物理與網(wǎng)絡(luò)通信安全-V4.2

1、物理環(huán)境與網(wǎng)絡(luò)通信安全版本：4.2講師姓名 機(jī)構(gòu)名稱課程內(nèi)容2物理與網(wǎng)絡(luò)通信安全知識(shí)域知識(shí)子域OSI模型典型網(wǎng)絡(luò)攻擊防范網(wǎng)絡(luò)安全防護(hù)技術(shù)TCP/IP協(xié)議安全物理安全無(wú)線通信安全知識(shí)子域：物理與環(huán)境安全環(huán)境安全了解物理安全的重要性；了解場(chǎng)地和環(huán)境安全應(yīng)關(guān)注的因素：包括場(chǎng)地選擇、抗震及承重、防火、防水、供電、空氣調(diào)節(jié)、電磁防護(hù)、雷擊及靜電等防護(hù)技術(shù)；3知識(shí)子域：物理與環(huán)境安全物理安全的重要性信息系統(tǒng)安全戰(zhàn)略的一個(gè)重要組成部分物理安全面臨問(wèn)題環(huán)境風(fēng)險(xiǎn)不確定性人類活動(dòng)的不可預(yù)知性典型的物理安全問(wèn)題自然災(zāi)害（地震、雷擊、暴雨、泥石流等）環(huán)境因素（治安、交通、人流及經(jīng)營(yíng)性設(shè)施風(fēng)險(xiǎn)）設(shè)備安全、介質(zhì)安全、傳輸

2、安全4場(chǎng)地選擇區(qū)域：避開(kāi)自然災(zāi)害高發(fā)區(qū)域環(huán)境：遠(yuǎn)離可能的危險(xiǎn)因素治安、人流量等加油站、化工廠等其他：消防、交通便利5抗震及承重抗震：國(guó)標(biāo) 結(jié)構(gòu)抗震設(shè)計(jì)規(guī)范）特殊設(shè)防類重點(diǎn)設(shè)防類標(biāo)準(zhǔn)設(shè)防類承重考慮設(shè)計(jì)（建筑的設(shè)計(jì)是否考慮了應(yīng)對(duì)可能的偶然事件）考慮時(shí)間因素（建筑有效期）考慮使用因素（正常使用、正常維護(hù)）6火災(zāi)預(yù)防：防火設(shè)計(jì)及阻燃材料檢測(cè)：火災(zāi)探測(cè)器感煙感溫感光可燃?xì)怏w探測(cè)抑制水（較少使用，通常做周邊防護(hù)）氣體：二氧化碳、七氟丙烷、三氟甲烷等7知識(shí)子域：物理與環(huán)境安全防水遠(yuǎn)離水浸威脅（參考場(chǎng)地選擇）檢測(cè)：水浸探測(cè)器處置：在應(yīng)急事件處置中要安排相應(yīng)的處置流程供電雙路供電發(fā)電機(jī)UPS空氣調(diào)節(jié)8知識(shí)子域：

3、物理與環(huán)境安全電磁防護(hù)解決電磁輻射產(chǎn)生的信息泄露問(wèn)題電磁屏蔽：屏蔽線、屏蔽機(jī)柜、屏蔽機(jī)房信號(hào)干擾：避免信息還原Tempest技術(shù)：對(duì)電磁泄漏信號(hào)中所攜帶的敏感信息進(jìn)行分析、測(cè)試、接收、還原以及防護(hù)的一系列技術(shù)領(lǐng)域的總稱雷擊及靜電直擊雷：避雷針、法拉第籠感應(yīng)雷：電涌保護(hù)器靜電：放電、防靜電服9知識(shí)子域：物理與環(huán)境安全設(shè)施安全了解安全區(qū)域的概念及相關(guān)防護(hù)要求；了解邊界防護(hù)的概念及相關(guān)防護(hù)要求；理解審計(jì)及監(jiān)控的概念及相關(guān)防護(hù)要求。傳輸安全理解同軸電纜、雙絞線、光纖等有線傳輸技術(shù)及安全特點(diǎn)；理解無(wú)線安全傳輸技術(shù)及安全特點(diǎn)；10設(shè)施安全-安全區(qū)域與邊界防護(hù)安全區(qū)域建立安全區(qū)域，明確物理安全邊界對(duì)受控區(qū)域

4、進(jìn)行保護(hù)，建立屏蔽及訪問(wèn)控制機(jī)制邊界防護(hù)所有物理出入通道的防護(hù)門：鎖、門禁窗：鐵柵欄通風(fēng)口11設(shè)施安全-審計(jì)及監(jiān)控審計(jì)及監(jiān)控對(duì)安全區(qū)域的出入行為進(jìn)行記錄對(duì)非法闖入進(jìn)行檢測(cè)實(shí)現(xiàn)方式出入記錄（登記、門禁）閉路電視非法闖入探測(cè)（紅外微波雙鑒探頭、玻璃破碎探測(cè)器等）安保人員12傳輸安全有線傳輸：同軸電纜、雙絞線、光纖安全風(fēng)險(xiǎn)：非法接入、破壞防護(hù)措施：保護(hù)措施（深埋、套管）、標(biāo)識(shí)無(wú)線傳輸安全風(fēng)險(xiǎn)：開(kāi)放信道防護(hù)措施：加密13知識(shí)子域：OSI通信模型OSI模型理解OSI七層模型構(gòu)成及每一層的作用；理解協(xié)議分層的作用。OSI模型通信過(guò)程理解OSI模型通信過(guò)程及數(shù)據(jù)封裝、分用等概念OSI模型安全體系構(gòu)成了解OS

5、I模型安全體系的構(gòu)成；了解OSI模型的五類安全服務(wù)、八種安全機(jī)制的概念。14ISO/OSI七層模型結(jié)構(gòu)模型定義了網(wǎng)絡(luò)中不同計(jì)算機(jī)系統(tǒng)進(jìn)行通信的基本過(guò)程和方法底層協(xié)議偏重于處理實(shí)際的信息傳輸，負(fù)責(zé)創(chuàng)建網(wǎng)絡(luò)通信連接的鏈路，包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和傳輸層高層協(xié)議處理用戶服務(wù)和各種應(yīng)用請(qǐng)求，包括會(huì)話層、表示層和應(yīng)用層15應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層OSI模型特點(diǎn)分層結(jié)構(gòu)的優(yōu)點(diǎn)各層間相互獨(dú)立降低復(fù)雜性促進(jìn)標(biāo)準(zhǔn)化工作協(xié)議開(kāi)發(fā)模塊化數(shù)據(jù)封裝與分用（解封裝）16OSI安全體系結(jié)構(gòu)目標(biāo)保證異構(gòu)計(jì)算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離交換信息的安全五類安全服務(wù)鑒別服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)

6、據(jù)保密性服務(wù)和抗抵賴服務(wù)八種安全機(jī)制加密、數(shù)據(jù)簽名、訪問(wèn)控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制和公正17知識(shí)子域：TCP/IP模型協(xié)議結(jié)構(gòu)及安全問(wèn)題了解TCP/IP協(xié)議的體系及每一層的作用；了解網(wǎng)絡(luò)接口層的作用及面臨的網(wǎng)絡(luò)安全問(wèn)題；了解IP協(xié)議的工作機(jī)制及面臨的安全問(wèn)題；了解傳輸層協(xié)議TCP和UDP的工作機(jī)制及面臨的安全問(wèn)題；了解應(yīng)用層協(xié)議面臨安全問(wèn)題。安全解決方案了解基于TCP/IP協(xié)議簇的安全架構(gòu)；了解IPv6對(duì)網(wǎng)絡(luò)安全的價(jià)值。18TCP/IP協(xié)議結(jié)構(gòu)19網(wǎng)絡(luò)接口層主要協(xié)議ARPRARP安全問(wèn)題損壞：自然災(zāi)害、動(dòng)物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳

7、輸線路電磁泄漏欺騙：ARP欺騙嗅探：常見(jiàn)二層協(xié)議是明文通信的拒絕服務(wù)：mac flooding，arp flooding等20網(wǎng)絡(luò)互聯(lián)層核心協(xié)議-IP協(xié)議IP是TCP/IP協(xié)議族中最為核心的協(xié)議目前廣泛使用的IPv4提供無(wú)連接不可靠的服務(wù)21版本包頭長(zhǎng)度服務(wù)類型數(shù)據(jù)包長(zhǎng)度標(biāo)識(shí)標(biāo)記偏移生存期協(xié)議類型包頭校驗(yàn)和源IP地址目的IP地址可選項(xiàng)用戶數(shù)據(jù)網(wǎng)絡(luò)互聯(lián)層安全問(wèn)題拒絕服務(wù)：分片攻擊（teardrop）/死亡之ping欺騙：IP源地址欺騙竊聽(tīng)：嗅探偽造：IP數(shù)據(jù)包偽造22傳輸層協(xié)議-TCP（傳輸控制協(xié)議）提供面向連接的、可靠的字節(jié)流服務(wù)提供可靠性服務(wù)數(shù)據(jù)包分塊、發(fā)送接收確認(rèn)、超時(shí)重發(fā)、數(shù)據(jù)校驗(yàn)、數(shù)據(jù)

8、包排序、控制流量23傳輸層協(xié)議-UDP（用戶數(shù)據(jù)報(bào)協(xié)議）提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)特點(diǎn)無(wú)連接、不可靠協(xié)議簡(jiǎn)單、占用資源少，效率高24傳輸層安全問(wèn)題拒絕服務(wù)：syn flood/udp flood/Smurf欺騙：TCP會(huì)話劫持竊聽(tīng)：嗅探偽造：數(shù)據(jù)包偽造25應(yīng)用層協(xié)議定義了運(yùn)行在不同端系統(tǒng)上的應(yīng)用程序進(jìn)程如何相互傳遞報(bào)文典型的應(yīng)用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁(yè)瀏覽：HTTP26應(yīng)用層協(xié)議應(yīng)用層協(xié)議安全問(wèn)題拒絕服務(wù)：超長(zhǎng)URL鏈接欺騙：跨站腳本、釣魚(yú)式攻擊、cookie欺騙竊聽(tīng)：數(shù)據(jù)泄漏偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等27基于TC

9、P/IP協(xié)議簇的安全架構(gòu)28知識(shí)子域：無(wú)線通信安全無(wú)線局域網(wǎng)安全了解無(wú)線局域網(wǎng)安全協(xié)議WEP、WPA2、WAPI等工作機(jī)制及優(yōu)缺點(diǎn)；理解無(wú)線局域網(wǎng)安全防護(hù)策略。藍(lán)牙通信安全了解藍(lán)牙技術(shù)面臨的保密性、完整性、非授權(quán)連接、拒絕服務(wù)等安全威脅；理解使用藍(lán)牙的安全措施。RFID通信安全了解RFID的概念及針對(duì)標(biāo)簽、針對(duì)讀寫器和針對(duì)信道的攻擊方式；理解RFID安全防護(hù)措施。29無(wú)線局域網(wǎng)安全協(xié)議-WEP提供功能傳輸加密接入認(rèn)證（開(kāi)放式認(rèn)證、共享密鑰認(rèn)證）開(kāi)放式認(rèn)證系統(tǒng)通過(guò)易于偽造的SSID識(shí)別，無(wú)保護(hù)、任意接入MAC、IP地址控制易于偽造共享密鑰認(rèn)證弱密鑰問(wèn)題不能防篡改沒(méi)有提供抵抗重放攻擊機(jī)制30無(wú)線局

10、域網(wǎng)安全協(xié)議-WPA、WPA2802.11iWPA（802.11i草案）WPA2(802.11i正式)802.11i運(yùn)行四階段發(fā)現(xiàn)AP階段802.11i認(rèn)證階段密鑰管理階段安全傳輸階段31WAPI無(wú)線安全協(xié)議WAPI的構(gòu)成WAI，用于用戶身份鑒別WPI，用于保護(hù)傳輸安全WAPI的安全優(yōu)勢(shì)雙向三鑒別（服務(wù)器、AP、STA）高強(qiáng)度鑒別加密算法32無(wú)線局域網(wǎng)應(yīng)用安全策略管理措施組織機(jī)構(gòu)安全策略中包含無(wú)線局域網(wǎng)安全管理策略結(jié)合業(yè)務(wù)對(duì)無(wú)線局域網(wǎng)應(yīng)用進(jìn)行評(píng)估，制定使用和管理策略技術(shù)措施加密、認(rèn)證及訪問(wèn)控制訪客隔離安全檢測(cè)措施33近距離無(wú)線通信安全-藍(lán)牙安全威脅保密性威脅：密鑰生成基于配對(duì)的PIN完整性威脅

11、：未授權(quán)設(shè)備實(shí)施的中間人攻擊可用性威脅：拒絕服務(wù)非授權(quán)連接藍(lán)牙安全應(yīng)用藍(lán)牙設(shè)備選擇：技術(shù)上應(yīng)具備抵抗以上威脅的能力藍(lán)牙設(shè)備使用：企業(yè)應(yīng)用應(yīng)建立管理要求34近距離無(wú)線通信安全-RFID安全威脅針對(duì)標(biāo)簽攻擊：數(shù)據(jù)竊取、標(biāo)簽破解及復(fù)制針對(duì)讀寫器的攻擊：拒絕服務(wù)、惡意代碼針對(duì)無(wú)線信道的攻擊：干擾、嗅探安全防護(hù)重要的RFID標(biāo)簽（例如用于身份鑒別），支持Kill和休眠的標(biāo)簽使用高安全加密算法的標(biāo)簽涉及資金的應(yīng)用使用在線核查方式35知識(shí)子域：典型網(wǎng)絡(luò)攻擊與防范欺騙攻擊了解IP欺騙、ARP欺騙、DNS欺騙等電子欺騙攻擊的實(shí)現(xiàn)方式及防護(hù)措施。拒絕服務(wù)攻擊了解SYN Flood、UDP Flood、Teardr

12、op等拒絕服務(wù)攻擊實(shí)現(xiàn)方式；了解分布式拒絕服務(wù)攻擊實(shí)現(xiàn)方式及拒絕服務(wù)攻擊應(yīng)對(duì)策略。36網(wǎng)絡(luò)攻擊與防范-欺騙攻擊欺騙攻擊（Spoofing）通過(guò)偽造源于可信任地址的數(shù)據(jù)包以使一臺(tái)機(jī)器認(rèn)證另一臺(tái)機(jī)器的復(fù)雜技術(shù) 常見(jiàn)類型IP欺騙ARP欺騙DNS欺騙37BACHello,Im B!ARP欺騙實(shí)現(xiàn)ARP協(xié)議實(shí)現(xiàn)特點(diǎn)ARP協(xié)議特點(diǎn)：無(wú)狀態(tài)，無(wú)需請(qǐng)求可以應(yīng)答ARP實(shí)現(xiàn)：ARP緩存38bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaMAC cc:cc:cc:cc:cc is 收到，我會(huì)緩存！Internet地址 物理地址 cc:cc:cc:cc:ccHelloCC:CC:C

13、C:CC:CCAA:AA:AA:AA:AAHello典型攻擊：IP欺騙IP欺騙是一系列步驟構(gòu)成的攻擊39確認(rèn)攻擊目標(biāo)使被冒充主機(jī)無(wú)法響應(yīng)猜測(cè)正確的會(huì)話序號(hào)偽造會(huì)話冒充受信主機(jī)BAC拒絕服務(wù)攻擊連接請(qǐng)求偽造B進(jìn)行系列會(huì)話A的序數(shù)規(guī)則DNS欺騙-攻擊實(shí)現(xiàn)40?Other DNS? 攻擊者DNS服務(wù)器DNS服務(wù)器客戶機(jī)?Qid=22Qid=22我的緩存中有記錄，我告訴你！網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊拒絕服務(wù)攻擊讓被攻擊的系統(tǒng)無(wú)法正常進(jìn)行服務(wù)的攻擊方式拒絕服務(wù)攻擊方式利用系統(tǒng)、協(xié)議或服務(wù)的漏洞利用TCP協(xié)議實(shí)現(xiàn)缺陷利用操作系統(tǒng)或應(yīng)用軟件的漏洞目標(biāo)系統(tǒng)服務(wù)資源能力利用大量數(shù)據(jù)擠占網(wǎng)絡(luò)帶寬利用大量請(qǐng)求消耗

14、系統(tǒng)性能混合型41拒絕服務(wù)是一類攻擊方式的統(tǒng)稱！典型攻擊：SYN Flood原理：偽造虛假地址連接請(qǐng)求，消耗主機(jī)連接數(shù)42(syn) Hello ,Im (syn+ack) Im ready?Im waiting(syn) Hello ,Im ?Im waiting(syn) Hello ,Im Im waitingIm waitingIm waiting網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊UDP Flood利用UDP協(xié)議實(shí)現(xiàn)簡(jiǎn)單、高效，形成流量沖擊Teardrop構(gòu)造錯(cuò)誤的分片信息，系統(tǒng)重組分片數(shù)據(jù)時(shí)內(nèi)存計(jì)算錯(cuò)誤，導(dǎo)致協(xié)議棧崩潰43PSH 1:1025PSH 1000:2048PSH 2049:30

15、73試圖重組時(shí)協(xié)議棧崩潰PSH 1:1024PSH 1025:2048PSH 2049:3073網(wǎng)絡(luò)攻擊與防護(hù)-分布式拒絕服務(wù)攻擊（DDoS）44攻擊者管理機(jī)管理機(jī)管理機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)目標(biāo)機(jī)拒絕服務(wù)攻擊的防御管理防御業(yè)務(wù)連續(xù)性計(jì)劃（組織共同承擔(dān)，應(yīng)對(duì)DoS攻擊）協(xié)調(diào)機(jī)制（運(yùn)營(yíng)商、公安部門、專家團(tuán)隊(duì)）技術(shù)防御安全設(shè)備（防火墻、抗DoS設(shè)備）增強(qiáng)網(wǎng)絡(luò)帶寬自身強(qiáng)壯性（風(fēng)險(xiǎn)評(píng)估、補(bǔ)丁、安全加固、資源控制）監(jiān)測(cè)防御應(yīng)急響應(yīng)（構(gòu)建監(jiān)測(cè)體系）45知識(shí)子域：網(wǎng)絡(luò)安全防護(hù)技術(shù)邊界安全防護(hù)了解防火墻、安全隔離與信息交換系統(tǒng)的實(shí)現(xiàn)技術(shù)、部署方式、作用及局限性；了解IPS、UT

16、M、防病毒網(wǎng)關(guān)等邊界安全防護(hù)技術(shù)的概念。檢測(cè)與審計(jì)了解入侵系統(tǒng)、安全審計(jì)的作用、分類、實(shí)現(xiàn)技術(shù)、部署方式及應(yīng)用上的局限性；接入管理了解VPN的作用、關(guān)鍵技術(shù)及應(yīng)用領(lǐng)域；了解網(wǎng)絡(luò)準(zhǔn)入控制的作用。46控制：在網(wǎng)絡(luò)連接點(diǎn)上建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息邊界安全防護(hù)-防火墻47安全網(wǎng)域一防火墻的主要技術(shù)靜態(tài)包過(guò)濾依據(jù)數(shù)據(jù)包的基本標(biāo)記來(lái)控制數(shù)據(jù)包技術(shù)邏輯簡(jiǎn)單、易于實(shí)現(xiàn)，處理速度快無(wú)法實(shí)現(xiàn)對(duì)應(yīng)用層信息過(guò)濾處理，配置較復(fù)雜應(yīng)用代理連接都要通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)提供NAT，隱藏內(nèi)部網(wǎng)絡(luò)地址狀態(tài)檢測(cè)創(chuàng)建

17、狀態(tài)表用于維護(hù)連接，安全性高安全性高但對(duì)性能要求也高適應(yīng)性好，對(duì)用戶、應(yīng)用程序透明48防火墻的部署防火墻的部署位置可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不同安全級(jí)別網(wǎng)絡(luò)之間兩個(gè)需要隔離的區(qū)域之間防火墻的部署方式單防火墻（無(wú)DMZ）部署方式單防火墻（DMZ）部署方式雙防火墻部署方式49邊界安全防護(hù)-網(wǎng)閘等物理隔離與交換系統(tǒng)（網(wǎng)閘）外部處理單元、內(nèi)部處理單元、中間處理單元 斷開(kāi)內(nèi)外網(wǎng)之間的會(huì)話（物理隔離、協(xié)議隔離）同時(shí)集合了其他安全防護(hù)技術(shù)其他網(wǎng)絡(luò)安全防護(hù)技術(shù)IPS防病毒網(wǎng)關(guān)UTM50檢測(cè)與審計(jì)-入侵檢測(cè)入侵檢測(cè)系統(tǒng)的作用主動(dòng)防御，防火墻的重要補(bǔ)充構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)入侵檢測(cè)系統(tǒng)功能發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或違反安全策略行為為網(wǎng)絡(luò)安全策略的制定提供指導(dǎo)51入侵檢測(cè)系統(tǒng)分類網(wǎng)絡(luò)入侵檢測(cè)主機(jī)入侵檢測(cè)檢測(cè)技術(shù)誤用檢測(cè)異常檢測(cè)部署局限性52網(wǎng)絡(luò)入侵檢測(cè)部署主機(jī)入侵檢測(cè)部署接入管理-V