系统安全理论课件

系统安全理论课件第一章系统安全概述与基本概念信息系统安全的重要性国家安全战略高度基础设施核心保障没有网络安全就没有国家安全随着信信息系统安全是国家基础设施安全的核息化进程的深入推进,网络空间已成为继心保障电力、交通、通信、金融等关陆、海、空、天之后的第五大主权领域键领域都高度依赖信息系统的稳定运空间信息系统的安全直接关系到国家行政治稳定、经济发展、文化传承和社会和谐从国家关键基础设施到政务系统从金融,网络到能源调度信息系统的安全性决定,了国家核心利益能否得到有效保障信息安全的三大目标信息安全领域通常将安全目标概括为三元组这三个核心要素构成了信息安全保障体系的基础框架是评估系统安全性的重要标准CIA,,机密性完整性可用性Confidentiality IntegrityAvailability确保信息只能被授权用户访问,防止信息泄露保证信息在存储、传输和处理过程中不被未确保授权用户在需要时能够及时、可靠地访给未经授权的个人或实体通过加密、访问授权篡改或破坏,确保数据的准确性和一致问信息和资源,系统能够持续稳定运行通过控制等技术手段保护敏感数据性采用数字签名、消息认证码等技术冗余备份、容灾恢复等措施实现数据加密保护防篡改机制系统高可用设计•••身份认证机制数据一致性校验灾难恢复计划•••访问权限控制审计日志记录••信息安全的基本概念与发展历程1安全服务体系信息安全服务包括认证服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认服务等五大类这些服务通过各种安全机制来实现为用户提供全方位的安全保障,2安全机制分类安全机制是实现安全服务的具体技术手段包括加密机制、数字,签名机制、访问控制机制、数据完整性机制、认证交换机制、流3网络攻击演变量填充机制、路由控制机制和公证机制等网络攻击从早期的简单病毒传播发展到组织化的攻击、大,APT规模攻击、勒索软件攻击等复杂形态攻击手段日益专业DDoS4未来安全趋势化、隐蔽化对抗难度不断增加,网络攻击全景图现代网络攻击呈现多样化、复杂化趋势分布式拒绝服务攻击通过海量请求使DDoS系统瘫痪钓鱼攻击利用社会工程学诱骗用户泄露敏感信息恶意代码则通过多种途径渗,,透系统窃取数据或破坏功能DDoS攻击钓鱼攻击恶意代码利用僵尸网络发起大规模伪装成可信实体,通过伪包括病毒、木马、蠕虫等,流量攻击,耗尽目标系统造网站或邮件诱骗用户输能够自我复制、传播并对资源,导致合法用户无法入账号密码等敏感信息系统造成破坏或窃取信访问服务息第二章密码学基础与身份认证技术密码学是信息安全的核心技术基础本章将系统介绍密码学的基本原理、加密算法、消息认证、数字签名以及身份认证技术帮助理解如何通过密码技术保护信息的机密性和完,整性密码学基本理论密码学是研究信息加密、解密及其安全性的科学现代密码学分为对称密码和非对称密码两大体系,它们在安全性、效率和应用场景上各有特点对称加密体系加密和解密使用相同密钥的加密方式具有速度快、效率高的特点,适合大量数据加密但密钥分发和管理是主要挑战经典算法DES:数据加密标准,64位分组密码AES:高级加密标准,目前最广泛使用的对称加密算法3DES:三重DES加密,增强安全性非对称加密体系使用公钥加密、私钥解密或相反的加密方式解决了密钥分发难题,但计算复杂度高,速度相对较慢经典算法RSA:基于大数分解难题,应用最广泛ECC:椭圆曲线密码,更短密钥实现相同安全强度ElGamal:基于离散对数问题消息认证与数字签名消息认证技术数字签名技术消息认证确保接收到的消息未被篡改,并验证消息来源的真实性主要技数字签名提供身份认证、消息完整性和不可否认性保障签名者使用私术包括钥对消息摘要加密接收者用公钥验证:,消息认证码使用共享密钥生成固定长度的认证标签关键特性MAC:哈希函数、系列算法生成消息摘要:MD5SHA不可伪造性只有私钥持有者能生成有效签名•:结合哈希函数和密钥的认证机制HMAC:不可否认性签名者无法否认已签署的消息•:这些技术能够检测消息在传输过程中的任何修改,保证数据完整性即使•完整性保护:消息任何改动都会导致验证失败一个比特的改变也会导致完全不同的认证结果应用场景电子合同、软件发布、电子邮件认证、数字证书等领域广泛应用数字签名技术保障交易和通信安全公钥基础设施PKIPKI是一套利用公钥密码技术提供安全服务的基础设施体系,包括认证机构CA、注册机构RA、证书库和密钥管理系统等组件01数字证书申请用户向注册机构提交身份证明和公钥,经过身份验证后,注册机构将申请转发给认证机构02证书签发管理认证机构验证申请者身份后,使用CA私钥对证书信息进行数字签名,生成数字证书并发布到证书库03SSL/TLS应用在HTTPS通信中,服务器出示数字证书证明身份,客户端验证证书有效性,建立加密通道进行安全通信04证书生命周期包括证书的更新、吊销和归档管理证书吊销列表CRL和在线证书状态协议OCSP用于查询证书有效性身份认证技术身份认证是确认用户身份真实性的过程是访问控制的第一道防线现代身份认证技术从单一密码认证发展到多因素、生物识别等多种方式结合,传统密码认证多因素认证MFA基于你知道什么的认证方式简单易用但存在密码泄露、弱密结合两种或以上认证因素知识因素密码、持有因素手机令:码、密码重用等安全隐患需要辅以密码强度策略和定期更换机牌、生物因素指纹显著提高账户安全性,即使一个因素被破制解也无法通过认证生物识别认证行为认证技术利用人体独特生物特征进行身份识别包括指纹、人脸、虹膜、通过分析用户的行为模式进行持续认证如击键节奏、鼠标移动,,声纹等具有唯一性、稳定性和便捷性但需注意生物特征信息轨迹、使用习惯等可以检测账户盗用和异常访问行为提供动,,的隐私保护态安全保障第三章访问控制与系统安全机制访问控制是限制用户对系统资源访问权限的安全机制本章介绍访问控制的基本模型、操作系统安全架构以及物理安全技术构建多层次的系统安全防护体系,访问控制模型访问控制模型定义了如何管理和执行对系统资源的访问权限不同模型适用于不同的应用场景和安全需求12访问控制矩阵访问控制列表ACL二维表格形式表示主体对客体的访问权限行表示主体用户、进程,列为每个客体维护一个访问控制列表,记录哪些主体可以访问该客体及其权表示客体文件、设备,交叉点表示具体权限读、写、执行限按列存储访问控制矩阵优点是概念清晰直观,缺点是空间开销大,实际应用中通常采用其派生形广泛应用于文件系统、网络设备等便于管理资源权限,但查询特定用户式的所有权限较困难34能力列表CL基于角色的访问控制RBAC为每个主体维护一个能力列表,记录该主体可以访问哪些客体及权限按引入角色概念,将权限授予角色而非直接授予用户用户通过被分配角色行存储访问控制矩阵获得权限,实现权限管理与用户管理分离便于确定用户可访问的所有资源,但管理和保护能力列表较为复杂,防止简化大规模系统的权限管理,支持职责分离和最小权限原则,是企业应用伪造和篡改是关键中最常用的访问控制模型操作系统安全机制Windows安全架构Linux安全架构采用基于对象的安全模型核采用基于文件的权限管理主要特Windows,Linux,心组件包括性包括::安全账户管理器存储本地用户账用户与组管理每个文件属于一个用户和SAM::户和密码散列一个组本地安全授权验证用户身份并生权限位设置读、写、执行权LSA::r wx成访问令牌限分别针对所有者、组和其他用户安全引用监视器强制执行访问控特殊权限、、位提SRM::SUID SGIDSticky制策略供额外安全控制访问令牌包含用户安全标识符和强制访问控制:SID SELinux/AppArmor:权限信息MAC框架,提供更细粒度安全策略实施自主访问控制对Windows DAC,象所有者可以决定谁可以访问及如何访Linux遵循最小权限原则,普通用户权限问受限,特权操作需root权限或sudo授权物理安全技术物理安全是信息安全的基础层面,保护硬件设备、数据中心等物理实体免受未授权访问、破坏和自然灾害影响硬件安全模块HSM物理隔离技术防篡改技术专用的加密硬件设备,用于安全地生成、存储将敏感网络与外部网络物理断开,消除网络攻通过特殊材料和设计防止硬件被物理拆解或修和管理密钥HSM具有防篡改机制,任何物理击路径采用物理隔离网闸、单向数据传输等改包括防拆封、电路保护、传感器检测等多入侵尝试都会导致密钥被销毁技术实现数据交换重机制广泛应用于金融、政府等高安全需求场景,保适用于涉密网络、工控系统等高安全场景,是应用于安全芯片、智能卡、军事设备等,一旦护根密钥和执行关键加密运算最可靠的安全防护手段之一检测到篡改行为立即触发保护响应第四章网络安全技术与防御体系网络安全是保护网络系统及其传输数据安全的技术体系本章系统介绍网络安全模型、常见攻击类型、防火墙、入侵检测系统以及等关键防御技VPN术网络安全模型与体系结构构建有效的网络安全防护需要采用分层设计和纵深防御理念,结合边界防护与内部防御,形成多层次、全方位的安全体系安全策略层1安全管理层2安全技术层3基础设施层4分层安全设计纵深防御理念网络安全采用层次化架构,从物理层到应用层逐层构建安全防护每一层都有特定的单一安全措施无法提供完整保护,需要部署多重防护机制当某一层被突破时,其他层安全威胁和对应的防护技术仍能提供保护•物理层:物理安全、电磁防护边界防护阻止外部威胁,内部防御检测和响应已渗透威胁结合预防、检测、响应和•网络层:防火墙、VPN、IDS/IPS恢复能力,构建弹性安全体系•应用层:Web防护、数据库审计•管理层:安全策略、应急响应常见网络攻击类型123中间人攻击MITM重放攻击拒绝服务攻击DDoS攻击者秘密拦截并可能篡改通信双方之间的攻击者截获合法的数据传输并在之后重新发通过大量请求耗尽目标系统资源,使合法用数据传输常见于公共环境攻击者可送试图欺骗系统执行未授权操作典型场户无法访问服务分布式利用僵尸网WiFi,,DDoS窃听会话、窃取凭据或注入恶意内容防御景是重放身份认证消息使用时间戳、序列络发起攻击,规模可达数百Gbps需要流量措施包括使用加密通信HTTPS、VPN和号和一次性令牌可有效防御重放攻击清洗、CDN分发和弹性扩展能力应对证书验证45钓鱼攻击社会工程学攻击伪装成可信实体诱骗用户泄露敏感信息或执行恶意操作包括邮件钓利用人性弱点而非技术漏洞进行攻击通过伪装、欺骗、胁迫等手段鱼、网站仿冒、即时通讯钓鱼等形式防御依赖用户安全意识培训、获取信息或访问权限强化安全意识、建立验证流程和限制信息披露邮件过滤和反钓鱼技术是关键防护措施防火墙与入侵检测系统防火墙技术入侵检测与防御防火墙是网络边界的第一道防线根据预定义规则过滤进出网络的流量和用于检测和阻止恶意活动提供实时威胁响应能力,IDS IPS,防火墙类型IDS与IPS区别包过滤防火墙基于地址、端口号等信息过滤入侵检测系统被动监控发现可疑活动后告警:IP IDS:,状态检测防火墙跟踪连接状态提供更智能的决策入侵防御系统主动防护自动阻断攻击流量:,IPS:,应用层防火墙深度检查应用层协议内容:检测技术下一代防火墙集成、应用识别、威胁情报等功能NGFW:IPS基于特征匹配已知攻击签名准确但无法检测零日攻击:,工作原理基于异常建立正常行为基线检测偏离基线的活动:,防火墙基于访问控制列表匹配流量特征执行允许、拒绝或记录操基于协议分析协议异常和违规行为ACL,:作默认拒绝策略更安全只开放必要端口和服务,协同部署防火墙与协同工作防火墙过滤明显恶意流量检测更IDS/IPS,,IDS/IPS隐蔽的威胁形成纵深防御体系,虚拟专用网络技术VPNVPN通过公共网络建立加密隧道,为远程用户和分支机构提供安全的网络连接,确保数据传输的机密性和完整性远程访问VPN站点到站点VPN为远程用户提供安全访问企业内网的能力用户通过VPN客户端建立加密连接,适合移动办连接不同地理位置的网络,如总部与分支机构建立持久的加密隧道,实现跨地域网络的安全公、居家办公场景互联SSL/TLS VPNIPsec VPN基于Web浏览器,无需安装客户端适合临时访问和细粒度应用级访问控制,部署灵活但功在网络层提供端到端加密,支持多种认证和加密算法性能好、安全性高,是企业VPN的主能相对受限流选择VPN核心技术加密隧道安全传输VPN使用隧道协议封装数据包,再通过加密算法保护常用隧道协议包括PPTP、L2TP、结合身份认证、数据加密、完整性校验和抗重放保护,VPN提供全面的通信安全保障根据安IPsec等数据在隧道内传输,外部无法窃听或篡改全需求选择合适的加密强度和认证方式第五章恶意代码与安全漏洞防范恶意代码是威胁系统安全的主要手段之一本章介绍恶意代码的分类特征、检测技术以及应用系统常见漏洞的防范措施帮助建立完善的恶意代码防护体系,恶意代码分类与特征恶意代码是指故意设计用来破坏系统、窃取信息或进行其他非法活动的程序不同类型的恶意代码具有不同的传播方式、运行机制和破坏特征计算机病毒木马程序蠕虫病毒传播特性:需要宿主文件,通过感染可执行文件隐蔽特性:伪装成正常软件诱导用户安装不主传播特性:独立程序,无需宿主即可运行利用传播用户执行感染文件时病毒激活,寄生性是动传播,但一旦运行就打开后门,允许攻击者远程网络漏洞和安全缺陷自动传播,扩散速度极快其核心特征控制系统破坏行为:大量复制消耗网络带宽和系统资源,破坏行为:删除文件、修改数据、占用系统资源危害行为:窃取密码、监控屏幕、记录击键、盗可携带其他恶意载荷著名案例包括冲击波等可以自我复制,快速扩散到其他文件和系取文件等长期潜伏,持续窃取信息或等待指和震荡波蠕虫统令恶意代码的共同特征分析隐蔽性破坏性现代恶意代码采用多种技术隐藏自身:加密、伪装、Rootkit技术、多态变形恶意代码的破坏程度差异很大轻则弹出广告、消耗资源,重则删除数据、加密等目标是避免被检测和清除,延长在系统中的生存时间,最大化窃取数据或破勒索、窃取商业机密、破坏关键基础设施破坏性与攻击者目的直接相关坏效果恶意代码检测技术特征码扫描技术1将文件与病毒库中的特征码进行比对匹配这是最传统和广泛应用的检测方法,准确率高、误报率低但无法检测未知恶意代码,需要持续更新病毒库适合检测已知威胁启发式分析技术2通过分析程序行为特征和代码结构判断是否为恶意代码不依赖特征库,能发现未知威胁和变种但存在误报可能,需要平衡检测率和误报率文件完整性检测3记录系统关键文件的散列值,定期比对检测是否被篡改能有效发现文件型病毒感染需要建立完整的基线数据库,适合保护稳定的生产系统行为监控分析4实时监控进程行为,识别可疑操作如修改注册表、创建自启动项、网络异常通信等能检测未知威胁和零日攻击,是传统特征检测的重要补充沙箱动态分析5在隔离环境中运行可疑程序,观察其行为表现能安全分析未知样本,发现隐藏的恶意功能分析时间较长,适合深度检测和威胁研究综合运用多种检测技术,结合云端威胁情报,构建多层次检测体系,才能有效应对日益复杂的恶意代码威胁应用系统安全漏洞应用系统漏洞是攻击者入侵的主要途径Web应用作为对外服务的主要形式,面临诸多安全威胁了解常见漏洞类型和防范措施是保障应用安全的基础SQL注入攻击跨站脚本XSS攻击者在输入中插入恶意SQL代码,操纵数据库执行未授权操作可能导致数据泄露、篡改将恶意脚本注入网页,在其他用户浏览器中执行窃取Cookie、劫持会话或钓鱼攻击分甚至完全控制数据库为反射型、存储型和DOM型XSS防范措施:使用参数化查询、输入验证、最小权限原则、WAF防护防范措施:输出编码、内容安全策略CSP、HTTPOnly Cookie、输入过滤跨站请求伪造CSRF文件上传漏洞诱使受害者在已登录状态下执行非本意操作利用浏览器自动携带Cookie的特性进行攻上传恶意文件如WebShell获取服务器权限不安全的文件处理可导致远程代码执行击防范措施:文件类型白名单、重命名上传文件、独立存储、禁止执行权限、病毒扫描防范措施:CSRF Token验证、SameSite Cookie属性、验证Referer头、二次确认机制安全开发与加固安全应从设计阶段开始贯穿整个软件生命周期采用安全编码规范、定期进行安全审计和渗透测试、及时修补漏洞、实施Web应用防火墙WAF等措施,构建纵深防御体系第六章信息安全管理与法律法规技术措施需要管理制度支撑才能发挥效用本章介绍信息安全标准体系、等级保护制度、风险评估方法以及相关法律法规帮助建立规范的安全管理体系,信息安全标准与等级保护制度网络安全等级保护制度ISO/IEC27001标准等级保护是我国网络安全的基本制度国际公认的信息安全管理体系ISMS标根据信息系统的重要性和面临威胁的严准,采用PDCA循环模型持续改进安全管重程度,将系统划分为五个安全保护等理级核心内容等级划分安全策略制定组织级信息安全方针:第一级用户自主保护级:风险管理识别、评估和处理安全风险:第二级系统审计保护级:第三级安全标记保护级控制措施项安全控制最佳实践::114第四级结构化保护级持续改进监控、审计、评审和改进::第五级访问验证保护级:通过认证表明组织建立了系ISO27001统化的安全管理体系提升客户信任和市等级越高安全要求越严格第三级及以,,场竞争力标准强调管理与技术并重文上系统需要定期测评确保符合相应等级,,档化和可审计性的安全要求信息安全风险评估风险评估是信息安全管理的核心活动,通过系统化方法识别、分析和评价安全风险,为制定防护策略提供决策依据资产识别识别和分类组织的信息资产,包括硬件、软件、数据、人员和服务等确定资产的价值和重要性,作为风险评估的基础威胁识别识别可能对资产造成损害的威胁源,包括自然灾害、人为攻击、技术故障等分析威胁发生的可能性和途径脆弱性识别发现系统存在的安全弱点和漏洞,评估这些脆弱性被威胁利用的可能性包括技术漏洞、管理缺陷和物理薄弱环节风险分析综合考虑资产价值、威胁可能性和脆弱性严重程度,计算风险值采用定性或定量方法确定风险级别,区分高、中、低风险风险处置根据风险评估结果制定处置策略:风险规避、风险降低、风险转移或风险接受针对高风险项实施安全控制措施,降低风险到可接受水平常用评估工具与方法常用风险评估方法包括基线评估法、详细评估法和综合评估法工具方面,既有商业化的风险评估平台,也有开源的漏洞扫描工具如Nessus、OpenVAS等选择合适的方法和工具,定期开展风险评估,是持续改进安全防护的关键信息安全法律法规《中华人民共和国网络安全法》2017年6月1日起施行,是我国第一部全面规范网络空间安全管理的基础性法律明确了网络空间主权原则、网络安全责任和义务核心内容:•网络运营者的安全保护义务•关键信息基础设施保护制度•网络信息安全管理要求•个人信息保护规定•监测预警与应急处置机制违反规定将面临警告、罚款、吊销许可证等行政处罚,严重的追究刑事责任《数据安全法》与《个人信息保护法》《数据安全法》于2021年9月实施,建立数据分类分级保护制度《个人信息保护法》同期实施,全面保护个人信息权益主要规定:•数据分类分级管理•数据安全风险评估和报告•个人信息处理的合法性基础•知情同意原则•数据跨境传输管理•用户权利保障访问、更正、删除这两部法律与《网络安全法》共同构成了我国网络安全与数据保护的法律框架体系企业和组织必须建立合规管理体系,落实法律要求,定期开展合规审查,避免法律风险和声誉损失第七章系统安全工程与未来趋势系统安全工程是将安全理念融入系统设计、开发和运维全生命周期的系统化方法本章探讨安全工程实践以及人工智能、大数据等新技术在安全领域的应用与挑战系统安全工程实践与创新整体安全设计AI赋能安全安全应从系统规划阶段开始考虑采用安全架构设计、机器学习用于异常检测、威胁预测、自动响应AI增威胁建模、纵深防御等原则,将安全融入系统DNA强安全分析能力,但也可能被攻击者利用生成对抗样本大数据安全分析量子计算威胁海量日志和流量数据分析发现隐藏威胁SIEM、量子计算机可能破解现有公钥密码体系后量子密SOAR等平台整合多源数据,提供态势感知和智能码算法研究和迁移准备成为长期战略任务响应物联网安全云安全挑战海量IoT设备扩大攻击面设备固件漏洞、弱认证、明云计算带来新的安全边界和责任共担模型需要关注多文通信等问题突出,需要端到端安全设计租户隔离、数据主权、供应链安全等问题面向未来的安全对策应对未来安全挑战需要技术创新与管理革新并重建立主动防御体系,从被动响应转向威胁狩猎;推动安全左移,将安全融入DevSecOps流程;加强威胁情报共享,建立行业协同防御机制;培养安全人才,提升全民安全意识安全是持续演进的过程,只有不断学习、创新和适应,才能在数字化时代守护好网络空间安全。