歡迎來到網絡安全的世界!
你好!在本章中,我們將一起探索網絡安全 (Cyber Security)。試著想像自己是一名數碼保安,你的工作是了解人們如何嘗試入侵電腦系統,而更重要的是,如何阻止他們。如果有些術語起初聽起來很「科技感」,不用擔心——我們會用你每天都能看到的簡單例子和比喻來逐一拆解。
讀完這些筆記後,你將清楚了解現有的各種威脅,並學會如何建立一座數碼「堡壘」來保護數據。
1. 甚麼是網絡安全?
根據 AQA 課程大綱,網絡安全是指為保護網絡、電腦、程式和數據免受攻擊、損壞或未經授權的訪問而設計的流程、實務和技術。
簡單來說:這就是我們為保護數碼資產,防止其落入不該擁有的人手中所做的一切。
我們為什麼需要它?
- 為了確保我們的個人數據(如銀行資料或私人訊息)保密。
- 為了阻止未經授權的訪問(防止黑客入侵)。
- 為了防止電腦系統受到損壞。
快速回顧:網絡安全不僅僅是一件事;它是技術(如防火牆)和人類習慣(如設置強密碼)的結合。
2. 網絡安全威脅
要防禦系統,首先必須了解它如何被攻擊。以下是你考試需要掌握的主要威脅:
社交工程 (Social Engineering)
這是一種操縱人而非直接攻擊電腦本身的「藝術」。騙取一個人交出密碼,比起破解複雜的加密代碼要容易得多!
比喻:與其費力去撬鎖,不如直接騙屋主親手把鑰匙交給你。
惡意程式碼 (Malware)
惡意程式碼是一個「總稱」(一個大類別),指任何具有敵意或侵入性的軟件。它們是專門為了製造麻煩而編寫的代碼。
網頁釣魚 (Pharming)
這是一種巧妙的攻擊,用戶即使輸入了正確的網址,也會被重新導向到一個偽造的網站!該網站看起來與真實網站(如銀行網站)一模一樣,旨在誘騙你輸入登入資料。
弱密碼與預設密碼
許多人使用「123456」或者保留為「password」(即預設密碼)。這讓黑客可以輕易地猜出密碼並入侵。
權限設置錯誤 (Misconfigured Access Rights)
當用戶被賦予了超過其實際需要的系統權限時,就會發生這種情況。如果一名學生在校園網絡中被錯誤地賦予了「教師」權限,他們就能查看所有人的成績!這是一個嚴重的安全隱患。
卸除式媒體
USB 記憶棒等設備可能攜帶惡意程式碼。如果你在公園撿到一個隨機的 USB 並插到電腦上,它可能會自動安裝病毒。這是網絡遭到「感染」的常見途徑。
未修補與過時的軟件
軟件公司經常會發現程式中的「漏洞」(vulnerabilities),並發布「修補程式」(patches)(即更新)來修復它們。如果你不更新軟件,這些漏洞就會保持開放,讓黑客長驅直入。
重點總結:大多數威脅都是由人為錯誤(使用弱密碼、點擊惡意連結或不更新軟件)引起的。
3. 滲透測試 (Penetration Testing)
大型公司如何知道他們的安全性是否足夠好?他們會聘請「道德黑客」來嘗試入侵!這就是所謂的滲透測試。
定義:在不了解用戶名稱、密碼及其他正常存取途徑的情況下,嘗試獲取資源存取權限的過程。
你需要了解兩種測試類型:
1. 模擬惡意內部人員:測試人員會獲得一些系統知識,甚至基本的登入資料。這用來測試心懷不滿的員工在內部能做些甚麼。
2. 模擬外部攻擊:測試人員對系統完全沒有任何了解。他們從外部開始,試圖找到進入的方法,就像真實的黑客一樣。
別搞混了!一種是模擬已經在建築物內的人員帶來的威脅,另一種是模擬完全陌生人帶來的威脅。
4. 深入了解:社交工程
考試要求你了解以下三種特定的社交工程形式。可以將它們視為「欺騙的三大支柱」:
A. 哄騙 (Blagging / Pretexting)
指有人編造一個虛構的情境(即「藉口」)來騙你。例如,他們可能會打電話給你,假裝是銀行保安團隊,說你的帳戶正受到攻擊,從而誘使你交出 PIN 碼。
B. 網絡釣魚 (Phishing)
這是一種透過發送看起來像來自受信任公司的電子郵件或短訊 (SMS) 來獲取個人私隱的技術。它們通常包含一個連向偽造網站的連結。
記憶小撇步:Phishing 就像是用「餌」(偽造的郵件)來「釣」你的數據。
C. 肩窺 (Shouldering / Shoulder Surfing)
這是最簡單的一種!就是在別人輸入密碼或在提款機輸入 PIN 碼時,從旁窺視。
如何防範:保持懷疑態度!絕不要在電話中透露密碼,仔細檢查電郵地址,並且在輸入 PIN 碼時用手遮擋。
5. 深入了解:惡意程式碼 (Malware)
記住,惡意程式碼是通用名稱。你需要掌握以下三種特定類型:
電腦病毒 (Computer Virus)
一種能夠複製(自我複製)並從一台電腦傳播到另一台電腦的代碼。它通常會附加在檔案上。就像真實的流感病毒一樣,它需要「感染」某些東西才能傳播。
木馬程式 (Trojan)
命名源自歷史上著名的木馬屠城記!這種惡意程式碼會偽裝成有用或有趣的軟件(如免費遊戲或酷炫的螢幕保護程式)。一旦你安裝了它,「士兵」就會跑出來並從內部攻擊你的系統。
間諜軟件 (Spyware)
這種軟件會秘密地記錄你的操作。它可能會追蹤你瀏覽的網站,或使用「鍵盤側錄程式」(keylogger) 來記錄你按下的每一個按鍵——包括你的密碼!
快速回顧箱:
- 病毒:會傳播和複製。
- 木馬:狡猾的偽裝者。
- 間諜軟件:秘密監視你。
6. 檢測與預防威脅的方法
現在我們認識了「壞人」,該如何阻止他們?以下是 AQA 課程大綱中的保安措施:
生物辨識措施
利用生理特徵來識別個人。這在流動裝置上非常普遍,例子包括:
- 指紋掃描。
- 面部識別 (FaceID)。
- 虹膜(眼球)掃描。
密碼系統
最常見的保安形式。良好的系統需要強密碼(包含字母、數字和符號的組合),並強制用戶定期更改密碼。
驗證碼 (CAPTCHA)
你知道那些要求你「點擊所有包含交通燈的圖片」的方框嗎?那就是 CAPTCHA。它代表「全自動區分電腦與人類的圖靈測試」。其作用是防止自動化機械人創建虛假帳號或在網站上發送垃圾訊息。
電郵確認
當你在網站註冊時,他們通常會發送一封包含連結的郵件讓你點擊。這可以確認你的身分,確保你是擁有真實電郵地址的真實用戶。
自動軟件更新
保持安全最簡單的方法!讓你的電腦自動進行更新,確保任何保安「漏洞」(修補程式)一旦被製造商發現就能立即修復。
避免常見錯誤:別把網絡釣魚 (Phishing) 和 網頁釣魚 (Pharming) 搞混了!
- Phishing (釣魚) 使用電子郵件來欺騙你。
- Pharming (網頁釣魚) 使用惡意程式碼將你的網頁瀏覽器重新導向到偽造網站。
最終總結
網絡安全的核心在於保護我們的數碼生活。我們面臨著社交工程(欺騙人類)和惡意程式碼(不良軟件)的威脅。為了保持安全,我們使用生物辨識、強密碼、驗證碼,並確保軟件隨時更新。公司則透過滲透測試在壞人發現漏洞之前,先找出自身的弱點!
你一定做得到的!網絡安全關鍵在於保持警覺,並使用正確的工具來搶佔先機。