第六章 信息安全 课件

第六章信息安全目录0102信息安全概述与发展历程网络与系统渗透技术信息安全防护与未来趋势了解信息安全的定义、核心要素以及网络安全发深入探讨网络渗透的原理、攻击流程以及典型案展的重要历史节点例分析第一章信息安全概述信息安全是现代社会的基石，涉及技术、管理、法律等多个维度本章将从基础概念出发，探讨信息安全的核心要素和发展历程信息安全的定义与重要性什么是信息安全？信息安全是指通过技术和管理手段，保障信息系统和数据的机密性、完整性和可用性，防止信息被未经授权的访问、使用、泄露、破坏、修改或销毁在数字化转型加速的今天,企业的业务运营、政府的公共服务、个人的日常生活都高度依赖信息系统一旦信息安全防线被突破，可能导致巨大的经济损失、隐私泄露甚至国家安全威胁信息安全的三大核心要素机密性完整性可用性Confidentiality IntegrityAvailability确保信息只能被授权用户访问，防止敏感数保证信息在存储、传输和处理过程中不被未确保授权用户在需要时能够及时访问和使用据泄露给未经授权的个人或组织经授权的修改或破坏，确保数据的准确性和信息资源，系统能够持续稳定运行一致性访问控制机制冗余备份机制••数字签名验证数据加密技术•灾难恢复计划••哈希值校验•身份认证系统••抗DDoS攻击能力版本控制管理•这三大要素构成了信息安全的三角模型，是评估和设计安全系统的基本框架CIA网络安全发展简史年11984英国菲利普王子邮箱被黑这是早期网络安全事件的代表，标志着电子邮件系统安全漏洞开始受到关注当时的网络安全意识尚处于萌芽阶段2年1988莫瑞斯蠕虫事件由康奈尔大学研究生罗伯特莫瑞斯编写的蠕虫病毒感染了约·台主机，占当时互联网主机总数的这是历史上第一年3600010%2010个广泛传播的网络蠕虫，促使计算机应急响应小组的成CERT震网病毒Stuxnet立针对伊朗核设施的高级持续性威胁攻击，揭开了国家级网APT络战的序幕这个精密设计的病毒能够破坏工业控制系统，标志4年2017着网络攻击从虚拟空间延伸到物理世界勒索病毒WannaCry利用永恒之蓝漏洞在全球范围内爆发，影响多个国家的超过150万台计算机，造成数十亿美元损失这次事件凸显了及时更30新安全补丁的重要性信息安全攻防永恒的猫鼠游戏在网络空间中，攻击者与防御者的对抗从未停止每一次技术进步都可能成为新的攻击面，同时也催生新的防御手段信息安全威胁类型恶意软件攻击拒绝服务攻击DDoS包括病毒、木马、蠕虫和勒索软件等多种形式病毒会自我复制并感染其通过大量请求占用目标系统资源，使合法用户无法访问服务分布式拒绝他文件，木马伪装成合法程序窃取信息，勒索软件则加密用户数据索要赎服务攻击利用僵尸网络发起，流量可达数百Gbps，足以瘫痪大型网站金现代恶意软件日益复杂，常采用多态技术逃避检测防御DDoS需要流量清洗和弹性架构社会工程学攻击网络钓鱼与身份伪装利用人性弱点获取敏感信息，如通过伪装身份骗取密码或诱导点击恶意链通过仿冒合法网站或邮件诱骗用户输入账户信息钓鱼攻击日益精准化，接这类攻击往往绕过技术防御，直击人这一最薄弱环节员工安全意采用鱼叉式钓鱼针对特定目标，成功率显著提高多因素认证能有效降低识培训是重要防护措施此类威胁第二章网络与系统渗透技术渗透测试是评估系统安全性的重要手段本章将揭示攻击者的思维模式和常用技术，帮助建立更有效的防御体系网络渗透的基本原理什么是渗透测试？合法非法vs渗透测试是一种经授权的模拟攻击，通过主动发现和利用系统漏洞来评估安全防护能渗透测试与非法入侵的核心区别在于力专业的渗透测试人员采用与黑客相同的技术和工具，但目的是帮助组织发现并修复安全弱点是否获得书面授权•核心流程•是否遵循测试规范是否以改善安全为目的•信息收集通过公开渠道获取目标系统信息是否保护发现的信息•漏洞扫描识别系统中存在的安全漏洞未经授权的渗透测试行为构成违法犯罪漏洞利用尝试利用发现的漏洞获取访问权限权限提升从普通用户提升到管理员权限报告输出详细记录发现的问题和修复建议典型渗透攻击流程信息收集通过Google Hacking、DNS查询、社交媒体等公开渠道收集目标信息包括域名、IP地址、员工信息、使用的技术栈等被动侦察不直接接触目标系统，难以被发现漏洞扫描与识别使用Nmap、Nessus等工具扫描开放端口、服务版本和已知漏洞识别出过期的软件版本、弱加密配置、默认凭证等安全弱点，为下一步攻击做准备利用漏洞入侵系统针对发现的漏洞编写或使用现有的exploit代码进行攻击可能利用SQL注入、XSS跨站脚本、缓冲区溢出等技术获取初始访问权限权限提升与后门植入通过内核漏洞或配置错误提升到系统管理员权限植入持久化后门确保即使漏洞被修复也能保持访问，常用技术包括rootkit和定时任务清理痕迹逃避检测删除或修改日志文件，清除命令历史记录，使用加密通信隐藏数据传输高级攻击者会精心设计逃避入侵检测系统的策略，延长潜伏时间案例分析年新浪微博密2012码泄露漏洞事件概述防御措施解析年，新浪微博遭遇重大安全事件，数据库隔离主站与旁站应使用独立数2012数百万用户密码因旁站注入漏洞而泄据库实例露攻击者并非直接攻击主站，而是通输入验证严格过滤和转义所有用户输过与主站共享数据库的旁站系统入侵入攻击路径参数化查询使用预编译语句防止SQL注入发现旁站系统存在注入漏洞

1.SQL最小权限原则数据库账户仅授予必要通过注入获取数据库访问权限权限

2.

3.提取与主站共享的用户表数据密码加密存储使用强哈希算法如加盐存储bcrypt批量导出用户账号和密码信息

4.这个案例警示我们，安全防护需要覆盖整个系统生态，薄弱的第三方系统可能成为突破口网络入侵的入口选择开放端口与服务弱口令与默认凭证每个对外开放的网络端口都是潜在攻击面未必要的服务如使用、等弱密码或保留设备默认密admin/admin

123456、应当关闭，必要服务需要及时更新补丁使用防码是极其危险的攻击者会首先尝试常见密码组合强制执行复Telnet FTP火墙限制端口访问范围杂密码策略至关重要未打补丁系统社会工程学已公开的漏洞会被快速武器化、、应用软件通过钓鱼邮件、电话诈骗等手段诱骗员工泄露凭证或安装恶意软Windows Linux的安全更新必须及时安装许多重大安全事件源于对已知漏洞的件技术防御再强，人的因素仍可能成为最薄弱环节疏忽第三方服务器无线网络供应链攻击通过入侵合作伙伴的系统间接攻击目标需要对第三未加密或使用弱加密的网络容易被劫持企业网络应采用WiFi方服务商进行安全评估，建立准入机制加密、认证等技术，隔离访客网络与内部网络WPA

3802.1X渗透测试合法的攻防演练通过模拟真实攻击场景，渗透测试帮助组织在被真正的攻击者利用之前发现并修复安全漏洞入侵与防御的博弈安全设备的局限性防火墙、IDS/IPS等安全设备提供了重要防护，但并非万无一失攻击者不断研究绕过技术，包括•加密流量中隐藏攻击载荷•分片和混淆技术逃避检测•利用设备自身的漏洞•慢速攻击避免触发阈值多层防御的必要性单点防御容易被突破，需要建立纵深防御体系

1.网络边界防护防火墙、WAF

2.主机安全加固EDR、补丁管理

3.应用层防护代码审计、输入验证

4.数据加密保护传输加密、存储加密

5.持续监控与响应SIEM、SOC任何一层被突破，其他层仍能提供保护，增加攻击者的成本和难度第三章信息安全防护技术与未来趋势面对不断演变的威胁，安全防护技术也在持续创新本章将介绍主流防护技术、管理策略以及未来发展方向网络安全服务与机制认证访问控制Authentication AccessControl验证用户身份的真实性包括密码认证、生物特征识别、数字证书等多种方式根据身份和权限决定用户能访问哪些资源实施最小权限原则，确保用户只能访多因素认证MFA结合多种验证方式显著提高安全性问完成工作所需的最小资源集加密数字签名Encryption DigitalSignature将明文转换为密文保护数据机密性现代加密算法如AES-

256、RSA-2048能抵确保信息来源可靠且未被篡改基于非对称加密技术，发送方用私钥签名，接收御暴力破解传输和存储数据均应加密方用公钥验证，保证数据完整性和不可否认性防火墙入侵检测防御Firewall/网络边界的第一道防线，根据规则过滤流量下一代防火墙NGFW整合IPS、应IDS监测可疑活动并告警，IPS主动阻断攻击基于签名和异常行为的检测技术互用识别、SSL解密等功能，提供更全面保护补，构建立体防护网加密技术基础对称加密非对称加密数字证书使用相同密钥进行加密和解密，速度快，适使用公钥和私钥，公钥加密的数据只能用私由受信任的证书颁发机构签发，绑定CA合大量数据加密典型算法包括、钥解密解决了密钥分发问题，但计算开销公钥和身份信息浏览器通过验证网站证书AES、主要挑战是密钥分发如大、是主流算法常用于数字签确认其真实性，防止中间人攻击DES3DES——RSA ECC何安全地将密钥传递给通信双方名和密钥交换协议公钥基础设施SSL/TLS PKI为网络通信提供加密和认证就是管理数字证书生命周期的完整体系，包括证书申请、签发、吊销、更HTTPS HTTPover TLSTLS

1.3是最新版本，移除了不安全的密码套件，提升了握手速度和安全性新等企业内部支持身份认证、代码签名、文档加密等场景PKI访问控制模型自主访问控制强制访问控制角色基访问控制DAC MACRBAC资源所有者决定谁可以访问其资源常见于文系统根据预设的安全策略强制执行访问控制，根据用户在组织中的角色授予权限，而非直接件系统权限管理灵活但不够严格，用户可个人无法改变常用于军事和政府系统授予个人简化了权限管理调整角色权限——能不当授权导致信息泄露和就是的实现，为提供了更即可影响该角色的所有用户最广泛应用于Windows SELinuxMAC Linux的文件权限都属于模型强的安全性，但配置复杂企业系统，便于审计和合规Linux DAC现代系统往往结合多种访问控制模型，例如在基础上增加基于属性的访问控制，根据时间、地点等上下文动态调整权限RBAC ABAC病毒与恶意软件防护计算机病毒的特征病毒检测方法寄生性病毒需要依附在正常程序或文件上才能存在和传播传染性能够自我复制并感染其他程序或系统隐蔽性采用加密、多态等技术逃避检测破坏性特征码匹配将文件与病毒库中的特征码对比，快速识别已知病毒，但无法检测未知威删除文件、加密数据或破坏系统功能胁文件完整性检测通过计算哈希值监控文件变化，发现未授权修改行为分析监控程序运行时的异常行为如大量文件加密，能发现零日漏洞攻击沙箱技术在隔离环境中执行可疑程序，观察其行为而不影响真实系统机器学习训练AI模型识别恶意代码模式，提高检测准确率安全等级与可信计算安全等级划分可信计算技术TCSEC可信计算机系统评估准则TCSEC，俗称橘皮书，是美国国防部制定的计算机安全评估标准从低到高分为四可信计算旨在通过硬件和软件的结合，建立从底层硬件到应用程序的完整信任链个等级可信平台模块TPM专用安全芯片，存储加密密钥和数字证书安全启动确保系统启动过程中每个组件都经过验证1远程证明向远程方证明系统处于可信状态密封存储将数据与特定平台配置绑定，只有在可信状态下才能解密2可信计算为云计算、物联网等领域提供了更强的安全保障中国也推出了自主的可信计算标准和产品341级最小保护D-没有安全保护的系统2级自主保护C-C1:自主访问控制C2:受控访问保护3级强制保护B-B1:标记安全保护B2:结构化保护B3:安全域4级验证保护A-经过形式化验证的最高安全级别云安全与内容分发网络安全CDN安全防护机制虚拟化服务器安全挑战CDN VPS内容分发网络通过分布式节点加速内容传输，同时提供安全防护虚拟化技术带来灵活性，也引入新的安全风险DDoS防护庞大的带宽资源可吸收大流量攻击虚拟机逃逸攻击者突破虚拟机隔离访问宿主机或其他虚拟机WAF防护在边缘节点部署Web应用防火墙，过滤恶意请求资源滥用恶意虚拟机消耗过多资源影响同宿主机上的其他用户SSL加速分担源站的加密计算压力镜像安全预制镜像可能包含恶意代码或后门智能路由自动绕过受攻击的节点共享存储风险不当配置可能导致数据泄露隐藏源站攻击者难以直接定位真实服务器IP云服务商采用硬件虚拟化、安全容器等技术增强隔离性用户也应做好虚拟机加固和监控知名CDN服务商如Cloudflare、阿里云CDN等为数百万网站提供安全加速服务典型安全事件回顾漏洞EternalBlue年月，黑客组织泄露了美国国家安全局的网络武20174Shadow BrokersNSA器库，其中包括针对协议的永恒之蓝漏洞利用工Windows SMBEternalBlue具这个漏洞影响到的多个版本Windows XPWindows10勒索病毒WannaCry仅一个月后，勒索软件利用永恒之蓝漏洞在全球爆发，加密用户文WannaCry件并勒索比特币赎金多个国家的超过万台计算机受影响，包括英国15030医疗系统、中国高校和企业内网等造成数十亿美元经济损失NHS这一事件凸显了几个关键教训及时安装安全补丁的重要性、内网隔离的必要性、定期备份数据的价值微软在事件后罕见地为已停止支持的发布了紧急补丁Windows XP安全威胁无处不在网络攻击每时每刻都在发生全球每天有数百万次攻击尝试，从自动化的扫描探测到精心策划的攻击APT未来信息安全趋势移动互联网与物联网安全人工智能辅助安全防御零信任架构的兴起智能手机、智能家居、工业物联网设备数量爆发技术应用于威胁检测、异常行为分析、自动化传统城堡护城河模型假设内网可信，但内部威AI式增长这些设备往往计算资源有限、安全防护响应等场景机器学习模型能处理海量安全日胁和横向移动攻击打破了这一假设零信任理念薄弱，成为新的攻击面需要在设备、网络、平志，识别传统方法难以发现的高级威胁但本是永不信任持续验证，对每个访问请求都进AI,台多层建立安全防护身也可能被攻击者利用行严格身份验证和授权此外，量子计算的发展对现有加密算法构成威胁，后量子密码学成为研究热点区块链技术为数据完整性和分布式信任提供了新思路隐私计算技术如同态加密、安全多方计算等，让数据在可用不可见状态下发挥价值信息安全管理与法律法规数据保护法律法规企业安全策略全球范围内数据保护立法趋严欧盟GDPR严格的个人数据保护法规,违规罚款可达全球营收的4%中国网络安全法确立网络安全等级保护制度,明确运营者责任数据安全法建立数据分类分级保护制度个人信息保护法保护个人信息权益,规范处理活动企业必须合规经营，建立数据保护官DPO制度，开展隐私影响评估，及时报告数据泄露事件安全策略制定建立覆盖全员的安全政策和流程规范风险评估定期识别和评估信息资产面临的威胁安全培训安全意识与社会工程防范员工是第一道防线防范社会工程攻击再强的技术防护也可能被人为因素破坏安全意识培训应当成为组织安全建设保持警惕的重点对陌生人的请求保持怀疑态度，不轻易透露敏感信息•新员工入职时的安全培训•定期的安全意识刷新课程验证身份•模拟钓鱼邮件演练通过官方渠道核实对方身份，不依赖来电显示或邮件发件人•安全事件案例分享•安全文化的长期培养谨慎点击统计显示，经过系统培训的员工识别钓鱼邮件的准确率可提升70%以上不点击可疑邮件中的链接或附件，悬停查看真实URL及时报告发现可疑情况立即向安全团队报告，不因害怕被责备而隐瞒遵守规范严格遵守密码策略、访问控制等安全制度信息安全的持续对抗攻击技术演进攻击者不断研发新的攻击技术、利用新发现的漏洞、采用更隐蔽的渗透手段从早期的病毒到现代的APT攻击，威胁日益复杂防御技术创新安全厂商和研究人员持续创新防御技术，从被动防御到主动防御，从单点防护到体系化对抗，安全能力不断提升动态平衡攻防对抗永无止境没有绝对安全的系统，只有持续的安全改进组织需要建立持续监测与快速响应机制，动态适应威胁环境安全是一个过程，而非状态信息安全不是一次性的项目，而是需要持续投入、不断完善的过程面对日新月异的威胁,只有保持学习、快速响应、持续改进，才能在攻防对抗中保持领先总结技术是基础加密、防火墙、入侵检测等技术手段构筑了安全防护的技术屏障，为信息系统提供可靠保护管理是保障完善的安全策略、流程规范、人员培训、应急响应机制，确保安全技术得以有效落地执行人是关键安全意识、职业素养、责任心决定了安全防护的最终效果每个人都是安全链条上的重要一环信息安全是技术与管理的综合体系，涉及密码学、网络技术、系统安全、应用安全等多个技术领域，同时需要安全策略、风险管理、合规审计等管理手段的支撑面对不断演变的威胁环境，只有持续投入与创新，建立覆盖人员、流程、技术的全方位安全体系，才能有效守护组织的数字资产安全，支撑业务持续发展信息安全没有终点，只有新的起点让我们共同努力，构建更加安全的数字世界致谢与互动欢迎提问与讨论感谢大家的聆听！信息安全是一个广阔而深入的领域，课程内容只是冰山一角如果您有任何疑问或想深入探讨某个话题，欢迎随时提问让我们一起交流学习，共同进步！推荐学习资源在线平台竞赛平台如、漏洞众测平台CTFHackTheBox认证课程、、等专业认证CISSP CEHOSCP技术社区、安全客、乌云知识库镜像站FreeBuf开源工具、、Kali LinuxMetasploit Wireshark学术资源顶级安全会议、论文Black HatDEF CON。