网络系统安全课件

网络系统安全全景探索第一章网络系统安全基础概述网络安全的重要性国家安全战略高度严峻的现实威胁数字经济发展基石习近平总书记指出没有网络安全就没有年全球网络攻击事件同比增长，202530%国家安全网络空间已成为继陆、海、空、经济损失超千亿美元从个人隐私泄露到企天之后的第五大战略空间，关系到国家主权、业数据被盗，从关键基础设施瘫痪到国家机安全和发展利益密泄密，威胁无处不在网络安全核心概念信息安全三要素（三元组）网络安全体系架构CIA网络安全体系架构是一个多层次的防护框架，包括物理安全、网络安全、系统安全、应用安全和数据安全等层面纵深防御策略建立多层次安全防护体系最小权限原则用户和程序仅获得完成任务所需的最小权限安全域划分根据安全需求将网络划分为不同信任级别的区域保密性Confidentiality确保信息不被未授权的实体访问或泄露完整性Integrity保证信息在存储和传输过程中不被篡改常见网络威胁类型网络威胁形态多样且不断演化，了解这些威胁的特征和危害是构建有效防御体系的前提以下是当前最常见且危害最大的几类网络威胁恶意软件攻击拒绝服务攻击病毒、木马、勒索软件是最传统但依然活跃的威胁病毒通过自我复攻击通过大量虚假请求耗尽目标系统资源，使合法用户无法访DDoS制传播，木马伪装成合法程序窃取信息，勒索软件加密文件勒索赎金问服务攻击者利用僵尸网络发起攻击，峰值流量可达数百，Gbps年勒索病毒在全球造成数十亿美元损失严重影响业务连续性2017WannaCry社会工程学攻击高级持续威胁网络钓鱼与社会工程学利用人性弱点而非技术漏洞攻击者伪造邮件、网站或电话，诱骗受害者泄露敏感信息或执行恶意操作这类攻击成本低但成功率高网络安全法律法规与标准《中华人民共和国网络安全法》1年月日正式实施，是我国网络安全领域的基础性法律明确了201761网络运营者的安全义务、关键信息基础设施保护、个人信息保护、网络安全监测预警和应急处置等核心内容违法者将面临严厉的行政处罚和刑事责任网络安全等级保护制度

22.0等保是我国网络安全的基本制度，将保护对象扩展到云计算、移动互

2.0联、物联网、工控系统等新技术新应用分为五个安全等级，要求组织根据系统重要性进行定级备案、安全建设、等级测评和监督检查国际安全标准3ISO/IEC27001网络安全，国家重器构建安全可控的网络空间，是实现中华民族伟大复兴的重要保障第二章网络攻击技术与防御策略知己知彼，百战不殆只有深入理解攻击者的思维方式和攻击手段，才能构建有效的防御体系本章将揭开网络攻击的神秘面纱，从攻击流程到典型案例，从防御技术到主动防御，全面展现网络攻防的真实战场网络攻击流程揭秘一次成功的网络攻击并非随机发生，而是遵循严密的流程和步骤攻击者如同猎手，耐心侦察、精心策划、果断出击了解这个流程是构建防御体系的关键信息收集与侦察漏洞识别与利用持续控制与隐蔽攻击者使用扫描工具（如）探测目标利用漏洞扫描器发现系统弱点，包括未打补获得初始访问后，攻击者会建立后门、提升Nmap网络拓扑、开放端口、运行服务和操作系统丁的软件漏洞、弱密码、配置错误等攻击权限、横向移动到其他系统使用等Rootkit版本通过社会工程学收集员工信息这个者使用工具包（如）进行技术隐藏踪迹，清除日志证据最终窃取数exploit Metasploit阶段是隐蔽的，但为后续攻击奠定基础漏洞利用，获取系统访问权限据或植入恶意代码，完成攻击目标典型攻击案例分析勒索病毒全球爆发高级持续威胁攻击WannaCry APT时间年月日2017512影响全球多个国家、万台电脑受感染，包括英国医疗系统、德国铁路、中国高校和加油站等15030手段利用系统协议漏洞（永恒之蓝）传播，加密用户文件并勒索比特币赎金Windows SMB教训及时安装安全补丁的重要性，以及数据备份的必要性时间年某大型企业遭遇攻击2023防御技术体系网络防御是一个系统工程，需要在网络边界、传输通道、应用层面部署多层次防护措施以下是构建纵深防御体系的核心技术组件防火墙与访问控制入侵检测与防御系统与加密通信VPN防火墙是网络边界的第一道防线，基于地监控网络流量并识别可疑活动，发出告虚拟专用网络在公共网络上建立加密隧道，IP IDS址、端口号、协议类型等信息过滤流量访警但不主动阻断在检测到攻击时能够保护数据传输安全支持远程办公场景，确IPS问控制列表定义详细的允许或拒绝规主动拦截恶意流量两者结合使用，实现实保移动用户和分支机构安全接入企业网络，ACL则，实现精细化的流量管控时威胁感知和快速响应防止数据在传输过程中被窃听或篡改加密算法与认证技术对称加密算法非对称加密算法加密和解密使用相同密钥，速度快、效率高典型算法包括、、使用公钥和私钥对，公钥加密的数据只能用私钥解密典型算法有、AES DESRSA等适用于大量数据加密，但密钥分发是挑战已成为等解决了密钥分发问题，但计算开销大常用于数字签名、密钥交3DES AES-256ECC政府和金融行业的标准换和身份认证数字签名与体系多因素认证技术PKI数字签名基于非对称加密，确保数据完整性和身份真实性（公钥基结合你知道的（密码）、你拥有的（令牌、手机）、你是谁（生物PKI础设施）提供证书颁发、管理、验证和撤销的完整体系，是电子商务和电特征）等多个因素进行身份验证大幅提高账户安全性，已成为关键系统子政务的信任基础的标准配置网络安全主动防御传统的被动防御已无法应对日益复杂的网络威胁主动防御理念强调威胁情报共享、态势感知、自动化响应和主动诱捕，将安全防护从事后补救转向事前预防和主动出击蜜罐技术与威胁诱捕安全编排与自动化响应部署虚假系统和服务作为诱饵，主动吸引攻威胁情报与态势感知平台将安全工具、流程和人员有机整击者蜜罐记录攻击行为，帮助分析攻击手SOAR收集、分析全球威胁数据，识别最新的攻击合，实现告警聚合、自动化调查和快速响应法、收集恶意代码样本高交互蜜罐甚至能手法和恶意IP安全态势感知平台整合多源面对海量安全事件，通过自动化剧本大幅缩与攻击者对话，延缓攻击进程，为真实系数据，提供全局安全视图，预测潜在威胁，短响应时间，提升安全运营效率统争取防护时间实现从已知威胁到未知威胁的检测能力提升攻防博弈，智慧较量在虚拟战场上，红蓝对抗演练锤炼着网络安全防御者的实战能力第三章网络系统安全实践与工程应用理论必须与实践相结合才能发挥价值本章将深入网络安全工程的具体实施层面，从设备安全配置到协议部署，从监控分析到渗透测试，涵盖安全工程师日常工作的核心技能，帮助您将安全理念转化为可落地的技术方案网络设备安全配置交换机与路由器安全加固认证体系AAA网络设备是网络的核心枢纽，一旦被攻陷将导致灾难性后果安全加固是基础工作（认证）、（授权）、（计费审计）是企业级网络设备管理的标准框架Authentication AuthorizationAccounting/禁用不必要的服务和端口关闭、等不安全协议，启用、Telnet HTTPSSH HTTPS配置强密码策略使用复杂密码，定期更换，启用密码加密存储实施访问控制配置隔离、端口安全、地址绑定VLAN MAC启用日志审计记录所有配置变更和登录尝试及时更新固件修复已知安全漏洞，关注厂商安全公告认证验证用户身份授权分配访问权限审计安全协议与传输保护12协议工作原理在安全中的应用SSL/TLS HTTPSWeb在传输层提供加密、认证和完整性保护握手过程包括，已成为网站标配浏览器对SSL/TLS HTTPS=HTTP+SSL/TLS HTTP客户端发起连接并发送支持的加密算法服务器返回证书和选择的算网站显示不安全警告，搜索引擎对网站给予排名优势部→HTTPS法双方协商会话密钥使用会话密钥加密后续通信进一署需要申请数字证书，配置服务器支持，并强制重定→→TLS

1.3HTTPS HTTP步简化握手流程，提升性能和安全性向到HTTPS34配置与部署安全协议最佳实践IPSec VPN在网络层提供端到端加密，支持站点到站点和远程访问禁用过时的和，使用选择强加IPSec VPNSSLv2/v3TLS

1.0/

1.1TLS

1.2+配置包括（密钥交换）阶段和阶段协商加密密套件（如），禁用弱算法（如、）配置完VPN IKEIPSec IKEAES-GCM RC43DES算法和密钥，使用（认证头）或（封装安全载荷）保美前向保密（）防止密钥泄露定期审计证书有效期和安全配置IPSec AHESP PFS护数据包网络安全监控与日志分析全天候的安全监控是及时发现和响应威胁的关键现代安全运营中心依靠大数据分析和智能算法，从海量SOC日志中识别异常行为和攻击特征01日志采集与集中管理收集防火墙、、服务器、应用程序、数据库等各类设备和系统的日志，集中存储到（安全信息与IDS/IPS SIEM事件管理）平台使用、等标准协议实现日志传输Syslog SNMP02日志规范化与关联分析将不同格式的日志标准化，提取关键字段通过关联分析引擎，将来自不同源的事件关联起来，识别复杂的攻击链例如，将登录失败、权限提升、文件访问等事件关联，发现潜在的内部威胁03异常流量检测与行为分析利用机器学习算法建立正常行为基线，识别偏离基线的异常行为检测指标包括流量突增、异常访问时间、非常规端口通信、大量失败登录等（用户和实体行为分析）技术能够发现内部威胁和账号被盗用UEBA04告警管理与事件响应对高风险告警进行优先级排序，减少误报建立标准化的事件响应流程告警接收初步分析事件确认遏制→→→措施根除威胁恢复系统事后总结记录所有响应过程，持续优化检测规则→→→安全漏洞扫描与渗透测试常用安全工具介绍渗透测试流程网络扫描与主机发现Nmap-信息收集强大的开源端口扫描工具，支持主机发现、端口扫描、服务识别、操作系统指纹识别掌握目标侦察、资产清点、社工情报收集是渗透测试的基本功Nmap渗透测试框架漏洞扫描Metasploit-集成数千个模块的自动化渗透测试平台从漏洞利用到后渗透，提供完整工具链支持自exploit自动化工具扫描，手工漏洞挖掘定义模块开发漏洞利用应用安全测试Burp Suite-Web专业的漏洞扫描工具，包括代理、爬虫、扫描器、入侵器等模块用于发现注入、、获取系统访问权限，权限提升Web SQLXSS等常见漏洞CSRF Web后渗透网络协议分析Wireshark-维持访问，横向移动，数据窃取最流行的网络抓包和分析工具，支持数百种协议解析用于故障排查、安全分析和协议学习报告撰写漏洞详情、风险评估、修复建议重要提醒渗透测试必须在获得明确授权的前提下进行，未经授权的渗透测试属于违法行为！园区网络安全综合设计一个典型的企业园区网络需要在多个层面部署安全措施，形成纵深防御体系以下是一个综合安全架构设计示例网络分区与访问控制边界防护与入侵防御划分互联网区、区、办公区、服务器区、管理区等安全域通过防部署下一代防火墙、、应用防火墙、邮件安全DMZ NGFWIPS WAFWeb火墙策略严格控制区域间流量，实施最小权限原则办公区不能直接访网关等设备在互联网出口实施防护区部署反向代理，隐DDoS DMZ问生产数据库，管理区只允许特定访问藏内部服务器真实IP IP终端安全与准入控制数据安全与备份容灾部署终端防病毒软件、（端点检测与响应）实施（网络准入对敏感数据进行加密存储和传输部署（数据泄露防护）系统，监EDR NACDLP控制），未安装安全软件或系统补丁不全的设备不允许接入网络移动控和阻止数据外泄建立备份策略（份副本、种介质、份离3-2-1321设备通过（移动设备管理）平台统一管理线），定期演练灾难恢复流程MDM守护数字世界的无名英雄网络安全运维团队×小时坚守岗位，用专业和责任筑起坚固防线724第四章网络安全管理、法律与未来趋势技术手段固然重要，但网络安全本质上是一个管理问题本章将视角提升到管理层面，探讨风险管理、合规审计、人才培养等话题，并展望量子密码、区块链、等新兴技术AI如何重塑网络安全格局，帮助您建立全局视野网络安全管理体系风险评估与安全策略安全意识培训应急响应体系风险评估是安全管理的起点人是安全链条中最薄弱的环建立安全事件应急响应计划，识别资产、威胁和脆弱性，节定期开展全员安全意识明确组织架构、响应流程、评估风险等级（风险威胁培训，内容包括密码安全、联系方式分级响应机制=×脆弱性×资产价值）基钓鱼识别、社会工程学防范、一般事件、重大事件、特别于评估结果制定安全策略，安全事件报告流程等采用重大事件定期演练应急预平衡安全投入与业务需求模拟钓鱼演练检验培训效果案，检验响应能力建立与采用、等建立安全文化，让每位员工监管部门、行业组织的沟通NIST ISO27001框架指导风险管理定期重都成为安全守护者机制，及时上报重大安全事新评估，应对新威胁件信息安全审计与电子取证安全审计系统设计电子取证技术与案例安全审计是验证安全控制有效性的重要手段，分为技术审计和管理审计两个维度电子取证是在安全事件后收集、保存、分析数字证据的过程，为法律诉讼或内部调查提供支持技术审计内容取证流程配置合规性检查防火墙规则、账号权限、补丁状态•01•日志审计异常登录、违规操作、数据访问证据识别漏洞扫描与渗透测试定期评估系统安全性•确定相关数字证据的位置和类型代码审计检查应用程序源代码中的安全漏洞•管理审计内容02证据保全安全策略执行情况••人员安全背景审查创建原始数据的完整副本，计算哈希值确保完整性第三方供应商安全管理•安全培训记录•03证据分析使用专业工具恢复删除文件、分析日志、追踪攻击路径04报告呈现撰写取证报告，以法律认可的方式呈现证据链案例某企业发现核心商业数据泄露取证团队通过分析服务器访问日志、网络流量记录和离职员工电脑，发现该员工在离职前大量下载敏感文件并通过加密邮件外发取证证据链完整，最终依法追究其法律责任网络安全人才培养与竞赛信息安全与对抗技术竞赛网络安全职业发展路径ISCC全国信息安全与对抗技术竞赛是国内最具影响力的网络安全竞赛之网络安全领域人才需求旺盛，职业发展路径多样化ISCC一，面向高校学生竞赛内容涵盖安全、逆向工程、密码学、漏洞利Web技术路线安全工程师高级安全工程师安全架构师技术专家→→→/用等多个方向通过模式，参赛者需要利用各种CTFCapture TheFlag首席安全官CSO技术手段获取旗帜得分竞赛不仅检验技术能力，更培养团队协作和压管理路线安全分析师安全团队主管安全总监首席信息力下的问题解决能力→→→CISO安全官专业方向渗透测试、安全研究、应急响应、安全咨询、安全产品开发建议持续学习，考取、、等国际认证，参与开源安全项CISSP CISACEH目和漏洞赏金计划，不断提升实战能力新兴技术与网络安全未来技术发展日新月异，新兴技术既带来新的安全挑战，也提供新的防护手段量子计算威胁现有加密体系，但量子密码学提供理论上不可破解的安全；区块链技术的去中心化和不可篡改特性为数据安全提供新思路；人工智能既是攻击者的武器，也是防御者的利器量子密码学与抗量子攻击1量子计算机能够破解基于大数分解和离散对数问题的、RSA等算法量子密钥分发利用量子物理原理实现理论ECC QKD上无条件安全的密钥交换后量子密码学研究抗量子攻击的新区块链技术在安全中的应用2型算法，如基于格的密码、基于哈希的密码等已启动后NIST区块链的去中心化、不可篡改、透明可追溯特性为网络安全提量子密码标准化进程供新思路应用场景包括分布式身份认证、数据完整性验证、供应链安全、安全日志存储、去中心化等但区块链本身也PKI人工智能辅助安全防御面临攻击、智能合约漏洞等安全挑战351%在网络安全中的应用智能威胁检测机器学习识别异常行为、AI恶意代码分析深度学习识别新型病毒、自动化漏洞挖掘、安全事件预测、自适应防御系统但攻击者也在利用发起更智能AI的攻击，如生成的钓鱼邮件、智能化的密码破解安全领域AI正在进入对抗的新阶段AI网络安全挑战与国家战略国家网络空间安全战略国家级网络安全事件应对针对国家级网络安全威胁，我国建立了完善的应对机制组织体系中央网络安全和信息化委员会最高决策机构国家互联网应急中心技术支撑单位CNCERT公安部网络安全保卫局执法机关应对机制×小时监测预警•724分级响应机制（四级响应体系）•跨部门联动协调•国际合作与情报共享•重点保护对象能源、交通、金融、通信等关键信息基础设施被列为国家级重点保护对象，实施严格的安全管理和技术防护《国家网络空间安全战略》明确了九大战略任务坚定捍卫网络空间主权

1.坚决维护国家安全

2.保护关键信息基础设施

3.加强网络文化建设

4.打击网络恐怖和违法犯罪

5.完善网络治理体系

6.夯实网络安全基础

7.提升网络防护能力

8.强化网络安全保障

9.战略强调网络安全是国家安全的重要组成部分，必须树立正确的网络安全观，坚持网络安全和网络发展并重筑牢数字防线守护美好未来在万物互联的时代，网络安全是数字文明的基石和保障课程总结与学习建议理论与实践相结合网络安全是一门实践性极强的学科光有理论知识是不够的，必须通过实际操作加深理解建议搭建个人实验环境（虚拟机、靶场平台），动手配置防火墙、部署入侵检测系统、进行渗透测试参与竞CTF赛、漏洞赏金计划等实战项目，在真实对抗中提升能力持续学习与知识更新网络安全技术日新月异，新的漏洞、攻击手法、防护技术不断涌现养成持续学习的习惯关注安全资讯网站、安全客等、阅读安全厂商的威胁情报报告、参加安全会议、等、FreeBufBlack HatDefCon学习最新的安全技术和工具建立自己的知识体系，定期回顾和更新积极参与安全社区加入网络安全社区和开源项目，与同行交流学习在上贡献代码，在论坛上分享经验，参加本地GitHub的安全聚会通过社区互动，不仅能学到新知识，还能建立人脉网络，获得职业发展机会记住安全是一个团队的事业，没有人能单打独斗树立正确的安全观念网络安全技术是一把双刃剑，可以用于防御也可以用于攻击作为安全从业者，必须树立正确的职业道德和法律意识永远不要进行未授权的渗透测试或攻击行为，不要传播恶意代码，保护用户隐私用你的技能守护而不是破坏，做一名有责任感的安全守护者网络安全，人人有责让我们共同努力，构建安全、开放、有序的网络空间！谢谢聆听！欢迎提问与交流学习资源推荐职业发展路径联系方式在线学习平台安全工程师课程答疑与讨论•••安全工具与靶场渗透测试专家实验指导与帮助•••技术社区与论坛安全研究员学习资料分享•••专业书籍推荐安全架构师职业规划建议•••网络安全的本质在对抗，对抗的本质在攻防两端能力的较量周鸿祎——。