网络安全基础知识课件

网络安全基础知识第一章网络安全基础概念什么是网络安全？系统保护服务可靠隐私保障保障网络系统硬件、软件及数据免受破坏、确保系统连续可靠运行，网络服务不中断，保护个人隐私和企业信息安全，防止非法访泄露、篡改，确保技术架构的安全性与稳定维护业务的持续性和用户体验的流畅性问，确保数据资产不被未授权获取或滥用性网络安全的三大核心属性（）CIA机密性完整性可用性Confidentiality IntegrityAvailability信息仅授权访问，确保敏感数据不被未经授权信息不被未授权篡改，保证数据在传输和存储授权用户随时可用，确保系统和数据在需要时的人员查看或获取过程中的准确性和一致性能够被合法用户正常访问和使用•访问控制机制•数字签名验证•冗余备份方案•数据加密技术•哈希校验机制•负载均衡技术•身份认证系统•版本控制系统•灾难恢复计划网络空间的多维架构现代网络空间是一个复杂的生态系统，由互联网、物联网、云计算等多层次技术交织而成这个动态虚拟空间承载着全球数十亿设备的连接，每天传输海量数据，形成了一个需要全方位保护的数字世界从智能家居到工业控制系统，从移动应用到企业数据中心，网络空间的边界不断扩展，安全挑战也随之增加网络安全的其他重要属性可控性真实性Controllability Authenticity对信息传播和内容的控制能力，确保网络环境符合法律法规和组织政信息来源真实且未被伪造，验证通信双方的身份和数据的原始性策要求•数字证书认证•内容过滤与审查•生物特征识别•访问权限管理•多因素身份验证•流量监控与控制这些扩展属性与CIA三元组共同构成了完整的网络安全框架，为复杂的网络环境提供全面保护网络安全相关专业术语资产Asset漏洞Vulnerability对业务有价值的信息资源，包括硬件设备、软件系统、数据信息、品牌声系统安全弱点，可能被威胁利用造成损害漏洞可能存在于软件代码、配誉等有形和无形资产资产识别是风险管理的第一步置错误、设计缺陷等多个层面威胁Threat风险Risk可能破坏安全的来源，包括自然灾害、人为攻击、技术故障等各类潜在危威胁利用漏洞造成的损失可能性，是资产、威胁和漏洞三者结合的综合评险因素威胁可能来自内部或外部估结果风险量化帮助制定优先级风险管理的七种策略降低采取措施减少风险发生概率或影响程度承受接受风险存在，不采取特殊措施规避完全避免涉及风险的活动转移将风险转移给第三方承担分散缓释对冲将资产分散以降低单点风险建立缓冲机制减轻冲击采用反向措施平衡风险实际应用中，购买网络安全保险就是典型的风险转移策略，通过保险公司分担潜在损失网络安全威胁模型简介STRIDE模型DREAD模型OCTAVE模型微软提出的威胁分类框架，识别六类主要威威胁风险评估框架，从五个维度量化威胁组织层面的风险评估框架胁•损害潜力（Damage）•识别关键资产•欺骗（Spoofing）•可复现性（Reproducibility）•评估组织漏洞•篡改（Tampering）•可利用性（Exploitability）•制定安全策略•否认（Repudiation）•受影响用户（Affected Users）•实施风险缓解计划•信息泄露（Information Disclosure）•可发现性（Discoverability）强调自我指导和协作评估•拒绝服务（Denial ofService）•权限提升（Elevation ofPrivilege）威胁模型全景STRIDE欺骗篡改假冒他人身份恶意修改数据权限提升否认获取更高权限否认操作行为拒绝服务信息泄露使服务不可用未授权信息披露STRIDE模型为系统设计和威胁分析提供了结构化的方法论，帮助安全团队全面识别潜在风险点第二章常见网络威胁与攻击手段深入了解网络攻击者的武器库，识别各类攻击手段的特征和危害，是构建有效防御体系的前提外部攻击者与内部威胁外部威胁源有组织黑客团队APT组织、网络犯罪集团恶意个人攻击者黑帽黑客、脚本小子竞争对手商业间谍、信息窃取国家级攻击网络战部队、情报机构内部威胁源员工误操作配置错误、密码泄露、钓鱼中招恶意内部人员不满员工、被收买人员权限滥用越权访问、数据窃取离职员工带走敏感信息、植入后门拒绝服务攻击（）与分布式拒绝服务攻DoS击（）DDoSDoS攻击单点攻击模式攻击者使用单一来源发送大量请求，耗尽目标服务器的计算资源、带宽或内存，导致合法用户无法1访问•相对容易防御•可通过IP封锁阻断•攻击规模受限DDoS攻击分布式攻击模式利用僵尸网络（Botnet）控制数千甚至数百万台被感染设备，同时向目标发起攻击，流量更大，更难2防御•攻击源分散广泛•流量可达TB级别•难以追踪溯源近年来，物联网设备成为DDoS攻击的主要肉鸡来源，2016年的Mirai僵尸网络事件曾造成美国大规模网络瘫痪中间人攻击（）MITM中间人攻击是一种隐蔽而危险的攻击方式，攻击者悄悄插入通信双方之间，截获、窃取甚至篡改传输的数据，而通信双方却浑然不觉1攻击者介入插入通信链路，伪装成合法中继2数据截获监听并记录所有通信内容3信息篡改修改数据包内容后转发4身份伪造同时欺骗通信双方典型攻击手段防护措施ARP欺骗篡改ARP缓存表，劫持局域网流量•使用HTTPS和TLS加密DNS劫持篡改DNS解析结果，导向恶意网站•验证数字证书SSL剥离强制降级HTTPS为HTTP•避免使用公共WiFi传输敏感信息WiFi钓鱼搭建假冒热点窃取信息•启用VPN加密通道网络钓鱼攻击攻击原理网络钓鱼是一种社会工程学攻击，攻击者伪装成银行、电商平台、政府机构等可信实体，通过精心设计的钓鱼邮件、短信或网站，诱骗受害者输入账号密码、信用卡信息等敏感数据常见钓鱼场景假银行通知谎称账户异常需要验证虚假中奖信息诱导填写个人信息快递诈骗伪造物流信息链接紧急求助冒充亲友请求转账010203发送诱饵制造紧迫感诱导点击群发钓鱼邮件或短信利用恐惧或贪婪心理引导访问伪造网站0405窃取信息实施诈骗收集输入的敏感数据利用信息进行盗窃真实案例2020年某企业财务人员收到伪装成CEO的钓鱼邮件，被骗转账500万元，损失惨重恶意软件类型病毒Virus木马Trojan勒索软件Ransomware蠕虫Worm依附于正常程序，通过复制自身传伪装成合法程序，实则为攻击者提加密受害者文件并索要赎金，近年独立传播的恶意程序，无需宿主文播，可能破坏文件系统或窃取数供远程控制后门，窃取信息或植入来造成巨大经济损失，企业和医院件，可通过网络自动复制扩散据其他恶意代码是主要目标间谍软件Spyware秘密监控用户活动，记录键盘输入、屏幕截图、浏览历史等隐私信息恶意软件不断演化，现代威胁往往结合多种技术，形成复杂的攻击链条SQL注入攻击攻击机制SQL注入是一种针对数据库的攻击技术，攻击者通过在用户输入中插入恶意SQL语句，利用应用程序的输入验证漏洞，欺骗数据库执行非预期的操作构造恶意语句发现注入点精心设计SQL代码，绕过身份验证或提取数据测试输入框、URL参数等可能存在的漏洞位置窃取或篡改数据执行注入攻击获取敏感信息或修改数据库内容提交恶意输入，数据库执行注入的SQL命令--典型SQL注入示例输入OR1=1完整SQL SELECT*FROM usersWHERE username=OR1=1AND password=结果绕过身份验证，因为1=1永远为真跨站脚本攻击（）XSS12反射型XSS存储型XSS恶意脚本通过URL参数注入，服务器直接反恶意脚本被永久存储在目标服务器上（如数射回用户浏览器执行攻击需要用户点击特据库、评论区），每次访问时都会执行，危制链接害更大3DOM型XSS攻击发生在客户端，通过修改页面DOM环境执行恶意脚本，不需要服务器参与攻击危害常见场景•窃取用户Cookie和会话令牌•论坛评论区•劫持用户账户进行操作•社交媒体留言•篡改网页内容显示钓鱼信息•在线问卷调查•重定向用户到恶意网站•电商产品评价•传播蠕虫病毒•博客文章评论零日漏洞Zero-Day Vulnerability零日漏洞是指那些尚未被软件厂商发现或公开，因此没有补丁可用的安全漏洞零日意味着开发者有零天时间来修复这个问题极高价值巨大威胁黑市上零日漏洞价格可达数十万甚至上百由于没有防御措施，零日漏洞攻击成功率万美元，国家级黑客组织和情报机构是主极高，可能造成大规模数据泄露或系统瘫要买家痪难以防御传统安全产品依赖特征库，对零日攻击无效只能通过行为分析、沙箱等高级技术检测著名案例Stuxnet蠕虫利用4个Windows零日漏洞攻击伊朗核设施，展示了零日漏洞的破坏力真实案例特斯拉安全漏洞作为电动汽车和自动驾驶技术的领导者，特斯拉的车载系统多次被安全研究人员发现漏洞，这些案例凸显了物联网和智能设备安全的重要性12016年-远程控制漏洞腾讯科恩实验室演示了通过WiFi远程控制特斯拉车辆的漏洞，包括刹车、车门锁、仪表盘等功能22018年-钥匙克隆攻击比利时研究人员发现可在数秒内克隆特斯拉Model S钥匙卡，实现盗32020年-ECU漏洞车研究人员通过电子控制单元（ECU）漏洞解锁高级功能，甚至4可升级低配车型2021年-摄像头盲区Autopilot系统被发现存在摄像头盲区，可能导致无法识别特定障碍物特斯拉积极响应安全研究，快速发布补丁修复漏洞，并建立了漏洞奖励计划，鼓励白帽黑客报告安全问题第三章网络安全防护技术与实战应用从理论到实践，掌握构建多层防御体系的关键技术，将安全理念转化为切实可行的保护措施加密技术基础对称加密非对称加密加密解密用同一密钥加密和解密使用相同的密钥，速度快，适合大量数据加密但密钥分发是个难题，如何安全地将密钥传递给对方？典型算法公钥加密，私钥解密AES（高级加密标准）最广泛使用使用一对密钥公钥公开，用于加密；私钥保密，用于解密解决了密钥分发问题，但速度较慢DES（数据加密标准）已过时典型算法3DES DES的增强版本RSA最常用的非对称算法ChaCha20移动设备优选ECC（椭圆曲线）更短密钥，更高安全DSA数字签名算法Diffie-Hellman密钥交换协议数字签名与身份认证创建消息生成摘要发送方准备需要签名的原始消息使用哈希算法计算消息摘要确认完整私钥签名对比摘要确保消息未被篡改用私钥加密消息摘要生成数字签名验证签名传输消息接收方用公钥解密签名验证真实性将原始消息和签名一起发送核心功能应用场景身份验证确认发送者身份•电子合同签署完整性保护检测消息是否被篡改•软件代码签名不可否认发送方无法否认发送行为•电子邮件认证•区块链交易验证防火墙与入侵检测系统（IDS）防火墙Firewall防火墙是网络安全的第一道防线，位于内部网络和外部网络之间，根据预定义的安全规则过滤网络流量主要功能访问控制基于IP、端口、协议过滤流量安全编码与漏洞防护输入验证1严格验证所有用户输入，拒绝非法字符和格式参数化查询2使用预编译语句防止SQL注入输出编码3对输出内容进行HTML编码防止XSS最小权限4程序只获得必需的最小权限安全配置5关闭不必要的服务和端口防SQL注入防XSS攻击定期审计•代码审查//错误方式query=SELECT*FROM usersWHERE name=+username+//错误方式output=userInput;//正确方式output=•静态分析;//正确方式PreparedStatement ps=conn.prepareStatementSELECT*HtmlUtils.htmlEscapeuserInput;//转义特殊字符变为变为FROM usersWHERE name=;ps.setString1,username;•动态测试•渗透测试•漏洞扫描•补丁管理安全编码是开发过程中的核心实践，从源头消除漏洞比事后修复更经济有效安全策略与用户教育制定明确安全规则建立完善的安全策略文档，明确各类操作的安全要求、权限分配原则、数据分类标准和应急响应流程•密码策略复杂度要求、定期更换•访问控制最小权限原则、职责分离•数据分类敏感级别划分、处理规范•设备管理BYOD政策、USB使用限制持续安全意识培训人是安全链条中最薄弱的环节，定期开展安全培训，提升全员安全意识，是防范社会工程学攻击的关键•识别钓鱼邮件的特征•安全使用社交媒体•保护个人和企业敏感信息•应对可疑事件的正确流程95%70%

3.9M人为因素培训效果平均损失安全事件中由人为因素导致的比例定期培训可降低安全事件的比例数据泄露事件的平均损失（美元）备份与恢复机制3-2-1备份原则3份副本至少保留3份数据副本2种介质使用2种不同存储介质1份异地至少1份存放在异地验证测试定期备份定期测试备份数据的完整性和可恢复性制定备份计划，自动执行全量和增量备份快速恢复加密保护建立恢复流程，确保RTO和RPO目标对备份数据进行加密，防止泄露勒索软件攻击日益猖獗，可靠的离线备份是最后的防线某些勒索软件会尝试删除在线备份，因此离线或不可变备份至关重要综合安全防护架构纵深防御-多层协同保护现代网络安全采用纵深防御策略，在物理层、网络层、系统层、应用层、数据层建立多道防线，形成立体防护体系单一防护措施被突破时，其他层次仍能提供保护安全意识1策略与流程2物理安全3网络安全4主机安全5应用安全6数据安全70102边界防护网络监控防火墙、入侵防御系统流量分析、异常检测0304终端保护身份管理防病毒软件、EDR系统多因素认证、权限控制0506数据加密安全运营传输加密、存储加密SOC中心、事件响应网络安全未来趋势云安全物联网安全AI辅助防御零信任架构随着企业加速上云，云智能家居、工业物联人工智能和机器学习用永不信任，持续验证原生安全架构成为焦网、智慧城市带来海量于威胁检测、异常识成为新安全范式零信点CASB（云访问安联网设备，物联网安全别、自动响应，提升安任消除传统网络边界概全代理）、CSPM（云成为新挑战设备认全运营效率但AI也可念，对每个访问请求进安全态势管理）等新技证、固件安全、通信加能被攻击者利用，产生行严格验证，逐步成为术不断涌现，保护云环密需要标准化解决方对抗性攻击企业安全标准境中的数据和应用案60%75%41BAI应用增长云迁移物联网设备2024年采用AI安全技术的企业增长率计划在未来三年完成云迁移的企业比例预计2025年全球物联网设备数量（单位个）结束语共同守护数字世界网络安全是数字时代的基石在这个万物互联的时代，网络安全不仅关乎技术，更关乎每个人的数字生活质量和信息安全持续学习积极实践•网络威胁不断演化•将理论知识应用到实际工作•安全技术持续创新•参与安全社区和竞赛•保持好奇心和学习态度•分享经验帮助他人成长•关注行业动态和最佳实践•为构建安全生态贡献力量安全不是产品，而是一个持续的过程——Bruce Schneier让我们携手并进，筑牢安全防线，共同守护我们的数字世界网络安全，人人有责！。