計算機網(wǎng)絡安全技術培訓課程教材第一章網(wǎng)絡安全基礎與威脅分析1.1網(wǎng)絡安全的定義與目標網(wǎng)絡安全通過技術、管理、法律等手段，防范網(wǎng)絡攻擊、侵入、干擾、破壞及非法使用，保障網(wǎng)絡穩(wěn)定運行與數(shù)據(jù)的保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）（CIA三元組）。拓展目標包括不可否認性（操作可追溯）、可審計性（行為可記錄）、可控性（訪問可管控）。1.2網(wǎng)絡安全威脅類型（1）攻擊方式分類主動攻擊：篡改數(shù)據(jù)（如注入惡意代碼）、拒絕服務（DDoS耗盡資源）、偽造身份（仿冒合法用戶）。被動攻擊：竊聽通信（如嗅探未加密流量）、流量分析（通過數(shù)據(jù)包特征推斷敏感信息）。（2）攻擊載體與場景惡意軟件：病毒（需宿主文件）、蠕蟲（自主傳播）、木馬（偽裝竊取數(shù)據(jù)）、勒索軟件（加密數(shù)據(jù)勒索贖金，如“永恒之藍”衍生的勒索病毒）。社會工程學：釣魚（偽造郵件/網(wǎng)站誘騙信息）、pretexting（編造借口獲取信任，如冒充IT人員索要密碼）。Web應用攻擊：SQL注入（通過輸入篡改數(shù)據(jù)庫查詢）、XSS（跨站腳本竊取Cookie）、CSRF（偽造用戶請求執(zhí)行操作）。（3）典型案例某醫(yī)院因未及時更新系統(tǒng)補丁，遭受勒索軟件攻擊，導致掛號、診療系統(tǒng)癱瘓，醫(yī)療數(shù)據(jù)加密。某電商平臺因代碼存在SQL注入漏洞，被攻擊者獲取百萬條用戶賬號、密碼信息。1.3網(wǎng)絡安全模型與體系（1）經(jīng)典安全模型PDRR模型：防護（如防火墻阻斷攻擊）、檢測（IDS發(fā)現(xiàn)異常）、響應（隔離受感染主機）、恢復（備份數(shù)據(jù)還原系統(tǒng)）。PPDR模型：策略（基于風險制定安全規(guī)則）、防護、檢測、響應，強調“策略驅動”的動態(tài)防御。（2）體系架構實踐OSI七層模型防護：物理層（門禁、防雷）、網(wǎng)絡層（路由訪問控制）、應用層（Web應用防火墻）。TCP/IP四層防御：網(wǎng)絡接口層（設備固件安全）、網(wǎng)絡層（IPsec加密）、傳輸層（TLS加密通信）、應用層（業(yè)務邏輯安全審計）。第二章網(wǎng)絡安全核心技術體系2.1密碼學基礎與應用（1）對稱加密技術原理：使用同一密鑰完成加密/解密，代表算法：AES（分組加密，128/256位密鑰，速度快）、DES（已淘汰，教學用）。場景：VPN數(shù)據(jù)加密、本地文件加密（如BitLocker）。優(yōu)缺點：加密速度快，適合大數(shù)據(jù)量；但密鑰分發(fā)需安全通道（如面對面?zhèn)鬟f）。（2）非對稱加密技術原理：公鑰（公開）加密、私鑰（保密）解密（或反之），代表算法：RSA（基于大數(shù)分解，密鑰長度2048位+）、ECC（橢圓曲線，密鑰更短更安全）。場景：數(shù)字簽名（驗證身份+數(shù)據(jù)完整性）、TLS握手的密鑰協(xié)商。優(yōu)缺點：密鑰管理簡單，安全性高；但加密速度慢，不適合大數(shù)據(jù)量。（3）哈希與數(shù)字簽名數(shù)字簽名：私鑰加密哈希值，公鑰解密驗證，確?！鞍l(fā)送者身份真實+數(shù)據(jù)未篡改”（如SSL證書的簽名）。2.2網(wǎng)絡邊界安全技術（1）防火墻技術包過濾防火墻：工作在網(wǎng)絡層，基于IP、端口、協(xié)議過濾流量（如iptables配置“允許內部主機訪問80端口”）。下一代防火墻（NGFW）：集成應用識別（如識別微信、Zoom流量）、入侵防御（阻斷SQL注入）、用戶認證（對接AD域賬號），代表產品：PaloAlto、FortiGate。（2）VPN技術IPsecVPN：網(wǎng)絡層加密，適合站點間通信（如總部與分支互聯(lián)）。SSLVPN：應用層加密，適合遠程用戶接入（如員工通過瀏覽器安全訪問內網(wǎng)）。部署要點：使用AES加密+SHA256哈希，定期更換預共享密鑰或證書。2.3入侵檢測與防御技術（1）IDS（入侵檢測系統(tǒng)）類型：基于簽名（特征碼，檢測已知攻擊，如Snort規(guī)則匹配“SQL注入特征”）；基于異常（行為分析，檢測未知攻擊，如HIDS監(jiān)控進程異常創(chuàng)建）。部署：NIDS（監(jiān)聽交換機鏡像流量）、HIDS（安裝在服務器/終端，監(jiān)控系統(tǒng)調用）。（2）IPS（入侵防御系統(tǒng)）區(qū)別：IDS“檢測后告警”，IPS“檢測后主動阻斷”（如串聯(lián)在防火墻后，攔截惡意流量）。規(guī)則管理：定期更新攻擊特征庫（如CVE漏洞庫），自定義規(guī)則應對業(yè)務特有威脅（如禁止內部主機訪問外部3389端口）。2.4終端與應用安全（1）終端安全防病毒與EDR：使用卡巴斯基、CrowdStrikeFalcon，實時監(jiān)控進程（如禁止可疑進程創(chuàng)建）、文件（如攔截勒索軟件加密）、網(wǎng)絡行為（如阻斷惡意外聯(lián)）。補丁管理：Windows用WSUS，Linux用Spacewalk，自動更新系統(tǒng)/軟件補?。ㄈ缧迯蚅og4j漏洞）。主機加固：禁用不必要服務（如Windows關閉“遠程注冊表”），配置SELinux（Linux強制訪問控制）。（2）Web應用安全漏洞防護：SQL注入用`PreparedStatement`，XSS用輸入過濾+輸出轉義，CSRF用令牌驗證（如Django的CSRF_TOKEN）。安全開發(fā)：遵循SDL（安全開發(fā)生命周期），代碼審計用SonarQube（檢測硬編碼密碼）、Checkmarx（分析業(yè)務邏輯漏洞）。第三章網(wǎng)絡安全實踐與防御體系構建3.1網(wǎng)絡安全評估與測試（1）漏洞掃描工具：Nessus（商業(yè)，支持合規(guī)掃描）、OpenVAS（開源，覆蓋CVE漏洞）、Nmap（端口+漏洞檢測，如`nmap--scriptvuln192.168.1.0/24`）。策略：每月全量掃描（含新資產），變更后增量掃描（如服務器升級后），等保2.0要求“每半年漏洞檢測”。（2）滲透測試合規(guī)：需簽訂授權協(xié)議，遵守《網(wǎng)絡安全法》，禁止未授權測試（如“滲透”競爭對手系統(tǒng)涉嫌犯罪）。（3）合規(guī)性檢查等保2.0：三級系統(tǒng)需日志審計（保存6個月）、入侵防范（部署IPS）、數(shù)據(jù)備份（異地容災）。GDPR/PCI-DSS：GDPR要求數(shù)據(jù)跨境需“充分保護”，PCI-DSS要求支付卡數(shù)據(jù)加密（如AES）、定期漏洞掃描。3.2安全事件應急響應（1）應急響應流程準備：制定預案（含角色分工、工具清單），組建響應團隊（安全分析師、系統(tǒng)管理員、法務），準備FTK（取證工具）、ELK（日志分析）。檢測分析：通過SIEM關聯(lián)日志（如“多次失敗登錄+異常進程創(chuàng)建”判定為暴力破解+木馬植入）。遏制根除：隔離受感染主機（斷網(wǎng)+關閉服務），清除惡意程序（如刪除`/tmp`下的挖礦程序），修復漏洞（如升級Apache版本）?；謴涂偨Y：從備份還原數(shù)據(jù)，記錄事件（時間線、攻擊路徑），編寫報告（含改進建議，如“加強終端EDR部署”）。（2）日志與取證日志收集：ELK收集系統(tǒng)日志（/var/log）、應用日志（Tomcat日志）、網(wǎng)絡設備日志（防火墻流量日志）。取證原則：“不修改原始數(shù)據(jù)”，使用寫保護設備（如forensicdrive）提取進程列表、文件哈希、網(wǎng)絡連接記錄。3.3分層防御與零信任架構（1）傳統(tǒng)分層防御縱深防御：網(wǎng)絡層（防火墻阻斷外網(wǎng)攻擊）、主機層（EDR攔截惡意進程）、應用層（WAF過濾SQL注入）、數(shù)據(jù)層（數(shù)據(jù)庫加密）。案例：某金融企業(yè)架構：外層防火墻（過濾DDoS）→內部微分段（SDN隔離業(yè)務區(qū)）→主機EDR（監(jiān)控交易服務器）→數(shù)據(jù)加密（數(shù)據(jù)庫TDE）。（2）零信任架構核心原則：“永不信任，始終驗證”，默認拒絕所有訪問，基于身份（用戶/設備）、行為（訪問頻率）、風險（設備是否合規(guī)）動態(tài)授權。實踐：使用SDP（軟件定義邊界），員工接入需“設備合規(guī)（系統(tǒng)補丁全）+身份認證（MFA）+最小權限（僅訪問業(yè)務系統(tǒng)）”。（3）安全運維管理策略制定：基于風險評估，制定“密碼策略（長度≥8，含大小寫+特殊字符）”“備份策略（每日增量，每周全量）”。安全培訓：每月開展釣魚演練（偽造郵件測試員工警惕性），每季度培訓“社會工程學防范”“漏洞上報流程”。第四章網(wǎng)絡安全法律法規(guī)與倫理規(guī)范4.1國內網(wǎng)絡安全法規(guī)《網(wǎng)絡安全法》：關鍵信息基礎設施需“容災備份”，網(wǎng)絡產品/服務需“安全審查”，違法最高罰50萬元。《數(shù)據(jù)安全法》：數(shù)據(jù)全生命周期（收集、存儲、使用、傳輸）需“分類分級保護”，數(shù)據(jù)出境需“安全評估”。《個人信息保護法》：收集個人信息需“告知同意”，敏感信息（如醫(yī)療、生物識別）需“單獨同意”，違法最高罰5000萬元。合規(guī)實踐企業(yè)需建立數(shù)據(jù)安全管理體系，開展合規(guī)審計（如“用戶信息收集是否超范圍”），應對監(jiān)管檢查（如網(wǎng)信辦“App違法收集信息專項治理”）。4.2國際網(wǎng)絡安全準則ISO/IEC____：信息安全管理體系（ISMS），基于PDCA循環(huán)，涵蓋14個控制域（如訪問控制、加密、物理安全），通過認證提升客戶信任。NISTCybersecurityFramework：識別（資產清點）、保護（漏洞修復）、檢測（日志監(jiān)控）、響應（事件處置）、恢復（數(shù)據(jù)還原），指導企業(yè)風險管理。合規(guī)案例某跨國企業(yè)依據(jù)ISO____和NISTCSF，構建“全球統(tǒng)一安全策略+區(qū)域化執(zhí)行”體系，通過第三方認證（如BSI的ISO____認證）。4.3網(wǎng)絡安全倫理與職業(yè)規(guī)范白帽黑客倫理：遵守法律，僅在授權下測試，不泄露測試中獲取的敏感信息（如用戶密碼、商業(yè)機密），提交漏洞報告而非利用。隱私保護責任：處理用戶數(shù)據(jù)時遵循“最小必要”原則（如僅收集下單必要信息），確保數(shù)