练习篇：自学系统安全基础&sqlmap皮毛

学期2025-2026-1 学号20252332 《网络》第四周自学总结“系统安全基础”

它不仅仅指电脑操作系统（如 Windows、Linux），而是指由硬件、软件、数据、人员和流程共同组成的、能够完成特定任务的整个计算环境。因此，【系统安全】的核心目标是：保护这个计算环境中的信息资源（包括硬件、软件、数据）的机密性、完整性和可用性，防止其被破坏、泄露或不可用。

二、系统安全的核心层面（分层防御思想）
一个安全的系统需要从多个层面进行防护，这被称为“纵深防御”。攻击者突破一层，还有下一层在等着他。

层面	描述	核心安全措施举例
物理安全	保护计算机硬件、服务器、网络设备等物理基础设施免受物理接触、盗窃、破坏	门禁系统、监控摄像头、保险柜、机房环境控制（温湿度、防火）
网络安全	保护网络基础设施和网络传输的数据。控制网络流量进出，隔离不同区域的信任度	防火墙、入侵检测/防御系统、VPN、网络分段
操作系统安全	保护服务器和终端电脑的操作系统。这是绝大多数应用运行的平台，是关键	系统补丁更新、用户账户和权限管理、安全配置、日志审计
应用安全	保护应用程序（如网站、手机App、桌面软件）本身没有漏洞，不会被利用	安全编码规范、代码审计、Web应用防火墙、输入验证
数据安全	直接保护数据本身，无论数据处于何种状态（存储、传输、使用）	加密技术、数据脱敏、数据丢失防护、备份与恢复

三、基础核心概念与技术
要理解系统安全，必须掌握以下几个基础概念：

身份认证与授权
身份认证：验证“你是谁？”的过程。确认用户的身份是否属实。

方式：密码、指纹/面部识别（生物特征）、手机验证码、数字证书等。

授权：确定“你能做什么？”的过程。在认证通过后，赋予用户相应的访问权限。

原则：最小权限原则 —— 只授予用户完成其任务所必需的最小权限。

漏洞、威胁与风险
漏洞：系统硬件、软件或策略中存在的弱点或缺陷。例如，一个未修复的软件Bug。

威胁：利用漏洞对系统造成损害的潜在可能性或事件。例如，一个黑客。

风险：威胁利用漏洞后，对系统造成损害的可能性及其影响的严重程度。

风险管理的核心就是：识别风险 -> 评估风险 -> 处理风险（接受/规避/减轻/转移）。

恶意软件
指任何带有恶意意图的软件，常见类型有：

病毒：附着在正常程序上，需要用户交互才能传播。

蠕虫：可以自我复制和传播，无需用户干预。

木马：伪装成有用软件，诱骗用户安装，然后在后台执行恶意操作。

勒索软件：加密用户文件，要求支付赎金才能解密。

防火墙
相当于网络的“门卫”，根据预设的规则，控制网络流量（数据包）的进出。通常用于隔离“信任的网络”（内网）和“不信任的网络”（互联网）。
加密
系统安全的基石技术。

对称加密：加密和解密使用同一把密钥。速度快，适合大量数据加密。如 AES 算法。

非对称加密：使用一对密钥——公钥和私钥。公钥公开，用于加密；私钥保密，用于解密。如 RSA 算法。常用于密钥交换和数字签名。

哈希算法：将任意长度的数据转换为固定长度的、唯一的“指纹”（哈希值）。用于验证数据完整性。

四、攻击类型简介
了解攻击者如何思考是防御的第一步。

社会工程学攻击：利用人性弱点（如好奇、信任、贪婪）进行欺骗。例如：钓鱼邮件、诈骗电话。

拒绝服务攻击：通过海量流量淹没目标服务器，使其无法提供正常服务。

中间人攻击：攻击者秘密插入到两个通信方之间，窃听甚至篡改通信内容。

漏洞利用攻击：攻击者编写代码，利用软件中的特定漏洞来获得系统控制权。

密码攻击：如暴力破解（不断尝试）、字典攻击（使用常见密码字典）等。

实验-SQLMap操作系统的访问控制

(标题是这么起的，但是实际内容有出入)
1.打开Git bash （默认已下载Git）

2.下载SQLMap
'bash git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev'

3.进入sqlmap

4.专门用于练习的安全靶场网站来做测试
'python sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" --banner'

5.扫描mysql

6.安装flash