网络安全规划重安全性需求

1.网络安全基本内容

安全包括哪些方面
操作系统内部的安全包括：数据存储安全、应用程序安全、操作系统安全。
此外还有网络安全、物理安全、用户安全教育。

网络安全：
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。
网络安全由于不同的环境和应用而产生了不同的类型。主要有以下几种:

系统安全
运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。
网络的安全
网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。
信息传播安全
网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。
信息内容安全
网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏润进行窃听、冒充、诈编等有损于合法用户的行为。其本质是保护用户的利益和隐私。

1.1计算机网络面临的威胁：

(1)内部泄密和破坏
　　内部人员可能对信息网络形成的威胁包括：内部泄密人员有意或无意泄密、更改记录信息；内部非授权人员有意偷窃机密信息、更改记录信息；内部人员破坏信息系统等。

(2)截收
　　网络攻击者可能通过搭线或在电磁波辐射范围内安装截收装置等方式，截获机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息。这种方式是过去军事对抗、政治对抗和当今经济对抗中最常采用的窃密方式，也是一种针对计算机通信网的被动攻击方式，它不破坏传输信息的内容，不易被察觉。

(3)非法访问
　　非法访问是指未经授权使用信息资源或以未授权的方式使用信息资源，它包括：非法用户(通常称为黑客)进入网络或系统，进行违法操作；合法用户以未授权的方式进行操作。

(4)破坏信息的完整性
　网络攻击者可能从三个方面破坏信息的完整性：
　篡改 --改变信息流的次序、时序、流向，更改信息的内容和形式；
　删除 --删除某个消息或消息的某些部分；
　插入 --在消息中插入一些信息，让接收方读不懂或接收错误的信息。

(5)冒充
　　网络攻击者可能进行的冒充行为包括：冒充领导发布命令、调阅密件；冒充主机欺骗合法主机及合法用户；冒充网络控制程序套取或修改使用权限、口令、密钥等信息，越权使用网络设备和资源；接管合法用户，欺骗系统，占用合法用户的资源。

(6)破坏系统的可用性
　　网络攻击者可能从以下几个方面破坏计算机通信网的可用性：使合法用户不能正常访问网络资源；使有严格时间要求的服务不能及时得到响应；摧毁系统等。

(7)重演
　　重演指的是攻击者截收并录制信息，然后在必要的时候重发或反复发送这些信息。例如，一个实体可以重发含有另一个实体鉴别信息的消息，以证明自己是该实体，达到冒充的目的。

(8)抵赖
　　可能出现的抵赖行为包括：发送信息者事后否认曾经发送过某条消息；发送信息者事后否认曾经发送过某条消息的内容；接收信息者事后否认曾经收到过某条消息；接收信息者事后否认曾经收到过某条消息的内容。

(9)其他威胁
　　对计算机通信网的威胁还包括计算机病毒、电磁泄漏、各种灾害、操作失误等。

计算机通信网的安全机制是对付威胁、保护信息资源的所有措施的总和，它涉及政策、法律、技术等多方面内容。其中，技术措施是最直接的屏障，它们在与威胁的对抗过程中，不断发展和完善。

1.2 安全套接字SSL层
位于传输层和应用层之间。
在发送方，SSL 接收应用层的数据（如 HTTP 或 IMAP 报文），对数据进行加密，然后把加了密的数据送往 TCP 套接字。在接收方，SSL 从 TCP 套接字读取数据，解密后把数据交给应用层。

使用SSL的常见应用
我们在上网的时候，一般的网页使用的是http协议，然而一旦涉及到输入账号和密码的网页，立马用到https协议；或者在网上发邮件收邮件，都用https协议，避免信息被他人捕获。https协议就是用了SSL加密。
SSL是如何实现的？
为了提高加密效率和更加安全，SSL应用的是上面所讲的对称和非对称的结合。假如一浏览器访问一服务器，服务器首先把自己的公钥给浏览器，然后浏览器产生一个对称秘钥如123，先用123加密数据，再用公钥加密123，一起发给服务器。服务器收到后，先用私钥得到123，再用123解密数据。这是浏览器和服务器第一次通信的情况。以后的通信，都用123这个对称秘钥，就不用非对称加密了。简言之，私钥的作用就是为了客户端能安全地把对称秘钥送到服务器，否则如果客户端直接发给服务端，容易被别人捕获。
SSL的三种功能
(1)SSL服务器鉴别：允许用户证实服务器的身份。具有SSL功能的浏览器维持一个表，上面有一些可信赖的认证中心CA (Certificate Authority)和它们的公钥。浏览器访问一个网站，会用该网站的证书来验证是不是真的网站。
(2) 加密的SSL会话：客户和服务器交互的所有数据都在发送方加密，在接收方解密。
(3) SSL客户鉴别：允许服务器证实客户的身份。服务器也可以要求用用户的证书证明用户的身份。
其他使用SSL的安全协议
imaps=TCP+993
pop3s=TCP+995
smtps=TCP+465
https=TCP+443

1.3 防火墙
防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。

防火墙内的网络称为“可信赖的网络”，而将外部的因特网称为“不可信赖的网络”。防火墙可用来解决内联网和外联网的安全问题。
防火墙技术一般分为两类：
(1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。基于数据包、源地址、目标地址、协议和端口控制流量。
(2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。基于数据包、源地址、目标地址、协议、端口、用户名、时间段。可以看见数据包内容，防止病毒进入内网。

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。