网络安全尹毅 《网络安全》
一 网络安全基本概念
1.网络安全定义
- 安全在字典中的定义是为了防范间谍活动或蓄意破坏、犯罪、攻击而采取的措施。
- 网络安全就是为了防范计算机网络硬件、软件、数据被偶然或蓄意破坏、篡改、窃听、假冒、泄露、非法访问以及保护网络系统持续有效工作的措施总和。
- 网络安全保护范围:密码安全、计算机系统安全、网络安全、信息安全。
2.网络安全目标
- 可靠性(reliability)是所有信息系统正常运行的基本前提,通常指信息系统能够在规定的条件与时间内完成规定功能的特性。
- 保密性(confidentiality)是指信息系统防止信息非法泄露的特性,信息只限于授权用户使用,保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现,信息加密是防止信息非法泄露的最基本手段。
- 完整性(integrity)是指信息未经授权不能改变的特性,完整性与保密性强调的侧重点不同。保密性强调信息不能非法泄露,而完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失,信息在存储和传输过程中必须保持原样。信息完整性表明了信息的可靠性、正确性、有效性和一致性,只有完整的信息才是可信任的信息。
- 有效性(Availability)是指信息资源容许授权用户按需访问的特性,有效性是信息系统面向用户服务的安全特性。信息系统只有持续有效,授权用户才能随时、随地根据自己的需要访问信息系统提供的服务。
- 可控性(controllability)是指信息系统对信息内容和传输具有控制能力的特性。
- 拒绝否认性(no-repudiation)也称为不可抵赖性或不可否认性,拒绝否认性是指通信双方不能抵赖或否认已完成的操作和承诺,利用数字签名能够防止通信双方否认曾经发送和接收信息的事实。
- 最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。
3.网络安全模型
4.网络安全策略
- 网络安全策略是保障机构网络安全的指导文件。
- 安全策略总则
- 均衡性原则:网络安全策略需要在安全需求、易用性、效能和安全成本之间保持相对平衡,科学制定均衡的网络安全策略是提高投资回报和充分发挥网络效能的关键。
- 时效性原则:由于影响网络安全的因素随时间有所变化,导致网络安全问题具有显著的时效性。
- 最小化原则:网络系统提供的服务越多,安全漏洞和威胁也就越多。因此,应当关闭网络安全策略中没有规定的网络服务;以最小限度原则配置满足安全策略定义的用户权限;及时删除无用账号和主机信任关系,将威胁网络安全的风险降至最低。
- 安全策略内容
二 网络安全漏洞与威胁
1.软件漏洞
- 软件漏洞(flaw)是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患,软件漏洞也称为软件脆弱性(vulnerability)或软件隐错(bug)。
- 软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全。软件漏洞是任何软件存在的客观事实。软件产品通常在正式发布之前,一般都要相继发布α版本、β版本和γ版本供反复测试使用,目的就是为了尽可能减少软件漏洞。
2.网络协议漏洞
- 类似于软件漏洞,是指网络通信协议不完善而导致的安全隐患。截止到目前,Internet上广泛使用的TCP/IP协议族几乎所有协议都发现存在安全隐患。
3.安全管理漏洞
- 网络安全管理是在网络安全策略指导下为保护网络不受内外各种威胁而采取的一系列网络安全措施,网络安全策略则是根据网络安全目标和网络应用环境,为提供特定安全级别保护而必须遵守的规则。
- 网络安全是相对的,是建立在信任基础之上的,绝对的网络安全永远不存在。
4.网络威胁来源
- 以窃取网络信息为目的的外部攻击一般称为被动攻击,其他外部攻击统称为主动攻击。被动攻击主要破坏信息的保密性,而主动攻击主要破坏信息的完整性和有效性。
被动攻击,其他外部攻击统称为主动攻击。被动攻击主要破坏信息的保密性,而主动攻击主要破坏信息的完整性和有效性。 - 主动攻击主要来自网络黑客(hacker)、敌对势力、网络金融犯罪分子和商业竞争对手,早期黑客一词并无贬义,指独立思考、智力超群、精力充沛、热衷于探索软件奥秘和显示个人才干的计算机迷。国内多数将黑客作为贬义词使用,泛指利用网络安全漏洞蓄意破坏信息资源保密性、完整性和有效性的恶意攻击者。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
