安全技术基础10讲课件

安全技术基础讲课件10第一讲安全技术概述与发展趋势网络安全的定义与重要性当前安全威胁形势与挑战网络安全是指通过技术和管理手段，网络攻击日益复杂化、组织化，勒索保护网络系统的硬件、软件及数据不软件、攻击、供应链攻击等新型APT受破坏、更改或泄露在数字化时威胁层出不穷数据泄露事件频发，代，网络安全已成为国家安全、企业物联网设备安全隐患突出，对企业和发展和个人隐私保护的重要基石个人造成巨大损失安全技术发展趋势与人才需求第一讲（续）安全技术体系框架安全技术四大层次物理安全保护计算机设备、机房设施等物理资源免受自然灾害、人为破坏和非法访问系统安全涵盖操作系统、数据库等基础软件的安全加固与漏洞防护网络安全通过防火墙、入侵检测等技术保护网络通信和数据传输安全应用安全确保Web应用、移动应用等业务系统免受攻击和数据泄露保密性确保信息只能被授权人员访问，防止未经授权的信息泄露完整性保证信息在存储和传输过程中不被篡改或破坏第二讲物理安全技术基础环境安全1机房选址与建设符合国家标准GB50173-93，配备温湿度控制系统、UPS不间断电源、防雷接地装置防火、防水、防静电措施完善，确保设备运行环境稳定可靠设备安全2关键设备冗余备份，防止单点故障实施设备标识管理、定期巡检维护配置机柜锁、硬盘加密柜等物理防护设施，防止设备被盗或非法接入介质安全3移动存储介质实行严格登记管理，涉密数据使用加密盘废弃介质进行物理销U毁或消磁处理，防止数据恢复建立介质借用审批制度和使用记录典型案例某银行数据中心通过部署三重物理访问控制（生物识别门禁卡安保人员），有效++防止了内部人员非法访问核心服务器区域第三讲系统安全技术操作系统安全数据库安全漏洞防护关闭不必要的服务和端口，及时安装安全补实施细粒度的访问控制，敏感数据加密存建立漏洞管理流程，及时跟踪公告使CVE丁配置强密码策略、账户锁定机制启用储配置数据库审计功能，监控异常查询行用漏洞扫描工具定期检测系统弱点制定补审计日志记录系统关键操作，实施最小权限为定期备份并验证恢复流程，防止数据丢丁管理策略，在测试环境验证后部署到生产原则失环境用户权限分离与访问控制注入防护与参数化查询定期漏洞扫描与评估••SQL•系统日志监控与审计数据库用户权限最小化补丁测试与快速部署•••安全基线配置与加固敏感数据脱敏与加密虚拟补丁技术应用•••第四讲网络安全基础与防火墙技术TCP/IP协议安全隐患TCP/IP协议设计之初未充分考虑安全性，存在多种固有缺陷IP欺骗攻击者伪造源IP地址发起攻击会话劫持截获并控制已建立的TCP连接拒绝服务利用协议缺陷耗尽系统资源中间人攻击窃听或篡改通信内容这些安全隐患使得网络防护技术成为必需防火墙的定义与作用防火墙是部署在内部网络与外部网络之间的安全防护系统，通过检查、限制和修改跨越防火墙的数据流，实现访问控制和安全审计它是网络安全的第一道防线，可以

1.阻止未经授权的访问第四讲（续）防火墙配置与策略包过滤技术代理技术状态监视基于地址、端口、协议等信息过滤数据包，应用层代理服务，可深度检测协议内容，但性跟踪连接状态信息，结合包过滤优势，是当前IP速度快但功能有限能开销较大主流技术防火墙安全策略设计原则策略配置要点性能指标与管理默认拒绝除明确允许外，拒绝所有流量吞吐量处理数据包的速率（）•Gbps最小权限仅开放业务必需的端口和服务并发连接数同时维护的会话数量•分层防护内外网、区域分离控制新建连接速率每秒建立新连接数DMZ•定期审查清理过时规则，优化策略时延数据包通过防火墙的延迟•实操提示防火墙通过命令行或界面配置安全域、访问控制列表（）和策略，建议先在测试环境验证规则后再部署到生产环境H3C WebACL NAT第五讲认证与授权技术0102口令认证智能卡与令牌静态口令是最常见的认证方式，但易受暴力破解和钓鱼攻击威胁动态口令（如智能卡内置加密芯片存储密钥，需配合码使用令牌（如）提PIN USBYubiKey短信验证码、令牌）每次使用生成新密码，安全性显著提升，有效防御重放供硬件级安全保护，广泛应用于企业和网银系统，实现双因素认证OTP VPN攻击0304生物特征认证数字证书与PKI基于指纹、人脸、虹膜等生物特征识别身份，具有唯一性和不可复制性指纹识公钥基础设施（）通过数字证书绑定身份与公钥，提供身份认证、数据加密PKI别成本低应用广，人脸识别便捷性高，虹膜识别精度最高但成本较高和数字签名服务证书颁发机构负责证书签发、撤销和管理，构建信任体CA系第六讲数据加密技术对称加密算法加密和解密使用相同密钥，速度快效率高，适合大量数据加密AES（高级加密标准）是当前主流算法，支持128/192/256位密钥长度DES/3DES已逐步淘汰，安全强度不足对称加密的挑战在于密钥分发和管理非对称加密算法使用公钥加密、私钥解密（或反之），解决了密钥分发难题RSA算法基于大数分解难题，广泛用于数字签名和密钥交换ECC（椭圆曲线加密）提供相同安全强度下更短的密钥长度，适合移动设备非对称加密速度较慢，通常与对称加密混合使用数字签名技术实际应用场景发送方用私钥对消息摘要签名，接收方用公钥验证，确保消息完整性和发送者身份真实性数字签名具有不可否认性，签名者无法否认已签署HTTPS SSL/TLS协议保护Web通信的内容电子邮件S/MIME、PGP加密邮件内容VPN IPSec隧道加密传输数据磁盘加密BitLocker、FileVault保护存储数据区块链数字签名验证交易合法性第七讲入侵检测与恶意代码防护入侵检测系统（IDS）恶意代码类型与特点IDS通过监控网络流量或系统日志，识别可疑活动和攻击行为1分类方式计算机病毒基于网络的IDS（NIDS）监控网络流量，部署在关键网段具有自我复制能力，通过感染文件传播，可破坏系统或窃取数据基于主机的IDS（HIDS）监控单个主机系统日志和文件变化签名检测匹配已知攻击特征，误报率低但无法检测未知攻击异常检测建立正常行为基线，偏离即告警，可发现零日攻击2木马程序伪装成正常软件，秘密开启后门，允许攻击者远程控制计算机3蠕虫病毒通过网络自动传播，无需宿主文件，可快速感染大量主机病毒防护技术多层防护策略安装防病毒软件并定期更新病毒库；启用实时监控和邮件扫描；禁用宏自动执行；定期备份重要数据；隔离感染主机，使用专杀工具清除病毒；必要时重装系统恢复干净环境第八讲网络攻击与防御技术分布式拒绝服务（DDoS）钓鱼攻击攻击者控制大量僵尸主机向目标发送海量请求，耗尽带宽或服务器资源，导致合法用户无法访问防御措施伪造可信实体的邮件或网站，诱骗用户输入敏感信息防范关键在于用户安全意识培训、启用邮件认证包括流量清洗、CDN分流、弹性扩容等（SPF/DKIM/DMARC）、部署反钓鱼网关ARP欺骗暴力破解攻击者发送伪造ARP报文，篡改局域网内主机的ARP缓存表，实现中间人攻击可通过静态ARP绑定、ARP使用字典或穷举方式尝试密码组合防御策略包括强密码策略、账户锁定机制、验证码保护、多因素认证防火墙、网络隔离等技术防范等，限制尝试次数和频率VPN技术与深度包检测虚拟专用网络（VPN）在公网上建立加密隧道，实现安全远程访问GRE VPN通用路由封装，支持多协议但不加密IPSec VPNIP层加密，安全性高，适合站点间互联SSL VPN基于Web浏览器，部署便捷，适合远程办公深度包检测（DPI）技术分析应用层协议内容，识别应用类型、检测恶意载荷、实施精细化流量管控，广泛应用于运营商网络和企业边界防护第九讲应用安全技术SQL注入跨站脚本（XSS）攻击者在输入中插入恶意SQL代码，绕过验注入恶意脚本到网页，窃取用户会话证获取或篡改数据库数据防护方法使Cookie或执行未授权操作防护关键输用参数化查询、框架、输入验证、最出编码、策略、、输ORM CSPHttpOnly Cookie小权限原则入过滤跨站请求伪造（CSRF）诱使用户在已登录状态下执行非预期操作防护措施令牌验证、检查头、CSRF Referer属性SameSite Cookie应用控制网关技术安全开发生命周期（SDL）应用控制网关（Web ApplicationFirewall,将安全融入软件开发全流程）部署在应用前端，通过规则引擎和机WAF Web需求阶段安全需求分析与威胁建模

1.器学习识别并阻断攻击流量设计阶段安全架构设计与风险评估

2.主要功能包括注入防护、过滤、恶意SQL XSS编码阶段安全编码规范与代码审查

3.爬虫拦截、安全、防数据泄露等API测试阶段安全测试与渗透测试

4.发布阶段安全配置与补丁管理

5.第十讲安全管理与法规信息安全管理体系1ISO27001是国际公认的信息安全管理标准，采用PDCA循环模型（计划-执行-检查-改进）建立管理体系需要识别资产、评估风险、实施控制措施、持续改进认证可提升组织公信力和竞争力安全审计与日志管理2全面记录系统和网络活动，为事件调查提供证据日志管理要求集中收集、实时监控、长期归档、防篡改保护审计内容包括用户登录、权限变更、数据访问、配置修改等关键操作法律法规与等级保护3《网络安全法》《数据安全法》《个人信息保护法》构成法律基础等级保护

2.0将信息系统划分为五级，要求定级备案、安全建设、等级测评、监督检查违规可面临罚款、停业甚至刑事责任应急响应与预案4建立应急响应团队和流程准备阶段（制定预案、演练培训）、检测阶段（监控告警）、抑制阶段（隔离感染系统）、根除阶段（清除威胁）、恢复阶段（业务恢复）、总结阶段（复盘改进）章节总结与知识点回顾物理安全系统安全环境、设备、介质三大要素操作系统与数据库加固安全管理网络安全体系建设与法规遵从防火墙、IDS/IPS防护认证加密应用安全身份认证与数据加密技术Web漏洞防护与SDL关键技术点总结防护技术常见考点与实操建议•防火墙三大技术包过滤、代理、状态监视•CIA三要素保密性、完整性、可用性•加密算法AES对称加密、RSA非对称加密•攻击类型DDoS、SQL注入、XSS、CSRF•认证方式口令、智能卡、生物特征、PKI•实操重点防火墙策略配置、漏洞扫描、日志分析实验与案例分析（）1Kali Linux渗透测试环境搭建Kali Linux是专为安全测试设计的Debian衍生系统，预装600+渗透工具安装方式包括物理机安装、虚拟机（VMware/VirtualBox）、云平台部署010203环境准备系统更新Nmap信息收集下载Kali官方ISO镜像，创建虚拟机（建议2核CPU、4GB内存、执行apt updateapt upgrade更新系统和工具库，配置国内镜使用nmap-sV-O

192.

168.

1.0/24扫描目标网段，识别存活主40GB磁盘），完成系统安装和网络配置像源加速下载机、开放端口、运行服务和操作系统版本Nessus漏洞扫描实操Nessus是业界领先的漏洞扫描器，步骤如下

1.安装Nessus并激活许可证

2.创建扫描策略，选择Basic NetworkScan模板

3.配置目标IP范围和扫描参数

4.启动扫描任务并等待完成

5.分析漏洞报告，按严重程度排序

6.针对高危漏洞制定修复计划实验与案例分析（）2防火墙策略配置实操（H3C设备）基于H3C SecPath防火墙配置基本安全策略，实现内外网隔离和访问控制创建ACL规则安全域划分定义访问控制列表，允许内网访问互联网HTTP/HTTPS，拒绝外网主动连接内网配置Trust（内网）、Untrust（外网）、DMZ三个安全域，设置不同的安全级别测试验证配置NAT从内网访问外网测试连通性，从外网尝试访问内网验证阻断效果，检查日志记录设置源NAT使内网主机共享公网IP，目的NAT将公网请求转发到DMZ区服务器VPN配置与连接测试入侵检测系统部署配置IPSec VPN实现远程安全接入部署Snort开源IDS监控网络流量•定义IKE安全提议和策略•安装Snort并配置网络接口•配置IPSec安全联盟参数•下载并更新规则库•创建VPN隧道接口•配置规则集，启用社区规则•配置路由引导流量进入隧道•运行Snort在检测模式•客户端安装证书并建立连接•生成模拟攻击流量（如Nmap扫描）•Ping测试验证隧道连通性•查看告警日志分析检测结果实验与案例分析（）3恶意代码样本分析数据加密与数字签名在沙箱环境中运行可疑文件，使用Process Monitor监控系统调用、注册表修改和文件操作IDA Pro反汇编分使用OpenSSL生成RSA密钥对，对文件进行加密和解密操作创建数字签名验证文件完整性，演示中间人攻析程序逻辑，识别恶意行为特征击下签名验证失败的场景123Web漏洞渗透测试搭建DVWA靶场环境，使用Burp Suite拦截HTTP请求实践SQL注入获取数据库内容，测试XSS弹窗攻击，尝试上传Webshell获取服务器权限实验操作要点安全实验环境工具推荐•使用隔离的虚拟网络，避免影响生产环境Wireshark抓包分析网络流量•及时快照保存实验状态，便于恢复Metasploit漏洞利用框架•遵守法律法规，仅在授权环境测试Burp SuiteWeb应用测试代理•记录实验过程和结果，总结经验Hashcat密码破解工具真实案例分享重大安全事件剖析某企业数据泄露事件网络钓鱼攻击案例年某电商平台因第三方供应商管理疏漏，导致亿用户数据攻击者伪造银行官方邮件，诱骗用户点击钓鱼链接输入网银密码

20191.06泄露攻击者通过注入获取数据库访问权限，窃取姓名、手机钓鱼网站高度仿真官网，收集凭证后立即转账盗取资金SQL号、地址等敏感信息防范措施部署邮件安全网关、开展员工安全培训、启用多因素认教训第三方安全管理薄弱、数据库权限控制不严、缺乏数据脱敏证、监控异常交易行为保护、应急响应滞后防火墙失效导致的安全事故某企业因防火墙规则配置错误，意外开放了远程桌面服务（）到公网攻击者通过暴力破解弱口令登录服务器，部署勒索软件加密关键业务数据，RDP要求支付比特币赎金事故原因分析防火墙策略审查不严格、使用默认弱密码、缺乏登录失败监控、未定期备份数据整改措施实施防火墙变更审批流程、强制强密码策略、部署入侵检测系统、建立备份策略（份副本、种介质、份离线）3-2-1321安全技术人才培养与职业发展安全分析师渗透测试工程师安全架构师安全合规专员监控安全事件、分析威胁情报、处置安全告警模拟黑客攻击发现系统漏洞，编写渗透测试报设计企业整体安全架构，制定安全策略和标准确保组织符合法律法规和行业标准要求，组织等需要掌握日志分析、威胁检测和应急响应技能告精通各类攻击技术和安全工具使用需要全局视野和丰富的实战经验级保护测评和ISO认证认证考试与技能提升行业发展趋势CISP注册信息安全专业人员（国内权威）•零信任架构成为新一代安全模型CISSP注册信息系统安全专家（国际认可）•AI赋能安全检测和响应自动化CEH道德黑客认证（渗透测试方向）•云原生安全技术快速发展OSCP进攻性安全认证专家（实战型）•供应链安全日益受到重视CCSK云安全知识认证（云安全方向）•隐私保护和数据合规要求提升互动问答与讨论课程重点难点答疑防火墙与IDS有什么区别？防火墙是主动防御设备，根据规则阻断流量；IDS是被动监控系统，检测并告警可疑行为但不阻断实际部署中两者配合使用，防火墙在边界防护，IDS在内网监控对称加密和非对称加密如何选择？对称加密速度快适合大数据加密，但密钥分发困难；非对称加密解决密钥分发问题但速度慢实际应用中常混合使用用非对称加密传输对称密钥，用对称密钥加密数据如何判断系统是否被入侵？关键指标异常进程和网络连接、文件完整性变化、日志异常或丢失、系统性能突然下降、防病毒软件被禁用、出现未知账户或计划任务定期安全审计和日志分析是关键学员实际问题交流安全技术应用分享欢迎分享你在工作或学习中遇到的安全问题鼓励大家分享实践经验•企业网络安全架构设计困惑•成功防御攻击的案例•安全设备选型和部署建议•漏洞修复的最佳实践•等级保护测评准备经验•安全工具使用技巧•安全事件处置案例分享•团队协作和流程优化•职业发展路径规划咨询•安全意识培训方法附录常用安全工具介绍1Kali Linux工具集Wireshark抓包分析集成600+安全工具的渗透测试系统强大的网络协议分析工具Nmap网络扫描和端口探测•捕获并分析网络数据包Metasploit漏洞利用框架•支持数百种协议解析John theRipper密码破解•过滤器精确定位目标流量Aircrack-ng无线网络审计•重组TCP流查看完整对话Sqlmap自动化SQL注入检测•导出对象提取传输文件Metasploit框架世界级渗透测试平台•2000+漏洞利用模块•集成Payload生成和编码•支持后渗透攻击和权限提升•内置社会工程学工具包•可扩展的插件系统工具使用注意事项重要提示安全工具是双刃剑，必须在合法授权的环境中使用未经许可对他人系统进行渗透测试属于违法行为，可能面临刑事责任建议在自建靶场或获得书面授权后进行安全测试附录安全技术标准与规范20102国际标准国家标准信息安全管理体系要求信息安全技术网络安全等级保护基本要求ISO/IEC27001GB/T22239-2019信息安全控制实践准则信息安全技术网络安全等级保护设计技术要求ISO/IEC27002GB/T25070-2019系列美国国家标准与技术研究院安全指南信息安全技术个人信息安全规范NIST SP800GB/T35273-20200304等级保护标准行业规范等级保护

2.0扩展到云计算、移动互联、物联网、工业控制系统五级分类第一级（自主金融行业《商业银行信息科技风险管理指引》保护）、第二级（指导保护）、第三级（监督保护）、第四级（强制保护）、第五级（专电力行业《电力监控系统安全防护规定》控保护）医疗行业《医疗卫生机构信息系统安全等级保护基本要求》企业应根据自身行业特点和业务需求，建立符合法律法规和标准规范的安全管理体系，定期进行合规性审查和风险评估附录3安全技术学习资源推荐经典教材与参考书目在线课程与实验平台学习平台•《网络安全技术与实践》-系统性介绍•《Web应用安全权威指南》-Web安全必读Coursera/edX名校网络安全课程•《黑客攻防技术宝典》-渗透测试实战Udemy实战型技术培训•《密码学与网络安全》-加密技术基础Cybrary免费安全培训资源•《信息安全管理体系》-ISO27001详解SANS CyberAces免费入门教程•《安全运营中心建设指南》-SOC实践实验靶场HackTheBox CTF挑战平台TryHackMe引导式学习靶场VulnHub漏洞虚拟机下载DVWA Web漏洞练习环境视觉卡片网络安全威胁增长趋势网络安全威胁呈指数级增长300%$6T

3.5M过去5年攻击量增长2021年全球损失人才缺口网络攻击事件数量以每年网络犯罪造成的经济损失突全球网络安全专业人才缺口的速度递增破万亿美元达万60%6350数据来源表明，随着数字化转型加速，网络安全威胁的频率、复杂度和影响范围都在快速扩大勒索软件攻击年均增长超过，平均赎金从年的美元上涨至年150%202084,0002023的美元供应链攻击、零日漏洞利用等高级威胁持续增加，对企业和国家安全构成220,000严峻挑战视觉卡片防火墙工作原理示意图:防火墙守护网络安全第一道防线数据包到达外部网络流量进入防火墙接口规则匹配检查源/目的IP、端口、协议等信息策略判断根据安全策略决定允许或拒绝日志记录记录所有处理动作供审计分析转发或丢弃合法流量转发至目标，非法流量阻断现代防火墙采用状态检测技术，不仅检查单个数据包，还跟踪整个连接的状态信息这使得防火墙能够识别会话劫持、异常连接等复杂攻击下一代防火墙（NGFW）进一步集成入侵防御、应用识别、URL过滤等功能，提供更全面的安全防护能力视觉卡片认证技术对比图多重认证保障身份安全视觉卡片加密技术应用场景加密技术守护数字信息安全电子支付安全VPN远程接入邮件通信加密云存储保护协议使用或在和技术云服务提供商使用HTTPS TLSIPSec SSLVPN S/MIME PGP加密保护支付信息传公网上建立加密隧对邮件内容和附件进加密存储用AES-256输，防止中间人窃取道保护远程办公人行加密确保只有收户数据客户端加密,,信用卡号、密码等敏员访问企业内网的数件人能够解密阅读技术使得即使云平台感数据支付网关采据安全防止敏感信数字签名验证发件人被入侵攻击者也无,,用端到端加密确保交息在传输过程中被截身份防止邮件伪法读取加密后的数据,易安全获造内容视觉卡片恶意代码传播路径恶意代码无处不在，防护刻不容缓钓鱼邮件软件下载附件木马、恶意链接捆绑安装、破解软件供应链攻击移动介质软件更新被植入后门U盘自动运行病毒网页挂马网络传播漏洞利用自动下载蠕虫自动扫描感染综合防护策略技术防护管理措施•部署企业级防病毒软件并实时更新•建立软件白名单管理制度•配置防火墙和IPS阻断恶意流量•限制普通用户系统管理权限视觉卡片安全管理体系结构系统化管理，筑牢安全防线持续改进1监控与审查2运行与实施3风险评估与处置4组织与政策5ISO27001信息安全管理体系基于PDCA循环模型，强调持续改进从底层的组织架构和安全政策开始，通过风险评估识别威胁，实施相应的控制措施，并持续监控评估效果114143控制措施控制域年审核周期ISO27001包含的安全控制项涵盖人员、物理、技术等方面认证有效期及复审频率结束语筑牢安全防线，共创数字未来安全技术是数字时代的基石在万物互联的时代，网络安全已经渗透到社会运行的方方面面从国家关键基础设施到企业业务系统，从个人隐私保护到数据资产安全，安全技术的重要性日益凸显我们每个人都是网络安全的参与者和守护者持续学习是关键实践出真知安全技术日新月异，新的威胁和防护技术不断涌现保持学理论知识需要通过实战检验在合法合规的前提下，积极参习热情，跟踪技术前沿，通过实践不断提升能力参与CTF与渗透测试、应急响应、安全加固等实践活动每一次实战竞赛、搭建实验环境、阅读安全研究报告都是有效的学习方都是宝贵的经验积累，帮助你从纸上谈兵到真正的安全专式家成为安全守护者网络安全人才是国家战略资源期待大家将所学知识应用到实际工作中，为组织的信息安全建设贡献力量无论是防御还是检测，每个岗位都在守护着数字世界的安全网络安全和信息化是一体之两翼、驱动之双轮让我们携手共进，以专业的技术和坚定的信念，筑牢网络安全防线，共同创造安全、可信、繁荣的数字未来！。