网络安全概述

网络安全常识及术语

资产

任何对组织业务具有价值的信息资产，包括计算机硬件、通信设施、 IT 环境、数据库、软件、文档资料、信息服务和人员等。

漏洞

漏洞又被称为脆弱性或弱点（ Weakness ），是指信息资产及其安全措施在安全方面的不足和弱

点。漏洞一旦被利用，即会对资产造成影响。通常一个网络的漏洞 / 弱点可被分为：技术漏洞、配

置漏洞和安全策略漏洞。

0day

是指负责应用程序的程序员或供应商所未知的软件缺陷，尚未公开的漏洞。永恒之蓝在没有被公开

前就是 0day 。

1day

刚被官方公布的漏洞就是 1day ，刚被公布得了漏洞会有一个打补丁的时间差，这个时间差可以被黑客所利用。

后门

后门是一种用于获得对程序或在线服务访问权限的秘密方式。一般是绕过安全控制而获取对程序或

系统访问权的方法。

exploit

exp ，指的是漏洞利用程序，我们在上面敲的 exploit 的命令就是执行永恒之蓝的漏洞利用程序来攻

击目标 win7 。

出现网络安全问题的原因

网络环境的开放性

处在互联网之中的每个人都可以与你相互连接

协议栈自身的脆弱性

TCP/IP 协议族是使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够，导致协议存

在着一些安全风险问题。 Internet 首先应用于研究环境，针对少量、可信的的用户群体，网络安全问题

不是主要的考虑因素。因此，在 TCP/IP 协议栈中，绝大多数协议没有提供必要的安全机制，例如：

不提供认证服务

明码传输，不提供保密性服务，不提供数据保密性服务

不提供数据完整性保护 不提供抗抵赖服务

不保证可用性 —— 服务质量（ QoS ）

 什么样的网络是安全的？

 

网络安全要素

保密性

保密性：确保信息不暴露给未授权的实体或进程。

目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动

攻击。

完整性

只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机

制，保证只有得到允许的人才能修改数据 。可以防篡改。

可用性

得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，

阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

可控性

可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信

息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资

源及信息的可控性。

不可否认性

不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使

得攻击者、破坏者、抵赖者 “ 逃不脱 " ，并进一步对网络出现的安全问题提供调查依据和手段，实现

信息安全的可审查性。

防火墙是什么

防火墙硬件作为防范装置能够同时实现 CIA 中 3 个条目的相应对策。在 20 世纪 90 年代中期，普通企业一般都会在网关(LAN 与互联网的边界 )中设置防火墙。 

防火墙这个装置原本用于防范外部网络，也就是拥有多个不特定用户的公共网络对内部网络 ( 企业的 Intranet)进行的 DoS 攻击或不法访问 (Hacking, 黑客行为 ), 但现在也开始需要防范从内部网络向互联网泄露信息或将内部网络作为攻击跳板等行为。

防火墙的分类

软件型防火墙

个人防火墙

个人防火墙运行于个人计算机上，用于监控个人计算机与外部网络之间的通信信息

在 Windows 操作系统中集成了 Windows 防火墙。一般拥有杀毒软件产品的厂商会以综合安全软件套件的个人防火墙。

网关型防火墙

在计算机网络的网关中设置类似防火墙设备的功能，从而对网络中通信流量进行策略控制，这种类型的防火墙即为网关型防火墙。

网关型防火墙分为两类，一类是在 Windows 、 Linux 等通用操作系统上安装并运行 FireWall-1 软件的软件型网关防火墙，一类是使用专用设备的硬件型网关防火墙。

硬件型防火墙

硬件型防火墙是指通过硬件设备实现的防火墙，外形同路由器形状类似，但网络接口类型一般只支持以太网。

网络安全概述的思维导图整理