欢迎来到网络安全的世界!
你好!在本章中,我们将一起探索网络安全 (Cyber Security)。试着想象自己是一名数字保安,你的工作是了解人们如何尝试入侵计算机系统,而更重要的是,如何阻止他们。如果有些术语起初听起来很“科技感”,不用担心——我们会用你每天都能看到的简单例子和比喻来逐一拆解。
读完这些笔记后,你将清楚了解现有的各种威胁,并学会如何建立一座数字“堡垒”来保护数据。
1. 什么是网络安全?
根据 AQA 课程大纲,网络安全是指为保护网络、计算机、程序和数据免受攻击、损坏或未经授权的访问而设计的流程、实务和技术。
简单来说:这就是我们为保护数字资产,防止其落入不该拥有的人手中所做的一切。
我们为什么需要它?
- 为了确保我们的个人数据(如银行资料或私人信息)保密。
- 为了阻止未经授权的访问(防止黑客入侵)。
- 为了防止计算机系统受到损坏。
快速回顾:网络安全不仅仅是一件事;它是技术(如防火墙)和人类习惯(如设置强密码)的结合。
2. 网络安全威胁
要防御系统,首先必须了解它如何被攻击。以下是你考试需要掌握的主要威胁:
社会工程 (Social Engineering)
这是一种操纵人而非直接攻击计算机本身的“艺术”。骗取一个人交出密码,比起破解复杂的加密代码要容易得多!
比喻:与其费力去撬锁,不如直接骗屋主亲手把钥匙交给你。
恶意代码 (Malware)
恶意代码是一个“总称”(一个大类别),指任何具有敌意或侵入性的软件。它们是专门为了制造麻烦而编写的代码。
网页钓鱼 (Pharming)
这是一种巧妙的攻击,用户即使输入了正确的网址,也会被重新导向到一个伪造的网站!该网站看起来与真实网站(如银行网站)一模一样,旨在诱骗你输入登录资料。
弱密码与预设密码
许多人使用“123456”或者保留为“password”(即预设密码)。这让黑客可以轻易地猜出密码并入侵。
权限设置错误 (Misconfigured Access Rights)
当用户被赋予了超过其实际需要的系统权限时,就会发生这种情况。如果一名学生在校园网络中被错误地赋予了“教师”权限,他们就能查看所有人的成绩!这是一个严重的安全隐患。
卸除式媒体
USB 闪存盘等设备可能携带恶意代码。如果你在公园捡到一个随机的 USB 并插到计算机上,它可能会自动安装病毒。这是网络遭到“感染”的常见途径。
未修补与过时的软件
软件公司经常会发现程序中的“漏洞”(vulnerabilities),并发布“修补程序”(patches)(即更新)来修复它们。如果你不更新软件,这些漏洞就会保持开放,让黑客长驱直入。
重点总结:大多数威胁都是由人为错误(使用弱密码、点击恶意链接或不更新软件)引起的。
3. 渗透测试 (Penetration Testing)
大型公司如何知道他们的安全性是否足够好?他们会聘请“道德黑客”来尝试入侵!这就是所谓的渗透测试。
定义:在不了解用户名、密码及其他正常存取途径的情况下,尝试获取资源存取权限的过程。
你需要了解两种测试类型:
1. 模拟恶意内部人员:测试人员会获得一些系统知识,甚至基本的登录资料。这用来测试心怀不满的员工在内部能做什么。
2. 模拟外部攻击:测试人员对系统完全没有任何了解。他们从外部开始,试图找到进入的方法,就像真实的黑客一样。
别搞混了!一种是模拟已经在建筑物内的人员带来的威胁,另一种是模拟完全陌生人带来的威胁。
4. 深入了解:社会工程
考试要求你了解以下三种特定的社会工程形式。可以将它们视为“欺骗的三大支柱”:
A. 哄骗 (Blagging / Pretexting)
指有人编造一个虚构的情境(即“借口”)来骗你。例如,他们可能会打电话给你,假装是银行保安团队,说你的账户正受到攻击,从而诱使你交出 PIN 码。
B. 网络钓鱼 (Phishing)
这是一种通过发送看起来像来自受信任公司的电子邮件或短信 (SMS) 来获取个人隐私的技术。它们通常包含一个连向伪造网站的链接。
记忆小撇步:Phishing 就像是用“饵”(伪造的邮件)来“钓”你的数据。
C. 肩窥 (Shouldering / Shoulder Surfing)
这是最简单的一种!就是在别人输入密码或在取款机输入 PIN 码时,从旁窥视。
如何防范:保持怀疑态度!绝不要在电话中透露密码,仔细检查电邮地址,并且在输入 PIN 码时用手遮挡。
5. 深入了解:恶意代码 (Malware)
记住,恶意代码是通用名称。你需要掌握以下三种特定类型:
计算机病毒 (Computer Virus)
一种能够复制(自我复制)并从一台计算机传播到另一台计算机的代码。它通常会附加在文件上。就像真实的流感病毒一样,它需要“感染”某些东西才能传播。
木马程序 (Trojan)
命名源自历史上著名的木马屠城记!这种恶意代码会伪装成有用或有趣的软件(如免费游戏或酷炫的屏幕保护程序)。一旦你安装了它,“士兵”就会跑出来并从内部攻击你的系统。
间谍软件 (Spyware)
这种软件会秘密地记录你的操作。它可能会追踪你浏览的网站,或使用“键盘侧录程序”(keylogger) 来记录你按下的每一个按键——包括你的密码!
快速回顾箱:
- 病毒:会传播和复制。
- 木马:狡猾的伪装者。
- 间谍软件:秘密监视你。
6. 检测与预防威胁的方法
现在我们认识了“坏人”,该如何阻止他们?以下是 AQA 课程大纲中的保安措施:
生物识别措施
利用生理特征来识别个人。这在移动设备上非常普遍,例子包括:
- 指纹扫描。
- 面部识别 (FaceID)。
- 虹膜(眼球)扫描。
密码系统
最常见的保安形式。良好的系统需要强密码(包含字母、数字和符号的组合),并强制用户定期更改密码。
验证码 (CAPTCHA)
你知道那些要求你“点击所有包含交通灯的图片”的方框吗?那就是 CAPTCHA。它代表“全自动区分计算机与人类的图灵测试”。其作用是防止自动化机器人创建虚假账号或在网站上发送垃圾信息。
电邮确认
当你在网站注册时,他们通常会发送一封包含链接的邮件让你点击。这可以确认你的身份,确保你是拥有真实电邮地址的真实用户。
自动软件更新
保持安全最简单的方法!让你的计算机自动进行更新,确保任何保安“漏洞”(修补程序)一旦被制造商发现就能立即修复。
避免常见错误:别把网络钓鱼 (Phishing) 和 网页钓鱼 (Pharming) 搞混了!
- Phishing (钓鱼) 使用电子邮件来欺骗你。
- Pharming (网页钓鱼) 使用恶意代码将你的网页浏览器重新导向到伪造网站。
最终总结
网络安全的核心在于保护我们的数字生活。我们面临着社会工程(欺骗人类)和恶意代码(不良软件)的威胁。为了保持安全,我们使用生物识别、强密码、验证码,并确保软件随时更新。公司则通过渗透测试在坏人发现漏洞之前,先找出自身的弱点!
你一定做得到的!网络安全关键在于保持警觉,并使用正确的工具来抢占先机。