物理安全

物理安全主要考虑的是一些外力的因素，如环境风险，以及不可预知的人类活动。
要考虑的主要因素

环境安全

1. 场地选择
2. 抗震以及称重
3. 火灾防护
4. 防水
5. 供电安全
6. 空气调节
7. 电磁防护
8. 雷击及静电

设施安全

1. 安全区域
2. 边界防护
3. 监控与审计

传输介质安全

1. 同轴电缆
2. 双绞线

OSI模型

OSI模型

1. 物理层
2. 数据链路层
   数据被组合成帧
3. 网络层
   常见协议 IP IPX
4. 传输层
   常见协议TCP UDP SPX
5. 会话层
6. 表示层
7. 应用层
   HTTP FTP Telnet SNMP DNS POP3 SMTP

OSI 7层模型安全体系

《信息处理系统开放系统互连基本参考-第二部分：安全体系结构》

应当提供的服务

• 五类安全服务

1. 鉴别服务
2. 访问控制服务
3. 数据保密性服务
4. 数据完整性服务
5. 抗抵赖服务

• 8种安全机制

1. 加密机制
2. 数字签名机制
3. 访问控制机制
4. 数据完整性机制
5. 鉴别交换机制
6. 业务流填充机制
7. 路由控制机制
8. 公证机制

TCP/IP协议安全

协议结构及安全问题

协议结构

1. 应用层
2. 传输层
3. 互联网络层
4. 网络接口层

网络接口层安全

也叫做链路层或数据链路层，TCP/IP协议最底层，负责接收来自IP层的数据报。

网络接口层3个目的

1. 为IP模块发送和接收IP数据报
2. 为ARP（地址解析协议）模块发送ARP请求和接收ARP应答
3. 为RARP（逆地址解析协议）发送RARP请求和接收RARP应答

安全问题
ARP RARP协议缺乏较号的认证机制，攻击者很容易利用这些协议进行欺骗和拒绝服务攻击，从而假冒主机入侵其他被信任的主机。

互连网络层安全

也称网络层或网际层，处理分组在网络中的活动，如分组选路。网络层协议包括IP协议，ICMP协议 IGMP协议

安全问题
目前广泛使用的是IPV4提供无连接不可靠服务，仅又简单的报头校验码，对数据没有差错控制，无法进行重发，流量控制等。攻击者可以实施IP欺骗，源路由欺骗及碎片攻击等多种不同类型的攻击。

传输层安全

两台主机提供端到端的通信服务，主要又TCP，UDP两个不同的协议。

1. TCP提供可靠的，面向连接的数据通信服务

2. UDP提供不可靠，无连接的数据包通信服务

由于UDP协议的高效，攻击者可以利用UDP协议，拒绝服务攻击UDP Flood

应用层安全

1. 身份认证简单
2. 明文传输数据
3. 数据完整性保护

安全解决方案

TCP/IP协议族的安全架构

↓↓↓↓↓↓↓

↓↓↓↓↓↓↓

1. 网络接口层
   通过建立专用通信链路，在主机或路由器之间提供安全保证。该层安全通信协议主要有PPTP L2TP等
   点对点隧道协议PPTP 是在PPP协议基础上开发的一种新的增强安全协议，
   支持虚拟专用网 VPN
   可以通过密码身份验证协议 PAP
   可扩展身份验证协议 EAP
   可以使远程用户通过拨入ISP，通过直接连接Internet或其他安全地访问目标网络
   第二层隧道协议 L2TP 基于PPTP和L2F，在链路层为客户端和服务器之间建立经过认证的虚拟私有网络，并常通过和加密协议搭配来实现数据的加密传输。L2TP同时支持在两端点间使用多隧道，并可以在IP 帧中继永久虚拟电路，x.25虚拟电路或ATM网络上使用

2. 互联网络层
   互联网络层安全通信协议主要是解决IP协议的安全问题。现阶段Internet协议安全性IPSec是主要的互连网络层安全通信协议，有效解决了在互连网络层上存在的安全问题。
   IPSec协议通过认证头协议为IP数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况
   IPSec协议中通过封装安全荷载协议 ESP 加密需要保护的荷载数据，为这些数据提供机密性和完整性保护能力。ESP协议和AH协议可被独立使用，也可以相互结合使用。

3. 传输层
   传输层安全协议主要有SSL和TLS协议。根据传输层的特点，传输层的安全主要在端到端实现，可以提供基于进程到进程的安全通信。
   安全套阶层协议 SSL
   安全传输层协议 TSL

4. 应用层
   根据特定应用的安全需要及其特点而设计的安全协议，如
   电子邮件安全协议 S/Mine
   安全超文本传输协议 S-HTTP
   优点针对性更强，缺点也是需要对每个应用设计有针对性的安全机制

IPV6

最初是为了解决IPv4网络地址有限而设计的/
IPv6采用128位地址长度来提供地址空间。IPv6还内置安全性，增加了网络对加密和认证的支持。内嵌IPSec的支持，通过访问控制，数据源的身份验证，数据完整性检查，机密性保证以及抗重播攻击等机制，解决端到端数据传输的安全问题。

无线通信安全

蓝牙安全

1. 保密性威胁
   蓝牙之间通信安全基于SAFER+分组密码算法，密钥生成基于蓝牙设备配对时的PIN，部分设备使用固定PIN，攻击者可以获得两个蓝牙设备之间会话密钥

2. 完整性威胁
   攻击者通过两个蓝牙设备之间插入未授权设备实施中间人攻击

3. 非授权威胁
   攻击者通过未授权设备将恶意代码推送到蓝牙设备中或远程操控蓝牙设备

4. 拒绝服务攻击
   使用硬件地址欺骗及漏洞使得蓝牙设备不可用。

WLAN 是无线通讯技术与网络技术结合的产物，当前最为广泛的为IEEE 802.11x标准族, 包括
802.11a
802.11b
802.11g 及
802.11n
安全方面的802.11i
MAC层使用CSMA/CA协议

无线局域网安全

无线局域网安全协议

1. WEP有线等效保密协议
2. WPA WPA2
   802.11i运行过程4各阶段
   ①发现AP阶段
   ②802.1x认证阶段
   ③密钥管理阶段
   ④安全数据传输阶段
3. WAPI安全协议
   WLAN国家标准，无限鉴别和保密基础结构 WAPI
   WAPI由无线局域网认证基础设施WAI和无线局域网保密基础结构WPI两部分组成，分别实现对用户身份鉴别和对传输的数据加密
   WPI加密算法由国家密码管理局指定

无线局域网安全防护

1. 无线局域网安全纳入公司总体安全策略中
   ①结合组织机构业务需求对无线局域网的应用进行评估
   ②限制无线局域网的使用范围
   ③明确定义并限制无线局域网的使用范围，尽量不在无线网络中传输和处理机密和敏感数据

2. 应用安全技术保护无线局域网安全
   ①为方可设立独立接入网段，无线局域网与业务网之间部署隔离设备
   ②对无线局域网接入使用安全可靠的认证和加密技术
   ③部署入侵检测系统

RFID安全

射频识别是一种应用广泛场通信技术，通过无线电信号识别特定目标并读写相关数据。

针对标签攻击

1. 数据窃取
2. 标签破解及复制

针对读写器攻击

1. 拒绝服务
2. 恶意代码

针对无线信道的攻击

RFID安全防护

①选择支持Kill和休眠的标签
②使用高安全加密算法的标签
③设计资金的应用使用在线核查方式

典型网络攻击及防范

欺骗攻击

通过伪造数据从而获得不当优势的一类攻击方式

IP欺骗

向目标主机发送源地址为已经建立信任关系主机的ip报文，冒充其他主机对目标主机进行IP欺骗，关键在于数据报文中的会话序号
两个前置步骤：

1. 获得目标主机与被冒充主机的会话序号，反复尝试与目标主机建立连接的方式，分析主机序数生成算法，猜出会话序数。
2. 使被冒充主机无法响应目标主机数据包，采取方式是对冒充主机实施拒绝服务攻击。

防御方式：
使用抗IP欺骗产品或对网络设备进行配置，拒绝来自外部端口但源地址却是本地地址的数据包，如果信任某外部主机，网络设备不会阻止源于这台信任主机的欺骗攻击。

ARP欺骗

ARP 地址解析协议作用是将网络层地址IP地址，转换成数据链路层地址MAC地址。ARP是无状态协议，攻击者通过向网络或目标主机发送伪造的ARP应答报文，修改目标计算机上ARP缓存，形成一个错误的IP地址<->MAC地址映射。

防御方式：
使用静态的ARP缓存，缓存中的数据不能被ARP应答报文刷新，缺点每次硬件地址变更都需要人工更新。计算机数量较多的情况下设备地址会形成较大的工作量
三层地址交换，三层交换技术使用OSI模型第三层地址（TCP/IP协议中为IP地址）进行数据交换，不会受到错误封装的MAC影响
除非设置ARP代理，默认情况下ARP协议无法跨越路由设备，因此划分更多子网能降低ARP攻击影响范围
部署ARP防火墙以阻止攻击者修改ARP缓存

DNS欺骗

DNS是域名与IP地址的解析，域名是分布的数据库系统，不同域名分布在全球不同的域名服务器上。DNS服务器对自己无法解析的域名会向其他服务器查询获取，并且缓存到自己服务器上。攻击者通过伪造DNS应答在目标DNS服务器生成错误的缓存数据

防御方式：
使用新版本DNS服务软件，新版本软件低于DNS欺骗方面优于老版本
配置系统，限制域名服务器做出响应的地址
限制发出查询请求的客户机地址

TCP会话劫持

TODO

拒绝服务攻击

SYN Flood

SYN是TCP协议的标记位，称同步序号，用于发起TCP会话的三次握手过程。TCP会话前客户端需要向服务器发送SYN标记的数据包，服务器回应ACK。
SYN Flood攻击伪造带有虚假源地址的SYN包，使ACK/SYN包得不到确认。服务器会等待ACK的确认。并占用一个连接。攻击会耗尽连接，从而形成拒绝服务。

UPD Flood

攻击者针对使用UDP协议的应用，通过大量UDP数据报文占用网络带宽使目标网络阻塞。

TearDrop

也叫分片攻击或碎片攻击，攻击软件名TearDrop而得名。TCP/IP协议传输数据过程中，过大的包会分包处理，找到堆栈中进行重组，IP包头中包含当前包在源数据请求中的位置。发送伪造的含有重制偏移信息的分段包到目标主机，请求包重组时会引起目标主机内存错误。

DDos

分布式拒绝攻击，预先控制大量计算机，安装攻击或者控制程序。威力强大还可以保护攻击者难以被发现。

网络安全防护技术

边界防护

通过技术设备将自身网络和不安全的网络隔离，从而降低自身网络安全风险 。

防火墙

根据定义的访问控制策略检测两个安全域之间的所有流量。

1. 防火墙的主要技术
   ·静态包过滤：根据数据包的源地址、目的地址、源端口号、目的端口号、会话协议及数据包头中的各个标记等因素，按照系统预先定制好的规则来决定对数据包的操作。
   优点：逻辑简单处理速度快。
   缺点：无法对应用层信息进行过滤处理，网络服务多、结构复杂的网络过滤规则配置复杂。
   ·应用代理：应用代理技术在内部设备与外部设备通信时进行数据转发，而转发的会话必须符合代理的安全策略。
   优点：代理不允许会话双方直接通信，所以安全性较高，可以对应用层数据进行处理。
   缺点：因为对数据包全部转发，性能消耗比较大，并且由于需要为每个服务编写响应代理程序，所以防火墙设备灵活性不高。
   ·状态检测：也成为动态包过滤，对静态包过滤的扩展。状态检测技术通过维护一个记录网络连接变化的状态表来自动生成或删除过滤规则。
   优点：犹豫使用状态表，所以可以处理会话当前的状态属性、顺序号、应答标记等。可以防止伪造应答报文类型攻击。
   缺点：对硬件要求比较高。

2. 防火墙部署
   单防火墙（无DMZ）部署：非军事区DMZ（Demilitarized Zone）是安全网络与非安全网络之间的缓冲区。该方案为最简单的防火墙部署架构，通过防火墙将需要隔离的网络分开，防止外部威胁。
   适用于主要需求为内部受控地访问外部资源，并且很少或者没有需要外部来访问的资源。
   单防火墙（DMZ）部署：防火墙提供一个或多个DMZ，用于部署允许外部网络访问的公开服务系统，如Web系统，邮件系统等。DMZ数量依赖于使用防火墙产品所能支持和扩展的DMZ端口的数量
   双防火墙部署：使用两台防火墙分别作为外部防火墙和内部防火墙，在两台防火墙之间生成了一个非军事区网段，外部流量允许进入DMZ网段，内部流量允许进入DMZ网络并通过DMZ网段六处置外部网络，但外部网络流量不允许直接进入内部网络。

安全隔离与信息交换系统

也称为安全隔离网闸或者网闸，针对物理隔离情况下数据交换问题而发展出来的技术。通常情况下安全隔离与信息交换系统有外网处理单元，内网处理单元和中间的隔离部件组成。内外网处理单元分别连接两个不通安全级别网络，两个网络直接无法建立OSI或TCP/IP链路层以上的网络连接。信息交换时同一时间只能和一个网络建立连接，不会同时连接两个网络。

其他边界安全防护技术

IPS（Intrusion Prevention System）是集入侵检测和防火墙于一体的安全设备，部署在网络出口中，不但能检测入侵发生，而且能针对攻击进行响应实时种植入侵行为发生。
防病毒网关，对进出数据进行分析，发现其中存在恶意代码并拦截。
统一威胁管理UTM（Unified Threat Management）将病毒，入侵检测防火墙等多种技术集成一体，形成标准统一威胁管理平台。

检测与审计

入侵检测系统

入侵检测系统IDS（Intrusion Detection System）是对网络中传输数据进行实时检测，发现其中存在攻击行为并进行响应的网络安全设备。

1. 入侵检测分类
   根据部署方式以及数据来源可以分为，网络入侵检测和主机入侵检测。
   网络入侵检测通常是硬件形式，需要部署在检测区域关键节点，监听传输的数据报文。通过特征匹配行为分析等来识别可能攻击，通过旁路方式接入不会对传输数据带来干扰。因为检测依据仅依据数据报文，检测结果准确度不佳。
   主机入侵检测一般软件形式，除了可以检测主机网络接口上传输的数据，还能调用操作系统的审计日志等数据，且能分析操作系统的状况。主机入侵检测能结合操作系统日志等数据分析，准确度较高。

2. 入侵检测技术
   误用检测：也称特征检测，根据一直入侵攻击的信息，来检测可能的入侵。误用检测需要对现有的各种攻击手段分析，建立特征集合，匹配成功则判断有攻击发生。
   异常检测：根据系统或用户非正常行为或者计算机资源非正常使用来检测可能发生的入侵行为。检测需要建立系统正常活动状态或用户正常行为的描述，用当前行为和正常行为比较，超过阈值，则认为有攻击。

3. 入侵检测系统部署
   主机入侵检测部署在需要检测的主机中。网络入侵检测部署在关键位置路由器交换机中。

4. 入侵检测局限性
   因为数据量大，需要对用户基于较好的安全知识才能对入侵检测的数据进行分析，对用户要求较高。因网络流量较大，还会存在高虚警率问题。

安全审计系统

安全审计是按照一定的安全策略，对系统日志，网络数据，用户活动，环境状况进行检查，以发现系统漏洞违规操作等行为的安全设备。也分为网络安全审计和主机安全审计。
与入侵检测不同之处在于，安全审计系统记录与审查用户操作计算机系统的网络活动。对可能存在的攻击者起到威慑警示作用。

接入管理

虚拟专用网络（VPN）

利用隧道技术建立临时的安全的网络。VPN提供加密，认证和访问控制等技术来保障通过公共网络传输数据的安全性。

1. 关键技术
   通过对数据进行封装，在公共网络上建立一条数据通道（隧道）。在数据链路层进行封装的是二层隧道协议，包括点到点隧道协议PPTP（Point to Point Tunneling Protocol）和第二层隧道协议L2TP（Layer Two Tunneling Protocol ）。在网络层进行封装的是第三层隧道协议，主要有IPSec和通用路由封装协议GRE(Genneral Routing Encapsulation)。SSL TSL等协议在传输层上，对应用层数据进行封装。
2. 应用领域
   远程访问VPN适用于企业内部人员流动频繁或者远程办公的情况。
   内联网VPN，适用于企业内部异地分支机构的互联。
   外联网VPN，适用于企业将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。

网络准入控制

网络准入控制NAC，通过连入网络的客户端设备进行授权，组织非授权用户连接进网络。NAC一般还可以检测设备状态，确保设备符合一定级别的安全标准。如检测病毒防护软件的版本，当前可用补丁，浏览器设定，有效的个人防火墙等。不满足要求的设备禁止接入网络