CISP 考试教材《第 8 章 知识域：物理与网络通信安全》知识整理

第 8 章 知识域：物理与网络通信安全

CISP 考试教材《第 1 章 知识域：信息安全保障》知识整理

CISP 考试教材《第 2 章 知识域：网络安全监管》知识整理

CISP 考试教材《第 3 章 知识域：信息安全管理》知识整理

CISP 考试教材《第 4 章 知识域：业务连续性》知识整理

CISP 考试教材《第 5 章 知识域：安全工程与运营》知识整理

CISP 考试教材《第 6 章 知识域：信息安全评估》知识整理

CISP 考试教材《第 7 章 知识域：信息安全支撑技术》知识整理

CISP 考试教材《第 8 章 知识域：物理与网络通信安全》知识整理

CISP 考试教材《第 9 章 知识域：计算环境安全》知识整理

CISP 考试教材《第 10 章 知识域：软件开发安全》知识整理

目录

8.1 知识子域：物理安全

8.1.1 环境安全

1.场地选择

2.抗震及承重

3.火灾防护

4.防水

5.供电安全

6.空气调节

7.电磁防护

8.雷击及静电

8.1.2 设施安全

1.安全区域

2.边界防护

3.监控与审计

8.1.3 传输介质安全

1.同轴电缆

2.双绞线

3.光纤通信

4.无线传输

8.2 知识子域：OSI 模型

8.2.1 OSI 模型

1.物理层

2.数据链路层

3.网络层

4.传输层

5.会话层

6.表示层

7.应用层

8.2.2 OSI 模型通信过程

8.2.3 OSI 七层模型安全体系

8.3 知识子域：TCP/IP 协议安全

8.3.1 协议结构及安全问题

1.协议结构

2.网络接口层安全

3.互联网络层安全

4.传输层安全

5.应用层安全

8.3.2 安全解决方案

1.基于 TCP/IP 协议族的安全架构

2.IPv6 协议

8.4 知识子域：无线通信安全

8.4.1 蓝牙安全

1.保密性威胁

2.完整性威胁

3.非授权连接

4.拒绝服务攻击

8.4.2 无线局域网安全

1.无线局域网安全协议

2.无线局域网安全防护

8.4.3 RFID 安全

1.针对标签的攻击

2.针对读写器的攻击

3.针对无线通信的攻击

4.FRID 安全防护

8.5 知识子域：典型网络攻击及防范

8.5.1 欺骗攻击

1.IP 欺骗

2.ARP 欺骗

3.DNS 欺骗

8.5.2 拒绝服务攻击

1.SYN Flood

2.UDP Flood

3.泪滴攻击（TearDrop）

4.分布式拒绝服务攻击

8.6 知识子域：网络安全防护技术

8.6.1 边界防护

1.防火墙

2.安全隔离与信息交换系统

3.其他边界安全防护技术

8.6.2 检测与审计

1.入侵检测系统

2.安全审计系统

8.6.3 接入管理

1.虚拟专用网（VPN）

2.网络准入控制

---

8.1 知识子域：物理安全

8.1.1 环境安全

1.场地选择

信息资产的保护很大程度上取决于场地的安全性

在进行场地选择时应考虑以下因素

（1）场地区域选择

在场地选择中这一地区的自然灾害的影响是一个需要关注的重要因素

对于广域网中重要信息设备的部署点，应尽量避开此类自然灾害发生可能性较高的区域

（2）周边环境

信息系统部署建筑的周边环境对信息系统安全性也是需要考虑的重要因素，尽量选择原理存在的危险因素

这些因素包括信息系统场所周边的治安环境、人流量等

另外还需要考虑周边环境中存在易燃易爆可能的其他经营性设施的风险

（3）其他可能需要考虑因素

还可考虑的因素包括支持机构的便利，例如与警察局、医疗机构和消防机构的接近程度

2.抗震及承重

建筑的抗震设防类别：

（1）国际出入口局、国际无线电台、国家卫星通信地球站，中央级的电信枢纽（含卫星地球站），抗震设防类别应划为特殊设防类

（2）省中心及省中心以上的通信枢纽、长途传输一级干线枢纽站、国内卫星通信地球站、本地网通枢纽楼及通信生产楼、应急通信用、抗震设防烈度为 8.9 度的县及县级市的长途电信枢纽楼的主机房和天线支承物应划为重点设防类

3.火灾防护

火灾防护的工作是通过构建火灾预防、检测和响应系统，保护信息化相关人员和信息系统，将火灾导致的影响降到可接受的程度

（1）火灾的预防

火灾的预防主要是针对火灾发生的来源，采取针对性的措施进行防护

（2）火灾的检测

• 感烟探测器

• 温感探测器

• 感光探测器，也称火焰探测器

• 可燃气体探测器

（3）火灾抑制

由于计算机机房中有大量精密电子设备，不宜采用水作为计算机机房的灭火介质，目前广泛在机房中使用气体灭火系统

在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等

4.防水

我国等级保护中对于三级以上系统的场地选择有机房不能建在地下室和顶层的明确要求（等保1.0的要求）

为了降低水浸的风险，也可以在关键系统的地板周围部署水浸探测器

5.供电安全

电力供应需要解决两个问题：一是确保电力供应不中断；二是确保电力供应平稳

解决电力供应中断问题的方案有 3 种

（1）双路供电

（2）发电机

（3）UPS

持续工作四小时

电力波动也称为电涌

电涌防护常用的方式是部署电涌保护器

6.空气调节

普通空调系统无法满足机房运营保障，需要使用机房专用的精密空调

7.电磁防护

通过电磁辐射信号的分析，攻击者可以还原出计算机系统正在处理的数据

电磁屏蔽是避免电磁辐射产生的数据泄露和保护设备免受电磁干扰影响的有效方法

除了电磁屏蔽技术外，用于解决电磁信息泄露的技术措施还有信号干扰和 Tempest 技术

8.雷击及静电

8.1.2 设施安全

1.安全区域

设立安全区域需要明确并建立物理安全边界，通过建立安全边界可以形成安全区域以保护区域内的信息处理设施

例如独立的建筑、墙、有人管理的接待区

2.边界防护

较常用的方式是使用门禁系统

3.监控与审计

除了对进出安全区域的边界采取访问控制之外，对于安全区域及物理边界，还应采取措施确保非法的闯入可悲检测和记录

（1）闭路电视监控系统

闭路电视监控系统（Closed Circuit Television，CCTV）

（2）非法闯入探测器

• 玻璃破碎探测器

• 红外微博双鉴探头

（3）保安

8.1.3 传输介质安全

1.同轴电缆

2.双绞线

3.光纤通信

4.无线传输

8.2 知识子域：OSI 模型

8.2.1 OSI 模型

开放系统互连模型（Open System Interconnection Reference Model，OSI）

该模型定义了网络中不同计算机系统进行通信的基本过程和方法

OSI 模型把网络通信工作分为 7 层，从低层到高层依次是物理层（Physical Layer）、数据链路层（Data Link Layer）、网络层（Network Layer）、传输层（Transport Layer）、会话层（Session Layer）、表示层（Presentation Layer）和应用层（Application Layer）

低层协议偏重于处理实际的信息传输，负责创建网络通信连接的链路，包括物理层、数据链路层、网络层和传输层

高层协议偏重于处理用户服务和各种应用请求，负责端到端的数据通信，包括会话层、表示层和应用层

1.物理层

2.数据链路层

用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题

单位是帧

常见协议包括 ARP、RARP、SDLC、HDLC、PPP、STP 等

3.网络层

为数据传输的目的地寻址，再选择出传送数据的最佳路线

网络层管理网络数据传输的路由策略

常见协议包括 IP、IPX 等

4.传输层

用于控制数据流量，并进行错误处理，以确保通信顺利

常见协议包括 TCP、UDP、SPX 等

5.会话层

允许不同主机上的应用程序进行会话，或建立虚连接

会话层管理这一进程，控制哪一方有权发送信息，哪一方必须接收信息

6.表示层

以用户可理解的格式为上层用户提供必要的数据

在表示层可以提供如加解密等数据安全保护措施

7.应用层

直接与用户和应用程序打交道，以达到展示给用户的目的

应用层为用户提供电子邮件、文件传输、远程登录和资源定位等服务

常见协议包括 HTTP、FTP、Telnet、SNMP、DNS、POP3、SMTP 等

8.2.2 OSI 模型通信过程

数据封装