信息安全工程师精讲课件

信息安全工程师精讲课程课程内容导航0102信息安全基础理论信息安全关键技术从概念到模型，建立完整的安全知识体系深入学习网络、系统、应用与数据安全技术0304信息安全实战应用信息安全管理与法规掌握攻防实战、运维管理与应急响应能力了解管理体系建设与法律合规要求第一章信息安全基础理论信息安全概述信息安全的核心目标保密性完整性Confidentiality Integrity确保信息不被未授权人员访问或泄保证信息在传输和存储过程中不被篡露，保护数据隐私改，维持数据准确性可用性Availability确保授权用户在需要时能够及时访问信息和资源信息安全发展历程1早期病毒时代（）1980s-1990s计算机病毒出现，安全防护以杀毒软件为主2网络攻击时代（）2000s随着互联网普及，黑客攻击、蠕虫病毒大规模爆发3高级威胁时代（）2010sAPT攻击出现，震网病毒针对工业控制系统发起攻击4智能安全时代（）2020sAI驱动的攻防对抗，供应链攻击成为新威胁重大安全事件回顾震网病毒供应链攻击Stuxnet SolarWinds2010年发现的首个针对工业控制系统的蠕虫病毒，成功破坏了伊朗核设施的离心机这标志着网络武器时代的到来，展示了针对性攻击的巨大威力信息安全基本模型三元模型详解CIA保密性控制完整性控制•访问控制机制•数字签名验证•数据加密技术•哈希校验机制•身份认证系统•版本控制系统可用性控制•冗余备份系统•负载均衡技术•灾难恢复计划安全模型CNSS美国国家安全系统委员会（CNSS）提出的三维安全模型，将CIA三元组与信息状态（存储、传输、处理）和安全措施（技术、策略、人员）相结合，形成一个27单元的立方体模型该模型为信息安全提供了更全面的视角，帮助组织从多个维度评估和实施安全控制措施密码学基础加密技术分类对称加密使用相同密钥进行加密和解密，速度快，适合大量数据加密非对称加密使用公钥加密、私钥解密，安全性高，适合密钥交换和数字签名常用加密算法介绍算法算法算法AES RSAECC高级加密标准，对称加密算法，支持128/192/256位密钥长度，广泛最常用的非对称加密算法，基于大数分解难题，常用于数字签名、密钥椭圆曲线密码学，提供与RSA相同的安全级别但密钥更短，在移动设应用于数据加密、VPN通信等场景，具有高效和安全的特点交换和SSL/TLS协议，密钥长度通常为2048位或更高备和IoT场景中应用广泛，具有高效能低功耗的优势哈希函数与数字签名信息安全风险管理风险管理流程风险识别风险评估识别资产、威胁和脆弱性分析风险发生概率和影响风险处置持续监控选择控制措施降低风险跟踪风险变化并调整策略风险评估方法定性评估定量评估通过专家判断和经验，将风险分为高、中、低等级别，适用于快速评估和初步分析，简单易行但使用数学模型计算风险值，如年度预期损失（ALE），提供精确的数据支持，但需要大量历史数主观性较强据和专业知识典型风险案例信息安全体系结构安全架构设计原则最小权限原则纵深防御原则用户和程序只被授予完成任务所需的最小权限，减少潜在安全风险部署多层次、多维度的安全控制措施，形成立体防护体系故障安全原则职责分离原则系统在发生故障时应默认进入安全状态，防止安全机制失效关键操作需要多人协作完成,防止单点权限滥用多层防御体系（）Defense inDepth多层防御体系是现代信息安全架构的核心理念，通过在网络边界、主机系统、应用程序和数据等多个层面部署安全控制措施，即使某一层防护被突破，其他层仍能提供保护物理安全层机房访问控制、环境监控网络安全层防火墙、IDS/IPS、网络隔离主机安全层操作系统加固、终端防护应用安全层安全编码、应用防火墙数据安全层信息安全标准与规范体系等保制度ISO/IEC

270012.0中国网络安全等级保护制度

2.0版本，是国家网络安全的基本制度将信息系统划分为五个安全保护等级，要求不同等级的系统采取相应的安全保护措施•扩展到云计算、物联网、工控系统•强调主动防御和可信计算•定期开展测评和检查第一章回顾基础理论核心要点安全目标密码技术风险管理体系架构掌握保密性、完整性、可用性三大理解对称与非对称加密、哈希函数掌握风险识别、评估与处置流程了解纵深防御和安全设计原则核心目标应用思考题请分析纵深防御体系中如果网络层防护被突破，其他层面如何提供保护？

1.,在实际项目中，如何平衡安全性与可用性之间的矛盾？

2.比较与等保在实施过程中的异同点

3.ISO

270012.0第二章信息安全关键技术网络安全技术防火墙技术包过滤防火墙状态检测防火墙应用层防火墙基于网络层和传输层信息进行访问控制，检查IP地址、端口维护连接状态表，跟踪会话信息，可以识别合法的数据流深度检查应用层协议内容，可识别具体应用和攻击特征提号和协议类型优点是速度快、开销小，但只能进行简单的相比包过滤提供更高的安全性，能够防御会话劫持等攻击供最高级别的安全防护，但性能开销较大地址和端口过滤入侵检测与防御系统入侵检测系统IDS监控网络流量和系统活动，发现可疑行为后发出告警基于签名或异常检测技术识别攻击，但不主动阻断入侵防御系统IPS在IDS基础上增加主动防御能力，可实时阻断攻击流量部署在网络关键路径上，提供inline防护与安全通信VPN系统安全技术操作系统安全加固0102最小化安装权限配置只安装必要的组件和服务，减少攻击面实施最小权限原则，禁用不必要的账户0304安全策略服务加固配置密码策略、审计策略和安全选项关闭危险服务，配置安全参数系统加固实践要点系统系统通用措施Windows Linux•启用Windows Defender•配置SELinux/AppArmor•及时安装安全补丁•配置组策略和安全模板•使用sudo限制root访问•启用系统日志审计•禁用SMBv1等危险协议•配置iptables防火墙•定期进行安全扫描•启用BitLocker磁盘加密•关闭不必要的网络服务•实施文件完整性监控漏洞扫描与补丁管理应用安全技术应用常见安全威胁Web12注入攻击跨站脚本攻击（）SQL XSS攻击者通过构造恶意SQL语句，绕过应用程序的访问控攻击者注入恶意脚本代码到网页中，当其他用户浏览时执制，获取、修改或删除数据库中的敏感数据行，可窃取Cookie、会话令牌或敏感信息防护措施使用参数化查询或预编译语句，对输入进行严防护措施对输出进行HTML编码，设置HTTPOnly格验证和过滤，实施最小权限原则Cookie，实施内容安全策略（CSP）3跨站请求伪造（）CSRF诱导用户在已登录状态下执行非本意的操作，利用浏览器自动携带Cookie的特性发起恶意请求防护措施使用CSRF Token验证，检查Referer头，采用双重Cookie验证移动应用安全要点安全威胁防护策略•应用逆向工程和代码注入•代码混淆和完整性校验•不安全的数据存储•敏感数据加密存储•通信劫持和中间人攻击•使用HTTPS和证书锁定•恶意第三方SDK数据安全技术数据生命周期安全创建阶段存储阶段数据分类分级，定义安全要求加密存储，访问控制，备份保护销毁阶段传输阶段安全销毁，销毁证明，记录留存加密传输，安全通道，传输审计归档阶段使用阶段长期保存，定期验证，合规管理权限管理，操作审计，数据脱敏数据加密技术静态数据加密动态数据加密保护存储在磁盘、数据库中的数据可采用全盘加密、数据库透明加密（TDE）或文件级加密常用技术包括AES-256加保护传输中的数据使用TLS/SSL加密HTTPS通信，IPSec加密网络流量，SFTP/FTPS加密文件传输确保端到端的数据保密、国密SM4算法等护数据备份与恢复策略身份认证与访问控制多因素认证技术（）MFA知识因素持有因素生物因素用户知道的信息用户拥有的物品用户的生物特征密码和口令硬件令牌指纹识别••••PIN码•智能卡•人脸识别•安全问题答案•手机短信/APP•虹膜扫描访问控制模型自主访问控制（）强制访问控制基于角色的访问控制DAC（）（）MAC RBAC资源所有者决定谁可以访问系统根据安全标签强制实施资源灵活但安全性较弱，访问规则，用户无法更改常见于和文安全性高，适用于军事和政Windows Linux件系统的权限管理府高安全场景安全审计与监控安全日志管理12日志收集日志存储从各类系统、设备、应用收集日志数据集中存储，确保完整性和不可篡改性34日志分析告警响应实时分析，关联分析，发现异常行为触发告警，启动应急响应流程关键审计事件身份与访问审计系统与数据审计•用户登录、登出和认证失败•系统配置变更•权限变更和角色分配•敏感数据访问记录•特权账户使用记录•文件和数据库操作•异常访问行为•安全事件和告警异常行为检测技术新兴安全技术人工智能在安全中的应用区块链安全基础区块链技术通过分布式账本、加密算法和共识机制，提供数据不可篡改、去中心化和可追溯的特性在供应威胁检测链溯源、数字身份认证、电子证据存证等场景有广泛应用安全特点利用机器学习识别恶意软件、异常流量和攻击模式，提高检测准确率和响应速度•密码学保障数据完整性自动化响应•共识机制防止恶意篡改智能编排安全运营流程，实现告警分类、事件响应和威胁处置的自动化•去中心化降低单点风险安全挑战风险预测•智能合约漏洞风险分析海量数据预测潜在安全风险，提供主动防御能力•51%攻击威胁第二章技术综合应用多层安全技术协同在实际环境中，各项安全技术需要协同工作，构建完整的防护体系企业安全技术栈案例网络层防火墙+IPS+VPN系统层主机加固+EDR+补丁管理应用层WAF+代码审计+渗透测试数据层加密+DLP+备份身份层MFA+IAM+SSO管理层SIEM+审计+威胁情报技术选型考虑因素业务需求成本效益可管理性根据业务特点、数据敏感度和合规要求选择合适的安全技术和产品平衡安全投入与风险收益，选择性价比高的解决方案第三章信息安全实战应用安全攻防实战常见攻击手法解析钓鱼攻击（）Phishing攻击方式通过伪造邮件、短信或网站，诱导用户泄露账号密码、信用卡信息等敏感数据1典型场景伪装成银行、电商平台、IT部门发送钓鱼邮件，包含恶意链接或附件防御措施用户安全意识培训、邮件安全网关、反钓鱼工具、双因素认证勒索软件攻击（）Ransomware攻击方式恶意软件加密受害者文件，要求支付赎金才能解密常通过钓鱼邮件、漏洞利用传播2典型场景WannaCry、Petya等大规模勒索软件攻击，造成全球性影响防御措施定期备份数据、及时打补丁、部署EDR、网络隔离、应急响应计划防御策略与应急响应事前预防事中检测安全加固、漏洞修复、安全培训实时监控、异常告警、威胁分析事后响应持续改进隔离控制、清除威胁、恢复系统安全运维管理安全设备配置与管理管理IDS/IPS•规则更新及时更新攻击特征库防火墙管理•误报处理调优规则，降低误报•性能监控避免过载，确保可用•策略设计默认拒绝，最小权限•联动响应与防火墙等设备协同•规则优化定期审查，清理冗余•日志监控分析流量，检测异常•变更管理审批流程，配置备份漏洞管理与安全加固安全事件响应事件分类体系紧急1高级2中级3低级4信息级5安全事件处理流程检测与报告通过监控系统发现异常，或接收用户报告，立即记录事件基本信息分析与分类初步分析事件性质、影响范围和严重程度，确定事件等级遏制与隔离快速隔离受影响系统，防止事件扩散，保护关键业务根除威胁清除恶意代码，修复漏洞，消除攻击者的访问权限恢复系统从备份恢复数据，验证系统安全性，逐步恢复业务总结改进编写事件报告，分析根本原因，更新应急预案勒索软件应对案例安全测试与渗透测试渗透测试方法论信息收集域名、IP、网络拓扑、技术栈漏洞扫描自动化工具识别潜在漏洞漏洞利用验证漏洞可利用性权限提升获取更高级别访问权限横向移动在内网中扩展控制范围报告输出详细记录发现和建议常用渗透测试工具信息收集工具漏洞扫描工具漏洞利用工具•Nmap网络扫描•Nessus综合扫描•Metasploit渗透框架•Shodan设备搜索•Burp SuiteWeb扫描•Cobalt Strike红队工具•Whois域名信息•OpenVAS开源扫描•Empire后渗透框架•TheHarvester信息聚合•SQLMap SQL注入•Mimikatz凭证提取漏洞挖掘实战技巧漏洞挖掘需要深入理解目标系统的工作原理和代码逻辑重点关注输入验证、认证授权、会话管理、加密实现等关键环节使用代码审计工具发现潜在缺陷，结合手工测试验证漏洞建立漏洞知识库，跟踪最新安全研究成果遵循负责任披露原则，及时向厂商报告发现的漏洞信息安全工程师职业发展核心技能要求职业发展路径初级工程师安全运维、设备管理中级工程师渗透测试、应急响应高级工程师架构设计、团队技术负责人安全专家威胁研究、安全咨询安全架构师整体规划、战略制定安全管理者CISO、安全团队管理第四章信息安全管理与法规建立完善的管理体系，遵循法律法规，实现安全合规运营信息安全管理体系建设建设流程ISMS计划（）执行（）Plan Do建立安全方针、确定范围、识别风险、选择控制措施实施安全控制措施、培训员工、分配资源改进（）检查（）Act Check纠正措施、预防措施、持续改进监控评审、内部审核、管理评审核心文件体系ISMS第一层方针政策第二层管理制度信息安全方针、安全战略、管理目标访问控制制度、变更管理制度、应急预案等第三层操作规程第四层记录表单具体操作步骤、技术实施细则、工作指引检查表、记录单、审批表、报告模板安全策略制定要点法律法规与合规要求《网络安全法》核心内容网络产品和服务安全网络运行安全产品和服务应当符合国家标准，不得含有恶意程序，提供者应履行安全义务落实等级保护制度，制定安全管理制度和操作规程，防范网络攻击网络信息安全关键信息基础设施保护保护个人信息，不得泄露、篡改、损毁收集的个人信息重要行业和领域的关键信息基础设施实施重点保护《个人信息保护法》要点个人信息处理原则个人信息主体权利•合法、正当、必要和诚信原则•知情权和决定权•目的明确、最小必要原则•查询和复制权•公开透明原则•更正和补充权•准确性和安全性原则•删除权和可携带权处理个人信息应当取得个人同意，明确告知处理目的、方式和范围个人有权要求处理者解释说明、访问个人信息、更正错误信息或删除个人信息合规实践要点0102建立合规管理体系开展数据合规审查设立专门负责人，制定隐私政策梳理数据流转，识别合规风险0304实施技术保护措施建立应急响应机制加密、脱敏、访问控制、审计个人信息泄露事件报告和处置展望未来成为优秀的信息安全工程师年考试备考建议20251系统学习理论知识2动手实践操作全面掌握信息安全基础概念、密码学原理、网络安全技术等核心理论，建立完整的知识体系重点关注等保

2.

0、零信搭建实验环境，练习防火墙配置、漏洞扫描、渗透测试等实战技能通过CTF竞赛和漏洞靶场提升技术水平任架构等新标准3研究真题和案例4关注前沿技术分析历年考试真题，掌握考试重点和题型特点研究典型安全事件案例，理解理论在实际中的应用跟踪AI安全、云安全、物联网安全等新兴领域发展，了解最新威胁和防护技术持续学习与职业成长技术提升路径软技能培养•参加技术社区和安全会议•提升沟通表达能力•阅读安全研究报告和论文•培养团队协作精神•参与开源安全项目•增强项目管理能力•考取专业认证•建立安全思维模式信息安全行业发展趋势万万35%35020+年均增长率人才缺口平均年薪全球网络安全市场预计保持高速增长全球信息安全专业人才严重短缺高级安全工程师薪资水平持续上涨信息安全不是一次性的项目，而是持续的过程保持学习热情，紧跟技术发展，你将在这个充满挑战和机遇的领域中获得成功！祝愿各位学员顺利通过考试，成为优秀的信息安全工程师，为网络空间安全贡献力量！。