Chatbox桌面AI客户端:专业功能解析与最佳实践指南
2026/1/19 5:39:26
前言+第一章(安全事件、安全厂商和安全产品)
未来就业岗位
- 安全专家/研究员 — 薪资待遇最高
- 偏底层 — 算法研究
- 偏上层应用 — 白帽子
- 安全运维/安全工程师 — 甲方
- windows/linux系统加固、脚本编写、渗透测试;
- 要求:对主流的安全产品有了解。
- 安全厂商工程师
- 主要以该厂商的主流产品为主。
- 售前和售后
- 系统集成安全工程师
- 每个方向,每个技术都要懂一点。
著名的网络安全公司
网络兼安全厂商
思科、华为、华三、锐捷、迈普、迪普
传统网络安全厂商
奇安信、深信服、启明星辰、天融信、绿盟
细分领域安全厂商
- 堡垒机:齐治
- 终端安全:北信源
- 云安全:亚信安全
- 移动安全:梆梆安全
互联网安全厂商
360、腾讯、阿里
详细介绍:见网络安全厂商介绍.pdf
网络安全事件和安全产品
安全防护做了,出了问题是产品防护不到位;但是如果没有做,那么所有的责任都是你的。
网络安全事件
伊朗震网事件与震网病毒
伊朗震网事件
震网(Stuxnet)是2010年曝光的全球首个具备物理破坏能力的国家级网络武器,由美国和以色列联合研发,核心目标是破坏伊朗纳坦兹铀浓缩设施。 该病毒利用4个Windows零日漏洞(是软件、硬件或固件中未被厂商知晓、无公开补丁 / 修复方案的安全缺陷,利用它发起的攻击称零日攻击,因无防御基线,隐蔽性与破坏力极强),通过工程师的U盘突破核设施的物理隔离网络,随后在内网横向移动,精准识别西门子SIMATIC S7-300 PLC以及配套的离心机变频器。它会潜伏记录设备正常运行参数,之后篡改离心机转速,使其超速或骤降,同时向控制中心回传虚假正常数据,掩盖攻击行为。此次攻击导致伊朗约1000台离心机报废,核计划延误约2年。 病毒因设备交叉使用意外扩散至全球约10万台设备,随后被安全厂商发现并曝光。
震网病毒
震网病毒是一种恶性蠕虫病毒(2010 年),攻击目标是工业上使用的可编程逻辑控制器(PLC)。震网病毒感染了全球超过 20 万台电脑,摧毁了伊朗浓缩铀工厂大量离心机。震网病毒感染途径是通过U 盘传播,然后修改 PLC 控制软件代码,使 PLC 向用于分离浓缩铀的离心机发出错误的命令。
蠕虫病毒特点:1.自我繁殖能力强;2.具备破坏性
木马病毒
木马病毒本身不具备破坏性。
木马操作:
- 植入后门;
- 控制设备窃取信息
木马不是病毒,木马相当于后门。
后门 – 是测试人员在目标系统中植入的一种隐蔽的访问途径;可以使其在未经授权的情况下访问系统。
海康弱口令漏洞
海康弱口令漏洞,核心是其监控设备(如DVR/NVR、摄像头、流媒体服务器)出厂默认弱口令(如admin/12345、123456、888888)被大量用户/集成商未修改就接入公网,叠加部分固件认证缺陷(如CVE-2017-7921可绕过认证、静态弱密钥加密配置),导致攻击者通过暴力破解或漏洞利用获取设备控制权,窃取监控画面、篡改配置甚至锁定合法用户。 2015年曾爆发大规模攻击事件,江苏省公安厅发文要求清查;后续虽推出设备激活机制、强制改密与固件补丁,但仍有大量老设备未修复并暴露在公网,持续成为攻击目标。 防御要点:启用设备激活改密、设8位以上强密码、禁用不必要公网端口、及时更新固件、接入防火墙/IDS防护。
摄像头自身存在的安全漏洞:
1.摄像头系统的弱口令;
2.替换摄像头为终端设备;
3.存在不必要的远程服务;
4.系统组件和应用程序漏洞。
物联网Mirai病毒
Mirai是2016年出现的物联网(IoT)恶意蠕虫病毒,专门针对摄像头、路由器、智能家电等存在弱口令的物联网设备。 它的攻击逻辑非常直接:通过扫描公网暴露的IoT设备,利用默认弱口令(如admin/admin)批量暴力破解登录,感染后将设备纳入僵尸网络,主要发起DDoS攻击。2016年,它曾操控数十万台被感染设备攻击域名服务商Dyn,导致美国东海岸大量网站瘫痪,引发全球关注。 Mirai的特点是传播速度极快,且针对IoT设备普遍缺乏安全防护的痛点,感染后会删除自身样本,难以溯源。其源代码随后被公开,衍生出大量变种(如Satori、Okiru),持续威胁物联网安全。 防御核心:修改IoT设备默认密码、关闭不必要的公网端口、及时更新设备固件。
DDoS--> 分布式拒绝服务攻击:通过数千台被入侵后的主机,同时发起一种集团性的攻击行为。一般都是大量的服务请求报文。大量的去消耗的服务器资源。最终导致服务器无法给正常的用户提供服务。
江苏省公安视频专网“黑天鹅”事件
乌克兰变电站攻击事件
委内瑞拉电网攻击事件
物理电力攻击方式
直接攻击和间接断电
某图纸泄密事件
斯诺登与棱镜门事件
详情:见网络安全大事件.pdf
安全产品
网络不是法外之地。
网络安全行业 – 全周期的安全防护手段
- 事前 – 梳理资产
- 事中 – 需要通过网络层和应用层防护。
- 事后 – 实时检测内部的异常点;快速定位和隔离。
防火墙产品
防火墙:在保证数据通讯的基础上,在去尽可能的考虑安全性。
基本功能:网络隔离和访问控制
VPN:IPSEC VPN和SSL VPN
分类:经典防火墙、NGFW下一代防火墙、M9000高端安全旗舰
IPS 产品
IPS 和防火墙区别:
- 防火墙 — 更偏向于边界的安全管理
- IPS — 对内网的流量进行分析,一般部署在核心交换机上旁挂
负载均衡产品
LB-- 负载均衡设备;
- 优势:1. 扩展网络设备和服务器的带宽;2. 增加吞吐量,加强网络数据的处理能力;3. 提高网络可用性
- 分类:服务器、链路、全局
流控产品 ACG
流控产品 —ACG — 应用控制网关 – 在华三中实际上就是上网行为管理设备;
流控 — 专业的流量控制设备。用于实现的是应用层流量控制。网络优化设备
上网行为管理 – 帮助互联网用户控制和管理对互联网的使用;对网页访问的过滤、限制、隐私保护行为;用户行为分析。安全设备
总结:广义上说,行为管理设备也算是流控,但其主要的用途是记录和控制网络中的用户行为,限制用户使用某个应用,但他流控行为较弱,一般适用于上网人数较少的场景;狭义上,即专用的流控设备主要目的是优化带宽,通过限制带宽占用较强的应用来保护关键应用数据。
DPI – 深度报文检测
- 深入读取 IP 报文的载荷内容,对 OSI 七层协议中的应用层信息进行重组,得到应用层完整信息。
DFI – 深度流检测
- 是 DPI 的衍生技术。通过分析网络流的行为特性来识别应用类型。关注的是数据包的顺序、大小、频率。
WAF 产品
WAF – Web 应用防护墙
主要是部署在网站集群服务器的前端,专门保护网站。
数据库审计产品
数据库审计:一种记录数据库操作行为的系统
审计产品:
内容审计----上网行为管理
数据库审计----访问数据库的操作的审计
运维审计----堡垒机/主机加固系统
单点登录;
运维审计----将管理员的所有操作全部记录下来。
异常流量清洗产品
堡垒机产品
基本是运维人员使用
漏扫产品
X-Scan系列漏洞扫描系统:
Web漏洞扫描
系统漏洞扫描
数据库漏洞扫描
安全隔离与信息交换产品
网闸(GAP)
内部网络中需要被访问的服务器,可以被外部访问到;
内部网络中其他服务器与外部隔离;
两个网络在安全隔离的前提下进行信息交换共享。
防火墙和网闸的区别:
防火墙一般用于逻辑隔离,网闸用于物理隔离。
防火墙:在保证数据通讯的基础上,去尽可能地考虑安全性。
网闸:如果不能保证安全的情况下,则断开连接。
逻辑隔离----区域之间的通讯是依靠防火墙的安全策略来判断的。
物理隔离----多个网络之间不存在导线连接。本质上是实现了物理层和数据链路层的分割、
GAP的特点:没有通信连接、没有命令、没有协议、没有TCP/IP、没有应用连接、没有包交换;只有文件摆渡;对固态介质只有读写两个操作。
前置机:作用是连接用户与后端服务器,起到桥梁的作用。负责接受服务器的用户请求,并将这些请求转发给后端服务器处理。
SSM 安全业务管理中心
态势感知产品
详情:见安全产品培训教材.pdf
导线连接。本质上是实现了物理层和数据链路层的分割、
GAP的特点:没有通信连接、没有命令、没有协议、没有TCP/IP、没有应用连接、没有包交换;只有文件摆渡;对固态介质只有读写两个操作。
前置机:作用是连接用户与后端服务器,起到桥梁的作用。负责接受服务器的用户请求,并将这些请求转发给后端服务器处理。
SSM 安全业务管理中心
态势感知产品
详情:见安全产品培训教材.pdf