物理与网络安全

物流环境安全

场地选择考虑抗震、承重、防火、防水、供电、空气调节、电磁防护、雷击及静电

场地因素：

自然灾害，社会因素（加油站、化工厂），配套条件（消防，交通，电力，人员）

机房分类：

普通类---设备运行

标准设防---满足国家行业标准

重点设防---增加防护要求

特殊设防---增加特殊防护，比如掩体

标准划分：

GB 50174-2008《电子计算机机房设计规范》A>B>C类

ANSI/TIA-942-2005 《数据中心通信基础设施标准》

消防与火灾管理

预防----防火材料、可燃物管理、消防条件、人员技能

检测----人工，工具。烟感，温感，光感，可燃气体探测

抑制----气态灭火、液态灭火、固态灭火

防水

检测----人工巡检，水津探测器

处置----关水源，及时排水

供电

双电源----服务器等重要设备配备双电源

UPS----一定时长满足系统切换要求

发电设施----固定、移动发电设施

双路供电----独立双变电站接入电力

智能电网----数据分析，过滤，多层防御

机房环境

通风----空气过滤器，提供 洁净空气

正压----进风口风量大于排风口

恒温----供暖和空调，一般18-23度

除湿----湿度恒定，40-55%

我国机房过滤分为：粗效级、精细级、高效级（>10um,1-10um,<1um）

电磁防护

我国保密领域，等保二级以上做电磁防护

电磁防护设备：电磁屏蔽机柜，电源滤波器，线路串导干扰仪，

防雷击及防静电

自然方面----考虑气象，地理位置，建筑高低，生产特性

生产方面----空气湿度保持40-55%，生产环境接地条件。

设施安全

安全区域----物理边界，锁，门禁，隔离系统，临时访问登记、陪同，长期访问签订协议，访客标志

安全监控----笔录电视，红外，声控，保按，超声波，声纳

传输安全

有线传输----屏蔽双绞线，防止光信号探测和复制，链路加密

无线传输----无线电波谱分析，开放信道风险，无线安全协议

OSI七层模型

通信子网4个，资源子网3个

ISO/OSI封装和解封装

封装从应用层到物理层，解封从物流层到应用层

OSI安全体系结构：8机制，5服务

7层应用层，3层网络层均可以实现所有安全服务

TCP/IP安全

把7层简化成4层

网络接口层

主要协议：ARP/RARP

常见安全问题：损坏、干扰、电磁泄露、欺骗、嗅探、拒绝服务

网络互联层

IP是最核心协议，IP协议特点是不可靠通信，无连接通信。

常见攻击方式：

拒绝服务----分片攻击

Smurf----IP欺骗和ICMP Flood攻击综合

欺骗​​​​​​​----IP源地址欺骗

窃听​​​​​​​----嗅探

伪造​​​​​​​----IP数据包伪造

传输层

TCP可靠服务,

UDP无连接不可靠，广播

常见攻击方式：拒绝服务，欺骗会话劫持，窃听，伪造数据包

SYN Flood是TCP握手中二次握手中断，伪造大量虚拟地址消耗主机连接数，拖延回复

ACK Flood是TCP握手中三次握手中断，然后影响进程

应用层

域名解析、电子邮件、文件传输、网页浏览、网络管理

常见攻击：拒绝服务，欺骗，窃听，伪造

安全协议

无线网络安全

无线局域网协议，防护策略；近距离无线通信：蓝牙、RFID

无线局域网构成802.11x

客户端STA、无线网链路、无线接入点AP、分布系统DS

无线局域网协议

WEP无线等效保密协议Wired Equivalent Privacy

WEP功能：传输加密、接入认证

安全问题：单向认证，设计缺陷密钥易于破解，RC4算法缺陷逆向分析

WPA无线局域网安全协议

802.11i：WPA草案,WPA2正式，WPA3

802.11i运行四阶段：发现AP，802.11i认证，密钥管理，安全传输

WPAI无线局域网安全协议

构成：WAI用户身份鉴别，WPI保护传输安全

安全优势：基于ECC等算法，WAI证书，双向三鉴别，高强度加密

近距离无线通信安全-蓝牙

威胁：保密性，完整性，可用性，非授权连接

无线通信安全-RFID

威胁：标签攻击，读写攻击，无线信号攻击

防护：重要的RFID标签支持Kill和休眠，使用高安全加密算法，涉及资金的在线核查

网络安全产品技术

防火墙，IPS,UTM,SOC，VPN，安全隔离

入侵检测系统

组成：事件采集器，事件分析器，事件响应单元，事件数据库

形态：

硬件入侵检测---IDS网关设备（Intrusion Detection Systems）

软件入侵检测---360安全卫士，腾讯安全管家

目标系统类型：

网络入侵检测---IDS网关设备，NIDS

主机入侵检测---360安全卫士，HIDS

系统结构：集中式，分布式

数据检测技术：

误用检测技术---建立攻击特征，假设可以识别所有入侵可能特征

MISUSE--黑名单--特征--标识

准确性高，误报率低；完整性低，漏保率高

没有进黑名单的就抓不到

异常检测技术---设定正常行为模式，有异常行为进行设别

PROFILE-白名单-状态-行为

完整性高，漏保率低；准确性低，误报率高。

白名单需要经常设置

实际使用环境中，先启动白名单模式，在用黑名单模式

NIDS和HIDA对比

大门保安和贴身保镖的区别

特点

对用户知识要求较高，配置、操作和管理较复杂

高虚警率，用户处理负担重

警告信息记录不完整

应对攻击时，对其他数据检测也可能被抑制和影响

防火墙

访问控制，网络隔离，审计记录

包过滤防火墙

机制：依据数据包的基本标记控制数据包。（网络层IP地址，传输层端口，协议类型等）

优点：技术逻辑简单，易于实现，处理速度快

缺点：无法对应用层信息过滤，且复杂的网络包过滤规则配置复杂

电路代理、应用代理

机制：网络连接都要通过防火墙进行转发

优势：加强控制，NAT为内部地址管理提供灵活性，隐藏内部网络，适用面广

WAF

http应用代理

机制：应用连接都要通过防火墙进行转发

优点：精细化、专业化

缺点：误阻断，影响体验

用于中小规模，静态WEB应用

状态检测防火墙

机制：创建Cache队列状态表用于维护连接

优势：解决异步攻击，根据通信和应用状态确定是否攻击，对性能要求高适应性好，对用户应用程序透明

各防火墙比较

入侵防御系统IPS

部署：串行检测加阻断

机制：检测+阻断，即IDS+FW

不足：单点故障、性能瓶颈、误报

统一威胁管理系统UTM

部署：串行

机构：检测+阻断+病毒防护+流控+....

不足：单点故障，性能瓶颈、误报

安全隔离与信息交换系统-网闸

组成：外部处理单元、内部处理单元、仲裁处理单元

特点：断开内外网之间的会话（物理隔离、协议隔离）

摆渡原理，连外网内网就不能上，连内网外网就断开

安全管理平台SOC

功能：风险管理、服务管理、系统管理、专业安全系统

分类：

狭义的设备集中安全管理中心。

广义的IT资源集中管理中心，包括人、技术、管理。

大数据---思科OpenSoc威胁情报系统

日志分析---ELK分布日志搜索，采集和分析，可以做问题排查、监控预警、关联分析、数据分析

虚拟专网VPN

虚拟专业网络Virtual Private Network,用隧道技术在公共网络中建立一个虚拟的、专用的安全网络通道

实现技术：

  隧道技术：

   2层隧道：PPPTP,L2F,L2TP

   IPSEC：AH,ESP,IKE

   SSL/TLS：握手协议，记录协议

  密码技术：

IPSEC VPN

  实际上是一个协议包AH认证头，ESP封装安全载荷，KMP

   AH认证头协议Authentication Header

   特性：无连接的数据完整性，数据源验证和抗重放攻击服务。不提供机密性服务，不加密数据包。

   两种模式：传输模式、隧道模式

   

   ESP封装安全载荷Encapsulating Security Payload

   特性：具备AH的无连接的数据完整性，数据源验证和抗重放攻击服务。还有独有数据包加密和数据流加密服务。

  可以单独使用也可以和AH结合使用。

SSL VPN

 SSL Handshake Protocol

   鉴别、协商加密算法和密钥

   提供连接安全性：身份鉴别，协商过程可靠，协商密钥安全

 SSL Record Protocol

   在TCP上封装更高层协议，提供连接安全性：保密用对称加密，完整用HMAC算法

TLS VPN

   传输层安全协议Transport Layer Security

  七层模型属于4.5层，四层模型属于应用层

  TLS握手协议---握手协议

  TLS记录协议---分层协议

网络安全规划设计

网络架构安全

是基础支撑环境，参考IATF模型设计

要素：人，技术，操作

四领域：计算机环境，网络边界，网络设施，支撑性设施

安全域划分

相同安全策略的网络范围或集合，

把大规模复杂系统问题化解为小区域的安全。

参考因素：业务分布，功能特点，安全要求，网络结构，地址位置，生产特性

IP地址规划

自顶向下，扩展性和节约性相结合，为节点或设备分配合适的IP地址，

考虑网络层次规划，路由协议规划、流量规划

IP地址分配：静态IP地址、动态IP地址，NAT实现

VLAN设计

逻辑地址划分为一个个网段实现虚拟工作组。

划分方法：IP,MAC,端口，IP组播

作用：VLAN之间的访问机构，防止蠕虫和恶意病毒的广泛传播，建立VLAN区域安全和资源博湖

网络冗余配置

防止单点故障，提高网络可靠性

考虑因素：

接入互联网是，用不同电信运营商线路，相互备份且互不影响。

核心层、汇聚层的设备和重要的接入层设备均应双击热备。

保证网络带宽和网络设备的业务处理能力具备冗余空间，满足业务高峰和发展

网络安全策略

身份鉴别，访问控制，通信保密，通信完整性，流量管理，行为管理，入侵防范，安全审计