物理与网络通信安全ppt课件.pptx

《物理与网络通信安全ppt课件.pptx》由会员分享，可在线阅读，更多相关《物理与网络通信安全ppt课件.pptx（61页珍藏版）》请在三一办公上搜索。

1、物理环境与网络通信安全,版本：4.1,讲师姓名 机构名称,课程内容,2,物理与网络通信安全,知识域,知识子域,OSI模型,典型网络攻击防范,网络安全防护技术,TCP/IP协议安全,物理安全,无线通信安全,知识子域：物理与环境安全,环境安全了解物理安全的重要性；了解场地和环境安全应关注的因素：包括场地选择、抗震及承重、防火、防水、供电、空气调节、电磁防护、雷击及静电等防护技术；,3,知识子域：物理与环境安全,物理安全的重要性信息系统安全战略的一个重要组成部分物理安全面临问题环境风险不确定性人类活动的不可预知性典型的物理安全问题自然灾害（地震、雷击、暴雨、泥石流等）环境因素（治安、交通、人流及经营

2、性设施风险）设备安全、介质安全、传输安全,4,场地选择,区域：避开自然灾害高发区域环境：远离可能的危险因素治安、人流量等加油站、化工厂等示例：天津港爆炸事件天河1A超级计算机暂时关闭（国家超级计算中心）腾讯公司关闭了数据中心，造成视频服务中断惠普公司，猎聘网，艾哈迈德科技公司等的数据中心都受到影响其他：消防、交通便利,5,抗震及承重,抗震：国标 结构抗震设计规范）特殊设防类重点设防类标准设防类承重考虑设计（建筑的设计是否考虑了应对可能的偶然事件）考虑时间因素（建筑有效期一般为50年）考虑使用因素（正常使用、正常维护）,6,火灾,预防：防火设计及阻燃材料检测：火灾探测器感烟感温感光可燃气体探测抑

3、制水（较少使用，通常做周边防护）气体：二氧化碳、七氟丙烷、三氟甲烷,7,知识子域：物理与环境安全,防水远离水浸威胁（参考场地选择）检测：水浸探测器处置：在应急事件处置中要安排相应的处置流程供电双路供电发电机UPS空气调节,8,知识子域：物理与环境安全,电磁防护解决电磁辐射产生的信息泄露问题电磁屏蔽：屏蔽线、屏蔽机柜、屏蔽机房信号干扰：避免信息还原Tempest技术：对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术领域的总称雷击及静电直击雷：避雷针、法拉第笼感应雷：电涌保护器静电：放电、防静电服,9,知识子域：物理与环境安全,设施安全了解安全区域的概念及相关防护要求

4、；了解边界防护的概念及相关防护要求；理解审计及监控的概念及相关防护要求。传输安全理解同轴电缆、双绞线、光纤等有线传输技术及安全特点；理解无线安全传输技术及安全特点；,10,设施安全-安全区域与边界防护,安全区域建立安全区域，明确物理安全边界对受控区域进行保护，建立屏蔽及访问控制机制边界防护所有物理出入通道的防护门：锁、门禁窗：铁栅栏通风口,11,设施安全-审计及监控,审计及监控对安全区域的出入行为进行记录对非法闯入进行检测实现方式出入记录（登记、门禁）闭路电视非法闯入探测（红外微波双鉴探头、玻璃破碎探测器等）安保人员,12,传输安全,有线传输：同轴电缆、双绞线、光纤安全风险：非法接入、破坏防护

5、措施：保护措施（深埋、套管）、标识无线传输安全风险：开放信道防护措施：加密,13,知识子域：OSI通信模型,OSI模型理解OSI七层模型构成及每一层的作用；理解协议分层的作用。OSI模型通信过程理解OSI模型通信过程及数据封装、分用等概念OSI模型安全体系构成了解OSI模型安全体系的构成；了解OSI模型的五类安全服务、八种安全机制的概念。,14,ISO/OSI七层模型结构,模型定义了网络中不同计算机系统进行通信的基本过程和方法底层协议偏重于处理实际的信息传输，负责创建网络通信连接的链路，包括物理层、数据链路层、网络层和传输层高层协议处理用户服务和各种应用请求，包括会话层、表示层和应用层,15,

6、应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,OSI模型特点,分层结构的优点各层间相互独立降低复杂性促进标准化工作协议开发模块化数据封装与分用（解封装）,16,OSI安全体系结构,目标保证异构计算机进程与进程之间远距离交换信息的安全五类安全服务鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和抗抵赖服务八种安全机制加密、数据签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公正,17,知识子域：TCP/IP模型,协议结构及安全问题了解TCP/IP协议的体系及每一层的作用；了解网络接口层的作用及面临的网络安全问题；了解IP协议的工作机制及面临的安全问题；了解传输层协

7、议TCP和UDP的工作机制及面临的安全问题；了解应用层协议面临安全问题。安全解决方案了解基于TCP/IP协议簇的安全架构；了解IPv6对网络安全的价值。,18,TCP/IP协议结构,19,网络接口层,主要协议ARPRARP安全问题损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏欺骗：ARP欺骗嗅探：常见二层协议是明文通信的拒绝服务：mac flooding，arp flooding等,20,典型攻击：ARP欺骗,ARP协议实现特点ARP协议特点：无状态，无需请求可以应答ARP实现：ARP缓存,21,bb:bb:bb:bb:bb,cc:cc:c

8、c:cc:cc,aa:aa:aa:aa:aa,192.168.1.1,192.168.1.2,MAC cc:cc:cc:cc:cc is 192.168.1.1,收到，我会缓存！,192.168.1.3,Internet地址 物理地址192.168.1.1 cc:cc:cc:cc:cc,网络互联层核心协议-IP协议,IP是TCP/IP协议族中最为核心的协议目前广泛使用的IPv4提供无连接不可靠的服务,22,网络互联层安全问题,拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造,23,典型攻击：IP欺骗,原理：两台主机之间经过认证产生信任关系

9、后，在连接过程中就不会要求严格的认证IP欺骗是一系列步骤构成的攻击,24,IP欺骗实现,25,B,A,C,连接请求,伪造B进行系列会话,A的序数规则,传输层协议-TCP（传输控制协议）,提供面向连接的、可靠的字节流服务提供可靠性服务数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量,26,传输层协议-UDP（用户数据报协议）,提供面向事务的简单不可靠信息传送服务特点无连接、不可靠协议简单、占用资源少，效率高,27,传输层安全问题,拒绝服务：syn flood/udp flood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造,28,典型攻击：SYN Flood,原理：

10、伪造虚假地址连接请求，消耗主机连接数,29,(syn)Hello,Im 2.2.2.2,(syn+ack)Im ready,?,Im waiting,(syn)Hello,Im 2.2.2.2,?,Im waiting,(syn)Hello,Im 3.3.3.3,Im waiting,Im waiting,Im waiting,1.1.1.1,1.1.1.1,2.2.2.2,应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文典型的应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP,30,应用层协议,应用层协议安全问题,拒绝服务：超长URL链接

11、欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：数据泄漏伪造：应用数据篡改暴力破解：应用认证口令暴力破解等,31,典型攻击：DNS欺骗,32,?,我不知道，我问问其他DNS服务器,Other DNS,收到，我会缓存！,?,我缓存中有记录，我告诉你！,2.2.2.2,1.1.1.1,攻击者,DNS服务器,DNS服务器,客户机,基于TCP/IP协议簇的安全架构,33,知识子域：无线通信安全,无线局域网安全了解无线局域网安全协议WEP、WPA2、WAPI等工作机制及优缺点；理解无线局域网安全防护策略。蓝牙通信安全了解蓝牙技术面临的保密性、完整性、非授权连接、拒绝服务等安全威胁；理解使用蓝牙的安全措

12、施。RFID通信安全了解RFID的概念及针对标签、针对读写器和针对信道的攻击方式；理解RFID安全防护措施。,34,无线局域网安全协议-WEP,提供功能传输加密接入认证（开放式认证、共享密钥认证）开放式认证系统通过易于伪造的SSID识别，无保护、任意接入MAC、IP地址控制易于伪造共享密钥认证弱密钥问题不能防篡改没有提供抵抗重放攻击机制,35,无线局域网安全协议-WPA、WPA2,802.11iWPA（802.11i草案）WPA2(802.11i正式)802.11i运行四阶段发现AP阶段802.11i认证阶段密钥管理阶段安全传输阶段,36,WAPI无线安全协议,WAPI的构成WAI，用于用户身

13、份鉴别WPI，用于保护传输安全WAPI的安全优势双向三鉴别（服务器、AP、STA）高强度鉴别加密算法,37,无线局域网应用安全策略,管理措施组织机构安全策略中包含无线局域网安全管理策略结合业务对无线局域网应用进行评估，制定使用和管理策略技术措施加密、认证及访问控制访客隔离安全检测措施,38,近距离无线通信安全-蓝牙,安全威胁保密性威胁：密钥生成基于配对的PIN完整性威胁：未授权设备实施的中间人攻击可用性威胁：拒绝服务非授权连接蓝牙安全应用蓝牙设备选择：技术上应具备抵抗以上威胁的能力蓝牙设备使用：企业应用应建立管理要求,39,近距离无线通信安全-RFID,安全威胁针对标签攻击：数据窃取、标签破解

14、及复制针对读写器的攻击：拒绝服务、恶意代码针对无线信道的攻击：干扰、嗅探安全防护重要的RFID标签（例如用于身份鉴别），支持Kill和休眠的标签使用高安全加密算法的标签涉及资金的应用使用在线核查方式,40,知识子域：典型网络攻击与防范,欺骗攻击了解IP欺骗、ARP欺骗、DNS欺骗等电子欺骗攻击的实现方式及防护措施。拒绝服务攻击了解SYN Flood、UDP Flood、Teardrop等拒绝服务攻击实现方式；了解分布式拒绝服务攻击实现方式及拒绝服务攻击应对策略。,41,网络攻击与防范-欺骗攻击,欺骗攻击（Spoofing）通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术 常见

15、类型IP欺骗ARP欺骗DNS欺骗,42,B,A,C,Hello,Im B!,网络攻击与防范-拒绝服务攻击,拒绝服务攻击让被攻击的系统无法正常进行服务的攻击方式拒绝服务攻击方式利用系统、协议或服务的漏洞利用TCP协议实现缺陷利用操作系统或应用软件的漏洞目标系统服务资源能力利用大量数据挤占网络带宽利用大量请求消耗系统性能混合型,43,拒绝服务是一类攻击方式的统称！,网络攻击与防范-拒绝服务攻击,UDP Flood利用UDP协议实现简单、高效，形成流量冲击Teardrop构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃,44,PSH 1:1025,PSH 1000:2048,PSH

16、 2049:3073,试图重组时协议栈崩溃,PSH 1:1024,PSH 1025:2048,PSH 2049:3073,网络攻击与防护-分布式拒绝服务攻击（DDoS）,45,攻击者,管理机,管理机,管理机,攻击机,攻击机,攻击机,攻击机,攻击机,攻击机,攻击机,攻击机,攻击机,目标机,拒绝服务攻击的防御,管理防御业务连续性计划（组织共同承担，应对DoS攻击）协调机制（运营商、公安部门、专家团队）技术防御安全设备（防火墙、抗DoS设备）增强网络带宽自身强壮性（风险评估、补丁、安全加固、资源控制）监测防御应急响应（构建监测体系）,46,知识子域：网络安全防护技术,入侵检测系统了解入侵检测产品的技

17、术实现、部署方式、作用及局限性。防火墙了解防火墙产品的实现技术、部署方式、作用及局限性。安全隔离与信息交换系统了解安全隔离与信息交换系统的实现技术、部署方式、作用。虚拟专网了解VPN的实现技术、部署方式及作用,47,入侵检测系统的作用与功能,入侵检测系统的作用防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统功能监测并分析用户和系统的活动核查系统配置和漏洞对操作系统进行日志管理，并识别违反安全策略的用户活动针对已发现的攻击行为作出适当的反应，如告警、中止进程等,48,入侵检测系统的分类,按入侵检测形态硬件入侵检测软件入侵检测按目标系统的类型网络入侵检测主机入侵检测按

18、系统结构集中式分布式,49,网络入侵检测部署,主机入侵检测部署,数据检测技术,误用检测技术建立入侵行为模型(攻击特征)假设可以识别和表示所有可能的特征基于系统和基于用户的误用异常检测技术设定“正常”的行为模式假设所有的入侵行为是异常的基于系统和基于用户的异常,50,入侵检测的局限性,对用户知识要求较高，配置、操作和管理使用较为复杂网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要高虚警率，用户处理的负担重由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响,51,控制：在网络连

19、接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息,防火墙的作用与功能,52,防火墙主要技术-静态包过滤,实现机制:依据数据包的基本标记来控制数据包网络层地址（IP地址）传输层地址(端口)协议类型等优点技术逻辑简单、易于实现，处理速度快不足无法实现对应用层信息过滤处理，并且对于网络服务多、结构复杂的网络，包过滤规则配置复杂,53,防火墙的主要技术-状态检测,实现机制：创建状态表用于维护连接优势安全性高，可根据通信和应用程序状态确定是否允许包的通行对性能要求高适应性好，对用户、应用程序透明,54,

20、防火墙的主要技术-代理及NAT,实现机制：网络之间的连接都要通过防火墙进行转发优势加强了控制能提供NAT，为内部地址管理提供灵活性，隐藏内部网络适用面广,55,防火墙的部署,防火墙的部署位置可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间防火墙的部署方式单防火墙（无DMZ）部署方式单防火墙（DMZ）部署方式双防火墙部署方式,56,安全隔离与信息交换系统（网闸）,组成外部处理单元、内部处理单元、仲裁处理单元 特点断开内外网之间的会话（物理隔离、协议隔离）同时集合了其他安全防护技术,57,虚拟专网,虚拟专用网络（Virtual Private Network,VPN）利用隧道技术，在公共网络中建立一个虚拟的、专用的安全网络通道VPN实现技术隧道技术二层隧道：PPTP、L2F、L2TPIPSECSSL密码技术,58,总结,物理和环境安全环境安全、设施安全、传输安全OSI七层模型TCP/IP协议安全典型网络攻击与防范电子欺骗（ARP欺骗、IP欺骗、DNS欺骗）拒绝服务攻击（SYN Flood、UDP Flood、Teardrop）与分布式拒绝服务攻击网络安全设备IDS、防火墙、网闸、VPN等,59,邀请您参与讲师考评,60,谢谢，请提问问题！,