模块9 行业网络安全及防护

大学生网络安全教育课程行业网络安全及防护教学内容

1互联网安全

2金融行业安全3企业网络安全4教育行业安全5交通行业安全6医疗行业安全提高对网络安全问题的敏感性和警觉性，培养网络安全防范意识。汲取先进的安全理念与策略，具备跨行业网络安全问题的综合解决能力。理解行业安全领域的最佳实践和案例，获得解决问题的思路。了解金融、企业、互联网、交通、医疗卫生等行业的网络安全特征、面临的主要威胁和风险。学会根据行业特点，运用风险评估方法，确定安全防护重点和技术方案。学会分析行业信息系统的组成和工作流程，识别关键系统和安全风险点。掌握应急响应和演练的组织实施。是否参加过网络安全防范意识的培训？是否了解金融、企业、互联网、交通、医疗卫生等行业的网络安全特征、面临的主要威胁和风险？是否参加过应急响应和演练的组织实施？是否了解常见的网络安全漏洞？互联网安全—WEB安全Web（WorldWideWeb）即全球广域网，也称为万维网，它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。Web服务是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。1.统一资源定位器URL统一资源定位器（UniformResourceLocator，URL），用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口（默认为80）以及文件名三部分构成。（1）协议：指浏览器和服务器之间传递信息所使用的标准；同时，也表明了服务器所提供的服务类型。如http、https、ftp等。（2）主机:主机指存放网络资源的服务器地域名或IP地址。（3）端口号：用于区分一台服务器上的不同服务，其范围是1-65535；其中，1-1024为保留端口号。每个服务都有对应的知名端口号。（4）目录路径：指明了信息资源在服务器上的存储路径，一般是服务上的一个目录或文件夹的地址或虚拟目录地址。互联网安全—WEB安全2.超文本传输协议http（1）超链接：所谓的超链接就是超级链接的简称，指从一个网页的对象指向一个目标的连接关系。这个目标可以是一个文本、图片、视频、文件、应用程序，也可以是另一个网页。（2）超文本：使用超链接的方法，将各种不同位置的文字信息组织在一起的网状文本就是超文本。（3）超媒体：将不同位置的多媒体信息以超链接的方法进行组织管理形成的网状媒体就是超媒体。（4）超文本传输协议：超文本传输协议（HypertextTransferProtocol，HTTP）是一种应用层协议，用于在网络中传输超文本（例如网页）。HTTP协议使用请求/响应模型，客户端向服务器发送请求，服务器响应请求并返回所需的内容。HTTP协议的服务器端实现程序有httpd、nginx等，其客户端的实现程序主要是Web浏览器，例如Firefox、InternetExplorer、Googlechrome、Safari、Opera等。WEB安全威胁WEB安全威胁:在互联网时代，网站已经成为企业和个人获取信息、进行交流的重要平台。然而，随着越来越多的个人信息、重要数据以及用户隐私保存在网站系统中，网站开始成为黑客攻击的重点对象，同时很多中小型网站安全防护措施不到位，导致网站存在各种安全隐患，从而给网站访问者带来诸多安全风险，目前常见的网站安全隐患主要有以下几方面：（1）跨站脚本攻击（XSS）恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。（2）虚假钓鱼网站钓鱼网站是互联网中最常碰到的一种诈骗方式。钓鱼网站是指欺骗用户的虚假网站，钓鱼网站的页面与正规网站的界面几乎完全一致，通常是伪装成银行官网或电子商务平台，诱导用户输入账号、密码、短信验证码等信息，从而窃取用户账号。（3）跨站请求伪造（CSRF）这是一种对网站的恶意利用。与跨站脚本（XSS）在表面是相似的，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。WEB安全威胁（4）数据泄露网络时代，生活已经越来越依赖于网络，从社交媒体、购物网站到生活服务应用，的个人信息、偏好、习惯等都被记录在案，因此，数据安全已成为当前社会关注的焦点。由于Web服务器或应用程序没有正确处理一些特殊请求，泄露Web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。（5）拒绝服务攻击黑客利用网站的系统漏洞，制造大量的无效请求，造成网络带宽阻塞或网站服务器崩溃，网站不能响应正常用户的请求，用户将无法完成相关的操作，比如登录、访问网站、发送邮件等，从而影响用户对于正常服务的使用。另外拒绝服务攻击可能导致网站服务器的用户数据丢失，给用户带来巨大的损失。（6）SQL注入攻击输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。这种攻击利用程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。（7）文件上传漏洞由于程序员对用户文件上传部分的控制不足或者处理缺陷，用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。WEB安全威胁的防范WEB安全涉及到多方面，包括浏览器安全、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、SQL注入攻击、文件上传漏洞和逻辑漏洞等。对于这些常见的安全隐患，企业和个人都应该加强安全意识培训和教育，提高安全意识和防范能力。在技术上，针对浏览器安全防范及跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、SQL注入攻击、文件上传漏洞、逻辑漏洞等威胁可采取相应的防范措施。1.浏览器安全防范（1）定期更新浏览器：最新版本的浏览器通常包含最新的安全补丁和修复程序，有助于减少受到攻击的风险。（2）启用浏览器的安全功能：例如，启用防病毒软件、防火墙、自动填充表单等安全功能。（3）启用防火墙：防火墙可以帮助阻止未经授权的网络流量，减少受到攻击的风险。（4）避免打开不信任的链接或下载不安全的文件：这可能会触发恶意软件或病毒的感染。（5）安全设置：在浏览器中启用安全设置，如禁用JavaScript、启用内容安全策略等，以减少受到XSS攻击等威胁的风险。WEB安全威胁的防范2.跨站脚本攻击（XSS）防范（1）输入验证和清理：对用户输入的数据进行验证和清理，以防止恶意代码的注入。可以使用库或工具来过滤HTML标签和JavaScript代码。（2）对用户输入进行过滤和转义：过滤用户输入中的特殊字符，如<,>,&,",'等，以防止恶意代码的注入。同时，对输出到页面的数据进行适当的转义，以防止恶意代码的执行。（3）设置内容安全策略（CSP）：CSP可以帮助限制网页中运行的脚本来源，减少受到XSS攻击的风险。例如，不使用eval()等函数来执行用户输入的代码，避免在JavaScript中使用document.write()等函数。（4）使用HTTPOnlycookie：HTTPOnlycookie可以防止通过JavaScript访问用户的cookie信息，增加安全性。WEB安全威胁的防范3.跨站请求伪造（CSRF）防范（1）在用户登录时强制使用多因素身份验证：多因素身份验证可以防止攻击者通过伪造用户身份来执行恶意操作。（2）在关键操作前进行二次验证：例如，在用户执行敏感操作前，要求用户输入密码或其他二次验证方式。（3）使用CSRF令牌：在表单中添加CSRF令牌，以验证请求是否来自授权的用户。（4）验证HTTPReferer：检查HTTP请求的Referer头部，以验证请求是否来自授权的网站。（5）使用同步令牌模式：在会话管理中使用同步令牌模式，以防止会话劫持和CSRF攻击。WEB安全威胁的防范4.SQL注入攻击防范（1）输入验证和清理：对用户输入进行过滤和转义，过滤用户输入中的特殊字符，如',;,(,),*等，以防止恶意SQL语句的注入。同时，对输出到数据库的数据进行适当的转义，以防止恶意SQL语句的执行。（2）使用参数化查询或预编译语句：参数化查询或预编译语句可以避免直接将用户输入拼接到SQL语句中，减少注入的风险。（3）对数据库进行安全配置：使用最小权限原则，为应用程序分配最小的数据库权限，减少潜在的攻击面。例如，禁用不必要的数据库功能和设置严格的权限控制。WEB安全威胁的防范5.文件上传漏洞防范（1）对上传的文件进行安全检查：检查文件的类型、大小、内容等是否符合要求，防止恶意文件被上传。（2）对上传的文件进行存储和处理：存储和处理上传的文件时，要确保文件的安全性，例如，将文件存储在受限制的目录中，禁止执行可执行文件等。（3）对上传的文件进行访问控制：对上传的文件进行访问控制，例如，使用白名单方式限制可以访问的目录和文件类型等。WEB安全威胁的防范6.逻辑漏洞防范（1）对用户输入进行验证和清理：验证用户输入的数据是否符合要求，例如，邮箱格式是否正确、手机号码是否合法等。清理用户输入的数据，去除不必要的字符和空格等。（2）定期更新和升级：及时更新和升级应用程序和相关的库文件，以防范已知的漏洞被利用。同时，应定期对应用程序进行安全审计和漏洞扫描，及时发现和处理潜在的安全威胁。（3）安全日志记录：记录详细的安全日志，包括登录失败尝试、异常行为等，以便在发生安全事件时进行追溯和分析。同时，应定期检查安全日志，及时发现和处理潜在的安全威胁。（4）限制访问权限：对用户的访问权限进行严格限制，只允许授权用户访问相应的资源。可以通过身份验证、访问控制等方式实现。同时，应定期检查用户的权限设置是否合理。（5）定期备份数据：定期备份数据，以防止数据被篡改或丢失。同时，应将备份数据存储在安全可靠的地方，避免被攻击者获取。互联网安全—电子邮件安全在现代通讯中，电子邮件作为一种重要的沟通工具，已经成为人们生活中不可或缺的一部分。然而，随着电子邮件的普及和使用，安全问题也日益突出。本节将介绍电子邮件安全的各个方面，包括电子邮件工作原理、电子邮件地址安全、密码安全、邮件内容安全、传输安全以及如何应对垃圾邮件的威胁。1.电子邮件工作原理（1）邮件传输协议：在电子邮件通信中，使用的主要协议是SMTP（SimpleMailTransferProtocol）。SMTP协议负责将邮件从发件人传输到邮件服务器。SMTP使用TCP/IP协议进行数据传输，通过一个或多个中间邮件服务器的中转，最终将邮件送达到收件人的邮件服务器。（2）邮件客户端和邮件服务器：邮件客户端是用户用来发送和接收电子邮件的应用程序，如Outlook、Gmail等。邮件客户端通过用户界面与用户交互，并且负责构建、编辑和发送邮件；邮件服务器是专门负责存储和转发邮件的计算机系统。它由邮件传输代理（MailTransferAgent，MTA）和邮件存储器（MailStorageSystem，MSS）组成。MTA负责接收、发送和中转邮件，而MSS则负责存储用户的邮件。互联网安全—电子邮件安全（3）邮件的组成和格式：每封电子邮件由两部分组成：邮件头（Header）和邮件正文（Body）。邮件头包含了一系列的元数据，如发件人、收件人、主题、日期等信息。邮件头还可能包含其他一些字段，如优先级、附件列表等。邮件正文是邮件的实际内容，可以包含文本、图片、链接等信息。邮件正文可以使用纯文本格式，也可以使用HTML格式进行排版。（4）邮件的传输和接收过程：当用户发送一封电子邮件时，邮件客户端会将邮件发送给用户所配置的发件人邮件服务器。发件人邮件服务器使用SMTP协议将邮件传输到收件人邮件服务器。收件人邮件服务器接收到邮件后，会将邮件存储在相应的收件人的邮箱中。收件人可以使用邮件客户端或者Web界面来访问自己的邮箱，查看并下载邮件。互联网安全—电子邮件安全2.电子邮件地址安全电子邮件地址安全涉及保护个人或组织的电子邮件地址不被泄露、防范钓鱼攻击和减少垃圾邮件的影响。（1）保护电子邮件地址不被泄露（2）防范邮件地址的钓鱼攻击（3）使用反垃圾邮件技术和过滤器3.电子邮件密码安全电子邮件密码安全是保护电子邮件账户不被未经授权的访问的重要措施。以下是一些关于电子邮件密码安全的建议：（1）设置强密码（2）避免常见密码安全问题（3）多因素认证（4）定期检查账户活动（5）注意防范钓鱼攻击互联网安全—电子邮件安全4.电子邮件内容与传输安全电子邮件内容与传输安全是确保电子邮件的隐私和保护邮件内容不被未经授权的访问和篡改的重要措施。以下是关于电子邮件内容与传输安全的建议：（1）加密邮件内容（2）使用数字签名（3）防范恶意软件和病毒（4）注意保护敏感信息（5）不信任公共计算机和无线网络（6）使用加密协议（7）使用安全的邮件服务提供商互联网安全—电子邮件安全5.应对垃圾邮件（1）使用垃圾邮件过滤器（2）不要回复或点击垃圾邮件（3）保持个人信息的安全（4）谨慎订阅邮件列表（5）使用临时或替代邮箱（6）报告垃圾邮件（7）定期清理垃圾邮件文件夹金融行业安全1、金融安全的重要意义维护金融安全，是关系我国经济社会发展全局的一件带有战略性、根本性的大事。从总体上看，当前我国金融形势是好的，金融风险是可控的，另一方面，未来我国经济发展面临的内外部环境将更加复杂多变，应该深刻认识维护金融安全的重大意义，高度重视金融安全问题，对存在的金融风险点做到心中有数、防范有效。2、金融机构在保护网络安全方面时刻面临着极大挑战，主要表现为以下几方面：（1）不断增长的网络攻击（2）内部威胁（3）供应链安全金融行业安全3、个人理财安全风险随着人们生活水平的不断提高，越来越人满足基本的物质生活后，将选择购买合适的个人理财产品来让自己的资产升值。然而，现实社会中，个人理财是一把双刃剑，在给带来收益的同时也会带来各种安全风险（1）个人理财安全风险一：“防住骗”（2）个人理财安全风险二：“听人劝”（3）个人理财安全常识三：“管住贪”企业网络安全1、企业网络安全隐患近年来，随着计算机技术的不断发展，网络在各行各业中得到了全面应用，不断改变着企业的发展进程，推动了企业的快速发展，为企业带来了丰厚的效益和便利。但是由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件的攻击，导致信息泄露、信息窃取、数据篡改、数据增删、计算机病毒感染等。当前，企业网络存在的安全隐患必须引起足够的重视。（1）人为失误(2)人为攻击(3)远程访问(4)软件漏洞(5)计算机病毒(6)黑客的威胁和攻击企业网络安全2、企业网络安全措施当前网络攻击日益频繁，企业因为遭受网络攻击、数据泄露而造成的经济损失越来越大。在移动互联网等技术的快速发展下，企业对于网络安全风险防范的需求与日俱增，如何采取合理的安全防范措施为企业网络安全提供有力支撑是焦点。关于企业网络安全防范措施，主要包括以下几方面：（1）企业内部安全管理（2）安装安全软件（3）保障数据安全教育网站安全

校园网作为服务于学校教育、科研和行政管理的计算机信息网络，实现了校园内计算机连网、信息资源共享。现如今社会已进入了信息化的时代，而要实现信息化，首先要实现网络化，网络是信息资源得以利用的基础。但由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性，必然存在众多潜在的安全隐患。随着Internet在商业活动中重要性的不断增长，网络攻击同时也在不断增加，已经发生的网络安全事件让人们不得不冷静地思考网络的安全价值，网络安全已成为网络的生存之本。1、校园网主要风险：（1）黑客攻击（2）BUG影响（3）不良信息传播（4）病毒危害（5）管理漏洞教育网站安全2、校园网安全防范措施：校园网络安全直接影响学生的财产甚至生命安全，一旦出现问题，将会造成无法挽回的损失，因此，做好校园网络安全防护措施就显得尤其重要。（1）校园贷安全防护措施1）开展校园网贷的教育引导工作。各学院要积极开展以“防范非法集资、拒绝校园贷、提高安全意识”为主题的班会，让学生充分认识校园网贷的危害性，提高警惕，防止上当受骗。2）广泛开展拒绝校园网贷的宣传活动。各学院利用宣传图片和视频，让学生切实明白网络贷款带来的危害及困扰。在学生中积极开展以“理性消费、拒绝校园贷”的活动，让学生远离不良网络贷款，树立正确的消费观念。（2）校园刷单安全防护措施天上不会掉馅饼，学生看到“刷单”、“刷信誉”、“刷信用”的网络兼职广告时要提高警惕，不要被蝇头小利所迷惑，犯罪嫌疑人正是通过前几单返还本金并支付佣金来骗取信任的。发现被骗后，要在第一时间报警，并及时提供对方的电话号码、QQ、微信和淘宝账号等信息，为破案提供线索。教育网站安全2、校园网安全防范措施：（3）快递信息泄露及诈骗安全防护措施当接到所谓“退款”的客服电话、短信时，先要向所购买的商家或快递公司进行查询核实。退款事宜直接联系官方客服，不要登录陌生链接。网购退款不需要密码、验证码，更不需要向对方转账，如果有类似情况出现，一定要提高警惕。网购填写个人信息时，尽量避免个人敏感信息。例如：收货地址可填写住宅附近菜鸟驿站，收货人填写昵称等。收到包裹时，应及时妥善对快递包装上的个人信息进行销毁。不点击不明链接或扫描二维码，更不可在不明链接中填写个人身份信息及银行信息，以免遭遇钓鱼网站和木马病毒。对于陌生好友之间的金钱交易需谨慎，转账前先确认其身份，对于微信提醒存在交易风险的账号需谨慎对待。如果遭遇财产损失，第一时间拨打110报警。交通出行安全一、网约车安全：自网约车普及以来，如何加强安全监管已成为一个社会性话题，网约车安全问题一直以来都是人们关注的焦点。1、网约车安全风险：（1）网约车管理不到位（2）网约车服务群体参差不齐（3）用户信息泄漏和隐私安全问题2、网约车安全防范措施（1）约车后查看平台司机信誉度及出行次数（2）将乘车车牌号告诉家人或好友（3）尽量坐在后排（4）提前熟悉路线，注意司机绕行情况（5）乘车时尽量开一扇窗（6）不拼车（7）途中打起精神（8）财不外露交通出行安全二、轨道交通安全：近年来，我国轨道交通的发展日新月异。作为城市轨道交通运行的神经中枢，信息系统更是发挥着不可忽视的作用。1、轨道交通面临的网络安全风险：（1）外部攻击的发展（2）内部威胁的加剧（3）应用软件的威胁（4）多种病毒的泛滥医疗卫生安全

医疗卫生行业是当今最热门、产值最高的行业之一，因此，也成为网络攻击犯罪分子的主要目标之一，近年来医疗卫生行业遭受网络攻击事件接连发生，给医疗卫生行业带来巨大损失。1、医疗卫生行业主要存在以下安全风险：（1）数据泄露（2）内部威胁（3）社会工程学（4）勒索软件（5）DDoS攻击2、医疗卫生安全防护（1）加强保密意识（2）定期进行网络安全培训与应急演练（3）定期开展网络风险评估（4）与专业高防服务商务合作任务实验任务1学习使用SQL注入漏洞一、任务目标了解常见的sql注入漏洞点学会SQL漏洞的审查方式。理解SQL漏洞利用过程。二、任务环境任务平台：/web-security/all-labs。三、实验要求验证站点中存在的sql注入漏洞并获取管理员账号密码进行登录。四、任务实施SQL注入是一种常见的网络安全漏洞，攻击者通过在输入字段中注入恶意SQL代码，从而绕过应用程序的安全控制，从数据库中获取、修改或删除敏感数据。为了防止SQL注入漏洞的利用，开发人员应该采取以下措施：1.使用参数化查询或预编译语句：避免将用户的输入直接拼接到SQL查询语句中，而是使用参数化查询或预编译语句。这样可以将用户的输入作为参数传递给查询，从而减少注入的风险。2.对用户输入进行严格的验证和过滤：在接收用户输入时，对其进行严格的验证和过滤。可以使用白名单或正则表达式来限制输入的格式，只接受有效的数据。3.最小化数据库权限：为应用程序使用的数据库账户分配最小化的权限，仅授予其进行必要操作的权限。这样即使发生注入攻击，攻击者也无法对数据库进行敏感操作。4.错误信息处理：在应用程序中，不要将详细的错误信息直接返回给用户。合理处理错误信息，只返回简洁的错误提示，以防止攻击者获取敏感的系统信息。5.定期更新和维护应用程序：及时更新应用程序的安全补丁和版本，以修复已知的漏洞。定期进行安全审查和漏洞扫描，及时发现和修复潜在的SQL注入漏洞。任务实验1.打开目标网站，点击“LOGIN”按钮完成用户注册（注意：创建用户名，完成注册，后一定要复制密码并进行登录，请不要刷新页面，否将无法再次访问此链接。）。使用注册的账号登录/web-security/all-labs，在“SQLinjection”目录下找到图中标识的目标链接。页面如图所示。任务实验2.单击上图的箭头处“Gifts”字样进行精确搜索，结果如图所示。3.确定查询返回的列数以及哪些列包含文本数据。验证查询是否返回包含文本的两列。在地址栏中地址的最后的category参数中添加如下所示的攻击语句：'+UNION+SELECT+'abc'，'def'--，得到结果如图所示。任务实验3.使用以下攻击语句检索users表（常见的用户表名，通常推测为user