网络安全技术第一章——计算机网络安全概述3（常用网络安全管理技术与蜜罐技术、蜜网技术）

因为要使用推荐卡，所以这一篇写的稍微有点长

一、物理安全技术

1.定义：物理安全

是保护计算机网络设备、设施以及其他介质免遭地震，水灾.火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。
它主要包括环境安全、设备安全和介质安全3个方面。

（1）相应的一些国家标准（举例）

1. 国家标准GB50173-93《电子计算机机房设计规范》
2. 国家标准GB2887-89《计算站场地技术条件》
3. 国家标准GB9361-88《计算站场地安全要求》

总结：

要知道解决安全问题是几乎不可能的，但是我们要做的就是让它更安全一些，让它被破坏入侵的可能性尽量降低。举个例子吧：我们在门上加一把锁，很多顺手牵羊的就进不来了，我们锁的等级提高一些，很多低级小偷就进不来了，我们再加上触发报警装置，安全性是不是就更高一些了呢。

2.物理隔离的概念

是指内部网不得直接或间接地连接公共网。
物理隔离的目的是保护路由器、工作站，各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

（1）物理隔离技术的基本思想

如果不存在与网络的物理连接，网络安全威胁便可大大降低。
为了确保内部数据和信息的安全。或者限制接入互联网，或者使用两个完全独立的网络。（但是政府、部队、银行等单位不仅要上网，还走在前列，这个时候两个完全独立的网络就不太实用了。而且价格昂贵）
当涉密网络和非涉密网络之间通过移动介质(如U盘、移动硬盘等)进行数据传输时并不安全。
例如：公安网络属于涉密网络，在公安网络与互联网进行数据拷贝时候，使用的就是双向U盘，

《计算机信息系统国际联网保密管理规定》第2章第6条中规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。

3. 物理隔离主要可以分为两个部分

（1）网络隔离

网络隔离就是把被保护的网络从开放、无边界。自由的环境中独立出来。这样，公共网络上的攻击者和计算机病毒将无从入手，保证了被保护系统的安全性。
实现网络隔离主要采用两种方式:物理网络隔离和逻辑网络隔离。

1. 物理网络隔高就是使网络与计算机设备在空间上进行分离，不存在有线或无线的电连接，它是最直观.简单。可靠的隔离方法。
2. 逻辑隔离一般通过网络设备的功能来实现。

（2）数据隔离

不管网络隔离采用的是物理网络隔离还是逻辑网络隔离，如果在使用中出现一台计算机能够连接两个或两个以上的网络。那么所有的网络隔离也就失去了意义，因为在同一台计算机连接多个网络的过程中没有把存储设备隔离开来。
数据隔离是指存储数据的介质只能针对其中的一种网络而存在。

物理隔离在安全上需要达到以下3点要求

( 1 )在物理传输上使不同网络之间隔断,确保不同的网络不能通过网络连接而侵入不同的网络。（比如内网的网络不能被泄到外网）
( 2 )在物理辐射上隔断不同网络，确保不同网络之间不会通过电磁辐射或耦合方式泄漏信息。
( 3 )在物理存储介质上隔断两个网络环境，对于断电后会遗失信息的部件(如内存、CPU等)要在网络转换时进行清除处理，防止残留信息出网;对于断电非遗失信息的设备(如硬盘等)， 不同网络的信息应分开存储。

二、安全隔离

1. 定义：

传统的以太网络。信息发送采用的是广播方式，实际上就给信息“共享”打开了通道。恶意攻击者只要能够进入局域网,就可能监听所有数据通信，窃取机密。
所以呢，安全隔离技术就出来了。
安全隔离技术的目标是在确保把有害攻击隔离在可信网络之外。井保证可信网络内部信息不外泄的前提下，完成不同网络之间信息的安全交换和共享。
目前出现了五代安全隔离技术：

1. 完全隔离
2. 硬件卡隔离
3. 数据转播隔离
4. 空气开关隔离
5. 安全通道隔离

完全隔离：

采用完全独立的设备、存储和线路来访问不同的网络。做到了完全的物理隔离，但需要多套网络和系统，建设和维护成本较高，一般仅适用于一些专用网络。
目前，像公安系统的公安专网、军队系统的军网等专用网络便是采用安全隔离方式来实现的。

硬件卡隔离

在客户端增加一块硬件卡，这样客户端硬盘或其他存储设备先连接到硬件卡，然后再转接到主板上。控制客户端硬盘或其他存储设备，在选择不同的硬盘的时候，同时选择了该卡上不同的网络接口连接到不同的网络。
简单点：
内网硬盘工作时，只有内网网线接入。
外网硬盘工作时，只有外网网线接入。
内网数据与外网数据不存在电气通道相互完全物理隔离。

数据转播隔离

利用转播系统分时复制文件的途径来实现隔离。该方法切换时间较长，甚至需要手工完成,不仅大大降低了访问速度，更不支持常见的网络应用，只能完成特定的基于文件的数据交换。

空气开关隔离

该技术是通过使用单刀双掷开关，通过内外部网络分时访问临时缓存器来完成数据交换的。

初高中的感觉有没有，哈哈哈哈哈
这个传输速度慢，支持类型不多，硬件故障率也比较高。

空气通道隔离

1. 空气通道隔离
   通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接。
   同时对网间通信的双方、内容， 过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。
2. 网络分段
   网络分段是指网络的分离或隔离(通常使用一个或多个防火墙)。
   在政府或者军方可能意味着出于安全原因，物理隔离网络、断开网络与其他网络或者互联网的连接。
   网络分段是保证安全的一项重要措施，其根本目的在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。.

三、入侵检测和防御

1.入侵检测(Intrusion Detection)

通过在计算机网络或计算机系统的关键点采集信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测所使用的软件与硬件的组合便是入侵检测系统(IDS )。
#### 分类

1. 基于主机的入侵检测系统( HIDS )
   HIDS就是以系统日志、应用程序日志等作为数据源，保护的一般是HIDS所在的系统。
2. 基于网络的入侵检测系统( NIDS )
   NIDS的数据源是网络上的数据包,一般NIDS担负着保护整个网络的任务。

2.入侵防御(Intrusion Prevention)

入侵防御系统( IPS )属于网络交换机的一个子项目，为有过滤攻击功能的特种交换机。- 般布于防火墙和外来网络的设备之间。
依靠对数据包的检测进行防御(检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网) .

总结：

1.物理隔离的概念
是指内部网不得直接或间接地连接公共网。
2.物理隔离的基本思想
如果不存在与网络的物理连接，网络安全威胁便可大大降低。
3.安全隔离技术经过的五个发展阶段
(1)完全隔离
(2)硬件卡隔离
(3)数据转播隔离
(4)空气开关隔离
(5)安全通道隔离
4.入侵检测系统IDS和入侵防御系统IPS
IDS的概念
IDS的分类
IPS的概念

四、蜜罐

熊出没里面熊二最喜欢的就是蜂蜜，蜂蜜一般都是存在蜜罐里面对吧。
so：什么是蜜罐？谁又是熊二呢？
信息时代的到来，网络安全防护也渐渐的由被动防御转移到了主动防御。

1.蜜罐定义：

1. 在计算机网络系统中，蜜罐是一种被侦听、被攻击或已经被入侵的资源，使用和配置蜜罐的目的，是使系统处于被侦听，被攻击状态。
2. 因此习惯可以理解为蜜罐是一台无人使用但却被严密监控的网络主机，它包含虚假的高价值资源和一些漏洞。以此吸引入侵者(黑帽子黑客)攻击主机，并且在被入侵的过程中。实时记录和审计攻击者的攻击流量、行为和数据。以此了解攻击者的方式、手段、目的。以及后续的攻击溯源，取证等等进一步的工作。
3. 蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。
4. 蜜罐系统的概念：蜜罐系统是一一个包含漏洞且运行于互联网上的计算机系统。它通过模拟一个或多个易受攻击的系统，给攻击者提供一个包含洞洞并容易被攻破的攻击目标。
   重点来了; 网络安全中蜜罐指的是一种专门设计的“陷阱”系统，吸引井“诱骗”的是那些试图非法入侵他人计算机系统的人。

2.蜜罐技术的发展历史

1. 第一阶段
   九十年代初，蜜罐实质上是一些真正被入侵者所攻击的主机和系统。
2. 第二阶段
   蜜罐又称为虚拟蜜罐，即开发的蜜罐工具能够模拟成虚拟的操作系统和网络服务，井对攻击者的攻击行为做出回应，从而欺骗攻击者。
3. 第三阶段
   2000年之后，更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，融入了更强大的数据捕获、数据分析和数据控制的工具，井且将蜜罐纳入到一个完整的蜜网体系中。

3、蜜罐的使用价值

1. 密罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何问题，它们仅为使用者提供额外的。有价值的信息。所以蜜罐不会直接提高计算机网络安全。但它却是其他安全策路所不可替代的一种主动攻击技术。无论用户如何建立和使用蜜罐，只有蜜罐受到攻击。它的作用才能发挥出来。
2. 蜜罐作为一种研究工具,但同时有着真正的商业应用，它常常被用来跟踪僵尸网络或是收集恶意代码等.
3. 蜜罐还可以为安全专家们提供一个学习各种攻击的平台。

4.蜜罐的分类

1. 根据其部署目的
   （1）产品型蜜罐
   用于攻击检测，预警防御和取证，为一个组织的网络提供安全防护。它般采用虚拟的操作系统和应用程序来构建系统，部署在一个部门的内部网络环境。
   部署简单，成本低，容易维护，捕获的信息少。
   （2）研究型蜜罐
   主要是用于研究攻击的特征和发展趋势，对攻击行为进行追踪和分析。了解攻击者所使用的攻击工具和方法帮助安全组织研究系统所面临的威胁，以便更好地抵抗这些威胁。
   一般使用真实的主机、操作系统和应用程序部署在网络系统的各个网段上。
   部署难，成本高，维护困难，捕获的信息多，所以只适合于研究。

2. 根据其与攻击者的交互程度（交换数据的程度）
   低交互蜜罐
   模拟操作系统和网络服务
   中交互蜜罐
   模拟真正操作系统的各种行为
   高交互蜜罐
   完全向攻击者提供真实的操作系统和网络服务

4.蜜罐功能模块

1. 攻击诱骗
   欺骗攻击者，引诱攻击者，来对蜜罐发动各种攻击以便采集到有关数据。
2. 数据捕获
   蜜罐的核心功能，对攻击过程进行全面记录，包括网络流量数据捕获以及主机上系统行为的捕获。
   流量捕获结合入侵检测系统，配置相关敏感信息的检测规则，触发检测规则时，立即记录流量行为
3. 数据控制
   蜜罐必须能够控制攻击者的行为，以防止攻击者利用蜜网主机作为跳板来攻击其他应用系统，从而引发法律等名种风险

五、蜜网

蜜网的概念

蜜网技术是在蜜罐技术上逐渐发展起来的一个新的概念，又可称为诱捕网络。

1. 蜜网技术实质上是一类研究型的高交互蜜罐技术，宝网构成了一个攻击诱捕的网络体系架构。
2. 该体系架构中可以包含一个或多个密罐。并提供多种工具以方便对攻击信息的采集和分析.
3. 技术角度：同时保证网络的高度可控性。

蜜网的体系结构

宿主系统就是：物理主机，他接着虚拟出来了很多虚拟主机，虚拟主机搞操作系统啊啥的。
咱们学这个搭建几个虚拟机是少不了的，这个技术也需要掌握一下。
连接控制器这个是核心：防止跳板攻击。控制数据交互程度。
图中连接控制器右边那个就是防火墙，毕竟做戏做全套。

蜜网作用

捕获僵尸网络
捕获垃圾邮件
蠕虫和病毒样本
捕获网络钓鱼

对计算机网络安全概述做一个总结，就是这1.2.3节的总结吧

1. 网络安全研究的动因
2. 网络安全的相关概念
3. 网络安全威胁的类型
4. 安全策略和安全等级
5. 网络安全技术
   （1）物理安全技术
   （2）安全隔离
   （3）入侵检测和防御
   （4）蜜罐和蜜网技术

希望我写的能够对大家有用