1、物理环境与网络通信安全物理环境与网络通信安全版本:4.2讲师姓名 机构名称课程内容课程内容2物理与网络通信安全物理与网络通信安全知识域知识域知识子域知识子域OSI模型模型典型网络攻击防范典型网络攻击防范网络安全防护技术网络安全防护技术TCP/IP协议安全协议安全物理安全物理安全无线通信安全无线通信安全知识子域:物理与环境安全知识子域:物理与环境安全v环境安全 了解物理安全的重要性; 了解场地和环境安全应关注的因素:包括场地选择、抗震及承重、防火、防水、供电、空气调节、电磁防护、雷击及静电等防护技术;3知识子域:物理与环境安全知识子域:物理与环境安全v物理安全的重要性 信息系统安全战略的一个重要
2、组成部分 物理安全面临问题 环境风险不确定性 人类活动的不可预知性v典型的物理安全问题 自然灾害(地震、雷击、暴雨、泥石流等) 环境因素(治安、交通、人流及经营性设施风险) 设备安全、介质安全、传输安全4场地选择场地选择v区域:避开自然灾害高发区域v环境:远离可能的危险因素 治安、人流量等 加油站、化工厂等v其他:消防、交通便利5抗震及承重抗震及承重v抗震:国标 结构抗震设计规范) 特殊设防类 重点设防类 标准设防类v承重 考虑设计(建筑的设计是否考虑了应对可能的偶然事件) 考虑时间因素(建筑有效期) 考虑使用因素(正常使用、正常维护)6火灾火灾v预防:防火设计及阻燃材料v检测:火灾探测器 感
3、烟 感温 感光 可燃气体探测v抑制 水(较少使用,通常做周边防护) 气体:二氧化碳、七氟丙烷、三氟甲烷等7知识子域:物理与环境安全知识子域:物理与环境安全v防水 远离水浸威胁(参考场地选择) 检测:水浸探测器 处置:在应急事件处置中要安排相应的处置流程v供电 双路供电 发电机 UPSv空气调节8知识子域:物理与环境安全知识子域:物理与环境安全v电磁防护 解决电磁辐射产生的信息泄露问题 电磁屏蔽:屏蔽线、屏蔽机柜、屏蔽机房 信号干扰:避免信息还原 Tempest技术:对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术领域的总称v雷击及静电 直击雷:避雷针、法拉第笼 感
4、应雷:电涌保护器 静电:放电、防静电服9知识子域:物理与环境安全知识子域:物理与环境安全v设施安全 了解安全区域的概念及相关防护要求; 了解边界防护的概念及相关防护要求; 理解审计及监控的概念及相关防护要求。v传输安全 理解同轴电缆、双绞线、光纤等有线传输技术及安全特点; 理解无线安全传输技术及安全特点;10设施安全设施安全- -安全区域与边界防护安全区域与边界防护v安全区域 建立安全区域,明确物理安全边界 对受控区域进行保护,建立屏蔽及访问控制机制v边界防护 所有物理出入通道的防护 门:锁、门禁 窗:铁栅栏 通风口11设施安全设施安全- -审计及监控审计及监控v审计及监控 对安全区域的出入行
5、为进行记录 对非法闯入进行检测v实现方式 出入记录(登记、门禁) 闭路电视 非法闯入探测(红外微波双鉴探头、玻璃破碎探测器等) 安保人员12传输安全传输安全v有线传输:同轴电缆、双绞线、光纤 安全风险:非法接入、破坏 防护措施:保护措施(深埋、套管)、标识v无线传输 安全风险:开放信道 防护措施:加密13知识子域:知识子域:OSIOSI通信模型通信模型vOSI模型 理解OSI七层模型构成及每一层的作用; 理解协议分层的作用。vOSI模型通信过程 理解OSI模型通信过程及数据封装、分用等概念vOSI模型安全体系构成 了解OSI模型安全体系的构成; 了解OSI模型的五类安全服务、八种安全机制的概念
6、。14ISO/OSIISO/OSI七层模型结构七层模型结构v模型定义了网络中不同计算机系统进行通信的基本过程和方法v底层协议 偏重于处理实际的信息传输,负责创建网络通信连接的链路,包括物理层、数据链路层、网络层和传输层v高层协议 处理用户服务和各种应用请求,包括会话层、表示层和应用层15应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层OSIOSI模型特点模型特点v分层结构的优点 各层间相互独立 降低复杂性 促进标准化工作 协议开发模块化v数据封装与分用(解封装)16OSIOSI安全体系结构安全体系结构v目标 保证异构计算机进程与进程之间远距离交换信息
7、的安全v五类安全服务 鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和抗抵赖服务v八种安全机制 加密、数据签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公正17知识子域:知识子域:TCP/IPTCP/IP模型模型v协议结构及安全问题 了解TCP/IP协议的体系及每一层的作用; 了解网络接口层的作用及面临的网络安全问题; 了解IP协议的工作机制及面临的安全问题; 了解传输层协议TCP和UDP的工作机制及面临的安全问题; 了解应用层协议面临安全问题。v安全解决方案 了解基于TCP/IP协议簇的安全架构; 了解IPv6对网络安全的价值。18TCP/IPTCP/IP协议结构协议结
8、构19网络接口层网络接口层v主要协议 ARP RARPv安全问题 损坏:自然灾害、动物破坏、老化、误操作 干扰:大功率电器/电源线路/电磁辐射 电磁泄漏:传输线路电磁泄漏 欺骗:ARP欺骗 嗅探:常见二层协议是明文通信的 拒绝服务:mac flooding,arp flooding等20网络互联层核心协议网络互联层核心协议-IP-IP协议协议vIP是TCP/IP协议族中最为核心的协议v目前广泛使用的IPv4提供无连接不可靠的服务21版本版本包头长度包头长度服务类型服务类型数据包长度数据包长度标识标识标记标记偏移偏移生存期生存期协议类型协议类型包头校验和包头校验和源源IPIP地址地址目的目的IP
9、IP地址地址可选项可选项用户数据用户数据网络互联层安全问题网络互联层安全问题v拒绝服务:分片攻击(teardrop)/死亡之pingv欺骗:IP源地址欺骗v窃听:嗅探v伪造:IP数据包伪造22传输层协议传输层协议-TCP-TCP(传输控制协议)(传输控制协议)v提供面向连接的、可靠的字节流服务v提供可靠性服务 数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量 23传输层协议传输层协议-UDP-UDP(用户数据报协议)(用户数据报协议)v提供面向事务的简单不可靠信息传送服务v特点 无连接、不可靠 协议简单、占用资源少,效率高 24传输层安全问题传输层安全问题v拒绝服务:syn
10、flood/udp flood/Smurfv欺骗:TCP会话劫持v窃听:嗅探v伪造:数据包伪造25v应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文v典型的应用层协议 域名解析:DNS 电子邮件:SMTP/POP3 文件传输:FTP 网页浏览:HTTP 26应用层协议应用层协议应用层协议安全问题应用层协议安全问题v拒绝服务:超长URL链接v欺骗:跨站脚本、钓鱼式攻击、cookie欺骗v窃听:数据泄漏v伪造:应用数据篡改v暴力破解:应用认证口令暴力破解等v27基于基于TCP/IPTCP/IP协议簇的安全架构协议簇的安全架构28知识子域:无线通信安全知识子域:无线通信安全v无线局域
11、网安全 了解无线局域网安全协议WEP、WPA2、WAPI等工作机制及优缺点; 理解无线局域网安全防护策略。v蓝牙通信安全 了解蓝牙技术面临的保密性、完整性、非授权连接、拒绝服务等安全威胁; 理解使用蓝牙的安全措施。vRFID通信安全 了解RFID的概念及针对标签、针对读写器和针对信道的攻击方式; 理解RFID安全防护措施。29无线局域网安全协议无线局域网安全协议-WEP-WEPv提供功能 传输加密 接入认证(开放式认证、共享密钥认证)v开放式认证系统 通过易于伪造的SSID识别,无保护、任意接入 MAC、IP地址控制易于伪造v共享密钥认证 弱密钥问题 不能防篡改 没有提供抵抗重放攻击机制30无
12、线局域网安全协议无线局域网安全协议-WPA-WPA、WPA2WPA2v802.11i WPA(802.11i草案) WPA2(802.11i正式)v802.11i运行四阶段 发现AP阶段 802.11i认证阶段 密钥管理阶段 安全传输阶段31WAPIWAPI无线安全协议无线安全协议vWAPI的构成 WAI,用于用户身份鉴别 WPI,用于保护传输安全vWAPI的安全优势 双向三鉴别(服务器、AP、STA) 高强度鉴别加密算法32无线局域网应用安全策略无线局域网应用安全策略v管理措施 组织机构安全策略中包含无线局域网安全管理策略 结合业务对无线局域网应用进行评估,制定使用和管理策略v技术措施 加密
13、、认证及访问控制 访客隔离 安全检测措施33近距离无线通信安全近距离无线通信安全- -蓝牙蓝牙v安全威胁 保密性威胁:密钥生成基于配对的PIN 完整性威胁:未授权设备实施的中间人攻击 可用性威胁:拒绝服务 非授权连接v蓝牙安全应用 蓝牙设备选择:技术上应具备抵抗以上威胁的能力 蓝牙设备使用:企业应用应建立管理要求34近距离无线通信安全近距离无线通信安全-RFID-RFIDv安全威胁 针对标签攻击:数据窃取、标签破解及复制 针对读写器的攻击:拒绝服务、恶意代码 针对无线信道的攻击:干扰、嗅探v安全防护 重要的RFID标签(例如用于身份鉴别),支持Kill和休眠的标签 使用高安全加密算法的标签 涉
14、及资金的应用使用在线核查方式35知识子域:典型网络攻击与防范知识子域:典型网络攻击与防范v欺骗攻击 了解IP欺骗、ARP欺骗、DNS欺骗等电子欺骗攻击的实现方式及防护措施。v拒绝服务攻击 了解SYN Flood、UDP Flood、Teardrop等拒绝服务攻击实现方式; 了解分布式拒绝服务攻击实现方式及拒绝服务攻击应对策略。36网络攻击与防范网络攻击与防范- -欺骗攻击欺骗攻击v欺骗攻击(Spoofing) 通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术 v常见类型 IP欺骗 ARP欺骗 DNS欺骗 37BACHello,Im B!ARPARP欺骗实现欺骗实现vARP协议
15、实现特点 ARP协议特点:无状态,无需请求可以应答 ARP实现:ARP缓存38bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aa192.168.1.1192.168.1.2MAC cc:cc:cc:cc:cc is 192.168.1.1收到,我会缓存!收到,我会缓存!192.168.1.3Internet地址 物理地址192.168.1.1 cc:cc:cc:cc:cc192.168.1.1HelloCC:CC:CC:CC:CCAA:AA:AA:AA:AA192.168.1.1Hello典型攻击:典型攻击:IPIP欺骗欺骗vIP欺骗是一系列步骤构成的攻击39
16、确认攻击目标使被冒充主机无法响应猜测正确的会话序号伪造会话冒充受信主机BAC拒绝服务攻击连接请求伪造B进行系列会话A的序数规则DNSDNS欺骗欺骗- -攻击实现攻击实现?Other DNS? 2.2.2.2 1.1.1.1攻击者DNS服务器DNS服务器客户机?Qid=222.2.2.2Qid=22我的缓存中有记录,我告诉你!网络攻击与防范网络攻击与防范- -拒绝服务攻击拒绝服务攻击v拒绝服务攻击 让被攻击的系统无法正常进行服务的攻击方式v拒绝服务攻击方式 利用系统、协议或服务的漏洞 利用TCP协议实现缺陷 利用操作系统或应用软件的漏洞 目标系统服务资源能力 利用大量数据挤占网络带宽 利用大量请
17、求消耗系统性能 混合型41拒绝服务是一类攻击方式的统称!典型攻击:典型攻击:SYN FloodSYN Floodv原理:伪造虚假地址连接请求,消耗主机连接数42(syn) Hello ,Im 2.2.2.2(syn+ack) Im ready?Im waiting(syn) Hello ,Im 2.2.2.2?Im waiting(syn) Hello ,Im 3.3.3.3Im waitingIm waitingIm waiting1.1.1.11.1.1.12.2.2.2网络攻击与防范网络攻击与防范- -拒绝服务攻击拒绝服务攻击vUDP Flood 利用UDP协议实现简单、高效,形成流量冲
18、击vTeardrop 构造错误的分片信息,系统重组分片数据时内存计算错误,导致协议栈崩溃43PSH 1:1025PSH 1000:2048PSH 2049:3073试图重组时协议栈崩溃PSH 1:1024PSH 1025:2048PSH 2049:3073网络攻击与防护网络攻击与防护- -分布式拒绝服务攻击(分布式拒绝服务攻击(DDoSDDoS)44攻击者管理机管理机管理机攻击机 攻击机 攻击机攻击机 攻击机 攻击机攻击机攻击机攻击机目标机拒绝服务攻击的防御拒绝服务攻击的防御v管理防御 业务连续性计划(组织共同承担,应对DoS攻击) 协调机制(运营商、公安部门、专家团队)v技术防御 安全设备(
19、防火墙、抗DoS设备) 增强网络带宽 自身强壮性(风险评估、补丁、安全加固、资源控制)v监测防御 应急响应(构建监测体系)45知识子域:网络安全防护技术知识子域:网络安全防护技术v边界安全防护 了解防火墙、安全隔离与信息交换系统的实现技术、部署方式、作用及局限性; 了解IPS、UTM、防病毒网关等边界安全防护技术的概念。v检测与审计 了解入侵系统、安全审计的作用、分类、实现技术、部署方式及应用上的局限性;v接入管理 了解VPN的作用、关键技术及应用领域; 了解网络准入控制的作用。46v控制:在网络连接点上建立一个安全控制点,对进出数据进行限制v隔离:将需要保护的网络与不可信任网络进行隔离,隐藏
20、信息并进行安全防护v记录:对进出数据进行检查,记录相关信息边界安全防护边界安全防护- -防火墙防火墙47安全网域一防火墙的主要技术防火墙的主要技术v静态包过滤 依据数据包的基本标记来控制数据包 技术逻辑简单、易于实现,处理速度快 无法实现对应用层信息过滤处理,配置较复杂v应用代理 连接都要通过防火墙进行转发 提供NAT,隐藏内部网络地址v状态检测 创建状态表用于维护连接,安全性高 安全性高但对性能要求也高 适应性好,对用户、应用程序透明48防火墙的部署防火墙的部署v防火墙的部署位置 可信网络与不可信网络之间 不同安全级别网络之间 两个需要隔离的区域之间v防火墙的部署方式 单防火墙(无DMZ)部
21、署方式 单防火墙(DMZ)部署方式 双防火墙部署方式49边界安全防护边界安全防护- -网闸等网闸等v物理隔离与交换系统(网闸) 外部处理单元、内部处理单元、中间处理单元 断开内外网之间的会话(物理隔离、协议隔离) 同时集合了其他安全防护技术v其他网络安全防护技术 IPS 防病毒网关 UTM 50检测与审计检测与审计- -入侵检测入侵检测v入侵检测系统的作用 主动防御,防火墙的重要补充 构建网络安全防御体系重要环节v入侵检测系统功能 发现并报告系统中未授权或违反安全策略行为 为网络安全策略的制定提供指导51入侵检测系统入侵检测系统v分类 网络入侵检测 主机入侵检测v检测技术 误用检测 异常检测v
22、部署v局限性52网络入侵检测部署主机入侵检测部署接入管理接入管理-VPN-VPNv虚拟专用网络(Virtual Private Network,VPN) 利用隧道技术,在公共网络中建立一个虚拟的、专用的安全网络通道vVPN实现技术 隧道技术 二层隧道:PPTP、 L2F、L2TP IPSEC SSL 密码技术53总结总结v物理和环境安全 环境安全、设施安全、传输安全vOSI七层模型vTCP/IP协议安全v典型网络攻击与防范 电子欺骗( ARP欺骗、IP欺骗、DNS欺骗) 拒绝服务攻击(SYN Flood、UDP Flood、Teardrop)与分布式拒绝服务攻击v网络安全设备 防火墙、网闸、IDS、VPN等54邀请您参与讲师考评邀请您参与讲师考评55谢谢,请提问问题!谢谢,请提问问题!