第 8 章 知識域：物理與網路通信安全

CISP 考試教材《第 1 章 知識域：資訊安全保障》知識整理

CISP 考試教材《第 2 章 知識域：網路安全監管》知識整理

CISP 考試教材《第 3 章 知識域：資訊安全管理》知識整理

CISP 考試教材《第 4 章 知識域：業務連續性》知識整理

CISP 考試教材《第 5 章 知識域：安全工程與運營》知識整理

CISP 考試教材《第 6 章 知識域：資訊安全評估》知識整理

CISP 考試教材《第 7 章 知識域：資訊安全支撐技術》知識整理

目錄

8.1 知識子域：物理安全

8.1.1 環境安全

1.場地選擇

2.抗震及承重

3.火災防護

4.防水

5.供電安全

6.空氣調節

7.電磁防護

8.雷擊及靜電

8.1.2 設施安全

1.安全區域

2.邊界防護

3.監控與審計

8.1.3 傳輸介質安全

1.同軸電纜

2.雙絞線

3.光纖通信

4.無線傳輸

8.2 知識子域：OSI 模型

8.2.1 OSI 模型

1.物理層

2.資料鏈路層

3.網路層

4.傳輸層

5.會話層

6.表示層

7.應用層

8.2.2 OSI 模型通信程序

8.2.3 OSI 七層模型安全體系

8.3 知識子域：TCP/IP 協議安全

8.3.1 協議結構及安全問題

1.協議結構

2.網路介面層安全

3.互聯網路層安全

4.傳輸層安全

5.應用層安全

8.3.2 安全解決方案

1.基于 TCP/IP 協議族的安全架構

2.IPv6 協議

8.4 知識子域：無線通信安全

8.4.1 藍牙安全

1.保密性威脅

2.完整性威脅

3.非授權連接

4.拒絕服務攻擊

8.4.2 無線局域網安全

1.無線局域網安全協議

2.無線局域網安全防護

8.4.3 RFID 安全

1.針對標簽的攻擊

2.針對讀寫器的攻擊

3.針對無線通信的攻擊

4.FRID 安全防護

8.5 知識子域：典型網路攻擊及防范

8.5.1 欺騙攻擊

1.IP 欺騙

2.ARP 欺騙

3.DNS 欺騙

8.5.2 拒絕服務攻擊

1.SYN Flood

2.UDP Flood

3.淚滴攻擊（TearDrop）

4.分布式拒絕服務攻擊

8.6 知識子域：網路安全防護技術

8.6.1 邊界防護

1.防火墻

2.安全隔離與資訊交換系統

3.其他邊界安全防護技術

8.6.2 檢測與審計

1.入侵檢測系統

2.安全審計系統

8.6.3 接入管理

1.虛擬專用網（VPN）

2.網路準入控制

---

8.1 知識子域：物理安全

8.1.1 環境安全

1.場地選擇

資訊資產的保護很大程度上取決于場地的安全性

在進行場地選擇時應考慮以下因素

（1）場地區域選擇

在場地選擇中這一地區的自然災害的影響是一個需要關注的重要因素

對于廣域網中重要資訊設備的部署點，應盡量避開此類自然災害發生可能性較高的區域

（2）周邊環境

資訊系統部署建筑的周邊環境對資訊系統安全性也是需要考慮的重要因素，盡量選擇原理存在的危險因素

這些因素包括資訊系統場所周邊的治安環境、人流量等

另外還需要考慮周邊環境中存在易燃易爆可能的其他經營性設施的風險

（3）其他可能需要考慮因素

還可考慮的因素包括支持機構的便利，例如與警察局、醫療機構和消防機構的接近程度

2.抗震及承重

建筑的抗震設防類別：

（1）國際出入口局、國際無線電臺、國家衛星通信地球站，中央級的電信樞紐（含衛星地球站），抗震設防類別應劃為特殊設防類

（2）省中心及省中心以上的通信樞紐、長途傳輸一級干線樞紐站、國內衛星通信地球站、本地網通樞紐樓及通信生產樓、應急通信用、抗震設防烈度為 8.9 度的縣及縣級市的長途電信樞紐樓的主機房和天線支承物應劃為重點設防類

3.火災防護

火災防護的作業是通過構建火災預防、檢測和回應系統，保護資訊化相關人員和資訊系統，將火災導致的影響降到可接受的程度

（1）火災的預防

火災的預防主要是針對火災發生的來源，采取針對性的措施進行防護

（2）火災的檢測

• 感煙探測器

• 溫感探測器

• 感光探測器，也稱火焰探測器

• 可燃氣體探測器

（3）火災抑制

由于計算機機房中有大量精密電子設備，不宜采用水作為計算機機房的滅火介質，目前廣泛在機房中使用氣體滅火系統

在機房中使用較多的氣體滅火劑有二訊訓碳、七氟丙烷、三氟甲烷等

4.防水

我國等級保護中對于三級以上系統的場地選擇有機房不能建在地下室和頂層的明確要求（等保1.0的要求）

為了降低水浸的風險，也可以在關鍵系統的地板周圍部署水浸探測器

5.供電安全

電力供應需要解決兩個問題：一是確保電力供應不中斷；二是確保電力供應平穩

解決電力供應中斷問題的方案有 3 種

（1）雙路供電

（2）發電機

（3）UPS

持續作業四小時

電力波動也稱為電涌

電涌防護常用的方式是部署電涌保護器

6.空氣調節

普通空調系統無法滿足機房運營保障，需要使用機房專用的精密空調

7.電磁防護

通過電磁輻射信號的分析，攻擊者可以還原出計算機系統正在處理的資料

電磁屏蔽是避免電磁輻射產生的資料泄露和保護設備免受電磁干擾影響的有效方法

除了電磁屏蔽技術外，用于解決電磁資訊泄露的技術措施還有信號干擾和 Tempest 技術

8.雷擊及靜電

8.1.2 設施安全

1.安全區域

設立安全區域需要明確并建立物理安全邊界，通過建立安全邊界可以形成安全區域以保護區域內的資訊處理設施

例如獨立的建筑、墻、有人管理的接待區

2.邊界防護

較常用的方式是使用門禁系統

3.監控與審計

除了對進出安全區域的邊界采取訪問控制之外，對于安全區域及物理邊界，還應采取措施確保非法的闖入可悲檢測和記錄

（1）閉路電視監控系統

閉路電視監控系統（Closed Circuit Television，CCTV）

（2）非法闖入探測器

• 玻璃破碎探測器

• 紅外微博雙鑒探頭

（3）保安

8.1.3 傳輸介質安全

1.同軸電纜

2.雙絞線

3.光纖通信

4.無線傳輸

8.2 知識子域：OSI 模型

8.2.1 OSI 模型

開放系統互連模型（Open System Interconnection Reference Model，OSI）

該模型定義了網路中不同計算機系統進行通信的基本程序和方法

OSI 模型把網路通信作業分為 7 層，從低層到高層依次是物理層（Physical Layer）、資料鏈路層（Data Link Layer）、網路層（Network Layer）、傳輸層（Transport Layer）、會話層（Session Layer）、表示層（Presentation Layer）和應用層（Application Layer）

低層協議偏重于處理實際的資訊傳輸，負責創建網路通信連接的鏈路，包括物理層、資料鏈路層、網路層和傳輸層

高層協議偏重于處理用戶服務和各種應用請求，負責端到端的資料通信，包括會話層、表示層和應用層

1.物理層

2.資料鏈路層

用檢錯或糾錯技術來確保正確的傳輸，確保解決該層的流量控制問題

單位是幀

常見協議包括 ARP、RARP、SDLC、HDLC、PPP、STP 等

3.網路層

為資料傳輸的目的地尋址，再選擇出傳送資料的最佳路線

網路層管理網路資料傳輸的路由策略

常見協議包括 IP、IPX 等

4.傳輸層

用于控制資料流量，并進行錯誤處理，以確保通信順利

常見協議包括 TCP、UDP、SPX 等

5.會話層

允許不同主機上的應用程式進行會話，或建立虛連接

會話層管理這一行程，控制哪一方有權發送資訊，哪一方必須接收資訊

6.表示層

以用戶可理解的格式為上層用戶提供必要的資料

在表示層可以提供如加解密等資料安全保護措施

7.應用層

直接與用戶和應用程式打交道，以達到展示給用戶的目的

應用層為用戶提供電子郵件、檔案傳輸、遠程登錄和資源定位等服務

常見協議包括 HTTP、FTP、Telnet、SNMP、DNS、POP3、SMTP 等

8.2.2 OSI 模型通信程序

資料封裝

資料分用

8.2.3 OSI 七層模型安全體系

OSI 安全體系結構的核心內容是：為保證異構計算機行程與行程之間遠距離交換資訊的安全，定義了系統應當提供的五類安全服務，以及支持這些服務的八類安全機制及相應的 OSI 安全管理，并根據具體系統適當地配置于 OSI 模型的七層協議中

在 OSI 七層協議中除第五層（會話層）外，每一層均能提供相應的安全服務

OSI 安全體系結構中的五類安全服務包括鑒別服務、訪問控制服務、資料保密性服務、資料完整性服務和抗抵賴服務

（1）鑒別服務

也稱認證服務

可細分為對等物體鑒別服務和資料原發鑒別服務（也可稱資料源鑒別）

（2）訪問控制服務

（3）資料保密性服務

資料機密性服務分為連接機密性、無連接機密性、選擇欄位機密性和通信資料流機密性

（4）資料完整性服務

資料完整性服務可以細分為帶恢復的連接完整性、不帶恢復的連接完整性、選擇欄位的連接完整性、無連接完整性和選擇欄位無連接完整性

（5）抗抵賴服務

抗抵賴服務可以細分為有資料原發證明的抗抵賴和有交付證明的抗抵賴兩類

OSI 安全體系結構的 8 種安全機制包括加密、資料簽名、訪問控制、資料完整性、鑒別交換、業務流填充、路由控制和公正等

8.3 知識子域：TCP/IP 協議安全

8.3.1 協議結構及安全問題

1.協議結構

TCP/IP 協議（Transmission Control Protocol/Internet Protocol）

TCP 傳輸控制協議

IP 網際協議

2.網路介面層安全

網路介面層也稱為鏈路層或資料鏈路層

網路介面層主要有三個目的

（1）為 IP 模塊發送和接收 IP 資料報

（2）為 ARP 模塊發送 ARP 請求和接收 ARP 應答

（3）為 RARP 發送 RARP 請求和接收 RARP 應答

ARP 和 RARP 協議由于取法較好的認證機制，攻擊者很容易利用這些協議進行欺騙和拒絕服務攻擊，從而假冒主機入侵其他被信任的主機

3.互聯網路層安全

也稱網路層或網際層

網路層協議包括 IP 協議、ICMP 協議以及 IGMP 協議

攻擊者利用 IP 協議的不足，可以實施 IP 欺騙、源路由欺騙及碎片攻擊等多種不同型別的攻擊

4.傳輸層安全

傳輸層有 TCP 和 UDP 兩個不同的協議

TCP 協議提供可靠的、面向連接的資料通信服務

UDP 提供不可靠的、無連接的資料包通信服務

（1）TCP 協議

傳輸控制協議（Transmission Control Protocol，TCP）

（2）UDP 協議

用戶資料報文協議（User Datagram Protocol，UDP）

由于 UDP 協議的高效，攻擊者可利用 UDP 協議產生大量的資料用于實施拒絕服務攻擊（UDP Flood）

5.應用層安全

安全性問題

• 身份認證簡單

• 使用明文傳輸資料

• 缺乏資料完整性保護

8.3.2 安全解決方案

1.基于 TCP/IP 協議族的安全架構

（1）網路介面層

該層安全通信協議主要有 PPTP、L2TP 等

點對點隧道協議（Point to Point Tunneling Protocol，PPTP）基于 PPP 協議

密碼身份驗證協議（Password Authentication Protocol，PAP）

擴展身份驗證協議（Extensible Authentication Protocol，EAP）

第二層隧道協議（Layer 2 Tunneling Protocol，L2TP）基于 PPTP 和 L2F（Level 2 Forwarding protocol，二層轉發協議）

（2）互連網路層

Internet 協議安全性（Internet Protocol Security，IPSec）是主要的互聯網路層安全通信協議

它作業在 IP 層，提供訪問控制、無連接的完整性、資料源認證、機密性保護、有限的資料流機密性保護以及抗重放攻擊等安全服務

認證頭協議（Authentication Header，AH）為 IP 資料報提供無連接完整性與資料源認證，并提供保護以避免重播情況，一旦建立安全連接，AH 盡可能為 IP 頭和上層協議資料提供足夠多的認證

封裝安全載荷協議（Encapsulating Security Payload，ESP）加密需要保護的載荷資料，為這些資料提供機密性和完整性保護能力

ESP 協議和 AH 協議可以被獨立使用，也可以相互結合使用

（3）傳輸層

傳輸層安全通信協議主要有 SSL 和 TLS 等協議

傳輸層的安全主要在端到端實作，可以提供基于行程到行程的安全通信

安全套接層（Secure Sockets Layer，SSL）

該安全協議主要提供的安全服務有：用戶和服務器的合法性認證、加密被傳輸的資料、維護資料的完整性

安全傳輸層（Transport Layer Security，TLS）

（4）應用層

根據特定應用的安全需要及其特點而設計的安全協議，如電子郵件安全協議（Secure Multipurpose Internet Mail Extensions，S/MIME）、安全超文本傳輸協議（Secure Hypertext Transfer Protocol，S-HTTP）等

2.IPv6 協議

IPv6 最初是為解決 IPv4 網路地址數量有限而設計的

IPv6 采用 128 位地址長度來提供地址空間

IPv6 內置了安全性，增加了網路對加密和認證的支持

IPv6 內嵌了對 IPSec 的支持，通過訪問控制、資料源的身份認證、資料完整性檢查、機密性保證以及抗重播攻擊等機制

8.4 知識子域：無線通信安全

8.4.1 藍牙安全

藍牙（Bluetooth）是一種全球通用的短距離無線傳輸技術

藍牙被廣泛用于在不同設備之間進行資料傳輸

容易受到拒絕服務攻擊、竊聽、中間人攻擊、資訊篡改及資源濫用等問題

1.保密性威脅

處于配對的便利等原因，部分設備使用固定的 PIN，攻擊者可能獲得兩個藍牙設備之間會話的密鑰，使得攻擊者可能獲得會話中的敏感資訊，攻擊者也可能未經授權連接到藍牙設備后從中獲取資料或實施其他非法操作

2.完整性威脅

攻擊者在兩個藍牙設備之間插入未授權設備實施的中間人攻擊

3.非授權連接

攻擊者通過未經授權的藍牙連接將惡意資料推送到藍牙設備中，或遠程操作藍牙設備

4.拒絕服務攻擊

攻擊者可能使用硬體地址欺騙及漏洞使得藍牙設備不可用，這就是針對藍牙設備的拒絕服務攻擊

8.4.2 無線局域網安全

無線局域網（Wireless Local Area Networks，WLAN）是無線通信技術與網路技術相結合的產物

接入點（Access Point，AP）

在 MAC 使用 CSMA/CA 協議

802.11x 標準規定 WLAN 的最小構建是基本服務集（Basic Service Set，BSS）

一個 BSS 包括一個基站和若干個移動站

一個 BSS 所覆寫的地理范圍叫做一個基本服務區（Basic Service Area，BSA）

1.無線局域網安全協議

（1）WEP（有線等效保密協議）

有線等效保密協議（Wired Equivalent Privacy，WEP）是無線局域網安全性保護協議

WEP 有兩種認證方式，即開放式系統認證（Open System Authentication）和共享密鑰認證（Share Key Authentication）

• 開方式認證即空認證

服務集識別符號（Service Set Identifier，SSID）

偽造 SSID 是針對無線局域網用戶的典型攻擊方式

MAC 地址過濾

MAC 地址幀首部以明文形式傳輸，監聽到合法用戶的 MAC 地址后，通過改變其 MAC 地址獲得資源訪問權限

• 共享密鑰認證需要 AP 和客戶端（Station，STA，也稱作業站）預先共享一個密鑰

設計上存在缺陷，密鑰很容易被破解

WEP 使用 RC4 加密演算法

（2）WPA 與 WPA2

Wi-Fi 聯盟在 802.11i 標準草案的基礎上制定了 WPA（Wi-Fi Protected Access）標準

2004 年，IEEE 發布了 802.11i 正式標準（也成為 WPA2），在加密演算法上采用了基于 AES 的 CCMP 演算法

臨時密鑰完整性協議（Temporal Key Integrity Protocol，TKIP）

計數器模式及密碼塊鏈訊息認證碼協議（Counter Mode with CBC-MAC Protocol，CCMP）

TKIP 采用 RC4 作為加密演算法

CCMP 是基于 AES 和 CCM（Counter-mode/CBC-MAC）模式的全新標準

（3）WAPI 安全協議

我國在 2003 年提出了 WLAN 國家標準，即無限鑒別和保密基礎結構（WLAN Authentication and Privacy Infrastructure，WAPI）

WAPI 由無線局域網認證基礎設施（WLAN Authentication Infrastructure，WAI）和無線局域網保密基礎結構（WLAN Privacy Infrastructure，WPI）兩部分組成

2.無線局域網安全防護

（1）將無線局域網安全管理納入公司總體安全策略中

（2）應用安全技術保護無線局域網安全

8.4.3 RFID 安全

射頻識別（Radio Frequency Identification，RFID）是一種應用廣泛近場通信技術，通過無線電信號識別特定目標并讀寫相關資料

RFID 是一種簡單的無線通信系統，由讀寫器和多個應答器構成，應答器也被稱為智能標簽或標簽

1.針對標簽的攻擊

• 資料竊取

• 標簽破解及復制

2.針對讀寫器的攻擊

• 拒絕服務

• 惡意代碼

3.針對無線通信的攻擊

針對無線網路的攻擊方式在 RFID 體系中也可以使用，包括干擾、嗅探等

4.FRID 安全防護

8.5 知識子域：典型網路攻擊及防范

8.5.1 欺騙攻擊

欺騙攻擊是通過偽造資料從而獲得不當優勢的一類攻擊方式

欺騙攻擊是一類攻擊型別的統稱，常見的實作方式有 IP 欺騙（IP spoofing）、ARP 欺騙（ARP Spoofing）、DNS 欺騙（DNS Spoofing）以及 TCP 會話劫持（TCP Hijack）等

1.IP 欺騙

2.ARP 欺騙

地址決議協議（Address Resolution Protocol，ARP）

計算機系統無需收到 ARP 請求就可以發送 ARP 應答，而這個應答會被接收到的計算機系統進行處理

ARP 欺騙可實作中間人欺騙、拒絕服務等攻擊

3.DNS 欺騙

域名系統（Domain Name System，DNS）

8.5.2 拒絕服務攻擊

拒絕服務（Denial of Service，DoS）

拒絕服務攻擊的實作方式非常多，包括 SYN Flood、UDP Flood、TearDrop、ARP Flood、Smurf、Land 等

1.SYN Flood

2.UDP Flood

3.淚滴攻擊（TearDrop）

淚滴攻擊也被稱為分片攻擊或碎片攻擊

4.分布式拒絕服務攻擊

分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）

8.6 知識子域：網路安全防護技術

8.6.1 邊界防護

1.防火墻

防火墻用在兩個不同安全要求的安全域之間，根據定義的訪問控制策略，檢查并控制這兩個安全域之間所有流量

控制、隔離、記錄

（1）防火墻的主要技術

• 靜態包過濾

丟棄、通過、轉發

無法實作對應用層資訊過濾處理

• 應用代理

• 狀態檢測

也稱動態包過濾

（2）防火墻部署

要考慮如何根據安全要求和實際環境部署及使用啊防火墻

• 單防火墻（無 DMZ）部署

• 單昂火槍（DMZ）部署

• 雙防火墻部署

2.安全隔離與資訊交換系統

安全隔離與資訊交換系統也稱為安全隔離網閘或簡稱網閘，是針對物理隔離情況下資料交換問題而發展出來的技術，現在也被用于高安全要求網路上的邊界安全防護網閘采用專用硬體控制技術保證內外網之間沒有物理連接，而防火墻一般存在邏輯鏈接

3.其他邊界安全防護技術

IPS （Intrusion Prevention System，IPS）是集入侵檢測和防火墻于一體的安全設備，部署在網路出口中，不但能檢測入侵的發生，而且能針對攻擊進行回應，實時地中止入侵行為的發生和發展，串聯部署，影響性能

防病毒網關部署在網路出口處，對進出的資料進行分析，發現其中存在的惡意代碼并進行攔截

統一威脅管理（Unified Threat Management，UTM）將防病毒、入侵檢測防火墻等多種技術集成一體，形成標準的統一威脅管理平臺，2002 年提出

USG 統一安全網關

8.6.2 檢測與審計

1.入侵檢測系統

入侵檢測系統（Intrusion Detection System，IDS）

IDS 是一種主動的安全防護技術

IDS 的主要作用是發現并報告系統中未授權或違反安全策略行為，為網路安全策略的制定提供指導

（1）入侵檢測分類

根據部署方式及資料來源，分為網路入侵檢測和主機入侵檢測

網路入侵檢測在應用中以旁路方式接入，不會對網路的傳輸資料帶來干擾

（2）入侵檢測技術

• 誤用檢測

也成為特征檢測，根據已知入侵攻擊的資訊來檢測可能的入侵行為

誤用：模式匹配

• 例外檢測

根據系統或用戶的非正常行為或者對于計算機資源的非正常使用來檢測可能存在的入侵行為，例外檢測需要建立一個系統的正常活動狀態或用戶正常行為模式的描述模型

例外：統計分析

（3）入侵檢測系統部署

（4）入侵檢測系統的局限性

2.安全審計系統

8.6.3 接入管理

1.虛擬專用網（VPN）

虛擬專用網（Virtual Private Network，VPN）

（1）關鍵技術

二層隧道協議

PPTP Point to Point Tunneling Protocol，PPTP 點到點隧道協議

L2TP Layer Two Tunneling Protocol，第二層隧道協議

三層隧道協議

IPSec

通用路由封裝協議 General Routing Encapsulation，GRE

（2）應用領域

2.網路準入控制

網路準入控制（Network Access Control，NAC）