南邮网络安全技术课件

南京邮电大学网络安全技术课件第一章:网络安全概述与重要性课程核心内容网络安全是保护网络系统硬件、软件及数据不受破坏、更改或泄露的综合性学科从1988年Morris蠕虫事件到今天的APT攻击,网络安全已发展成为国家战略的重要组成部分•网络安全定义与发展历程•国家网络安全战略与南邮使命•网络安全对国家安全和个人隐私的深远影响没有网络安全就没有国家安全网络安全的三大核心目标网络安全的三要素构成了信息安全的基本框架也是评估系统安全性的重要标准理解并实现这三大目标是构建安全网络环境的前提CIA,,保密性Confidentiality完整性Integrity可用性Availability确保信息只能被授权用户访问防止未经授权保证数据在存储和传输过程中不被篡改维护确保授权用户能够及时可靠地访问所需信息,,的信息泄露信息的准确性和一致性和资源数据加密技术数字签名验证冗余备份系统•••访问控制机制哈希校验机制灾难恢复计划•••身份认证系统版本控制系统••网络安全威胁现状当前全球网络安全形势日趋严峻攻击手段不断演进威胁规模持续扩大根据最新统计数,,30%据年全球网络攻击事件相比去年同期增长造成的经济损失超过万亿美元,202430%,6典型攻击案例分析攻击增长率供应链攻击是近年来最严重的网络安全事件之一攻击者通过入侵软件供应商在其SolarWinds,年全球网络攻击事件增长幅度2024产品更新中植入恶意代码导致包括美国政府部门在内的超过个组织受到影响这一事件,18000凸显了供应链安全的重要性6T南邮成就我校学生团队在年全国大学生信息安全竞赛中荣获一等奖在国家级网络攻防竞:2024,赛中展现出色实力为学校赢得荣誉,经济损失全球网络犯罪造成的年度损失美元18K受影响组织第二章计算机网络基础与协议:TCP/IP理解网络协议是掌握网络安全的基础协议族作为互联网的核心协议栈其架构设计和运行机制直接影响着网络的安全性本章将深入探讨网络分层模型及各层协议的安TCP/IP,全隐患应用层传输层、、等应用协议为用户提供网络服务接口、协议负责端到端的可靠数据传输HTTP DNSFTP,TCP UDP,网络层链路层协议实现跨网络的数据包路由转发IP,协议安全隐患实例TCP/IP协议族在设计之初更注重功能实现而非安全性导致各层协议都存在可被利用的安全漏洞理解这些漏洞对于构建有效的防御体系至关重要TCP/IP,ARP欺骗攻击DNS缓存投毒IP地址伪造攻击原理攻击者发送伪造的应答将目攻击原理利用协议缺陷向服务器攻击原理攻击者构造虚假源地址的数据:ARP,:DNS,DNS:IP标主机的地址映射到攻击者的地址注入虚假解析记录将合法域名指向恶意包伪装成可信来源发起攻击IP MAC,,IP,从而截获网络流量地址危害绕过基于的访问控制实施反:IP,DDoS危害实现中间人攻击窃取敏感信息篡改危害用户被重定向到钓鱼网站导致账号密射放大攻击:,,:,通信内容码泄露防御措施启用动态检测绑定防御措施部署使用可信服务:ARP DAI,IP-:DNSSEC,DNS地址使用防火墙器设置合理的缓存过期时间MAC,ARP,第三章网络攻击技术详解:了解攻击者的思维方式和技术手段是构建有效防御的前提网络攻击通常遵循系统化的流程,从信息收集到最终目标达成,每个阶段都01有其特定的技术和工具信息收集常见攻击类型通过公开渠道搜集目标信息分布式拒绝服务攻击DDoS:通过大量请求耗尽目标资源缓冲区溢出:利用程序漏洞执行恶意代码02木马与后门:隐蔽的远程控制工具漏洞扫描勒索软件:加密文件并勒索赎金的恶意程序识别系统存在的安全弱点03入侵渗透利用漏洞获取系统访问权限04权限提升获取更高级别的系统控制权05维持访问建立后门确保持续控制06痕迹清除删除日志掩盖攻击行为攻防对抗的博弈网络钓鱼与社会工程学攻击社会工程学攻击利用人性弱点而非技术漏洞,往往是最难防范的攻击方式网络钓鱼作为社会工程学的典型应用,已成为数据泄露的主要原因之一2023年典型案例回顾防范措施与用户教育2023年6月,国内某大型企业遭遇精心策划的钓鱼邮件攻击攻击者伪装成公司高管,向财务部门发识别可疑邮件:检查发件人地址、语法错误、紧急性语气送紧急转账请求由于邮件内容逼真且时机巧妙,财务人员未经充分核实便执行了转账操作,导致企验证请求真实性:通过独立渠道确认重要操作业损失超过500万元人民币启用多因素认证:增加账户安全保护层级此案例暴露出员工安全意识培训的重要性以及内部验证流程的必要性定期安全培训:提高员工的安全意识和识别能力模拟演练:通过仿真钓鱼测试评估防御效果第四章网络防御技术与策略:网络防御是一个系统工程需要综合运用多种技术手段构建纵深防御体系从边界防护到内部监控从被动防御到主动响应现代网络安全防御已形成完整,,,的技术框架防火墙技术入侵检测系统虚拟专用网作为网络边界的第一道防线防火墙通过访问控制实时监控网络流量识别异常行为和攻击特征通过加密隧道技术在公共网络上建立安全,IDS,,VPN,策略过滤进出流量阻止未授权访问及时发出安全告警的数据传输通道,防火墙类型与工作原理防火墙技术经历了从简单包过滤到智能深度检测的演进过程不同类型的防火墙适用于不同的应用场景理解其工作原理对于正确配置和使用至关重要,包过滤防火墙状态检测防火墙第一代防火墙技术基于地址、端口和协议进行简单过跟踪网络连接状态维护会话表能够识别合法的数据流是,IP,,,滤优点是效率高缺点是无法识别应用层内容目前最常用的防火墙技术,1234代理防火墙下一代防火墙作为客户端和服务器之间的中介代理防火墙可以深度检查集成入侵防御、应用识别、深度包检测等功能提供全方位,,应用层数据提供更高的安全性但会影响性能的威胁防护能力,南邮实验室实践案例在网络安全实验室中学生将学习配置企业级防火墙包括访问控制列表设置、配置、隧道建立等实用技能通过真实设备操作深入理解防火墙在实,,ACL NATVPN,际网络环境中的部署和管理入侵检测与响应入侵检测技术事件响应流程入侵检测系统IDS是网络安全的重要组成部分,通过监控和分析网络流量来识别潜在的安全威胁检测识别签名检测技术发现异常活动并确认安全事件基于已知攻击特征的模式匹配,类似于病毒扫描器优点是误报率低、准确性高,缺点是无法检测未知威胁系统维护需要及时更新特征库分析评估异常检测技术判断事件性质、影响范围和严重程度通过建立正常行为基线,识别偏离正常模式的异常活动能够发现零日攻击和未知威胁,但可能产生较多误报,需要持续调优遏制控制隔离受影响系统,阻止威胁扩散根除恢复清除威胁并恢复系统正常运行总结改进分析事件原因,优化防御措施实际案例:某高校网络在2023年检测到异常外联流量,IDS系统及时告警安全团队快速响应,发现一台服务器被植入挖矿木马通过及时隔离和清除,成功避免了更大范围的感染,整个响应过程不到2小时第五章加密技术与安全协议:加密技术是保护信息机密性的核心手段是现代网络安全的基石从古典密码到现代密码学加密技,,术经历了漫长的发展历程理解加密原理和应用对于构建安全系统至关重要对称加密非对称加密加密和解密使用相同密钥使用公钥加密私钥解密,速度快效率高无需共享密钥•,•密钥分发困难计算复杂度高••代表算法、代表算法、•:AES DES•:RSA ECC哈希函数单向加密生成固定长度摘要,验证数据完整性•不可逆运算•代表算法、•:SHA-256MD5在实际应用中通常结合使用对称和非对称加密用非对称加密传输对称密钥再用对称加密传输大量,:,数据实现安全与效率的平衡,数字签名与身份认证在网络环境中如何确认通信对方的真实身份如何证明数据未被篡改数字签名和身份认证技术为这些问题提供了可靠的解决方案,数字证书与PKI体系多因素认证技术公钥基础设施是一个完整的信任体系通过证书颁发机构为用户颁发数PKI,CA知识因素字证书证明公钥的归属数字证书包含持有者信息、公钥、有效期等并由的,,CA用户知道的信息密码、码、安全问题答案私钥签名:PIN证书链验证浏览器访问网站时会验证服务器证书的有效性包括证书是否:HTTPS,,持有因素过期、是否由可信签发、域名是否匹配等CA用户拥有的物品手机、硬件令牌、智能卡应用场景电子商务、网上银行、电子政务、代码签名等领域广泛应用数字证书::技术生物特征用户的生理特征指纹、面部、虹膜、声音:安全建议启用双因素认证可以将账户被盗风险降低建议在所有重要账户上启用此功能:2FA

99.9%第六章操作系统与应用安全:操作系统是应用程序运行的基础平台其安全性直接影响整个系统的安全不同操作系统采用不同的安全机制理解这些机制对于系统加固和安全配置至,,关重要访问控制模型Windows安全机制自主访问控制资源所有者决定访问权限灵活但容易出错用户账户控制、加密、防护、组DAC:,UAC BitLockerWindows Defender策略管理、安全审计日志强制访问控制系统统一管理权限安全性高但缺乏灵活性MAC:,基于角色的访问控制通过角色分配权限易于管理RBAC:,Linux安全机制漏洞与补丁管理文件权限系统、强制访问控制、防火墙、权限定期扫描系统漏洞、及时安装安全补丁、建立补丁测试流程、维护补SELinux iptablessudo管理、系统日志审计丁管理记录安全基础Web应用已成为网络攻击的主要目标开放式应用程序安全项目每年发布的十大安全风险为安全提供了重要参考掌握常见攻击Web OWASPWebWeb Web原理和防御方法是每个开发者的必修课123SQL注入攻击跨站脚本XSS跨站请求伪造CSRF原理通过在输入中插入恶意代码操纵原理在网页中注入恶意脚本窃取用户原理诱使用户在已登录状态下执行非本意:SQL,:,:数据库执行非法操作或执行恶意操作操作Cookie防御使用参数化查询、输入验证、最小权防御输出编码、内容安全策略、防御令牌验证、检查头、双::CSP:CSRF Referer限原则、定期代码审计、输入过滤重验证、用户操作确认HttpOnly CookieCookieWeb应用防火墙WAF安全开发实践作为应用的防护屏障能够识别和阻断常见的攻击通过规将安全融入开发生命周期包括安全需求分析、威胁建模、安全编码、代WAF Web,Web,则引擎分析请求过滤恶意流量保护应用免受攻击码审查、渗透测试等环节从源头降低安全风险HTTP,,Web,第七章网络安全攻防实战:理论知识必须通过实践才能转化为实战能力网络安全攻防实战课程通过使用专业工具,在受控环境中模拟真实攻击场景,让学生深入理解攻防技术的实际应用Nmap网络扫描强大的网络发现和安全审计工具,用于端口扫描、服务识别、操作系统检测、漏洞扫描等掌握Nmap是渗透测试的基础技能Wireshark数据包分析网络协议分析器,能够捕获和详细分析网络数据包在网络故障排查、安全事件调查、协议学习中发挥重要作用Metasploit渗透框架集成化的渗透测试平台,包含大量漏洞利用模块和辅助工具专业人员用其进行安全评估和漏洞验证Burp SuiteWeb测试Web应用安全测试套件,提供代理、扫描器、爬虫等功能,是Web安全测试的标准工具实战锻炼提升技,能南京邮电大学高度重视学生实践能力培养积极组织学生参加各类网络安全竞赛通过,夺旗赛、攻防演练等实战项目学生在真实对抗中锻炼技能培养团队协作精神我校CTF,,学生多次在全国大学生信息安全竞赛、强网杯等国家级赛事中取得优异成绩展现了扎,实的专业功底和创新能力第八章安全审计与电子取证:安全审计是评估系统安全状况的重要手段,电子取证则是网络犯罪调查的关键技术两者相辅相成,共同构成网络安全事后响应的重要环节安全审计流程电子取证技术电子取证是利用科学方法收集、保存、分析和展示电子证据的过程,在刑事调查、民事诉讼、内部审查中发制定审计计划挥关键作用1明确审计目标、范围和方法取证原则合法性:遵守法律法规,证据具备法律效力收集审计证据2完整性:确保证据未被篡改或损坏通过工具扫描、日志分析、访谈等方式获取信息可靠性:使用可信的工具和方法可重复性:取证过程可被验证和重现分析评估风险主要技术3识别安全漏洞和潜在威胁磁盘镜像、内存分析、日志审查、网络流量分析、移动设备取证、云取证等编写审计报告4总结发现问题并提出改进建议跟踪整改落实5督促问题整改并验证效果案例:2022年某企业内部数据泄露事件调查中,取证团队通过分析服务器日志、网络流量和终端设备,成功追踪到内部人员的违规操作,为司法起诉提供了关键证据网络安全法律法规与伦理网络安全不仅是技术问题,更是法律和伦理问题随着《网络安全法》《数据安全法》《个人信息保护法》等法律的实施,网络空间治理进入法治化轨道《网络安全法》核心内容2017年6月1日施行,是我国网络安全领域的基础性法律明确了网络安全的基本要求、网络运行安全、网络信息安全、监测预警与应急处置等内容•网络运营者安全保护义务•关键信息基础设施保护•网络产品和服务安全审查•个人信息保护规定•违法行为的法律责任信息安全职业道德网络安全从业人员应当遵守职业道德规范,在技术实践中坚持合法合规、保护隐私、负责任的原则•不得未经授权访问他人系统•不得泄露工作中接触的敏感信息•不得利用技术优势谋取非法利益•负责任地披露安全漏洞•持续学习,提升专业能力数据泄露事件的法律责任某互联网公司因未履行数据安全保护义务,导致大量用户个人信息泄露,被监管部门处以5000万元罚款,相关负责人被追究刑事责任此案警示企业必须高度重视数据安全,建立完善的安全管理制度第九章网络安全新技术与前沿:网络安全技术不断演进人工智能、零信任、区块链等新技术正在重塑安全防护格局了解前沿技术趋势对于构建面向未来的安全体系至关重要,AI驱动的安全防护零信任安全架构区块链技术应用机器学习算法能够分析海量永不信任始终验证的理念区块链的去中心化、不可篡,数据识别异常模式预测潜改变了传统的边界防护思改特性为数据完整性保护、,,在威胁技术在恶意软件维零信任架构假设内外部身份认证、供应链安全等场AI检测、行为分析、自动化响网络都不可信对每次访问请景提供了新方案分布式账,应等领域展现出巨大潜力但求进行严格验证和授权实现本技术正在重新定义信任机,,也面临对抗样本攻击等新挑细粒度的访问控制制战云安全与物联网安全挑战云计算和物联网的快速发展带来便利的同时也引入了新的安全风险大规模数据集中存储、海量设备接入网,络使得安全防护面临前所未有的挑战,云计算安全挑战物联网安全现状物联网设备数量激增预计年将超过亿台,2025750数据隐私保护然而许多设备存在严重的安全隐患,IoT:1多租户环境下的数据隔离和加密弱密码问题使用默认或简单密码:固件漏洞缺乏安全更新机制:通信加密明文传输敏感数据:访问控制管理2物理安全设备易被物理接触攻击:细粒度的身份认证和权限管理防护策略设备认证、加密通信、安全启动、定期:更新、网络隔离等多层次防护措施合规性要求3满足数据本地化等法规要求服务可用性4防范攻击保障业务连续性DDoS,第十章网络安全综合防御体系设计:单一的安全措施无法应对复杂多变的网络威胁,需要构建分层防御、纵深防护的综合安全体系安全架构设计应遵循整体性、协同性、适应性原则安全策略层顶层设计:明确安全目标、制定安全政策、建立安全标准安全管理层组织保障:安全团队、制度流程、培训教育、应急预案安全技术层技术措施:防火墙、IDS/IPS、加密、认证、漏洞管理网络基础层网络架构:区域划分、访问控制、流量监控、冗余备份物理安全层基础保障:机房安全、设备防护、环境监控、人员管理园区网络安全方案实例某大型园区网络包含办公、生产、访客等多个区域,通过部署下一代防火墙划分安全域,配置IDS/IPS进行威胁检测,使用VPN实现远程安全接入,建立SOC安全运营中心进行集中监控和响应该方案有效降低了安全风险,提升了整体安全水平网络安全人才培养与职业发展网络安全人才短缺是全球性问题国家高度重视网络安全人才培养,南京邮电大学作为信息通信领域的特色高校,在网络安全人才培养方面具有独特优势南邮网络安全专业特色职业认证与发展路径实践导向:建设网络安全攻防实验室,提供真实演练环境01竞赛驱动:组织参加CTF、攻防演练等各类竞赛基础认证产学研结合:与企业合作开展项目实训CCNA Security、Security+、CEH等入门级认证国际交流:引进国外优质课程和师资前沿跟踪:课程内容紧跟技术发展趋势02专业认证CISSP、CISA、CISM等专业级认证03高级认证OSCP、GIAC等高级渗透测试认证04持续发展终身学习,跟踪前沿技术和威胁动态就业前景网络安全人才需求旺盛,就业方向包括安全工程师、渗透测试工程师、安全分析师、安全架构师、首席信息安全官等,薪资水平位居IT行业前列课程总结与学习建议经过系统学习我们全面了解了网络安全的理论知识和实践技能网络安全是一个需要持续学习和实践的领域希望大家能够将课堂所学应用到实际工作中,,理论基础工具使用掌握密码学、网络协议、操作系统等核心理论熟练使用、等常用安全工具Nmap Wireshark职业道德实战演练遵守法律法规坚持负责任的安全实践参与竞赛和攻防演练积累实战经验,CTF,社区交流持续学习加入安全社区与同行交流分享经验关注最新漏洞和攻击技术保持知识更新,,网络安全是一场永无止境的攻防对抗只有不断学习和进步才能在这场博弈中立于不败之地,,守护数字世界的安全卫士作为新时代的网络安全人才我们肩负着维护国家网络空间安全的重要使,命让我们以专业的技能、负责任的态度共同守护数字中国的安全未来,每一位网络安全从业者都是数字世界的守护者用技术和智慧筑起坚固的安,全防线互动环节网络安全热点讨论:网络安全是一个快速发展的领域新的威胁和技术不断涌现让我们通过讨论最新的安全事件和技术趋势加深对网络安全的理解,,APT攻击最新案例AI安全的双刃剑量子计算威胁高级持续性威胁是国家级黑客组织生成式技术在带来便利的同时也被滥量子计算机的发展对现有加密体系构成潜APT AI,针对特定目标进行的长期、复杂的攻击活用于制作深度伪造内容、自动化钓鱼攻在威胁等基于大数分解的加密算法RSA动年某组织利用零日漏洞对击、生成恶意代码等如何在享受红利可能被量子计算机破解后量子密码学研2024APT,AI,多国政府和关键基础设施发起攻击展现的同时防范其安全风险是当前的重要课究成为安全领域的前沿方向,,出极高的技术水平和组织能力题开放讨论与答疑欢迎同学们提出问题和分享见解无论是课程内容的疑惑还是对网络安全职业发展的困惑我们都可以在这里交流讨论网络安全需要群策群力每个人,,,的思考和贡献都很重要参考资料与推荐书目深入学习网络安全需要广泛阅读专业书籍和文献以下是精心挑选的学习资源涵盖理论基础、实践技,能和前沿技术等方面经典教材在线资源南邮网络安全平台《网络安全攻防技术实战》闵海钊等著系统介绍攻防技术理论与实践相结合,校内网络安全实验平台提供丰富的实验环境和教《计算机网络第版》谢希仁著网络基础知识学资源包括虚拟靶场、在线课程、实验指导等8,的权威教材《密码编码学与网络安全》著William Stallings推荐网站密码学经典著作深入浅出,国内知名安全社区•FreeBuf-《应用安全权威指南》全面讲解安全攻应用安全项目Web Web•OWASP-Web防技术通用漏洞披露数据库•CVE-进阶阅读•HackerOne-漏洞赏金平台开源安全研究•GitHub SecurityLab-《黑客攻防技术宝典》系列•学习平台《渗透测试实战第三版》••《应用密码学:协议、算法与C源程序》•HackTheBox-渗透测试实训平台交互式学习平台•TryHackMe-知识库•CTF Wiki-CTF致谢与展望真诚的感谢未来展望感谢各位同学一学期以来的认真学习和积极参与网络空间已成为继陆、海、空、天之后的第五大战你们在课堂上的专注、在实验中的探索、在讨论中略空间,网络安全的重要性日益凸显作为南京邮电的思考都让我深感欣慰网络安全是一个充满挑战大学的学生你们肩负着守护国家网络空间安全的重,,和机遇的领域,希望本课程能够为你们的职业发展奠要使命定坚实的基础期待大家能够:特别感谢在课程中积极提问、分享经验的同学你们,持续深化专业知识提升技术能力•,的参与让课堂更加生动有趣也感谢在竞赛和项目培养创新思维勇于探索前沿技术中取得优异成绩的团队你们是南邮网络安全专业的•,,骄傲坚守职业道德做负责任的安全从业者•,积极参与实践在竞赛和项目中锻炼成长•,关注行业动态把握职业发展机遇•,共同守护数字中国安全未来让我们携手并进以专业的技能和坚定的信念成为网络安全领域的中坚力量为建设网络强国贡献青春力量,,,!。