計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)筆記在數(shù)字化時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已成為企業(yè)運(yùn)營(yíng)、個(gè)人生活的核心支撐，但隨之而來的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)也日益嚴(yán)峻。掌握網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，既是保障系統(tǒng)穩(wěn)定運(yùn)行的前提，也是應(yīng)對(duì)復(fù)雜安全威脅的必要儲(chǔ)備。這份筆記將從核心概念、技術(shù)體系到實(shí)踐管理，系統(tǒng)梳理網(wǎng)絡(luò)安全的關(guān)鍵要點(diǎn)，為從業(yè)者或?qū)W習(xí)者提供實(shí)用的知識(shí)框架。一、網(wǎng)絡(luò)安全的核心概念（一）定義與目標(biāo)網(wǎng)絡(luò)安全旨在保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)免受未授權(quán)的訪問、篡改或破壞，確保業(yè)務(wù)連續(xù)性。其核心目標(biāo)圍繞CIA三元組展開：機(jī)密性（Confidentiality）：敏感數(shù)據(jù)僅被授權(quán)者訪問（如用戶密碼加密傳輸）；完整性（Integrity）：數(shù)據(jù)在傳輸或存儲(chǔ)中不被非法修改（如文件哈希校驗(yàn)）；可用性（Availability）：合法用戶在需要時(shí)能正常訪問資源（如抵御DDoS攻擊維持服務(wù)在線）。（二）常見威脅類型攻擊可分為主動(dòng)攻擊（攻擊者主動(dòng)篡改或干擾系統(tǒng)）與被動(dòng)攻擊（隱蔽收集信息），典型場(chǎng)景包括：竊聽：通過嗅探工具捕獲網(wǎng)絡(luò)傳輸?shù)拿魑臄?shù)據(jù)（如公共WiFi下的未加密登錄信息）；篡改：修改數(shù)據(jù)庫(kù)中的用戶余額、偽造交易記錄；拒絕服務(wù)（DoS/DDoS）：?jiǎn)卧椿蚨嘣窗l(fā)送海量請(qǐng)求壓垮服務(wù)器，致應(yīng)用癱瘓；二、網(wǎng)絡(luò)安全模型與架構(gòu)（一）OSI七層模型的安全防護(hù)不同層級(jí)面臨的威脅與防護(hù)手段不同：物理層：關(guān)注硬件設(shè)備的物理安全（如機(jī)房門禁、防電磁干擾），防止設(shè)備被盜竊或破壞；數(shù)據(jù)鏈路層：通過MAC地址過濾、VLAN隔離限制非法設(shè)備接入，防范ARP欺騙等鏈路層攻擊；網(wǎng)絡(luò)層：部署防火墻過濾IP包（如禁止外部訪問內(nèi)部敏感端口），IPsec協(xié)議實(shí)現(xiàn)端到端加密與認(rèn)證；應(yīng)用層：應(yīng)用防火墻（WAF）攔截SQL注入、XSS等應(yīng)用層攻擊，郵件加密（如S/MIME）保護(hù)郵件內(nèi)容。（二）典型網(wǎng)絡(luò)架構(gòu)的安全設(shè)計(jì)企業(yè)網(wǎng)絡(luò)常采用“分層防護(hù)”，例如：內(nèi)網(wǎng)（信任區(qū)）：部署終端安全軟件，限制內(nèi)部主機(jī)的訪問權(quán)限；DMZ區(qū)（非軍事區(qū)）：放置對(duì)外服務(wù)的服務(wù)器（如Web、郵件），通過防火墻隔離，僅開放必要端口；邊界防護(hù)：在互聯(lián)網(wǎng)與內(nèi)網(wǎng)間部署UTM（統(tǒng)一威脅管理）設(shè)備，集成防火墻、IDS/IPS、VPN等功能，過濾惡意流量。三、密碼學(xué)基礎(chǔ)（網(wǎng)絡(luò)安全的核心技術(shù)）（一）對(duì)稱加密使用同一密鑰進(jìn)行加密和解密（如AES-256），優(yōu)點(diǎn)是加密速度快，適合大量數(shù)據(jù)加密（如硬盤數(shù)據(jù)加密）；缺點(diǎn)是密鑰分發(fā)需安全通道，否則易被截獲。典型場(chǎng)景：加密數(shù)據(jù)庫(kù)中的用戶密碼（存儲(chǔ)時(shí)用對(duì)稱加密，傳輸時(shí)結(jié)合非對(duì)稱加密分發(fā)密鑰）。（二）非對(duì)稱加密使用公鑰（公開）和私鑰（保密），公鑰加密的數(shù)據(jù)僅能由對(duì)應(yīng)私鑰解密（如RSA）。常用于：密鑰交換：如TLS握手時(shí)交換對(duì)稱密鑰；數(shù)字簽名：私鑰簽名，公鑰驗(yàn)證，確保消息未被篡改且來自合法用戶。ECC（橢圓曲線加密）因密鑰長(zhǎng)度更短、安全性更高，在移動(dòng)設(shè)備中廣泛應(yīng)用。（三）哈希函數(shù)（四）數(shù)字證書與PKI體系CA（證書頒發(fā)機(jī)構(gòu)）為實(shí)體（如網(wǎng)站、用戶）頒發(fā)數(shù)字證書，包含公鑰、身份信息、CA簽名。瀏覽器通過驗(yàn)證證書鏈（從根CA到中間CA再到服務(wù)器證書）確認(rèn)網(wǎng)站身份，防止中間人攻擊。例如，訪問銀行網(wǎng)站時(shí)，瀏覽器驗(yàn)證其證書的合法性，確保加密通道安全。四、網(wǎng)絡(luò)安全設(shè)備與技術(shù)（一）防火墻包過濾防火墻：基于IP地址、端口號(hào)過濾數(shù)據(jù)包（如禁止外部IP訪問8080端口），但無法識(shí)別應(yīng)用層數(shù)據(jù)；狀態(tài)檢測(cè)防火墻：跟蹤連接狀態(tài)（如TCP三次握手），動(dòng)態(tài)允許合法會(huì)話的數(shù)據(jù)包，提升安全性；部署時(shí)，通常在內(nèi)網(wǎng)與DMZ、DMZ與互聯(lián)網(wǎng)間各設(shè)一道防火墻，形成“縱深防御”。（二）IDS/IPSIDS（入侵檢測(cè)系統(tǒng)）：被動(dòng)監(jiān)聽流量，檢測(cè)到攻擊后告警但不阻斷（如Snort分析數(shù)據(jù)包特征，發(fā)現(xiàn)攻擊后日志告警）；IPS（入侵防御系統(tǒng)）：主動(dòng)阻斷攻擊流量（如檢測(cè)到SQL注入請(qǐng)求時(shí)，直接丟棄數(shù)據(jù)包）。兩者常結(jié)合使用，IDS用于威脅溯源，IPS用于實(shí)時(shí)防御。（三）VPN技術(shù)IPsecVPN：基于IPsec協(xié)議，在IP層建立加密隧道，適合企業(yè)總部與分支間的站點(diǎn)到站點(diǎn)連接；SSLVPN：通過瀏覽器或客戶端軟件，基于SSL/TLS協(xié)議建立隧道，適合遠(yuǎn)程用戶（如在家辦公）安全接入內(nèi)網(wǎng)。（四）終端安全防病毒軟件：基于特征庫(kù)和行為分析，檢測(cè)并清除惡意軟件（如卡巴斯基識(shí)別新病毒變種）；EDR（終端檢測(cè)與響應(yīng)）：持續(xù)監(jiān)控終端行為，記錄進(jìn)程、文件操作等，便于事后溯源（如發(fā)現(xiàn)某進(jìn)程異常外聯(lián)，EDR可追溯其行為鏈）。五、網(wǎng)絡(luò)安全管理與實(shí)踐（一）安全策略制定訪問控制策略：遵循最小權(quán)限原則，如普通員工僅能訪問部門內(nèi)資源，管理員需多因素認(rèn)證（MFA）；密碼策略：要求密碼長(zhǎng)度≥8位，包含大小寫、數(shù)字、特殊字符，每90天更換；數(shù)據(jù)備份策略：重要數(shù)據(jù)（如數(shù)據(jù)庫(kù)）每日增量備份，每周全量備份，異地存儲(chǔ)（如備份到云端或另一機(jī)房）。（二）漏洞管理漏洞掃描：定期用Nessus、OpenVAS等工具掃描資產(chǎn)，發(fā)現(xiàn)未修復(fù)的漏洞（如Apache的Log4j漏洞）；補(bǔ)丁管理：建立補(bǔ)丁測(cè)試環(huán)境，驗(yàn)證后及時(shí)部署（如Windows系統(tǒng)補(bǔ)丁需先在測(cè)試機(jī)驗(yàn)證兼容性，再推送到生產(chǎn)環(huán)境）。（三）安全審計(jì)與日志分析SIEM（安全信息和事件管理）系統(tǒng)：整合防火墻、服務(wù)器、終端的日志，關(guān)聯(lián)分析（如某IP同時(shí)觸發(fā)防火墻阻斷和IDS告警，SIEM判定為高危攻擊）；合規(guī)性要求：如等保2.0要求三級(jí)系統(tǒng)需日志留存≥6個(gè)月，便于審計(jì)追溯。（四）應(yīng)急響應(yīng)預(yù)案制定：明確攻擊類型（如勒索軟件、數(shù)據(jù)泄露）的響應(yīng)流程，指定責(zé)任人（如安全團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)分工）；攻擊溯源：通過日志、流量分析確定攻擊入口（如是否通過釣魚郵件入侵）；恢復(fù)流程：隔離受感染設(shè)備，恢復(fù)備份數(shù)據(jù)，修復(fù)漏洞后重新上線。六、常見攻擊與防御手段（一）網(wǎng)絡(luò)層攻擊DDoS：攻擊者控制僵尸網(wǎng)絡(luò)（Botnet）發(fā)送海量請(qǐng)求，致服務(wù)器帶寬耗盡。防御：部署DDoS防護(hù)服務(wù)（如阿里云DDoS高防），通過流量清洗過濾攻擊流量；ARP欺騙：偽造ARP響應(yīng)，將目標(biāo)主機(jī)的流量重定向到攻擊者。防御：在交換機(jī)上啟用ARP靜態(tài)綁定，或部署ARP防火墻（如360安全衛(wèi)士的ARP防護(hù)）。（二）應(yīng)用層攻擊SQL注入：攻擊者在Web表單輸入SQL語句，非法訪問數(shù)據(jù)庫(kù)（如輸入“'OR1=1--”繞過登錄）。防御：使用PreparedStatement預(yù)處理SQL，或部署WAF攔截注入請(qǐng)求；CSRF（跨站請(qǐng)求偽造）：利用用戶已登錄的身份，偽造請(qǐng)求執(zhí)行非法操作（如轉(zhuǎn)賬）。防御：添加CSRF令牌，驗(yàn)證請(qǐng)求來源。（三）社會(huì)工程學(xué)攻擊釣魚：偽造合法網(wǎng)站（如仿冒銀行官網(wǎng)），誘導(dǎo)用戶輸入賬號(hào)密碼。防御：培養(yǎng)員工識(shí)別釣魚特征（如網(wǎng)址拼寫錯(cuò)誤、非加密連接），部署郵件過濾系統(tǒng)攔截釣魚郵件；Pretexting（pretexting）：編造借口（如“系統(tǒng)升級(jí)需驗(yàn)證賬號(hào)”）欺騙用戶提供信息。防御：建立安全意識(shí)培訓(xùn)機(jī)制，要求員工對(duì)陌生請(qǐng)求驗(yàn)證身份。七、合規(guī)與標(biāo)準(zhǔn)（一）國(guó)內(nèi)：等保2.0《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》將系統(tǒng)分為5級(jí)，三級(jí)及以上需開展等保測(cè)評(píng)，從技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全）和管理（安全管理制度、機(jī)構(gòu)、人員等）層面提出要求。例如，銀行核心系統(tǒng)需達(dá)到三級(jí)等保，部署入侵檢測(cè)、數(shù)據(jù)備份等措施。（二）國(guó)際：GDPR與ISO____GDPR（歐盟《通用數(shù)據(jù)保護(hù)條例》）：要求企業(yè)對(duì)歐盟用戶數(shù)據(jù)的收集、存儲(chǔ)、處理透明化，違規(guī)最高罰款年?duì)I收的4%；ISO____：信息安全管理體系標(biāo)準(zhǔn)，通過建立ISMS（信息安全管理體系