信息安全课程课件.pptVIP

信息安全课程课件

第一章：信息安全概述国家安全战略网络安全已成为国家安全的重要组成部分，直接关系到政治稳定、经济发展和社会安全人才缺口严峻2023年全球网络安全人才缺口达400万，中国亟需培养更多专业人才安全核心目标保密性、完整性、可用性构成信息安全的CIA三要素，是安全体系的基石

网络安全的现实威胁威胁态势严峻2024年中国网络攻击事件增长30%，攻击手段日益复杂多样，传统防护手段面临严峻挑战。典型攻击类型病毒与木马：植入恶意代码窃取信息勒索软件：加密文件索要赎金钓鱼攻击：伪装身份骗取敏感信息DDoS攻击：瘫痪目标系统服务30%攻击增长率年度网络攻击事件增幅85%企业受影响遭受过网络攻击的企业比例4.5M平均损失

信息安全的法律法规《中华人民共和国网络安全法》2017年6月1日正式实施，是我国网络安全领域的基础性法律。明确了网络运营者的安全义务，规定了关键信息基础设施保护、个人信息保护等重要制度。网络产品和服务安全审查制度关键信息基础设施保护制度个人信息保护规范网络安全等级保护制度GB/T22239-2019标准规定了信息系统安全等级保护的基本要求，分为五个等级，从一般到最高防护。企业需根据系统重要性进行等级定级和测评。定级备案：确定系统安全等级安全建设：按等级实施防护等级测评：定期安全评估企业与个人的安全责任

没有网络安全就没有国家安全

第二章：密码学基础与应用密码学的演进从古代的凯撒密码到现代的量子密码，密码学经历了数千年的发展。现代密码学基于数学理论，为信息安全提供核心技术支撑。两大加密体系对称加密：加密和解密使用相同密钥，速度快，适合大数据量加密。非对称加密：使用公钥加密、私钥解密，安全性高，适合密钥交换和数字签名。AES算法高级加密标准，对称加密的典范，广泛应用于文件加密、网络通信等场景，具有高效性和安全性。RSA算法非对称加密算法，基于大数分解难题，用于数字签名、密钥交换，是互联网安全的基础技术。ECC算法

密钥管理的重要性密钥生成使用强随机数生成器创建高强度密钥安全存储采用硬件安全模块或加密存储保护密钥密钥分发通过安全通道传输密钥避免泄露定期更新根据安全策略定期更换密钥安全销毁过期密钥必须彻底销毁防止恢复密钥泄露的严重后果：一旦密钥泄露，所有使用该密钥加密的数据都将面临被解密的风险。某企业因密钥管理不善导致客户数据泄露，损失超过5000万元并面临法律诉讼。数字签名技术基于非对称密码学，可以验证信息的真实性和完整性，广泛应用于电子合同、软件分发、区块链等领域，是身份认证的重要技术手段。

典型密码攻击案例1WannaCry勒索病毒2017年5月全球爆发，利用WindowsSMB漏洞传播，感染超过150个国家的30万台计算机。攻击者使用RSA+AES加密受害者文件并索要比特币赎金，造成数十亿美元损失。2暴力破解攻击攻击者通过穷举所有可能的密码组合来破解密码。现代GPU可以每秒尝试数十亿次密码，短密码和弱密码极易被破解。防护措施包括使用长密码、限制登录尝试次数。3字典攻击与彩虹表字典攻击使用常见密码列表进行尝试，彩虹表是预先计算的密码哈希值数据库。这些方法大大提高了破解效率。加盐哈希技术可以有效抵御此类攻击。

加密算法工作流程明文原始的、未加密的信息数据加密过程使用密钥和加密算法对明文进行转换密文加密后的数据，无法直接读取解密过程使用相应密钥恢复原始数据明文解密后恢复的原始信息加密技术是保护信息机密性的核心手段。在传输和存储过程中，通过加密可以确保即使数据被截获也无法被读取。现代通信系统如HTTPS、VPN都大量使用加密技术保障安全。

第三章：身份认证与访问控制知识因子用户知道的信息：密码、PIN码、安全问题答案生物因子用户的生物特征：指纹、面部、虹膜、声纹识别持有因子用户拥有的物品：智能卡、USBKey、手机令牌多因素认证优势MFA通过组合两个或更多认证因子，大幅提升安全性。即使一个因子被破解，攻击者仍需突破其他因子，显著降低账户被盗风险。访问控制模型DAC：资源所有者自主决定访问权限MAC：系统强制执行安全策略控制访问RBAC：基于用户角色分配访问权限

身份认证技术实例传统密码认证用户名+密码是最基本的认证方式，但存在被猜测、钓鱼、暴力破解等风险。弱密码和密码重用进一步降低了安全性。生物识别技术指纹识别准确率高达99.9%，面部识别便捷快速，虹膜识别安全性极高。生物特征难以伪造和盗用，但需要专用硬件支持。硬件令牌认证USBKey存储数字证书，动态口令每30秒变化一次。硬件令牌具有高安全性，广泛应用于网银、企业VPN等高安全场景。趋势：无密码认证正在兴起，通过FIDO2标准，用户可以使用生物识别或硬件密钥登录，完全取代传统密码，提供更高安全性和更好用户体验。

访问控制策略设计权限最小化原则用户和程序只应获得完