NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

应对攻击的分阶段渗透测试完全手册

作者:陈峻 来源:国家网络空间安全人才培养基地

渗透测试不仅仅是一个基本的测试过程,它也可以被视为一种预防性的方法,可用来发现和检测各种安全缺陷和不同症状。本文将向您介绍渗透测试的整体目标、频率、不同的执行阶段、以及存在的不足。

您是否听说过鱼叉式捕鱼(spearfishing)?它是一种针对特定公司或人群的,以窃取敏感信息或控制网络为目的的,电子邮件类欺骗攻击。根据一项最新的研究表面,每年发生在全球各处的,针对各类企业的黑客攻击事件中,有95%都与鱼叉式捕鱼有关。

上图展示了2020年第一季度,全球范围内受到网络钓鱼攻击次数最多的国家排名信息。其中,委内瑞拉因有20.53%的网络用户受到了网络钓鱼攻击,名列这张表单榜首。该表中的数据来自根据美国国家统计局(https://www.statista.com/statistics/266362/phishing-attacks-country/)。

当然,近年来,随着鱼叉式网络钓鱼等各类攻击的日益增多,企业开始更加关注手头上应用程序和软件产品的安全态势。他们在开发安全可靠的软件应用的同时,希望能够避免由于某些无形和有形的错误,而导致最终产品出现重大的安全缺陷。因此,为了及时发现应用程序中存在的漏洞,以及缩小易受攻击面,我们需要通过模拟黑客、及其行为,来开展频繁且彻底的渗透测试,发现目标IT环境中的潜在安全漏洞,进而予以整改。

渗透测试的目标

总体而言,渗透测试(或称Pen testing)是为了发现风险和漏洞,通过深入检测与挖掘目标在任何合法攻击形式下,可能受到的危害程度。通常,渗透测试会涉及到针对服务器、网络、防火墙、主机等硬件,以及各种软件,识别与发现知名漏洞,并评估其实际威胁的程度。

除了确定目标之外,渗透测试方法还可以被用于评估系统中存在的可疑后门机制,提高应对不同类型的意外、或恶意攻击的能力。因此,企业可以从如下方面受益于渗透测试:

通过检测各类漏洞可能产生的影响,将其汇总产生报表。

检查最新控制措施的配置与执行情况,确保其实施的有效性。

调动人员、软硬件资源,通过开发管控措施,来加固应用程序、基础设施、以及流程中的弱点。

在用户输入端执行全面的模糊测试,以衡量应用程序输入验证控件的有效性,并确保只接受经过“消毒”过滤的输入值。

可以发现不同团队在入侵响应上的不足,进而通过改进内部事件响应流程,提高安全事件的响应效率。

渗透测试的频率

渗透测试的频率取决于许多因素,包括:行业类型、网络技术、以及法规合规等方面。通常情况下,如果发生以下任一情况,我们都应立即安排执行渗透测试:

网络或基础设施发生重大变化

刚打上了安全修补程序

增添了新的应用程序或基础设施

更改了办公室的位置,以及对应的网络

新颁布了行业法律与法规

新的威胁或漏洞被媒体披露

如何执行渗透测试?

我们可以通过如下三种方法,开展系统性的渗透测试:

自动渗透测试

手动渗透测试

自动+手动渗透测试

渗透测试的不同阶段

就像网络攻击有着既定的先后步骤那样,渗透测试也可以被分为不同的阶段。其中,每个阶段都有一个特定的目标,并为下一个阶段的攻击做好准备:

1.关键信息的收集

在这个研究阶段,软件测试(QA)人员可以从外部了解目标公司及其员工信息。如果是黑客的话,则会利用在线工具,或是其他类似的网络资源,来扫描并测试目标网站。

2.枚举和识别

在这个阶段,软件测试人员会深入研究目标网络,尽可能地搜索可能受到影响的服务、开放的端口、以及应用程序。根据已征得同意的渗透测试类型与程度,测试人员会收集并识别出目标企业的关键信息,进而发现环境中的切入点和漏洞。

3.漏洞扫描

通过前期的研究与准备,性能测试团队将在这个阶段采取手动与自动相结合的方式,扫描目标网络上的风险和漏洞。测试人员可以主要针对如下常见方面与部分,开展计划与测试:

业务关键资产

技术数据

客户数据

员工数据

对内部威胁和脆弱性的特定分类

外部威胁–网络协议、端口、网络流量、Web应用程序等

内部威胁 - 供应商、员工、管理层等

QA工程师通常会使用漏洞扫描器,来检测漏洞,并对其所构成的安全威胁进行记录。之后,QA测试人员将验证发现到的漏洞是否确实可能会被利用。全部的漏洞列表将在渗透测试结束的报告阶段被提交。

4.确定最佳攻击方法

所有前期准备工作都已准备就绪,QA专家将在这一阶段决定攻击面分析的最佳方式,通过评估风险和漏洞被利用的可能性,最终协同整个渗透测试团队制定出一整套攻击的完整方案。

5.渗透和利用

前一个阶段制定好的行动计划,会在这个阶段被实施到已发现的漏洞上,以开展获取敏感信息,发动DoS攻击,破坏目标系统的网络资源等攻击操作。具体而言,我们在这个测试阶段可以采取如下受控制的常见攻击策略:

物理攻击

网络攻击

Web应用攻击

Wi-Fi攻击

社会工程学

零日利用

基于内存的攻击

道德黑客还将记录和重新评估那些已被利用威胁或漏洞,在此基础上深入研究哪些攻击可能成为重要业务单元的最大隐患和风险点。最后,在利用阶段,这些道德黑客应也该清楚地分析出一旦此类重要单元被利用后,会产生何种后果。

6.风险分析和建议

上面五个阶段的主要目标是获悉和记录可能受到攻击的系统组件。为了保护它们所对应的有形、无形的,物理与信息的资产价值,QA测试人员要进行深入的风险分析。在此基础上,他们试着拟定包含了减少和修复目标环境安全漏洞和威胁的可行性建议。

值得注意的是,一旦测试完成,QA专家应及时、主动地清理被测环境,重新恢复和配置他们在测试期间所获取的准入权限,并通过必要的手段,阻止将来未授权访问的发生。

7.报告准备与目标

报告的编制应首先从总体性能测试流程开始,然后才是风险与漏洞对分析。报告中,我们需要对重要的风险与漏洞设定优先级,以便整改团队能够按照由高到低的顺序,依次进行跟踪和解决。当然,如下方面也需要被体现在报告中:

清晰地罗列出报告的要点,分门别类地展示测试中的发现

每个阶段都应列举出在渗透测试期间所收集的数据

对所有已识别的风险和漏洞提供完整的描述

完整地阐述管理意图和修复建议

声明该报告针对的是目标系统的当前态势,并提议持续进行安全性测试

渗透测试的不足

虽然优点居多,但是渗透测试也存在着如下客观上的缺点和潜在影响:

渗透测试可能会使系统陷入故障状态,甚至会导致系统的崩溃

测试的时间有限,且测试费用比较高

被测数据容易出现错误、损坏、甚至被“污染”

时间紧、任务急,有可能导致测试的范围受限,进而忽略了某些重要的部分和区域

渗透测试开源(免费)工具:

Wireshark - http://www.wireshark.org/

Nessus - http://www.wireshark.org/

OpenSSL - http://www.openssl.org/

Nmap - http://nmap.org/

Metasploit - http://www.metasploit.com/

小结

目前,云服务技术的发展为黑客和攻击者提供了各种各样的工具和资源,使得他们能够毫不费力地侵入各个系统和网络,给企业的商业信誉、资产和服务造成巨大的损失。渗透测试不仅仅是一个基本的测试过程,它也可以被视为一种预防性的方法,用来发现和检测各种安全缺陷和不同症状,进而将系统的潜在安全风险消减在未然。


原文标题:A Complete Guide to the Stages of Penetration Testing,作者: Niranjan Limbachiya

文章转自:51CTO.com


0
NISP管理中心

应对攻击的分阶段渗透测试完全手册

作者:陈峻 浏览: 发表时间:2020-11-25 09:27:55 来源:国家网络空间安全人才培养基地

渗透测试不仅仅是一个基本的测试过程,它也可以被视为一种预防性的方法,可用来发现和检测各种安全缺陷和不同症状。本文将向您介绍渗透测试的整体目标、频率、不同的执行阶段、以及存在的不足。

您是否听说过鱼叉式捕鱼(spearfishing)?它是一种针对特定公司或人群的,以窃取敏感信息或控制网络为目的的,电子邮件类欺骗攻击。根据一项最新的研究表面,每年发生在全球各处的,针对各类企业的黑客攻击事件中,有95%都与鱼叉式捕鱼有关。

上图展示了2020年第一季度,全球范围内受到网络钓鱼攻击次数最多的国家排名信息。其中,委内瑞拉因有20.53%的网络用户受到了网络钓鱼攻击,名列这张表单榜首。该表中的数据来自根据美国国家统计局(https://www.statista.com/statistics/266362/phishing-attacks-country/)。

当然,近年来,随着鱼叉式网络钓鱼等各类攻击的日益增多,企业开始更加关注手头上应用程序和软件产品的安全态势。他们在开发安全可靠的软件应用的同时,希望能够避免由于某些无形和有形的错误,而导致最终产品出现重大的安全缺陷。因此,为了及时发现应用程序中存在的漏洞,以及缩小易受攻击面,我们需要通过模拟黑客、及其行为,来开展频繁且彻底的渗透测试,发现目标IT环境中的潜在安全漏洞,进而予以整改。

渗透测试的目标

总体而言,渗透测试(或称Pen testing)是为了发现风险和漏洞,通过深入检测与挖掘目标在任何合法攻击形式下,可能受到的危害程度。通常,渗透测试会涉及到针对服务器、网络、防火墙、主机等硬件,以及各种软件,识别与发现知名漏洞,并评估其实际威胁的程度。

除了确定目标之外,渗透测试方法还可以被用于评估系统中存在的可疑后门机制,提高应对不同类型的意外、或恶意攻击的能力。因此,企业可以从如下方面受益于渗透测试:

通过检测各类漏洞可能产生的影响,将其汇总产生报表。

检查最新控制措施的配置与执行情况,确保其实施的有效性。

调动人员、软硬件资源,通过开发管控措施,来加固应用程序、基础设施、以及流程中的弱点。

在用户输入端执行全面的模糊测试,以衡量应用程序输入验证控件的有效性,并确保只接受经过“消毒”过滤的输入值。

可以发现不同团队在入侵响应上的不足,进而通过改进内部事件响应流程,提高安全事件的响应效率。

渗透测试的频率

渗透测试的频率取决于许多因素,包括:行业类型、网络技术、以及法规合规等方面。通常情况下,如果发生以下任一情况,我们都应立即安排执行渗透测试:

网络或基础设施发生重大变化

刚打上了安全修补程序

增添了新的应用程序或基础设施

更改了办公室的位置,以及对应的网络

新颁布了行业法律与法规

新的威胁或漏洞被媒体披露

如何执行渗透测试?

我们可以通过如下三种方法,开展系统性的渗透测试:

自动渗透测试

手动渗透测试

自动+手动渗透测试

渗透测试的不同阶段

就像网络攻击有着既定的先后步骤那样,渗透测试也可以被分为不同的阶段。其中,每个阶段都有一个特定的目标,并为下一个阶段的攻击做好准备:

1.关键信息的收集

在这个研究阶段,软件测试(QA)人员可以从外部了解目标公司及其员工信息。如果是黑客的话,则会利用在线工具,或是其他类似的网络资源,来扫描并测试目标网站。

2.枚举和识别

在这个阶段,软件测试人员会深入研究目标网络,尽可能地搜索可能受到影响的服务、开放的端口、以及应用程序。根据已征得同意的渗透测试类型与程度,测试人员会收集并识别出目标企业的关键信息,进而发现环境中的切入点和漏洞。

3.漏洞扫描

通过前期的研究与准备,性能测试团队将在这个阶段采取手动与自动相结合的方式,扫描目标网络上的风险和漏洞。测试人员可以主要针对如下常见方面与部分,开展计划与测试:

业务关键资产

技术数据

客户数据

员工数据

对内部威胁和脆弱性的特定分类

外部威胁–网络协议、端口、网络流量、Web应用程序等

内部威胁 - 供应商、员工、管理层等

QA工程师通常会使用漏洞扫描器,来检测漏洞,并对其所构成的安全威胁进行记录。之后,QA测试人员将验证发现到的漏洞是否确实可能会被利用。全部的漏洞列表将在渗透测试结束的报告阶段被提交。

4.确定最佳攻击方法

所有前期准备工作都已准备就绪,QA专家将在这一阶段决定攻击面分析的最佳方式,通过评估风险和漏洞被利用的可能性,最终协同整个渗透测试团队制定出一整套攻击的完整方案。

5.渗透和利用

前一个阶段制定好的行动计划,会在这个阶段被实施到已发现的漏洞上,以开展获取敏感信息,发动DoS攻击,破坏目标系统的网络资源等攻击操作。具体而言,我们在这个测试阶段可以采取如下受控制的常见攻击策略:

物理攻击

网络攻击

Web应用攻击

Wi-Fi攻击

社会工程学

零日利用

基于内存的攻击

道德黑客还将记录和重新评估那些已被利用威胁或漏洞,在此基础上深入研究哪些攻击可能成为重要业务单元的最大隐患和风险点。最后,在利用阶段,这些道德黑客应也该清楚地分析出一旦此类重要单元被利用后,会产生何种后果。

6.风险分析和建议

上面五个阶段的主要目标是获悉和记录可能受到攻击的系统组件。为了保护它们所对应的有形、无形的,物理与信息的资产价值,QA测试人员要进行深入的风险分析。在此基础上,他们试着拟定包含了减少和修复目标环境安全漏洞和威胁的可行性建议。

值得注意的是,一旦测试完成,QA专家应及时、主动地清理被测环境,重新恢复和配置他们在测试期间所获取的准入权限,并通过必要的手段,阻止将来未授权访问的发生。

7.报告准备与目标

报告的编制应首先从总体性能测试流程开始,然后才是风险与漏洞对分析。报告中,我们需要对重要的风险与漏洞设定优先级,以便整改团队能够按照由高到低的顺序,依次进行跟踪和解决。当然,如下方面也需要被体现在报告中:

清晰地罗列出报告的要点,分门别类地展示测试中的发现

每个阶段都应列举出在渗透测试期间所收集的数据

对所有已识别的风险和漏洞提供完整的描述

完整地阐述管理意图和修复建议

声明该报告针对的是目标系统的当前态势,并提议持续进行安全性测试

渗透测试的不足

虽然优点居多,但是渗透测试也存在着如下客观上的缺点和潜在影响:

渗透测试可能会使系统陷入故障状态,甚至会导致系统的崩溃

测试的时间有限,且测试费用比较高

被测数据容易出现错误、损坏、甚至被“污染”

时间紧、任务急,有可能导致测试的范围受限,进而忽略了某些重要的部分和区域

渗透测试开源(免费)工具:

Wireshark - http://www.wireshark.org/

Nessus - http://www.wireshark.org/

OpenSSL - http://www.openssl.org/

Nmap - http://nmap.org/

Metasploit - http://www.metasploit.com/

小结

目前,云服务技术的发展为黑客和攻击者提供了各种各样的工具和资源,使得他们能够毫不费力地侵入各个系统和网络,给企业的商业信誉、资产和服务造成巨大的损失。渗透测试不仅仅是一个基本的测试过程,它也可以被视为一种预防性的方法,用来发现和检测各种安全缺陷和不同症状,进而将系统的潜在安全风险消减在未然。


原文标题:A Complete Guide to the Stages of Penetration Testing,作者: Niranjan Limbachiya

文章转自:51CTO.com


应对攻击的分阶段渗透测试完全手册
渗透测试不仅仅是一个基本的测试过程,它也可以被视为一种预防性的方法,可用来发现和检测各种安全缺陷和不同症状。本文将向您介绍渗透测试的整体目标、频率、不同的执行阶段、以及存在的不足。
长按图片保存/分享
0

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6