网络与信息安全.ppt

1、网络与信息安全 行业发展与专业培养,自我介绍,军队退役大校军官，原总参某部信息中心主任，高工； 军队优秀中青年专家（享受津贴）军队科技进步奖专家评委（作战指挥、信息化作战）； 工业和信息化职业教育教学指导委员会，委员 人社部CCAT项目，网络板块专家 全国高等院校计算机基础教学委员会高职高专委员会，常务理事 中国软件、神州数码等企业行业专家 2011、2012、2013年全国职业院校技能大赛信安赛项执行裁判长；2011、2012年全国职教信息化教学大赛评判专家,网络与信息安全 -行业发展与人才需求,1、基本概念 2、中国的网络与信息安全 3、人才需求 4、高职信安赛项,网络与信息安全1、基本概

2、念,1、网络与信息安全：基本概念,网络与信息安全是陆、海、空、天之上的第五维国家安全边界。 网络与信息安全是一个关系国家主权、安全、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。 网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露；系统连续可靠正常地运行，网络服务不中断。,网络信息安全5 大特征 1. 完整性：指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性，即

3、保持信息原样性，使信息能正确生成、存储、传输，这是最基本的安全特征。 2. 保密性：指信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。,1、网络与信息安全：5大特征,3. 可用性：指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。 4. 不可否认性：指通信双方在信息交互过程中，确信参与者本身，以及参与者所提供的信息的真实同一性，即所有参与者

4、都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。 5. 可控性：指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性，即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外，最典型的如密码的托管政策，当加密算法交由第三方管理时，必须严格按规定可控执行。,1、网络与信息安全：5大特征,网络与信息安全2、中国的网络与信息安全,技术研究与产品制造 政府电子政务体系 重要系统的安全等级保护 智慧城镇建设和运行-需要更广泛的网络与信息安全保障 国家社会稳定与国家网络与信息安全,2、中国的网络与信息安全：业态,2、中国的网

5、络与信息安全,政府电子政务建设与网络与信息安全 国家十一五信息化发展重点专项（国信办） 内外网隔离与边界交换-湖北电子政务架构 安全边界防护与数据摆渡公安部典型系统 异地备份与灾难恢复杭州示范案例 网络与信息安全年度检查与整改各级政府信安处基本职能，各地信安测评机构承担实施,国家重要系统实施安全等级保护制度 -定级、备案、安全建设整改、等级测评和监督检查 最早从公安系统开始，按损害合法权益与危及国家安全的程度，分5级 核心价值：把网络与信息安全问题分解量化 目前扩大到多个政府部门和重要信息系统 等保行业化：如，通信网元与互联网；电力、金融、电信、军队等 院校也开始实施安全等级保护,2、中国的网

6、络与信息安全,智慧城镇建设：国家十二五信息化建设重点 信息安全更为普及和更加重要-涉及国计民生和社会公共安全 智慧城镇：把政府管理与服务、企业业务与运营、市民工作生活，统统通过网络和数据中心融合为一体 原本远离我们的网络与信息安全，变得须臾不可缺少 智慧宁波项目，智慧医疗的实例,2、中国的网络与信息安全,国家网络与信息安全应急保障体系 工信部网络与信息安全指导协调司主导 将网络与信息安全突发事件分成四级 建立国家、省市、行业纵横三级的应急保障系统 编制各级各类应急预案 年度应急演练,2、中国的网络与信息安全,国家稳定与国家网络与信息安全 国家社会稳定 舆情监控， 国家间信息安全冲突 美国NSA

7、“棱镜项目”,2、中国的网络与信息安全,网络与信息安全 3、人才需求,技术研发与产品制造类 工程类：网络安全工程师 系统安全工程师 管理类：信息安全规划师 运维安全管理师 服务类：系统安全测评师 系统安全审计师,3、网络与信息安全：人才需求,行业发展对人才的需求,系统安全管理岗位 系统安全规划师 运维安全管理师 系统安全服务岗位（政府机构与特许企业） 系统安全审计师 系统安全测评师 职业院校网络信安相关专业毕业生就业要逐步转向管理与服务类岗位,根据2012年发布的高等职业学校专业教学标准，对不同类型机构所需要的信息安全相关职业岗位能力的分析结果，建立专业人才培养课程框架。,“信息安全技术”专业

8、课程框架,3、网络与信息安全：课程框架,系统管理的三权分立 系统管理员 数据管理员 安全管理员,3、网络与信息安全：人才需求,安全管理岗位 对既定系统，按照安全保护要求，遵照相关法规和标准，制定安全规划，实施安全部署，建立管理队伍与管理制度。 按照制度，实施运行管理，收集日志信息，实时或定期响应，对边界、数据、行为等状态通过审计，进行分析评价，处置异常情况，实施常维护管理。 根据运维状态，不断进行技术、设备、人员和制度完善升级，达到系统安全运行之目的。 系统安全规划师 运维安全管理师,3、网络与信息安全：人才需求,运维管控系统,课程名称：系统运维安全管控 教材名称：系统运行维护安全管理与控制

9、出版社：外语教学与研究出版社 本教材纳入被评定为“十二五国家级规划教材”,课程介绍：课程总体设计,课程性质：面向就业，促进信安专业优化的高端应用课程 课程定位（依岗位需求，岗位定位）： 甲方单位（包括安全产品厂商、系统集成商、系统服务商等）的各类技术及技术管理岗位，包括售前技术岗位、售后技术岗位、专业技术服务岗位及技术经理岗位等 乙方单位（各类对信息系统依存度较高的政府及大中型企事业单位）的各类技术及技术管理岗位，包括系统管理员，网络管理员、数据库管理员、安全管理员及信息中心技术经理等 第三方单位（信息安全监理、信息安全测评中心等安全测评相关岗位,课程介绍：课程内容选取与组织,配套资源,教学资

10、源 书籍系统运行维护安全管理与控制 系统运行维护安全管理与控制实训教程 系统运行维护安全管理与控制教师指导书 PPT课件 系统运行维护安全管理与控制讲授PPT 实训室 实训需要的网络设备、服务器设备和学生用机； 运行维护安全管控产品、其他实训工具及说明书，容纳（8组*6人）学生同时进行实训。,实验组1,虚拟管控目标机,虚拟平台,实验组2,实验组8,实验室结构拓扑图,系统运维管控实训设备,证书认证,国家信息化计算机教育认证是国家信息产业部和中国电子商务协会共同批准设立。CEAC为管理岗位提供“运维安全管理师”证书认证。,网络与信息安全 4、信安技能大赛,2009年赛项：网络搭建与安全部署 201

11、1年赛项：网络搭建与安全部署+安全攻防 2012年赛项：+等级保护：漏扫、攻击、加固、评估 2013年赛项：+根据预设情形编写运维管控报告+系统加固。,4、网络与信息安全：信息安全技能大赛 -行业与职教互动的平台：以赛促教、以赛促改,2011年赛场,2011年场外盛况：70多个参赛队进行网络攻防，各方反映热烈,第一阶段赛题（A卷）安全基础与信息安全等级保护知识（100分）（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）,1.防恶意代码产品目前有哪些（ ） A.防病毒网关 B.包含防病毒模块的多功能安全网关 C.网络版防病毒系统 D.恶意代码特征库 2.AR

12、P欺骗分为哪两种（ ） A.对网络设备ARP表的欺骗 B.对内网PC的网关欺骗 C.伪造MAC地址的欺骗 D.对系统日志进行更改,第二阶段赛题 任务1：网络搭建(200分) （注意：第一部分提交所有设备配置文件，并存放到“提交专用U盘”中的“网络设备配置文件”目录下） 1、拓扑结构图,任务2：安全策略部署,根据赛题地址列表正确配置设备接口信息。(10分) 现在国际关系紧张，禁止PCA发送带有“高丽棒子”等字眼的邮件，通过上网行为管理进行设置。(20分) 通过上网行为管理设备，监控PCA的聊天记录。(10分) 网络内有一台流量管理设备，使用其对PCA的会话进行整理。(10分) 通过流量管理设备，

13、当PCB访问PCA时，限制其速度在2M。(10分) 但是当PCA访问PCB是，网速不都受到限制。(10分) PCA的员工不会配置地址，所以在DCFW2上设置DHCP，为其分配IP地址。(10分) PCA与PCB通信时需要安全的通道，所以在DCFW1与DCFW2上设置IPsecVPN，保证数据安全。(20分) 网络内有一台网站服务器，通过waf，对网站进行保护，不允许更改其网页(20分) 同时对网站进行防DDos攻击设置。(20分) 网络内运行OSPF动态路由协议，使其全网互通。(20分) 在DCR2与DCFW2之间运行OSPF明文认证，口令为：1234567890(16分) 在DCR1与DCR

14、2之间运行IpSecVPN，使其能够正常通信。(20分) 将PCC的地址绑定至DCS上，且2端口不允许其他PC接入。(4分),任务1 加固系统(60%) 要求设置安全策略，使密码必须满足复杂性（6%） 截图说明： 要求系统关闭了所有默认共享（6%） 截图说明： 要求用户设置安全策略，不允许SAM帐户的匿名枚举（6%） 截图说明： 要求用户设置安全策略，不允许SAM帐户的和共享的匿名枚举（6%） 截图说明： 开启审核对象访问，成功与失败（6%） 截图说明： 开启审核系统事件，成功与失败（6%） 截图说明：,第二阶段 系统加固(300分) （注意：本阶段将答案填写至“系统加固.doc”文档中，并保

15、存至“提交专用U盘”中的“系统加固”目录中，该文件电子模板在参赛机中）,对站点根文件夹启用审核功能（10%） 截图说明： 设置正确的Internet来宾账户权限（10%） 截图说明： 设置站点最大连接数为200（10%） 截图说明： 更改站点端口号为81（10%） 截图说明：,任务2、 加固WEB服务(40%) （注意：本阶段填写并提交电子版加固WEB服务，该文件电子模板在参赛机中）,作为一名成熟的安全工程师，在工作过程中发现你所控制的服务器问题非常大，为了能够让上级重视这个问题，你必须向上级反映。你现在需要完成三件事： 1、对整个网络系统的安全性进行评估，并根据模板填写电子版审计报告。(100分) 2、通过审计过程，设计并填写电子版的整改方案。(100分) 3、通过前2个步骤，填写最终的电子版评估报告(100分),第三阶段：安全评估(300分) （注意：本阶段将答案填写至“安全评估.doc”文档中，并保存至“提交专用U盘”中的“安全评估”目录中，该文件电子模板在参赛机中）,第四阶段：攻防对抗（100分）（注意：本阶