中科大 网络安全 课件

中科大网络安全课程第一章网络安全基础概述网络安全的定义与重要性网络安全是指通过技术手段和管理措施，保护网络系统的硬件、软件及其数据不受未授30%权的访问、使用、泄露、破坏、修改或销毁，确保信息资产的安全性和业务连续性在数字化转型加速的今天网络安全的重要性日益凸显根据最新统计数据，年全,2025攻击增长率球网络攻击事件相比去年增长了，攻击手段更加复杂多样，造成的经济损失和社会30%影响持续扩大年全球网络攻击事件年度增长2025从个人隐私保护到国家关键基础设施安全，网络安全已经成为事关国家安全、社会稳定和经济发展的战略性问题$6T预计损失信息安全的核心目标模型CIAA信息安全的核心目标可以用模型来概括，这四个要素构成了现代信息安全体系的基石CIAA机密性Confidentiality完整性Integrity确保信息只能被授权用户访问，防止敏感数据泄露通过加密、访问保证信息在存储、传输和处理过程中不被未授权修改或破坏，维护数控制等技术手段实现据的准确性和一致性可用性Availability真实性Authenticity确保授权用户在需要时能够及时访问和使用信息资源，防止服务中断和资源不可用网络安全面临的主要威胁外部威胁内部威胁恶意软件攻击内部人员滥用权限包括病毒、木马、勒索软件等，通过感染系统窃取数据或破坏功员工利用职务便利访问、窃取或破坏敏感数据，造成内部泄密能社会工程学攻击钓鱼攻击利用人性弱点，通过心理操纵获取机密信息或诱导执行恶意操作伪装成可信实体，诱骗用户泄露敏感信息如密码、信用卡号等疏忽与误操作拒绝服务攻击（DDoS）通过大量请求耗尽目标系统资源，导致合法用户无法正常访问服务网络攻击路径与多层防御体系第二章网络监听与扫描技术网络监听基础被动监听主动监听不向网络发送任何数据包，仅通过将网卡设置为混杂模式来捕获网络通过发送特定数据包主动探测网络设备和服务，如ARP欺骗、DNS劫中传输的数据隐蔽性强，难以被检测，常用于流量分析和协议研持等虽然容易被检测，但能获取更多网络拓扑和设备信息究常用监听工具Wireshark tcpdump开源的图形化网络协议分析工具，支持数百种协议解析，提供强大的过滤和统计功能，是网络分析的标准工具网络扫描技术0102端口扫描漏洞扫描Nmap实战应用通过向目标主机的不同端口发送探测包，判断端在端口扫描基础上，进一步识别服务版本和已知口开放状态，识别运行的服务常见扫描方式包漏洞通过漏洞库比对，发现系统中存在的安全括TCP连接扫描、SYN半开扫描、UDP扫描等弱点，为加固提供依据网络监听与扫描的安全风险攻击者的利用方式有效的防御策略攻击者将监听和扫描作为攻击的第一阶段侦察阶段通过这——加密通信些技术，攻击者能够使用、等加密协议，防止监听获取明文数据TLS/SSL VPN绘制目标网络拓扑图，了解网络架构•识别运行的服务和版本，寻找已知漏洞•入侵检测系统捕获明文传输的敏感信息如密码••分析网络流量模式，为后续攻击做准备部署IDS/IPS检测异常扫描行为，及时告警和阻断这些信息为攻击者提供了精确的攻击目标和路径，大大提高了攻访问控制击的成功率限制不必要的端口开放，配置防火墙规则过滤扫描流量Nmap扫描结果示例图中展示了典型的扫描输出，突出显示了目标主机的开放端口、运行服务及其版本信息这些信息对于安全评估和漏洞分析至关重要Nmap第三章网络与系统渗透攻击渗透测试是模拟真实攻击者的思维和技术手段，对目标系统进行安全评估的过程通过学习渗透攻击技术，我们能够更好地理解攻击者的视角，从而构建更有效的防御体系渗透测试概述123信息收集漏洞识别漏洞利用通过公开渠道和技术手段收集目标系统的相扫描和分析目标系统，发现潜在的安全漏洞尝试利用发现的漏洞获取系统访问权限关信息45权限提升报告撰写在获得初始访问后，进一步提升权限级别详细记录发现的问题并提供修复建议黑盒测试白盒测试灰盒测试测试人员对目标系统一无所知，完全模拟外部测试人员拥有目标系统的完整信息包括源代码介于黑盒和白盒之间，测试人员拥有部分系统攻击者的视角，考验系统的外部防御能力和架构文档，能够进行更深入的安全审计信息，模拟内部人员或有一定权限的攻击者应用漏洞攻防WebWeb应用是互联网服务的主要形式，也是攻击者的重点目标以下是最常见且危害最大的三类Web漏洞SQL注入攻击通过在用户输入中注入恶意SQL代码，绕过应用程序的安全验证，直接操作数据库攻击者可以读取、修改甚至删除数据库中的敏感信息防御措施使用参数化查询或预编译语句，严格验证和过滤用户输入，采用最小权限原则配置数据库账户跨站脚本攻击（XSS）在Web页面中注入恶意脚本代码，当其他用户浏览该页面时，脚本被执行，可以窃取用户的Cookie、会话令牌等敏感信息防御措施对用户输入进行HTML编码，设置HttpOnly标志保护Cookie，使用内容安全策略（CSP）跨站请求伪造（CSRF）诱导已认证用户在不知情的情况下执行非本意的操作，利用用户的身份凭证发送恶意请求防御措施使用CSRF Token验证请求来源，检查HTTP Referer头，对敏感操作要求二次认证真实案例2023年某高校教务系统因存在SQL注入漏洞，攻击者利用该漏洞获取了数据库访问权限，导致超过10万名学生的个人信息泄露，包括姓名、学号、身份证号等敏感数据该事件凸显了Web应用安全的重要性系统渗透技术初始访问持久化驻留通过漏洞利用、钓鱼邮件或弱密码等方式获得目标系统的初通过创建后门、修改启动项、安装rootkit等技术保持长期访始访问权限问能力1234权限提升横向移动利用系统配置错误、内核漏洞等提升到管理员或root权限在内网中扩展控制范围，攻陷其他主机获取更多敏感数据持久化技术包括创建隐藏账户、修改系统服务、利用计划任务、安装内核级后门等多种手段攻击者通过这些技术确保即使系统重启或初始入口点被修复，仍能保持对目标系统的控制完整的漏洞利用攻击链该流程图完整展示了从侦察、武器化、投递、漏洞利用、安装后门、命令控制到最终数据窃取的全部攻击阶段，帮助理解现代网络攻击的系统性和复杂性第四章网络与系统防御技术防御是网络安全的核心本章将介绍多种防御技术和策略，从网络边界防护到应用层加固，构建纵深防御体系，抵御各类网络威胁防火墙技术传统防火墙下一代防火墙（NGFW）包过滤防火墙整合了传统防火墙、入侵防御系统（）、应用识别与控制等NGFW IPS多种安全功能，提供更全面的防护能力基于地址、端口号和协议类型等网络层信息进行过滤，配置简单但IP功能有限深度包检测分析完整的数据包内容，识别隐藏威胁应用可见性与控制精确识别应用程序，实施细粒度策略状态检测防火墙集成威胁情报利用云端威胁数据库实时更新防护解密检查加密流量中的恶意内容SSL/TLS维护连接状态表，能够跟踪会话并进行更智能的决策，提供更好的安用户身份识别基于用户而非仅地址制定策略全性IP应用层防火墙深入检查应用层协议内容，能够识别和过滤特定应用的恶意流量入侵检测系统（）IDS基于签名的检测通过匹配已知攻击特征库来识别威胁优点是误报率低，准确性高；缺点是无法检测未知攻击（零日漏洞）适用场景已知威胁防护、合规性检查基于异常的检测建立正常行为基线，检测偏离基线的异常活动优点是能发现新型攻击；缺点是误报率较高，需要学习期适用场景未知威胁发现、内部威胁检测Snort入侵检测系统Snort是最流行的开源IDS/IPS系统，具有实时流量分析和数据包记录能力它使用规则语言定义攻击特征，支持灵活的规则定制，可以检测各种攻击行为如缓冲区溢出、端口扫描、CGI攻击等Snort采用模块化架构，通过插件机制扩展功能，并能与其他安全工具集成，构建完整的安全监控体系应用程序安全加固需求分析安全设计识别安全需求和威胁模型设计安全架构和控制措施安全维护安全编码持续监控和及时修补漏洞遵循安全编码规范开发安全部署安全测试配置安全的生产环境进行代码审计和渗透测试安全开发生命周期（SDL）将安全融入软件开发的每个阶段常用加固技术与工具静态代码分析使用SonarQube、Fortify等工具自动检动态应用测试在运行时检测应用行为，发现运行时漏洞依赖组件管理使用OWASP Dependency-Check等工测代码中的安全漏洞具检查第三方库漏洞蜜罐与蜜网技术蜜罐（）是一种主动防御技术，通过部署看似脆弱的诱饵系统，吸引攻击者进行攻击，从而收集攻击情报、分析攻击手法、并延缓真实系统Honeypot被攻击的时间低交互蜜罐高交互蜜罐蜜网系统模拟有限的服务和响应，部署简单，风险小，但提供真实的操作系统和服务，能够与攻击者进行由多个蜜罐组成的网络环境，模拟真实的企业网能收集的信息有限适合用于检测自动化攻击深度交互，收集详细的攻击信息，但部署复杂且络架构，能够观察攻击者的横向移动和复杂攻击风险较高链成功案例某金融机构部署了分布式蜜罐系统，在个月内捕获了超过次攻击尝试，识别出个针对性的攻击活动，并成功溯源到攻65003APT击者的服务器地址，为执法机关提供了关键证据C2计算机取证基础0102事件响应证据保全快速隔离受影响系统，防止证据被破坏或攻击进一步扩散使用专业工具创建磁盘镜像和内存快照，确保证据的完整性和可靠性0304证据分析报告撰写使用取证工具分析日志、文件、网络流量等，重建攻击时间线形成详细的技术报告和法律文档，满足司法程序要求法律合规要求常用取证工具取证过程必须遵循法律程序，保证证据链的完整性常用的取证标准包•EnCase商业取证套件括、等ISO/IEC27037NIST SP800-86取证工具•FTK AccessData开源数字取证平台•Autopsy内存取证框架•Volatility社会化网络安全技术措施只是网络安全的一部分，人的因素往往是最薄弱的环节根据统计，超过90%的成功攻击都涉及社会工程学手段安全意识培训定期开展针对全员的网络安全培训，提高员工对钓鱼邮件、恶意链接、社会工程学攻击的识别能力培训应包括真实案例分析、模拟演练等互动环节钓鱼攻击防范建立邮件安全网关，过滤可疑邮件；教育员工不要点击不明链接，不要在可疑网站输入凭证；启用多因素认证增加账户安全性社会工程学防御制定严格的信息披露政策，建立身份验证流程；培养员工的质疑精神，对异常请求保持警惕；建立安全事件报告机制，鼓励员工及时上报可疑情况纵深防御体系架构该图展示了完整的多层防御体系，从物理安全、网络边界、主机安全到应用防护和数据加密，每一层都提供独立的安全控制，即使某一层被突破，其他层仍能提供保护第五章综合实验与实战演练理论知识需要通过实践来巩固和深化本章将通过一系列实验和实战演练，让学生在安全可控的环境中体验真实的攻防场景，提升实际操作能力开源信息系统搭建与加固系统安装环境准备安装Linux服务器系统（CentOS/Ubuntu），配置网络服务如Web服务器安装虚拟化平台（VMware/VirtualBox），创建隔离的实验网络，部署多台虚拟机模拟（Apache/Nginx）、数据库（MySQL）等真实环境深度加固基础加固配置SELinux/AppArmor强制访问控制，部署入侵检测系统，实施最小权限原则，配置禁用不必要的服务，配置防火墙规则，设置强密码策略，更新系统补丁，配置日志审计安全审计系统加固最佳实践•定期更新系统和应用程序补丁•启用系统审计和日志记录•使用强密码并定期更换•使用防火墙限制网络访问•限制root账户的直接登录•定期备份关键数据•配置SSH密钥认证，禁用密码登录•实施文件完整性监控漏洞攻防实战通过真实的漏洞攻防演练，深入理解攻击原理和防御方法实验涵盖从漏洞发现到利用再到防御的完整流程123漏洞扫描阶段漏洞利用阶段防御加固阶段使用Nmap进行端口扫描，识别开放服务；分析发现的漏洞，选择合适的利用工具或编根据攻击过程分析防御薄弱点；修补发现的使用Nessus进行漏洞扫描，发现已知安全写exploit；尝试获取初始访问权限；测试漏洞；加强访问控制和监控；验证加固效果问题；使用目录扫描工具发现隐藏路径权限提升漏洞典型案例分析某应用存在注入漏洞攻击者首先通过工具自动化扫描发现注入点，然后枚举数据库结构，最终获取了管Web SQLsqlmap理员账户密码防御方案包括使用参数化查询重写代码、部署应用防火墙（）拦截注入攻击、实施数据库活动监控及时发现Web WAFSQL异常查询加固后再次测试，确认漏洞已被成功修复安全事件响应与恢复准备阶段1建立应急响应团队，制定详细的应急预案，准备必要的工具和资源，定期进行演练检测与分析2通过监控系统发现异常，收集和分析日志数据，确定安全事件的性质和影响范围遏制与清除3隔离受影响系统，阻断攻击路径，清除恶意代码和后门，防止攻击扩散恢复与总结4从备份恢复数据，修复系统漏洞，恢复业务运行，总结经验教训完善预案数据备份与灾难恢复策略3-2-1备份原则恢复目标设定•保留3份数据副本RTO（恢复时间目标）系统中断后可接受的最长恢复时间•使用2种不同的存储介质•1份副本保存在异地RPO（恢复点目标）可接受的最大数据丢失量未来网络安全趋势展望人工智能驱动的安全量子计算的挑战AI和机器学习技术将在威胁检测、行为分析、自动化响应等方面发挥越来越重要的作量子计算的发展对现有密码体系构成严重威胁RSA、ECC等公钥密码算法可能在量用智能安全系统能够快速识别异常模式，预测潜在威胁，并自动执行响应措施子计算机面前失效后量子密码学研究成为新的热点，需要开发抗量子攻击的新型加密算法零信任架构云原生安全永不信任，始终验证的零信任理念将成为网络安全的新范式不再基于网络位置授随着云计算和容器技术的普及，云原生安全成为新的关注点需要保护容器、微服予信任，而是对每个访问请求进行严格的身份验证和授权，实施最小权限访问控制务、API等新型架构组件，实施DevSecOps实践将安全融入开发流程物联网安全隐私保护技术数十亿IoT设备的安全问题日益突出设备数量庞大、资源受限、生命周期长等特点给在数据驱动的时代，隐私保护与数据利用之间的平衡至关重要联邦学习、差分隐安全防护带来新挑战，需要轻量级的安全方案和统一的安全标准私、同态加密等技术能够在保护隐私的同时实现数据分析和机器学习课程总结与学习建议通过本课程的学习，我们系统掌握了网络安全的基础理论、攻防技术和防护策略但网络安全是一个持续演进的领域，学习永无止境持续学习实战演练团队协作网络安全技术日新月异，新的攻击手段和防御理论必须与实践相结合积极参与CTF竞赛、网络安全是团队工作加入中科大网络安全研技术不断涌现保持学习热情，关注最新的安漏洞赏金计划、开源项目贡献等实战活动搭究与实践团队，与志同道合的伙伴一起交流学全动态、漏洞披露和研究成果推荐资源安建自己的实验环境，不断尝试新工具和技术，习、参与项目、解决实际问题在团队中成全会议（BlackHat、DEF CON）、技术博在实践中提升技能长，为网络安全事业贡献力量客、开源项目安全不是产品，而是过程——Bruce Schneier网络安全是一个动态演进的系统工程，需要技术、管理和人员的协同配合让我们共同努力，守护网络空间的安全！。