🧭 前言
理解安全领域最核心的一批概念,是迈入渗透测试与漏洞挖掘的第一道门槛。
如果这些术语模糊,那么学习任何漏洞原理与实战技术都会很吃力。
本篇将从 "安全是什么、保护什么、要防谁、防什么攻击" 四个方面扫盲基础术语。
🛡️ 1. 信息安全(Information Security)
🟦 通俗解释
信息安全就是:
不让数据 被偷、被改、被删、被恶意控制、被乱传播。
它保护的是:
- 我们的电脑
- 手机信息
- 账号密码
- 企业服务器
- 国家重要数据
一句话:让信息安全、正确地由该看的人看到,不该看的人永远看不到。
🟧 专业解释
信息安全是指保护信息及信息系统的机密性、完整性、可用性、不可否认性和可审计性不受破坏或威胁。
🔺 2. CIA 三要素
(安全界最核心的价值模型)
🟦 通俗解释
- C - 保密性:不能给坏人看
- I - 完整性:不能被乱改
- A - 可用性:随时能用不卡壳
例子:
| 场景 | 破坏的要素 |
|---|---|
| 黑客窃取数据库 | 保密性 |
| 篡改薪资变成 100 万 | 完整性 |
| DDOS 导致网站瘫痪 | 可用性 |
🟧 专业解释
CIA 是安全策略制定与评估体系的根基。
任何攻击的目的均可归属于破坏 CI A 中的一个或多个安全属性。
🎭 3. 威胁(Threat)
🟦 通俗解释
威胁就是所有可能导致安全事故的潜在危险。
可能来源于:
- 人(黑客、内部员工)
- 软件漏洞
- 硬件故障
- 自然灾害
例子:
手机忘锁屏 → 有人看你聊天记录 → 威胁变事故
🟧 专业解释
威胁是指存在破坏系统安全属性的能力与意图的行为或事件。
🪤 4. 漏洞(Vulnerability)
🟦 通俗解释
漏洞就是"缺陷"。
就像门锁坏了,别人容易进来。
例子:
- 网站登录不验证输入 → 可被 SQL 注入
- 管理后台弱密码 admin/admin
- 操作系统未打补丁
🟧 专业解释
漏洞是系统中能够被威胁主体利用来破坏安全属性的缺陷或弱点。
🎯 威胁 + 漏洞 = 攻击风险
就像:
有坏人(威胁)
门锁坏(漏洞)
家就可能被盗(风险)
🧑💻 5. 攻击面(Attack Surface)
🟦 通俗解释
攻击面表示黑客能够触碰或利用的入口数量。
入口越多,被攻击的机会越大。
例如:
- 对外开放的端口
- 登录入口
- 文件上传接口
- 内网未上锁的共享文件
🟧 专业解释
攻击面是系统暴露给潜在攻击者的所有可利用点之总和,是风险评估重点。
🚪 6. 社会工程学(Social Engineering)
🟦 通俗解释
不是攻电脑,是攻"人"。
骗术 + 心理操控 + 信息收集 = 入侵成功
常见套路:
- 钓鱼邮件
- 冒充客服
- 微信套话
- 电话诈骗
- "快递员让我点链接签收"
🟧 专业解释
利用人的弱点(信任、贪心、习惯等)诱导目标泄露信息或执行指令的攻击方法。
🎣 7. 钓鱼攻击(Phishing)
🟦 通俗解释
给你发一个看起来正常的网站链接,让你自己把账号密码送上门。
例子:
- 假冒微信、支付宝登录页面
- 伪装为"中奖""订单异常""系统更新"
🟧 专业解释
使用伪造信息诱导用户访问恶意链接或执行敏感操作,从而实现凭据窃取,常结合邮件、短信等渠道。
🎭 8. 社会工程数据库(SEDB)
🟦 通俗解释
网上泄露的手机号、身份证号、密码等信息,被黑客打包卖。
密码黑市 = 一切被泄露的隐私集合
常见来源:
- 企业数据库被泄露
- 用户多个网站使用同一密码
- 黑客撞库整理形成
🟧 专业解释
来源于大型数据泄露或撞库结果的用户个人信息汇总库,是黑灰产攻击的核心资源。
🧱 9. 纵深防御(Defense in Depth)
🟦 通俗解释
像城堡一样一层层防护:
大门 → 护城河 → 士兵 → 城墙 → 数道门 → 地牢
就算一层被攻破,后面还有多层拦住黑客。
例子:
- WAF + 防火墙 + 漏洞修补 + 权限管理 + 日志审计
🟧 专业解释
通过多层安全控制,建立多级缓冲,降低单点失效风险,是行业标准安全策略。
📌 小结表
| 概念 | 一句话理解 |
|---|---|
| 信息安全 | 防偷、防改、防坏、防瘫、防传播 |
| CIA | 给谁看、能不能改、能不能用 |
| 威胁 | 危险存在 |
| 漏洞 | 安全缺口 |
| 风险 | 事件可能发生的概率与影响 |
| 攻击面 | 黑客所有入口 |
| 社工攻击 | 攻人不攻机 |
| 钓鱼攻击 | 主动骗你交密码 |
| SEDB | 被泄露的成套用户信息 |
| 纵深防御 | 多层护城河 |
📘 下一篇安排
《第三篇:操作系统与权限类术语(权限、本地提权、RCE、Shell、Root 等全解析)》