前言:在tryhackme上学习渗透测试基础,故记录一下
1 网络安全框架
概念:
网络安全框架是一套结构化的方法、工具和技术,用于保护计算机网络和系统免受各种网络威胁和攻
击。它的主要目标是提供一种综合性的解决方案,以确保网络的机密性、完整性和可用性。
网络安全框架通常涵盖以下方面:
1 风险评估和管理:网络安全框架帮助组织评估和管理网络中存在的潜在风险。这包括识别和评估各种
威胁、漏洞和弱点,并采取相应的措施来减少和管理这些风险。
2 访问控制:网络安全框架确保只有授权用户可以访问网络资源和系统。它包括身份验证、授权和权限
管理等功能,以确保只有合法用户可以使用网络资源。
3 网络监测和检测:网络安全框架提供实时的监测和检测机制,以识别网络中的异常活动和潜在的安全
威胁。它使用各种技术,如入侵检测系统(IDS)、入侵预防系统(IPS)和安全信息和事件管理
(SIEM)等。
4 数据保护和加密:网络安全框架提供数据保护和加密的机制,以确保敏感数据在传输和存储过程中的
机密性和完整性。它包括使用加密算法、访问控制和数据备份等措施。
5 应急响应和恢复:网络安全框架定义了应急响应和恢复计划,以应对安全事件和攻击。它包括实施紧
急措施、恢复系统和数据,并进行事后调查和分析等。
综上所述,网络安全框架提供了一个综合的方法和工具集,用于保护计算机网络和系统免受各种网络威
胁和攻击,并确保网络的机密性、完整性和可用性。它帮助组织评估和管理风险、实施访问控制、监测
和检测异常活动、保护数据和应对安全事件。
列举几个常见的网络安全框架吧
1 OSSTMM
2 OWASP
3 NIST Cybersecurity Framework 1.1
4 NCSC CAF
想要深入了解的可以去搜一搜具体的信息
2 测试的作用域
测试应用程序或者服务时有三个主要作用域,黑盒测试,灰盒测试,白盒测试
2.1 黑盒测试
在黑盒测试中,测试人员不会有程序或者网页内部工作方式的任何信息,黑盒测试完全模拟黑客的攻击
过程,测试人员充当常规用户,测试应用程序或者然间的功能和交互,通过与界面的交互,查看是否符
合预期。
2.2 灰盒测试
测试人员在了解部分内部代码的前提上对程序或者网页进行的测试,在测试功能的同时也会考虑部分的
内部逻辑,灰盒测试偏向于企业内部安全测试。
2.3 白盒测试
测试人员为专业的开发人员,可以看见和分析源代码、算法和数据结构等,以便设计测试用例来验证软
件是否正确执行,进一步发现隐藏的错误。白盒测试偏向于开发,对代码的逻辑、质量进行安全测试。
标签:网络安全,黑盒,框架,渗透,基础,网络,测试人员,测试 From: https://www.cnblogs.com/rpup/p/17773232.html