子电脑原型。Louis Parks是物联网安全软件公司 SecureRF 的首席执行官,他认为,在这些科技进步影响下,量子计算可能会在十年内实现商业化,化解量子计算可能存在的安全威胁显得更为紧迫。

    (4)大规模入侵将被“微型入侵”替代:“微型入侵”与大规模或者“综合性攻击”不同的是,它瞄准的是物联网的弱点,但是规模较小,能逃过目前现有的安全监控。它们能够顺应环境而变,进行重新自由的组合,形成新的攻击,例如: IoTroop。

    (5)物联网安全将更加的自动化和智能化:当物联网的规模明显扩大,覆盖到了成千上万台设备级别时,可能就难以做好网络和收集数据的管理工作。物联网安全的自动化和智能化可以监测不规律的流量模式,由此可能帮助网络管理者和网络安全人员处理异常情况的发生。

    (6)对感知设备的攻击将变得无处不在:物联网算是传感器网络的一个衍生产品,因此互联网传感器本身就存在潜在安全漏洞。黑客可能会尝试向传感器发送一些人体无法感知的能量,来对传感器设备进行攻击。

    (7)隐私保护将成为物联网安全的重要组成部分:一方面物联网平台需要根据用户的数据提供更加便捷、智能的服务,另一方面,对于用户隐私数据的保护又成为了重中之重。

    5. 物联网安全技术探索

    随着物联网安全的快速发展,发起攻击的方式越来越多样化,所以新技术在应用在物联网安全中心显得愈发的重要。

    5.1 去中心化认证

    传统的中心化系统中,信任机制比较容易建立,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多,未来可能会达到百亿级别,这会对可信第三方造成很大的压力。区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。在物联网环境中,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。

    5.2 大数据安全分析

    利用大数据分析平台对物联网安全漏洞进行挖掘。挖掘主要关注两个方面,一个是网络协议本身的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。在现在的物联网行业中,各类网络协议被广泛使用,同时这些网络协议也带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘,先于攻击者发现并及时修补漏洞,有效减少来自黑客的威胁,提升系统的安全性。

    5.3 轻量化防护技术

    对于一些微型的入侵攻击,庞大的安全系统难以察觉,并且短时间内做出反应,这时就需要要一些相对轻量化的安全机制,能够做到对于入侵的快速反应,避免损失的扩大。同时轻量化的防护技术,能够更好的兼容不同物联网产品生产商的协议冲突。

    6. 参考文献

    1. IBM,《IBM 观点:物联网安全》,2015
    2. 绿盟科技,《2017 物联网安全研究报告》,2017
    3. 魅影儿,《物联网安全风险威胁报告》,2017
    4. George Cora,《四大层次、六大原则解析物联网安全架构》,2017
    5. 武传坤,《物联网安全架构初探》,2010
    6. 弈心逐梦,《物联网安全的安全需求分析》, 2017
    7. 杨庚,《南京邮电大学学报(自然科学版):物联网安全特征与关键技术》,2010
    8. Brian Buntz,《2018年 IoT 安全八大趋势》,2017
    9. 优软众创平台,《物联网安全八大关键技术》,2017
    10. 《中国区块链技术和应用发展白皮书(2016)
    11. 电子发烧友论坛,《2017年物联网安全的六大趋势以及对策》,2017
    展开全文
  • 目录1 大数据面临的机遇1.1大数据技术促进国家和社会发展1.2大数据成为企业竞争的新焦点1.3 大数据技术为数据安全技术的研究提供了技术支持2 大数据给信息安全带来新挑战2.1 大数据技术与数据安全技术不匹配2.2 ...
  • 目录 云计算基础(Cloud Essentials): 安全(Security): 大数据(Data Technology): 人工智能(AI): 企业应用(Enterprise Applications): 物联网(IOT): 云计算基础(Cloud Essentials): 云...
  • 1.信息安全管理中根据控制的预定意图可分为:预防性访问控制(事前控制)、检查性访问控制(事中控制)、纠正性访问控制(事后控制)。 2.商用密码技术是指能够实现商用密码算法的加密、解密和认证等功能的技术,包括密码...
  • 第二章 5G三大应用场景(外在服务) 2.1 eMBB 增强移动宽带 2.2 URLLC 超可靠低时延通信 2.3 mMTC 海量机器通信 第章 5G的四大特征 (内在) 3.1 泛在(网络自身的存在) 3.2 低功耗 3.3 网络虚拟化 3.4 ...
  • 目录 网络安全逻辑思维图 介绍 网络入侵检测 传统NIDS 开源 SNORT 大型全流量NIDS 关于D还是P 对厂商的建议 T级DDoS防御 DDoS分类 多层防御结构 不同类型的企业 不同类型的业务 服务策略 NIPS场景 ...
  • 级计算机信息安全基础知识

    千次阅读 多人点赞 2019-05-17 09:11:01
    历史 1.1949年 Shannon(香农)撰写《保密系统的通信理论》 2.1999年9月13日,由国家公安部提出并组织制定,国家质量...第级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 基础概念 自主...
  • 大型网站核心要素之前我们介绍了4个,今天讲讲这最后一个:安全性,从互联网诞生开始,安全威胁就一直伴随着网站的发展,各种web攻击和信息泄露也从未停止,那么我们今天就从下面这几点谈谈网站架构的安全性:网站...
  • 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等;     8.1.6.2 管理制度 a) 应对安全管理活动中的各类管理内容建立安全管理制度;     b...
  • 目录 1 线程上下文加载器 2 何时使用Thread.getContextClassLoader()? 3 加载器与Web容器 4 加载器与OSGi 总结 1 线程上下文加载器  线程上下文加载器(context class loader)是从 JDK 1.2 开始...
  • Taobao网的目录分类结构

    千次阅读 2009-09-11 09:58:05
    ----:防护手套 ----:安全帽 ----:眼罩 --:竹炭用品 ----:竹炭保健枕 ----:腕垫 ----:座垫 ----:竹醋皂 ----:鞋塞/鞋垫 ----:竹醋液 ----:空气净化包 ----:SPA浴用炭 ----:眼罩 ----:腰带/护腰带 ----:冰箱除味 ----:...
  • 本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,...
  • 最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常...
  • 提高微服务安全性的11个方法

    千次阅读 多人点赞 2020-12-21 08:41:47
    目录 为什么选择微服务? 1.通过设计确保安全 OWASP 2.扫描依赖 3.随处使用HTTPS 安全的GraphQL API 安全的RSocket端点 4.使用身份令牌 授权服务器:多对一还是一对一? 在JWT上使用PASETO令牌 5.加密和...
  • 网络安全工具合集

    千次阅读 2019-09-27 08:03:40
    导语:这里有一份很棒的黑客工具列表可以提供给黑客,渗透测试人员,安全研究人员。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更新。这里有一份很棒的黑客工具列表可以提供给...
  • 定义:虚拟机把描述的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的java类型。加载和连接的过程都是在运行期间完成的。 二. 的加载方式 1):本地编译好的...
  • 级等保成标配,互联网医院安全架构报告发布 原创动脉网2020-09-24 10:43:19 互联网医院本身处于互联网环境中,随时面临着未知人员的恶意访问与攻击行为,自身的安全性难以保障。2018年7月国家卫生健康委员会、...
  • 全国学生信息安全竞赛知识问答-CISCN题库

    万次阅读 多人点赞 2020-08-19 13:42:16
    1. 强制访问控制的Bell-Lapadula模型必须给主、客体标记什么?(D) A、安全类型 B、安全特征 C、安全标记 D、安全级别 2. 下面的哪个概念也...4. 信息系统的安全运维活动是以基础设施和信息系统为对象,以日常运维、
  • 目录[-]  借助于Spring Security的强大基础配置功能以及内置的认证功能,我们在前面讲述的步配置是很快就能完成的;它们的使用是通过添加auto-config属性和http元素实现的。 请求是怎样被处理的? 在auto-...
  • 安全要求 要求 安全控制点 具体内容 安全通用要求 技术要求 安全物理环境 1、物理位置选择 a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在...
  • 3.你获取网络安全知识途径有哪些? 4.什么是CC攻击? 5.Web服务器被入侵后,怎样进行排查? 6.dll文件是什么意思,有什么用?DLL劫持原理 7.0day漏洞 8.Rootkit是什么意思 9.蜜罐 10.ssh .....
  • 我们也非常关心就是如何对关键信息基础设施来落实《网络安全法》,通过等级保护这样一个基础来保护好关键信息基础设施。等保已经有十年的基础了,等保现在面临新的技术也是在不断的在反思和完善,由于有了《网络安全...
  • 安全基础--22--安全测试

    万次阅读 2018-10-04 21:35:37
    自动化扫描:系统层漏洞部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在了解现状和基本需求的情况下,...
  • 如果这个员工完全不动电脑里面的设置还好办,偏偏部分员工却是喜欢在自已的电脑上搞点"个性化"之,这就令网管人员的维护工作更显复杂化。实际上,一个网管人员能够维护25台主机软硬件就很已经是超负荷了,而在...
  • [转]信息安全相关理论题()

    千次阅读 2019-02-18 15:49:51
    22、安卓反编译后会出现$符号字节码表示是匿名内部? A、 对 B、 错 您的答案: 标准答案: A 23、反编译安卓应用后,一般应该先查看哪一个smali文件的代码? A、 编译程序打开控制台 B、 打开匿名smali文件 C、 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 18,761
精华内容 7,504
关键字:

安全设施目录三大类