计算机网络安全概述

网络信息安全第一讲 计算机网络安全概述

一 网络安全基本概念

1.网络安全定义

• 安全在字典中的定义是为了防范间谍活动或蓄意破坏、犯罪、攻击而采取的措施。

• 网络安全就是为了防范计算机网络硬件、软件、数据被偶然或蓄意破坏、篡改、窃听、假冒、泄露、非法访问以及保护网络系统持续有效工作的措施总和。

• 网络安全保护范围：密码安全、计算机系统安全、网络安全、信息安全。
  *

2.网络安全目标

• 可靠性（reliability）是所有信息系统正常运行的基本前提，通常指信息系统能够在规定的条件与时间内完成规定功能的特性。

• 保密性（confidentiality）是指信息系统防止信息非法泄露的特性，信息只限于授权用户使用，保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现，信息加密是防止信息非法泄露的最基本手段。

• 完整性（integrity）是指信息未经授权不能改变的特性，完整性与保密性强调的侧重点不同。保密性强调信息不能非法泄露，而完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失，信息在存储和传输过程中必须保持原样。信息完整性表明了信息的可靠性、正确性、有效性和一致性，只有完整的信息才是可信任的信息。

• 有效性（Availability）是指信息资源容许授权用户按需访问的特性，有效性是信息系统面向用户服务的安全特性。信息系统只有持续有效，授权用户才能随时、随地根据自己的需要访问信息系统提供的服务。

• 可控性（controllability）是指信息系统对信息内容和传输具有控制能力的特性。

• 拒绝否认性(no-repudiation）也称为不可抵赖性或不可否认性，拒绝否认性是指通信双方不能抵赖或否认已完成的操作和承诺，利用数字签名能够防止通信双方否认曾经发送和接收信息的事实。

• 最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。
  *

3.网络安全模型

4.网络安全策略

• 网络安全策略是保障机构网络安全的指导文件。

• 安全策略总则

• 2. 均衡性原则：网络安全策略需要在安全需求、易用性、效能和安全成本之间保持相对平衡，科学制定均衡的网络安全策略是提高投资回报和充分发挥网络效能的关键。

  3. 时效性原则：由于影响网络安全的因素随时间有所变化，导致网络安全问题具有显著的时效性。

  4. 最小化原则：网络系统提供的服务越多，安全漏洞和威胁也就越多。因此，应当关闭网络安全策略中没有规定的网络服务；以最小限度原则配置满足安全策略定义的用户权限；及时删除无用账号和主机信任关系，将威胁网络安全的风险降至最低。
     1.

• 安全策略内容
  *

二 网络安全漏洞与威胁

1.软件漏洞

• 软件漏洞(flaw)是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患，软件漏洞也称为软件脆弱性(vulnerability)或软件隐错(bug)。

• 软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全。软件漏洞是任何软件存在的客观事实。软件产品通常在正式发布之前，一般都要相继发布α版本、β版本和γ版本供反复测试使用，目的就是为了尽可能减少软件漏洞。
  *

2.网络协议漏洞

• 类似于软件漏洞，是指网络通信协议不完善而导致的安全隐患。截止到目前，Internet上广泛使用的TCP/IP协议族几乎所有协议都发现存在安全隐患。

3.安全管理漏洞

• 网络安全管理是在网络安全策略指导下为保护网络不受内外各种威胁而采取的一系列网络安全措施，网络安全策略则是根据网络安全目标和网络应用环境，为提供特定安全级别保护而必须遵守的规则。

• 网络安全是相对的，是建立在信任基础之上的，绝对的网络安全永远不存在。
  *

4.网络威胁来源

• 以窃取网络信息为目的的外部攻击一般称为被动攻击，其他外部攻击统称为主动攻击。被动攻击主要破坏信息的保密性，而主动攻击主要破坏信息的完整性和有效性。
  被动攻击，其他外部攻击统称为主动攻击。被动攻击主要破坏信息的保密性，而主动攻击主要破坏信息的完整性和有效性。

• 主动攻击主要来自网络黑客(hacker)、敌对势力、网络金融犯罪分子和商业竞争对手，早期黑客一词并无贬义，指独立思考、智力超群、精力充沛、热衷于探索软件奥秘和显示个人才干的计算机迷。国内多数将黑客作为贬义词使用，泛指利用网络安全漏洞蓄意破坏信息资源保密性、完整性和有效性的恶意攻击者。

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

为了帮助大家更好的学习网络安全，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂这些资料！

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

【点击免费领取】CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。【点击领取视频教程】

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取技术文档】

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇

这份完整版的学习资料已经上传CSDN，也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】