CISP相關(guān)文檔已經(jīng)上傳至Github:https://github.com/Double-q1015/cisp
第 1 節(jié) 物理與環(huán)境安全
物理安全包括:環(huán)境安全 設(shè)施安全 傳輸介質(zhì)安全
例題
image.png
- 場地選擇
1.1 場地選擇:自然條件备蚓、社會條件课蔬、其他條件。
1.2 抗震和承重:抗震及承重(國標(biāo) 《結(jié)構(gòu)抗震設(shè)計(jì)規(guī)范》)
—特殊設(shè)防類
—重點(diǎn)設(shè)防類
—標(biāo)準(zhǔn)設(shè)防類(A 類郊尝、B 類追驴、C 類)
—普通機(jī)房 - 環(huán)境安全
2.1 防火:燃燒條件髓帽、材料、方式
2.2 電力:雙電源抢埋、UPS、發(fā)電捂贿、多路供電
2.3 電磁:線路、設(shè)備、電源的電磁防護(hù)衫哥。
2.4 通風(fēng)空調(diào)和供暖(HVAC):HVAC(下送風(fēng)、上回風(fēng)襟锐,側(cè)送風(fēng)撤逢、側(cè)
回風(fēng),正氣壓等)粮坞。
2.5 防靜電手段:溫度蚊荣、濕度、接地莫杈。
2.6 應(yīng)急照明互例。
2.7 應(yīng)急通道、出口筝闹、標(biāo)識媳叨。 - 區(qū)域與設(shè)備防護(hù)
3.1 物理區(qū)域的安全:區(qū)域范圍、檢測措施关顷、訪問控制(標(biāo)識糊秆、指紋、
IC 卡等)议双。
3.2 檢測報(bào)警措施:CCTV痘番、紅外監(jiān)控、特殊監(jiān)控平痰、聲控汞舱、振動報(bào)警。
3.3 設(shè)備存放安全:責(zé)任人觉增、環(huán)境兵拢、授權(quán)使用、維護(hù)逾礁、防丟失等安全说铃。
第 2 節(jié) 網(wǎng)絡(luò)安全基礎(chǔ)
1.OSI 七層:
- 物理
- 鏈路
- 網(wǎng)絡(luò)
- 傳輸
- 會話
- 表示
- 應(yīng)用
例題
網(wǎng)絡(luò)接口層也叫數(shù)據(jù)鏈層
image.png
網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別嘹履、完整性腻扇、抗抵賴、訪問控制服務(wù)砾嫉。
2.安全開放互聯(lián)體系架構(gòu)
2.1 8 個機(jī)制:加密幼苛、數(shù)字簽名、訪問控制焕刮、完整性舶沿、路由控制墙杯、流
量填充、公證括荡、鑒別交換高镐。
2.2 5 種服務(wù):鑒別、完整性畸冲、保密性嫉髓、訪問控制、抗抵賴邑闲。
2.3 實(shí)現(xiàn)關(guān)系算行。
- 加密:保密
- 數(shù)字簽名:完整性、鑒別苫耸、抗抵賴州邢。
- 訪問控制:訪問控制。
- 完整性:完整鲸阔。? 路由控制:訪問控制偷霉。
- 流量填充:保密性。
- 公證:抗抵賴褐筛。
- 鑒別交換:鑒別、訪問控制叙身。
2.4 網(wǎng)絡(luò)層渔扎、應(yīng)用層均實(shí)現(xiàn) 5 種服務(wù)。
3.封裝和解封裝:規(guī)則的標(biāo)準(zhǔn)化和接口標(biāo)準(zhǔn)化信轿。
4.TCP/IP 四層:網(wǎng)絡(luò)接口層晃痴、網(wǎng)絡(luò)層、傳輸層财忽、應(yīng)用層倘核。
- 四層的各層安全協(xié)議:
5.1 網(wǎng)絡(luò)接口層:PPTP、L2F即彪、L2TP
5.2 網(wǎng)絡(luò)層:IPSEC(AH\ESP)
5.3 傳輸層:SSL紧唱、TLS(按照 ISO/OSI 的七層則其屬于 4.5 層,按照
TCP/IP 四層劃分則其屬于應(yīng)用層)
5.4 應(yīng)用層:X.509隶校,SSH漏益,PGP、S/MIME深胳、PEM(后三個是電子郵件的
安全協(xié)議)绰疤。
例題
image.png
6.無線網(wǎng)絡(luò)安全
6.1 結(jié)構(gòu):STA(終端)、AP(接入點(diǎn))舞终、AS(后端系統(tǒng))
6.2 無線安全的問題:開發(fā)認(rèn)證轻庆、信息泄露癣猾、共享密鑰等。
6.3 無線網(wǎng)絡(luò)安全的協(xié)議:
(1)WEP:密碼管理及加密有缺陷余爆。
(2)WPA/WPA2:加密傳輸纷宇、身份鑒別(AP 對 STA 的鑒別)。
(3)WAPI:WAI 身份認(rèn)證龙屉,WPI 加密封裝呐粘;
雙向三鑒別和高強(qiáng)度傳輸加密(支持 ECC 算法)。
- IPV6:地址數(shù)量是 2^128转捕,內(nèi)置 IPSEC 安全協(xié)議作岖。
- 藍(lán)牙:解決可信環(huán)境中的數(shù)據(jù)交換。
-
RFID 的安全五芝。RF(10+KHZ-5.8GHZ)
image.png
第 3 節(jié) 網(wǎng)絡(luò)安全技術(shù)與設(shè)備
第 1 部分 防火墻
- 作用:邊界的防護(hù)(訪問控制)痘儡、隔離、訪問控制枢步、記錄沉删。
- 實(shí)現(xiàn)和分類:序號 類型 層次 控制規(guī)則 優(yōu)點(diǎn) 缺點(diǎn) 應(yīng)用場景
1 包過濾防火墻 三層(網(wǎng)絡(luò)) IP、端口醉途、協(xié)議 1.規(guī)則簡單
2.速度快
3.配置簡單
1.不能解決應(yīng)用攻擊
2.不能解決異步攻擊
3.不能提供地址隱藏
1.簡單網(wǎng)絡(luò)環(huán)境
2.應(yīng)用少
2 電路代理防火墻 三層(網(wǎng)絡(luò)) IP矾瑰、端口、協(xié)議隘擎、
NAT
1.規(guī)則簡單
2.比包過濾略慢
3.配置較簡單
4.提供地址隱藏
1.不能解決應(yīng)用攻擊
2.不能解決異步攻擊
1.簡單網(wǎng)絡(luò)環(huán)境
2.應(yīng)用較少
3 應(yīng)用代理防火墻 3-7 層(應(yīng)用) IP殴穴、端口、應(yīng)用
協(xié)議货葬、應(yīng)用數(shù)據(jù)采幌、
NAT
1.細(xì)粒度高
2.防護(hù)應(yīng)用攻擊
3.識別數(shù)據(jù)內(nèi)容
4.提供地址轉(zhuǎn)換
1.速度慢
2.不能解決異步攻擊
3.誤阻斷問題
4.漏阻斷問題
1.較復(fù)雜的網(wǎng)絡(luò)環(huán)境
2.應(yīng)用較多
3.應(yīng)用攻擊環(huán)境復(fù)雜
4 WAF-HTTP 代理防
火墻
3-7 層(應(yīng)用) IP、端口震桶、
HTTP(S)休傍、應(yīng)用數(shù)
據(jù)、NAT
1.專業(yè)化高
2.HTTP 的過濾粒
度細(xì)
3.識別應(yīng)用攻擊
及數(shù)據(jù)
4.提供代理
1.速度較慢
2.不能解決異步攻擊
3.誤阻斷問題
4.漏阻斷問題
1.較復(fù)雜的網(wǎng)絡(luò)環(huán)境
2.web 應(yīng)用較多
3.web 應(yīng)用攻擊環(huán)境復(fù)雜5 狀態(tài)檢測防火墻 3-7 層(網(wǎng)絡(luò)-
應(yīng)用層)
上下文的攻擊特
征蹲姐、IP磨取、端口、
協(xié)議淤堵、NAT
1.解決異步攻擊
2.安全性高
3.代理
4.3-7 的過濾多
樣性
1.狀態(tài)空間大
2.性能水平低
3.誤阻斷問題
4.漏阻斷問題
1.較復(fù)雜網(wǎng)絡(luò)環(huán)境
2.高級級別攻擊領(lǐng)域
6 下一代防火墻 1,繼承歷史上 5 種防火墻的優(yōu)點(diǎn)寝衫,并解決其缺點(diǎn)。 ——>NGFW 類似于下一代 UTM
2.適用于大數(shù)據(jù)的環(huán)境拐邪、云計(jì)算的環(huán)境慰毅。 ——>FW 的虛擬化、數(shù)據(jù)采集分析提高扎阶。
3.下一代防火墻本質(zhì)不是產(chǎn)品汹胃,而是新一代網(wǎng)絡(luò)安全威脅環(huán)境中的邊界解決方案婶芭。3. NAT:靜態(tài)、動態(tài)着饥、端口犀农。
優(yōu)點(diǎn):節(jié)約公網(wǎng)地址資源、隱藏內(nèi)部網(wǎng)絡(luò)信息宰掉。
缺點(diǎn):暴漏防火墻外網(wǎng)口地址和網(wǎng)絡(luò)位置呵哨。 - 部署
4.1 方式:單、雙轨奄、DMZ 的方式孟害。
4.2 方式:透明方式、路由方式(NAT)挪拟。
4.3 方式:未明確禁止則允許挨务,未明確允許就是禁止。
第 2 部分 入侵檢測系統(tǒng) - 組成:事件產(chǎn)生器玉组、事件分析谎柄、事件響應(yīng)、數(shù)據(jù)庫惯雳。
- 技術(shù):
例題
image.png
誤用檢測-特征檢測-黑名單檢測-標(biāo)識檢測
異常檢測-狀態(tài)檢測-白名單檢測-行為檢測
對比如下:
誤用檢測技術(shù):MISUSE-黑名單-特征-標(biāo)識
優(yōu)點(diǎn):準(zhǔn)確性-高朝巫,誤報(bào)率-低。
缺點(diǎn):完整性-低石景,漏報(bào)率-高捍歪。
異常檢測技術(shù):PROFILE-白名單-狀態(tài)-行為
優(yōu)點(diǎn):完整性-高,漏報(bào)率-低鸵钝,
缺點(diǎn):準(zhǔn)確性-低,誤報(bào)率-高庐镐。
思考問題:在使用環(huán)境中恩商,先啟動白名單模式,再黑名單模式必逆。
- 分類:
序號 對比項(xiàng) NIDS HIDS
1 形態(tài) 硬件 軟件
2 位置 網(wǎng)絡(luò) 主機(jī)
3 部署方式 并聯(lián)(數(shù)據(jù)鏡像) 安裝部署
4 對象性能影響 網(wǎng)絡(luò)無影響 主機(jī)有影響
5 技術(shù)原理 誤用檢測多怠堪,異常檢
測少
異常檢測多,誤用檢
測少
6 及時(shí)性 低 高
7 攻擊目標(biāo)的識別準(zhǔn)
確性
低 高
第 3 部分 其他安全產(chǎn)品 - 網(wǎng)閘:組成:外網(wǎng)單元名眉、隔離單元粟矿、內(nèi)網(wǎng)單元。
原理:單向或雙向的數(shù)據(jù)交換及擺渡原理损拢,核心是物理隔離陌粹。 - IPS:防火墻和 IDS 功能的綜合。
- UTM:統(tǒng)一威脅管理系統(tǒng)福压。
- SOC:資產(chǎn)管理掏秩、事件分析與安全態(tài)勢感知或舞、統(tǒng)一的安全配置部署。
狹義蒙幻、廣義映凳、大數(shù)據(jù)等之分。 - VPN 產(chǎn)品
5.1 IPSEC:基于網(wǎng)絡(luò)層實(shí)現(xiàn)邮破。
— AH:身份鑒別诈豌、完整性校驗(yàn)、抗重放攻擊抒和。
— ESP:在 AH 的基礎(chǔ)上矫渔,數(shù)據(jù)包和數(shù)據(jù)流加密。
— IPSEC:傳輸模式(透明模式)/隧道模式(路由模式)
傳輸模式?jīng)]有net
例題
image.png
二層隧道協(xié)議:PPTP L2TP
三層隧道 GRE
VPN實(shí)現(xiàn)中對稱加密和非對稱加密都有
5.2 SSL/TLS:基于 TCP/IP 四層應(yīng)用層實(shí)現(xiàn)构诚,支持對稱加密和非對稱
密碼的數(shù)字證書技術(shù)蚌斩,TLS1.2/1.3 版本目前最安全。
— 握手協(xié)議:身份鑒別范嘱、密鑰協(xié)商送膳。
— 記錄協(xié)議:數(shù)據(jù)加密、完整性校驗(yàn)丑蛤。
第 3 節(jié) 網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)劃
- IATF:三個核心是人叠聋、技術(shù)和操作;四個保護(hù)方面是本地計(jì)算環(huán)
境受裹、區(qū)域邊界碌补、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐性基礎(chǔ)設(shè)施。 - 安全域:共享安全策略的集合棉饶,劃分方法包括物理位置厦章、部門、
業(yè)務(wù)照藻、數(shù)據(jù)袜啃、生產(chǎn)特性。 - IP 規(guī)劃:從上到下幸缕、體系化群发、節(jié)約、擴(kuò)展发乔。
- VLAN 劃分:MAC熟妓、端口、IP 組播等劃分栏尚。
- 冗余:鏈路安全起愈、設(shè)備的冗余及安全、負(fù)載均衡。
- 網(wǎng)絡(luò)設(shè)備的配置及安全策略:身份鑒別告材、安全的訪問坤次、權(quán)限最小
化、服務(wù)最小化斥赋、日志審計(jì)缰猴、配置備份、補(bǔ)丁升級疤剑、流量分析滑绒、網(wǎng)絡(luò)
審計(jì)等。
A類地址的表示范圍為:0.0.0.0~126.255.255.255隘膘,默認(rèn)網(wǎng)絡(luò)掩碼為:255.0.0.0疑故;A類地址分配給規(guī)模特別大的網(wǎng)絡(luò)使用。A類網(wǎng)絡(luò)用第一組數(shù)字表示網(wǎng)絡(luò)本身的地址弯菊,后面三組數(shù)字作為連接于網(wǎng)絡(luò)上的主機(jī)的地址纵势。分配給具有大量主機(jī)(直接個人用戶)而局域網(wǎng)絡(luò)個數(shù)較少的大型網(wǎng)絡(luò)。例如IBM公司的網(wǎng)絡(luò)管钳。 - B類地址
B類地址的表示范圍為:128.0.0.0~191.255.255.255钦铁,默認(rèn)網(wǎng)絡(luò)掩碼為:255.255.0.0;B類地址分配給一般的中型網(wǎng)絡(luò)才漆。B類網(wǎng)絡(luò)用第一牛曹、二組數(shù)字表示網(wǎng)絡(luò)的地址,后面兩組數(shù)字代表網(wǎng)絡(luò)上的主機(jī)地址醇滥。 - C類地址
C類地址的表示范圍為:192.0.0.0~223.255.255.255黎比,默認(rèn)網(wǎng)絡(luò)掩碼為:255.255.255.0;C類地址分配給小型網(wǎng)絡(luò)鸳玩,如一般的局域網(wǎng)和校園網(wǎng)阅虫,它可連接的主機(jī)數(shù)量是最少的,采用把所屬的用戶分為若干的網(wǎng)段進(jìn)行管理不跟。C類網(wǎng)絡(luò)用前三組數(shù)字表示網(wǎng)絡(luò)的地址书妻,最后一組數(shù)字作為網(wǎng)絡(luò)上的主機(jī)地址。
實(shí)際上躬拢,還存在著D類地址和E類地址。但這兩類地址用途比較特殊见间,在這里只是簡單介紹一下:D類地址稱為廣播地址聊闯,供特殊協(xié)議向選定的節(jié)點(diǎn)發(fā)送信息時(shí)用。E類地址保留給將來使用米诉。
在IP地址3種主要類型里菱蔬,各保留了3個區(qū)域作為私有地址,其地址范圍如下:
A類地址:10.0.0.0~10.255.255.255
B類地址:172.16.0.0~172.31.255.255
C類地址:192.168.0.0~192.168.255.255
例題
image.png
