3 網(wǎng)絡(luò)設(shè)備安全

通信網(wǎng)絡(luò)安全與防護(hù)密碼學(xué)基本概念、古典加密體制報(bào)文摘要算法

內(nèi)容回顧現(xiàn)代加密體制、AES、RSA密鑰分配與管理安全認(rèn)證-消息認(rèn)證、數(shù)字簽名、身份認(rèn)證PKI體制中，保證數(shù)字證書(shū)不被篡改的方法是（)A.用證書(shū)主人的私鑰對(duì)數(shù)字證書(shū)簽名；B.用CA的私鑰對(duì)數(shù)字證書(shū)簽名；C.用CA的公鑰對(duì)數(shù)字證書(shū)簽名；D.用證書(shū)主人的公鑰對(duì)數(shù)字證書(shū)簽名；

內(nèi)容回顧關(guān)于消息認(rèn)證,以下哪一項(xiàng)描述是錯(cuò)誤的?A.消息認(rèn)證碼既可提供消息鑒別又可提供保密性B.密鑰是發(fā)送端和接收端之間的共享密鑰C.通過(guò)密鑰和消息計(jì)算得出消息認(rèn)證碼D.黑客無(wú)法根據(jù)篡改后的消息計(jì)算出正確的消息認(rèn)證碼第三章網(wǎng)絡(luò)設(shè)備安全《通信網(wǎng)絡(luò)安全與防護(hù)》引言網(wǎng)絡(luò)中大量的信息資源和信息服務(wù)是通過(guò)路由器、交換機(jī)、無(wú)線接入器等網(wǎng)絡(luò)設(shè)備提供給用戶的，而這些設(shè)備中存在的漏洞造成了極大的網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)設(shè)備（包括主機(jī)和網(wǎng)絡(luò)設(shè)施）的安全始終是通信網(wǎng)絡(luò)安全的一個(gè)重要方面。網(wǎng)絡(luò)設(shè)備的安全除了技術(shù)安全之外，還應(yīng)該包括網(wǎng)絡(luò)設(shè)備的物理安全，諸如防人為損壞、防斷電、防雷擊、防靜電、防灰塵等環(huán)境安全問(wèn)題教學(xué)目標(biāo)主要內(nèi)容1.了解網(wǎng)絡(luò)設(shè)備安全的基本概念及安全隱患；2.熟悉機(jī)房安全、通信線路安全、硬件設(shè)備安全等物理安全措施；3.掌握交換機(jī)、路由器的安全配置；4.熟悉服務(wù)器與操作系統(tǒng)安全。3.1物理安全3.2路由器的安全技術(shù)3.3交換機(jī)的安全技術(shù)3.4服務(wù)器與操作系統(tǒng)安全物理安全是整個(gè)通信網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)通信網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或人為損壞導(dǎo)致被破壞的過(guò)程。3.1物理安全物理安全硬件設(shè)備安全通信線路安全電源系統(tǒng)安全機(jī)房安全3.1.1機(jī)房安全技術(shù)1.機(jī)房的安全要求減少無(wú)關(guān)人員進(jìn)入機(jī)房的機(jī)會(huì)；選址時(shí)應(yīng)避免靠近公共區(qū)域，避免窗戶鄰街；機(jī)房最好不要安排在底層或頂層；在較大的樓層內(nèi)，機(jī)房應(yīng)靠近樓層的一邊安排；保證所有進(jìn)出機(jī)房的人都在管理人員的監(jiān)控之下3.1.1機(jī)房安全技術(shù)對(duì)機(jī)房?jī)?nèi)重要的設(shè)備和存儲(chǔ)媒體應(yīng)采取嚴(yán)格的防盜措施

光纖電纜防盜系統(tǒng)特殊標(biāo)簽防盜系統(tǒng)

視頻監(jiān)視防盜系統(tǒng)2.機(jī)房的防盜要求3.1.1機(jī)房安全技術(shù)三度溫度濕度潔凈度3.機(jī)房的三度要求3.1.1機(jī)房安全技術(shù)靜電的危害50年代中期，美軍演習(xí)中，兩枚“民兵1”導(dǎo)彈發(fā)射后在飛行中自毀。1967年春，越南戰(zhàn)爭(zhēng)中，美軍的直升機(jī)因靜電造成爆炸。4.防靜電措施3.1.1機(jī)房安全技術(shù)機(jī)房的內(nèi)裝修材料采用乙烯材料；機(jī)房?jī)?nèi)安裝防靜電地板，并將地板和設(shè)備接地；機(jī)房?jī)?nèi)的重要操作臺(tái)應(yīng)有接地平板；工作人員的服裝和鞋最好用低阻值的材料制作；機(jī)房?jī)?nèi)應(yīng)保持一定濕度。4.防靜電措施3.1.1機(jī)房安全技術(shù)接地是指整個(gè)通信網(wǎng)絡(luò)系統(tǒng)中各處電位均以大地電位為零參考電位。直流地屏蔽地靜電地雷擊地保護(hù)地地線種類可分為

5.接地與防雷3.1.1機(jī)房安全技術(shù)防雷，是指通過(guò)組成攔截、疏導(dǎo)最后泄放入地的一體化系統(tǒng)方式以防止由直擊雷或雷電的電磁脈沖對(duì)建筑物本身或其內(nèi)部設(shè)備造成損害的防護(hù)技術(shù)。機(jī)房外部防雷應(yīng)使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道；

5.接地與防雷3.1.1機(jī)房安全技術(shù)機(jī)房?jī)?nèi)部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過(guò)電壓保護(hù)等技術(shù)措施以及攔截、屏蔽、均壓、分流、接地等方法，達(dá)到防雷的目的；機(jī)房的設(shè)備本身也應(yīng)有避雷裝置和設(shè)施。過(guò)電壓保護(hù)等電位連接防閃器合理布線

5.接地與防雷3.1.1機(jī)房安全技術(shù)機(jī)房?jī)?nèi)應(yīng)有火災(zāi)、水災(zāi)自動(dòng)報(bào)警系統(tǒng)；機(jī)房上層有用水設(shè)施須加防水層；機(jī)房?jī)?nèi)應(yīng)放置適用于通信機(jī)房的滅火器，并建立應(yīng)急計(jì)劃和防火制度等。6.機(jī)房的防火、防水措施3.1.1機(jī)房安全技術(shù)與機(jī)房安全相關(guān)的國(guó)家標(biāo)準(zhǔn)主要有：GB/T2887-2011《計(jì)算機(jī)場(chǎng)地通用規(guī)范》GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》GB/T9361-2011《計(jì)算站場(chǎng)地安全要求》3.1.2通信線路安全通信線路可能受到的攻擊：竊聽(tīng)中斷干擾3.1.2通信線路安全電纜兩端加壓，連接監(jiān)視器，如果監(jiān)測(cè)到變化，則啟動(dòng)報(bào)警器。加壓電纜是屏蔽在波紋鋁鋼包皮中，幾乎沒(méi)有電磁輻射，對(duì)利用電磁感應(yīng)的竊聽(tīng)行為有一定的抵抗力。3.1.2通信線路安全1.電纜加壓技術(shù)降低電磁感應(yīng)，提高抗干擾能力。屏蔽式雙絞線的抗干擾能力更強(qiáng)，對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，還可將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。屏蔽式雙絞線提高抗干擾能力增強(qiáng)抗干擾3.1.2通信線路安全2.電纜屏蔽技術(shù)光纖的“天然”保密性？3.1.2通信線路安全3.光纖通信技術(shù)光纖竊聽(tīng)方法光纖彎曲法V型槽切口法散射法光束分離法漸近耦合法3.1.2通信線路安全3.光纖通信技術(shù)嚴(yán)格按硬件設(shè)備的操作使用規(guī)程進(jìn)行操作；建立設(shè)備使用情況日志，并登記使用過(guò)程；建立硬件設(shè)備故障情況登記表；堅(jiān)持對(duì)設(shè)備進(jìn)行例行維護(hù)和保養(yǎng)，并指定專人負(fù)責(zé)。3.1.3硬件設(shè)備安全1.硬件設(shè)備的管理維護(hù)

（1）硬件設(shè)備的使用管理定期檢查線纜連接的緊固性；定期清除表面及內(nèi)部灰塵；定期檢查供電系統(tǒng)的各種保護(hù)裝置及地線是否正常（2）常用硬件設(shè)備的維護(hù)和保養(yǎng)3.1.3硬件設(shè)備安全1.硬件設(shè)備的管理維護(hù)電磁兼容性：（EMC，ElectromagnaticCompatibility）設(shè)備或系統(tǒng)在共同的電磁環(huán)境中，能夠正常工作且不對(duì)該環(huán)境中的任何事物構(gòu)成不能承受的電磁騷擾的能力。3.1.3硬件設(shè)備安全2.電磁兼容和電磁輻射的防護(hù)（1）電磁兼容電磁兼容：設(shè)備或系統(tǒng)在共同的電磁環(huán)境中，能夠和諧工作而不影響各自功能的共存狀態(tài)。電磁不兼容危害實(shí)例1982年5月4日號(hào)稱英國(guó)海軍最先進(jìn)的“謝菲爾德號(hào)”導(dǎo)彈驅(qū)逐艦，由于沒(méi)有解決好衛(wèi)星通信系統(tǒng)和雷達(dá)系統(tǒng)的頻率使用問(wèn)題，以至于兩個(gè)系統(tǒng)不能同時(shí)工作，戰(zhàn)斗中，該艦與指揮所進(jìn)行衛(wèi)星通信，雷達(dá)系統(tǒng)關(guān)機(jī)，沒(méi)能及時(shí)發(fā)現(xiàn)來(lái)襲的阿根廷戰(zhàn)機(jī)，最終被飛魚(yú)導(dǎo)彈擊中，艦毀人亡。英軍的謝菲爾德號(hào)導(dǎo)彈驅(qū)逐艦3.1.3硬件設(shè)備安全視情：是防護(hù)自身對(duì)外輻射，還是防護(hù)其它設(shè)備電磁輻射對(duì)自身的影響。采用各種電磁屏蔽措施采用干擾的防護(hù)措施（2）電磁輻射防護(hù)的措施3.1.3硬件設(shè)備安全2.電磁兼容和電磁輻射的防護(hù)DES按設(shè)計(jì)時(shí)的分析，需要2283年才能破譯；DES的密鑰量太小，密鑰量為256；1977年，Diffie.Hellman提出制造一個(gè)每秒測(cè)試106的VLSI芯片，則一天就可以搜索完整個(gè)密鑰空間，當(dāng)時(shí)造價(jià)2千萬(wàn)美元。CRYPTO’93：R.Session，M.Wiener提出并行密鑰搜索芯片，每秒測(cè)試5x107個(gè)密鑰，5760片這種芯片，造價(jià)10萬(wàn)美元，平均一天即可找到密鑰。電磁輻射防護(hù)不良危害實(shí)例美軍航母起火事件：福萊斯特級(jí)航空母艦1967年7月25日，上午11時(shí)，受該艦雷達(dá)波干擾，一枚“阻尼”空地火箭意外地從停在艦艉飛行甲板末端的F-4飛機(jī)機(jī)翼下點(diǎn)火，擊中了一架A-4攻擊機(jī)的副油箱，導(dǎo)致一系列爆炸。事故原因：阻尼火箭的屏蔽電纜老化，受到艦載對(duì)空搜索雷達(dá)的波束掃描，使火箭的引信形成電壓差，導(dǎo)致火箭的發(fā)射。后果：34人死亡27架飛機(jī)被毀，43架飛機(jī)嚴(yán)重受傷重修費(fèi)用：7200萬(wàn)美元重修時(shí)間：2年作好對(duì)硬盤(pán)、光盤(pán)、磁帶、打印紙等存儲(chǔ)媒體的安全管理威脅：數(shù)據(jù)恢復(fù)、垃圾搜索等3.1.3硬件設(shè)備安全3.信息存儲(chǔ)媒體的安全管理3.1.4電源系統(tǒng)安全指標(biāo)：供電連續(xù)性、可靠性、穩(wěn)定性和抗干擾性等指標(biāo)。風(fēng)險(xiǎn)：因電源系統(tǒng)電壓波動(dòng)、浪涌電流和突然斷電等導(dǎo)致計(jì)算機(jī)系統(tǒng)存儲(chǔ)信息丟失、設(shè)備損壞。機(jī)房的供配電系統(tǒng)設(shè)計(jì)要求：滿足設(shè)備自身運(yùn)轉(zhuǎn)和網(wǎng)絡(luò)應(yīng)用的要求，保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命，保證信息安全，保證機(jī)房人員的工作環(huán)境。3.2路由器的安全技術(shù)

安全問(wèn)題：身份問(wèn)題、漏洞問(wèn)題、訪問(wèn)控制問(wèn)題、路由協(xié)議問(wèn)題、配置管理問(wèn)題等一、路由器存在的安全問(wèn)題及對(duì)策端口登錄口令：可以登錄到路由器，一般只能查看部分信息特權(quán)用戶口令：可以使用全部的查看、配置和管理命令。1.路由器口令的設(shè)置3.2路由器的安全技術(shù)1.路由器口令的設(shè)置一、路由器存在的安全問(wèn)題及對(duì)策口令加密設(shè)置端口登錄口令加密特權(quán)用戶口令防止口令修復(fù)[Router]local-useruser-namepasswordcipherpassword[Router]user-interfacevty014[Router-ui-vty0-14]authentication-modeaaa3.2路由器的安全技術(shù)2.網(wǎng)絡(luò)服務(wù)的安全設(shè)置禁止HTTP服務(wù)禁止一些默認(rèn)狀態(tài)下開(kāi)啟的服務(wù)

如：思科發(fā)現(xiàn)協(xié)議CDP（CiscoDiscoveryProtocol）是用來(lái)獲取相鄰設(shè)備的協(xié)議地址以及發(fā)現(xiàn)這些設(shè)備的平臺(tái)，就是說(shuō)當(dāng)思科的設(shè)備連接到一起時(shí)，不需要額外的配置，用showcdpneighbor就可以查看到鄰居的狀態(tài)。關(guān)閉其他一些易受攻擊的端口服務(wù)

Noipunreachables//防smurf攻擊一、路由器存在的安全問(wèn)題及對(duì)策3.2路由器的安全技術(shù)3.保護(hù)內(nèi)部網(wǎng)絡(luò)lP地址利用路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換隱藏內(nèi)部地址利用地址解析協(xié)議防止盜用內(nèi)部IP地址通過(guò)ARP可以固定地將IP地址綁定在某一MAC上一、路由器存在的安全問(wèn)題及對(duì)策3.2路由器的安全技術(shù)4.利用訪問(wèn)控制列表有效防范網(wǎng)絡(luò)攻擊訪問(wèn)控制列表ACL使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層數(shù)據(jù)包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。利用ACL禁止ping相關(guān)接口利用ACL防止IP地址欺騙利用ACL防止SYN攻擊利用ACL防范網(wǎng)絡(luò)病毒攻擊一、路由器存在的安全問(wèn)題及對(duì)策3.2路由器的安全技術(shù)5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校驗(yàn)數(shù)據(jù)流路徑的合法性使用RPF（Reversepathforwarding）反相路徑轉(zhuǎn)發(fā)7.為路由器間的協(xié)議交換增加認(rèn)證功能，提高網(wǎng)絡(luò)安全性8.使用安全的SNMP管理方案一、路由器存在的安全問(wèn)題及對(duì)策3.2路由器的安全技術(shù)1.路由器口令安全配置2.路由器網(wǎng)絡(luò)服務(wù)的安全設(shè)置3.保護(hù)內(nèi)部網(wǎng)絡(luò)IP地址的配置4.利用ACL防范網(wǎng)絡(luò)攻擊的配置5.利用ACL防范病毒攻擊的配置6.利用ACL對(duì)HTTP服務(wù)進(jìn)行服務(wù)控制及權(quán)限管理Router(config)#access-list1permit30Router(config)#iphttpaccess-classlRouter(config)#iphttpauthenticationaaa二、路由器的安全配置3.3交換機(jī)的安全技術(shù)1.利用交換機(jī)端口安全技術(shù)限制端口接入的隨意性2.利用虛擬局域網(wǎng)技術(shù)限制局域網(wǎng)廣播及ARP攻擊范圍3.強(qiáng)化Trunk端口設(shè)置避免利用封裝協(xié)議缺陷實(shí)行VLAN的跳躍攻擊4.使用交換機(jī)包過(guò)濾技術(shù)增加網(wǎng)絡(luò)交換的安全性5.使用交換機(jī)的安全網(wǎng)管6.使用交換機(jī)集成的入侵檢測(cè)技術(shù)7.使用交換機(jī)集成的用戶認(rèn)證技術(shù)一、交換機(jī)存在的安全問(wèn)題及對(duì)策3.3交換機(jī)的安全技術(shù)路由器登錄口令、加密等安全措施也適用于交換機(jī)打開(kāi)端口的端口安全功能，命令如下。Switch(config-if)#switchportport-security設(shè)置端口上安全地址的最大個(gè)數(shù)，命令如下。Switch(config-if)#switchportport-secruitymaximum1配置處理違例的方式，命令如下。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}二、交換機(jī)的安全配置3.4服務(wù)器與操作系統(tǒng)安全限制用戶數(shù)量。去掉所有的測(cè)試賬戶、共享賬號(hào)和普通部門(mén)賬號(hào)等。用戶組策略設(shè)置相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的賬號(hào)，刪除已經(jīng)不適用的賬號(hào)。管理員賬號(hào)設(shè)置:更改默認(rèn)名稱、陷井帳號(hào)安全登錄口令設(shè)置屏幕保護(hù)／屏幕鎖定口令安全文件管理安裝防病毒軟件一、Windows操作系統(tǒng)安全3.4服務(wù)器與操作系統(tǒng)安全備份盤(pán)的安全禁止不必要的服務(wù)使用IPSec來(lái)控制端口訪問(wèn)定期查看日志經(jīng)常訪問(wèn)微軟升級(jí)程序站點(diǎn)，了解補(bǔ)丁的最新發(fā)布情況一、Windows操作系統(tǒng)安全1.明確安全需求（1）主機(jī)系統(tǒng)的安全需求：確保主機(jī)系統(tǒng)的認(rèn)證機(jī)制，嚴(yán)密地設(shè)置及管理訪問(wèn)口令，是主機(jī)系統(tǒng)抵御威脅的有力保障。（2）web服務(wù)器的安全需求選擇合適的程序，該類型web服務(wù)器的漏洞最少；對(duì)服務(wù)器的管理操作只能由授權(quán)用戶執(zhí)行；拒絕通過(guò)Web訪問(wèn)web服務(wù)器上不公開(kāi)的內(nèi)容；能夠禁止內(nèi)嵌在操作系統(tǒng)或web服務(wù)器軟件中的不必要的網(wǎng)絡(luò)服務(wù)；有能力控制對(duì)各種形式的執(zhí)行程序的訪問(wèn)；能對(duì)某些Web操作進(jìn)行日志記錄，以便于入侵檢測(cè)和入侵企圖分析；具有適當(dāng)?shù)娜蒎e(cuò)功能。3.4服務(wù)器