2020软考 信息安全工程师(第二版)学习总结【九】
第十三章 网络安全漏洞防护技术原理与应用
网络安全漏洞概述
- 网络安全漏洞概念
- 又称为脆弱性,简称漏洞,致使网络信息系统安全策略相冲突的缺陷
- 根据漏洞补丁情况:分为普通漏洞和0day漏洞
- 网络安全漏洞危害
- 敏感信息泄露、权限提升、非授权访问、身份假冒、拒绝服务等
- 国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)
网络安全漏洞分类与管理
网络安全漏洞来源
- 非技术性安全漏洞:主要涉及管理组织结构、管理制度、管理流程、人员管理
- 网络安全责任主体不明确
- 网络安全策略不完备
- 网络安全操作技能不足
- 网络安全监督缺失
- 网络安全特权控制不完备
- 技术性安全漏洞:主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统
- 设计错误
- 输入验证错误
- 缓冲区溢出
- 意外情况处置错误
- 访问验证错误
- 配置错误
- 竞争条件
- 环境错误
- 非技术性安全漏洞:主要涉及管理组织结构、管理制度、管理流程、人员管理
网络安全漏洞分类分级
国际上认可CVE漏洞分类和CVSS漏洞分级标准
CVE ID其格式由年份数字和其他数字组成
CVSS是一个通用漏洞计分系统
国内有CNNVD、CNVD
CNNVD漏洞分类框架
CNVD漏洞分类
- 11种漏洞类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误
- 漏洞分级:高、种、低
OWASP TOP10漏洞分类
- OWASP组织发布了有关Web应用程序的前十种安全漏洞
网络安全漏洞发布
- 发布形式:网站、电子邮件以及安全论坛
- 发布内容:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等
- 示例:
网络安全漏洞获取
- CERT:世界上第一个计算机安全应急响应组织
- Security Focus Vulnerability Database:漏洞信息库
- CNNVD:国家信息安全漏洞库
- CNVD:国家信息安全漏洞共享平台
- 厂商漏洞信息
网络安全漏洞管理过程
- 网络信息系统资产确认:资产确认
- 网络安全漏洞信息采集:资产收集
- 网络安全漏洞评估:安全评估
- 网络安全漏洞消除和控制:漏洞修复
- 网络安全漏洞变化跟踪:持续更新资产并监控已修复漏洞
网络安全漏洞扫描技术与应用
- 主机漏洞扫描技术
- 不需要建立网络连接就可进行扫描
- 原理:通过检查本地系统中关键性文件的内容及安全属性,来发现漏洞
- 常见扫描器:COPS,Tiger(UNIX),MBSA(Windows)
- 网络漏洞扫描技术
- 原理:与待扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查
- 常见扫描器:Nmap,Nessus,X-scan
- 专用漏洞扫描器
- Web漏洞扫描技术
- 数据库漏洞扫描技术
- 网络安全漏洞扫描应用
- 常用于网络信息系统安全检查和风险评估
网络安全漏洞处置技术与应用
网络安全漏洞发现技术
- 文本搜索、词法分析、范围检查、状态机检查、错误注入、模糊测试、动态污点分析、形式化验证等
网络安全漏洞修补技术
- 系统的、周而复始的工作
网络安全漏洞利用防范技术
- 地址空间随机化技术(ASLR)
- 数据执行阻止
- SEHOP
- 堆栈保护
- 虚拟补丁
网络安全漏洞防护主要技术指标与产品
- 网络安全漏洞扫描器
- 产品技术原理:
- 利用已公开的漏洞信息及特征,通过程序对目标系统进行自动化分析,确认目标系统是否存在相应的安全漏洞。
- 技术指标:
- 漏洞扫描主机数量:有无IP或域名限制
- 漏洞扫描并发数
- 漏洞扫描速度
- 漏洞检测能力:误报率
- 数据库漏洞检查功能:对不同数据库的支持程度
- Web应用漏洞检查功能
- 口令检查功能
- 标准兼容性
- 部署环境难易程度
- 产品技术原理:
- 网络安全漏洞服务平台
- 产品: 漏洞盒子,补天
- 网络安全漏洞防护网关
- 产品原理:通过从网络流量中提取和识别漏洞利用特征模式
- 技术指标:
- 阻断安全漏洞攻击的种类与数量
- 阻断安全漏洞攻击的准确率
- 阻断安全漏洞攻击的性能
- 支持网络带宽的能力
2020软考 信息安全工程师(第二版)学习总结【九】相关推荐
- 2020软考 信息安全工程师(第二版)学习总结【一】
第一章 网络信息安全概述 网络信息安全基本属性 机密性 : 不被泄露 完整性 : 不被篡改 可用性 抗抵赖性 可控性 网络信息安全现状与问题 网络信息安全状况:环境/攻击类型复杂,APT常态化 网络信 ...
- 2020软考 信息安全工程师(第二版)学习总结【二】
第四章 网络安全体系与网络安全模型 网络安全体系概述 网络安全体系概念 网络安全体系包括法律法规政策文件.安全策略.组织管理.技术措施.标准规范.安全建设与运营.人员队伍.教育培训.产业生态.安全投入 ...
- 2020软考 信息安全工程师(第二版)学习总结【十五】
第十九章 操作系统安全保护 操作系统安全概述 操作系统安全概念 满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资 ...
- 2020年软考信息安全工程师考试学习资料包
信息安全工程师自2016年11月首次开考,目前已开考了四次,即2016年11月,2017年5月,2018年5月,2019年5月. 2020年软考信息安全工程师考试学习资料包 https://www.m ...
- 软考信息安全工程师学习笔记汇总
软考信息安全工程师学习笔记汇总 https://www.moondream.cn/?p=178 2020年软考信息安全工程师备考学习资料包 1.<信息安全工程师教程>重点标记版 2.& ...
- 2023年软考信息安全工程师备考学习笔记汇总
信息安全工程师分属"信息系统"专业,位处中级资格,2016年下半年,第一次开考信息安全工程师(中级)考试.目前每年考试一次.已开考六次,2016年11月12日,2017年5月20日 ...
- 2021年软考信息安全工程师下午真题(考生回忆版)
如有完整真题或更全的大佬,请在下面留言.万分感谢! 参考答案为个人理解和回忆,如有错误请在下方留言,感谢! 真题内容为考生回忆,只供学习交流使用,请勿用于商业用途! 2021年下午一共四道题 第一题 ...
- 软考信息安全工程师学习笔记目录
软考信息安全工程师学习笔记目录 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料. 备考交流QQ群:39460595 2019年软考信息安全工程师备考学习资料包 1.<信息安全工 ...
- 视频教程-2020年软考信息安全工程师_基础知识精讲软考视频培训课程-软考
2020年软考信息安全工程师_基础知识精讲软考视频培训课程 河北师范大学软件学院优秀讲师,项目经理资质,担任操作系统原理.软件工程.项目管理等课程教学工作.参与十个以上百万级软件项目管理及系统设计工作 ...
最新文章
- 9 大主题卷积神经网络(CNN)的 PyTorch 实现
- java数据类型指定长度_判断(2分) Java的各种数据类型占用固定长度,与具体的软硬件平台环境无关...
- HBase性能优化方法总结(2):表的设计
- 论文浅尝 | 将文本建模为关系图,用于联合实体和关系提取
- hadoop eclipse plugin windows下载集合
- asp.net 中的几种计时器
- QPushButton/QLabel在鼠标悬浮(划过, hover)、选中(单击, pressed)状态下更换图标样式
- 查找文件夹下图片的数量
- Windows无法安装到磁盘磁盘具有MBR分区表的解决
- iOS 【陀螺仪 自身旋转角水平面夹角 问题】
- Matlab中_pkg.exe,pkg是什么文件?pkg文件怎么安装?
- 商标是否占用查询方法、阿里云商标注册方法
- Android Studio模拟器使用sqlite3建立SQLite数据库
- 【转】人生如梦游戏间,RPG游戏开源开发讲座(JAVA篇)[0]——月晕础润
- 【考研英语语法】十大词性
- 许远东:世界上只有2种流量,人找货和货找人,元宇宙机会在哪里
- python库声纹_什么是声纹数据库?
- 进入 32 位时代,谁能成为下一个8051?
- 微型计算机原理跟什么有关,微机原理 课后题 标准答案
- mvc获取ajax上传base64文件,Spring MVC+ajax+base64+amazeui框架上传头像带裁剪功能