课程1:网络安全基础与核心概念
学习内容
1. 网络安全定义
网络安全是通过技术、管理及法律手段保护网络系统的硬件、软件及数据,使其免受破坏、篡改或泄露,确保系统稳定运行并提供可靠服务。其核心目标包括保密性、完整性、可用性、可控性及不可抵赖性。
2. 信息安全五大属性
- 保密性(Confidentiality):确保信息仅被授权用户访问。例如,加密技术(如AES)可防止未授权访问。
- 完整性(Integrity):数据在传输或存储中不被篡改。通过哈希校验(如SHA-256)或数字签名验证数据真实性。
- 可用性(Availability):保障合法用户随时访问资源。例如,DDoS防御通过负载均衡确保服务不中断。
- 可控性(Controllability):对信息传播和内容进行管控。如网络内容审查系统防止不良内容扩散。
- 不可抵赖性(Non-repudiation):确保操作行为可追溯,数字签名技术(如RSA)可证明发送方身份。
3. 典型攻击类型及影响
- SQL注入:攻击者通过恶意输入操纵数据库,如窃取用户数据或删除记录(如2017年WannaCry勒索软件攻击)。
- XSS(跨站脚本):在网页中注入恶意脚本,窃取用户会话凭证(如伪造登录页面)。
- DDoS攻击:通过海量请求淹没服务器,导致服务不可用(如2016年Dyn事件瘫痪Twitter等网站)。
- 钓鱼攻击:伪装合法来源诱导用户泄露信息(如虚假“快递理赔”短信)。
- CSRF(跨站请求伪造):利用用户登录状态执行非授权操作(如修改账户信息),但需注意:信息是缺失于提供的上下文中,需结合行业通用案例补充。
4. 网络安全工程师职业方向
- 渗透测试:模拟攻击检测系统漏洞(如复现SQL注入或XSS漏洞)。
- 安全服务:设计防御策略(如部署防火墙、配置入侵检测系统IDS)。
- 安全能力建设:制定组织安全政策(如最小权限原则、定期漏洞扫描)。
动手实践
1. 钓鱼邮件模拟与防御演练
- 攻击模拟:
- 分组设计包含恶意链接或附件的钓鱼邮件(主题如“紧急!您的账户异常”),测试同学识别能力。
- 示例链接伪装成:
www.paypa1.com(用数字“1”替换字母“l”)。
- 防御分析:
- 使用邮件过滤工具(如SpamAssassin)标记可疑邮件;
- 讨论防御策略:邮件签名验证、员工安全培训。
2. Wireshark抓包分析
- 操作步骤:
- 在浏览器访问网站时,用Wireshark捕获HTTP/HTTPS流量;
- 识别明文传输的敏感数据(如未加密的登录凭证);
- 分析异常流量(如高频请求疑似DDoS攻击前兆)。
- 案例:观察HTTP请求包中的“User-Agent”字段伪造痕迹,推测攻击者设备信息。
信息缺失说明
- CSRF攻击:提供的上下文中未明确提及,需补充典型场景(如攻击者诱导用户点击恶意链接修改银行账户绑定手机号)。
课程设计特点
- 趣味性:通过模拟攻击与防御游戏化任务,激发学生兴趣;
- 实践导向:结合真实案例(如WannaCry勒索软件)和工具(Wireshark),强化技能应用;
- 职业关联:明确职业路径(渗透测试、安全服务),帮助学生规划学习方向。
