大学信息安全课件

大学信息安全课件第一章信息安全概述什么是信息安全？核心定义三要素CIA信息安全（Information Security，简称InfoSec）是指采取各种措施和机密性（Confidentiality）确保信息只能被授权人员访问，防止未经技术手段，保护信息系统及其包含的数据免遭未经授权的访问、使用、授权的信息泄露泄露、修改、破坏和干扰，确保信息的机密性、完整性和可用性完整性（Integrity）保证信息在存储和传输过程中不被非法篡改或损坏在数字化时代，信息安全不仅涉及技术层面的防护，还包括管理制度、人员培训、法律合规等多个维度的综合保障体系信息安全的重要性30%$100B85%全球网络攻击增长经济损失规模教育机构受攻击率2025年全球网络攻击事件同比增长30%，攻击手企业和个人数据泄露造成的全球经济损失已达数超过85%的高校信息系统曾遭遇过不同程度的网段日益复杂多样百亿美元级别络安全威胁信息安全的主要领域网络安全应用安全保护网络基础设施、网络通信和网络服务免受攻击和入侵，包括防火墙、入侵检确保软件应用程序在设计、开发和运行阶段的安全性，防范SQL注入、跨站脚本等测、VPN等技术应用层攻击系统安全物理安全保障操作系统、数据库和服务器的安全运行，通过补丁管理、权限控制和安全配保护数据中心、机房等物理设施，防止未经授权的物理访问、环境灾害和设备损置实现防护坏新兴安全领域的挑战云安全移动安全随着云计算普及，数据存储在第三方云平台带来的访问控制、数据隔离、合规性等新挑战需要专门的云安全架构和管理策略来应对信息安全三要素图示完整性采用数字签名、哈希校验和版本控制等手段保证数据在整个生命周期内的准确性和一致性，机密性防止篡改和损坏通过加密技术、访问控制和身份认证确保信息只能被授权者访问，防止敏感数据泄露给可用性未授权的个人或实体通过冗余设计、备份恢复和负载均衡等机制确保系统和数据在需要时可以被授权用户正常访问和使用第二章常见信息安全威胁网络攻击类型高级持续性威胁（）APTAPT攻击是由国家级或专业黑客组织发起的长期、隐蔽、有针对性的攻击攻击者会花费数月甚至数年时间潜伏在目标网络中，窃取敏感信息或破坏关键系统这类攻击技术先进、目的明确，通常针对政府机构、大型企业和高校的科研机构分布式拒绝服务攻击（）DDoSDDoS攻击通过控制大量僵尸主机同时向目标服务器发送海量请求，耗尽服务器资源和网络带宽，导致正常用户无法访问服务这种攻击可以瘫痪网站、在线服务和网络基础设施，造成严重的业务中断和经济损失网络钓鱼与社会工程攻击恶意软件威胁勒索软件勒索软件会加密受害者的文件和数据，使其无法访问，然后要求支付赎金（通常是加密货币）才能解密近年来勒索软件攻击呈爆发式增长，已成为企业和个人面临的最严重威胁之一攻击者还可能威胁公开泄露数据以施加更大压力病毒与蠕虫病毒是能够自我复制并感染其他程序或文件的恶意代码，通常需要用户操作触发蠕虫则可以自动在网络中传播，无需人工干预它们可以删除文件、窃取信息、消耗系统资源，甚至打开后门供攻击者远程控制僵尸网络僵尸网络由大量被恶意软件感染和控制的计算机组成，攻击者可以远程指挥这些僵尸主机发动DDoS攻击、发送垃圾邮件、挖掘加密货币或窃取数据单个僵尸网络可能包含数万甚至数百万台被感染设备，破坏力巨大内部威胁与人为因素内部威胁的特点与危害常见人为安全隐患内部威胁来自组织内部人员，包括现任或离职员工、承包商和合作伙伴由于内部人员•使用弱密码或在多个平台重复使用相同密码拥有系统访问权限和业务知识，其造成的损害往往比外部攻击更严重且更难防范•将密码写在便签或共享给他人员工误操作恶意内部人员•不启用多因素认证保护重要账户•在公共场合或不安全网络处理敏感信息缺乏安全意识导致的配置错误、误删数心怀不满或受利益驱使的员工主动窃取、•不及时更新软件和操作系统补丁据、点击钓鱼链接等无意行为泄露或破坏敏感信息和系统•随意点击未知链接和下载可疑附件权限管理不当过度授权使员工可以访问不必要的敏感数据，增加泄露风险网络钓鱼邮件示例与识别要点123检查发件人地址警惕紧急语气悬停查看链接仔细查看发件人邮箱地址，钓鱼邮件往往使钓鱼邮件常营造紧迫感，声称账户即将被冻不要直接点击邮件中的链接，将鼠标悬停在用与官方地址相似但略有差异的域名，如将结、中奖需立即领取、安全问题需马上处理链接上查看真实URL，钓鱼链接往往指向可edu.cn写成edu.com或eclu.cn等，迫使你在未仔细思考前采取行动疑域名而非官方网站45注意语法和排版核实身份钓鱼邮件可能存在拼写错误、语法问题、格式混乱或使用不专业的称如果邮件要求提供敏感信息或进行转账，务必通过官方渠道（如官网呼和语言公布的电话）联系发件机构核实真伪第三章信息安全关键技术技术是信息安全防护的核心支撑本章将介绍访问控制、加密、漏洞管理等关键安全技术及其应用，帮助您理解现代信息安全防护体系的技术基础访问控制与身份认证多因素认证（）基于角色的访问控制MFA（）RBAC多因素认证要求用户提供两个或更多验证因素才能访问系统，大大提升账户安RBAC根据用户在组织中的角色和职责分全性认证因素通常分为三类配访问权限，而不是直接为每个用户单独设置权限这种方法简化了权限管理，知识因素用户知道的信息（密码、PIN确保用户只能访问完成工作所需的资源码、安全问题答案）持有因素用户拥有的物品（手机、硬件令牌、智能卡）最小权限原则用户和程序应当仅被授予完成其任务所必需的最小权限，不给生物因素用户的生物特征（指纹、面予任何额外的访问权这样可以限制潜部、虹膜、声音）在攻击或误操作的影响范围即使密码被盗，攻击者仍需获得其他因定期审查和更新权限配置，及时回收离素才能登录，显著降低账户被盗风险职人员或调岗人员的访问权限加密技术对称加密对称加密使用相同的密钥进行加密和解密，速度快、效率高，适合加密大量数据常见算法包括AES、DES等主要挑战在于密钥的安全分发和管理，如何让通信双方安全地共享密钥非对称加密非对称加密使用一对密钥公钥用于加密，私钥用于解密公钥可以公开分发，私钥必须保密常见算法包括RSA、ECC等虽然速度较慢，但解决了密钥分发问题，常用于数字签名和密钥交换传输层安全协议（）TLSTLS是用于在互联网上提供通信安全的加密协议，确保数据在传输过程中的机密性和完整性当您访问以https://开头的网站时，浏览器就在使用TLS协议保护您与服务器之间的通信握手协商身份验证加密传输客户端和服务器协商使用的加密算法和密钥通过数字证书验证服务器身份的合法性使用协商的密钥加密所有传输数据漏洞管理与补丁更新0102漏洞扫描与发现风险评估与优先级排序定期使用专业的漏洞扫描工具对系统、网络和应用程序进行全面扫描，识评估发现的每个漏洞的严重程度、可利用性和潜在影响，结合系统的重要别已知的安全漏洞、错误配置和弱点扫描频率应根据系统的重要性和暴性和业务影响进行风险评分优先修复高危漏洞和面向互联网的系统漏洞露程度确定，关键系统建议每周扫描0304补丁测试与部署验证与持续监控在测试环境中验证补丁的兼容性和有效性，确保不会影响业务正常运行部署后重新扫描验证漏洞是否已成功修复建立持续监控机制，跟踪新披制定详细的部署计划，在维护窗口期间应用补丁，并做好回滚准备对关露的漏洞和安全公告，及时更新漏洞库记录整个漏洞管理过程，用于审键系统建议先小范围试点再全面推广计和改进零日漏洞是指被发现后立即被攻击者利用，在厂商发布补丁前就开始攻击的漏洞应对零日漏洞需要采用纵深防御策略，包括入侵检测、应用白名单、行为分析等多层防护措施网络安全防护设备防火墙防火墙是网络安全的第一道防线，根据预定义的安全规则监控和控制进出网络的流量现代防火墙不仅能过滤IP地址和端口，还能进行深度包检测、应用层控制和威胁防护分为网络防火墙和主机防火墙入侵检测系统（）IDSIDS通过监控网络流量和系统活动，检测可疑行为和已知攻击模式当发现异常时会发出警报通知管理员，但不会主动阻断攻击IDS可以基于签名检测（匹配已知攻击特征）或异常检测（识别偏离正常行为的活动）入侵防御系统（）IPSIPS在IDS基础上增加了主动防御能力，不仅能检测攻击还能自动阻断恶意流量IPS通常部署在网络关键路径上，实时分析流量并丢弃或修改恶意数据包，在攻击到达目标前就予以拦截蜜罐技术蜜罐是故意设置的诱饵系统，模拟真实服务器但不包含真实数据它吸引攻击者进行攻击，从而发现攻击行为、分析攻击手法、收集攻击证据蜜罐还可以转移攻击者注意力，保护真实系统云安全与终端安全云访问安全代理（）终端检测与响应（）CASB EDRCASB是部署在企业和云服务提供商之间的安全控制点，用于监控和管理云服务的使用随着企业大量采用EDR是针对终端设备（电脑、手机、服务器）的高级安全解决方案，提供持续监控、威胁检测和事件响应SaaS应用和云存储，CASB成为保障云安全的关键工具能力与传统杀毒软件不同，EDR不仅能防御已知威胁，还能发现未知攻击和高级威胁CASB的主要功能EDR的核心能力可见性发现和监控员工使用的所有云应用实时监控记录终端上的所有活动和行为数据安全防止敏感数据上传到未授权的云服务威胁狩猎主动搜索潜藏的威胁和攻击痕迹威胁防护检测云环境中的异常行为和恶意活动事件调查提供详细的攻击链分析和取证信息合规性确保云应用使用符合法规和政策要求快速响应隔离受感染设备，阻止威胁扩散多因素认证流程示意图第一步用户名和密码1用户输入账号和密码作为第一重验证因素（知识因素）2第二步验证码发送系统向用户注册的手机或邮箱发送一次性验证码第三步输入验证码3用户输入收到的验证码作为第二重验证因素（持有因素）4第四步生物识别（可选）对于高安全需求场景，可增加指纹或面部识别作为第三重因素第五步授权访问5所有因素验证通过后，系统授予用户访问权限常用的MFA实现方式包括短信验证码、移动应用推送通知（如Microsoft Authenticator）、硬件令牌（如YubiKey）、时间基准的一次性密码（TOTP）等建议所有重要账户都启用MFA保护第四章信息安全实战案例分析从真实案例中学习是最有效的方式本章将分析高校实际发生的安全事件，剖析攻击手法、应对措施和经验教训，帮助您从他人的经历中汲取宝贵经验真实案例某高校数据泄露事件事件背景攻击手法影响与损失2024年3月，某知名高校教务系统遭遇数据泄露，约3万名学生的攻击者向多名教务处工作人员发送精心伪造的钓鱼邮件，冒充学学生个人信息泄露，导致大量学生接到诈骗电话和推销信息部姓名、学号、身份证号、联系方式等个人信息在暗网上被公开售校IT部门，声称系统升级需要重新登录验证邮件中的链接指向分学生遭遇精准诈骗，造成经济损失校园网络系统紧急关闭维卖高度仿真的假冒登录页面一名工作人员未察觉异常输入了账号护12小时，影响正常教学活动学校声誉受损，面临监管部门调密码，攻击者随即获取其教务系统访问权限查和法律责任深刻教训与改进措施暴露的问题采取的措施•员工安全意识薄弱，缺乏识别钓鱼邮件的能力•全校开展安全意识培训，定期进行钓鱼邮件模拟演练•关键系统未部署多因素认证，单一密码验证易被突破•所有管理系统强制启用多因素认证•缺乏异常访问监控和告警机制•部署用户行为分析系统，实时监控异常访问•敏感数据未加密存储，泄露后无法保护•对敏感数据进行加密存储和脱敏处理•建立安全事件应急响应流程和团队真实案例勒索软件攻击校园网络攻击发生（第天）112024年10月某周五晚间，某高校图书馆管理系统突然无法访问，随后多个部门服务器出现文件被加密现象，屏幕显示勒索信息要求支付比特币赎金经调查发现，攻2应急响应（第天）1-2击者利用一台未及时打补丁的文件服务器漏洞入侵校园网络学校立即启动应急预案，成立事件处理小组断开受感染系统与校园网的连接，防数据恢复（第天）3止勒索软件进一步扩散通知全校师生暂停使用相关系统，通过官方渠道发布安全3-7公告联系网络安全专家和执法机关介入调查幸运的是，学校有定期备份机制IT团队从异地备份服务器恢复关键数据，仅损失了最近24小时的部分更新数据重新安装受影响系统的操作系统和应用，从干净备4安全加固（第天）8-30份恢复数据整个恢复过程耗时5天全面扫描和修补网络中的所有系统漏洞，重点更新服务器、网络设备和关键应用部署更严格的网络分段和访问控制策略升级防火墙和入侵检测系统加强日志审计和异常行为监控制定更完善的备份和灾难恢复流程重要提示安全专家强烈建议不要支付勒索赎金支付赎金不能保证数据恢复，反而会助长勒索攻击最佳防御是提前做好数据备份和系统加固，建立完善的灾难恢复计划事件成果虽然经历了短期业务中断，但由于有效的数据备份和快速响应，学校未造成永久性数据丢失，也未支付赎金此次事件促使学校大幅提升了整体安全防护能力，建立了更成熟的安全管理体系攻击链示意图从钓鱼到数据泄露全过程侦察与武器化攻击者收集目标高校信息，研究组织架构和邮件格式精心制作钓鱼邮件和伪造登录页面，使其看起来与学校官方通信高度相似投递与利用向目标人员批量发送钓鱼邮件受害者点击链接并在假冒页面输入账号密码，攻击者获取合法凭证利用窃取的凭证登录教务系统安装与命令控制在已入侵系统中植入远程控制木马程序，建立持久化后门通过命令控制服务器与木马通信，远程操纵受感染系统横向移动与提权利用已控制的系统作为跳板，扫描内网寻找更有价值的目标利用系统漏洞或配置缺陷获取更高权限，访问敏感数据库数据窃取与外传查询和导出学生个人信息数据库将数据分批加密压缩，通过隐蔽通道传输到外部服务器，避开安全监控目标达成在暗网出售窃取的数据获利清除入侵痕迹，删除日志记录整个攻击过程可能持续数周而不被发现理解完整的攻击链有助于在每个环节部署相应的防御措施，打断攻击链条，降低成功攻击的概率第五章信息安全防护策略与最佳实践技术只是手段，完善的策略和良好的习惯才是信息安全的根本保障本章将系统介绍安全意识培养、密码管理、系统加固、数据备份等方面的最佳实践安全意识与培训安全意识培训的重要性有效的培训方式人是信息安全中最薄弱的环节，也是最重要的防线技术措施新生入学教育在新生入学时进行必修的网络安全课程再完善，如果用户缺乏安全意识，随意点击钓鱼链接、泄露密定期培训每学期至少开展一次全员安全培训码，整个安全体系就会崩溃因此，持续的安全意识教育和培钓鱼演练模拟真实钓鱼攻击，测试和提升识别能力训是信息安全工作的基础案例分享定期通报真实安全事件和教训安全不是一个产品，而是一个过程这个过程的核心是人互动游戏通过趣味游戏和竞赛强化安全知识的意识和行为海报和提醒在显眼位置张贴安全提示识别社会工程攻击学会识别钓鱼邮件、可疑链接和伪造网站，不随意提供个人信息和账号密码安全使用公共设备在公共电脑上不登录个人账户，使用后清除浏览记录和缓存保护隐私信息不在社交媒体过度分享个人信息，警惕身份盗用风险及时报告异常发现可疑活动或收到可疑邮件时立即向IT部门报告密码管理与多因素认证强密码策略唯一密码原则密码应至少包含12个字符，混合使用大小写字母、数字和特殊符号避免使用个人信每个账户使用不同的密码一旦一个网站发生数据泄露，使用相同密码的其他账户都息（姓名、生日）、常见单词或连续字符（

123456、abcdef）推荐使用密码短语，会面临风险这种撞库攻击是账户被盗的主要原因之一使用密码管理器可以帮助如Coffee@Morning2024!，既安全又容易记忆生成和记忆多个复杂密码定期更换密码使用密码管理器重要账户（如邮箱、银行、教务系统）的密码应每3-6个月更换一次如果怀疑密码密码管理器可以安全存储所有密码，并自动生成强密码用户只需记住一个主密码即可能泄露，应立即更改密码更换时不要使用以前用过的旧密码可访问所有账户推荐使用经过验证的密码管理器如1Password、LastPass或Bitwarden全面推广多因素认证所有涉及敏感信息的账户都应启用多因素认证，包括•校园邮箱和教务系统•社交媒体账户•个人和企业邮箱•购物和电商平台•云存储和协作平台•VPN和远程访问•银行和支付账户•密码管理器本身系统与网络安全加固及时更新系统和应用定期安装操作系统（Windows、macOS、Linux）的安全更新和补丁启用自动更新功能确保及时获取最新补丁同时更新浏览器、办公软件、PDF阅读器等常用应用关注安全公告，对严重漏洞进行紧急修补启用防火墙和防病毒软件开启操作系统内置防火墙，配置合理的出入站规则安装信誉良好的防病毒软件并保持病毒库更新定期进行全盘扫描，检查潜在威胁对下载的文件在打开前进行扫描关闭不必要的服务和端口禁用不使用的系统服务和网络端口，减少攻击面关闭远程桌面、文件共享等服务，除非确实需要使用网络扫描工具检查开放端口，关闭未使用的端口实施网络分段和隔离将校园网络划分为不同的安全区域教学区、办公区、科研区、访客区等使用VLAN和防火墙进行隔离，限制区域间的访问将面向互联网的服务器放置在DMZ区，与内网隔离加密敏感数据和通信对存储的敏感数据进行加密，包括学生档案、财务信息、科研数据等使用全盘加密保护笔记本电脑和移动设备确保网站和应用使用HTTPS加密传输使用VPN保护远程访问数据备份与灾难恢复备份原则完善的备份策略3-2-1备份频率根据数据重要性确定备份频率关键业务系统应每日备份，甚至实时备份普通数据可每周或每月备份备份类型完全备份备份所有数据，恢复最简单但耗时最长增量备份只备份自上次备份后改变的数据，节省空间和时间差异备份备份自上次完全备份后改变的数据备份验证定期测试备份数据的可恢复性制定恢复时间目标RTO和恢复点目标RPO，确保满足业务需求灾难恢复计划1保留份数据副本3制定详细的应急响应和恢复计划，明确各类事件的处理流程定期进行灾难恢复演练，验证计划的有效性原始数据加上2份备份副本建立应急响应团队，明确职责分工准备应急联系清单和技术文档2使用种不同介质2如本地硬盘和云存储，分散风险3份存放在异地1防止本地灾难导致所有副本损失法规遵从与信息安全管理体系《中华人民共和国网络安全法》《中华人民共和国数据安全法》2017年6月施行，是我国第一部全面规范网络空间安全管理的基础性法律明确了网2021年9月施行，确立了数据分类分级保护制度，明确了数据处理者的安全保护义务络运营者的安全保护义务，规定了关键信息基础设施的运行安全，要求网络运营者采要求开展数据安全风险评估，报告数据安全事件对重要数据和核心数据提出了更严取技术措施和其他必要措施，保障网络安全稳定运行格的保护要求《中华人民共和国个人信息保护法》信息安全管理体系ISO270012021年11月施行，全面保护个人信息权益明确了个人信息处理的合法性基础，要国际标准化组织制定的信息安全管理体系标准，提供了建立、实施、维护和持续改进求遵循最小必要原则规定了个人在个人信息处理活动中的各项权利，加大了对违法信息安全管理体系的框架通过风险评估和控制措施选择，系统地保护信息资产获行为的惩处力度得ISO27001认证可以证明组织的信息安全管理能力合规要求高校作为教育机构，需要严格遵守上述法律法规建立健全数据安全管理制度，开展个人信息保护影响评估，定期进行安全审计对于涉及科研数据和学生信息的处理，要特别注意合规性信息安全防护多层次体系结构图安全策略与管理1人员安全意识2物理安全3网络边界防护4主机和终端安全5应用和数据安全6纵深防御策略要求在不同层次部署多重安全措施，形成立体防护体系当某一层被突破时,其他层仍能提供保护这种多层次防御大大提高了攻击者的成本和难度各层防护要点策略层物理层主机层安全政策、管理制度、合规要求门禁控制、监控系统、环境保护系统加固、补丁管理、EDR人员层网络层数据层安全意识培训、职责分工、权限管理防火墙、IDS/IPS、网络分段加密存储、访问控制、数据备份结语共筑校园信息安全防线人人有责持续学习知行合一信息安全不只是IT部门的工作,而是每个人网络威胁不断演变,安全技术持续发展我安全知识只有付诸实践才有价值让我们将的责任从教师到学生,从管理人员到后勤们需要保持学习态度,不断更新知识,跟上信学到的安全原则和方法应用到日常工作学习员工,每个人都是校园安全防线的一部分息安全领域的最新动态和最佳实践中,养成良好的安全习惯信息安全是一场没有终点的马拉松只有持之以恒的努力,才能守护我们共同的数字家园通过本课程的学习,我们系统了解了信息安全的基本概念、主要威胁、关键技术和防护策略但这只是开始,信息安全是一个需要终身学习和实践的领域让我们携手共建安全、可信、开放的数字校园环境,保护每一位师生的信息安全,为教学科研提供坚实的安全保障记住:安全始于警惕,成于习惯!。