【CISP】物理环境与网络通信安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CC:CC:CC:CC:CC
192.168.1.1 Hello
Internet地址 物理地址 192.168.1.1 cc:cc:cc:cc:cc
收到,我会缓存!
MAC cc:cc:cc:cc:cc is 192.168.1.1
bb:bb:bb:bb:bb 192.168.1.2 17
网络互联层协议核心协议-IP协议
5
‹# ›
知识子域:物理与环境安全
• 设施安全 • 了解安全区域的概念及相关防护要求; • 了解边界防护的概念及相关防护要求; • 理解审计及监控的概念及相关防护要求。 • 传输安全 • 理解同轴电缆、双绞线、光纤等有线传输技术及安全特点; • 理解无线安全传输技术及安全特点;
6
‹# ›
设施安全
• 安全区域 • 边界防护 •锁 • 门禁 • 审计及监控 • 闭路电视 • 非法闯入探测(红外微波双鉴探头、玻璃破碎) • 保安
7
‹# ›
传输安全
• 有线传输 • 双绞线 • 同轴电缆 • 光纤 • 无线传输 • 开放信道的风险
8
‹# ›
知识子域:网络和通信安全
• OSI模型及安全体系 • 理解OSI七层模型构成及每一层的作用; • 理解协议分层的作用及数据封装、分用等概念; • 了解OSI七层模型安全体系的构成;
安全机制
鉴别服务
访问控制服务
数据保密性服务
数据完整性服务
抗抵赖服务
安全服务
加数访 数 鉴业 路 公
密字问 据 别务 由 证 签控 完 交流 控
名制 整 换填 制
性
充
13
‹# ›
知识子域:网络和通信安全
• TCP/IP协议安全 • 了解TCP/IP协议的体系及每一层的作用; • 了解网络接口层面临的网络安全问题; • 了解IP协议的工作机制及面临的安全问题; • 了解传输层协议TCP和UDP各自的区别、面临的安全问题; • 了解应用层协议面临安全问题; • 了解基于TCP/IP协议簇的安全架构及IPv6对网络安全的价值;
3
‹# ›
知识子域:物理和环境安全
• 火灾 • 预防:防火设计及阻燃材料 • 检测:火灾探测器 • 感烟 • 感温 • 感光 • 可燃气体探测 • 抑制 • 水(较少使用,通常做周边防护) • 气体:二氧化碳、七氟丙烷、三氟甲烷
4
‹# ›
知识子域:物理和环境安全
• 防水 • 检测:水浸探测器 • 处置:在应急事件处置中要安排相应的处置流程 • 供电 • 双路供电 • 发电机 • UPS • 空气调节 • 电磁防护 • 雷击及静电
课程内容
安全设计与实现
知识域
‹# ›
物理与环境安全 网络和通信安全
系统环境安全 应用与数据安全
知识子域
1
知识子域:物理与环境安全
• 环境安全 • 了解物理安全的重要性并了解及环境安全需要考虑的因素; • 了解场地和环境安全应关注的因素; • 了解场地和环境安全应关注的因素;包括场地选择、抗震及承重、
2. 数据链路层
2. 数据链路层
1. 物理层
1. 物理层
数据流的物理传输
12
‹# ›
OSI安全体系结构
• 五类服务 • 八种安全机制 • 服务与机制的关系 • 某种安全服务可以通过一种
或多种安全机制提供
• 某种安全机制可用于提供一 种或多种安全服务
OSI参考模型
7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层
19
‹# ›
典型攻击:IP欺骗
• 原理:两台主机之间经过认证产生信任关系后,在连接过程中就 不会要求严格的认证
• IP欺骗是一系列步骤构成的攻击
确认攻击目标
使要冒充主机 无法响应目标
主机
猜正确的序数
冒充受信主机
进行会话
20
‹# ›
传输层协议-TCP协议
• 传输控制协议:提供面向连接的、可靠的字节流服务 • 提供可靠性服务 • 数据包分块、发送接收确认、超时重发、数据校验、数据包排序、
防火、防水、供电、空气调节、电磁防护、雷击及静电等防护技 术;
2
‹# ›
知识子域:物理和环境安全
• 场地选择 • 区域:避开自然灾害高发区域 • 环境:远离可能的危险因素(加油站、化工厂等) • 其他:消防、交通便利 • 抗震及承重(国标 《结构抗震设计规范》) • 特殊设防类 • 重点设防类 • 标准设防类
• IP是TCP/IP协议族中最为核心的协议 • IP协议的特点 • 不可靠(unreliable)通信 • 无连接(connectionless)通信
版本 包头长度 标识
生存期
服务类型 标记
协议类型 源IP地址
目的IP地址 可选项
用户数据
数据包长度 偏移
包头校验和
18
‹# ›
网络互联层安全问题
• 拒绝服务:分片攻击(teardrop)/死亡之ping • 欺骗:IP源地址欺骗 • 窃听:嗅探 • 伪造:IP数据包伪造
9
‹# ›
ISO/OSI七层模型结构
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
‹# ›
应用层(高) 数据流层
10
分层结构的优点
• 各层间相互独立,某一层的变化不会影响其他层 • 降低复杂性 • 促进标准化工作 • 协议开发模块化
11
‹# ›
数据封装与分用
• 数据封装 • 应用数据发送时从高层向
低层逐层加工后传递 • 数据解封装 • 数据接收时从低层向高层
逐层传递
发送信息的进程
7. 应用层
层间的逻辑通信
6. 表示层
每一层执 行功能并 将信息送
往下一层
5. 会话层 4. 传输层 3. 网络层
接收信息的进程
7.源自文库应用层
6. 表示层
5. 会话层 4. 传输层
每一层执 行功能并 将信息送
往上一层
3. 网络层
14
‹# ›
TCP/IP协议结构
15
‹# ›
网络接口层
• 主要协议 • ARP • RARP • 安全问题 • 损坏:自然灾害、动物破坏、老化、误操作 • 干扰:大功率电器/电源线路/电磁辐射 • 电磁泄漏:传输线路电磁泄漏 • 欺骗:ARP欺骗 • 嗅探:常见二层协议是明文通信的(以太、arp等) • 拒绝服务:mac flooding,arp flooding等
16
‹# ›
典型攻击:ARP欺骗
• ARP协议实现特点 • ARP协议特点:无状态,无需请求可以应答
aa:aa• :AaRaP:实aa现:a:aARP缓存
192.168.1.1
AA:AA:AA:AA:AA 192.168.1.1 Hello
cc:cc:cc:cc:cc 192.168.1.3
‹# ›