当前位置：首页 > news >正文

18.2、网络安全评测技术与攻击

news 2025/12/22 20:08:56

网络安全测评技术与工具

漏洞扫描技术可以用于测评，测评你安不安全，也可以用来风险评估安不安全，风险大不大

漏洞扫描包含网络安全漏洞扫描、主机安全漏洞扫描，还有数据库安全扫描，web应用安全扫描

安全渗透测试，是通过模拟攻击者对测评对象进行安全攻击

第一类叫黑盒测试是只提供测试的目标地址，授权团队从指定的测试点进行测试，就给你个IP地址，别的你什么都不知道，来攻击，这叫黑盒测试

白盒测试或叫白盒模型，白盒模型是需要尽可能的，提供详细的被测对象信息，比如说内部的网络拓扑图的编址，各种各样的服务器，这些信息都提供给你，提供详细的信息，测试团队所获取的信息就比较全面，根据所获取的信息制定

特殊的渗透测试方案对系统进行高级别的安全测试，主要运用在高级持续威胁者模拟场景，也叫apt，高级可持续威胁测试。白盒测试用来测apt攻击，因为APT攻击是比较漫长得，而且比较高级的，所以你要尽可能的得到更多信息，才可能测出来。

灰盒测试提供部分信息相当于灰的就是黑和白的中间，白的就是啥都告诉你，黑的啥都不告诉你，灰的就是也告诉你一部分，然后我们测试团队根据我们获得的信息来进行渗透，它适用于手机银行，还有代码安全测试。手机银行、代码安全测试用的是灰盒模型，灰盒测试。

代码安全审查，是按照编程语言等安全编程规范和业务安全的规范，对评测对象的原代码或者二进制的代码进行安全符合性检查。代码的缺陷有缓冲区溢出，代码注入跨站脚本，输入验证API调用等等，这些就是关于代码的问题。

程序员，包括软件测试的肯定都是要测代码的安全性。一般的像网络安全工程师，对代码这一块儿，基本上大部分人是不太深入的。我们对安全工具很熟，但是对代码这一块儿，有特别牛逼的，他自己编程，然后各种语言他都会，这种人就比较少，但大部分人搞网络安全的会点脚本语言。

其他的JAVA，有些了解，你要对所有的东西都很精通，那基本上也不太现实。这是测评用的技术和工具

网络安全测评质量管理和标准

去介绍两个标准，第一个是iso，第二个是我们国家的cnas

测评会用到的技术，协议分析。对我们的协议进行安全性的检查和分析，常见的分析工具有这两个，最常见的其实就是抓包分析，还有性能测试。性能测试用于评估我们测评对象的性能状况，检查评估对象承载性能的压力。包括安全对性能的影响等等，常见的工具有操作系统自带的，就性能监测工具。

任务管理器，调出来CPU、内存等等。利用率，包括网络的利用情况都可以看得到，这就是自带的工具，当然还有一些开源的，商业的

质量管理体系，做测评的时候管理质量有两个标准，第一个iso9001，专门做质量管理的标准

18.2、网络安全评测技术与攻击

目录

网络安全测评技术与工具

网络安全测评质量管理和标准

相关文章：

18.2、网络安全评测技术与攻击

在 ArcGIS Pro/GeoScene Pro 中设计专题地图的符号系统

CSS2笔记

移动端如何实现上拉加载

【mysql】linux安装mysql客户端

YOLOv5部署到web端（flask+js简单易懂）

【机器学习】深度学习（DNN）

12.30-1-5学习周报

【MySQL】数据操作

python数据分析：使用pandas库读取和编辑Excel表

开源轻量级文件分享服务Go File本地Docker部署与远程访问

异步背后的奥秘：事件循环

Springboot使用RabbitMQ实现关闭超时订单的一个简单示例

小程序基础 —— 07 创建小程序项目

【Golang 面试题】每日 3 题（十五）

Docker命令（用法说明详解）

leetcode 热题100（131. 分割回文串）c++

vs2022编译opencv 4.10.0

Bash 中的 2＞1 | tee 命令详解

MySQL数据库的日志

模型参数、模型存储精度、参数与显存

UDP(Echoserver)

Leetcode 3577. Count the Number of Computer Unlocking Permutations

macOS多出来了：Google云端硬盘、YouTube、表格、幻灯片、Gmail、Google文档等应用

React19源码系列之事件插件系统

大模型多显卡多服务器并行计算方法与实践指南

零基础设计模式——行为型模式 - 责任链模式

Android Bitmap治理全解析：从加载优化到泄漏防控的全生命周期管理

LLMs 系列实操科普（1）

Razor编程中@Html的方法使用大全