计算机网络与安全的课件

计算机网络与安全基础课件第一章计算机网络基础概述计算机网络的定义与发展网络本质技术演进通过通信线路和网络设备连接多台计从世纪年代的到今天2060ARPANET算机，实现数据共享、资源共享与协的全球互联网，网络技术经历了从局同工作，构建信息交换的桥梁域网、广域网到互联网的飞速发展历程未来趋势网络分层模型简介OSI七层模型TCP/IP四层模型应用层用户接口与服务应用层、、••HTTP DNS SMTP表示层数据格式转换传输层、••TCP UDP会话层会话管理网络层、••IP ICMP传输层端到端通信网络接口层以太网、••Wi-Fi网络层路由与寻址•数据链路层帧传输•物理层物理介质•物理层与数据链路层基础12物理层数据链路层负责在物理介质上传输原始比特流，涉及传输介质选择（光纤、双绞将物理层提供的比特流组装成帧，通过地址实现同一网络内设备MAC线、无线电波）、信号编码方式（曼彻斯特编码、编码）以及间的点对点通信交换机在此层工作，通过学习地址表实现高效4B/5B MAC物理拓扑结构设计的帧转发传输速率从到帧结构前导码、目的、源、数据、校验•Mbps Gbps•MAC MAC传输介质有线与无线技术以太网标准定义的协议••IEEE

802.3CSMA/CD信号调制数字信号与模拟信号转换错误检测循环冗余校验确保数据完整性••CRC网络层核心技术IPv4到IPv6演进路由机制地址空间即将耗尽（位，约亿地IPv43243IP协议基础路由器根据路由表选择最佳路径转发数据址），采用位地址空间，提供几乎IPv6128互联网协议（IP）提供无连接的数据报传输包，支持静态路由配置和动态路由协议无限的地址资源，同时优化了报文头部结服务，定义了全球唯一的IP地址格式，实现（RIP、OSPF、BGP），确保数据准确到达构，提升路由效率跨网络的端到端数据传输能力目的地传输层与应用层协议传输层协议对比应用层核心协议TCP协议特点HTTP/HTTPS面向连接，可靠传输超文本传输协议，服务的基础，增加加密保障安全•Web HTTPSSSL/TLS性三次握手建立连接••流量控制与拥塞控制DNS适用场景文件传输、网页浏览•域名系统，将域名转换为地址，实现人类友好的网络访问方式IPUDP协议特点SMTP/POP3/IMAP无连接，不保证可靠性•电子邮件协议族，分别负责邮件发送、接收和管理功能传输速度快，开销小•适用场景视频直播、在线游戏•网络协议栈分层示意01应用层、、、等协议为用户提供网络服务接口HTTP FTPDNSSMTP02传输层协议实现端到端的可靠或快速数据传输TCP/UDP03网络层协议负责跨网络的路由选择和数据包转发IP04网络接口层以太网、等技术实现物理链路上的数据传输Wi-Fi每一层都为上层提供服务，同时使用下层提供的功能，形成清晰的层次结构，确保网络通信的高效性和可维护性第二章网络安全基础与威胁分析全面认识网络安全的核心原则，深入分析各类网络威胁的攻击模式与防御策略，构建完整的安全意识框架网络安全的核心目标机密性（Confidentiality）完整性（Integrity）可用性（Availability）确保信息仅被授权用户访问，防止敏感数据保证信息在存储、传输过程中未被篡改或破确保授权用户在需要时能够及时访问信息和泄露给未经授权的个人或系统通过加密、坏，确保数据的准确性和一致性采用数字系统资源，防止服务中断通过冗余设计、访问控制等技术实现数据保护签名、哈希校验等手段验证数据完整性备份恢复、防护等措施保障业务连续DDoS性扩展原则除了三原则，现代网络安全还强调可审计性（记录和追踪用户行为）和不可否认性（通过数字签名防止发送方否认操作），构CIA建更全面的安全体系常见网络攻击类型被动攻击主动攻击窃听（）攻击者截获网络传输的数据包，读取敏感信息如密伪装攻击攻击者假冒合法用户身份，绕过身份验证机制获取非法访问权Eavesdropping码、信用卡号等限流量分析通过分析通信模式、频率和数据量推断敏感信息，即使数据已加重放攻击截获并重新发送有效的数据传输，欺骗系统执行未授权操作密也可能泄露元数据篡改攻击在传输过程中修改数据内容，破坏信息完整性拒绝服务（）通过大量请求耗尽目标系统资源，使合法用户无法DoS/DDoS访问服务真实案例年月，僵尸网络利用数十万台被感染的物联网设备发起攻击，峰值流量超过，导致美国东海岸大面积网络服务瘫痪，、201610Mirai DDoS1Tbps Twitter等知名网站受到严重影响Netflix网络攻击的分类与实例阻断攻击截取攻击破坏系统可用性，如攻击、物理破坏网非法获取传输中的数据，包括网络嗅探、中间DDoS络设备、恶意消耗系统资源等手段人攻击、会话劫持等技术伪造攻击篡改攻击假冒合法身份进行欺骗，包括钓鱼邮件、地修改数据内容破坏完整性，如注入、跨站IP SQL址欺骗、欺骗、伪造数字证书等脚本攻击（）、数据包篡改等DNS XSS这四类攻击分别针对安全目标的不同维度，实际攻击场景中往往组合使用多种手段，形成复杂的攻击链条，需要综合防御策略应对网络安全威胁的演变趋势1传统病毒时代世纪年代，简单的文件病毒和蠕虫通过磁盘、邮件传播，破坏性强但传2080-90播速度相对较慢2网络攻击爆发期年代，攻击、注入、跨站脚本等网络攻击技术成熟，攻击规模和2000DDoS SQL频率大幅提升3APT威胁崛起年代，高级持续性威胁（）出现，攻击者长期潜伏，窃取核心数据，2010APT具有强针对性和隐蔽性4新技术带来新挑战云计算的多租户环境、物联网设备的安全漏洞、技术被用于自动化攻击和防AI御，安全边界不断扩展人工智能在安全领域扮演双刃剑角色一方面可以用于智能化威胁检测和响应，另一方面也被攻击者利用生成更复杂的攻击样本和社会工程学诱饵网络安全风险评估与管理风险识别风险评估系统性识别组织面临的各类安全威胁，包括技术漏洞、管理缺陷、人为因素等潜在量化分析风险发生的可能性和影响程度，计算风险值，确定风险优先级，为资源分风险源配提供决策依据风险控制持续监控制定并实施风险应对策略，包括风险规避、转移、减轻和接受，部署相应的安全技定期审查风险状态，评估控制措施有效性，根据环境变化动态调整安全策略，形成术和管理措施闭环管理安全等级划分合规要求•一级用户自主保护级企业需遵守行业法规和标准，如《网络安全法》、等级保护

2.

0、GDPR、PCI-DSS等，建立符合监管要求的安全管理体系二级系统审计保护级•三级安全标记保护级•四级结构化保护级•五级访问验证保护级•攻击流量规模可视化DDoS第三章网络安全技术与防护措施掌握现代网络安全的核心技术手段，从身份认证到加密通信，从防火墙到入侵检测，构建多层次纵深防御体系身份认证与访问控制技术12口令认证双因素认证（2FA）最常见的认证方式，通过用户名和密码验证身结合知道的信息（密码）和拥有的物品（手份强密码策略要求长度≥12字符，包含大小写机、硬件令牌）或生物特征，大幅提升账户安全字母、数字、特殊符号，定期更换性3生物识别技术指纹、面部、虹膜、声纹等生物特征识别，具有唯一性和不可伪造性，但需注意隐私保护和模板安全访问控制模型Kerberos认证协议DAC（自主访问控制）资源所有者决定访问权限分布式网络环境中的单点登录解决方案，采用票据机制实现安全认证，广泛应用于域环境和企业Windows网络（强制访问控制）系统根据安全标签强制执行MAC访问策略（基于角色的访问控制）根据用户角色分配RBAC权限，简化管理加密技术基础对称加密加密和解密使用相同密钥，速度快，适合大量数据加密代表算法（高级加AES密标准）、、密钥长度越长，安全性越高DES3DES非对称加密使用公钥加密、私钥解密，或私钥签名、公钥验证代表算法、（椭圆RSA ECC曲线加密）安全性高但计算开销大，常用于密钥交换和数字签名数字签名与PKI公钥基础设施数字签名利用非对称加密技术，确保消息的完整性、身份认证和不可否认性发送方用私钥对消息摘要签名，接收方用公钥验证签名有效性体系通过数字证书和证书颁发机构（）建立信任链，解决公钥分发和验证问题PKI CA协议中的服务器证书就是的典型应用，保障通信的安全性SSL/TLS PKIHTTPS网络安全协议IPSec协议1工作在网络层的安全协议套件，提供数据包的认证、完整性校验和加密服务包含（认证头）和（封装安全载荷）两种协议，支持传输模式和隧道模式IP AHESPSSL/TLS协议2工作在传输层和应用层之间，为上层应用提供透明的安全通信通道是最新版本，移除了不安全的加密套件，优化了握手过程，广泛应用于、、TLS

1.3HTTPS SMTPS等场景FTPSVPN虚拟专用网络3通过公共网络建立加密隧道，实现远程安全访问企业内网常见类型包括站点到站点、远程访问结合或协议保障数据传输安全性VPN VPNIPSec SSL/TLS这些安全协议在不同层次提供保护，可以组合使用构建纵深防御例如，通过访问企业网络时，隧道内的流量获得双重加密保护VPN VPNHTTPS防火墙与入侵检测系统防火墙类型入侵检测与防御包过滤防火墙IDS vsIPS基于源目的、端口、协议类型等信（入侵检测系统）被动监控网络流量，发/IP IDS息过滤数据包，速度快但安全性相对现异常行为后发出告警，不直接阻断攻击较低（入侵防御系统）主动防御，实时阻断检IPS应用代理防火墙测到的攻击流量，串联部署在网络关键路径上工作在应用层，代理客户端与服务器检测技术通信，可深度检查应用层内容，安全性高但性能开销大签名检测匹配已知攻击特征•状态检测防火墙异常检测基于正常行为基线识别偏离•协议分析检查协议实现的合规性维护连接状态表，跟踪会话信息，结•合包过滤和代理优点，是当前主流防火墙技术防火墙和协同工作，防火墙作为第一道防线控制访问，提供深度检测和实IDS/IPS IDS/IPS时响应，形成立体化防御体系恶意代码与防病毒技术病毒蠕虫木马勒索软件依附于宿主程序，通过感染其他文件传播，可独立程序，通过网络自动传播，无需宿主文伪装成正常软件，诱骗用户安装，在后台执行加密用户文件或锁定系统，要求支付赎金才能自我复制，具有潜伏期和破坏性件，传播速度快，消耗大量网络带宽和系统资恶意操作如窃取信息、远程控制恢复近年来成为最严重的网络威胁之一源防病毒技术现代防病毒软件采用多层检测机制特征码匹配识别已知恶意代码，启发式分析检测未知威胁的可疑行为，沙箱技术在隔离环境中执行可疑程序观察其行为，云查杀利用大数据和机器学习提升检测准确率勒索病毒事件年月，利用漏洞在全球范围内大规模传播感染超过个国家的万台计算机造成数十亿美元损失此事件凸显了及时安装安全WannaCry20175WannaCry WindowsSMB,15030,补丁的重要性网络安全监控与审计01日志收集从防火墙、服务器、应用程序等各类设备和系统收集安全事件日志，建立集中式日志管理平台02事件关联分析利用SIEM系统对海量日志进行实时分析，关联不同来源的事件，识别复杂攻击模式和安全威胁03告警与响应根据预定义规则和异常行为模型触发安全告警，安全团队评估威胁等级并采取应对措施04取证与追溯发生安全事件后，通过电子取证技术分析攻击路径，收集证据，支持事后调查和法律诉讼SIEM安全信息与事件管理系统SIEM平台整合安全信息管理（SIM）和安全事件管理（SEM）功能，提供实时监控、历史分析、合规报告等能力通过机器学习和行为分析技术，SIEM能够发现传统规则难以识别的高级威胁电子取证涉及数据保全、证据提取、时间线重建等技术，需遵循严格的法律程序确保证据的合法性和可采信性新兴网络安全技术趋势软件定义网络（SDN）安全将控制平面与数据平面分离，实现网络的集中控制和灵活编程安全挑战包括控制器成为单点故障、南向北向的安全防护、流表规则的安全SDN/API验证等云安全与多租户隔离云计算环境中，多个租户共享物理资源，需通过虚拟化隔离、加密存储、安全组配置、身份联邦管理等技术确保租户数据和应用的安全隔离云服务商责任模型明确了平台和客户各自的安全职责AI驱动的安全防御机器学习和深度学习技术被应用于恶意代码检测、异常流量识别、安全事件预测等场景可以处理海量数据，发现人类难以察觉的威胁模式，实现AI自动化和智能化的安全运营但同时也要警惕被攻击者利用生成对抗样本、自动化攻击等威胁AI网络安全法规与标准中国网络安全法国际标准与框架ISO/IEC27001数据保护明确个人信息和重要数据的收集、使用、保护要求等级保护网络运营者应按照等级保护制度履行安全保护义务信息安全管理体系（）国际标准，提供建立、实施、维护和持续改ISMS进信息安全管理体系的要求关键信息基础设施对关基设施实施重点保护数据本地化关键数据和个人信息应在境内存储NIST网络安全框架网络安全审查关键领域采购应接受安全审查美国国家标准技术研究院发布，包括识别、保护、检测、响应、恢复五大核心功能，广泛应用于关键基础设施保护GDPR通用数据保护条例欧盟数据保护法规，对个人数据处理提出严格要求，违规可处以高额罚款合规性不仅是法律要求更是提升组织安全能力的驱动力通过遵循标准框架企业可以系统化构建安全体系降低风险增强客户信任,,,,网络安全实践工具介绍Packet Tracer模拟器思科推出的网络仿真工具,支持路由器、交换机、防火墙等设备配置,可模拟各种网络拓扑和安全场景,是学习网络技术的理想平台Wireshark网络协议分析器开源抓包工具,捕获并详细分析网络流量,支持数百种协议解析,是网络故障排查、安全分析和协议学习的必备工具Nmap网络扫描工具强大的开源端口扫描和网络发现工具,可探测主机存活、开放端口、运行服务、操作系统类型等信息,广泛用于安全评估Metasploit渗透测试框架集成化的渗透测试平台,包含大量漏洞利用模块、payload生成器、后渗透工具,帮助安全研究人员评估系统安全性实验演示建议使用Packet Tracer搭建小型网络拓扑,配置基本的ACL访问控制列表,模拟简单的拒绝服务攻击场景,然后通过防火墙规则进行防御,直观理解攻防原理注意:渗透测试工具仅可用于授权的安全测试,未经许可的攻击行为是违法的典型安全事件回顾2013年Target数据泄露事件美国零售巨头遭受黑客攻击超过万信用卡信息和万客户个人数据被Target,40007000窃取攻击者通过第三方暖通空调供应商的账户入侵网络暴露了供应链安全的脆弱,性2017年Equifax征信机构泄露全球三大征信机构之一因漏洞未及时修补导致亿美国消费Equifax ApacheStruts,

1.47者的敏感信息社会安全号、出生日期、地址等泄露引发严重的身份盗窃风险,2024年针对关键基础设施的APT攻击某国家级组织对多国能源和交通基础设施发起长期渗透攻击利用零日漏洞和社会APT,工程学手段潜伏数月窃取敏感运营数据威胁国家安全此案凸显了威胁的持续,,APT性和严重性这些重大安全事件的共同教训包括及时安装安全补丁加强供应链安全管理实施纵深防御策略建立:,,,安全监控和应急响应机制定期进行安全审计和渗透测试,网络安全综合防御体系构建纵深防御策略（Defense-in-Depth）纵深防御是一种多层次、多维度的安全防护理念通过在不同层面部署多种安全措施即使某一层防护被突破其他层面仍能提供保护显著提升整体安全性,,,,安全意识培训最基础也是最重要的一层培养用户的安全意识识别钓鱼邮件、使用强密码、保护敏感信息,,身份认证与访问控制实施多因素认证基于角色的权限管理最小权限原则防止未授权访问,,,边界防护部署防火墙、入侵检测系统过滤恶意流量监控异常行为保护网络边界,,,数据保护数据加密存储和传输定期备份实施数据泄露防护保障数据机密性和可用性,,DLP,安全监控与响应小时安全运营中心实时监控快速响应安全事件持续改进防御能力7×24SOC,,,纵深防御需要技术、管理和人员三方面的紧密结合先进的安全技术是基础完善的安全策略和流程是保障全员的安全意识是关键定期的安全演练、红蓝对抗、应急响应测试能够检验防御体系:,,的有效性并不断优化纵深防御体系架构策略与流程物理安全制定安全政策定义操作流程明确角色职责机房门禁设备保护环境监控,,,,数据安全网络边界加密存储访问控制数据备份防火墙入侵检测接入,,,,VPN应用安全主机安全安全编码漏洞扫描防护操作系统加固防病毒补丁管理,,WAF,,上图展示了纵深防御体系的多层架构每一层都有特定的安全控制措施从最外层的物理安全到最核心的数据保护层层设防相互补充形成完整的安全闭,,,,环任何单一防护措施都可能失效但多层防护大大增加了攻击者的成本和难度,课程总结与未来展望计算机网络基础网络安全威胁安全技术与防护我们系统学习了网络分层模型、核心协议、数全面分析了各类攻击手段、恶意代码类型、威掌握了身份认证、加密通信、防火墙、入侵检据传输机制理解了网络通信的基本原理为安胁演变趋势认识到网络安全面临的严峻挑战测等核心安全技术学会构建多层次纵深防御,,,,全防护打下坚实基础和复杂性体系持续学习与实践的重要性网络安全是一个快速演进的领域新的威胁和技术层出不穷保持持续学习的态度关注最新安全动态参与实际项目和安全竞赛在实践中提升技能是成为优秀,,,,,网络安全专业人才的必经之路未来发展趋势零信任架构从信任但验证转向永不信任始终验证的安全模型,量子加密量子计算带来的挑战与量子密钥分发等新技术自动化与编排平台实现安全运营的自动化和智能化SOAR隐私计算联邦学习、同态加密等技术保护数据隐私区块链安全去中心化技术在身份认证、数据完整性等方面的应用谢谢聆听!欢迎提问与交流联系方式延伸学习资源如有任何疑问或需要进一步讨论欢迎课后交安全项目社区,•OWASP流网络安全培训•SANS让我们共同为构建更安全的网络空间而努力!•Coursera/edX网络安全课程夺旗竞赛平台•CTF安全技术博客与论坛•303100+课件总页数核心章节知识要点涵盖网络基础到安全防护的完系统化呈现网络架构、安全威从理论到实践的全方位安全技整知识体系胁与防护技术能培养。