物理环境与设备安全
物理安全和设备安全
物理安全风险主要指由于周边环境和物理特性引起的设备和线路的不可用,而造成系统的不可用。
例如:设备被盗、设备老化、意外故障、无线电磁辐射泄密等。
设备安全包含防盗,容灾等内容
机房物理位置选择
应选择在具有防震、防风和防雨等能力的建筑内
承重要求应满足设计要求
应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁
应当避开强电场、易遭受雷击的地区。
物理访问控制
有人值守的机房门口需配备专人值守,对进出人员进行身份鉴别和记录
无人值守的机房门口应具备告警系统
限制和监控进入机房来访人员的活动范围
机房划分区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域
应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动
门禁卡,指纹锁
服务器应该安放在带有视频监控的隔离房间内,保留15天以上的监控记录
应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为。
物理安全防护
机箱,键盘,电脑桌抽屉要上锁,钥匙要放在安全的地方。
安装笔记本电脑安全锁,以防止丢失。
防雷击机房建筑应设置避雷装置,设置防雷保护器,防止感应雷,设置交流电源地线。
防火应设置火灾自动消防系统,自动检测火情,自动报警,并自动灭火;机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级; 物理安全防护
防水和防潮水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移与渗透;
温湿度控制设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制;机房中应无爆炸、导 电、导磁性及腐蚀性尘埃;机房中应无腐蚀金属的气体;机房中应无破坏绝缘的气体。
电力供应机房供电应与其他照明供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(UPS);可建立备用供电系统(如备用发电机),以备常用供电系统停电时启用防静电应采用必要的接地等防静电措施,采用防静电地板。
物理安全管理
内部网络与外部网络隔离管理
内、外从物理上隔离可以防止内部核心信息资产遭受外部网络入侵,也可以防止内部人员通过网络泄露信息。
设置专门的上网区域,连接互联网,供需要上因特网的人员使用。上网区域与内网物理隔离,没有任何形式的联接。
内部网络与外部网络隔离管理
内网计算机禁用U盘,防止病毒传播和数据泄露,如果要从内部拷贝资料,必须通过专门的安全管理人员
机箱可以加锁,或者采用云桌面。
内网计算机采用IP地址与MAC地址绑定。
虚拟专用网(VPN)
虚拟专用网概述
虚拟专用网VPN(Virtual Private Network)通常是通过一个公用的网络(如Internet)建立一个临时的、安全的、模拟的点对点连接
穿越公用网络的安全的信息隧道
依靠Internet服务提供商ISP(Internet Service Provider)和其它网络服务提供商NSP(Net Service Provider),在公用网络中建立专用的数据通信网络的技术。
虚拟专用网需求
在异地安全的连接网络
连接地理上分散的网络
并没有传统专网所需的端到端的物理链路
VPN的优点
降低成本——通过公用网来建立VPN,节省大量的通信费用,不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备通常租用电信的专用网络很贵
传输数据安全可靠——采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性
连接方便灵活——合作伙伴联网只需双方配置安全连接信息即可,可以灵活开通或取消
完全控制——可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理
VPN的分类
1.Client-LAN类型的VPN也称为 Access VPN(远程接入VPN),即远程访问方式的VPN 。
(2) LAN-LAN类型的VPN,也称为 Intranet VPN(内联网VPN )
网关到网关,通过公司的网络架构连接来自不同公司的资源,或者不同机构的资源。
VPN的工作原理
VPN网关采取双网卡结构,外网网卡使用公网IP接入Internet
客户端安装VPN软件
VPN的技术原理
1.PPTP-Point to Point Tunnel Protocol(点对点隧道协议)
通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过 Internet实现多功能通信。
2.L2TP-Layer2 Tunneling Protocol(第二层隧道协议) PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都允许客户通过其间的网络建立隧道,L2TP还支持信道认证 3.IP SEC—Internet Protocol Security(因特网协议安全),用于确保网络层之间的安全通信(认证和加密)
4.SSL —Secure Socket Layer
利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持,广泛采用
VPN技术原理
目前VPN主要采用四项技术来保证安全
隧道技术(Tunneling)
加解密技术(Encryption & Decryption)
秘钥管理技术(Key Management)
身份认证技术(Authentication)。
隧道技术
隧道技术是VPN的基本技术。
类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输
隧道是由隧道协议形成的,分为第二、三层隧道协议,第二层隧道协议有L2F、PPTP L2T等
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输,有VTP、 IPSec等
HTTPS使用举例
还有一种比较常用的VPN方式:SSL VPN,即SSL协议被使用于VPN中
常用于访问银行、金融、及机密系统
电脑版网银系统使用的就是SSL VPN
将HTTP协议和SSL协议相结合形成的HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer) 协议
1 物理安全防护不包括
A.计算机病毒检测 √
B.防静电
C.电力供应
D.温湿度控制
2 关于VPN以下说法错误的是
A.VPN网关采取双网卡结构,外网网卡使用公网IP接入Internet
B.Access VPN通过公司的网络架构连接来自不同公司的资源,或者不同机构的资源 √
C.LAN-LAN类型的VPN,也称为Intranet VPN(内联网VPN)
D.Client-LAN类型的VPN也称为 Access VPN
3 以下哪一项不属于VPN技术
A.IPSEC
B.L2TP
C.光纤交换 √
D.PPTP
4 哪项不是VPN主要采用的保证安全的技术
A.数据挖掘技术(Data Mining) √
B.秘钥管理技术(Key Management)
C.加解密技术(Encryption & Decryption)
D.隧道技术(Tunneling)
5 第二层隧道协议不包含
A.L2T
B.L2F
C.SSL √
D.PPTP