信息安全人员的知识体系和所需技能.pdf

《信息安全人员的知识体系和所需技能.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、信息安全人员的知识体系和所需技能密级：无李顺达20121210目录职业规划人生目标学习方法介绍知识体系软件工程简介网站测试需要什么？测试流程测试技巧工具汇总常见问题参考书目职业规划人生目标你喜欢什么职业，将来想做什么。。。（经理、局长、贪污犯）没有兴趣就没有学习的动力为你的目标而学习和奋斗（成功需要付出）追寻是一种快乐经验和能力的成长更是一种快乐结婚生子后时间会更紧，要学会充分利用资源人生目标是什么？（金钱、权利、移民）学好一门学科的必要条件1、熟悉基本概念（如什么是信息安全、什么是非对称加密）2、掌

2、握相互之间的联系（如SSL是怎么利用密码学、对称和非对称加密、hash等来保证通信的安全性的）3、懂得限制条件（SSL和IPSec区别是什么，各用在什么地方）什么叫知识体系？？？你的答案是什么？就是把你学过得东西按单元分将本单元内容用大括号将主要内容列出，自己思考，找寻内容之间的联系最后连成一个网（百度）软件里面的体系结构（确定各个组成部分、以及相互之间的关系）信息安全的定义多学科交叉（计算机、通信、数学、物理、法律、管理等）http://baike.baidu.com/view/17249.htm保

3、证信息的机密性（confidentiality）、完整性（integrity）、可用性（availability）、可审计性人才紧缺、大公司对信息安全颇为重视门槛较高、高级人才很少软件工程最早以为是怎么写代码实际上：如何以科学的方法开发优质的软件；是在无数次失败和巨大损失的背景下，优秀的软件开发单位的经验总结其定义了主要的阶段：需求、概要设计、详细设计、编码、测试、项目移交、验收测试以及在每个阶段所从事的主要活动：如怎么获取需求、分析需求、定义需求、编写需求规约等软件工程是优秀软件开发的必要条件，其中

4、很多思想值得借鉴和学习信息安全的知识体系注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程应用安全风险评估信息安全规划安全工程过信组安程和实践访密审安问系统安全息织全码计全控安保业务持续性应用和系统工技和攻制术监电信和网络防全障和灾难恢复开发程系和控安全技管人基统理员础项目管理过应术概管程和实践用物理安全事件响应运行管理述理信息安全体系模型信息安全标准和法律法规如何学好WebApp测试理解相关知识：什么是WebAppWebApp有什么特点不同的开发语言的利弊是什么后台用来

5、做什么手工测试从哪里开始，哪些地方需要注意怎么快速定位输入点与后台的关系SQL注入、XSS的利用怎么拿下整个网站工欲善其事必先利其器（掌握工具）这些知识怎么联系？联系起来就是测试流程测试流程信息搜集阶段（包括端口信息、系统信息、网络拓扑、社工）网站功能解析阶段（这个网站主要做什么、类似的网站有什么漏洞）网页分析阶段（看HTTP响应、确定编码规范、获取信息泄露）确定测试点和输入点（会话管理方式、是否与数据库交互、后台命令注入、是否提交的内容会返回到客户端等等）选择性输入测试数据，分析服务器的响应，并根据

6、返回信息变换输入，迭代测试汇总测试到的信息，扩大战果阶段（如利用SQL注入读取后台帐户信息，从而进入后台，上传木马，获得webshell，并提权，逐步完全控制目标机器等等；视测试类型而定；其中可能需要一台外网的机器）梳理问题，编写测试报告阶段总结和提升阶段（一个人因为进步而获得工作的快乐）测试细节连续注册至少两个用户，用户名相同或相似，执行同样的测试路程，分析用户标识的区别，命名的区别，cookie的区别被测试的系统要存档，用httrack每个网页的所有输入参数都要测试，包括xss和SQL注入，否则会

7、有遗漏。因为有些内容可能来自开源的项目。用工具网站首页的html代码要保存，包括js和css确定被测系统的真正开发商，google有无已知漏洞确定被测系统的代码命名方式确定密码字段是否有自动完成功能确定cookie是否设置了httponlyhttp中的referer也要测试优化测试流程（经验的累积）识别哪些是重复性的工作（确定SQL注入点、XSS输入点、获取网站地图）充分发挥工具的特长（快、替代重复劳动）工具测试有误报精选测试工具（首选国外，先驱和大牛）人工测试可以根据参数名称快速定位测试类型（精确打

8、击）人工测试必不可少，因为机器很多问题测不出来，发现业务逻辑错误，发现预留的后门每次的测试应该有创新，才能感受测试的乐趣，否则就变成枯燥无味的穷举输入经验不断的积累，测试能力不断提高测试技巧之XSS