>>>>>信息安全工程师在线辅导 

      >>>>>信息安全工程师培训视频

      全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记之扫描和评估，供大家参考学习。

      当前Web应用安全现状

      随着中国互联网金融的爆发和繁荣，Web应用在其中扮演的地位也越来越重要，比如Web支付系统、Web P2P系统、Web货币系统等。对于这些金融系统来讲，安全的重要性是不言而喻的，一旦黑客利用安全漏洞入侵系统后，损失的不仅仅是数据，还包括企业或者客户的财产。国内著名的乌云漏洞平台，每天都会爆出十几条甚至几十条各大网站的安全漏洞，比如:中国电信某省任意用户登录(可恶意扣费)中石化某销售物流系统后台远程命令执行的服务器沦陷(客户信息泄漏&&可内网渗透)盛大某游戏总管理权限泄露可随意更改游戏玩家数据招商银行某服务器存在漏洞可Shell（穿透边界防火墙连通内网）这里面包括了通信、金融、银行、能源、游戏等各个行业的Web应用的各种漏洞，有一些已经造成了影响广泛的严重安全事件，例如：CSDN、12306、小米用户信息泄露事件，携程网信息安全门事件、某快递网站遭入侵1400万条用户信息被转卖等等。

      对于很多公司而言软件系统安全关注的重点还在网络和操作系统层面上，比如配置昂贵的网络入侵检测系统以等；很多开发人员安全意识薄弱，比如使用直接在代码中组装SQL语句，使用简单的数据加密和认证的方案，使用弱口令以及在产品中嵌入一些特定的调试信息；很多测试人员也不会进行基于业务流程的安全测试；系统管理和运维人员对于不可预知的应用组件和依赖的安全漏洞无法及时发现和修补。很多中小型公司基本不可能对于Web安全投入太多，比如无法在开发的过程中持续关注安全问题，从而导致系统上线之后还存在很多问题。因此，开发、测试和运维人员能充分理解安全的重要性以及掌握自动化安全扫描的方法和工具，对于开发一个安全的Web系统至关重要。

      针对Web应用如此多的安全问题，全球范围内的有志之士成立了OWASP（Open Web Application Security Project），致力于宣传各种Web应用的安全问题。以及如何扫描、防御等知识，并且每2～3年还会发布世界范围内排名前十的安全问题。虽然OWASP提供如此丰富的安全知识，但是很多开发团队并没有充分利用，有些甚至还不知道，有些知道却不愿意投入。各种原因导致当前中国互联网上的众多Web应用拥有大量安全问题。

      持续安全扫描

      面对当前如此复杂和危险的互联网环境，如果一个在线金融系统（比如网银，P2P金融）存在安全问题，而系统管理员又没有及时发现安全问题和修复，那么时间越久，攻击者对其利用的程度越高，系统遭受的损失越大。这些安全问题可能是系统本身业务设计或者编码遗留的问题，也可能是依赖的第三方组件或者服务的问题。对于一些金融系统，修复安全漏洞哪怕只是晚几个小时，损失也可能是巨大的。如果不及时发现系统的安全问题并及时修复那么开发成本和系统损失随着时间的推移可能会成指数级的增长。所以尽早发现安全问题并修复是节省成本和避免损失的有效方法。

      风险评估

      风险评估（Risk Assessment）是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

      从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

    返回总目录：信息安全工程师教程学习笔记之网络安全汇总（一）

    返回总目录：信息安全工程师教程学习笔记之网络安全汇总（二）

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括在线辅导、面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。