计算机与信息安全 课件

计算机与信息安全基础课件第一章信息安全基础与威胁认知网络安全的重要性没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障——习近平主席网络安全已上升为国家战略高度2023年全球网络安全人才缺口高达400万人,中国作为全球最大的互联网市场,面临着严峻的安全挑战和巨大的人才需求信息安全的三大核心要素三元组CIA机密性完整性可用性Confidentiality IntegrityAvailability确保信息只能被授权人员访问和查看,防止信保证信息在存储、传输和处理过程中不被非确保授权用户在需要时能够及时、可靠地访息泄露给未授权的个人或系统通过加密、法篡改、删除或破坏,确保数据的准确性和完问信息和资源,系统能够持续稳定运行,抵御访问控制等技术手段保护敏感数据整性各种拒绝服务攻击•数据加密传输•数字签名验证•灾难恢复计划•身份认证机制•哈希校验机制•负载均衡技术•权限分级管理•版本控制系统•冗余备份系统网络安全威胁全景恶意代码威胁病毒、木马、蠕虫、勒索软件等恶意程序通过各种途径感染系统,窃取数据、破坏文件、劫持资源这些威胁不断演化,采用加密、变形等技术逃避检测黑客攻击行为包括DDoS攻击、SQL注入、跨站脚本攻击XSS、钓鱼攻击等技术手段,以及社会工程学欺诈攻击者利用人性弱点和系统漏洞获取非法访问权限漏洞与后门隐患软件设计缺陷、编码错误、配置不当产生的安全漏洞,以及开发者或攻击者植入的后门程序,为系统留下可被利用的入口点典型网络安全事件回顾2006年熊猫烧香病毒1中国互联网史上影响最大的计算机病毒事件之一该病毒感染数百万台计算机,将可执行文件图标改为熊猫举香图案,造成大量系统瘫痪和数据丢失,直接经济损失超过10亿元22017年WannaCry勒索病毒利用Windows系统漏洞全球爆发,影响150多个国家和地区的30多万台计算机病毒加密用户文件并勒索比特币,导致医疗、教育、能源等关键领域业务中断,损失超过80亿美元2020年SolarWinds供应链攻击3黑客通过入侵IT管理软件供应商SolarWinds,在其产品更新中植入恶意代码,成功渗透美国政府机构和数千家企业网络这次攻击展示了供应链安全的脆弱性和高级持续威胁APT的复杂性案例启示这些重大安全事件告诉我们:网络安全威胁无处不在,任何组织都可能成为攻击目标建立完善的安全防护体系、及时更新系统补丁、提升全员安全意识是防范风险的关键网络安全刻不容缓每一秒,全球都在发生数以万计的网络攻击保护数字世界,从现在开始,从你我做起第二章身份认证与访问控制技术身份认证是信息安全的第一道防线,访问控制则是保护资源安全的核心机制本章将深入探讨各种身份认证技术的原理与应用,以及访问控制模型在实际场景中的部署策略,帮助您构建坚实的安全边界身份认证的三大类别知识型认证生物特征认证物理型认证用户名+口令是最常用的认证方式用利用人体独特的生理或行为特征进行通过用户持有的物理设备来验证身份,户提供只有自己知道的秘密信息如密身份识别,包括指纹识别、面部识别、如USB Key、智能卡、动态令牌、手码、PIN码、安全问题答案来证明身虹膜扫描、声纹识别等技术机SIM卡等硬件认证工具份优势:难以伪造、无需记忆、便捷快速优势:安全性高、不易被远程窃取优势:实施简单、成本低廉、用户熟悉劣势:设备成本高、存在误识率、隐私劣势:可能丢失损坏、携带不便、有成劣势:容易被窃取、遗忘、暴力破解顾虑本多因素认证的重要性MFA结合两种或以上认证方式如密码+短信验证码+指纹可以大幅提升安全性即使一种因素被破解,攻击者仍需突破其他防线目前,多因素认证已成为金融、政务等高安全要求领域的标准配置口令安全与攻击防范口令空间与蛮力攻击时间口令的安全强度取决于其复杂度和长度假设使用大小写字母、数字和特殊字符共约70种可能字符:6位口令:70^6≈1177亿种组合,普通计算机数小时可破解8位口令:70^8≈576万亿种组合,需要数天到数周12位口令:70^12≈

1.38×10^22种组合,几乎无法暴力破解常见口令攻击方式字典攻击:使用常用密码列表逐一尝试口令管理最佳实践暴力破解:穷举所有可能的字符组合•长度至少12位,包含多种字符类型彩虹表攻击:预先计算哈希值进行快速比对•避免使用个人信息和常见词汇社会工程学:通过欺骗或观察获取密码•不同账户使用不同密码键盘记录器:恶意软件记录键盘输入•定期更换重要账户密码•启用多因素认证•使用密码管理器安全存储•警惕钓鱼网站和邮件访问控制模型概述访问控制决定了谁可以访问什么资源,以及如何访问不同的访问控制模型适用于不同的安全需求和应用场景自主访问控制DAC强制访问控制MAC基于角色的访问控制RBACDiscretionary Access Control MandatoryAccessControlRole-Based AccessControl资源的所有者自主决定谁可以访问该资源用户系统强制执行访问规则,用户无法改变基于安根据用户在组织中的角色分配权限,而非直接授可以将自己的资源访问权限授予其他用户,灵活全级别如机密、秘密、绝密和安全标签,确保权给个人简化了大规模系统的权限管理,提高但安全性相对较低高密级信息不会流向低密级用户了安全性和可维护性典型应用:Windows文件系统、Unix文件权限典型应用:军事系统、政府机密网络典型应用:企业管理系统、数据库权限管理访问控制三要素客体Object被访问的资源或数据•文件和目录•数据库记录主体Subject•网络资源•硬件设备发起访问请求的实体每个客体都有相应的安全属性和访问权限设置,定义•用户账户了谁可以如何访问•进程或程序•系统服务控制策略Policy•设备终端授权规则和访问条件主体需要通过身份认证证明自己的身份,才能获得•读取权限相应的访问权限•写入权限•执行权限•删除权限策略定义了主体对客体可以执行的操作,是访问控制决策的依据访问控制的实施过程:主体提出访问请求→系统验证主体身份→根据控制策略判断是否授权→允许或拒绝访问客体访问控制实际应用案例常见误区与风险企业权限管理案例教育机构数据保护•权限分配过于宽松,违反最小权限原则某制造企业实施RBAC模型,按部门和职位划某高校学生信息管理系统:分角色:•离职员工账户未及时删除或禁用•教务人员:可查看和修改课程、成绩•使用共享账户,无法追踪责任•财务人员:访问财务系统,查看相关报表•辅导员:查看所负责学生的基本信息•缺乏定期的权限审计和清理•销售人员:访问CRM系统,管理客户信息•学生本人:只能查看个人信息和成绩•临时权限未能及时回收•技术人员:访问开发环境,不接触生产数据•财务人员:访问缴费和奖助学金数据•管理层:只读方式查看综合报告通过严格的权限分级,有效保护了学生隐私实施后减少了80%的权限纠纷和安全事件改进建议建立完善的权限申请、审批、授予、审计和回收流程;实施最小权限原则和职责分离原则;定期进行权限审计;使用自动化工具管理账户生命周期;记录所有敏感操作的审计日志权限管理安全防护的第一道防线严格认证⚖️最小权限持续审计确保用户身份真实可靠只授予完成工作所需的最定期检查权限使用情况低权限第三章恶意代码及防护技术恶意代码是网络安全的主要威胁之一,它们以各种形式潜伏在网络空间中,伺机发起攻击本章将深入剖析各类恶意代码的特性、传播机制和危害表现,并介绍有效的防护策略和技术手段,帮助您构建全面的安全防御体系计算机病毒的定义与特征什么是计算机病毒典型病毒类型计算机病毒是一种能够自我复制并通过修改其宏病毒他程序来感染系统的恶意代码它隐藏在合法程序中,在特定条件下被激活,执行破坏性操作或利用Office文档宏功能传播,感染Word、窃取信息Excel等文件,打开文档即可触发传染性网络病毒能够复制自身,通过文件、网络、存储设备等途径传播感染其他系统和程序通过网络传播,利用系统漏洞或邮件附件感染,传播速度快、范围广️潜伏性⏱木马程序隐藏在正常程序中,不易被发现,在特定条件触发前保持静默状态伪装成正常软件,一旦运行就打开后门,让攻击者远程控制受感染计算机破坏性蠕虫病毒删除文件、破坏数据、占用资源、窃取信息,对系统造成各种程度的损害无需宿主程序即可独立运行和传播,自动扫描网络寻找漏洞进行复制扩散手机病毒与计算机病毒的异同传播途径对比破坏效果差异防护措施计算机病毒传播:计算机病毒:文件损坏、系统崩溃、数据窃取、资源占用、远程控制共同措施:•网络下载和邮件附件手机病毒:除了上述危害外,还包括:自动拨打电话、发送扣费短信、窃取通讯•安装杀毒软件并及时更新录和短信、获取位置信息、监听通话•U盘等移动存储设备•不打开可疑链接和附件•局域网共享文件•定期备份重要数据•软件安装包捆绑•及时安装系统安全补丁手机病毒传播:手机特有:•短信和彩信附件•仅从官方应用商店下载软件•蓝牙和WiFi无线传输•谨慎授予应用权限•恶意应用下载•关闭不必要的无线连接•二维码扫描•社交软件分享病毒危害表现计算机系统受害表现手机终端受害表现系统运行异常通信功能异常电脑启动缓慢、频繁死机、蓝屏错误、程序无响应、CPU占用率异常升高、内存不足自动拨打陌生号码、发送垃圾短信、通话被监听、通讯录联系人被盗取并传播病毒警告恶意扣费行为文件数据损坏订阅不明增值服务、后台发送扣费短信、流量异常消耗、话费莫名减少、出现不明账文件无法打开或内容被篡改、文件莫名消失或被加密、磁盘空间异常减少、重要数据单丢失性能急剧下降隐私信息泄露手机发热严重、电池耗电飞快、运行速度变慢、应用频繁崩溃、存储空间被占满账号密码被盗、浏览记录被监控、个人文件被窃取、银行卡信息泄露、身份信息被冒用权限滥用问题摄像头被远程控制、麦克风被窃听、位置信息被追踪、相册照片被上传、支付密码被网络行为异常窃取网络流量激增、频繁弹出广告、主页被篡改、自动访问陌生网站、成为DDoS攻击的傀儡机紧急提示:一旦发现上述异常现象,应立即断开网络连接,使用杀毒软件全面扫描,必要时寻求专业技术支持对于重要账户,应立即修改密码并启用多因素认证病毒防治策略0102安装防病毒软件及时更新病毒库选择知名可靠的安全软件,如360安全卫士、腾讯电脑管家、金山毒霸、卡巴斯基、诺每天都有新病毒出现,必须保持病毒特征库为最新版本启用自动更新功能,确保能够识顿等确保防护软件始终处于开启状态,实时监控系统安全别和拦截最新威胁0304定期系统扫描安装系统补丁每周至少进行一次全盘扫描,检查系统中是否存在潜伏的恶意代码对可疑文件进行隔及时安装操作系统和应用软件的安全更新,修补已知漏洞,防止病毒利用漏洞入侵系统离或删除处理0506数据定期备份培养安全习惯重要文件应定期备份到外部存储设备或云端,采用3-2-1备份策略:保留3份副本,使用2种不打开可疑邮件附件,不访问不明网站,不下载盗版软件,不使用来路不明的U盘,警惕社交不同存储介质,1份异地存储这样即使遭遇勒索病毒,也能恢复数据工程攻击99%3-770%检测率天数感染比例主流杀毒软件对已知病毒的检测率新病毒从出现到被杀毒软件识别的平均时间病毒感染源于用户的不安全行为漏洞与后门漏洞Vulnerability后门Backdoor漏洞是软硬件系统在设计、实现、配置或管理过程中存在的缺陷,可被攻击者利用,破坏系统的机密性、后门是绕过正常认证机制,直接访问系统或获取权限的秘密通道可能是开发者故意留下,也可能是攻击完整性或可用性者植入漏洞的主要来源:后门的危害:设计缺陷:系统架构设计时考虑不周,存在逻辑漏洞•攻击者可以绕过所有安全防护编码错误:程序员编写代码时的疏忽,如缓冲区溢出、SQL注入点•长期潜伏难以被发现配置不当:系统默认配置不安全,权限设置过宽松•可窃取敏感信息或植入恶意代码协议缺陷:通信协议本身存在安全弱点•即使修复了已知漏洞,后门仍然有效人为因素:弱口令、社会工程学等人为疏忽•可能成为APT攻击的突破口常见漏洞类型:缓冲区溢出、跨站脚本XSS、SQL注入、跨站请求伪造CSRF、文件包含漏洞、权限后门检测与防范:提升漏洞•使用入侵检测系统IDS监控异常行为•定期进行安全审计和代码审查•监控网络流量,识别异常通信•使用完整性校验工具检测文件篡改•从可信源获取软件,避免供应链攻击漏洞扫描工具介绍Nmap X-scan Nessus强大的网络扫描和安全审计工具,可发现主机、服务、操作系统信息,国产漏洞扫描工具,支持多种漏洞检测,包括系统漏洞、弱口令、配置专业级漏洞评估工具,拥有庞大的漏洞数据库,可进行全面的安全评估检测开放端口和潜在漏洞错误等,界面友好和合规性检查防火墙技术原理与应用什么是防火墙防火墙是部署在网络边界的安全设备或软件,通过监控和过滤进出网络的数据包,根据预设的安全规则决定允许或阻止流量,保护内部网络免受外部攻击硬件防火墙独立的物理设备,部署在网络入口处,性能强大,适合企业级应用如思科ASA、华为USG系列优势:处理能力强、不占用主机资源、集中管理软件防火墙安装在操作系统中的应用程序,如Windows防火墙、iptables适合个人用户和小型网络优势:部署灵活、成本低廉、易于配置防火墙工作原理包过滤状态检测应用代理检查数据包的源地址、目标地址、端口号、协议类型等信息,根据规则决定是否放行不仅检查单个数据包,还跟踪连接状态,识别合法会话,防止伪造数据包在应用层进行深度检测,理解应用协议,可防范应用层攻击和恶意内容筑牢网络安全防线️边界防护流量监控访问控制日志审计阻止外部威胁入实时检测异常行精细化权限管理追溯安全事件侵为防火墙是网络安全的第一道也是最重要的防线,但不能完全依赖单一防护手段,必须建立多层次、立体化的纵深防御体系第四章数据加密与网络安全技术加密技术是保护数据机密性的核心手段,也是构建安全通信的基础本章将介绍密码学的基本原理、主流加密算法、数字签名技术,以及网络安全协议的实现机制,帮助您理解如何在开放网络环境中实现安全可靠的信息传输数据加密基础加密的基本概念明文Plaintext:原始的、可读的信息密文Ciphertext:经过加密处理后的不可读信息加密Encryption:将明文转换为密文的过程解密Decryption:将密文还原为明文的过程密钥Key:控制加密和解密过程的参数加密算法:执行加密操作的数学函数加密系统的安全性根据Kerckhoffs原则,一个密码系统的安全性应该依赖于密钥的保密性,而不是算法的保密性即使算法公开,只要密钥安全,系统就是安全的对称加密加密和解密使用相同的密钥优点:算法简单、加密速度快、效率高缺点:密钥分发困难、密钥管理复杂、无法实现数字签名应用场景:大量数据加密、本地文件保护非对称加密使用公钥加密,私钥解密或反之优点:密钥分发简单、可实现数字签名和身份认证缺点:算法复杂、加密速度慢应用场景:密钥交换、数字签名、身份认证经典加密算法介绍古典密码算法换位密码异或加密改变明文字符的位置,但不改变字符本身如栅栏密码、列移位密码简单易破解,现已不再使用明文与密钥进行异或XOR运算简单快速,但如果密钥重复使用则不安全一次性密码本OTP是理论上不可破解的123替代密码用其他字符替换明文字符如凯撒密码字母移位、单表替代密码容易被频率分析攻击现代对称加密算法DES算法AES算法国密SM4算法Data Encryption Standard AdvancedEncryptionStandard中国商用密码标准采用56位密钥,对64位数据块进行16轮置换和替代运算曾是美国政府标支持128/192/256位密钥,对128位数据块进行加密经过全球公开竞选产采用128位密钥和数据块,由中国国家密码管理局发布在金融、政务等领域强准,但密钥长度不足,已被AES取代生,目前最广泛使用的对称加密标准制使用国密算法3DES使用3个密钥进行3次DES加密,提高了安全性安全性高、速度快、实现简单,被广泛应用于各种场景与AES性能相当,满足自主可控要求现代非对称加密算法RSA算法ECC算法国密SM2算法基于大整数因数分解困难性,密钥长度通常为2048位或更高发明于1977年,是最著椭圆曲线密码学,基于椭圆曲线离散对数问题相同安全强度下密钥长度更短,计算效基于椭圆曲线的中国商用密码标准,256位密钥性能优于RSA,与国际ECC算法相名的公钥加密算法率更高当应用:数字签名、密钥交换、SSL/TLS证书应用:移动设备、物联网、比特币应用:电子政务、金融支付、电子合同数字签名与认证技术数字签名的作用数字签名是非对称加密技术的重要应用,相当于电子世界的手写签名和印章,具有以下作用:身份认证证明消息确实来自声称的发送者,防止身份伪造完整性保护确保消息在传输过程中未被篡改,任何修改都会使签名无效不可否认性发送者无法否认自己发送过已签名的消息,具有法律效力数字签名的实现流程

1.发送方对消息计算哈希值摘要

2.用私钥对哈希值进行加密,生成数字签名

3.将原消息和签名一起发送给接收方

4.接收方用发送方公钥解密签名,得到哈希值

5.对收到的消息计算哈希值,与解密结果比对

6.如果一致,则签名有效;否则,消息被篡改公钥基础设施PKIPKI是一套用于创建、管理、分发和撤销数字证书的体系,解决公钥的可信度问题01证书颁发机构CA受信任的第三方机构,负责颁发和管理数字证书,验证证书持有者身份02数字证书包含公钥、持有者信息、有效期、CA签名等,证明公钥属于特定实体03证书验证通过CA的公钥验证证书签名,检查证书是否在有效期内且未被撤销网络安全协议IPSec协议SSL/TLS协议Internet ProtocolSecurity-网络层安全协议Secure SocketsLayer/Transport LayerSecurity在IP层对数据包进行加密和认证,保护IP通信的安全性支持两种模式:应用层与传输层之间的安全协议,为HTTP、FTP、SMTP等提供加密传输HTTPS就是HTTP overTLS传输模式:只加密数据部分,用于端到端通信隧道模式:加密整个IP包,用于VPN网关间通信工作流程:客户端与服务器协商加密算法→交换证书验证身份→生成会话密钥→加密数据传输应用场景:VPN、站点间安全连接、远程访问应用场景:网页浏览、在线支付、电子邮件VPN技术Virtual PrivateNetwork-虚拟专用网络在公共网络上建立加密隧道,实现安全的远程访问和站点互联常见VPN协议:PPTP:点对点隧道协议,配置简单但安全性较低L2TP/IPSec:第二层隧道协议结合IPSec加密OpenVPN:开源VPN解决方案,灵活安全WireGuard:新一代VPN协议,速度快代码简洁应用场景:远程办公、分支机构互联、跨境访问安全协议的层次关系不同的安全协议工作在网络模型的不同层次,提供不同粒度的安全保护:应用层:PGP邮件加密、SSH远程登录传输层:SSL/TLS网络层:IPSec数据链路层:WPA/WPA2WiFi加密云计算安全与未来趋势云服务安全责任划分云计算采用共同责任模型,云服务商和用户各自承担不同的安全责任:云服务商责任物理设施安全、网络基础设施、虚拟化平台、底层存储安全共同责任操作系统补丁、网络配置、防火墙规则、身份认证机制用户责任应用程序安全、数据加密、访问控制、合规性管理、员工培训虚拟化安全挑战人工智能在安全防护中的应用虚拟机逃逸:攻击者从VM突破到宿主机资源隔离:多租户环境的数据隔离问题威胁检测快照安全:VM快照可能包含敏感数据虚拟网络:虚拟交换机的流量监控困难机器学习算法分析海量日志,自动识别异常行为和潜在威胁,检测未知攻击模式自动响应AI驱动的安全编排自动化SOAR,快速响应安全事件,减少人工干预时间预测防御分析历史数据预测攻击趋势,提前部署防护措施,从被动防御转向主动防御未来网络安全发展方向零信任架构、量子加密通信、区块链安全应用、边缘计算安全、隐私计算技术、自适应安全、安全即服务SECaaS课程总结与未来展望严峻形势知识体系网络安全面临的挑战日益增加本课程系统介绍了信息安全的四大核心领域•攻击手段不断演化升级•信息安全基础理论与威胁认知•攻击目标从个人到国家•身份认证与访问控制机制•新技术带来新的安全风险•恶意代码防护与漏洞管理•安全人才缺口持续扩大•数据加密与网络安全协议•法律法规不断完善细化职业发展持续学习成为网络安全人才的路径网络安全是一个不断发展的领域•渗透测试工程师•关注最新安全漏洞和攻击技术•安全运维分析师•学习新兴安全技术和工具•安全架构设计师•参加安全社区和技术论坛•应急响应专家•实践动手能力培养•安全研究员•考取专业安全认证•首席信息安全官CISO网络安全为人民,网络安全靠人民每个人都是网络安全的参与者和守护者,让我们共同努力,构建安全可信的网络空间!感谢聆听互动交流环节推荐学习资源️实用工具推荐专业网站与社区Kali Linux:渗透测试专用系统FreeBuf:国内知名网络安全社区Wireshark:网络协议分析工具Seebug:漏洞平台与安全文章Burp Suite:Web安全测试工具先知社区:安全技术分享平台Metasploit:漏洞利用框架OWASP:Web应用安全项目John theRipper:密码破解工具在线学习平台竞赛与实训机会•实验吧、攻防世界CTF练习•全国大学生信息安全竞赛•Coursera、edX安全课程•网络安全大赛CTF•中国大学MOOC信息安全课程•护网行动演练推荐书籍•各大厂商安全挑战赛•《网络安全原理与实践》职业认证推荐•《Web安全深度剖析》•CISP注册信息安全专业人员•《密码学原理与实践》•CISSP注册信息系统安全专家•CEH道德黑客认证•OSCP进攻性安全认证专家欢迎提问任何关于课程内容、技术细节、职业发展的问题经验分享欢迎分享您在信息安全领域的见解和经历实践建议如何在日常学习工作中提升安全意识和技能让我们一起守护网络安全,共建清朗网络空间!Keep Learning,Stay Secure!。