《网络信息安全教学》课件

网络信息安全教学课程导言欢迎来到网络信息安全课程！在信息时代的浪潮中，数据和信息已成为个人与组织的重要资产本课程旨在帮助大家建立系统的网络安全知识体系，培养安全意识与防护能力通过本课程的学习，你将了解网络安全的基本概念、常见威胁、防护技术以及法律法规等多方面内容在信息高度发达的今天，网络攻击与日俱增，个人隐私和企业数据面临前所未有的挑战，掌握网络安全知识已成为每个数字时代公民的必备技能让我们一起踏上这段安全防护的学习旅程，共同探索网络安全的奥秘！什么是信息安全信息安全的定义三要素CIA信息安全是指对信息及其处理、存储和传输系统的保护，确保其信息安全的核心目标可概括为三要素CIA不受未授权的访问、使用、披露、中断、修改或破坏它是一套机密性（）确保信息不被未授权的人员获•Confidentiality综合性的防护措施，旨在保障信息的安全状态取或访问信息安全不仅仅是技术问题，还涉及管理、法律和人员等多方面完整性（）保证信息的完整和准确，未经授权不•Integrity因素，是一个多维度、多层次的综合性课题能被篡改可用性（）确保授权用户能够随时访问和使用•Availability信息资源信息安全的发展历程初期阶段（）11960s-1970s计算机系统开始出现，信息安全主要关注物理安全和基本访问控制1969年，ARPANET（互联网前身）建立，随之出现早期的网络安全意识发展阶段（）21980s-1990s个人计算机普及，计算机病毒开始流行1988年莫里斯蠕虫事件成为首次大规模网络安全事件，引发了信息安全领域的重视与研究成熟阶段（）32000s-2010s互联网爆发式发展，网络攻击日趋复杂化2010年震网病毒（Stuxnet）攻击伊朗核设施，标志着国家级网络战的出现现代阶段（至今）42010s云计算、大数据、物联网技术兴起，网络安全威胁呈现规模化、组织化趋势2017年WannaCry勒索软件全球爆发，影响超过150个国家的30万台计算机网络安全基础概念网络安全保护网络系统及其传输数据的安全性信息安全保护信息资产不受未授权访问和篡改数据原始事实和数字，未经处理的原始材料数据是未经处理的原始材料，而信息是经过整理和分析的数据，具有特定的意义网络则是连接计算机系统的基础设施，使信息得以流动和共享信息安全与网络安全既有区别又密切相关信息安全范围更广，涵盖所有形式的信息保护，包括非数字形式；而网络安全主要关注通过计算机网络传输和存储的数字信息的安全问题在当今数字时代，二者高度融合，共同构成了现代安全防护体系的核心网络安全的重要性天$

4.35M280平均数据泄露成本平均检测时间2023年全球企业数据泄露平均损失，较2022年增长15%从数据泄露发生到被发现的平均时间60%43%小企业倒闭率针对中小企业攻击遭受重大网络攻击后六个月内倒闭的小企业比例针对中小企业的网络攻击占比，因其安全防护较弱网络安全问题已经超越了技术层面，对国家安全产生重大影响关键基础设施（如电网、金融系统、医疗网络）遭受攻击可能导致社会运转中断，引发公共危机在社会层面，网络安全事件可能导致个人隐私泄露、身份盗窃等问题，影响公民正常生活随着智慧城市建设推进，安全漏洞可能威胁到城市运行效率与公共安全因此，网络安全已经成为国家战略的重要组成部分信息安全的三大目标完整性（）Integrity保证信息的正确性和完整性，防止未授权修改数字签名技术机密性（）•Confidentiality哈希函数应用•确保信息只能被授权人员访问和使用版本控制系统•数据加密技术•访问控制措施可用性（）•Availability身份认证机制•确保授权用户能够随时访问所需信息容灾备份系统•负载均衡技术•冗余设计方案•这三大目标相互依存、相互制约，共同构成了信息安全的基础框架在实际安全设计中，需要根据具体应用场景在三者之间找到平衡点，以实现最优的安全保障例如，过于强调机密性可能会降低系统的可用性，而过度追求可用性则可能会削弱安全性常见网络安全威胁计算机病毒通过感染程序文件实现自我复制的恶意程序，如CIH、熊猫烧香等病毒通常通过文件传播，在特定条件下激活，可能导致文件损坏、系统崩溃等后果计算机蠕虫能够自主传播的恶意程序，不需要宿主程序代表性蠕虫包括冲击波、震荡波等，利用网络漏洞实现快速传播，可能导致网络拥塞、系统瘫痪特洛伊木马伪装成正常程序的恶意软件，如黑客远控木马、开机自启动木马等木马通常具有隐蔽性，可以窃取信息、远程控制、破坏系统等钓鱼攻击通过伪装成可信实体的欺骗方式，诱导用户提供敏感信息常见形式包括钓鱼邮件、钓鱼网站等，主要针对用户的社会心理弱点进行攻击此外，分布式拒绝服务攻击（DDoS）、中间人攻击、勒索软件等也是当前网络环境中常见的安全威胁这些威胁不断演化，攻击手段日益复杂化、专业化，给安全防护带来巨大挑战恶意软件详解恶意软件类型传播方式主要特征危害程度计算机病毒附着于宿主程序自我复制，需要宿中到高主计算机蠕虫网络自主传播自我复制，无需宿高主特洛伊木马伪装成正常软件不自我复制，隐蔽高性强间谍软件捆绑下载安装秘密收集用户信息中勒索软件邮件附件、漏洞利加密用户文件，索极高用要赎金病毒与蠕虫的主要区别在于传播机制病毒需要依附于宿主程序，当宿主程序运行时才会激活；而蠕虫可以自主复制和传播，无需人为干预，因此传播速度更快，影响范围更广木马与间谍软件则主要针对用户隐私和数据安全木马通常提供远程控制功能，可以窃取信息、破坏系统；间谍软件主要用于收集用户行为数据，可能用于定向广告投放或更严重的隐私侵犯网络攻击类型主动攻击被动攻击主动攻击是指攻击者直接干扰或修改系统资源的攻击行为，通常被动攻击是指攻击者不直接干扰系统运行，而是通过监听或分析会对目标系统产生直接的影响典型的主动攻击包括网络流量获取敏感信息的攻击行为被动攻击主要包括拒绝服务攻击（）网络嗅探与流量分析•DoS/DDoS•口令破解攻击电磁辐射分析••欺骗攻击（欺骗、欺骗等）加密流量统计分析•IP ARP•中间人攻击社会工程学侦察••恶意代码注入元数据收集••案例分析年月，太阳风（）遭遇供应链攻击，攻击者通过植入后门代码到软件更新包中，成功入侵美国多个政202012SolarWinds府部门和企业这是一种主动攻击与被动攻击相结合的高级持续性威胁（）攻击，具有极高的隐蔽性和破坏性APT社会工程学攻击概念定义常见手法社会工程学攻击是指利用人类心理弱点和•假冒（Pretexting）冒充权威人士社会行为模式，通过欺骗和操纵手段获取或可信实体敏感信息或实现未授权访问的攻击方法•钓鱼（Phishing）通过虚假信息诱它不依赖于技术漏洞，而是直接针对人导泄露隐私这一环节，被称为最难防御的攻击•搜垃圾（Dumpster Diving）从废弃物中获取信息•肩窥（Shoulder Surfing）通过观察获取敏感信息•尾随（Tailgating）未经授权跟随他人进入受限区域真实案例2020年7月，Twitter遭遇内部员工受骗事件攻击者通过电话冒充IT支持人员，诱导员工提供内部管理工具的访问凭证，最终控制了多个高知名度账户，包括比尔·盖茨、巴拉克·奥巴马等，并发布虚假比特币诈骗信息该事件导致Twitter市值在短时间内下跌数亿美元，是典型的社会工程学攻击案例钓鱼攻击原理诱饵投放用户点击制作并发送伪造的邮件、短信或网站链接受害者点击链接进入钓鱼网站信息窃取信息收集攻击者获取并滥用窃取的信息引导用户输入账号密码等敏感信息邮件钓鱼是最常见的钓鱼攻击形式攻击者精心设计伪装成银行、电商或社交平台的电子邮件，通常包含紧急信息（如账户异常、确认订单）促使用户快速行动，降低警惕性邮件中的链接会引导用户到高度仿真的钓鱼网站，诱导输入敏感信息防范钓鱼攻击的关键技巧包括检查邮件发送者的真实地址；警惕过于紧急的信息；验证网址是否正确（特别是标识）；不要点击可疑链HTTPS接；使用多因素认证；安装反钓鱼工具；定期参与安全意识培训拒绝服务攻击（）DDoS僵尸网络构建攻击者通过恶意软件控制大量受害者电脑攻击指令下达远程控制僵尸网络向目标发起协同攻击流量洪水淹没目标服务器被大量请求占满资源服务瘫痪正常用户无法访问目标系统或服务2020年2月，亚马逊Web服务（AWS）遭遇了历史上最大规模的DDoS攻击，攻击流量峰值达到

2.3Tbps攻击者利用了被劫持的CLDAP（轻量级目录访问协议）服务器进行流量放大攻击，导致多个依赖AWS的服务短暂中断2023年中国国内某电商平台在促销活动期间遭受DDoS攻击，攻击流量超过1Tbps，导致服务短时间不可用，影响了数百万用户的购物体验，造成直接经济损失超过千万元DDoS攻击已成为网络勒索和不正当竞争的常用工具零日漏洞与高危漏洞零日漏洞定义高危漏洞特征年知名漏洞2024零日漏洞是指尚未被官高危漏洞通常具有远程年初爆出的2024方发现和修复的软件安可利用、无需身份验Microsoft Exchange全漏洞由于厂商尚未证、影响范围广等特远程代码执行漏Server发布补丁，攻击者利用点这类漏洞往往会被洞（CVE-2024-这类漏洞可以实现高成赋予高（通用漏），影响众多企CVSS21410功率的攻击，威胁极洞评分系统）分数，需业邮件服务器该漏洞大零日漏洞在黑市上要紧急修复虽然已有允许未经身份验证的远价值高昂，可能达到数补丁，但由于修复不及程攻击者执行任意代十万美元时，仍是黑客攻击的主码，获取系统控制权，要目标危害极大漏洞公布后两周内，全球超过个服务器遭到10,000攻击信息窃取与数据泄露社会工程学通过钓鱼等手段诱导用户泄露信息漏洞利用利用应用或系统漏洞获取数据库访问权内部威胁内部人员有意或无意泄露敏感信息恶意软件通过特洛伊木马等收集用户数据2020年7月，某国内知名在线教育平台发生用户数据泄露事件，超过100万用户的个人信息被泄露，包括姓名、手机号、家庭住址等调查显示，此次事件是由于该平台一名离职员工在离职前窃取了数据库访问凭证，并将数据出售给第三方2023年4月，国内某社交媒体平台遭遇SQL注入攻击，导致约2000万用户的账号信息被窃取并在暗网出售该事件造成了严重的用户隐私泄露，公司因此遭受重大声誉损失，并面临监管部门的调查和处罚木马植入与远程控制木马投递阶段攻击者通过钓鱼邮件、捆绑软件、网站挂马等方式将木马程序传递给目标用户木马通常伪装成正常软件，如游戏、工具或文档，诱导用户下载安装静默安装阶段木马通过漏洞或欺骗用户授权进行安装，并通常设置为开机自启动为躲避检测，先进的木马会使用各种反分析技术，如代码混淆、加壳加密等方式隐藏自身远程控制阶段木马成功安装后会与控制服务器（服务器）建立连接，等待接收指CC令攻击者可通过控制平台实现文件操作、屏幕监控、键盘记录、摄像头控制等功能，完全掌控被感染系统有效检测木马的方法包括监控异常网络流量；查看异常进程活动；检查系统启动项；使用专业安全软件定期扫描；监控敏感文件变化等防御措施应包括保持系统和软件更新；使用正规渠道下载软件；安装可靠的防病毒软件；定期备份重要数据；提高安全意识，不随意点击可疑链接和附件账户安全与认证技术弱密码是网络安全的主要隐患之一常见的弱密码包括生日、电话号码、简单数字组合（如）、常用词汇（如）等123456password这类密码极易被猜测或通过暴力破解手段获取据统计，超过的数据泄露事件与弱密码有关60%为加强账户安全，双因素认证（）和多因素认证（）技术应运而生这些技术基于你知道的（密码）、你拥有的（手机、令2FA MFA牌）和你是谁（生物特征）三类因素的组合，大大提高了账户安全性常见的实现方式包括短信验证码、认证应用（如Google）、生物识别技术（指纹、面部识别）等相比单一密码认证，多因素认证可将账户被入侵的风险降低以上Authenticator99%密码学基础对称加密非对称加密对称加密使用相同的密钥进行加密和解密操作特点是加解密速非对称加密使用一对密钥公钥和私钥公钥可公开分发，私钥度快，适合大量数据处理，但密钥分发困难，安全性相对较低需严格保密用公钥加密的信息只能用私钥解密，反之亦然常见对称加密算法常见非对称加密算法（高级加密标准）目前最广泛使用的对称加密算法，应用最广泛的非对称加密算法，基于大整数分解难题•AES•RSA密钥长度可为位、位、位128192256较早的标准，现已不推荐使用（椭圆曲线加密）密钥长度短，提供同等安全性•DES/3DES•ECC新型流加密算法，在移动设备上性能优良（数字签名算法）专为数字签名设计的算法•ChaCha20•DSA在实际应用中，通常结合两种加密方式使用非对称加密来安全传输对称密钥，然后使用对称加密处理大量数据，这种混合加密模式平衡了安全性和效率哈希函数与数字签名哈希函数原理常见哈希算法数字签名应用哈希函数是一种将任意长度的输入数据转换属于家族，输出数字签名结合哈希函数和非对称加密，实现•SHA-256SHA-2256为固定长度输出的算法理想的哈希函数具位哈希值，安全强度高信息来源认证和完整性保护发送方使用私有以下特性单向性（不可逆）、抗碰撞性钥对消息哈希值进行加密生成签名，接收方最新一代哈希标准，抗量子计•SHA-3（不同输入很难产生相同输出）、雪崩效应使用发送方公钥验证签名广泛应用于软件算攻击（输入小变化导致输出大变化）和计算效率分发、电子合同、安全通信等场景已被证明不安全，但因速度快仍•MD5高被用于完整性校验中国商用密码算法，输出位•SM3256哈希值公钥基础设施（）PKI数字证书包含用户身份和公钥的电子凭证证书颁发机构CA负责签发和管理证书的可信第三方证书存储库3存储证书和证书撤销列表的数据库证书策略定义证书颁发和使用规则的政策集密码算法支持PKI运行的加密技术基础公钥基础设施（PKI）是一个完整的框架，用于创建、管理、分发、使用和撤销数字证书，为公钥密码技术应用提供了信任基础PKI解决了公钥认证的问题，确保公钥确实属于声称的拥有者在实际应用中，PKI广泛用于安全电子邮件（S/MIME）、SSL/TLS安全通信、代码签名、安全文档等场景例如，当我们访问采用HTTPS的网站时，浏览器会验证服务器提供的数字证书，确认其身份后才建立加密连接，这整个过程都依赖于PKI体系的支持网络边界与防护设备防火墙类型系统其他边界设备IDS/IPS网络防火墙是网络边界最基础的防护设备，根据入侵检测系统（）和入侵防御系统（）是完整的网络边界防护还包括IDS IPS工作机制可分为多种类型网络安全的重要组成部分（应用防火墙）专门防护•WAF WebWeb包过滤防火墙基于地址和端口号过滤网被动监控网络流量，发现可疑活动后发应用攻击•IP•IDS络流量出警报（网络准入控制）控制设备接入网络•NAC•状态检测防火墙能够识别和跟踪连接状态•IPS主动监控并能够自动采取阻断措施的条件•应用层防火墙能够识别和控制应用层协议•基于网络的IDS/IPS监控网络流量•VPN网关提供安全的远程访问通道•下一代防火墙（NGFW）集成IPS、应用•基于主机的IDS/IPS监控系统日志和文件•DLP（数据泄露防护）防止敏感数据外泄控制、过滤等多种功能URL防火墙工作原理包过滤技术基于预设的规则对网络数据包进行检查和过滤检查内容包括源/目的IP地址、源/目的端口、协议类型等网络层和传输层信息规则通常采用白名单或黑名单模式，决定是允许还是拒绝特定流量状态检测技术通过维护已建立连接的状态表，跟踪TCP/UDP会话状态状态防火墙能识别连接的建立、数据传输和终止过程，仅允许符合预期状态转换的数据包通过，有效防止伪造的数据包应用层网关又称代理防火墙，能够深入检查应用层协议内容应用网关在防火墙内部终止客户端连接，并建立新的连接转发到服务器，实现完全隔离可以分析HTTP、FTP、SMTP等应用层协议，识别恶意内容现代防火墙通常采用多层防护策略，结合上述三种技术的优势例如，下一代防火墙（NGFW）不仅具备传统防火墙功能，还集成了深度包检测、入侵防御、恶意软件检测和应用识别等高级功能，能够应对更复杂的网络威胁入侵检测与入侵防御检测机制工作原理优势局限性基于特征匹配已知攻击特征准确率高，误报低无法检测未知攻击基于异常识别偏离正常行为可检测零日攻击误报率较高的活动基于状态分析协议状态变化精确识别协议违规资源消耗大基于启发式使用规则和算法推灵活性高调优复杂断入侵检测系统（IDS）和入侵防御系统（IPS）在部署位置上有多种选择网络型IDS/IPS通常部署在网络边界或关键网段交汇处，可以监控所有经过的流量；主机型IDS/IPS则安装在重要服务器上，专注于保护单一主机在实际应用中，企业通常采用分层部署策略，结合多种检测机制和部署位置，构建全面的检测防御体系例如，在网络边界部署基于特征的NIDS，在关键服务器上部署基于异常的HIDS，同时在核心网络设备上启用流量异常检测，确保从多个维度发现和拦截各类攻击行为病毒防护与杀毒技术文件扫描行为监测基于特征码检测已知病毒分析程序运行行为发现可疑活动沙箱分析云端检测4在隔离环境中运行可疑文件观察行为利用云端数据库和AI技术辅助判断传统的特征库查杀是杀毒软件的基础功能，通过匹配病毒特征码识别已知病毒每个病毒都有其独特的代码片段或行为模式，杀毒软件将这些特征提取出来形成病毒特征库当扫描文件时，与特征库中的模式进行比对，如果匹配则判定为病毒为应对不断进化的恶意软件，现代杀毒软件已发展出主动防御技术，包括启发式扫描、行为监控、机器学习等这些技术不依赖于已知特征，而是通过分析程序的行为和结构特点，预测其是否具有恶意性质，能够有效检测未知变种和零日病毒顶尖杀毒软件通常结合多种技术，构建多层次防御体系，实现更全面的保护安全审计与日志分析日志收集从多个来源（服务器、网络设备、安全设备、应用程序等）收集日志数据使用集中化日志收集工具，如Syslog服务器、SIEM（安全信息与事件管理）系统等，确保日志完整性和一致性日志标准化2将不同来源的日志转换为统一格式，便于分析和关联标准化过程包括时间同步、字段提取、格式转换等，解决多源日志格式不一致的问题日志分析3使用自动化工具对日志进行分析，识别异常活动和安全事件分析方法包括模式匹配、统计分析、关联分析和行为分析等，能够发现单一日志无法识别的复杂攻击告警与响应根据分析结果生成告警，并触发相应的响应措施建立分级告警机制，确保关键安全事件得到及时处理，避免告警疲劳和重要信息被忽略在一起真实案例中，某金融机构通过日志分析发现了内部数据泄露事件安全团队注意到一名员工在非工作时间频繁访问客户数据库，且数据查询量异常大通过关联分析该员工的VPN登录日志、数据库访问日志和文件操作日志，确认了数据泄露行为，及时阻止了更大范围的信息外泄安全漏洞扫描漏洞扫描系统漏洞扫描主流工具介绍WebWeb漏洞扫描主要针对网站和Web应用程序进行系统漏洞扫描主要检测操作系统、中间件、数据库•AWVS（Acunetix WebVulnerability安全检测，能够发现常见的Web安全漏洞，如等基础设施的安全问题，包括系统配置错误、缺少Scanner）专业的Web应用漏洞扫描工具，SQL注入、XSS跨站脚本、CSRF跨站请求伪造、安全补丁、不安全的服务配置等这类扫描通常基支持HTML5和JavaScript分析文件包含、命令注入等扫描过程通常模拟黑客的于漏洞数据库，将目标系统的软件版本与已知漏洞•Nessus广泛使用的综合安全漏洞扫描器，攻击方式，对目标站点进行渗透测试，验证其是否进行匹配，找出潜在的安全风险覆盖系统和网络漏洞存在安全弱点•OpenVAS开源的漏洞评估系统，功能全面且免费•NSFOCUS RSAS绿盟科技研发的远程安全评估系统，国内使用广泛安全与防护Web跨站脚本攻击注入攻击XSS SQLXSS攻击是指攻击者将恶意JavaScript代码注入SQL注入是通过在Web应用的输入字段中插入恶到网页中，当用户浏览该页面时，恶意代码会在意SQL代码，使应用程序执行非预期的数据库操用户浏览器上执行，从而窃取Cookie、会话令牌作，从而获取、修改或删除数据库中的信息等敏感信息主要防护措施主要防护措施•使用参数化查询或预编译语句•对用户输入进行严格过滤和转义•实施最小权限原则，限制数据库用户权限•使用内容安全策略（CSP）限制JavaScript•对输入数据进行严格验证和过滤执行•设置Cookie的HttpOnly标志防止JavaScript访问代码审计与加固措施代码审计是检查源代码中潜在安全问题的过程，可以通过手动或自动化工具完成常见的Web应用加固措施包括•实施安全编码标准和最佳实践•定期进行安全扫描和渗透测试•部署Web应用防火墙（WAF）•强化会话管理和身份认证机制应用层安全业务安全与逻辑漏洞应用加固手段应用安全测试业务逻辑漏洞是指应用程序业务流程设计中的缺应用层安全加固是防御攻击的最后一道防线，主要全面的应用安全测试应包括陷，不涉及代码层面的技术漏洞，但可能被攻击者包括以下手段•静态应用安全测试（SAST）分析源代码利用常见的逻辑漏洞包括•代码加固代码混淆、反调试、完整性校验•动态应用安全测试（DAST）分析运行中的•越权访问绕过授权校验访问他人数据•输入验证客户端和服务端双重验证应用•支付漏洞修改订单金额或重复使用优惠码•会话管理安全的会话创建、验证和终止•交互式应用安全测试（IAST）结合静态和动•竞争条件利用并发请求绕过业务限制•加密传输敏感数据加密存储和传输态测试•身份验证缺陷绕过身份验证流程•活跃监控实时监控异常行为•手动渗透测试模拟真实攻击场景•业务逻辑测试验证业务流程安全性操作系统安全加固权限分级管理系统补丁管理操作系统安全的核心是权限管理，通过实施最小权限原则，确保安全补丁是修复已知漏洞的关键措施，完善的补丁管理流程是系用户和程序只能访问完成任务所需的最低权限资源统安全的基础有效的权限分级管理包括有效的补丁管理策略包括用户账户控制（）限制标准用户权限，关键操作需提建立补丁管理策略明确补丁分类和优先级•UAC•权定期评估系统漏洞使用扫描工具发现缺失补丁•访问控制列表（）精细控制文件和资源的访问权限•ACL测试补丁兼容性在应用到生产环境前验证•角色基础访问控制（）根据用户角色分配权限•RBAC自动部署机制使用、等工具集中管理•WSUS SCCM特权账户管理严格控制管理员账户使用•补丁部署后验证确认补丁安装成功且无副作用•文件系统加密保护敏感数据安全•建立应急响应流程严重漏洞的快速修复机制•除了权限管理和补丁管理外，全面的操作系统安全加固还应包括服务精简（关闭不必要的服务和端口）、强化密码策略、启用审计日志、实施本地防火墙策略、安装反恶意软件工具等多层次防护措施这些措施协同工作，共同提升操作系统的安全防护能力网络协议安全协议漏洞协议安全问题ARP DNSARP协议缺乏认证机制，容易被攻击者利DNS协议面临缓存投毒、域名劫持和放大用发起ARP欺骗攻击攻击者可以发送伪攻击等威胁攻击者可以通过这些手段将造的ARP响应，使网络中的主机将数据发用户引导到恶意网站或发起大规模DDoS送到错误的MAC地址，从而实现中间人攻击DNSSEC（DNS安全扩展）通过攻击、会话劫持或拒绝服务防护措施包数字签名技术提供DNS记录的身份验证和括使用静态ARP表项、部署ARP防火墙和数据完整性验证，有效防止DNS欺骗和缓启用网络设备的ARP检测功能存投毒攻击加密通信协议HTTPS基于SSL/TLS协议，为HTTP通信提供加密、身份验证和完整性保护TLS

1.3是目前最新版本，相比旧版本提供更强的安全性和更高的性能IPSec是网络层的安全协议，可为IP通信提供端到端加密，常用于构建VPNSSH协议提供安全的远程登录和文件传输功能，替代了不安全的Telnet和FTP协议协议安全是网络通信安全的基础随着技术发展，许多历史悠久的协议因设计上的安全缺陷而逐渐被更安全的替代方案取代例如，HTTP被HTTPS取代，Telnet被SSH取代，FTP被SFTP取代在现代网络环境中，应优先选择支持加密和认证功能的协议，确保数据传输的机密性和完整性数据防泄漏技术（）DLP识别与分类监控与检测识别敏感数据并进行分级分类监控数据流动并识别违规行为审计与报告防护与加密记录数据访问活动并生成合规报告对敏感数据实施加密和访问控制数据防泄漏（DLP）技术是一套完整的解决方案，用于防止敏感数据被未授权访问、使用、传输或存储DLP系统通过内容识别技术检测和阻止敏感信息的泄露，支持多种检测方法，包括精确数据匹配、结构化数据指纹、统计分析、关键词匹配、正则表达式和机器学习等数据分类分级保护是DLP的基础，通常根据数据敏感性和泄露后的影响程度划分为多个等级例如，可划分为公开信息、内部信息、保密信息和绝密信息四个级别，不同级别的数据适用不同的保护措施现代DLP解决方案通常支持网络DLP、终端DLP和云DLP三种部署模式，全面覆盖数据的整个生命周期无线网络安全Wi-Fi加密协议安全强度主要缺陷适用场景WEP极低密钥易破解，已完全不安全已不推荐使用WPA-TKIP低存在多个已知漏洞兼容旧设备WPA2-PSKAES中高易受字典攻击，存在KRACK漏洞家庭/小型办公WPA2-Enterprise高配置复杂，需额外认证服务器企业环境WPA3-SAE极高设备兼容性问题需要高安全性场景无线网络面临多种特有的安全威胁，包括恶意热点（Evil Twin）攻击，攻击者创建与合法AP同名的热点诱骗用户连接；中间人攻击，拦截并可能修改无线通信数据；口令破解攻击，通过抓取握手包进行离线破解；拒绝服务攻击，发送解除认证帧使设备断开连接；以及KRACK（密钥重装攻击）等协议漏洞利用为保护无线网络安全，建议采取以下措施使用最新的加密标准（如WPA3）；创建复杂、不易猜测的无线密码；启用MAC地址过滤；隐藏SSID广播；启用无线入侵检测系统；定期更新路由器固件；使用企业级认证（如

802.1X+EAP）；以及在公共Wi-Fi环境使用VPN进行额外加密移动终端安全移动恶意软件应用安全风险安全防护措施移动平台上的恶意软件形式移动应用存在多种安全隐移动设备加密是保护数据的多样，包括特洛伊木马、间患，包括不安全的数据存基础措施，iOS和Android谍软件、勒索软件等攻击储、明文传输敏感信息、过系统均支持全盘加密功能，者通常通过第三方应用商度请求权限、代码注入和逆可防止设备丢失时数据被不店、钓鱼链接或应用捆绑等向风险等许多应用未正确当访问远程擦除功能允许方式传播恶意应用这些恶实施SSL/TLS，导致通信过用户在设备丢失或被盗时远意应用可能窃取用户信息、程容易被监听；部分应用甚程删除所有数据，防止信息发送高额短信、监控用户行至在本地存储未加密的用户泄露此外，使用应用沙为或加密设备数据索要赎凭证，增加数据泄露风险箱、权限控制和多因素认证金也是提升移动安全的重要手段移动安全管理的最佳实践包括仅从官方应用商店下载应用；定期更新操作系统和应用；使用安全锁屏方式（指纹、面部识别或复杂密码）；安装移动安全软件；不越狱/不root设备；避免连接不安全的公共Wi-Fi；以及为重要应用启用双因素认证企业环境中，应考虑部署移动设备管理（MDM）或企业移动管理（EMM）解决方案，实施统一的安全策略云计算安全共享责任模型云安全依赖供应商与用户的责任划分数据安全加密、访问控制、数据回收与销毁身份与访问管理最小权限原则、多因素认证网络与边界安全安全组策略、VPC隔离、DDoS防护合规与治理5合规性评估、安全基线、持续监控云环境面临多种特有的安全威胁，包括租户隔离不当导致的数据泄露、API接口安全风险、虚拟化层漏洞、账户劫持和特权访问滥用等云服务的多租户特性使得安全控制更加复杂，配置错误也成为重要的安全隐患2021年，国内某互联网企业的数据存储桶配置错误事件引发广泛关注由于管理员错误配置了对象存储权限，将原本应仅内部访问的用户数据暴露在互联网上该事件导致超过500万用户的个人信息可被公开访问，包括姓名、手机号码和身份证信息事件被安全研究人员发现并报告后，企业立即修复了配置问题，但已造成严重的数据泄露和声誉损失物联网（）安全IoT攻击类型典型攻击事件IoT物联网设备面临多种安全挑战，主要攻击类型包括历史上几起知名攻击事件IoT•设备劫持攻击者获取设备控制权，将其纳入僵尸网络2016年Mirai僵尸网络攻击利用默认密码和硬编码凭证入侵上百万设备，发起大规模攻击，造成多个知名网站服务中固件漏洞利用设备固件中的安全漏洞获取权限IoT DDoS•断通信劫持拦截并篡改设备间通信数据••物理攻击通过直接接触设备获取敏感信息2021年智能家居监控系统入侵攻击者利用摄像头漏洞获取远程访问权限，窃取隐私视频并发布勒索信息，影响全球超过万台设10密码攻击利用默认或弱密码获取设备访问权限•备网络服务攻击针对设备开放的网络服务端口•年医疗物联网设备漏洞黑客利用医疗监控设备漏洞入侵医2023院网络，尝试获取患者数据，引发医疗安全担忧安全防御策略应包括更改默认密码并使用强密码；定期更新固件和软件；实施网络隔离和分段；加密数据传输与存储；强化设备认证IoT机制；部署安全监控系统；以及制定完整的安全生命周期管理计划随着物联网设备数量的爆炸性增长，安全防护将成为行业发展的关IoT键因素安全运维与应急响应监控与告警全面监控网络流量、系统性能、安全事件等指标，配置多级告警阈值和通知机制有效的监控系统应覆盖基础设施、网络、应用和安全设备等多个层面，能够及时发现异常情况并自动触发相应级别的告警安全事件检测通过多种技术手段识别和验证安全事件，确定事件的真实性、影响范围和严重程度包括使用IDS/IPS系统、SIEM平台、威胁情报、行为分析等工具和方法，对可疑活动进行深入分析和判断遏制与控制采取措施阻止安全事件扩大，包括隔离受影响系统、阻断攻击源IP、关闭漏洞利用点等遏制阶段的目标是最小化事件影响，防止攻击扩散到其他系统或网络区域恢复与修复清除恶意程序、修复漏洞、恢复数据和系统功能，确保业务连续性恢复过程应遵循预先制定的流程，先进行彻底的安全清理，然后分阶段恢复业务功能，避免再次被攻击完整的应急响应流程还应包括事后分析与总结环节，对安全事件的原因、处理过程和效果进行全面评估，更新安全策略和应急预案，防止类似事件再次发生企业应定期进行应急演练，确保团队熟悉响应流程，能够在实际事件发生时快速有效地应对安全管理体系规划实施制定安全策略和控制目标部署安全措施和控制机制2改进检查4持续优化安全管理体系监控评估安全控制有效性ISO27001是国际公认的信息安全管理体系标准，提供了建立、实施、维护和持续改进信息安全管理体系的框架该标准采用风险管理方法，关注组织的信息安全风险识别和控制，通过系统化的管理减少信息安全威胁信息安全管理体系包含管理措施和技术措施两个维度管理措施侧重于组织层面的安全治理，包括安全策略制定、风险评估、人员管理、供应商安全等；技术措施则关注具体的安全控制实现，如访问控制、加密技术、漏洞管理、网络安全等完善的安全管理体系应确保两类措施协同工作，形成防护闭环，有效应对各类安全风险个人信息保护个人信息定义敏感个人信息《个人信息保护法》要点根据《中华人民共和国个人信息保护法》，个人信息敏感个人信息是指一旦泄露或者非法使用，容易导致•明确个人信息处理应当遵循合法、正当、必要原是指以电子或者其他方式记录的与已识别或者可识别自然人的人格尊严受到侵害或者人身、财产安全受到则的自然人有关的各种信息，不包括匿名化处理后的信危害的个人信息，包括生物识别、宗教信仰、特定身•规定个人信息处理应当取得个人的充分知情同意息个人信息包括姓名、出生日期、身份证号码、生份、医疗健康、金融账户、行踪轨迹等信息，以及不•确立个人对自身信息的查询、复制、更正、删除物识别信息、住址、电话号码、电子邮箱、健康信满十四周岁未成年人的个人信息等权利息、行踪轨迹等•要求个人信息处理者履行安全保障义务•对敏感个人信息处理设置了严格条件•规定个人信息跨境提供的限制条件《个人信息保护法》自2021年11月1日起施行，是我国个人信息保护领域的基础性法律，标志着中国个人信息保护进入了法治化、规范化轨道该法明确了个人信息处理活动应当遵循的原则和规则，为个人信息权益保护和数据安全治理提供了法律依据网络安全等级保护（等保）

2.0等级划分安全等级从低到高分为五级保护对象定级备案确定系统安全保护等级并向公安机关备案安全建设与整改按等级要求实施安全措施并整改不符项等级测评由测评机构依据标准进行全面检测评估安全运维持续监控与改进安全防护措施等级保护

2.0是我国网络安全领域的基础性制度，适用于所有网络系统系统等级依据其在国家安全、经济建设、社会生活中的重要程度和遭到破坏后可能造成的危害程度来确定，从第一级到第五级，要求逐级提高等保

2.0与

1.0相比，拓展了保护对象范围，增加了云计算、大数据、物联网、移动互联等新技术应用场景；强化了安全防护要求，增加了安全通信网络、安全区域边界、安全计算环境等多个层面的控制要求；突出了主动防御理念，强调持续监测、态势感知和应急响应能力金融、电信、能源、医疗等重要行业通常要求系统达到三级以上保护水平国家网络安全法律法规《网络安全法》主要内容相关法律法规体系《中华人民共和国网络安全法》于年月日正式实施，是我围绕《网络安全法》，我国已形成较为完善的网络安全法律体系201761国网络安全领域的基础性法律，其主要内容包括网络安全支持与促进鼓励网络安全技术创新和人才培养《数据安全法》规范数据处理活动，保障数据安全••网络运行安全关键信息基础设施保护、网络安全等级保护制《个人信息保护法》保护个人信息权益••度《关键信息基础设施安全保护条例》加强关键信息基础设施•网络信息安全个人信息和重要数据保护安全保护•监测预警与应急处置建立健全网络安全风险评估和应急工作《网络安全审查办法》确保关键信息基础设施供应链安全••机制《网络产品安全漏洞管理规定》规范漏洞发现、报告和修复•法律责任明确违法行为的处罚措施•《数据出境安全评估办法》规范数据出境活动•企业在合规方面需重点关注网络运营者安全责任、用户个人信息保护义务、数据本地化要求、网络安全审查、重要数据和个人信息出境等方面的具体要求违反相关法律法规可能面临罚款、业务暂停、吊销许可证甚至刑事责任等严重后果国际网络安全标准简述国际合作趋势主要国际标准GDPR《通用数据保护条例》（General DataProtection随着网络安全威胁的全球化，国际合作日益重要当前主除GDPR外，主要国际网络安全标准还包括Regulation，GDPR）是欧盟制定的数据保护法规，于要合作趋势包括•ISO/IEC27000系列信息安全管理体系标准2018年5月25日正式实施GDPR适用于处理欧盟公民个•建立多边网络安全合作机制，如联合国信息安全政府•NIST网络安全框架美国国家标准与技术研究院制人数据的所有组织，无论组织位于何处专家组（UNGGE）定GDPR的核心原则包括合法性、公平性和透明度；目的•推动区域网络安全合作，如欧盟网络安全局•PCI DSS支付卡行业数据安全标准限制；数据最小化；准确性；存储限制；完整性和保密（ENISA）•CIS Controls关键安全控制措施性；责任原则违反GDPR可能面临高额罚款，最高可达•开展双边网络安全对话，如中美、中欧网络安全对话全球年营业额的4%或2000万欧元（取较高者）•COBIT IT治理与管理框架机制•促进国际标准互认，减少合规壁垒•加强跨境数据流动规则制定与协调•开展联合打击网络犯罪行动企业安全管理与教育内部安全培训企业安全培训是提升组织整体安全意识和防护能力的关键举措有效的安全培训计划应包括入职安全教育，确保新员工了解基本安全政策；岗位专项培训，针对不同岗位设计相应的安全要求；定期安全更新，及时传达新型威胁和防护措施；以及模拟演练，增强员工实战应对能力钓鱼测试演练定期开展模拟钓鱼邮件测试，评估员工安全意识测试应覆盖不同类型的钓鱼场景，如假冒内部系统、紧急通知等，针对点击可疑链接的员工提供即时反馈和额外培训统计测试结果，识别高风险部门或个人，有针对性地加强培训力度安全政策宣贯制定全面的安全政策并确保全员知晓遵守关键政策应包括可接受使用政策、密码管理规范、数据分类与处理规定、移动设备安全要求等使用多种渠道进行宣贯，如内部网站、安全手册、电子邮件提醒、海报等，并要求员工签署安全责任书安全文化建设4培养积极的安全文化，使安全成为每位员工的自觉行为举办安全知识竞赛、设立安全月活动、建立安全英雄评选机制等，提高员工参与度鼓励安全事件报告，建立无责任报告机制，从失误中学习而非追责，形成持续改进的安全氛围信息安全职业发展15%年增长率网络安全人才需求年增长率

3.5M人才缺口全球网络安全人才缺口数量40%薪资溢价相比普通IT岗位的薪资优势万¥35平均年薪中国资深安全工程师平均薪资信息安全行业主要岗位类别包括安全运营（SOC分析师、安全监控工程师）；渗透测试（红队队员、漏洞挖掘专家）；安全开发（安全编码、安全工具开发）；安全架构（系统设计与规划）；安全管理（合规管理、风险评估）；安全研究（漏洞研究、威胁情报分析）等信息安全职业发展路径通常包括初级安全工程师→高级安全工程师→安全架构师/安全专家→安全总监/CISO技能要求方面，除了专业技术能力外，沟通协作、持续学习、分析思维和解决问题的能力也至关重要行业认证如CISSP、CISA、CEH等有助于职业发展，但实战经验和专业能力更为关键安全工具与资源推荐专业安全工具是安全从业者的必备武器网络分析工具可以深入分析网络协议和流量，帮助排查网络问题和安全隐患；渗透测试平Wireshark台集成了数百种安全测试工具，支持各类安全评估需求；应用测试工具提供了全面的漏洞发现和利用功能；而Kali LinuxWeb BurpSuite Web漏洞扫描器则可以全面检测系统和网络漏洞Nessus持续学习对安全专业人员至关重要推荐学习资源包括（开放应用安全项目）社区，提供安全最佳实践；、OWASP WebWeb FreeBuf等中文安全社区，分享最新安全动态；、等国际安全媒体；以及（夺旗赛）平台如，提供SecWiki SecurityWeekDarkReading CTFCTFtime实战训练机会此外，国家信息安全漏洞共享平台（）和国家信息安全漏洞库（）也是了解最新漏洞信息的重要渠道CNVD CNNVD经典网络安全案例

（一）初始入侵2018年，某国内互联网公司遭遇了高级持续性威胁（APT）攻击攻击者首先通过定向钓鱼邮件向公司技术部门员工发送含有Office漏洞利用代码的文档一名员工打开附件后，攻击者成功在其电脑上植入了远程访问木马横向移动攻击者利用获取的初始立足点，收集内网信息并进行横向移动通过密码嗅探和漏洞利用，攻击者逐步获取了多台服务器的控制权，包括开发测试服务器和代码仓库服务器，并建立了多个隐蔽后门数据窃取在长达三个月的潜伏期内，攻击者陆续窃取了公司核心产品源代码、客户数据库和内部设计文档数据通过加密通道分批次缓慢传输到境外服务器，避开了常规流量监控发现与处置安全团队在例行安全审计中发现了异常的域名解析请求，追踪溯源后确认系统被入侵公司立即启动应急响应，隔离受感染系统，清除后门程序，重置所有凭证，并对整个网络进行全面安全评估和加固这起事件的关键启示包括钓鱼攻击仍是APT攻击的主要入口，员工安全意识培训至关重要；网络分段和最小权限原则可有效限制攻击者横向移动；持续的安全监控对及时发现潜在威胁非常必要；完善的应急响应计划可以最大限度减少安全事件的影响经典网络安全案例

（二）安全事件发生时间影响范围主要原因WannaCry勒索软2017年5月150多个国家，30EternalBlue漏洞，件万台计算机补丁缺失Equifax数据泄露2017年9月

1.47亿用户数据被Apache Struts漏洞窃未修复Colonial Pipeline2021年5月美国东海岸燃油供VPN账户泄露，缺攻击应中断乏双因素认证SolarWinds供应链2020年12月18000客户受影软件更新机制被劫持攻击响，包括政府机构WannaCry勒索事件是历史上规模最大的勒索软件攻击，利用微软SMB服务的EternalBlue漏洞在全球范围内快速传播该事件导致多个国家的医院、企业和政府部门的系统瘫痪，造成巨大经济损失事件暴露了全球范围内的补丁管理不足问题，也凸显了及时更新安全补丁的重要性SolarWinds供应链攻击是一起高度复杂的APT事件，攻击者入侵SolarWinds公司网络，在其Orion软件更新包中植入后门代码随着软件正常更新，后门被分发到数千客户环境中这起事件引发了对供应链安全的广泛关注，促使企业加强第三方风险管理和软件供应链安全审查前沿安全技术介绍在安全领域的应用零信任（）理念AI ZeroTrust人工智能技术正深刻改变网络安全领域，主要应用包括零信任安全模型基于永不信任，始终验证的原则，彻底摒弃了传统的网络边界防护思想核心理念包括威胁检测利用机器学习识别异常行为和未知威胁，降低误•报率身份为新边界以用户身份为中心的访问控制•自动化响应智能安全编排与自动化响应（）系统可最小权限仅授予完成任务所需的最低权限•SOAR•根据威胁情报自动执行响应措施持续验证对所有访问请求持续验证身份和安全状态•用户行为分析构建用户行为基线，识别异常活动•微分段将网络分割为小型安全区域•恶意代码分析通过深度学习预测新型恶意软件•全程加密端到端加密所有通信流量•漏洞预测分析代码模式预测潜在安全漏洞•持续监控实时监控所有资源访问活动•不仅提高了防御效率，也被攻击者用于开发更先进的攻击技AI零信任模型适应了远程办公、云计算和边缘计算等新型环境，IT术，如智能钓鱼和逃避检测的恶意软件，形成技术竞赛成为现代企业安全架构的主流选择网络安全未来趋势智能安全运营中心（）法律与技术的协同发展新兴技术带来的挑战与机遇SOC未来的SOC将更加智能化和自动化，整合AI、大数据分网络安全的法律框架与技术防护将更加紧密结合，主要趋量子计算、5G/6G、元宇宙等新兴技术将重塑网络安全析和自动化响应技术新一代SOC特点包括势包括格局•实时威胁情报融合与分析•全球数据保护法规趋同，但保留区域特点•量子计算可能打破现有加密体系，量子安全加密技术加速发展•AI驱动的异常检测与行为分析•隐私增强技术（PET）成为合规必备工具•自动化编排与响应（SOAR）•合规即代码理念兴起，将法规要求转化为自动化•5G/6G带来更多网络接入点，扩大攻击面•跨平台安全可视化控制•数字孪生技术用于安全建模与模拟•预测性安全分析•网络安全保险市场规模扩大，风险量化模型成熟•区块链技术在身份认证与数据完整性保护中的应用扩大•网络空间国际规则与治理机制逐步形成这种演进将大幅提高安全响应效率，减轻安全人员的手动•生物识别与行为分析成为下一代身份验证主流分析负担，让他们专注于更复杂的安全挑战企业需要构建整合性的安全与合规框架，确保技术措施与法律要求协同发展信息安全日常实践建议密码管理双因素认证系统更新采用强密码策略，创建长度至少12位、为所有支持的重要账户启用双因素认证保持操作系统、应用程序和设备固件的包含大小写字母、数字和特殊字符的密（2FA），包括电子邮件、社交媒体、及时更新，这些更新通常包含重要的安码避免使用个人信息、生日或常见词网上银行和云存储服务优先选择基于全补丁启用自动更新功能，确保在新汇作为密码为不同网站和服务使用不应用的验证器（如Google补丁发布后快速应用对于手机和IoT同密码，防止一处泄露影响所有账户Authenticator、Microsoft设备，定期检查并安装新的固件更新，考虑使用密码管理器如LastPass、Authenticator）而非短信验证码，因淘汰不再接收安全更新的过时设备1Password等工具，自动生成和安全存为短信容易被拦截对于高价值账户，储复杂密码定期更换重要账户的密考虑使用硬件安全密钥（如YubiKey）码，特别是在服务提供商发生数据泄露提供更高安全性后社交工程防范警惕不请自来的电子邮件、短信和电话，特别是那些要求提供个人信息或点击链接的验证发件人身份，检查邮件地址是否真实不要轻信声称来自银行、政府机构或IT支持的紧急请求在提供个人信息前，通过官方渠道核实请求的真实性参加安全意识培训，了解最新的社交工程攻击手法课程复习与知识总结基础概念信息安全三要素、威胁类型攻击技术常见攻击方式及防护防御措施技术与管理防护体系法律法规合规要求与责任重点回顾内容包括信息安全CIA三要素（机密性、完整性、可用性）及其保障技术；常见网络攻击类型及识别方法；主要防护技术（加密、认证、访问控制等）的原理与应用；网络边界防护与纵深防御策略；主机与应用安全加固方法；安全运维与应急响应流程；以及网络安全法律法规体系本课程考核将采用理论与实践相结合的方式理论部分包括选择题、填空题和简答题，重点考察基本概念、原理和方法；实践部分设置案例分析和实验操作，评估解决实际问题的能力建议复习策略首先梳理知识框架，掌握核心概念；其次结合案例深化理解；最后进行模拟练习，检验学习成果预祝各位同学在考试中取得优异成绩！问题答疑与课程展望常见问题解答行业前景Q如何平衡安全性与可用性？网络安全行业正处于快速发展阶段，人才需求持续增长随着数字经济深入发展，安全需求A这需要基于风险评估进行决策，针对不同将进一步扩大，从业者可期待更广阔的职业空资产制定差异化安全策略，重要系统采用多层间重点发展方向包括云安全、移动安全、次防护，同时优化用户体验工业控制系统安全、人工智能安全、隐私计算Q个人如何提升网络安全技能？等新兴领域A建议从基础知识学习开始，参与CTF比赛，搭建实验环境进行实践，关注安全社区动态，参与开源项目贡献学习建议持续学习是安全领域的必然要求建议培养跨学科知识体系，除安全技术外，还应了解软件开发、网络架构、数据分析甚至法律法规等相关知识保持好奇心和探索精神，对新技术和新漏洞保持敏感，参与实战演练提升实际能力网络安全是一个永无止境的攻防演进过程，新技术带来新机遇的同时也伴随新的安全挑战本课程旨在建立网络安全的基础知识框架，希望能够激发大家的学习兴趣，为未来深入研究打下基础最后，感谢各位同学的积极参与！欢迎通过电子邮件或课程论坛提出更多问题和建议希望大家在信息安全领域的学习和工作中不断进步，为构建安全、可靠的网络空间贡献力量！。