物理環(huán)境與網(wǎng)絡(luò)通信安全-V4

物理環(huán)境與網(wǎng)絡(luò)通信安全講師姓名機(jī)構(gòu)名稱版本：4.0課程內(nèi)容2安全設(shè)計與實現(xiàn)知識域知識子域物理與環(huán)境安全系統(tǒng)環(huán)境安全應(yīng)用與數(shù)據(jù)安全網(wǎng)絡(luò)和通信安全知識子域：物理與環(huán)境安全環(huán)境安全了解物理安全的重要性并了解及環(huán)境安全需要考慮的因素；了解場地和環(huán)境安全應(yīng)關(guān)注的因素；了解場地和環(huán)境安全應(yīng)關(guān)注的因素；包括場地選擇、抗震及承重、防火、防水、供電、空氣調(diào)節(jié)、電磁防護(hù)、雷擊及靜電等防護(hù)技術(shù)；3知識子域：物理和環(huán)境安全場地選擇區(qū)域：避開自然災(zāi)害高發(fā)區(qū)域環(huán)境：遠(yuǎn)離可能的危險因素（加油站、化工廠等）其他：消防、交通便利抗震及承重（國標(biāo)

《結(jié)構(gòu)抗震設(shè)計規(guī)范》）特殊設(shè)防類重點設(shè)防類標(biāo)準(zhǔn)設(shè)防類4知識子域：物理和環(huán)境安全火災(zāi)預(yù)防：防火設(shè)計及阻燃材料檢測：火災(zāi)探測器感煙感溫感光可燃?xì)怏w探測抑制水（較少使用，通常做周邊防護(hù)）氣體：二氧化碳、七氟丙烷、三氟甲烷5知識子域：物理和環(huán)境安全防水檢測：水浸探測器處置：在應(yīng)急事件處置中要安排相應(yīng)的處置流程供電雙路供電發(fā)電機(jī)UPS空氣調(diào)節(jié)電磁防護(hù)雷擊及靜電6知識子域：物理與環(huán)境安全設(shè)施安全了解安全區(qū)域的概念及相關(guān)防護(hù)要求；了解邊界防護(hù)的概念及相關(guān)防護(hù)要求；理解審計及監(jiān)控的概念及相關(guān)防護(hù)要求。傳輸安全理解同軸電纜、雙絞線、光纖等有線傳輸技術(shù)及安全特點；理解無線安全傳輸技術(shù)及安全特點；7設(shè)施安全安全區(qū)域邊界防護(hù)鎖門禁審計及監(jiān)控閉路電視非法闖入探測（紅外微波雙鑒探頭、玻璃破碎）保安8傳輸安全有線傳輸雙絞線同軸電纜光纖無線傳輸開放信道的風(fēng)險9知識子域：網(wǎng)絡(luò)和通信安全OSI模型及安全體系理解OSI七層模型構(gòu)成及每一層的作用；理解協(xié)議分層的作用及數(shù)據(jù)封裝、分用等概念；了解OSI七層模型安全體系的構(gòu)成；10ISO/OSI七層模型結(jié)構(gòu)11物理層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層數(shù)據(jù)鏈路層應(yīng)用層（高）數(shù)據(jù)流層分層結(jié)構(gòu)的優(yōu)點各層間相互獨立，某一層的變化不會影響其他層降低復(fù)雜性促進(jìn)標(biāo)準(zhǔn)化工作協(xié)議開發(fā)模塊化12數(shù)據(jù)封裝與分用數(shù)據(jù)封裝應(yīng)用數(shù)據(jù)發(fā)送時從高層向低層逐層加工后傳遞數(shù)據(jù)解封裝數(shù)據(jù)接收時從低層向高層逐層傳遞13OSI安全體系結(jié)構(gòu)五類服務(wù)八種安全機(jī)制服務(wù)與機(jī)制的關(guān)系某種安全服務(wù)可以通過一種或多種安全機(jī)制提供某種安全機(jī)制可用于提供一種或多種安全服務(wù)14知識子域：網(wǎng)絡(luò)和通信安全TCP/IP協(xié)議安全了解TCP/IP協(xié)議的體系及每一層的作用；了解網(wǎng)絡(luò)接口層面臨的網(wǎng)絡(luò)安全問題；了解IP協(xié)議的工作機(jī)制及面臨的安全問題；了解傳輸層協(xié)議TCP和UDP各自的區(qū)別、面臨的安全問題；了解應(yīng)用層協(xié)議面臨安全問題；了解基于TCP/IP協(xié)議簇的安全架構(gòu)及IPv6對網(wǎng)絡(luò)安全的價值；15TCP/IP協(xié)議結(jié)構(gòu)16網(wǎng)絡(luò)接口層主要協(xié)議ARPRARP安全問題損壞：自然災(zāi)害、動物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏欺騙：ARP欺騙嗅探：常見二層協(xié)議是明文通信的（以太、arp等）拒絕服務(wù)：macflooding，arpflooding等17典型攻擊：ARP欺騙ARP協(xié)議實現(xiàn)特點ARP協(xié)議特點：無狀態(tài)，無需請求可以應(yīng)答ARP實現(xiàn)：ARP緩存18bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaMACcc:cc:cc:cc:ccis收到，我會緩存！Internet地址物理地址cc:cc:cc:cc:ccHelloCC:CC:CC:CC:CCAA:AA:AA:AA:AAHello網(wǎng)絡(luò)互聯(lián)層協(xié)議核心協(xié)議-IP協(xié)議IP是TCP/IP協(xié)議族中最為核心的協(xié)議IP協(xié)議的特點不可靠（unreliable）通信無連接（connectionless）通信19版本包頭長度服務(wù)類型數(shù)據(jù)包長度標(biāo)識標(biāo)記偏移生存期協(xié)議類型包頭校驗和源IP地址目的IP地址可選項用戶數(shù)據(jù)網(wǎng)絡(luò)互聯(lián)層安全問題拒絕服務(wù)：分片攻擊（teardrop）/死亡之ping欺騙：IP源地址欺騙竊聽：嗅探偽造：IP數(shù)據(jù)包偽造20典型攻擊：IP欺騙原理：兩臺主機(jī)之間經(jīng)過認(rèn)證產(chǎn)生信任關(guān)系后，在連接過程中就不會要求嚴(yán)格的認(rèn)證IP欺騙是一系列步驟構(gòu)成的攻擊21確認(rèn)攻擊目標(biāo)使要冒充主機(jī)無法響應(yīng)目標(biāo)主機(jī)猜正確的序數(shù)冒充受信主機(jī)進(jìn)行會話傳輸層協(xié)議-TCP協(xié)議傳輸控制協(xié)議：提供面向連接的、可靠的字節(jié)流服務(wù)提供可靠性服務(wù)數(shù)據(jù)包分塊、發(fā)送接收確認(rèn)、超時重發(fā)、數(shù)據(jù)校驗、數(shù)據(jù)包排序、控制流量……22傳輸層協(xié)議-UDP協(xié)議用戶數(shù)據(jù)報協(xié)議：提供面向事務(wù)的簡單不可靠信息傳送服務(wù)特點無連接、不可靠協(xié)議簡單、占用資源少，效率高……23傳輸層安全問題拒絕服務(wù)：synflood/udpflood/Smurf欺騙：TCP會話劫持竊聽：嗅探偽造：數(shù)據(jù)包偽造24典型攻擊：SYNFlood原理：偽造虛假地址連接請求，消耗主機(jī)連接數(shù)25(syn)Hello,I’m(syn+ack)I’mready?I’mwaiting……(syn)Hello,I’m?I’mwaiting……(syn)Hello,I’m……I’mwaiting……I’mwaiting……I’mwaiting……應(yīng)用層協(xié)議定義了運行在不同端系統(tǒng)上的應(yīng)用程序進(jìn)程如何相互傳遞報文典型的應(yīng)用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁瀏覽：HTTP……26應(yīng)用層協(xié)議應(yīng)用層協(xié)議安全問題拒絕服務(wù)：超長URL鏈接欺騙：跨站腳本、釣魚式攻擊、cookie欺騙竊聽：數(shù)據(jù)泄漏偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等……27典型攻擊：DNS欺騙實現(xiàn)28?我不知道，我問問其他DNS服務(wù)器OtherDNS收到，我會緩存！?我緩存中有記錄，我告訴你！

攻擊者DNS服務(wù)器DNS服務(wù)器客戶機(jī)?Qid=22Qid=22基于TCP/IP協(xié)議簇的安全架構(gòu)29知識子域：網(wǎng)絡(luò)和通信安全無線局域網(wǎng)安全了解無線局域網(wǎng)安全協(xié)議相關(guān)概念；理解無線局域網(wǎng)安全防護(hù)策略；近距離無線通信安全了解藍(lán)牙技術(shù)面臨的保密性、完整性、非授權(quán)連接、拒絕服務(wù)等安全威脅；理解使用藍(lán)牙的安全措施；了解RFID的概念及針對標(biāo)簽、針對讀寫器和針對信道的攻擊方式；理解RFID安全防護(hù)措施；30無線局域網(wǎng)安全協(xié)議-WEP有線等效保密協(xié)議（WiredEquivalentPrivacy，WEP）提供功能：傳輸加密接入認(rèn)證（開放式認(rèn)證、共享密鑰認(rèn)證）安全問題單向認(rèn)證（SSID、MAC地址過濾都不是可靠的安全機(jī)制）設(shè)計缺陷使得密鑰易于破解31無線局域網(wǎng)安全協(xié)議-WPA、WPA2802.11iWPA（802.11i草案）WPA2(802.11i正式)802.11i運行四階段發(fā)現(xiàn)AP階段802.11i認(rèn)證階段密鑰管理階段安全傳輸階段32WAPI無線安全協(xié)議WAPI的構(gòu)成WAI，用于用戶身份鑒別WPI，用于保護(hù)傳輸安全WAPI的安全優(yōu)勢雙向三鑒別（服務(wù)器、AP、STA）高強度鑒別加密算法33近距離無線通信安全-藍(lán)牙安全威脅保密性威脅：密鑰生成基于配對的PIN完整性威脅：未授權(quán)設(shè)備實施的中間人攻擊可用性威脅：拒絕服務(wù)非授權(quán)連接藍(lán)牙安全應(yīng)用藍(lán)牙設(shè)備選擇：技術(shù)上應(yīng)具備抵抗以上威脅的能力藍(lán)牙設(shè)備使用：企業(yè)應(yīng)用應(yīng)建立管理要求34近距離無線通信安全-RFID安全威脅針對標(biāo)簽攻擊：數(shù)據(jù)竊取、標(biāo)簽破解及復(fù)制針對讀寫器的攻擊：拒絕服務(wù)、惡意代碼針對無線信道的攻擊：干擾、嗅探安全防護(hù)重要的RFID標(biāo)簽（例如用于身份鑒別），支持Kill和休眠的標(biāo)簽使用高安全加密算法的標(biāo)簽涉及資金的應(yīng)用使用在線核查方式35知識子域：網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)攻擊及防范了解IP欺騙、ARP欺騙、DNS欺騙等電子欺騙公司的實現(xiàn)方式及防護(hù)措施；了解SYNFlood、UDPFlood、Teardrop等拒絕服務(wù)攻擊實現(xiàn)方式；了解分布式拒絕服務(wù)攻擊實現(xiàn)方式及拒絕服務(wù)攻擊應(yīng)對策略。36網(wǎng)絡(luò)攻擊與防范-欺騙攻擊欺騙攻擊（Spoofing）通過偽造源于可信任地址的數(shù)據(jù)包以使一臺機(jī)器認(rèn)證另一臺機(jī)器的復(fù)雜技術(shù)常見類型IP欺騙ARP欺騙DNS欺騙……37BACHello,I’mB!網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊什么是拒絕服務(wù)拒絕服務(wù)式攻擊(DenialofService)，顧名思義就是讓被攻擊的系統(tǒng)無法正常進(jìn)行服務(wù)的攻擊方式。拒絕服務(wù)攻擊方式利用系統(tǒng)、協(xié)議或服務(wù)的漏洞利用TCP協(xié)議實現(xiàn)缺陷利用操作系統(tǒng)或應(yīng)用軟件的漏洞目標(biāo)系統(tǒng)服務(wù)資源能力利用大量數(shù)據(jù)擠占網(wǎng)絡(luò)帶寬利用大量請求消耗系統(tǒng)性能混合型38拒絕服務(wù)是一類攻擊方式的統(tǒng)稱！網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊UDPFlood利用UDP協(xié)議實現(xiàn)簡單、高效，形成流量沖擊Teardrop構(gòu)造錯誤的分片信息，系統(tǒng)重組分片數(shù)據(jù)時內(nèi)存計算錯誤，導(dǎo)致協(xié)議棧崩潰39PSH1:1025……PSH

1000:2048……PSH2049:3073……試圖重組時協(xié)議棧崩潰PSH1:1024……PSH1025:2048……PSH2049:3073……網(wǎng)絡(luò)攻擊與防護(hù)-分布式拒絕服務(wù)攻擊（DDoS）40攻擊者管理機(jī)管理機(jī)管理機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)目標(biāo)機(jī)拒絕服務(wù)攻擊的防御管理防御業(yè)務(wù)連續(xù)性計劃（組織共同承擔(dān)，應(yīng)對DoS攻擊）協(xié)調(diào)機(jī)制（運營商、公安部門、專家團(tuán)隊）技術(shù)防御安全設(shè)備（防火墻、抗DoS設(shè)備）增強網(wǎng)絡(luò)帶寬自身強壯性（風(fēng)險評估、補丁、安全加固、資源控制）監(jiān)測防御應(yīng)急響應(yīng)（構(gòu)建監(jiān)測體系）41知識子域：網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)安全防護(hù)技術(shù)了解入侵檢測產(chǎn)品的技術(shù)實現(xiàn)、部署方式、作用及局限性；了解防火墻產(chǎn)品的實現(xiàn)技術(shù)、部署方式、作用及局限性；了解安全隔離與信息交換系統(tǒng)的實現(xiàn)技術(shù)、部署方式、作用；了解VPN的實現(xiàn)技術(shù)、部署方式及作用；42入侵檢測系統(tǒng)的作用與功能入侵檢測系統(tǒng)的作用防火墻的重要補充構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)克服傳統(tǒng)防御機(jī)制的限制入侵檢測系統(tǒng)功能監(jiān)測并分析用戶和系統(tǒng)的活動核查系統(tǒng)配置和漏洞對操作系統(tǒng)進(jìn)行日志管理，并識別違反安全策略的用戶活動針對已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng)，如告警、中止進(jìn)程等43入侵檢測系統(tǒng)的分類按入侵檢測形態(tài)硬件入侵檢測軟件入侵檢測按目標(biāo)系統(tǒng)的類型網(wǎng)絡(luò)入侵檢測主機(jī)入侵檢測按系統(tǒng)結(jié)構(gòu)集中式分布式44網(wǎng)絡(luò)入侵檢測部署主機(jī)入侵檢測部署數(shù)據(jù)檢測技術(shù)誤用檢測技術(shù)建立入侵行為模型(攻擊特征)假設(shè)可以識別和表示所有可能的特征基于系統(tǒng)和基于用戶的誤用異常檢測技術(shù)設(shè)定“正?！钡男袨槟Ｊ郊僭O(shè)所有的入侵行為是異常的基于系統(tǒng)和基于用戶的異常45入侵檢測的局限性對用戶知識要求較高，配置、操作和管理使用較為復(fù)雜網(wǎng)絡(luò)發(fā)展迅速，對入侵檢測系統(tǒng)的處理性能要求越來越高，現(xiàn)有技術(shù)難以滿足實際需要高虛警率，用戶處理的負(fù)擔(dān)重由于警告信息記錄的不完整，許多警告信息可能無法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果在應(yīng)對對自身的攻擊時，對其他數(shù)據(jù)的檢測也可能會被抑制或受到影響46控制：在網(wǎng)絡(luò)連接點上建立一個安全控制點，對進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息防火墻的作用與功能47安全網(wǎng)域一防火墻主要技術(shù)-靜態(tài)包過濾實現(xiàn)機(jī)制:依據(jù)數(shù)據(jù)包的基本標(biāo)記來控制數(shù)據(jù)包網(wǎng)絡(luò)層地址（IP地址）傳輸層地址(端口)協(xié)議類型等優(yōu)點技術(shù)邏輯簡單、易于實現(xiàn)，處理速度快不足無法實現(xiàn)對應(yīng)用層信息過濾處理，并且對于網(wǎng)絡(luò)服務(wù)多、結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)，包過濾規(guī)則配置復(fù)雜48防火墻的主要技術(shù)-狀態(tài)檢測實現(xiàn)機(jī)制：創(chuàng)建狀態(tài)表用于維護(hù)連接優(yōu)勢安全性高，可根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行對性能要求高適應(yīng)性好，對用戶、應(yīng)用程序透明49數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層表示層會話層傳輸層檢測引擎應(yīng)用層動態(tài)狀態(tài)表動態(tài)狀態(tài)表動態(tài)狀態(tài)表應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層防火墻的主要技術(shù)-代理及NAT實現(xiàn)機(jī)制：網(wǎng)絡(luò)之間的連接都要通過防火墻進(jìn)行轉(zhuǎn)發(fā)優(yōu)勢加強了控制能提供NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)適用面廣50安全網(wǎng)域一000防火墻的部署防火墻的部署位置可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不同安全級別網(wǎng)絡(luò)之間兩個需要隔離的區(qū)域之間防火墻的部署方式單防火墻（無DMZ）部署方式單防火墻（DMZ）部署方式雙防火墻部署方式51安全隔離與信息交換系統(tǒng)（網(wǎng)閘）組成外部處理單元、內(nèi)部處理單元、仲裁處理單元特點斷開內(nèi)外網(wǎng)之間的會話（物理隔離、協(xié)議隔離）同時集合了其他安全防護(hù)技術(shù)52虛擬專網(wǎng)虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork,VPN）利用隧道技術(shù)，在公共網(wǎng)絡(luò)中建立一個虛擬的、專用的安全網(wǎng)絡(luò)通道VPN實現(xiàn)技術(shù)隧道技術(shù)二層隧道：PPTP、

L2F、L2TPIPSECSSL密碼技術(shù)53知識子域：網(wǎng)絡(luò)和通信安全設(shè)計網(wǎng)絡(luò)安全體系理解安全域的概念并掌握安全域的劃分方法；了解IP地址規(guī)劃及相關(guān)基本概念；理解網(wǎng)絡(luò)安全設(shè)計的相關(guān)策略；54網(wǎng)絡(luò)架構(gòu)安全設(shè)計合理劃分網(wǎng)絡(luò)安全區(qū)域規(guī)劃網(wǎng)絡(luò)IP地址、Vlan設(shè)計安全配置路由交