Fundamentals of cyber security

欢迎来到网络安全（Cyber Security）的世界！

在本章中，我们将学习如何保障数字生活的安全。你可以把网络安全想象成互联网的“家居保安系统”。就像你锁好大门以防盗贼一样，网络安全运用各种工具和技巧，防止黑客入侵我们的数据。

如果有些术语听起来像间谍电影里的对白，别担心——我们会一步步为你拆解！

1. 什么是网络安全？

网络安全包含了一系列的流程、实践和技术，旨在保护网络、电脑、程序和数据免受以下威胁：
• 攻击
• 损坏
• 未经授权的存取（即有人窥探了他们不该看的东西！）

速览：核心目的

其主要目标是保持信息的私密性（Private）、确保其准确性（Accurate），并确保获授权的用户能够随时存取（Available）这些信息。

2. 社交工程（Social Engineering）：针对“人”的黑客手法

大多数人以为黑客只是通过编写代码来入侵系统，但通常，欺骗人类往往更简单！这就是所谓的社交工程——即通过操纵人心，诱使对方交出机密信息的手段。

以下是你考试需要掌握的三种类型：

A. 虚假欺骗（Blagging / Pretexting）

虚假欺骗（Blagging）是指有人编造虚假故事（即“借口”）来诱骗你交出信息。
例子：有人打电话给你，假装是银行的保安团队，声称发生紧急情况，需要你的密码来“修复”问题。

B. 钓鱼攻击（Phishing）

钓鱼攻击（Phishing）是一种罪犯发送伪装成知名企业（如 Amazon 或 PayPal）的电子邮件或短信，藉此窃取你资料的技术。
例子：你收到一封邮件说“你的账户已锁定！请点击此处登入”，但链接会把你导向一个伪造的网站，从而窃取你的密码。

C. 肩窥（Shouldering / Shoulder Surfing）

肩窥（Shouldering）是最简单的手法，即当你在输入密码时，有人从你的肩膀后方偷窥！
例子：在柜员机输入提款卡密码，或在巴士上输入手机密码时被旁人偷看。

记忆小撇步：三个“ing”

Blagging（虚假欺骗） = Lying（说谎）（编造假故事）
Phishing（钓鱼） = Fishing（钓鱼）（通过邮件投放“鱼钩”）
Shouldering（肩窥） = Peeking（偷窥）（在肩膀后偷看）

3. 恶意程序（Malware）

恶意程序（Malware）是一个“概括性术语”（一个大分类），指任何具有敌意或侵入性的软件。你可以把它想象成电脑的“数字感冒”。

• 电脑病毒（Computer Virus）：一种会“感染”电脑并自行复制，以散播至其他文件或电脑的软件。
• 特洛伊木马（Trojan）：伪装成有用程序（如免费游戏）但背后隐藏恶意目的的软件。（就像希腊神话里的木马一样！）
• 间谍软件（Spyware）：暗中监控你在电脑上的一举一动（例如记录你的键盘敲击纪录），并将信息传送回给黑客的软件。

重点总结：恶意程序是指任何旨在制造麻烦或在你未察觉的情况下窃取信息的软件。

4. 其他网络安全威胁

黑客还有许多方式来制造混乱。以下是教学大纲中提到的内容：

• 网域欺骗（Pharming）：这是一种聪明的攻击手法，即使你输入了正确的网址，也会被导向伪造网站！这就像是一个假的道路指示牌，将你引导至假银行。
• 弱密码与预设密码：如果你的密码是 "12345" 或 "password"，很容易被猜中。此外，许多设备出厂时设有如 "admin" 的预设密码，人们往往忘记更改。
• 存取权限设置错误（Misconfigured Access Rights）：当用户被意外赋予了不应查看的文件存取权限时，就会发生这种情况。
• 可携带式媒体：USB 闪存盘可能携带恶意程序。如果你在停车场捡到一个不明 USB 并将其插入电脑，可能会导致整个网络中毒！
• 未修补／过时的软件：软件经常存在“漏洞”（bugs）。企业会发布“修补程序”（更新）来修复它们。如果你不更新，这些漏洞就会留给黑客利用。

5. 渗透测试（Penetration Testing / Ethical Hacking）

企业如何在坏人行动前找出系统漏洞？他们会使用渗透测试。这是通过尝试进入系统来找出缺陷的过程。

你需要知道两种测试类型：

1. 模拟内部攻击：测试人员被赋予系统知识，甚至可能是基础登录资料。这模拟了“恶意的内部人员”（例如心怀不轨的员工）。
2. 模拟外部攻击：测试人员对系统没有任何知识或凭证。他们试图从外部入侵，就像真实的黑客一样。

6. 检测与防御威胁的方法

别担心，我们有很多方法可以进行反击！以下是常见的安全措施：

• 生物识别：使用身体特征来解锁（如指纹识别或面部识别）。这些都很难伪造！
• 密码系统：要求使用强密码并定期更换。
• CAPTCHA：那些“我不是机器人”的验证码。它们能阻止自动化程序（机器人）创建大量虚假账户。
• 邮件验证：当网站传送代码到你的邮箱，以证明你的身份。
• 自动软件更新：设定电脑自动安装“修补程序”，确保安全“漏洞”能尽快被修复。

你知道吗？CAPTCHA 的全称是 "Completely Automated Public Turing test to tell Computers and Humans Apart"（全自动区分电脑与人类的图灵测试）。难怪它读起来这么拗口！

总结检查

我们学到了什么？
• 网络安全保护我们的数字财产。
• 社交工程利用欺骗手段（虚假欺骗、钓鱼攻击、肩窥）。
• 恶意程序是坏的软件（病毒、特洛伊木马、间谍软件）。
• 渗透测试通过扮演黑客来找出漏洞。
• 防御措施包括生物识别、CAPTCHA 和软件更新。

避免常见错误：别把钓鱼攻击（Phishing）和网域欺骗（Pharming）搞混了。钓鱼攻击（Phishing）是你收到的信息（邮件／短信）。网域欺骗（Pharming）是将你的网页流量重新导向至伪造网站的行为。