課程1:網絡安全基礎與核心概念
學習內容
1. 網絡安全定義
網絡安全是通過技術、管理及法律手段保護網絡系統的硬件、軟件及數據,使其免受破壞、篡改或泄露,確保系統穩定運行并提供可靠服務。其核心目標包括保密性、完整性、可用性、可控性及不可抵賴性。
2. 信息安全五大屬性
- 保密性(Confidentiality):確保信息僅被授權用戶訪問。例如,加密技術(如AES)可防止未授權訪問。
- 完整性(Integrity):數據在傳輸或存儲中不被篡改。通過哈希校驗(如SHA-256)或數字簽名驗證數據真實性。
- 可用性(Availability):保障合法用戶隨時訪問資源。例如,DDoS防御通過負載均衡確保服務不中斷。
- 可控性(Controllability):對信息傳播和內容進行管控。如網絡內容審查系統防止不良內容擴散。
- 不可抵賴性(Non-repudiation):確保操作行為可追溯,數字簽名技術(如RSA)可證明發送方身份。
3. 典型攻擊類型及影響
- SQL注入:攻擊者通過惡意輸入操縱數據庫,如竊取用戶數據或刪除記錄(如2017年WannaCry勒索軟件攻擊)。
- XSS(跨站腳本):在網頁中注入惡意腳本,竊取用戶會話憑證(如偽造登錄頁面)。
- DDoS攻擊:通過海量請求淹沒服務器,導致服務不可用(如2016年Dyn事件癱瘓Twitter等網站)。
- 釣魚攻擊:偽裝合法來源誘導用戶泄露信息(如虛假“快遞理賠”短信)。
- CSRF(跨站請求偽造):利用用戶登錄狀態執行非授權操作(如修改賬戶信息),但需注意:信息是缺失于提供的上下文中,需結合行業通用案例補充。
4. 網絡安全工程師職業方向
- 滲透測試:模擬攻擊檢測系統漏洞(如復現SQL注入或XSS漏洞)。
- 安全服務:設計防御策略(如部署防火墻、配置入侵檢測系統IDS)。
- 安全能力建設:制定組織安全政策(如最小權限原則、定期漏洞掃描)。
動手實踐
1. 釣魚郵件模擬與防御演練
- 攻擊模擬:
- 分組設計包含惡意鏈接或附件的釣魚郵件(主題如“緊急!您的賬戶異常”),測試同學識別能力。
- 示例鏈接偽裝成:
www.paypa1.com(用數字“1”替換字母“l”)。
- 防御分析:
- 使用郵件過濾工具(如SpamAssassin)標記可疑郵件;
- 討論防御策略:郵件簽名驗證、員工安全培訓。
2. Wireshark抓包分析
- 操作步驟:
- 在瀏覽器訪問網站時,用Wireshark捕獲HTTP/HTTPS流量;
- 識別明文傳輸的敏感數據(如未加密的登錄憑證);
- 分析異常流量(如高頻請求疑似DDoS攻擊前兆)。
- 案例:觀察HTTP請求包中的“User-Agent”字段偽造痕跡,推測攻擊者設備信息。
信息缺失說明
- CSRF攻擊:提供的上下文中未明確提及,需補充典型場景(如攻擊者誘導用戶點擊惡意鏈接修改銀行賬戶綁定手機號)。
課程設計特點
- 趣味性:通過模擬攻擊與防御游戲化任務,激發學生興趣;
- 實踐導向:結合真實案例(如WannaCry勒索軟件)和工具(Wireshark),強化技能應用;
- 職業關聯:明確職業路徑(滲透測試、安全服務),幫助學生規劃學習方向。
![[人機交互]識別需要和建立需求](http://pic.xiahunao.cn/[人機交互]識別需要和建立需求)
)
英文題庫(11-20))
)
