南邮网络信息安全课件

南京邮电大学网络信息安全课件第一章网络安全基础概念网络安全定义与重要性网络安全是一门综合性学科旨在保障硬件、软件及数据免受破坏、泄露和篡改它不仅,维护系统的连续可靠运行确保网络服务不中断更是国家安全与社会稳定的重要基石,,在数字化时代网络安全已经渗透到经济、政治、军事、文化等各个领域从个人隐私保,护到企业商业机密从关键基础设施到国家战略资源网络安全无处不在一次成功的网络,,攻击可能导致数百万美元的经济损失甚至威胁国家安全,网络安全的核心特征保密性完整性确保信息只能被授权用户访问防止敏感数据泄露给未经授权的个人或保证数据在存储和传输过程中未被非法修改、删除或伪造通过哈希,组织通过加密技术、访问控制等手段实现信息保护算法、数字签名等技术验证数据的真实性和完整性可用性可控性确保授权用户能够随时访问所需的信息资源和服务防止拒绝服务攻击建立灾难恢复机制保障系统持续运行,,网络安全主要威胁非授权访问信息泄露拒绝服务攻击黑客利用系统漏洞或弱密码等手段入侵系敏感数据被窃取或非法获取包括个人隐通过发送大量恶意请求消耗目标系统资源,,统获取未经授权的访问权限这类攻击可私、商业机密、国家机密等信息泄露不使其无法响应正常用户请求分布式拒绝,能导致敏感数据泄露、系统被控制甚至成仅造成直接经济损失还可能引发连锁反应服务攻击利用僵尸网络发动攻击威,,,DDoS,为进一步攻击的跳板损害组织声誉和公众信任力更加巨大可瘫痪整个网络服务,模型各层安全措施OSI网络安全防护需要在参考模型的各个层次实施相应的安全措施形成纵深防御体系每一层都有其特定的安全威胁和防护技术OSI,链路层物理层实施链路加密技术保护数据在物理链路上的传输安全采用地址,MAC采用物理隔离、机房访问控制、设备防护等措施,防止物理接触和电磁过滤、VLAN隔离等技术防止链路层攻击泄露确保硬件设施的安全可靠,传输层网络层采用等协议实现端到端加密保障通信安全配置安全的传输SSL/TLS,部署防火墙设备,实施路由安全策略,使用IPSec等协议保护IP数据包参数,防止会话劫持和中间人攻击防范欺骗、路由劫持等网络层攻击IP第二章网络攻击技术详解深入剖析常见网络攻击的原理、手段与特征知己知彼方能百战不殆理解攻击技术是构,建有效防御体系的前提常见网络攻击类型IP欺骗与路由攻击缓冲区溢出与木马植入攻击者伪造源地址绕过访问控制或发动中间人攻击路由劫持利用程序缓冲区溢出漏洞执行恶意代码获取系统控制权木马程IP,,则通过篡改路由信息将流量引导至恶意节点窃取或篡改数据序伪装成正常软件在后台执行窃取信息、远程控制等恶意行为,,,漏洞扫描与远程代码执行分布式拒绝服务攻击使用自动化工具扫描系统漏洞发现安全弱点成功利用漏洞可实利用僵尸网络从多个源头同时发动攻击产生海量流量淹没目标服,,现远程代码执行完全控制目标系统造成严重安全威胁务器这类攻击难以防御可造成长时间的服务中断,,,欺骗攻击案例分析ARP攻击原理欺骗利用协议的无认证特性攻击者向局域网广播伪造的响应包将网关或其他主ARP ARP,ARP,机的地址映射到攻击者的机器上从而截获局域网内的通信流量MAC,典型事件年某企业内部网络遭遇欺骗攻击导致数百台终端无法正常访问网络攻击者截获了大2023ARP,,量内部通信数据包括未加密的账号密码和业务数据造成重大安全事故,,防御措施部署动态检测技术•ARP DAI使用防护工具实时监控•ARP配置静态绑定•ARP网络分段隔离敏感区域•加密敏感通信流量•网络钓鱼与社会工程学攻击网络钓鱼是最常见且成功率较高的攻击方式之一攻击者利用人性弱点通过伪造可信实体的身份诱骗受,,,害者泄露账号密码、个人信息或点击恶意链接12024年3月某高校收到大量伪装成教务处的钓鱼邮件诱导学生点击链接查看成绩实则窃取统一身,,份认证账号2攻击过程攻击者精心设计邮件内容使用与官方相似的发件地址和页面设计降低受害者警惕性,,3造成影响超过名学生账号被盗部分学生个人信息泄露教务系统面临安全威胁200,,4应对措施学校紧急开展安全意识培训部署多因素认证系统加强邮件安全过滤机制,,防范建议提高安全意识谨慎点击链接验证发件人身份启用多因素认证定期修改密码企业:,,,,和组织应定期开展安全培训建立钓鱼邮件报告机制,第三章网络防御技术与工具构建多层次、立体化的网络安全防御体系运用先进技术手段抵御各类安全威胁保障网,,络系统的安全稳定运行防火墙技术防火墙是网络安全的第一道防线通过制定安全策略控制进出网络的流量隔离内外网络防止未经授权的访问和攻击,,,包过滤防火墙基于地址、端口号、协议类型等包头信息进行过滤速度快但功能有限无法识别应用IP,,层攻击适用于简单的访问控制需求,状态检测防火墙维护连接状态表跟踪会话信息能够识别合法的连接请求防止伪造的数据包通过提供更,,,,高级别的安全保护应用层防火墙深度检测应用层数据内容识别具体的应用协议和服务可以防御注入、等应用,,SQL XSS层攻击但性能开销较大,下一代防火墙NGFW集成、应用识别、用户识别、威胁情报等多种功能提供全面的安全防护支持IPS,SSL解密检测可识别加密流量中的威胁,入侵检测与防御系统IDS/IPS核心功能系统通过实时监控网络流量和系统活动识别异常行为和已知攻击特征及IDS/IPS,,时发现安全威胁并采取响应措施检测技术签名检测匹配已知攻击特征库快速识别常见攻击:,异常检测建立正常行为基线识别偏离基线的异常活动:,行为分析分析用户和实体行为发现潜在的内部威胁:,威胁情报集成全球威胁情报提前预警新型攻击:,在基础上增加了主动防御能力可以自动阻断攻击流量重置恶意连接实现实时的攻击防护但需要谨慎配置避免误报导致业务中断IPS IDS,,,,数据加密技术基础对称加密非对称加密混合加密使用相同密钥进行加密和解密速度快适合大使用公钥加密、私钥解密解决密钥分发问结合对称和非对称加密优势如协,,,,SSL/TLS量数据加密代表算法、、题代表算法、计算复杂度高通议用非对称加密传输会话密钥用对称加密:AES DES3DES:RSA ECC,,挑战在于密钥分发和管理常用于密钥交换和数字签名传输数据兼顾安全性和效率,SSL/TLS协议保障传输安全是互联网上应用最广泛的安全协议为、、等应用层协议提供加密传输通道通过握手过程完成身份认证、密钥协商和加密算SSL/TLS,HTTP SMTPFTP法选择确保数据在传输过程中的机密性和完整性就是的实现,HTTPS HTTPover SSL/TLS数字签名与身份认证数字签名使用私钥对数据摘要进行加密接收方用公钥验证确保数据来源可信且未被篡改结合数字证书和体系可实现可靠的身份认证广泛应用于,,PKI,,电子商务、电子政务等领域用户身份认证技术密码认证最传统的认证方式通过验证用户知道的秘密信息需要制定强密码策略定期更换密码防止暴力破,,,解和字典攻击推荐使用密码管理器生成和存储复杂密码多因素认证MFA结合两种或以上认证因素如密码短信验证码、密码硬件令牌、密码生物识别大幅提高账户安,+++全性即使密码泄露也难以被攻破,生物识别技术利用指纹、人脸、虹膜、声纹等生物特征进行身份认证具有唯一性、稳定性和便捷性优势但存,在隐私保护和特征模板安全问题需要加密存储生物特征数据,认证协议示例Kerberos协议OAuth协议基于票据的集中式认证协议广泛应用于企业域环境开放授权标准允许第三方应用获得用户授权访问特定,,通过密钥分发中心实现单点登录用户一次认证资源而无需获取用户密码广泛应用于社交登录、KDC,,即可访问多个服务提高用户体验和安全性授权等场景平衡了安全性和便利性,API,网络访问控制与权限管理访问控制是网络安全的核心机制,通过制定和实施访问策略,确保只有授权用户能够访问相应的资源,防止未经授权的访问和越权操作自主访问控制DAC强制访问控制MAC资源所有者决定谁可以访问资源灵活但安全性较低,适用于系统强制执行访问策略,用户无法自主修改安全性高,适用于小型组织军事和政府机构基于属性的访问控制ABAC基于角色的访问控制RBAC根据用户、资源和环境属性动态决策支持细粒度控制,适用根据用户角色分配权限,简化管理平衡安全性和灵活性,适用于复杂场景于企业环境最小权限原则:用户只应获得完成工作所需的最小权限,定期审查和回收不必要的权限结合职责分离原则,关键操作需要多人协同,防止内部威胁和误操作企业内网访问控制实践某大型企业实施基于角色的访问控制,将员工划分为研发、销售、财务、管理等角色,每个角色对应不同的系统访问权限新员工入职时根据岗位自动分配角色,离职时自动回收所有权限通过集中的权限管理平台,实现权限申请、审批、审计全流程管理,大幅降低了权限管理成本和安全风险第四章实战工具与案例分享理论联系实际通过实战工具的使用和典型案例的分析提升网络安全的实践能力和问题,,解决能力网络数据包捕获与分析WinPcap与Scapy工具介绍WinPcap是Windows平台上的数据包捕获库,为Wireshark等网络分析工具提供底层支持Scapy是基于Python的强大数据包操作库,支持数据包的构造、发送、捕获和分析主要功能实时捕获:捕获网络接口上的所有数据包协议解析:自动识别和解析各层协议过滤功能:使用BPF语法精确过滤目标流量统计分析:生成流量统计报表和可视化图表数据包重放:重现网络通信过程用于测试案例:基于Python的网络监听程序设计from scapy.all import*def packet_handlerpkt:if pkt.haslayerTCP:src_ip=pkt[IP].srcdst_ip=pkt[IP].dstsrc_port=pkt[TCP].sportdst_port=pkt[TCP].dportprintf{src_ip}:{src_port}-{dst_ip}:{dst_port}#捕获TCP数据包snifffilter=tcp,prn=packet_handler,count=10这个简单的程序演示了如何使用Scapy捕获和分析TCP流量,可以扩展为更复杂的网络监控工具,实现协议分析、异常检测等功能网络扫描与漏洞检测工具0102主机发现端口扫描使用的主机发现功能快速识别网络中的活跃主机支持、、等多扫描目标主机开放的端口识别运行的服务支持扫描、全连接扫描、Nmap,ICMP TCPUDP,Nmap SYN种扫描技术扫描等多种方式UDP0304服务识别漏洞扫描通过版本探测功能识别服务的具体版本为漏洞评估提供依据可以识别服务使用等专业漏洞扫描器根据漏洞库检测系统中的已知漏洞生成详细的漏洞,Web Nessus,,器、数据库、等服务版本报告和修复建议SSH0506漏洞修复验证复测根据扫描报告制定修复计划优先修复高危漏洞安装补丁、修改配置、升级软件加修复完成后再次扫描验证漏洞是否已修复形成完整的漏洞管理闭环持续提升系统安,,,,固系统安全全性注意事项网络扫描和漏洞检测只能在授权范围内进行未经授权的扫描行为可能违反法律法规扫描可能对目标系统造成压力应选择合适的时间窗口和扫描强:,,度欺骗检测与防护工具ARPARPWatch XArp自动防御机制经典的监控工具记录网络中所有活动商业级防护软件提供主动防御功能实时监现代网络设备普遍支持动态检测和源ARP,ARP,ARP,ARP DAIIP检测地址映射变化当发现异常变化时控流量自动识别和阻止欺骗攻击保护防护功能可以在交换机层面验证包的IP-MAC,ARP,ARP,IPSG,ARP通过日志和邮件及时告警帮助管理员快速发现主机免受中间人攻击威胁支持和合法性自动丢弃伪造的包实现网络级防,Windows,ARP,欺骗攻击平台护ARP Linux校园网ARP攻击防护案例某高校校园网曾长期受欺骗攻击困扰导致频繁的网络故障通过部署全网防护体系包括在核心交换机启用、在接入层配置ARP,ARP,DAI DHCP、在服务器部署监控、为终端用户提供防护软件成功遏制了攻击经过三个月运行攻击事件减少网络稳定性显Snooping ARPWatchARP,ARP,ARP95%,著提升用户满意度大幅提高,网络安全攻防演练平台奇安信云平台实践课程奇安信网络安全云平台为高校提供了完善的网络安全实训环境涵盖安全、系统安,Web全、密码学、逆向工程等多个领域的实验项目平台特点真实的攻防环境和漏洞靶场•丰富的竞赛题库•CTF自动化的实验评分系统•详细的学习路径和教学资源•虚拟仿真环境中的攻防对抗平台提供虚拟化的网络环境学生可以在隔离的沙箱中进行渗透测试、漏洞利用、应急响应等实战演练无需担心对真实系统造成破坏通过红蓝对抗演练学生分别扮演攻击方和,,,防守方在对抗中提升攻防技能,学生实战能力提升实例南京邮电大学信息安全专业学生通过该平台进行系统化训练在全国大学生信息安全竞赛中取得优异成绩许多学生通过平台学习获得了、等专业认证毕业后在网络安,,CISP CEH,全企业担任安全工程师、渗透测试工程师等职位为国家网络安全事业贡献力量,第五章网络安全前沿与发展趋势探索网络安全领域的前沿技术和发展趋势把握未来方向为应对日益复杂的安全挑战做好准备,,高级持续性威胁解析APT是国家级或有组织的黑客团体发动的长期、持续、针对性强的网络攻击目标通常是窃取敏感信息或破坏关键基础设施APT,侦察阶段初始入侵长期收集目标信息包括组织架构、技术架构、人员信息等寻找攻击切入点通过钓鱼邮件、水坑攻击、供应链攻击等方式获得初始立足点植入后门,,,横向移动数据窃取在内网中横向扩散提升权限寻找高价值目标建立多个控制点定位和窃取目标数据使用加密隧道隐蔽传输长期潜伏避免被发现,,,,,典型APT事件回顾震网病毒年针对伊朗核设施的攻击破坏了离心机运行Stuxnet:2010APT,组织针对多国政府和企业的长期间谍活动窃取大量商业机密APT1:,海莲花针对东南亚地区的组织擅长社会工程学攻击OceanLotus:APT,防御策略与应急响应防御需要多层次、全方位的安全体系部署高级威胁检测系统实施零信任架构加强内网监控和日志分析建立威胁情报共享机制制定详细的应急响应预案定期演练确保能够快速发现、APT,,,,,遏制和清除威胁重视人员安全意识培训因为钓鱼攻击是最常用的初始入侵手段APT,APT云安全与虚拟化安全云计算安全挑战容器与虚拟机安全数据隐私数据存储在云端失去物理控制镜像安全扫描容器镜像漏洞使用可信镜像源:,:,多租户隔离不同用户共享资源存在数据泄露风险运行时防护监控容器运行时行为检测异常:,:,网络隔离实施微分段限制容器间通信:,访问控制云环境复杂权限管理难度增加:,虚拟化逃逸防止突破虚拟机边界攻击宿主机:合规性需要满足数据本地化等法规要求:配置管理自动化安全配置减少人为错误:,供应商风险依赖云服务提供商的安全能力:云安全最佳实践实施身份与访问管理IAM采用最小权限原则使用多因素认证定期审查权限实施细粒度的访问控制策略监控异常登录行为,,,数据加密与密钥管理对静态数据和传输中的数据进行加密使用专业的密钥管理服务定期轮换密钥确保密钥安全存KMS,,储持续监控与日志审计部署云安全态势管理工具实时监控云资源配置和活动集中管理日志使用系统进行安全分CSPM,,SIEM析人工智能在网络安全中的应用AI辅助威胁检测与响应人工智能技术正在revolutionize网络安全领域机器学习算法可以从海量安全数据中学习正常和异常模式,识别未知威胁和零日攻击深度学习用于恶意代码检测、钓鱼网站识别、异常流量分析等场景,大幅提升检测准确率和响应速度区块链技术与网络安全不可篡改性去中心化架构通过密码学哈希链接区块,一旦数据写入区块链就无法篡改,确保数据完区块链的分布式特性消除单点故障,提高系统可用性和抗攻击能力整性密码学保障透明性与可追溯使用数字签名、哈希函数等密码学技术保障交易安全和用户身份验证所有交易记录公开透明,可以追溯历史,增强问责制和信任应用场景:身份认证与数据防篡改去中心化身份DID数据完整性保障基于区块链的数字身份系统,用户完全控制自己的身份信息,无需依赖中心化认证机构可用于安全的单点登录、将关键数据的哈希值存储在区块链上,可以验证数据是否被篡改应用于电子证照、学历认证、供应链溯源、审计跨境身份验证等场景,解决传统身份系统的隐私和安全问题日志等领域,提供不可否认的证据挑战与发展方向区块链技术仍面临性能瓶颈、隐私保护、监管合规等挑战公链的低吞吐量难以满足大规模应用需求,联盟链和私链成为企业级应用的主流选择智能合约漏洞导致的安全事件频发,需要加强代码审计和形式化验证未来发展方向包括跨链互操作、隐私计算技术集成、与IoT和AI的融合应用等网络安全法律法规与伦理网络安全不仅是技术问题也涉及法律、伦理和社会责任了解相关法律法规遵守职业道德规范是每个网络安全从业者的基本要求,,,《中华人民共和国网络安全法》《数据安全法》与《个人信息保护法》年月日实施是我国网络安全领域的基础性法律明确了网络运营构建数据安全和个人信息保护的法律框架规定数据分类分级保护、重要201761,者的安全保护义务、关键信息基础设施保护、个人信息保护等内容数据出境安全评估、个人信息处理规则等对企业合规提出更高要求,《关键信息基础设施安全保护条例》工程伦理与职业规范加强对能源、交通、通信、金融等关键基础设施的安全保护要求实施网网络安全从业者应遵守职业道德不得利用技术从事非法活动尊重用户隐,络安全等级保护和检测评估建立应急预案私负责任地披露漏洞在攻防对抗中坚守道德底线,,,案例:网络安全事件中的法律责任年某知名互联网公司因未履行网络安全保护义务导致大规模用户数据泄露被监管部门处以巨额罚款相关负责人被追究刑事责任该案例警示企业2023,,,必须高度重视网络安全建立完善的安全管理制度落实安全技术措施定期开展安全评估和应急演练个人从业者也应认识到非授权的渗透测试、贩卖漏,,,,洞、传播病毒等行为均属违法可能面临严重的法律后果,课程总结与学习建议网络安全知识体系回顾本课程系统讲解了网络安全的基础概念、攻击技术、防御手段、实战工具和前沿趋势,构建了完整的网络安全知识框架从OSI模型各层的安全机制,到防火墙、IDS/IPS等防御技术,从加密算法到身份认证,从网络扫描到APT攻击分析,涵盖了网络安全的核心内容理论基础掌握网络安全基本概念、原理和技术标准攻防技术了解常见攻击手段和防御措施工具实践熟练使用各类安全工具进行测试和防护前沿技术跟踪AI、区块链等新技术在安全领域的应用法律伦理遵守法律法规和职业道德规范理论与实践结合的重要性网络安全是实践性极强的学科,仅仅掌握理论知识是远远不够的要积极参与实验、演练和竞赛,在实战中检验和提升技能搭建个人实验环境,尝试复现经典漏洞和攻击,分析真实的安全事件,将理论知识转化为实践能力持续学习与技能提升路径关注安全资讯:订阅安全博客、论坛,了解最新漏洞和攻击技术参加CTF竞赛:通过夺旗赛锻炼实战技能,拓展知识面考取专业认证:CISP、CISSP、CEH等认证提升职业竞争力开源贡献:参与安全工具开发,分享研究成果,回馈社区深耕专业方向:选择渗透测试、安全研发、应急响应等方向深入研究致谢与互动环节感谢与展望衷心感谢南京邮电大学信息安全专业团队的精心准备和悉心指导,感谢各位同学的积极参与和认真学习网络安全是永无止境的征程,技术在不断演进,威胁在持续升级希望大家能够将所学知识应用于实践,为构建安全、可信的网络空间贡献力量让我们携手并进,共同守护网络安全的未来!联系方式提问交流持续关注欢迎通过邮件与我们交流网络安全问题和学习心得现在开放提问环节,欢迎大家提出疑问和分享见解关注我们的公众号和课程平台,获取更多安全资讯和学习资源网络安全为人民,网络安全靠人民让我们共同努力,构建安全清朗的网络空间!。