网络安全小课堂——网络安全基础知识
信息安全:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
网络安全:防止未授权的用户访问信息,防止未授权而试图破坏与修改信息。
信息安全特性
信息安全具有可用性、完整性、机密性可控性和不可否认性五大核心特征,这些特征可以相互关联、相互支撑,共同保障网络信息安全。
可用性
确保授权用户在需要时能够及时、可靠地访问和使用信息及相关资源,避免服务中断。常应用于企业办公系统、在线购物网站。例如:购物节期间,电商平台通过扩容服务器,保障用户正常下单。
完整性
保护信息和信息的处理方法准确而完整,保证信息在储存、传输和处理过程中不被篡改、破坏或丢失,维持信息的准确性和一致性。常应用于电子商务交易订单处理、文件归档保存。例如:用户在电商平台下单后,订单内容在整个交易流程中保持不变。
机密性
确保只有经过授权的人才能访问信息,不被未授权的个人、实体获取或泄露,防止敏感信息被窥探。常应用于金融机构处理客户隐私数据、军事机密文件传输。例如:银行对客户的账户信息、交易记录加密处理。
可控性
对信息的传播及内容具有控制能力,管理者能够对信息的访问、使用、传播等进行有效管理和监督。常应用于政府部门管理政务信息、企业管控内部资料。例如:企业设置不同员工对内部文档的访问权限,限制信息传播范围。
不可否认性
防止信息的发送方和接收方事后否认自己的行为,通过技术手段确保行为的可追溯性。常应用于电子合同签署、电子政务审批。例如:双方通过电子签名签署合同后,不能否认自己的签署行为。
网络安全的威胁
网络安全威胁涵盖多种形式,既有来自人为的恶意攻击,也有非人为因素的潜在风险。
恶意软件
木马:伪装成合法程序,偷偷获取用户信息或控制设备,像键盘记录木马会记录输入的账号密码。
蠕虫:利用系统漏洞自行传播,占用网络资源,例如“熊猫烧香”蠕虫曾大范围感染电脑。
病毒:可自我复制,依附在正常程序中,破坏系统或数据,如勒索病毒会加密文件并索要赎金。
网络攻击
DDoS攻击:用大量请求瘫痪目标服务器,使其无法正常服务,比如游戏服务器常遭此类攻击。
中间人攻击:黑客截获通信数据进行篡改或窃取,如在公共WiFi中窃取用户信息。
钓鱼攻击:通过伪造网站、邮件等,诱骗用户输入敏感信息,如仿冒银行网站骗取账号密码。
人为因素
内部泄露:企业员工故意或因疏忽泄露数据,例如员工将客户信息卖给第三方。
弱密码:用户使用简单密码(如123456),易被黑客破解,导致账号被盗。
其他威胁
漏洞利用:黑客利用软件或系统未修复的漏洞进行攻击,比如操作系统的高危漏洞。
物理安全威胁:设备被偷或损坏,导致数据丢失,如硬盘被盗取后信息泄露。
网络安全的特征
网络安全包括保密性、完整性、可靠性、可用性、不可否认性可控性。
保密性
网络信息不被泄需给非授权的用户、实体或过程。即信息只为搜权用户使用。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。常用的保密技术
(1)物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露(锁好柜、关好门、看好。
(2)防窃听:使对手侦收不到有用的信息。
(3)防辐射:防止有用信息以各种途径辐射出去,例防窥。
(4)信息加密:在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。
完整性
网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输。
保障完整性的方法:
(1)良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
(2)密码校验和方法:它是抗窜改和传输失败的重要手段。
(3)数字签名:保障信息的真实性,保证信息的不可否认性。
(4)公证:请求网络管理或中介机构证明信息的真实性。
可靠性
(1)系统能够在规定条件和时间内完成规定功能的特性,是所有网络运行和建设的基本目标。
(2)通过抗毁性,生存性与有效性进行衡量。
(3)可靠性是在给定的时间间隔和给定条件下,系统能正确执行其的概率。
(4)提高可靠性需要强调减少系统中断(故障)的次数。
可用性
(1)网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
(2)可用性是系统在执行任务的常工作的概率,个工作时间之比来度量。
(3)提高可用性需要强调减少从灾难中恢复的时间。
(4)是产品可靠性、维修性和维修保障性的综合反映。
不可否认性
(1)也称作不可抵赖性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。
(2)所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
保证不可否认性的方法:
(1)利用信息源证据可以防止发信 不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
(2)数字签名技术是解决不可否认性的手段之一。
可控性
对信息的传播及内容具有控制能力,防止不良内容的传播。
黑客&网络安全如何学习**
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
本文转自 https://blog.youkuaiyun.com/bdfcfff77fa/article/details/149168385?spm=1001.2014.3001.5502,如有侵权,请联系删除。
扫一扫
823
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
