物理与网络安全

物流环境安全

场地选择考虑抗震、承重、防火、防水、供电、空气调节、电磁防护、雷击及静电

场地因素:

自然灾害,社会因素(加油站、化工厂),配套条件(消防,交通,电力,人员)

机房分类:

普通类---设备运行

标准设防---满足国家行业标准

重点设防---增加防护要求

特殊设防---增加特殊防护,比如掩体

标准划分:

GB 50174-2008《电子计算机机房设计规范》A>B>C类

ANSI/TIA-942-2005 《数据中心通信基础设施标准》

消防与火灾管理

预防----防火材料、可燃物管理、消防条件、人员技能

检测----人工,工具。烟感,温感,光感,可燃气体探测

抑制----气态灭火、液态灭火、固态灭火

防水

检测----人工巡检,水津探测器

处置----关水源,及时排水

供电

双电源----服务器等重要设备配备双电源

UPS----一定时长满足系统切换要求

发电设施----固定、移动发电设施

双路供电----独立双变电站接入电力

智能电网----数据分析,过滤,多层防御

机房环境

通风----空气过滤器,提供 洁净空气

正压----进风口风量大于排风口

恒温----供暖和空调,一般18-23度

除湿----湿度恒定,40-55%

我国机房过滤分为:粗效级、精细级、高效级(>10um,1-10um,<1um)

电磁防护

我国保密领域,等保二级以上做电磁防护

电磁防护设备:电磁屏蔽机柜,电源滤波器,线路串导干扰仪,

防雷击及防静电

自然方面----考虑气象,地理位置,建筑高低,生产特性

生产方面----空气湿度保持40-55%,生产环境接地条件。

设施安全

安全区域----物理边界,锁,门禁,隔离系统,临时访问登记、陪同,长期访问签订协议,访客标志

安全监控----笔录电视,红外,声控,保按,超声波,声纳

传输安全

有线传输----屏蔽双绞线,防止光信号探测和复制,链路加密

无线传输----无线电波谱分析,开放信道风险,无线安全协议

OSI七层模型

通信子网4个,资源子网3个

ISO/OSI封装和解封装

封装从应用层到物理层,解封从物流层到应用层

OSI安全体系结构:8机制,5服务

7层应用层,3层网络层均可以实现所有安全服务

TCP/IP安全

把7层简化成4层

网络接口层

主要协议:ARP/RARP

常见安全问题:损坏、干扰、电磁泄露、欺骗、嗅探、拒绝服务

网络互联层

IP是最核心协议,IP协议特点是不可靠通信,无连接通信。

常见攻击方式:

拒绝服务----分片攻击

Smurf----IP欺骗和ICMP Flood攻击综合

欺骗​​​​​​​----IP源地址欺骗

窃听​​​​​​​----嗅探

伪造​​​​​​​----IP数据包伪造

传输层

TCP可靠服务,

UDP无连接不可靠,广播

常见攻击方式:拒绝服务,欺骗会话劫持,窃听,伪造数据包

SYN Flood是TCP握手中二次握手中断,伪造大量虚拟地址消耗主机连接数,拖延回复

ACK Flood是TCP握手中三次握手中断,然后影响进程

应用层

域名解析、电子邮件、文件传输、网页浏览、网络管理

常见攻击:拒绝服务,欺骗,窃听,伪造

安全协议

无线网络安全

无线局域网协议,防护策略;近距离无线通信:蓝牙、RFID

无线局域网构成802.11x

客户端STA、无线网链路、无线接入点AP、分布系统DS

无线局域网协议

WEP无线等效保密协议Wired Equivalent Privacy

WEP功能:传输加密、接入认证

安全问题:单向认证,设计缺陷密钥易于破解,RC4算法缺陷逆向分析

WPA无线局域网安全协议

802.11i:WPA草案,WPA2正式,WPA3

802.11i运行四阶段:发现AP,802.11i认证,密钥管理,安全传输

WPAI无线局域网安全协议

构成:WAI用户身份鉴别,WPI保护传输安全

安全优势:基于ECC等算法,WAI证书,双向三鉴别,高强度加密

近距离无线通信安全-蓝牙

威胁:保密性,完整性,可用性,非授权连接

无线通信安全-RFID

威胁:标签攻击,读写攻击,无线信号攻击

防护:重要的RFID标签支持Kill和休眠,使用高安全加密算法,涉及资金的在线核查

网络安全产品技术

防火墙,IPS,UTM,SOC,VPN,安全隔离

入侵检测系统

组成:事件采集器,事件分析器,事件响应单元,事件数据库

形态:

硬件入侵检测---IDS网关设备(Intrusion Detection Systems)

软件入侵检测---360安全卫士,腾讯安全管家

目标系统类型:

网络入侵检测---IDS网关设备,NIDS

主机入侵检测---360安全卫士,HIDS

系统结构:集中式,分布式

数据检测技术:

误用检测技术---建立攻击特征,假设可以识别所有入侵可能特征

MISUSE--黑名单--特征--标识

准确性高,误报率低;完整性低,漏保率高

没有进黑名单的就抓不到

异常检测技术---设定正常行为模式,有异常行为进行设别

PROFILE-白名单-状态-行为

完整性高,漏保率低;准确性低,误报率高。

白名单需要经常设置

实际使用环境中,先启动白名单模式,在用黑名单模式

NIDS和HIDA对比

大门保安和贴身保镖的区别

特点

对用户知识要求较高,配置、操作和管理较复杂

高虚警率,用户处理负担重

警告信息记录不完整

应对攻击时,对其他数据检测也可能被抑制和影响

防火墙

访问控制,网络隔离,审计记录

包过滤防火墙

机制:依据数据包的基本标记控制数据包。(网络层IP地址,传输层端口,协议类型等)

优点:技术逻辑简单,易于实现,处理速度快

缺点:无法对应用层信息过滤,且复杂的网络包过滤规则配置复杂

电路代理、应用代理

机制:网络连接都要通过防火墙进行转发

优势:加强控制,NAT为内部地址管理提供灵活性,隐藏内部网络,适用面广

WAF

http应用代理

机制:应用连接都要通过防火墙进行转发

优点:精细化、专业化

缺点:误阻断,影响体验

用于中小规模,静态WEB应用

状态检测防火墙

机制:创建Cache队列状态表用于维护连接

优势:解决异步攻击,根据通信和应用状态确定是否攻击,对性能要求高适应性好,对用户应用程序透明

各防火墙比较

入侵防御系统IPS

部署:串行检测加阻断

机制:检测+阻断,即IDS+FW

不足:单点故障、性能瓶颈、误报

统一威胁管理系统UTM

部署:串行

机构:检测+阻断+病毒防护+流控+....

不足:单点故障,性能瓶颈、误报

安全隔离与信息交换系统-网闸

组成:外部处理单元、内部处理单元、仲裁处理单元

特点:断开内外网之间的会话(物理隔离、协议隔离)

摆渡原理,连外网内网就不能上,连内网外网就断开

安全管理平台SOC

功能:风险管理、服务管理、系统管理、专业安全系统

分类:

狭义的设备集中安全管理中心。

广义的IT资源集中管理中心,包括人、技术、管理。

大数据---思科OpenSoc威胁情报系统

日志分析---ELK分布日志搜索,采集和分析,可以做问题排查、监控预警、关联分析、数据分析

虚拟专网VPN

虚拟专业网络Virtual Private Network,用隧道技术在公共网络中建立一个虚拟的、专用的安全网络通道

实现技术:

  隧道技术:

   2层隧道:PPPTP,L2F,L2TP

   IPSEC:AH,ESP,IKE

   SSL/TLS:握手协议,记录协议

  密码技术:

IPSEC VPN

  实际上是一个协议包AH认证头,ESP封装安全载荷,KMP

   AH认证头协议Authentication Header

   特性:无连接的数据完整性,数据源验证抗重放攻击服务。不提供机密性服务,不加密数据包。

   两种模式:传输模式、隧道模式

   

   ESP封装安全载荷Encapsulating Security Payload

   特性:具备AH的无连接的数据完整性,数据源验证抗重放攻击服务。还有独有数据包加密和数据流加密服务。

  可以单独使用也可以和AH结合使用。

SSL VPN

 SSL Handshake Protocol

   鉴别、协商加密算法和密钥

   提供连接安全性:身份鉴别,协商过程可靠,协商密钥安全

 SSL Record Protocol

   在TCP上封装更高层协议,提供连接安全性:保密用对称加密,完整用HMAC算法

TLS VPN

   传输层安全协议Transport Layer Security

  七层模型属于4.5层,四层模型属于应用层

  TLS握手协议---握手协议

  TLS记录协议---分层协议

网络安全规划设计

网络架构安全

是基础支撑环境,参考IATF模型设计

要素:人,技术,操作

四领域:计算机环境,网络边界,网络设施,支撑性设施

安全域划分

相同安全策略的网络范围或集合,

把大规模复杂系统问题化解为小区域的安全。

参考因素:业务分布,功能特点,安全要求,网络结构,地址位置,生产特性

IP地址规划

自顶向下,扩展性和节约性相结合,为节点或设备分配合适的IP地址,

考虑网络层次规划,路由协议规划、流量规划

IP地址分配:静态IP地址、动态IP地址,NAT实现

VLAN设计

逻辑地址划分为一个个网段实现虚拟工作组。

划分方法:IP,MAC,端口,IP组播

作用:VLAN之间的访问机构,防止蠕虫和恶意病毒的广泛传播,建立VLAN区域安全和资源博湖

网络冗余配置

防止单点故障,提高网络可靠性

考虑因素:

接入互联网是,用不同电信运营商线路,相互备份且互不影响。

核心层、汇聚层的设备和重要的接入层设备均应双击热备

保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰和发展

网络安全策略

身份鉴别,访问控制,通信保密,通信完整性,流量管理,行为管理,入侵防范,安全审计

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/298195.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

QT项目中添加资源文件和使用qss样式

时间记录&#xff1a;2024/1/6 一、添加使用资源文件 1.1 创建项目并打开项目&#xff08;带ui界面的项目&#xff09; 1.2 使用快捷键Ctrln创建文件&#xff0c;选择"QT"下面的"QT Resource File" 1.3 输入文件名和文件保存路径 1.4 将需要添加的文件…

钡铼网关 只需一台,解锁智慧无人搅拌站系统,绿色又环保

行业需求 为了提高搅拌站的自动化&#xff0c;减少人工繁琐的操作&#xff0c;同时记录物料的增减记录&#xff0c;实现对于物料从进场到出场的全周期管理。 系统介绍 针对搅拌站各个环节的需求大致相同&#xff0c;市场中逐渐流行一整套基本的智慧搅拌站解决方案。各种搅拌站…

水母目标检测数据集VOC格式500张

水母&#xff0c;一种美丽而神秘的海洋生物&#xff0c;以其独特的形态和生态习性而备受瞩目。 水母的体型呈伞状&#xff0c;身体透明&#xff0c;有各种颜色和花纹。它们没有骨骼&#xff0c;身体由胶状物质组成&#xff0c;非常柔软和脆弱。水母通过触手上的刺细胞释放毒素…

哪个洗地机质量好?2024年洗地机推荐

如今&#xff0c;家用洗地机已经成为越来越多家庭的不可或缺之物。然而&#xff0c;在市场上琳琅满目的洗地机品牌和型号中&#xff0c;究竟哪一个性价比高、质量好&#xff0c;很多消费者常常陷入选择困难。为了帮助大家能够更加轻松地购买到适合自己的洗地机&#xff0c;我们…

dotdotdot插件快速实现多行文本的省略

jQuery.dotdotdot 前言 在“css新增文本样式&#xff08;完整&#xff09;”这篇&#xff0c;我们介绍了text-overflow属性省略多余的文本。用text-overflow属性可以直接省略单行文本&#xff0c;但省略多行文本&#xff0c;单独使用CSS是无法实现&#xff0c;今天我们介绍一…

【Linux 内核源码分析】关于Linux内核源码目录结构

Linux内核源码采用树形结构。功能相关的文件放到不同的子目录下面&#xff0c;使程序更具有可读行。 使用Source Insight打开源码&#xff0c;如下图所示&#xff0c;可以看到源码是树形结构。 目录含义描述arch存放与体系结构相关的代码&#xff0c;包括不同硬件平台的特定代…

深度解析分布式算法:构建高效稳定的分布式系统

&#x1f604; 19年之后由于某些原因断更了三年&#xff0c;23年重新扬帆起航&#xff0c;推出更多优质博文&#xff0c;希望大家多多支持&#xff5e; &#x1f337; 古之立大事者&#xff0c;不惟有超世之才&#xff0c;亦必有坚忍不拔之志 &#x1f390; 个人CSND主页——Mi…

高校选课系统需求分析开发源码

高校学生选课报名系统包括学生、教师和管理员三方的功能需求&#xff0c;学生的需求是查询院系的课程、选课情况及个人信息修改&#xff1b;教师则需要查看和查询所有课程信息及自己的课程信息以及教师信息的修改&#xff1b;管理员则负责更为复杂的任务&#xff0c;包括对学生…

2023年阿里云云栖大会:前沿技术发布与未来展望

在2023年的阿里云云栖大会上&#xff0c;我见证了云计算和人工智能领域的又一历史性时刻。这次大会不仅是对未来科技趋势的一次深入探索&#xff0c;更是阿里云技术实力和创新能力的集中展示。 首先&#xff0c;千亿级参数规模的大模型通义千问2.0的发布&#xff0c;无疑将人工…

【大厂秘籍】系列 - Java多线程面试题

Java多线程面试题 友情提示&#xff0c;看完此文&#xff0c;在Java多线程这块&#xff0c;基本上可以吊打面试官了 线程和进程的区别 进程是资源分配的最小单位&#xff0c;线程是CPU调度的最小单位 线程是进程的子集&#xff0c;一个进程可以有很多线程&#xff0c;每条线…

【MongoDB】MongoDB查询语句find的使用,和提高查询速度的游标的使用,非常详细!!!

&#x1f601; 作者简介&#xff1a;一名大四的学生&#xff0c;致力学习前端开发技术 ⭐️个人主页&#xff1a;夜宵饽饽的主页 ❔ 系列专栏&#xff1a;MongoDB数据库 &#x1f450;学习格言&#xff1a;成功不是终点&#xff0c;失败也并非末日&#xff0c;最重要的是继续前…

MySQL基础篇(三)约束

一、概述 概念&#xff1a;约束是作用于表中字段上的规则&#xff0c;用于限制存储在表中的数据。 目的&#xff1a;保证数据库中数据的正确、有效性和完整性。 分类&#xff1a; 注意&#xff1a;约束是作用于表中字段上的&#xff0c;可以在创建表/修改表的时候添加约束。 二…

Java BIO、NIO、AIO、Netty知识详解(值得珍藏)

1. 什么是IO Java中I/O是以流为基础进行数据的输入输出的&#xff0c;所有数据被串行化(所谓串行化就是数据要按顺序进行输入输出)写入输出流。简单来说就是java通过io流方式和外部设备进行交互。 在Java类库中&#xff0c;IO部分的内容是很庞大的&#xff0c;因为它涉及的领…

【每日一题】在链表中插入最大公约数

文章目录 Tag题目来源解题思路方法一&#xff1a;迭代 写在最后 Tag 【迭代】【辗转相除法】【链表】【2024-01-06】 题目来源 2807. 在链表中插入最大公约数 解题思路 方法一&#xff1a;迭代 思路 首先需要求两个数的最大公约数&#xff0c;使用辗转相除法。实现代码如下…

PyQT 多进程

在PyQt中&#xff0c;图形化界面&#xff08;GUI&#xff09;是运行在主线程中的&#xff0c;而多进程是在独立的进程中执行的。默认情况下&#xff0c;多进程之间是无法直接共享图形化界面的。 然而&#xff0c;有几种方法可以在多进程中与PyQt的图形化界面进行通信&#xff…

【大数据】Zookeeper 客户端的命令行操作

Zookeeper 客户端的命令行操作 1.显示某个路径下的所有节点&#xff1a;ls2.显示某个路径下的所有节点&#xff0c;以及当前节点的详细信息&#xff1a;ls23.创建节点&#xff1a;create4.创建临时节点&#xff1a;create -e5.创建顺序&#xff08;带编号&#xff09;节点&…

程序员副业之无人直播助眠

介绍和概览 大家好&#xff0c;我是小黑&#xff0c;本文给大家介绍一个比较轻松简单的副业&#xff0c;无人直播助眠副业。 这个项目的核心就是通过直播一些助眠素材来赚钱。比如你可以放一些舒缓的雨声之类的&#xff0c;吸引观众进来。然后&#xff0c;咱们可以挂个小程序…

DS|哈希查找

题目一&#xff1a;DS哈希查找 -- 线性探测再散列 题目描述&#xff1a; 定义哈希函数为H(key) key%11&#xff0c;输入表长&#xff08;大于、等于11&#xff09;。输入关键字集合&#xff0c;用线性探测再散列构建哈希表&#xff0c;并查找给定关键字。 输入要求&#xf…

【C语言】Linux实现高并发处理的过程

一、实现高并发的几种策略 C语言本身并没有内建的多线程支持&#xff08;新版C语言支持&#xff0c;但用得不多&#xff09;&#xff0c;但是在多数操作系统中&#xff0c;可以使用库来实现多线程编程。例如&#xff0c;在POSIX兼容系统上&#xff0c;可以使用 pthreads 库来创…

如何建立标准且有效的评审流程?6个重点

为了进一步提高项目质量&#xff0c;项目评审管理需要遵循一定的标准化流程。而建立标准且有效的评审流程&#xff0c;能够快速提高项目质量和效率&#xff0c;优化团队协作&#xff0c;降低风险&#xff0c;提高项目成功率。如果组织没有建立起标准化的评审流程&#xff0c;就…