0_课程介绍_网络安全技术教程讲解.ppt

“ ” “ ” 《网络安全技术》课程介绍 网络技术系 课程基本情况 课程名称： 网络安全技术 课程代码： NW3006 计划学时： 68 学分： 4 课程性质： 必修、考试 面向专业： 网络工程专业 课程介绍 网络安全技术——了解基本原理，针对网络上存在的各种安全危胁采取必要的防范手段，包括入侵检测、防火墙、病毒防御系统、信息加密技术、数据容灾与备份技术等，是了解网络安全的入门课程 为什么要学习这门课 组建一个网络很容易，但要保证它的安全不是一个简单的事情 在设计之初，就必须考虑到它的安全性。就象建一座城堡，在建设之前，就必须考虑到它对水、火、攻城的防范能力。切不可在组建网络的中后期才“亡羊补牢”。 如果组建了一个没有安全保障的网络，对使用者而言，比单机操作还麻烦。 网络安全形势严峻 2010年，中国共有近3.5万家网站被黑客篡改，发现近48万个木马控制端IP中，22.1万个位于境外，前两位分别是美国（占14.7%）、印度（占8.0%）；13782个僵尸网络控制端IP中，6531个位于境外，前三位分别是美国（占21.7%）、印度（占7.2%）和土耳其（占5.7%）。 据工业和信息化部互联网网络安全信息通报成员单位报送的数据，2010年在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。 今年7月，国家互联网应急中心自主监测发现的仿冒境内银行的网站域名多达278个，且多为境外注册。数据还显示，由于非法收益较高，自2011年1月起，银行类“钓鱼网站”进入急速攀升阶段，截至2011年7月底，已经连续7个月呈现同比暴增趋势。 网络安全形势严峻 2012年网络安全事件： /article/newsp/secnews/2012/5761.html /viewforum.php?f=81 /viewtopic.php?f=81t=32913 最新的Struts2攻击 什么是Struts和Struts2? * * 最新的Struts2攻击 什么是Struts和Struts2? * * 2013年年中大规模暴露出来的Struts2漏洞 * * * * Struts2漏洞的机制 本次曝出的2个漏洞是由于缩写的导航和重定向前缀“action:”、 “redirect:”、 “redirectAction:”造成的。由于这些参数前缀的内容没有被正确过滤，导致黑客可以通过漏洞执行命令，获取目标服务器的信息，并进一步取得服务器最高控制权。届时，被攻击网站的数据库将面临全面泄密的威胁，同时黑客还可以通过重定向漏洞的手段，对其他网民进行钓鱼攻击或挂马攻击。 * * Struts2 S2-016实例演示 用Acunetix可扫描网站是否存在struts2 S2-016漏洞 下载Struts2 漏洞利用工具 确认网站存在struts2 S2-016漏洞 运程执行命令 提权,后门… * * 课程主要内容 网络安全模型和体系结构 安全协议 密码与认证技术 操作系统安全技术（服务器安全、数据库安全） 应用系统安全技术（WEB、EMAIL、FTP、DNS、防网络欺骗） VPN技术 防火墙与网闸技术 入侵检测技术 病毒检测与防范技术 安全检测与评估技术 sql注入的攻击和防范 数据高可用性的技术手段 平时成绩组成 考勤：10分（按座位考勤） 实验：共25分（当堂完成，下周检查，除请假外不接受补交，逐次统计，提交后的下一周看当次成绩） 课后作业、方案设计：共10分。 平时表现：5分 期末考试 18-19周进行，为闭卷、笔试，100分题目90分钟内完成，占总评分的50%。 参考资料 1)教学参考书： 信息安全技术教程 杜彦辉 编著 清华大学出版社 2013年1月 网络攻击与防御技术实验教程 张玉清等 编著 清华大学出版社 2010年7月 网络安全 刘天华等 编著 科学出版社 2010年4月 网管员必读—网络安全 第2版 王达 编著  电子工业出版社2008年2月　 网络工程师必读:网络安全系统设计 王达 编著 电子工业出版社2009年08月 入侵的艺术 Kevin D.Mitnick/William L.Simon著 清华大学出版社2007年1月 黑客大曝光-网络安全机密与解决方案 STUART MCCLURE 清华大学出版社2006 年4月 参考网站 领先的中文IT技术网站 / 中国IT实验室 / 华安信达（CISPS.org）论坛 --黑客基地 / ISA 中文站 看雪论坛 教师信息 上课教师：刘翔 手机: E-MAI