哈工程网络安全课件

哈尔滨工程大学网络安全课程课件第一章网络安全基础与威胁网络安全定义与目标核心定义六大安全目标网络安全是指通过技术手段和管理措施保障网络系统中的硬件、软件及可靠性系统稳定运行,:其数据不被破坏、泄露或篡改确保系统持续可靠运行网络服务不中断,,可用性服务持续可访问:保密性信息不被非法获取:完整性数据不被篡改:抗抵赖性行为可追溯:可控性系统在掌控之中:网络安全威胁四大类型被动攻击主动攻击攻击者截获网络传输的信息进行窃听和流量分析但不修改数据内攻击者主动干预网络通信包括中断服务、篡改数据、伪造信息等行,,,容为特点难以检测重在预防特点危害更大可被检测:,:,恶意程序系统漏洞包括计算机病毒、蠕虫、木马、逻辑炸弹等各类恶意软件软件设计缺陷、配置错误、协议漏洞等为攻击者提供入侵途径特点传播快破坏性强:,网络攻击典型场景黑客入侵数据泄露拒绝服务攻击者利用漏洞突破防通过各种手段获取机密信护获取系统控制权窃取息包括用户隐私、商业,,,敏感数据或植入后门程机密、国家秘密等序主动攻击详解伪装攻击攻击者冒充合法用户身份绕过身份认证机制获取未授权的系统访问权限常见手段包括地址欺骗、身份盗用等,,IP重放攻击截获合法的数据传输报文在稍后时间重新发送给接收方欺骗系统执行重复操作常用于攻击认证协议,,修改报文在传输过程中篡改数据包内容改变消息的真实含义破坏数据完整性可能导致严重后果,,,拒绝服务攻击网络安全的现实挑战123协议层面漏洞软件实现缺陷资源消耗攻击协议族设计之初未充分考虑安全性缓冲区溢出、格式化字符串漏洞、注入TCP/IP,SQL存在诸多缺陷HTTP协议明文传输易被窃等软件漏洞层出不穷开发人员的安全意识听协议容易遭受欺骗攻击这些基础协不足和编码错误为攻击者提供了大量可乘,DNS,,议的安全问题影响深远之机网络安全的社会影响多维度安全威胁个人层面企业层面信息泄露导致隐私曝光、财产损失、身商业机密泄露、业务中断、品牌信誉受份盗用影响正常生活电信诈骗、网损造成巨大经济损失数据安全事故,,络勒索等犯罪活动频发可能导致企业破产国家层面关键基础设施遭受攻击威胁国家安全网络空间成为国家对抗的新战场信息主权和,数据安全至关重要网络安全责任人人有份维护安全环境需要全社会共同参与,第二章密码学基础与身份认证密码学发展简史1古典密码时代公元前凯撒密码使用简单位移加密:世纪维吉尼亚密码引入多表代换16:2机械密码时代世纪初密码机在二战中广泛使用20:Enigma密码分析学快速发展3现代密码学诞生年香农信息论奠定理论基础1949:年公钥密码学革命性突破1976:4当代密码技术、等标准算法AES RSA对称密钥密码体制工作原理优势与挑战对称密钥密码体制使用同一密钥进行加密和解密操作发送方用✓主要优点密钥对明文加密得到密文接收方用同一密钥对密文解密K MC,K C恢复明文M加密解密速度快•典型算法:DES、3DES、AES、RC4等•算法效率高计算资源消耗小•适合大数据量加密•✗主要缺点密钥分发困难•密钥管理复杂•无法实现数字签名•不支持身份认证•公钥密码体制公钥密码体制是现代密码学的重大突破使用一对密钥公钥用于加密私钥用于解密公钥可以公开发布私钥必须保密这种机制巧妙解决了密钥分发,:,,难题加密通信数字签名密钥交换使用接收方的公钥加密,只有持有对应私钥的发送方用私钥签名,任何人都可用公钥验证,利用公钥密码体制安全地在不安全信道上协接收方能够解密,确保通信保密性确保消息来源真实性和不可否认性商对称密钥,实现安全密钥分发性能考虑公钥算法计算复杂度高加密速度比对称算法慢倍实际应用中常采用混合加密方案用公钥加密对称密钥用对称密钥加:,100-1000,,密数据加密体制对比对称加密流程公钥加密流程通信双方协商共享密钥接收方生成密钥对公钥私钥

1.K

1.PK,SK发送方用加密明文得到密文发送方用加密明文得到密文

2.K MC

2.PK MC密文通过网络传输密文通过网络传输

3.C

3.C接收方用解密密文恢复接收方用解密密文恢复

4.K CM

4.SK CM密钥分配与管理密钥分发中心KDC公钥基础设施PKI证书信任链集中式密钥管理系统为通信实体分发会话密基于公钥密码的信任体系包括证书颁发机构采用层级化信任模型根为顶级信任锚点签发,,,CA,钥每个用户与共享一个长期密钥通过、注册机构、证书库等组件通过数中间证书中间签发用户证书形成完整信KDC,CA RACA,CA,KDC协商临时会话密钥字证书绑定公钥与身份任链优点管理集中缺点单点故障风险核心数字证书标准验证逐级验证证书有效性:;::X.509:报文鉴别与实体鉴别报文鉴别实体鉴别确保消息在传输过程中未被篡改,并验证消息来源的真实性确认通信对方的真实身份,防止假冒攻击0101散列函数口令认证MD

5、SHA系列算法生成消息摘要,任何修改都会导致摘要变化,但无法防最简单的方式,用户提供密码验证身份,存在被窃取和暴力破解风险止伪造0202对称密钥认证消息认证码MAC通过挑战-应答协议,证明持有共享密钥,如Kerberos系统结合密钥和散列函数,既保证完整性又验证来源,常用HMAC算法0303公钥证书认证数字签名基于PKI体系,通过验证数字证书确认身份,SSL/TLS协议广泛应用使用私钥签名,提供最强的认证保障,同时支持不可否认性数字签名原理与应用数字签名的核心机制数字签名是公钥密码体制的重要应用,提供身份认证、消息完整性和不可否认性三重保障签名过程使用发送方的私钥,验证过程使用对应的公钥签名生成

1.对消息计算散列值

2.用私钥加密散列值

3.将签名附加到消息签名验证

1.分离消息和签名

2.用公钥解密签名

3.对比计算的散列值安全保障•防止消息伪造•检测消息篡改•防止发送方否认实际应用:电子合同、软件分发、区块链交易、电子政务等场景都依赖数字签名技术保障安全性和可信度第三章网络安全技术与实践理论知识需要与实践技术相结合才能发挥作用本章将介绍防火墙、入侵检测、加密传输、访问控制等核心安全技术并通过实际案例分析帮助学生建立完整的安全防护体系,,认知防火墙与入侵检测系统防火墙技术入侵检测系统IDS防火墙是网络安全的第一道防线,部署在内外网边界,实施访问控制策略主要功能•包过滤:基于IP地址、端口、协议过滤•状态检测:跟踪连接状态,动态调整规则•应用层网关:深度检测应用层协议•NAT转换:隐藏内网结构网络攻击防御技术数据加密传输访问控制模型安全加固措施协议应用层安全协议广泛用于自主访问控制资源拥有者决定访问及时更新补丁修复已知漏洞SSL/TLS:,DAC:•,、邮件加密等场景提供端到端加权限灵活但安全性较弱常见于文件系统HTTPS,,最小权限原则减少攻击面•,密通信防止中间人攻击和数据窃听,强制访问控制系统强制执行安全策MAC:多因素认证提升身份验证强度•,协议网络层安全协议可保护所有略基于安全标签分级用于高安全需求场IPSec:,,,安全审计日志追踪异常行为•,IP通信支持隧道模式和传输模式,适用于景、站点互联等场景VPN基于角色访问控制根据用户角色RBAC:分配权限便于管理广泛应用于企业系统,,网络扫描与数据包捕获技术主机发现与端口扫描网络扫描是安全评估的重要手段,也是攻击者侦察的常用技术主机发现端口扫描漏洞扫描使用ICMP、ARP、TCP/UDP探测网络中活跃主探测目标主机开放的服务端口,识别运行的服务类型检测系统配置问题和已知安全漏洞,生成安全评估报机,绘制网络拓扑图和版本信息告数据包捕获编程WinPcap/Libpcap应用场景底层网络数据包捕获库,提供跨平台的API接口•网络协议分析•设置捕获过滤器•入侵检测系统•接收原始数据包•流量监控工具•解析协议字段•安全审计系统•统计流量特征工具:Wireshark、tcpdump、Snort典型攻击案例分析12016年Mirai僵尸网络攻击恶意软件感染数十万物联网设备发起大规模攻击Mirai,DDoS,导致美国东海岸大面积网络瘫痪攻击峰值流量超过影1Tbps,响、等主要网站Twitter Netflix22017年WannaCry勒索病毒启示物联网设备安全不容忽视默认密码必须修改:,利用协议漏洞全球超过个国家万台计算Windows SMB,15030机被感染加密用户文件并勒索比特币赎金造成数十亿美元损,2020年SolarWinds供应链攻击3失启示及时安装安全补丁至关重要需要完善的数据备份策略黑客在软件更新中植入后门影响多家美国政府机构和企业这:,,是典型的供应链攻击攻击者潜伏数月才被发现,启示供应链安全是新的关注重点需建立软件完整性验证机制:,僵尸网络攻击剖析Mirai攻击链条防护措施扫描感染:扫描互联网上的IoT设备,尝试•修改设备默认密码默认密码登录禁用不必要的远程访问•部署恶意代码在设备上安装程序:Mirai,及时更新设备固件•加入僵尸网络网络隔离设备•IoT等待指令受感染设备连接控制服务器等:,部署防护服务•DDoS待攻击命令发起协同向目标发送海量流量耗DDoS:,尽带宽和资源安全风险管理与法律法规信息系统风险评估风险管理是网络安全工作的核心,通过系统化方法识别、分析和应对安全风险识别威胁识别资产分析可能面临的各类安全威胁和脆弱性清点信息系统资产,确定保护对象及其重要性等级评估风险计算风险值,确定风险等级和优先级持续监控定期评估,动态调整安全策略制定对策选择合适的控制措施,降低风险到可接受水平中国网络安全法国际标准2017年6月施行,确立网络安全等级保护制度、关键信息基础设施保护、个人信息保护等基本ISO27001信息安全管理体系标准,提供系统化的安全管理框架,是全球通行的安全认证标准制度网络安全思政教育信息安全与社会责任网络安全不仅是技术问题,更是社会责任问题每个网络参与者都应树立正确的安全观念,自觉维护网络空间秩序保护个人隐私遵守法律法规尊重他人隐私权,合法收集和使用个人信息不传播违法信息,不实施网络攻击,依法使用网络资源增强安全意识提高警惕,识别网络诈骗和恶意攻击技术创新推动安全技术发展,为国家网络安全贡献力量传播正能量发布真实信息,抵制网络谣言和不良内容密码学文化传承与创新:从古代密码术到现代加密技术,密码学承载着人类智慧结晶我们要传承创新精神,在量子计算等新挑战下,持续推动密码学技术进步网络安全综合实践实验课程体系理论与实践相结合,通过动手实验深化对网络安全技术的理解实验一:加密算法实现编程实现DES、AES、RSA等经典加密算法,理解加密原理,分析算法性能和安全性目标:掌握对称和非对称加密技术实验二:数字签名与验证实现基于RSA的数字签名系统,完成签名生成、验证和证书管理功能目标:理解PKI体系和身份认证机制实验三:防火墙规则配置在Linux环境下配置iptables防火墙,设计访问控制策略,测试防护效果目标:掌握网络访问控制技术实验四:入侵检测系统使用Snort搭建IDS,编写检测规则,分析攻击流量,生成告警报告目标:学习入侵检测原理和实践实验五:渗透测试实战在授权环境下进行安全测试,使用Nmap、Metasploit等工具,发现并利用漏洞目标:培养攻防对抗思维和能力课堂互动与讨论讨论话题一讨论话题二你在日常生活中遇到过哪些网络安全问对称密钥密码体制和公钥密码体制各有题是如何应对和解决的有哪些经验教什么优缺点在实际应用中应该如何选训可以分享择能否举例说明讨论话题三如何平衡网络安全与用户体验过度的安全措施会不会影响系统可用性如何找到最佳平衡点思考与探索小组活动•量子计算对现有密码体系的威胁分组设计一个小型企业的网络安全方案,包括防护体系、应急预案和管理制度下次•人工智能在网络安全中的应用课进行方案展示和评审•区块链技术如何增强数据安全•零信任架构的核心思想学习资源推荐哈工大课程资源库经典教材推荐在线实验平台开源项目《密码编码学与网络安渗透测试专GitHub:heu-••Kali Linux:icicles全》William Stallings用系统https://github.com/HE•《网络安全基础》Larry•DVWA:漏洞练习平台UOpenResource/heu-Peterson密码学教学工•CrypTool:icicles•《应用密码学》Bruce具包含课程笔记、习题解答、Schneier平台攻防竞赛训练•CTF:实验指导等丰富资源由学,《计算机网络安全技术》•生维护持续更新,王继林学习建议网络安全是一个持续学习的领域技术不断演进威胁日新月异建议订阅安全资讯关注漏洞库参与安全社区讨论在实践中不:,,,CVE,,断提升技能课程考核与评价方式30%30%40%平时成绩实验考核期末考试课堂出勤、作业完成、讨论参与实验报告质量、操作规范性、问题解决能力理论知识掌握、综合分析能力期末考试结构题型分布考试重点•选择题20分:基础概念

1.网络安全威胁与防护技术•简答题30分:原理阐述

2.对称与非对称密码体制•计算题20分:加密算法

3.身份认证与访问控制•分析题20分:案例分析

4.防火墙与入侵检测原理•设计题10分:方案设计

5.典型攻击案例与防御策略备考建议:注重理解原理,而不是死记硬背能够分析实际问题,提出合理的安全解决方案网络安全未来趋势人工智能与安全防护AI技术在威胁检测、异常分析、自动响应等领域展现巨大潜力机器学习算法能够识别未知攻击模式,但同时攻击者也在利用AI发起更智能的攻击应用方向:智能威胁分析、自适应防护、安全运营自动化量子计算的挑战与机遇量子计算机的发展对现有公钥密码体系构成威胁,RSA、ECC等算法可能被破解后量子密码学研究成为热点,量子密钥分发QKD提供理论上不可破解的通信安全对策:研发抗量子密码算法,推进量子安全技术应用零信任架构永不信任,始终验证的安全理念传统边界防护模式失效,零信任要求对所有访问请求进行持续验证和动态授权,无论来自内网还是外网核心原则:最小权限、微隔离、持续验证、动态访问控制云安全与容器安全云计算和容器技术普及带来新的安全挑战多租户隔离、数据主权、API安全、容器逃逸等问题需要创新解决方案云原生安全成为新兴领域技术:CSPM、CWPP、容器运行时保护、服务网格安全网络安全人人有责携手共筑数字防线网络安全是技术与责任的结合掌握专业知识是基础,树立安全意识和社会责任感同样重要持续学习,积极防护,共创安全网络环境让我们成为网络安全的守护者,为构建清朗网络空间贡献力量!课程总结未来展望•系统学习网络安全基础理论网络安全领域机遇与挑战并存,期待同学们在未来的学习和工作中,不断钻研技术,勇于创新,为国家网络安全事业贡献智慧和力量•掌握密码学核心技术•熟悉安全防护实践方法•培养安全意识和责任感。