网络安全防护手册（执行版）.docxVIP

网络安全防护手册（执行版）

第1章网络安全基础认知与态势感知

1.1网络安全威胁概述与分类

网络安全威胁是指任何试图破坏、篡改、泄露或非法访问网络资源、系统或数据的恶意或无意行为，其核心特征在于对信息资产完整性和可用性的潜在损害，威胁来源既包括外部黑客、勒索组织，也包括内部员工、供应商甚至恶意软件。威胁分类体系通常依据攻击者身份（内部/外部）和攻击手段（网络/社会工程/供应链）进行划分，例如针对数据库的SQL注入攻击（SQLi）属于典型的代码执行类威胁，而针对关键控制器的物理入侵则属于物理层威胁，需采用不同的防护策略。

在威胁演化模型中，威胁往往遵循“潜伏-攻击-响应-恢复”的循环，单个攻击事件可能引发连锁反应，如一次DDoS攻击可能导致业务中断，进而迫使组织启动备用电源，增加了系统维护期间的物理安全风险。现代威胁分类已超越传统的“病毒、蠕虫、木马”定义，转而采用基于威胁情报（ThreatIntelligence）的标签化方式，将攻击者行为细分为“零日利用”、“高级持续性威胁（APT）”、“零日漏洞利用”等专业术语，以指导精准防御。针对威胁的识别，企业需建立基于行为分析（UEBA）的机制，通过监控用户登录频率、数据访问模式等指标，自动识别异常行为，例如某非授权账号在夜间时段批量敏感文件，即被视为潜在的高级威胁。

防御分类需涵盖技术防御（防火