CISP 考试教材《第 8 章知识域：物理与网络通信安全》知识整理

OSI 模型把网络通信工作分为 7 层，从低层到高层依次是物理层（Physical Layer）、数据链路层（Data Link Layer）、网络层（Network Layer）、传输层（Transport Layer）、会话层（Session Layer）、表示层（Presentation Layer）和应用层（Application Layer）

低层协议偏重于处理实际的信息传输，负责创建网络通信连接的链路，包括物理层、数据链路层、网络层和传输层

高层协议偏重于处理用户服务和各种应用请求，负责端到端的数据通信，包括会话层、表示层和应用层

1.物理层

2.数据链路层

用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题

单位是帧

常见协议包括 ARP、RARP、SDLC、HDLC、PPP、STP 等

3.网络层

为数据传输的目的地寻址，再选择出传送数据的最佳路线

网络层管理网络数据传输的路由策略

常见协议包括 IP、IPX 等

4.传输层

用于控制数据流量，并进行错误处理，以确保通信顺利

常见协议包括 TCP、UDP、SPX 等

5.会话层

允许不同主机上的应用程序进行会话，或建立虚连接

会话层管理这一进程，控制哪一方有权发送信息，哪一方必须接收信息

6.表示层

以用户可理解的格式为上层用户提供必要的数据

在表示层可以提供如加解密等数据安全保护措施

7.应用层

直接与用户和应用程序打交道，以达到展示给用户的目的

应用层为用户提供电子邮件、文件传输、远程登录和资源定位等服务

常见协议包括 HTTP、FTP、Telnet、SNMP、DNS、POP3、SMTP 等

8.2.2 OSI 模型通信过程

数据封装

数据分用

8.2.3 OSI 七层模型安全体系

OSI 安全体系结构的核心内容是：为保证异构计算机进程与进程之间远距离交换信息的安全，定义了系统应当提供的五类安全服务，以及支持这些服务的八类安全机制及相应的 OSI 安全管理，并根据具体系统适当地配置于 OSI 模型的七层协议中

在 OSI 七层协议中除第五层（会话层）外，每一层均能提供相应的安全服务

OSI 安全体系结构中的五类安全服务包括鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和抗抵赖服务

（1）鉴别服务

也称认证服务

可细分为对等实体鉴别服务和数据原发鉴别服务（也可称数据源鉴别）

（2）访问控制服务

（3）数据保密性服务

数据机密性服务分为连接机密性、无连接机密性、选择字段机密性和通信数据流机密性

（4）数据完整性服务

数据完整性服务可以细分为带恢复的连接完整性、不带恢复的连接完整性、选择字段的连接完整性、无连接完整性和选择字段无连接完整性

（5）抗抵赖服务

抗抵赖服务可以细分为有数据原发证明的抗抵赖和有交付证明的抗抵赖两类

OSI 安全体系结构的 8 种安全机制包括加密、数据签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公正等

8.3 知识子域：TCP/IP 协议安全

8.3.1 协议结构及安全问题

1.协议结构

TCP/IP 协议（Transmission Control Protocol/Internet Protocol）

TCP 传输控制协议

IP 网际协议

2.网络接口层安全

网络接口层也称为链路层或数据链路层

网络接口层主要有三个目的

（1）为 IP 模块发送和接收 IP 数据报

（2）为 ARP 模块发送 ARP 请求和接收 ARP 应答

（3）为 RARP 发送 RARP 请求和接收 RARP 应答

ARP 和 RARP 协议由于取法较好的认证机制，攻击者很容易利用这些协议进行欺骗和拒绝服务攻击，从而假冒主机入侵其他被信任的主机

3.互联网络层安全

也称网络层或网际层

网络层协议包括 IP 协议、ICMP 协议以及 IGMP 协议

攻击者利用 IP 协议的不足，可以实施 IP 欺骗、源路由欺骗及碎片攻击等多种不同类型的攻击

4.传输层安全

传输层有 TCP 和 UDP 两个不同的协议

TCP 协议提供可靠的、面向连接的数据通信服务

UDP 提供不可靠的、无连接的数据包通信服务

（1）TCP 协议

传输控制协议（Transmission Control Protocol，TCP）

（2）UDP 协议

用户数据报文协议（User Datagram Protocol，UDP）

由于 UDP 协议的高效，攻击者可利用 UDP 协议产生大量的数据用于实施拒绝服务攻击（UDP Flood）

5.应用层安全

安全性问题

身份认证简单
使用明文传输数据
缺乏数据完整性保护

8.3.2 安全解决方案

1.基于 TCP/IP 协议族的安全架构

（1）网络接口层

该层安全通信协议主要有 PPTP、L2TP 等

点对点隧道协议（Point to Point Tunneling Protocol，PPTP）基于 PPP 协议

密码身份验证协议（Password Authentication Protocol，PAP）

扩展身份验证协议（Extensible Authentication Protocol，EAP）

第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）基于 PPTP 和 L2F（Level 2 Forwarding protocol，二层转发协议）

（2）互连网络层

Internet 协议安全性（Internet Protocol Security，IPSec）是主要的互联网络层安全通信协议

它工作在 IP 层，提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护以及抗重放攻击等安全服务

认证头协议（Authentication Header，AH）为 IP 数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，AH 尽可能为 IP 头和上层协议数据提供足够多的认证

封装安全载荷协议（Encapsulating Security Payload，ESP）加密需要保护的载荷数据，为这些数据提供机密性和完整性保护能力

ESP 协议和 AH 协议可以被独立使用，也可以相互结合使用

（3）传输层

传输层安全通信协议主要有 SSL 和 TLS 等协议

传输层的安全主要在端到端实现，可以提供基于进程到进程的安全通信

安全套接层（Secure Sockets Layer，SSL）

该安全协议主要提供的安全服务有：用户和服务器的合法性认证、加密被传输的数据、维护数据的完整性

安全传输层（Transport Layer Security，TLS）

（4）应用层

根据特定应用的安全需要及其特点而设计的安全协议，如电子邮件安全协议（Secure Multipurpose Internet Mail Extensions，S/MIME）、安全超文本传输协议（Secure Hypertext Transfer Protocol，S-HTTP）等

2.IPv6 协议

IPv6 最初是为解决 IPv4 网络地址数量有限而设计的

IPv6 采用 128 位地址长度来提供地址空间

IPv6 内置了安全性，增加了网络对加密和认证的支持

IPv6 内嵌了对 IPSec 的支持，通过访问控制、数据源的身份认证、数据完整性检查、机密性保证以及抗重播攻击等机制

8.4 知识子域：无线通信安全

8.4.1 蓝牙安全

蓝牙（Bluetooth）是一种全球通用的短距离无线传输技术

蓝牙被广泛用于在不同设备之间进行数据传输

容易受到拒绝服务攻击、窃听、中间人攻击、信息篡改及资源滥用等问题

1.保密性威胁

处于配对的便利等原因，部分设备使用固定的 PIN，攻击者可能获得两个蓝牙设备之间会话的密钥，使得攻击者可能获得会话中的敏感信息。攻击者也可能未经授权连接到蓝牙设备后从中获取数据或实施其他非法操作

2.完整性威胁

攻击者在两个蓝牙设备之间插入未授权设备实施的中间人攻击

3.非授权连接

攻击者通过未经授权的蓝牙连接将恶意数据推送到蓝牙设备中，或远程操作蓝牙设备

4.拒绝服务攻击

攻击者可能使用硬件地址欺骗及漏洞使得蓝牙设备不可用，这就是针对蓝牙设备的拒绝服务攻击

8.4.2 无线局域网安全

无线局域网（Wireless Local Area Networks，WLAN）是无线通信技术与网络技术相结合的产物

接入点（Access Point，AP）

在 MAC 使用 CSMA/CA 协议

802.11x 标准规定 WLAN 的最小构建是基本服务集（Basic Service Set，BSS）

一个 BSS 包括一个基站和若干个移动站

一个 BSS 所覆盖的地理范围叫做一个基本服务区（Basic Service Area，BSA）

1.无线局域网安全协议

（1）WEP（有线等效保密协议）

有线等效保密协议（Wired Equivalent Privacy，WEP）是无线局域网安全性保护协议

WEP 有两种认证方式，即开放式系统认证（Open System Authentication）和共享密钥认证（Share Key Authentication）

开方式认证即空认证

服务集标识符（Service Set Identifier，SSID）

伪造 SSID 是针对无线局域网用户的典型攻击方式

MAC 地址过滤

MAC 地址帧首部以明文形式传输，监听到合法用户的 MAC 地址后，通过改变其 MAC 地址获得资源访问权限

共享密钥认证需要 AP 和客户端（Station，STA，也称工作站）预先共享一个密钥

设计上存在缺陷，密钥很容易被破解

WEP 使用 RC4 加密算法

（2）WPA 与 WPA2

Wi-Fi 联盟在 802.11i 标准草案的基础上制定了 WPA（Wi-Fi Protected Access）标准

2004 年，IEEE 发布了 802.11i 正式标准（也成为 WPA2），在加密算法上采用了基于 AES 的 CCMP 算法

临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）

计数器模式及密码块链消息认证码协议（Counter Mode with CBC-MAC Protocol，CCMP）

TKIP 采用 RC4 作为加密算法

CCMP 是基于 AES 和 CCM（Counter-mode/CBC-MAC）模式的全新标准

（3）WAPI 安全协议

我国在 2003 年提出了 WLAN 国家标准，即无限鉴别和保密基础结构（WLAN Authentication and Privacy Infrastructure，WAPI）

WAPI 由无线局域网认证基础设施（WLAN Authentication Infrastructure，WAI）和无线局域网保密基础结构（WLAN Privacy Infrastructure，WPI）两部分组成

2.无线局域网安全防护

（1）将无线局域网安全管理纳入公司总体安全策略中

（2）应用安全技术保护无线局域网安全

8.4.3 RFID 安全

射频识别（Radio Frequency Identification，RFID）是一种应用广泛近场通信技术，通过无线电信号识别特定目标并读写相关数据

RFID 是一种简单的无线通信系统，由读写器和多个应答器构成，应答器也被称为智能标签或标签

1.针对标签的攻击

数据窃取
标签破解及复制

2.针对读写器的攻击

拒绝服务
恶意代码

3.针对无线通信的攻击

针对无线网络的攻击方式在 RFID 体系中也可以使用，包括干扰、嗅探等

4.FRID 安全防护

8.5 知识子域：典型网络攻击及防范

8.5.1 欺骗攻击

欺骗攻击是通过伪造数据从而获得不当优势的一类攻击方式

欺骗攻击是一类攻击类型的统称，常见的实现方式有 IP 欺骗（IP spoofing）、ARP 欺骗（ARP Spoofing）、DNS 欺骗（DNS Spoofing）以及 TCP 会话劫持（TCP Hijack）等

1.IP 欺骗

2.ARP 欺骗

地址解析协议（Address Resolution Protocol，ARP）

计算机系统无需收到 ARP 请求就可以发送 ARP 应答，而这个应答会被接收到的计算机系统进行处理

ARP 欺骗可实现中间人欺骗、拒绝服务等攻击

3.DNS 欺骗

域名系统（Domain Name System，DNS）

8.5.2 拒绝服务攻击

拒绝服务（Denial of Service，DoS）

拒绝服务攻击的实现方式非常多，包括 SYN Flood、UDP Flood、TearDrop、ARP Flood、Smurf、Land 等

1.SYN Flood

2.UDP Flood

3.泪滴攻击（TearDrop）

泪滴攻击也被称为分片攻击或碎片攻击

4.分布式拒绝服务攻击

分布式拒绝服务攻击（Distributed Denial of Service，DDoS）

8.6 知识子域：网络安全防护技术

8.6.1 边界防护

1.防火墙

防火墙用在两个不同安全要求的安全域之间，根据定义的访问控制策略，检查并控制这两个安全域之间所有流量

控制、隔离、记录

（1）防火墙的主要技术

静态包过滤

丢弃、通过、转发

无法实现对应用层信息过滤处理

应用代理
状态检测

也称动态包过滤

（2）防火墙部署

要考虑如何根据安全要求和实际环境部署及使用啊防火墙

单防火墙（无 DMZ）部署
单昂火枪（DMZ）部署
双防火墙部署

2.安全隔离与信息交换系统

安全隔离与信息交换系统也称为安全隔离网闸或简称网闸，是针对物理隔离情况下数据交换问题而发展出来的技术，现在也被用于高安全要求网络上的边界安全防护网闸采用专用硬件控制技术保证内外网之间没有物理连接，而防火墙一般存在逻辑链接

3.其他边界安全防护技术

IPS （Intrusion Prevention System，IPS）是集入侵检测和防火墙于一体的安全设备，部署在网络出口中，不但能检测入侵的发生，而且能针对攻击进行响应，实时地中止入侵行为的发生和发展。串联部署，影响性能

防病毒网关部署在网络出口处，对进出的数据进行分析，发现其中存在的恶意代码并进行拦截

统一威胁管理（Unified Threat Management，UTM）将防病毒、入侵检测防火墙等多种技术集成一体，形成标准的统一威胁管理平台。2002 年提出

USG 统一安全网关

8.6.2 检测与审计

1.入侵检测系统

入侵检测系统（Intrusion Detection System，IDS）

IDS 是一种主动的安全防护技术

IDS 的主要作用是发现并报告系统中未授权或违反安全策略行为，为网络安全策略的制定提供指导

（1）入侵检测分类

根据部署方式及数据来源，分为网络入侵检测和主机入侵检测

网络入侵检测在应用中以旁路方式接入，不会对网络的传输数据带来干扰

（2）入侵检测技术

误用检测

也成为特征检测，根据已知入侵攻击的信息来检测可能的入侵行为

误用：模式匹配

异常检测

根据系统或用户的非正常行为或者对于计算机资源的非正常使用来检测可能存在的入侵行为。异常检测需要建立一个系统的正常活动状态或用户正常行为模式的描述模型

异常：统计分析

（3）入侵检测系统部署

（4）入侵检测系统的局限性

2.安全审计系统

8.6.3 接入管理

1.虚拟专用网（VPN）

虚拟专用网（Virtual Private Network，VPN）

（1）关键技术

二层隧道协议

PPTP Point to Point Tunneling Protocol，PPTP 点到点隧道协议

L2TP Layer Two Tunneling Protocol，第二层隧道协议

三层隧道协议

IPSec

通用路由封装协议 General Routing Encapsulation，GRE

（2）应用领域

2.网络准入控制

网络准入控制（Network Access Control，NAC）

码农UP2U

关注

1
点赞
踩
18

收藏

觉得还不错? 一键收藏
打赏
0
评论
CISP 考试教材《第 8 章知识域：物理与网络通信安全》知识整理

第 8 章知识域：物理与网络通信安全CISP 考试教材《第 1 章知识域：信息安全保障》知识整理CISP 考试教材《第 2 章知识域：网络安全监管》知识整理CISP 考试教材《第 3 章知识域：信息安全管理》知识整理CISP 考试教材《第 4 章知识域：业务连续性》知识整理CISP 考试教材《第 5 章知识域：安全工程与运营》知识整理CISP 考试教材《第 6 章知识域：信息安全评估》知识整理CISP 考试教材《第 7 章知识域：信息安全支撑技术》知识整理
复制链接

扫一扫