网络安全空间导论课件

网络空间安全导论第一章网络空间安全概述信息时代的网络空间网络空间是信息技术革命的产物,是虚拟信息环境与物理基础设施深度融合形成的新型空间形态它不仅是技术系统的集合,更是经济活动、社会交往、文化传播的重要载体亿10+73%中国网民规模互联网普及率居全球第一位,互联网普及率超过70%数字化转型加速推进100%网络空间三维特征•虚拟信息环境层战略资源地位•网络基础设施层影响国计民生各领域网络空间安全的重要性没有网络安全,就没有国家安全;没有信息化,就没有现代化——习近平总书记法律保障战略地位现实威胁2016年《中华人民共和网络安全关系国家主国网络安全法》正式实权、经济发展、社会稳施,标志着网络安全上升定和文化安全,已成为总为国家战略,建立了网络体国家安全观的重要组安全的基本法律框架成部分网络空间安全的三大核心属性信息安全的CIA三要素构成了网络空间安全的理论基础,是评估和构建安全体系的核心标准机密性完整性可用性Confidentiality IntegrityAvailability确保信息仅被授权实体访问,防止未经授权保证信息在存储、传输和处理过程中保持确保授权用户在需要时能够及时、可靠地的信息泄露和披露准确性和完整性,未被非法篡改访问信息系统和服务•访问控制机制•数字签名验证•冗余备份设计•加密技术应用•哈希校验机制•DDoS防护措施•身份认证系统•版本控制系统•容灾恢复能力网络空间安全学科框架网络空间安全是一门综合性交叉学科,涉及计算机科学、通信工程、数学、法律等多个领域我国已将其设立为一级学科,建立了完整的人才培养体系密码学基础网络安全技术对称与非对称密码算法、哈希函数、数字签防火墙、入侵检测、VPN、无线安全、协议名、密钥管理、量子密码学安全分析内容安全系统安全信息隐藏、数字水印、内容过滤、舆情监操作系统安全、数据库安全、恶意代码分控、隐私保护析、漏洞挖掘与利用网络空间安全多层次结构物理层安全硬件设备安全、机房环境安全、电磁防护、物理访问控制网络层安全网络协议安全、路由安全、传输安全、边界防护应用层安全Web安全、应用程序安全、API安全、业务逻辑安全用户层安全身份认证、权限管理、行为审计、安全意识培训纵深防御策略要求在每个层次建立相应的安全机制,形成多层次、立体化的防护体系,确保即使某一层防线被突破,其他层次仍能提供有效保护第二章网络安全威胁与攻击技术了解攻击者的思维方式和技术手段,是构建有效防御体系的前提本章系统介绍网络攻击的类型、技术和典型案例网络攻击的四大类型根据攻击目标和破坏方式的不同,网络攻击可分为四大类型,分别针对信息安全的不同属性进行破坏12阻断攻击截取攻击目标:破坏可用性目标:破坏机密性典型攻击:DoS/DDoS攻击通过大量请求耗尽系统资源,导致合法用户无法典型攻击:网络监听、中间人攻击、密码窃取、数据库拖库访问服务危害:信息泄露、商业机密损失、个人隐私暴露危害:业务中断、经济损失、声誉受损34篡改攻击伪造攻击目标:破坏完整性目标:破坏真实性典型攻击:数据篡改、网页挂马、SQL注入、消息重放典型攻击:身份冒充、钓鱼攻击、DNS欺骗、会话劫持危害:数据失真、系统被控、信任体系崩溃危害:非法访问、欺诈行为、责任追溯困难典型攻击案例1年勒索病毒2017WannaCry利用Windows系统漏洞,席卷全球150多个国家,感染超过30万台计算机英国医疗系统、德国铁路、中国高校网络等遭受重创,造成数十亿美元损失该事件暴露了关键基础设施的脆弱性2年供应链攻击2020SolarWinds黑客入侵IT管理软件供应商SolarWinds,在软件更新中植入后门,影响美国多个政府部门和数千家企业这次攻击展示了供应链安全的重要性和APT攻击的隐蔽性3持续威胁钓鱼与社交工程通过伪造邮件、虚假网站、电话诈骗等手段,诱骗用户泄露敏感信息据统计,超过90%的网络攻击始于钓鱼邮件,年均造成数百亿美元经济损失启示:网络攻击呈现全球化、产业化、高级化趋势,单一防护措施已无法应对,需要建立主动防御、协同响应的综合安全体系主动攻击与被动攻击的区别被动攻击主动攻击攻击者仅监听和分析网络流量,不主动干预或修改数据这类攻击隐蔽性极攻击者主动修改数据流或创建虚假数据流,对系统造成直接破坏这类攻击强,难以被实时检测破坏性强但相对容易被检测特点特点•不改变系统状态•改变系统状态•难以被发现和阻止•可能被检测系统发现•主要威胁机密性•威胁完整性和可用性•事后取证困难•留下攻击痕迹典型攻击典型攻击•网络嗅探•篡改数据•流量分析•拒绝服务攻击•密码破解•重放攻击防御策略防御策略重点在于预防,通过加密通信、安全协议等技术防止信息泄露依靠检测与响应,通过IDS/IPS、日志审计等技术及时发现并阻止攻击网络攻击流程侦察阶段收集目标信息,包括网络拓扑、系统配置、员工信息等攻击阶段利用漏洞获取访问权限,植入恶意代码或后门程序维持访问建立持久化机制,确保长期控制目标系统清除痕迹删除日志记录,掩盖攻击行为,避免被发现理解完整的攻击流程有助于在每个阶段部署相应的防御措施现代APT高级持续性威胁攻击往往持续数月甚至数年,需要建立长期监控和威胁情报共享机制第三章网络安全防御与防护机制防御是网络安全的核心任务本章介绍多层次、立体化的安全防护技术体系,从网络边界到终端设备,从技术手段到管理措施,构建全方位防护能力防火墙技术防火墙是网络安全的第一道防线,部署在网络边界,控制进出网络的流量,阻止未授权访问随着技术发展,防火墙已从简单的包过滤发展为集成多种安全功能的综合防护平台01包过滤防火墙基于IP地址、端口号、协议类型等网络层和传输层信息进行过滤,是最基础的防火墙技术02状态检测防火墙维护连接状态表,跟踪会话信息,能够识别合法的响应数据包,提供更精细的访问控制03应用层防火墙深度检查应用层数据,识别具体应用协议HTTP、FTP等,可以过滤恶意内容和应用层攻击04下一代防火墙NGFW集成入侵防御、应用识别、用户识别、恶意软件检测等多种功能,提供综合性安全防护部署建议:采用多层防火墙架构,在网络边界、数据中心入口、关键业务系统前分别部署,形成纵深防御体系入侵检测与入侵防御系统IDS-入侵检测系统IPS-入侵防御系统IDS实时监控网络流量和系统日志,通过特征匹配和异常检测技术识别攻击行为,并发出警报它是被动防御机制,不主动阻断攻击检测方法IPS在IDS基础上增加了主动防御能力,不仅检测攻击还能实时阻断它串联部署在网络路径中,对可疑流量进行拦截误用检测:基于已知攻击特征库匹配防御动作异常检测:建立正常行为基线,识别偏离丢弃数据包:阻止恶意流量协议分析:检测协议违规行为重置连接:终止攻击会话部署模式修改数据:过滤恶意内容•网络型IDSNIDS:监控网络流量触发响应:联动其他安全设备•主机型IDSHIDS:监控主机活动关键技术•深度包检测DPI•行为分析与机器学习•威胁情报集成加密技术与身份认证对称加密非对称加密加密和解密使用相同密钥,速度快,适合大量数据加密使用公钥加密、私钥解密,解决密钥分发问题典型算法典型算法•AES高级加密标准•RSA应用最广•DES/3DES传统标准•ECC椭圆曲线•SM4国密算法•SM2国密算法应用场景应用场景文件加密、磁盘加密、数据库加密数字签名、密钥交换、身份认证身份认证验证用户身份真实性,确保只有合法用户能够访问系统认证方式•口令认证知道什么•生物识别是什么•硬件令牌拥有什么认证协议Kerberos、OAuth、SAML、多因素认证MFA数字证书和PKI公钥基础设施为互联网提供了可信的身份认证和加密通信基础CA证书颁发机构作为可信第三方,为公钥和身份的绑定关系提供担保,支撑起整个数字信任体系蜜罐与蜜网技术低交互蜜罐高交互蜜罐模拟部分服务功能,实现简单,风险低,运行完整的操作系统和服务,交互性强,但诱骗效果有限,适合大规模部署能够捕获详细攻击过程,但部署复杂,存在被攻陷风险蜜网Honeynet由多个蜜罐组成的网络,模拟真实网络环境,吸引APT等复杂攻击,获取更全面的攻击情什么是蜜罐报蜜罐是一种诱骗技术,部署看似脆弱的系统或服务,吸引攻击者进行攻击,从而捕获攻击行为、收集攻击情报、延缓真实攻击威胁情报收集攻击行为研究延缓真实攻击捕获最新攻击手法、恶意代码样本、攻击分析攻击者的TTP战术、技术、程序,了吸引攻击者注意力,消耗攻击资源,为加固者IP地址等情报,用于更新防御规则解攻击链条,提升防御针对性真实系统争取时间系统安全与硬件安全系统安全和硬件安全是网络安全的基石操作系统是所有应用的运行平台,硬件是系统的物理载体,它们的安全直接影响整体安全水平操作系统安全操作系统安全配置与加固是基础工作,包括最小权限原则、关闭不必要服务、及时更新补丁、配置安全审计等Linux系统使用SELinux或AppArmor强制访问控制,Windows系统启用BitLocker加密和防火墙侧信道攻击侧信道攻击通过分析系统运行时的物理特征功耗、电磁辐射、时间差异等推断敏感信息著名的Spectre和Meltdown漏洞利用CPU推测执行特性窃取内存数据防护需要在硬件设计和软件层面共同努力可信计算基于TPM可信平台模块芯片,从硬件层面建立信任根,通过安全启动、远程证明、密钥保护等技术,确保系统从启动到运行全过程的可信性我国制定了TCM可信密码模块标准应用安全加固Web应用安全SQL注入Web应用面临的主要威胁通过构造恶意SQL语句操控数据库XSS跨站脚本CSRF跨站请求伪造注入恶意脚本窃取用户信息利用用户身份执行非授权操作OWASP Top10安全风险SDL安全开发生命周期

1.失效的访问控制

2.加密机制失效

3.注入攻击

4.不安全设计

5.安全配置错误

6.易受攻击的过时组件

7.身份识别与认证失败

8.软件与数据完整性失效

9.安全日志和监控失效

10.服务端请求伪造SSRFSDL将安全融入软件开发的每个阶段:需求分析:识别安全需求设计阶段:威胁建模分析编码阶段:安全编码规范测试阶段:安全测试与代码审计发布阶段:安全响应计划多层次纵深防御体系纵深防御Defense inDepth是网络安全的核心策略,通过在不同层次部署多重防护措施,确保即使某一层被突破,其他层仍能提供保护安全策略与管理1物理安全2网络边界防护3主机与终端安全4应用安全5数据安全6预防Prevention检测Detection通过防火墙、访问控制、加密等技术,预防攻击发生通过IDS、日志分析、异常检测等技术,及时发现攻击响应Response恢复Recovery制定应急响应计划,快速隔离威胁,恢复业务建立备份和容灾机制,确保系统能够快速恢复第四章网络空间安全法律法规与标准法律法规是网络安全的制度保障,标准规范是实施的技术指南本章介绍我国网络安全法律体系、核心内容和标准要求主要法律法规我国已建立起以《网络安全法》为核心的网络安全法律法规体系,为网络空间治理提供法律依据1994年1《计算机信息系统安全保护条例》我国第一部信息安全行政法规,奠定了计算机安全保护的基础22016年《中华人民共和国网络安全法》我国网络安全领域的基础性法律,确立了网络安全的基本制度框架2019年3《中华人民共和国密码法》规范密码应用和管理,促进密码事业发展,保障网络与信息安全42021年《中华人民共和国数据安全法》建立数据分类分级保护制度,规范数据处理活动2021年5《中华人民共和国个人信息保护法》保护个人信息权益,规范个人信息处理活动此外,还有《关键信息基础设施安全保护条例》《网络数据安全管理条例征求意见稿》等配套法规不断完善法律体系网络安全法核心内容网络主权与监管明确我国网络主权原则,任何个人和组织使用网络应当遵守宪法法律国家网信部门负责统筹协调网络安全工作和相关监督管理工作•实行网络安全等级保护制度•关键信息基础设施实行重点保护•建立网络安全监测预警和信息通报制度网络产品与服务安全网络产品和服务应当符合相关国家标准,不得含有恶意程序关键设备和网络安全专用产品须经安全认证或检测合格后方可销售或提供•安全认证与检测要求•供应链安全管理•漏洞发现与披露机制数据安全与隐私保护网络运营者收集、使用个人信息应当遵循合法、正当、必要原则,明示收集规则,经被收集者同意重要数据出境须进行安全评估•个人信息收集使用规则•数据分类分级保护•数据出境安全评估•用户权益保护与救济应急响应与法律责任建立网络安全监测预警和应急处置机制,制定应急预案违反网络安全法的行为将承担相应的行政、民事甚至刑事责任•网络安全事件分级分类•应急响应与协调机制•违法行为的法律责任信息安全标准体系标准是网络安全工作的技术指南和实施依据我国已建立起涵盖基础、技术、管理、行业应用等多层次的信息安全标准体系国家标准国际标准GB/T22239-2019信息安全技术网络安全等级保护基本要求规定了五个安全等级的技术和管理要求,是等级保护制度的核心标准GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求网络安全伦理与社会责任技术是中性的,但技术的使用却有善恶之分网络安全从业者应当树立正确的伦理观念,承担相应的社会责任隐私保护职业操守尊重用户隐私,最小化收集个人信息,不滥用数据遵守法律法规,保守商业秘密,不利用技术从事非法活动责任披露发现漏洞后负责任地披露,给厂商留出修复时间行业自律推动行业规范建设,反对恶意竞争,维护行业声誉安全教育普及网络安全知识,提升全民安全意识能力越大,责任越大网络安全从业者应当成为网络空间的守护者,而不是破坏者我们的技术应当用于保护用户、服务社会,而不是侵犯权益、谋取私利第五章网络空间安全前沿技术与未来趋势网络安全技术日新月异,新技术带来新机遇,也带来新挑战本章探讨人工智能、量子计算等前沿技术对网络安全的影响,展望未来发展趋势量子计算与密码学挑战量子计算的威胁后量子密码学后量子密码学研究能够抵抗量子计算攻击的新型密码算法,主要方向包括:格基密码:基于格问题的困难性编码密码:基于纠错码的困难性多变量密码:基于多变量方程求解困难性哈希密码:基于哈希函数的签名方案2022年,NIST公布了首批后量子密码标准算法,包括CRYSTALS-Kyber、CRYSTALS-Dilithium等,为密码系统的平滑过渡提供了方案量子计算机利用量子叠加和量子纠缠等特性,在特定问题上具有指数级加速能力Shor算法能够在多项式时间内分解大整数,威胁RSA、ECC等公钥密码体系未来展望构建安全可信的数字社会:网络安全国际合作与治理全民安全意识5G/6G区块链与安全5G网络切片、边缘计算等新架构网络空间无国界,网络安全需要全网络安全为人民,网络安全靠人区块链的去中心化、不可篡改特带来新的安全边界和攻击面6G球合作参与国际规则制定,加强民加强网络安全宣传教育,提升性为数据安全、身份认证、供应将融合地面网络与卫星通信,安全跨国执法协作,共同打击网络犯全民网络安全意识和防护技能链溯源等领域提供了新思路但挑战更加复杂需要研究面向新罪推动构建和平、安全、开将网络安全教育纳入国民教育体智能合约漏洞、51%攻击、隐私泄型网络架构的安全机制,建立跨域放、合作的网络空间命运共同系,培养网络安全人才,构建全社会露等问题仍需解决区块链将在安全协同体系体共同参与的网络安全防线可信存证、数字身份等场景发挥重要作用网络安全是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的面向未来,网络空间安全既面临严峻挑战,也蕴含巨大机遇让我们携手并进,运用先进技术,完善制度体系,提升全民意识,共同构建安全可信、充满活力的数字社会,为实现中华民族伟大复兴的中国梦提供坚实的网络安全保障!。