中级安全 技术精讲课件

中级安全技术精讲课件第一章网络安全基础与核心概念CIA三要素扩展目标法律框架机密性、完整性、可用性是网络安全的核心抗抵赖性与可控性构建完整安全体系网络安全法与等级保护制度保驾护航基础网络安全三要素详解机密性（Confidentiality）完整性（Integrity）可用性（Availability）确保信息不被未授权访问和泄露保障数据在传输和存储过程中不被篡改确保授权用户能够及时访问所需资源加密算法保护敏感数据哈希校验数据一致性防护保障业务连续性•AES•MD5•DDoS非对称加密保障通信安全系列算法提供更强保护流量清洗技术过滤恶意攻击•RSA•SHA•访问控制机制防止越权访问数字签名技术验证数据来源负载均衡提升系统稳定性•••网络安全法与等级保护（等保）概述

2.0《中华人民共和国网络安全法》于年月日正式实施，标志着我国网络安全进201761入依法治理的新阶段0102法律背景等级保护制度网络安全法明确了网络运营者的安全义将信息系统按照重要性划分为五个安全保务，建立了关键信息基础设施保护制度护等级，实施分级分类管理03定级要求关键信息基础设施安全保护等级不得低于三级，涉及国家安全的系统可达四级或五级安全无小事防护从基础做起第二章等级保护实务流程详解定级确定信息系统安全保护等级备案向公安机关提交备案材料整改按照标准要求进行安全建设测评第三方机构开展等级测评监督接受主管部门持续监督检查等级保护工作遵循定级、备案、建设整改、等级测评、监督检查五个阶段的闭环管理流程企业需要严格按照流程要求，逐步推进等级保护工作，确保信息系统安全合规等级保护定级五级标准一级自主保护级受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益二级指导保护级受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全三级监督保护级受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害四级强制保护级受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害五级专控保护级受到破坏后，会对国家安全造成特别严重损害定级标准综合考虑受侵害的客体和对客体的侵害程度两个方面大多数企业信息系统定级为二级或三级，金融、能源、通信等关键信息基础设施通常定级为三级及以上等级保护备案与测评机构选择备案流程要点测评机构选择系统运营者应在系统投入运行后个工作日内完成备案等级测评必须由具备相应资质的第三方机构执行10填写备案表，包括系统名称、等级、定级依据等信息查验测评机构推荐证书的有效性和等级

1.•提交定级报告、专家评审意见、主管部门审批文件了解测评机构的行业经验和技术实力

2.•到所在地市级以上公安机关网安部门办理备案手续参考同行企业的测评机构选择

3.•获取备案证明，证明有效期为年综合考虑服务质量和费用成本

4.5•费用参考备案是等级保护工作的法定义务，未按规定备案可能面临警告二级系统测评起价约万元•4或罚款处罚三级系统测评起价约万元•7具体费用根据系统规模和复杂度调整•等级保护整改重点管理整改技术整改安全组织建设明确安全管理机构和岗位职责，建立负责制，配备专职安全安全产品部署配置防火墙、入侵检测系统（）、防篡改系统、日志审计系CISO IDS管理人员统等安全设备制度体系完善制定安全策略、管理制度、操作规程和应急预案，形成完整的安安全功能完善实现身份鉴别、访问控制、安全审计、数据加密、备份恢复等安全管理体系全功能人员安全管理开展安全意识培训，签订保密协议，实施背景审查和离岗管理漏洞修复加固定期开展漏洞扫描，及时修补系统和应用漏洞，加强安全配置企业常用整改案例某电商平台三级系统整改新增应用防火墙（）、数据库审计系统、堡垒机，完善账号管理和权限控制，建立小时安全监控中心，整改周期个月，投入约Web WAF7×24350万元等级保护测评六大阶段准备活动1签订测评合同，召开项目启动会，开展系统调研，了解系统架构和安全现状2方案编制确定测评对象和范围，选择测评指标，制定测评方案并获得批准现场测评3实施技术测评和管理测评，包括工具测试、人工核查、文档审查和人员访谈4报告编制分析测评结果，评定安全保护等级，编制测评报告并提交审核整改建议5针对发现的问题提出整改建议，指导系统运营者进行安全加固6整改验收整改完成后进行复测，验证整改效果，直至系统符合等级保护要求等级测评是等级保护工作的关键环节，测评周期通常为个月二级系统每两年至少测评一次，三级及以上系统每年至少测评一次测评不合格的系统需要整改后重新测评1-2严谨流程保障安全等级保护测评是一项系统性工程，需要测评机构、系统运营者和主管部门密切配合只有严格遵循规范流程，才能确保测评工作的专业性和有效性，真正提升信息系统的安全防护能力第三章核心安全技术详解

（一）身份鉴别与访问控制身份鉴别技术访问控制模型访问控制决定谁可以访问什么资源，是安全防护的核心机制DAC自主访问控制资源所有者自主决定访问权限MAC强制访问控制基于安全标签的强制策略RBAC基于角色访问控制通过角色管理权限，便于管理ABAC基于属性访问控制根据多种属性动态决策身份鉴别技术实操要点密码策略配置登录安全控制远程管理安全长度不少于位，包含大小写字母、数字设置登录失败锁定策略，连续失败次禁用等明文传输协议，改用•8•3-5•Telnet SSH和特殊字符后锁定账号加密连接定期强制修改，周期不超过天配置会话超时自动注销，空闲分启用双因素认证，增加动态令牌验证•90•15-30•钟后强制退出启用密码历史记录，防止重复使用近期限制远程访问地址范围，仅允许可信••IP密码记录登录日志，包括成功和失败的登录来源•尝试禁止使用弱口令和默认密码使用建立安全隧道，保护远程管理••VPN对特权账号实施更严格的鉴别措施流量•身份鉴别是安全防护的第一道防线企业应根据系统等级和业务需求，选择合适的鉴别方式，并严格执行密码策略和登录控制措施，有效防范身份冒用和非法访问访问控制策略与权限管理1最小权限原则用户和进程只被授予完成工作所必需的最小权限，避免过度授权带来的安全风险定期审查权限分配，及时回收不再需要的权限2职责分离原则将关键操作分解为多个步骤，由不同人员或角色完成，防止单人控制整个流程例如，系统开发和运维分离，审批和执行分离3访问控制粒度根据业务需求设置合理的控制粒度用户级控制到人，进程级控制到应用，文件级控制到具体数据对象越重要的资源，粒度应越细4授权管理流程建立规范的授权申请、审批、执行、审计流程明确授权主体的职责和权限，所有授权操作应有完整记录，便于事后追溯访问控制策略应与组织架构和业务流程相匹配，既要保障安全，又要兼顾效率实施RBAC模型可以大大简化权限管理，通过角色继承和约束机制，实现灵活而安全的访问控制第四章核心安全技术详解

（二）加密与哈希算法对称加密算法非对称加密算法加密和解密使用相同密钥，速度快，适合大量数据加密使用公钥加密、私钥解密，解决密钥分发问题（高级加密标准）目前最广泛使用的对称加密算法，支持最常用的非对称算法，基于大数分解难题AES RSA位密钥128/192/256（椭圆曲线）密钥更短但安全性相当，适合移动设备ECC（数据加密标准）较旧的算法，位密钥已不安全DES56基于离散对数问题，用于加密和数字签名ElGamal对的改进，使用三次加密提升安全性3DES DES密钥交换协议，用于协商会话密钥Diffie-Hellman位密钥，安全性高但专利限制使用IDEA128哈希算法特性常用哈希算法哈希算法将任意长度输入转换为固定长度输出，具有单向性、抗碰位输出，已发现碰撞攻击，不再推荐使用MD5128SHA-1撞性和雪崩效应常用于数据完整性校验、数字签名和密码存储位输出，逐步淘汰中系列，目160SHA-256/SHA-512SHA-2前最安全的哈希算法加密技术应用场景与实战数据传输加密协议为应用提供安全传输层，使用加密流量握手过程使用非对称加密交换会SSL/TLS WebHTTPS TLSHTTP话密钥，数据传输使用对称加密保证效率配置时应选择强加密套件，禁用过时协议版本数字签名技术实现抗抵赖性发送方用私钥对消息哈希值加密形成签名，接收方用公钥验证签名真伪数字签名同时保证消息完整性和发送者身份认证，广泛用于电子合同、代码签名等场景密钥管理密钥交换允许双方在不安全信道上协商共享密钥密钥生命周期管理包括生成、分发、存储、Diffie-Hellman更新和销毁使用密钥管理系统（）集中管理密钥，定期轮换密钥降低泄露风险KMS混合加密方案实际应用中常结合对称和非对称加密的优势，用非对称算法交换对称密钥，用对称算法加密数据内容，既保证安全性又兼顾性能第五章核心安全技术详解

（三）入侵检测与防护入侵检测系统（IDS）NIDS网络入侵检测HIDS主机入侵检测通过监控网络流量和系统活动，识别异部署在网络关键节点，监听网络流量，检测安装在关键主机上，监控系统调用、文件访IDS常行为和攻击特征，及时发出告警网络层和应用层攻击问、日志等，检测主机级威胁检测方法基于特征的检测（已知攻击模镜像流量到设备进行分析检测文件篡改、权限提升、恶意进程等•IDS•式）和基于异常的检测（偏离正常行为基识别端口扫描、攻击、注入等结合系统日志进行关联分析•DoS SQL•线）威胁占用主机资源，需要在每台主机部署•部署位置网络边界、关键网段、服务器主不影响网络性能，但可能漏检加密流量•机等响应方式被动监控告警或主动阻断攻击入侵检测是纵深防御体系的重要组成部分和各有优势，建议结合部署，构建立体化检测能力同时要持续更新特征库，调优检测规则，减NIDS HIDS少误报和漏报防火墙与技术VPN防火墙技术VPN技术IPSec VPN01包过滤防火墙工作在网络层，提供透明的端到端加密，适合站点到站点连接支持AH（认证头）和ESP（封装安全载荷）两种协议基于IP地址、端口号、协议类型等包头信息过滤，速度快但无法检测应用层威胁SSL VPN02基于Web浏览器，无需客户端软件，适合远程用户访问支持应用级访问控制，更灵活但性能略低于IPSec状态检测防火墙应用场景跟踪连接状态，检查数据包是否属于合法会话，提升安全性同时保持高性能•远程办公人员安全接入内网03•总部与分支机构互联应用代理防火墙•移动设备访问企业资源工作在应用层，深度检测应用协议内容，安全性最高但性能开销大第六章企业网络架构与安全分区DMZ非军事区位于内网和外网之间的缓冲区，部署面向公众的服务器如Web、邮件服务器受到内外双重防火墙保护，即使被攻破也不会直接威胁内网内部网络企业核心网络，部署业务系统和数据库，仅允许内部员工和授权用户访问实施严格的访问控制和安全监控，是安全防护的重中之重安全管理区部署安全管理设备和平台，如日志服务器、审计系统、安全运营中心物理和逻辑隔离，仅允许安全管理员访问，防止攻击者获取安全配置信息蜜罐系统模拟真实系统吸引攻击者，收集攻击情报和手法部署在隔离环境，与生产系统完全隔离，用于主动防御和威胁研究云计算安全挑战云环境下网络边界模糊化，传统基于边界的安全防护模式面临挑战需要引入零信任架构理念，强化身份管理和微隔离技术，实现永不信任，始终验证企业网络安全管理架构CISO1安全管理团队2安全运维团队3业务部门安全员4全体员工5CISO职责安全策略制定应急响应预案制定信息安全战略风险评估与分析事件分级标准•••领导安全团队建设安全目标确定响应流程和角色•••协调资源投入控制措施选择通信和上报机制•••向高层汇报安全状况策略审批与发布定期演练和改进•••安全管理是一把手工程，需要从组织、制度、技术、人员等多个维度系统推进建立完善的安全管理架构，明确各级人员的安全职责，是确保安全策略有效执行的关键第七章实战案例分析大型医院网络安全优化方案现状分析某三甲医院信息系统包括、、等核心业务系统，涉及大量患者隐私数据原有网络缺乏分区隔离，安全设备老化，面临勒索软件和数据泄露风险HIS PACSLIS优化方案重新规划网络架构，划分医疗业务区、办公区、区部署新一代防火墙实现区域隔离和访问控制升级核心交换机支持，保障关键业务流量优先级DMZ QoS安全加固部署终端安全管理系统，统一管理病毒防护和补丁更新建设日志审计平台，集中收集分析安全日志实施数据库审计，监控敏感数据访问启用数据加密和备份实施效果网络性能提升，关键业务响应时间缩短安全事件响应时间从小时级降至分钟级成功通过等级保护三级测评有效防御了多次勒索软件攻击，保障了医疗业务连续性30%案例医院网络与纵深防御设计QoSQoS流量保障纵深防御体系构建多层次安全防护体系，即使一层被突破也有后续防线医疗业务对网络实时性要求高，需要通过QoS技术保障关键业务边界防护防火墙+IPS阻断外部攻击流量分类PACS影像传输为最高优先级，HIS挂号收费为高优先级，办公上网为普通优先级区域隔离VLAN划分+ACL限制横向移动带宽保障为PACS预留50%带宽，保证大影像文件快速传输终端防护杀毒软件+终端管控拥塞管理采用WFQ加权公平队列，在拥塞时优先转发高优先级流量数据保护加密+备份+审计策略配置在核心交换机和路由器上配置统一的QoS策略安全监控SIEM平台7×24小时监控防火墙与IDS联动配置防火墙响应IDS告警，自动阻断检测到的攻击源IP，实现主动防御案例勒索软件事件响应流程1检测阶段（0-15分钟）终端安全软件告警发现异常加密行为，安全运营中心接到告警，初步判断为勒索软件攻击立即启动应急响应预案，通知相关人员2隔离阶段（15-30分钟）定位受感染主机，立即从网络隔离，防止横向传播关闭不必要的网络共享在防火墙封堵攻击源通知用户停止使用可能受影响的系统IP3分析阶段（30-120分钟）收集样本进行分析，确定勒索软件变种排查传播途径和影响范围评估数据损失情况检查备份系统是否受影响确定恢复方案4恢复阶段（2-24小时）从备份恢复受影响数据，验证数据完整性清除勒索软件痕迹，修补漏洞加强访问控制，更改相关账号密码逐步恢复业务系统上线5总结阶段（1-3天）编写事件报告，分析攻击原因评估应急响应效果，改进预案加强员工安全培训部署额外安全控制措施向主管部门报告重大安全事件关键经验备份策略至关重要份副本、种介质、份离线备份定期测试备份恢复流程实施最小权限访问控制，限制勒索软件传播范围3-2-1——321第八章最新安全趋势与技术展望云安全与混合云防护人工智能安全应用零信任架构理念随着企业上云加速，云安全成为新焦点混合云技术赋能安全检测和响应机器学习算法分析传统城堡护城河模式已不适应现代威胁环境AI环境下，需要统一的安全管理平台，实现公有海量日志数据，识别异常模式和未知威胁自动零信任架构基于永不信任，始终验证原则，对云、私有云、本地数据中心的一致安全策略云化威胁狩猎提升检测效率但也被攻击者利每个访问请求进行身份验证和授权通过微隔AI原生安全工具如（云安全态势管理）和用，生成的钓鱼邮件和深度伪造技术带来新挑离、软件定义边界（）等技术，实现细粒度CSPM AISDP（云工作负载保护平台）成为必备身份战安全团队需要掌握攻防技术，在对抗中保访问控制身份成为新的安全边界，是零信CWPP AIIAM和访问管理（）在云安全中地位凸显持领先任的核心IAM安全自动化与威胁情报安全自动化运维威胁情报应用面对日益增长的安全告警，自动化成为提升效率的关键威胁情报帮助组织主动防御，从被动响应转向主动狩猎SOAR平台安全编排、自动化和响应平台，集成多种安全工具，实现自动化工作流情报来源开源情报、商业情报平台、行业共享社区自动化场景告警聚合、漏洞扫描、威胁阻断、事件响应等情报类型战略情报（威胁趋势）、战术情报（攻击手法）、操作情报（IoC指标）效果提升将分钟级响应缩短至秒级，释放安全人员处理复杂问题应用方式与SIEM、防火墙、IDS等集成，自动阻断已知威胁DevSecOps将安全融入DevOps流程，实现持续安全威胁狩猎基于情报主动搜索网络中的潜在威胁态势感知平台整合内外部安全数据，通过大数据分析和可视化，全局掌握安全态势，实现持续监控和快速响应第九章软考中级网络安全核心知识点VPN配置ACL规则设计高频考点IPSec VPN配置步骤、IKE协商过程、预共享高频考点标准ACL和扩展ACL区别、通配符掩码计密钥设置算、ACL应用方向实验建议在GNS3中配置IPSec VPN隧道，测试连通性实验建议配置ACL实现网络分段访问控制漏洞修复高频考点SQL注入原理与防御、XSS跨站脚本攻击、CSRF攻击防护实验建议使用DVWA漏洞靶场练习攻防0102理论学习实验操作系统学习网络安全基础理论，理解协议原理和攻防机制使用GNS3模拟网络环境，配置防火墙、VPN等设备用Wireshark抓包分析流量，深入理解协议细节03真题练习大量刷题，掌握考试题型和答题技巧重点关注案例分析题，培养分析问题解决问题的能力备考资源推荐软考官方教程、希赛网在线课程、GNS3官方文档、Wireshark用户指南加入学习社区，与其他考生交流经验网络安全人才现状与职业发展行业人才现状薪资水平参考12K20K初级工程师中级工程师1-3年经验3-5年经验35K50K+高级工程师安全专家5-8年经验8年以上经验数据来源于一线城市平均水平，实际薪资受地域、行业、公司规模等因素影响我国网络安全人才缺口持续扩大，2024年预计超过250万人行业需求旺盛，人才供给不足，为从业者提供了广阔的职业发展空间123核心技能要求认证路径职业发展方向扎实的计算机网络基础、熟悉主流操作系统、掌握编程语言CISP（国家注册信息安全专业人员）、CISSP（国际信息系统技术专家路线（渗透测试、安全研究）、管理路线（安全主（Python/Java）、了解攻防技术和工具、具备应急响应能力安全专家）、CEH（道德黑客认证）、软考网络工程师/信息安管、CISO）、咨询路线（安全顾问、合规审计）全工程师结语构建坚实的网络安全防线安全是基石持续学习网络安全是企业数字化转型和业务发展的基础保安全技术日新月异，保持学习和实践才能跟上发障展未来展望协同防御共同守护数字化未来，构建安全可信的网络安全需要全员参与，建立安全文化至关重要空间合规要求技术创新严格遵守法律法规，落实等级保护等制度拥抱新技术，将、自动化应用于安全防护AI网络安全是一场没有终点的马拉松只有始终保持警惕，不断提升防护能力，才能在日益复杂的威胁环境中立于不败之地让我们携手共建网络安全防线，为数字经济的健康发展保驾护航安全无小事人人有责网络安全不仅是技术问题，更是管理问题和文化问题每个人都是安全防线的一部分，只有全员参与、共同努力，才能构建起坚不可摧的安全屏障谢谢聆听欢迎提问与交流后续学习资源推荐感谢各位参加本次中级安全技术精讲课在线平台、、安全客等CSDN FreeBuf程如有任何疑问或需要深入探讨的话技术社区题，欢迎随时交流实验环境训练平台、漏洞靶场、云CTF安全实验室网络安全是一个不断发展的领域，希望专业书籍《网络安全技术与实践》本课程能为您的学习和工作提供帮助，《信息安全原理与技术》助力您在信息安全领域取得更大成就技术会议互联网安全大会、ISC KCon黑客大会认证培训、等专业认证课CISP CISSP程祝各位在网络安全领域不断进步，学有所成！。