网络安全攻防技术与风险评估手册.docxVIP

网络安全攻防技术与风险评估手册

第1章网络安全基础理论

1.1网络架构与安全模型

网络架构是数据在物理和逻辑上流动的路径，现代架构普遍采用分层设计以提升效率。在TCP/IP模型中，用户数据报协议（UDP）比传输控制协议（TCP）更适用于对实时性要求极高的场景，如视频流媒体或物联网设备通信，因为UDP不保证可靠传输，能减少约25%的延迟开销，适合带宽敏感的应用。安全模型将系统划分为安全域，每个域拥有独立的边界，防止内部攻击者横向移动。例如，在银行核心系统中，交易处理区与用户信息存储区通过严格的访问控制列表（ACL）隔离，确保即使核心系统被攻破，用户敏感数据也不会泄露，这是构建纵深防御的第一道防线。

零信任架构摒弃了传统的“信任内网”假设，主张对所有网络流量进行持续验证，无论数据来源何处。具体实施时，企业需部署网络流量分析（NTA）系统，对每一包数据包进行身份验证、意图识别和上下文分析，只有符合策略的流量才被允许通过，从而阻断未授权访问。身份认证机制是安全模型的核心，它通过多因素验证（MFA）来增强安全性。例如，当员工访问云端服务器时，系统会要求输入动态令牌（如GoogleAuthenticator的六位验证码）与生物特征（如指纹扫描）双重认证，这种组合使得暴力破解和中间人攻击几乎无效。加密技术通过算法将明文转换为密文，确保数据在传输和存储过程中的机