在网络无处不在的今天,信息安全已成为每个人都绕不开的话题。无论是网上购物、移动支付,还是学术研究与政务处理,都离不开安全的网络环境。本章将从基本目标、常见威胁、核心技术与防护手段等方面,系统介绍信息安全知识。

一、信息安全的核心目标

信息安全的三个基本目标,被称为 CIA 三要素:

1、机密性(Confidentiality)

只有授权用户才能访问信息。例如:银行账户密码必须防止泄露。

2、完整性(Integrity)

信息在存储与传输过程中不被篡改。例如:转账金额 100 元不能变成 1000 元。

3、可用性(Availability)

信息系统必须在需要时可靠可用。例如:网课服务器不能频繁宕机。

可以把它理解为三道“防线”:不泄密、不篡改、不瘫痪。

二、信息安全面临的主要威胁

1、漏洞

指软件、硬件或系统设计中的缺陷,可能被攻击者利用。

(1)常见类型

系统漏洞:操作系统内核或协议缺陷(如 Windows 的 SMB 漏洞)。

程序与脚本漏洞:源代码逻辑错误、缓冲区溢出、输入校验不足、脚本实现不当等。

配置漏洞:弱口令、权限设置不当、敏感端口暴露等。

(2)特点

漏洞本身可能并不造成损害,但会成为病毒、木马或黑客攻击的“入口”。

2、恶意程序

(1)病毒

附着在文件中传播,会破坏数据或影响系统。具有传染性、寄生性、隐蔽性、破坏性以及未经授权性等特点。

(2)蠕虫

无需宿主文件,能自我复制并通过网络快速扩散。

(3)木马

伪装成正常软件,暗中窃取隐私或远程控制计算机

3、网络攻击

(1)被动攻击

针对保密性,分析通信流、监视未加密通信、破解弱加密、获取口令等。

(2)主动攻击

篡改数据、冒充身份,或通过分布式拒绝服务攻击(DDoS)让目标网站无法提供正常服务。

(3)Web 攻击

SQL 注入:通过在输入中插入恶意 SQL 语句,篡改或窃取数据库信息。

跨站脚本(XSS):在网页中注入恶意脚本,盗取 Cookie 或冒充用户。

4、社会工程学

通过欺骗手段而非技术手段获得机密,例如钓鱼邮件或钓鱼网站、假冒客服等,利用人性弱点而非技术漏洞。

5、内部威胁

来自组织内部人员的越权操作、恶意破坏或数据泄露。

三、核心防护技术

1、加密技术

加密是信息安全的基石,它通过“加锁”的方式保护数据。

(1)对称加密

如 AES(Advanced Encryption Standard,高级加密标准),加密和解密用同一把密钥,速度快,但密钥分发困难。

(2)非对称加密

RSA(Rivest、Shamir、Adleman 三人发明,RSA 公钥加密算法),加密和解密使用不同的密钥。

公钥:可以公开,用来加密数据。

私钥:由用户自己保管,用来解密数据。

优势:即使别人拿到公钥,也无法解密数据。

举例:小王要接收机密信息,他把公钥给别人,别人用公钥加密后发给小王,只有小王用自己的私钥才能解密。

在实际应用中,RSA 常与对称加密结合使用:RSA 用来安全分发密钥,对称加密负责大规模数据传输。

2、Hash 函数

Hash(哈希)是一种“数字指纹”技术。

(1)原理

无论输入数据有多大,Hash 函数都会输出一串固定长度的摘要。

(2)特性

单向性:不能从摘要反推出原文。

雪崩效应:输入只改一个字节,摘要就完全不同。

(3)应用

密码存储:网站保存的是密码的 Hash,而不是明文。

文件校验:下载软件时常见的 MD5/SHA-256 校验码。

数字签名与区块链:依赖 Hash 保证数据不可篡改。

3、数字签名与数字证书

(1)数字签名

用私钥对信息摘要加密,接收方用公钥验证。能确认数据来自谁,且未被修改。

(2)数字证书

由权威机构 CA(Certificate Authority)颁发,把用户的身份与公钥绑定,防止“伪造身份”。

四、网络与系统防护手段

1、访问控制与身份验证

账号 + 密码、多因素认证(短信验证码、指纹、人脸识别)。

最小权限原则:用户只获得完成任务所需的最低权限。

2、防火墙与入侵检测

(1)防火墙

像门卫一样,过滤进出网络的数据。

(2)入侵检测系统 IDS

像“监控摄像头”,实时监控网络流量和系统活动,发现可疑或恶意行为。

(3)入侵防御系统 IPS

像“安保人员”,不仅能发现入侵,还能实时阻断和防御。

3、安全传输

HTTPS:在 HTTP 之上加上 SSL/TLS 加密,常见于网购和支付。

VPN:为远程通信建立安全加密通道。

4、备份与容灾

定期数据备份,防止硬盘损坏或勒索软件导致数据丢失。

部署容灾系统,保障关键业务连续性。

五、信息安全的管理与法律

1、安全策略

统一的规范,如密码长度要求、访问权限管理、数据分类存储。

2、用户教育

增强安全意识,避免弱密码、轻信陌生链接。

3、法律法规

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

这些法律为信息安全提供制度保障。

六、发展趋势

1、人工智能与安全结合

AI 用于入侵检测和异常行为分析。

2、云计算与物联网安全

虚拟化环境与智能设备的保护成为新重点。

3、移动支付与隐私保护

移动端成为新的安全高风险区。

4、零信任架构

不再默认内部可信,强调“永不信任,持续验证”。

小结

信息安全并非遥远的黑客大战,而是与每个人息息相关的日常实践。

从设置强密码、谨防钓鱼网站,到理解 RSA、Hash 和数字签名等技术,每一步都在守护我们的数据与隐私。

可以说,信息安全是一场持久战:

技术是武器(加密、Hash、防火墙)。

管理是制度(规范、策略)。

法律是保障(法规、执法)。

三者结合,才能在复杂多变的网络环境中,真正保护信息资产。

打开网易新闻 查看精彩图片

点赞有美意,赞赏是鼓励