网络安全与信息系统维护手册.docx

网络安全与信息系统维护手册

第1章网络安全基础与防护策略

1.1网络安全概述与风险识别

网络安全是指保护信息系统及其数据免受未经授权的访问、攻击、破坏、篡改和泄露，确保系统持续、安全地提供服务的综合能力。其核心目标是实现“零信任”架构，即不再默认信任任何内部或外部实体，始终假设网络环境处于敌对状态。风险识别是网络安全的基石，主要依据CIA三要素（机密性、完整性、可用性）进行量化评估。例如，某银行的核心交易系统若发生99.9%的可用性中断，其年度风险损失可能高达数亿元，这直接决定了优先级的排序。

攻击者利用社会工程学手段获取内部员工信任，是隐蔽性最强的风险类型。例如，通过伪