计算机网络及安全课件

计算机网络及安全课程第一章网络基础与信息安全概述网络安全的重要性在当今高度互联的世界中网络安全威胁呈现爆发式增长态势据统,计年全球网络攻击事件较前一年增长了这一数字令人警醒,202530%,网络安全不再仅仅是技术问题而是关系到国家安全、企业生存和个人隐,私的战略性议题从关键基础设施到个人移动设备每一个节点都可能成,为攻击目标信息安全三要素三元组网络安全的基石CIA:保密性完整性可用性Confidentiality IntegrityAvailability确保信息只能被授权用户访问防止敏感数保证信息在存储和传输过程中不被非法篡改确保授权用户在需要时能够及时、可靠地访,据泄露给未经授权的第三方通过加密技或破坏确保数据的真实性和准确性采用问信息和资源防止拒绝服务攻击等威胁影,,术、访问控制和身份认证等手段实现数字签名、哈希校验等技术保障响系统正常运行数据加密传输数字签名验证冗余备份系统•••严格的访问控制策略哈希值校验负载均衡技术•••多因素身份认证版本控制机制灾难恢复计划•••网络攻击的分类与威胁模型攻击类型分析主动攻击攻击者直接对系统或数据进行操作,试图篡改、伪造或破坏信息,包括拒绝服务攻击、数据篡改、身份伪造等恶意行为被动攻击攻击者不改变系统状态,而是通过窃听、监控等方式获取敏感信息,进行流量分析和数据收集,难以被及时发现攻击者动机剖析经济利益驱动政治与国家目的通过勒索软件、数据窃取、网络诈骗等手段获国家级黑客组织进行网络间谍活动、基础设施取非法经济收益,这是当前最主要的攻击动机破坏,以实现政治目标或获取战略优势纯粹破坏行为第二章协议安全隐患与防护TCP/IP协议族安全漏洞TCP/IP欺骗攻击ARP攻击者发送伪造的ARP响应报文,将目标主机的IP地址映射到攻击者的MAC地址上,从而截获、篡改甚至阻断网络流量,实现中间人攻击危害:可导致敏感信息泄露、会话劫持、数据篡改等严重后果缓存投毒DNS攻击者向DNS服务器注入虚假的域名解析记录,使用户访问合法域名时被重定向到恶意网站,实现流量劫持和钓鱼攻击危害:用户在不知情的情况下访问假冒网站,导致账户密码泄露、恶意软件感染等洪水攻击ICMP攻击者向目标系统发送大量ICMP请求报文,消耗系统资源和网络带宽,造成网络拥塞甚至瘫痪典型协议安全防护措施多层防护策略01端到端加密针对TCP/IP协议栈的安全隐患,需要采取多层次、多维度的防护措施,从IPSec网络层到应用层构建纵深防御体系在网络层实现数据加密和认证提供端到端的安全通信保障防止数据在传,,输过程中被窃听或篡改02防篡改DNSSEC通过数字签名技术验证响应的真实性和完整性有效防止缓存投DNS,DNS毒和域名劫持攻击洪水防御TCP SYN网络协议栈安全分析1应用层劫持、注入、跨站脚本攻击HTTP SQLXSS2传输层劫持、洪水攻击、端口扫描TCP SYN3网络层欺骗、路由欺骗、攻击IP ICMP4数据链路层欺骗、地址泛洪、跳跃ARP MACVLAN每一层都存在特定的安全风险需要采取相应的防护措施只有构建多层防御体系才能,,有效抵御各类网络攻击第三章网络安全隔离技术网络隔离是网络安全防护的重要手段之一通过物理或逻辑方式将不同安全级别的网络区,域分离防止安全威胁在网络中横向传播是构建安全网络架构的基础,,网络隔离的多种方式物理隔离通过完全断开网络连接,在物理层面实现网络隔离,是安全级别最高的隔离方式适用于涉密网络、关键基础设施等高安全要求场景•内外网物理分离•专用安全设备•单向数据传输装置虚拟隔离通过VLAN虚拟局域网技术和虚拟子网划分,在同一物理网络上实现逻辑隔离,灵活性高、成本较低,适合企业内部网络分段•VLAN技术应用•虚拟专用网络VPN•软件定义网络SDN防火墙隔离基于安全策略进行访问控制,允许或拒绝特定的网络流量通过,在保证必要通信的同时实现安全隔离,是最常用的隔离方式•包过滤规则•状态检测机制•应用层网关防火墙技术详解防火墙技术演进历程第一代包过滤第三代应用层网关::基于IP地址和端口进行简单过滤深度检测应用层协议和内容1234第二代状态检测第四代下一代防火墙::跟踪连接状态,智能判断数据包合法性集成IPS、反病毒、应用识别等功能下一代防火墙核心能力企业边界防护架构案例NGFW深度包检测对数据包内容进行深度分析,识别应用层威胁和恶意代码应用识别与控制精确识别数千种应用程序,实施细粒度访问控制策略用户身份管理基于用户身份而非IP地址制定安全策略,提高管理灵活性威胁情报集成实时更新威胁情报数据库,快速识别和阻断新型攻击第四章网络安全技术体系现代网络安全技术体系是一个多层次、多维度的综合防护系统涵盖威胁检测、事件响,应、持续监控等多个环节形成完整的安全闭环保障网络空间的安全可控,,网络安全预警与响应流程威胁分析威胁检测对检测到的安全事件进行深入分析判断威胁,级别、攻击来源和影响范围为响应决策提供部署系统、安全信息与事件管理,IDS/IPS依据平台实时监测网络流量和系统日志及SIEM,,时发现异常行为和潜在威胁事件响应快速隔离受感染系统阻断攻击路径启动应,,急预案最大限度降低安全事件造成的损失,持续监控恢复与加固建立小时安全监控中心持续跟踪安全态7×24,势实现威胁情报共享和协同防御,清除恶意代码修复系统漏洞恢复业务运行同,,,时总结经验教训完善安全防护措施,安全态势感知通过大数据分析和人工智能技术对海量安全数据进行关联分析实现对整体安全态势的全面掌控从被动防御转向主动预防:,,,入侵检测与防御系统与的区别检测技术对比IDS IPSIDS入侵检测系统签名检测基于特征工作模式:被动监测通过匹配已知攻击特征库识别威胁,准确率高但无法检测未知攻击,需要定期更新特征库部署位置:旁路监听异常检测基于行为响应方式:告警通知建立正常行为基线,识别偏离基线的异常活动,可以发现未知威胁但可能产生误报优势:不影响网络性能,适合分析和取证案例某银行网络入侵事件:入侵防御系统IPS2024年某商业银行遭遇APT攻击,攻击者通过钓鱼邮件植入木马,横向移动至核心业务系统幸运的是,部署的IPS系统及时检测到异常流量并自动阻断,避免了重大损失工作模式:主动防御部署位置:串联部署关键教训:单一防护手段不足以应对复杂攻击,需要构建多层防御体系,同时重视员工安全意识培训响应方式:实时阻断优势:自动阻止攻击,响应速度快第五章网络安全协议与加密技术加密技术是保障网络安全的核心技术之一通过数学算法将明文转换为密文确保数据在不安全信道中的机密性和完整性本章将介绍常用的安全协议和,,加密算法常用安全协议介绍协议协议协议SSL/TLS KerberosIPsec安全套接字层及其继任者传输层安全由开发的网络身份认证协议采用票据机制实互联网协议安全在网络层提供端到端的SSL MIT,IPsec是最广泛使用的安全协议为通信提供现单点登录广泛应用于企业内网身份认证是安全通信包括认证头和封装安全载荷TLS,Web,,,AH加密、身份认证和数据完整性保护域环境的核心认证协议两个核心协议广泛用于构建Windows ESP,VPN应用场景网站访问、邮件传输加密、核心优势密码不在网络中传输抗重放攻击支工作模式传输模式和隧道模式支持多种加密和:HTTPS:,,:,连接等持双向认证认证算法VPN加密算法基础对称加密算法非对称加密算法加密和解密使用相同的密钥,速度快、效率高,适合大量数据加密,但密钥分发和管理是主要挑战使用公钥加密、私钥解密,解决了密钥分发难题,但计算复杂度高,通常用于密钥交换和数字签名算法算法AES RSA高级加密标准,目前最安全的对称加密算法,支持128/192/256位密钥长度,广泛应用于各类安全系统最著名的公钥加密算法,基于大数分解难题,广泛用于数字签名、密钥交换和数据加密算法算法DES/3DES ECC数据加密标准,曾经的加密标准,现已被认为不够安全,逐步被AES替代3DES增强了安全性但效率较低椭圆曲线加密,相同安全强度下密钥长度更短,计算效率更高,适合移动设备和物联网场景哈希算法消息摘要算法算法SHA-256MD5安全哈希算法-256位,产生固定长度的消息摘要,具有单向性和抗碰撞性,广泛用于数字签名、完整性校验和消息摘要算法第5版,产生128位哈希值,曾经广泛使用但现已发现安全漏洞,不建议用于安全敏感场景区块链密码学应用实例010203安全浏览数字签名与电子证书区块链技术中的密码学HTTPS当您访问HTTPS网站时,浏览器与服务器通过TLS协议建立安数字签名通过哈希和非对称加密技术,确保消息的真实性和不区块链是密码学技术的集大成应用使用SHA-256哈希算法全连接首先交换证书进行身份认证,然后使用RSA或ECDH算可否认性发送方用私钥对消息摘要签名,接收方用公钥验生成区块链接和工作量证明,采用ECDSA数字签名验证交易合法协商会话密钥,最后使用AES算法加密传输内容整个过程证数字证书由权威CA机构签发,绑定公钥与实体身份,构建信法性,通过Merkle树高效验证数据完整性密码学保证了区块结合了对称加密的高效和非对称加密的安全密钥交换任链电子合同、软件发布等场景广泛应用链的不可篡改性和去中心化特性第六章计算机系统安全与操作系统防护操作系统是计算机系统的核心也是安全防护的关键层次本章将介绍操作系统的安全机,制、访问控制模型、漏洞管理等内容帮助构建安全可靠的系统环境,操作系统安全机制访问控制模型对比自主访问控制强制访问控制基于角色的访问DAC MACRBAC控制特点:资源所有者决定访问权限特点:系统强制执行安全策略特点:通过角色分配权限实现:文件权限、ACL访问控制列表实现:安全标签、多级安全模型实现:用户-角色-权限三层结构优势:灵活、易用优势:安全性高,防止特权滥用优势:便于管理,符合组织架构缺陷:容易出现权限滥用,难以防止信息泄露缺陷:配置复杂,灵活性较低缺陷:角色设计需要精心规划应用:Windows、Linux文件系统应用:SELinux、军事和涉密系统应用:企业信息系统、数据库用户认证与权限管理安全审计与日志分析多因素认证MFA完整的审计日志是事后追溯和取证的关键依据操作系统应记录所有重要的安全事件,包括登录尝试、权限变更、系统配置修改等结合密码、生物特征、硬件令牌等多种认证因素,显著提高账户安全性,防止密码泄露导致的未授权访问最小权限原则用户和程序仅获得完成任务所需的最小权限,降低安全风险和潜在损失特权账户管理对管理员等高权限账户实施严格管控,包括权限分离、操作审计、定期审查等措施系统漏洞与补丁管理常见漏洞类型补丁管理最佳实践缓冲区溢出1程序向固定长度缓冲区写入超长数据,覆盖相邻内存区域,可能导致程序崩溃或执行恶意代码这是最古老但仍然常见的漏洞类型权限提升2攻击者利用系统漏洞获取超出授权范围的权限,从普通用户提升至管理员权限,完全控制系统竞态条件3多个进程并发访问共享资源时,由于时序问题产生不一致状态,可能被利用绕过安全检查代码注入4将恶意代码注入到合法程序中执行,包括SQL注入、命令注入、脚本注入等多种形式01漏洞监测订阅安全公告,及时获取最新漏洞信息和补丁发布通知,评估对本组织的影响02测试验证在测试环境中验证补丁兼容性和有效性,避免生产环境出现意外问题第七章网络攻击技术与防御实战知己知彼百战不殆了解攻击者的手段和思路是构建有效防御体系的前提本章将深,,入剖析常见网络攻击技术并介绍相应的防御策略和实战经验,常见网络攻击手段分布式拒绝服网络钓鱼与社会工程恶意软件传播与防范DDoS务攻击学恶意软件类型病毒、蠕:攻击原理攻击者控制大量攻击特点攻击者通过伪造虫、木马、勒索软件、间谍::僵尸主机肉鸡,向目标服务可信实体身份,诱骗受害者泄软件、Rootkit后门程序等,器发送海量请求消耗带宽和露敏感信息或执行恶意操作各具特点和危害,,计算资源使合法用户无法访利用人性弱点而非技术漏,传播途径电子邮件附件、:问服务洞恶意网站下载、移动存储设攻击类型:流量型攻击UDP常见手法:钓鱼邮件、假冒备、软件漏洞利用、P2P文洪水、洪水、协议型网站、电话诈骗、即时通讯件共享网络ICMP攻击洪水、洪工具欺诈、针对性鱼叉式钓SYN ACK综合防护部署企业级杀毒:水、应用层攻击洪鱼攻击HTTP软件启用终端检测与响应,水、慢速攻击防范策略:加强安全意识培EDR,实施应用白名单控防御措施:部署专业DDoS防训,部署邮件过滤和反钓鱼系制,定期备份重要数据,隔离护设备使用分散流量统建立可疑事件报告机制受感染设备,CDN,,,实施流量清洗和黑洞路由购定期进行钓鱼模拟演练,买云端防护服务DDoS防御策略与安全架构设计多层防御体系构建边界防护层部署防火墙、入侵防御系统、Web应用防火墙等设备,在网络边界构建第一道防线,过滤恶意流量,阻止外部攻击内网安全层实施网络分段和访问控制,部署内网监测系统,防止威胁横向移动,及时发现内部异常行为主机防护层加固操作系统配置,部署终端安全软件,实施补丁管理和应用控制,保护每一台终端设备数据安全层对敏感数据进行加密存储和传输,实施数据分类分级管理,建立数据泄露防护DLP机制安全管理层建立安全管理制度,开展安全培训,实施风险评估,制定应急响应预案,确保安全体系有效运转零信任安全模型企业级安全策略制定永不信任,始终验证传统网络安全假设内网是可信的,在网络边界建立防护零信任模型抛弃了这一假设,认为威胁可能来自任何地方,包括内部网络核心原则持续验证身份、最小权限访问、微分段隔离、全面监控审计实施要点身份认证中心、软件定义边界、细粒度访问控制、安全态势感知第八章网络安全综合实验与案例分析理论学习需要与实践操作相结合才能真正掌握网络安全技能本章将介绍常用的实验平,台和工具并通过典型案例分析帮助学习者建立实战能力,,实验平台与工具介绍网络模拟器Packet TracerCisco公司开发的网络模拟软件,可以模拟各种网络设备和拓扑结构,进行路由器、交换机、防火墙等设备的配置实验实验内容:VLAN划分、ACL访问控制列表配置、VPN隧道建立、防火墙策略设置、入侵检测规则配置等优势:免费、易用、无需真实设备,适合初学者快速上手网络安全配置渗透测试系统Kali Linux专门为网络安全专业人员设计的Linux发行版,预装了数百个渗透测试和安全审计工具,是网络安全从业者的必备工具箱常用工具:Nmap端口扫描、Metasploit漏洞利用框架、Burp SuiteWeb应用测试、Aircrack-ng无线网络破解、John theRipper密码破解等应用场景:漏洞扫描、渗透测试、安全评估、应急响应、数字取证等专业安全工作网络协议分析器Wireshark世界上使用最广泛的网络协议分析工具,可以实时捕获并详细分析网络数据包,深入理解网络通信过程和协议细节功能特性:支持数百种网络协议解析、强大的过滤和搜索功能、丰富的统计分析、数据包重组和会话追踪学习价值:理解网络协议工作原理、分析网络性能问题、检测安全威胁、进行安全取证分析典型案例分析案例一某企业遭受攻击全过程剖析:APT阶段初始入侵11:攻击者通过精心伪造的钓鱼邮件,向财务部门员工发送包含恶意附件的紧急付款通知,员工打开附件后,恶意宏代码执行,植入远程控制木马2阶段立足点建立2:木马程序建立与C2服务器的加密通信通道,下载更多攻击工具,创建隐蔽后门账户,清除部分日志痕迹,确保长期驻留阶段横向移动33:攻击者利用窃取的凭据和系统漏洞,逐步渗透到核心服务器,扫描内网寻找高价值目标,提升权限至域管理员级别4阶段数据窃取4:定位并打包企业敏感数据,包括客户信息、财务报表、技术资料等,分批通过加密隧道外传至攻击者控制的服务器阶段发现与响应55:安全团队发现异常外联流量,启动应急响应,隔离受感染系统,清除恶意代码,修复漏洞,开展全面调查和取证工作案例二网络钓鱼邮件识别与应对案例三配置与安全加固实践::VPN某公司为远程办公员工部署IPsec VPN,实现安全接入企业内网实施步骤01需求分析确定接入用户数量、带宽需求、安全等级要求02方案设计选择VPN技术、设计网络拓扑、制定安全策略03设备配置配置VPN网关、证书服务、认证服务器04安全加固启用强加密算法、多因素认证、会话超时控制网络安全法律法规与伦理主要法律法规网络安全职业伦理网络安全从业者掌握特殊技能,必须遵守职业伦理规范,合法合规开1展工作《中华人民共和国网络安全法》合法性原则2017年6月1日正式施行,是我国网络安全领域的基本法律,规定了网络运营者的安全义务、用户信息保护、关键信息基础所有安全测试和研究活动必须获得明确授权,不得非法入侵他人系统或窃取数据设施保护等内容保密性原则2《中华人民共和国数据安全法》对工作中接触的敏感信息严格保密,不得泄露客户隐私和商业秘密2021年9月1日实施,明确了数据安全保护义务,建立数据分类分级保护制度,规范数据跨境传输负责任披露发现安全漏洞后,应负责任地向相关方报告,给予合理修复时3间,不得恶意利用《中华人民共和国个人信息保护法》2021年11月1日施行,全面保护个人信息权益,明确个人信息处持续学习理规则,加强敏感信息保护保持专业能力更新,了解最新威胁和防护技术,为保护网络安全贡献力量警示:违反网络安全法律法规,轻则面临行政处罚和民事赔偿,重则构成刑事犯罪,面临刑事处罚网络安全从业者应时刻铭记法律底线和职业操守构建安全可信的网络空间个人责任意识每个网络用户都是安全防线的一部分,提高安全意识,养成良好习惯持续学习与创新网络安全技术日新月异,攻防对抗永不停息,保持学习热情和创新精神至关重要企业安全投入企业应将网络安全作为战略性投资,建设完善的安全体系,保护核心资产国际交流合作网络安全是全球性挑战,需要国际社会携手合作,共同应对跨国网络威胁国家战略保障维护网络空间主权,完善法律法规,加强关键基础设施保护,提升整体安全能力网络安全是持续的攻防战攻击技术不断演进,防御措施也需与时俱进没有绝对的安全,只有持续的努力和不断的完善守护数字未来从我做起,。