信息工程安全教育课件.pptVIP

信息工程安全教育

第一章信息安全基础认知

信息安全的重要性国家战略高度2024年国家网络安全宣传周明确提出网络安全为人民，网络安全靠人民的核心主题。这不仅是一句口号，更是国家网络安全战略的重要指导思想。信息安全已经上升到国家安全的战略高度，它关系到:国家主权与政治安全社会稳定与经济发展公民个人隐私与财产安全关键基础设施的正常运行

信息安全的核心目标信息安全的三大基本原则构成了安全防护的理论基础，通常被称为CIA三元组：保密性Confidentiality确保信息只能被授权用户访问，防止未经授权的信息披露。通过加密技术、访问控制等手段保护敏感数据。完整性Integrity保证信息在存储、传输过程中不被非法篡改或破坏，维护数据的准确性和一致性。采用数字签名、哈希验证等技术。可用性Availability确保授权用户能够及时、可靠地访问所需信息和资源。通过冗余备份、容错设计等方式保障系统持续运行。

信息工程安全的威胁现状$1000B+全球年度损失网络攻击造成的经济损失65%攻击增长率相比前一年的增幅200+日均新威胁每天发现的新型恶意软件变种中国面临的安全挑战2023年中国网络安全事件呈现高发态势，重点行业成为攻击目标：金融行业：面临钓鱼攻击、资金盗窃、数据泄露等多重威胁电力系统：关键基础设施遭受APT高级持续性威胁医疗卫生：患者隐私数据成为黑客攻击的重点目标教育机构：学生信息泄露、勒索软件攻击频发这些事件凸显了加强信息安全防护、提升全民安全意识的紧迫性。

网络攻击路径与防御体系侦察扫描漏洞利用权限提升横向移动数据窃取理解攻击者的思维方式和攻击路径是构建有效防御体系的前提。现代网络攻击往往采用多阶段、持续性的策略，而防御体系则需要建立纵深防御机制，在每个攻击阶段都设置相应的安全防护措施。

第二章核心技术解析深入理解信息安全的技术基础，掌握密码学、认证、访问控制等关键技术原理

密码学基础与应用密码学是信息安全的理论基石，现代密码技术为数据保护提供了强大的技术支撑。1对称加密技术AES算法：高级加密标准，广泛应用于数据加密国产商用密码：SM4算法，128位分组密码，符合国家密码管理要求特点：加密解密使用相同密钥，速度快，适合大数据量加密2非对称加密技术RSA算法：基于大数分解难题，密钥长度通常2048位或4096位椭圆曲线密码学（ECC）：更短的密钥提供相同安全强度，适合移动设备国产SM2算法：基于椭圆曲线的公钥密码算法3哈希算法应用SHA-256：安全哈希算法，生成256位摘要数据完整性验证：通过哈希值比对检测数据是否被篡改数字签名：结合非对称加密实现身份认证与不可否认性

现代密码法与国家安全密码法的重要意义《中华人民共和国密码法》于2020年1月1日正式实施，这是我国密码领域的第一部综合性、基础性法律，标志着密码工作进入了法治化轨道。法律核心要点将密码分为核心密码、普通密码和商用密码三类管理强调国产密码技术在关键信息基础设施中的应用建立商用密码检测认证体系明确密码安全性评估（密评）的法律地位商用密码安全性评估成为强制要求，关键信息基础设施运营者必须使用经过检测认证的商用密码产品和服务。这一要求推动了国产密码技术的发展与应用，提升了国家信息安全保障能力。

认证与访问控制技术身份认证技术多因素认证（MFA）：结合你知道什么（密码）、你拥有什么（令牌）、你是什么（生物特征）三类要素，大幅提升身份验证安全性。访问控制模型自主访问控制（DAC）：资源所有者决定访问权限强制访问控制（MAC）：基于安全标签的系统级控制基于角色的访问控制（RBAC）：通过角色分配权限，简化管理零信任安全架构遵循永不信任，始终验证原则，对每次访问请求进行动态评估和授权，构建现代化安全防护体系。

网络与系统攻击技术概览了解攻击技术是构建防御体系的前提。攻击者通常采用多阶段、组合式的攻击策略。01侦察与扫描阶段网络监听：使用嗅探工具捕获网络数据包端口扫描：探测目标系统开放的服务端口漏洞扫描：识别系统存在的安全漏洞02常见攻击类型DDoS攻击：分布式拒绝服务，耗尽目标系统资源SQL注入：通过恶意SQL语句获取或篡改数据库数据跨站脚本（XSS）：在网页中注入恶意脚本，窃取用户信息03高级持续性威胁APT攻击：长期潜伏，针对特定目标的复杂攻击零日漏洞利用：利用未公开的安全漏洞发动攻击社会工程：通过欺骗手段获取敏感信息

防火墙与入侵检测技术防火墙技术防火墙是网络安全的第一道防线，根据工作层次和功能可分为：包过滤防火墙：基于IP地址、端口号进行简单过滤状态检测防火墙：跟踪连接状态，提供更精细的控制应用层防火墙：深度检测应用层协议，防御复杂攻击下一代防火墙（NGFW）：集成IPS、应用识别、威胁情报等功能工作原理防火墙通过预定义的安全策略，对进出网络的数据流进行检查和过滤，阻