网络安全基础知识应知应会.pdfVIP

网络安全基础知识应知应会

1.什么是渗透测试?

在合法且得到授权的前提下，测试计算机系统、网络或Web应用程序以发

现攻击者可能利用的安全漏洞的实践。

2.网络安全法经中华人民共和国第十二届全国人民代表大会常务委员会第二十

四次会议于（两个时间）2016年11月7日通过

2017年06月1日起正式施行。

3.《信息系统安全等级保护实施指南》分五个级别：

1.自主保护级2.指导保护级3.监督保护级4.强制保护级5.专控保护级

4.网络安全法的意义（四个意义）

1.明确了部门、企业、社会组织和个人的权利、义务和责任。

2.规定了国家网络安全工作的基本原则、主要任务和重大指导四项理念。

3.将成熟的政策规定和措施上升为法律，为政府部门的工作提供了法律依据，体

现了依法执政、依法治国系列要求。

4.建立了国家网络安全的一系列基本制度，这些基本制度具有全局性、基础性特

点，是推动工作、防范重大风险所必需

5.网络安全法的两个重要概念

“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、

公共服务、电子政务等重要行业和领域、以及其他一旦遭到破坏、丧失功能或者

数据泄露、可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

“信息安全等级保护”是对信息和信息载体按照重要性等级分级别进行保护的

一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，

信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等

级保护四项的安全工作；狭义上一般指信息系统安全等级保护。

6.网络安全法突出（6个）亮点

网络安全法共有七章79条，归纳总结大概有六方面突出亮点：

1.明确了网络空间主权的原则。

2.明确了网络产品和服务提供者的安全义务。

3.明确了网络运营者的安全义务。

4.进一步完善了个人信息保护规则。

5.建立了关键信息基础设施安全保护制度。

6.确立了关键信息基础设施重要数据跨境传输的规则。

7.信息安全等级保护制度遵循以下基本（4个）原则：

一、自主保护

二、同步建设

三、重点保护

四、适当调整

8.按渗透目的分四类渗透

1主机操作系统渗透

对Windows、Solaris、AIX、Linux、SCO、SG等操作系统本身进行渗透测试。

2数据库系统渗透

对MS-SQL、Oracle、MySQL、Informix、DB2、Access等数据库应用系统进行渗透

测试。

3应用系统渗透

对渗透目标提供的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用进行

渗透测试。

4网络设备渗透

对各种防火墙、入侵检测系统、网络设备进行渗透测试。

9.渗透测试的八步骤

明确目标-信息收集-漏洞探测-漏洞验证-信息分析-获取所需-信息整理-形成报告

干什么收集找可以攻击成功回顾报告

10.应用程序安全测试

静态应用安全测试（SAST）:

在开发阶段对源代码进行安全测试发现安全漏洞的测试方案，通常在编码阶

段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序

代码存在的安全漏洞。

动态应用安全检测（DAST）:

是一种黑盒测试技术，是目前应用最广泛、使用最简单的一种应用安全测试

方法，模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定

该Web应用是否易受攻击，主要用于测试应用程序的功能点，测试人员无需具

备编程能力，无需了解应用程序的内部逻辑结构，不区分测试对象的实现语言，

采用攻击特征库来做漏洞发现与验证，能发现大部分的高风险问题。

交互式应用安全测试（IAST）

融合了DAST和SAST的优势，漏洞检出率极高、误报率极低，同时可以定位

到API接口和代码片段，模式种类较多，常见的有代