网络安全小课堂——网络安全基础知识
信息安全:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
网络安全:防止未授权的用户访问信息,防止未授权而试图破坏与修改信息。
信息安全特性
信息安全具有可用性、完整性、机密性可控性和不可否认性五大核心特征,这些特征可以相互关联、相互支撑,共同保障网络信息安全。
可用性
确保授权用户在需要时能够及时、可靠地访问和使用信息及相关资源,避免服务中断。常应用于企业办公系统、在线购物网站。例如:购物节期间,电商平台通过扩容服务器,保障用户正常下单。
完整性
保护信息和信息的处理方法准确而完整,保证信息在储存、传输和处理过程中不被篡改、破坏或丢失,维持信息的准确性和一致性。常应用于电子商务交易订单处理、文件归档保存。例如:用户在电商平台下单后,订单内容在整个交易流程中保持不变。
机密性
确保只有经过授权的人才能访问信息,不被未授权的个人、实体获取或泄露,防止敏感信息被窥探。常应用于金融机构处理客户隐私数据、军事机密文件传输。例如:银行对客户的账户信息、交易记录加密处理。
可控性
对信息的传播及内容具有控制能力,管理者能够对信息的访问、使用、传播等进行有效管理和监督。常应用于政府部门管理政务信息、企业管控内部资料。例如:企业设置不同员工对内部文档的访问权限,限制信息传播范围。
不可否认性
防止信息的发送方和接收方事后否认自己的行为,通过技术手段确保行为的可追溯性。常应用于电子合同签署、电子政务审批。例如:双方通过电子签名签署合同后,不能否认自己的签署行为。
网络安全的威胁
网络安全威胁涵盖多种形式,既有来自人为的恶意攻击,也有非人为因素的潜在风险。
恶意软件
木马:伪装成合法程序,偷偷获取用户信息或控制设备,像键盘记录木马会记录输入的账号密码。
蠕虫:利用系统漏洞自行传播,占用网络资源,例如“熊猫烧香”蠕虫曾大范围感染电脑。
病毒:可自我复制,依附在正常程序中,破坏系统或数据,如勒索病毒会加密文件并索要赎金。
网络攻击
DDoS攻击:用大量请求瘫痪目标服务器,使其无法正常服务,比如游戏服务器常遭此类攻击。
中间人攻击:黑客截获通信数据进行篡改或窃取,如在公共WiFi中窃取用户信息。
钓鱼攻击:通过伪造网站、邮件等,诱骗用户输入敏感信息,如仿冒银行网站骗取账号密码。
人为因素
内部泄露:企业员工故意或因疏忽泄露数据,例如员工将客户信息卖给第三方。
弱密码:用户使用简单密码(如123456),易被黑客破解,导致账号被盗。
其他威胁
漏洞利用:黑客利用软件或系统未修复的漏洞进行攻击,比如操作系统的高危漏洞。
物理安全威胁:设备被偷或损坏,导致数据丢失,如硬盘被盗取后信息泄露。
网络安全的特征
网络安全包括保密性、完整性、可靠性、可用性、不可否认性可控性。
保密性
网络信息不被泄需给非授权的用户、实体或过程。即信息只为搜权用户使用。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。常用的保密技术
(1)物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露(锁好柜、关好门、看好。
(2)防窃听:使对手侦收不到有用的信息。
(3)防辐射:防止有用信息以各种途径辐射出去,例防窥。
(4)信息加密:在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。
完整性
网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输。
保障完整性的方法:
(1)良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
(2)密码校验和方法:它是抗窜改和传输失败的重要手段。
(3)数字签名:保障信息的真实性,保证信息的不可否认性。
(4)公证:请求网络管理或中介机构证明信息的真实性。
可靠性
(1)系统能够在规定条件和时间内完成规定功能的特性,是所有网络运行和建设的基本目标。
(2)通过抗毁性,生存性与有效性进行衡量。
(3)可靠性是在给定的时间间隔和给定条件下,系统能正确执行其的概率。
(4)提高可靠性需要强调减少系统中断(故障)的次数。
可用性
(1)网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
(2)可用性是系统在执行任务的常工作的概率,个工作时间之比来度量。
(3)提高可用性需要强调减少从灾难中恢复的时间。
(4)是产品可靠性、维修性和维修保障性的综合反映。
不可否认性
(1)也称作不可抵赖性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。
(2)所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
保证不可否认性的方法:
(1)利用信息源证据可以防止发信 不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
(2)数字签名技术是解决不可否认性的手段之一。
可控性
对信息的传播及内容具有控制能力,防止不良内容的传播。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。****(全套教程文末领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!****(全套教程文末领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
**读者福利 |**CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**
)
配置指南)
