第 8 章 知识域:物理与网络通信安全
CISP 考试教材《第 1 章 知识域:信息安全保障》知识整理
CISP 考试教材《第 2 章 知识域:网络安全监管》知识整理
CISP 考试教材《第 3 章 知识域:信息安全管理》知识整理
CISP 考试教材《第 4 章 知识域:业务连续性》知识整理
CISP 考试教材《第 5 章 知识域:安全工程与运营》知识整理
CISP 考试教材《第 6 章 知识域:信息安全评估》知识整理
CISP 考试教材《第 7 章 知识域:信息安全支撑技术》知识整理
目录
8.1 知识子域:物理安全
8.1.1 环境安全
1.场地选择
信息资产的保护很大程度上取决于场地的安全性
在进行场地选择时应考虑以下因素
(1)场地区域选择
在场地选择中这一地区的自然灾害的影响是一个需要关注的重要因素
对于广域网中重要信息设备的部署点,应尽量避开此类自然灾害发生可能性较高的区域
(2)周边环境
信息系统部署建筑的周边环境对信息系统安全性也是需要考虑的重要因素,尽量选择原理存在的危险因素
这些因素包括信息系统场所周边的治安环境、人流量等
另外还需要考虑周边环境中存在易燃易爆可能的其他经营性设施的风险
(3)其他可能需要考虑因素
还可考虑的因素包括支持机构的便利,例如与警察局、医疗机构和消防机构的接近程度
2.抗震及承重
建筑的抗震设防类别:
(1)国际出入口局、国际无线电台、国家卫星通信地球站,*级的电信枢纽(含卫星地球站),抗震设防类别应划为特殊设防类
(2)省中心及省中心以上的通信枢纽、长途传输一级干线枢纽站、国内卫星通信地球站、本地网通枢纽楼及通信生产楼、应急通信用、抗震设防烈度为 8.9 度的县及县级市的长途电信枢纽楼的主机房和天线支承物应划为重点设防类
3.火灾防护
火灾防护的工作是通过构建火灾预防、检测和响应系统,保护信息化相关人员和信息系统,将火灾导致的影响降到可接受的程度
(1)火灾的预防
火灾的预防主要是针对火灾发生的来源,采取针对性的措施进行防护
(2)火灾的检测
-
感烟探测器
-
温感探测器
-
感光探测器,也称火焰探测器
-
可燃气体探测器
(3)火灾抑制
由于计算机机房中有大量精密电子设备,不宜采用水作为计算机机房的灭火介质,目前广泛在机房中使用气体灭火系统
在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等
4.防水
我国等级保护中对于三级以上系统的场地选择有机房不能建在地下室和顶层的明确要求(等保1.0的要求)
为了降低水浸的风险,也可以在关键系统的地板周围部署水浸探测器
5.供电安全
电力供应需要解决两个问题:一是确保电力供应不中断;二是确保电力供应平稳
解决电力供应中断问题的方案有 3 种
(1)双路供电
(2)发电机
(3)UPS
持续工作四小时
电力波动也称为电涌
电涌防护常用的方式是部署电涌保护器
6.空气调节
普通空调系统无法满足机房运营保障,需要使用机房专用的精密空调
7.电磁防护
通过电磁辐射信号的分析,攻击者可以还原出计算机系统正在处理的数据
电磁屏蔽是避免电磁辐射产生的数据泄露和保护设备免受电磁干扰影响的有效方法
除了电磁屏蔽技术外,用于解决电磁信息泄露的技术措施还有信号干扰和 Tempest 技术
8.雷击及静电
8.1.2 设施安全
1.安全区域
设立安全区域需要明确并建立物理安全边界,通过建立安全边界可以形成安全区域以保护区域内的信息处理设施
例如独立的建筑、墙、有人管理的接待区
2.边界防护
较常用的方式是使用门禁系统
3.监控与审计
除了对进出安全区域的边界采取访问控制之外,对于安全区域及物理边界,还应采取措施确保非法的闯入可悲检测和记录
(1)闭路电视监控系统
闭路电视监控系统(Closed Circuit Television,CCTV)
(2)非法闯入探测器
-
玻璃破碎探测器
-
红外微博双鉴探头
(3)保安
8.1.3 传输介质安全
1.同轴电缆
2.双绞线
3.光纤通信
4.无线传输
8.2 知识子域:OSI 模型
8.2.1 OSI 模型
开放系统互连模型(Open System Interconnection Reference Model,OSI)
该模型定义了网络中不同计算机系统进行通信的基本过程和方法
OSI 模型把网络通信工作分为 7 层,从低层到高层依次是物理层(Physical Layer)、数据链路层(Data Link Layer)、网络层(Network Layer)、传输层(Transport Layer)、会话层(Session Layer)、表示层(Presentation Layer)和应用层(Application Layer)
低层协议偏重于处理实际的信息传输,负责创建网络通信连接的链路,包括物理层、数据链路层、网络层和传输层
高层协议偏重于处理用户服务和各种应用请求,负责端到端的数据通信,包括会话层、表示层和应用层
1.物理层
2.数据链路层
用检错或纠错技术来确保正确的传输,确保解决该层的流量控制问题
单位是帧
常见协议包括 ARP、RARP、SDLC、HDLC、PPP、STP 等
3.网络层
为数据传输的目的地寻址,再选择出传送数据的最佳路线
网络层管理网络数据传输的路由策略
常见协议包括 IP、IPX 等
4.传输层
用于控制数据流量,并进行错误处理,以确保通信顺利
常见协议包括 TCP、UDP、SPX 等
5.会话层
允许不同主机上的应用程序进行会话,或建立虚连接
会话层管理这一进程,控制哪一方有权发送信息,哪一方必须接收信息
6.表示层
以用户可理解的格式为上层用户提供必要的数据
在表示层可以提供如加解密等数据安全保护措施
7.应用层
直接与用户和应用程序打交道,以达到展示给用户的目的
应用层为用户提供电子邮件、文件传输、远程登录和资源定位等服务
常见协议包括 HTTP、FTP、Telnet、SNMP、DNS、POP3、SMTP 等
8.2.2 OSI 模型通信过程
数据封装
数据分用
8.2.3 OSI 七层模型安全体系
OSI 安全体系结构的核心内容是:为保证异构计算机进程与进程之间远距离交换信息的安全,定义了系统应当提供的五类安全服务,以及支持这些服务的八类安全机制及相应的 OSI 安全管理,并根据具体系统适当地配置于 OSI 模型的七层协议中
在 OSI 七层协议中除第五层(会话层)外,每一层均能提供相应的安全服务
OSI 安全体系结构中的五类安全服务包括鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和抗抵赖服务
(1)鉴别服务
也称认证服务
可细分为对等实体鉴别服务和数据原发鉴别服务(也可称数据源鉴别)
(2)访问控制服务
(3)数据保密性服务
数据机密性服务分为连接机密性、无连接机密性、选择字段机密性和通信数据流机密性
(4)数据完整性服务
数据完整性服务可以细分为带恢复的连接完整性、不带恢复的连接完整性、选择字段的连接完整性、无连接完整性和选择字段无连接完整性
(5)抗抵赖服务
抗抵赖服务可以细分为有数据原发证明的抗抵赖和有交付证明的抗抵赖两类
OSI 安全体系结构的 8 种安全机制包括加密、数据签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公正等
8.3 知识子域:TCP/IP 协议安全
8.3.1 协议结构及安全问题
1.协议结构
TCP/IP 协议(Transmission Control Protocol/Internet Protocol)
TCP 传输控制协议
IP 网际协议
2.网络接口层安全
网络接口层也称为链路层或数据链路层
网络接口层主要有三个目的
(1)为 IP 模块发送和接收 IP 数据报
(2)为 ARP 模块发送 ARP 请求和接收 ARP 应答
(3)为 RARP 发送 RARP 请求和接收 RARP 应答
ARP 和 RARP 协议由于取法较好的认证机制,攻击者很容易利用这些协议进行欺骗和拒绝服务攻击,从而假冒主机入侵其他被信任的主机
3.互联网络层安全
也称网络层或网际层
网络层协议包括 IP 协议、ICMP 协议以及 IGMP 协议
攻击者利用 IP 协议的不足,可以实施 IP 欺骗、源路由欺骗及碎片攻击等多种不同类型的攻击
4.传输层安全
传输层有 TCP 和 UDP 两个不同的协议
TCP 协议提供可靠的、面向连接的数据通信服务
UDP 提供不可靠的、无连接的数据包通信服务
(1)TCP 协议
传输控制协议(Transmission Control Protocol,TCP)
(2)UDP 协议
用户数据报文协议(User Datagram Protocol,UDP)
由于 UDP 协议的高效,攻击者可利用 UDP 协议产生大量的数据用于实施拒绝服务攻击(UDP Flood)
5.应用层安全
安全性问题
-
身份认证简单
-
使用明文传输数据
-
缺乏数据完整性保护
8.3.2 安全解决方案
1.基于 TCP/IP 协议族的安全架构
(1)网络接口层
该层安全通信协议主要有 PPTP、L2TP 等
点对点隧道协议(Point to Point Tunneling Protocol,PPTP)基于 PPP 协议
密码身份验证协议(Password Authentication Protocol,PAP)
扩展身份验证协议(Extensible Authentication Protocol,EAP)
第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)基于 PPTP 和 L2F(Level 2 Forwarding protocol,二层转发协议)
(2)互连网络层
Internet 协议安全性(Internet Protocol Security,IPSec)是主要的互联网络层安全通信协议
它工作在 IP 层,提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护以及抗重放攻击等安全服务
认证头协议(Authentication Header,AH)为 IP 数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况。一旦建立安全连接,AH 尽可能为 IP 头和上层协议数据提供足够多的认证
封装安全载荷协议(Encapsulating Security Payload,ESP)加密需要保护的载荷数据,为这些数据提供机密性和完整性保护能力
ESP 协议和 AH 协议可以被独立使用,也可以相互结合使用
(3)传输层
传输层安全通信协议主要有 SSL 和 TLS 等协议
传输层的安全主要在端到端实现,可以提供基于进程到进程的安全通信
安全套接层(Secure Sockets Layer,SSL)
该安全协议主要提供的安全服务有:用户和服务器的合法性认证、加密被传输的数据、维护数据的完整性
安全传输层(Transport Layer Security,TLS)
(4)应用层
根据特定应用的安全需要及其特点而设计的安全协议,如电子邮件安全协议(Secure Multipurpose Internet Mail Extensions,S/MIME)、安全超文本传输协议(Secure Hypertext Transfer Protocol,S-HTTP)等
2.IPv6 协议
IPv6 最初是为解决 IPv4 网络地址数量有限而设计的
IPv6 采用 128 位地址长度来提供地址空间
IPv6 内置了安全性,增加了网络对加密和认证的支持
IPv6 内嵌了对 IPSec 的支持,通过访问控制、数据源的身份认证、数据完整性检查、机密性保证以及抗重播攻击等机制
8.4 知识子域:无线通信安全
8.4.1 蓝牙安全
蓝牙(Bluetooth)是一种全球通用的短距离无线传输技术
蓝牙被广泛用于在不同设备之间进行数据传输
容易受到拒绝服务攻击、窃听、中间人攻击、信息篡改及资源滥用等问题
1.保密性威胁
处于配对的便利等原因,部分设备使用固定的 PIN,攻击者可能获得两个蓝牙设备之间会话的密钥,使得攻击者可能获得会话中的敏感信息。攻击者也可能未经授权连接到蓝牙设备后从中获取数据或实施其他非法操作
2.完整性威胁
攻击者在两个蓝牙设备之间插入未授权设备实施的中间人攻击
3.非授权连接
攻击者通过未经授权的蓝牙连接将恶意数据推送到蓝牙设备中,或远程操作蓝牙设备
4.拒绝服务攻击
攻击者可能使用硬件地址欺骗及漏洞使得蓝牙设备不可用,这就是针对蓝牙设备的拒绝服务攻击
8.4.2 无线局域网安全
无线局域网(Wireless Local Area Networks,WLAN)是无线通信技术与网络技术相结合的产物
接入点(Access Point,AP)
在 MAC 使用 CSMA/CA 协议
802.11x 标准规定 WLAN 的最小构建是基本服务集(Basic Service Set,BSS)
一个 BSS 包括一个基站和若干个移动站
一个 BSS 所覆盖的地理范围叫做一个基本服务区(Basic Service Area,BSA)
1.无线局域网安全协议
(1)WEP(有线等效保密协议)
有线等效保密协议(Wired Equivalent Privacy,WEP)是无线局域网安全性保护协议
WEP 有两种认证方式,即开放式系统认证(Open System Authentication)和共享密钥认证(Share Key Authentication)
-
开方式认证即空认证
服务集标识符(Service Set Identifier,SSID)
伪造 SSID 是针对无线局域网用户的典型攻击方式
MAC 地址过滤
MAC 地址帧首部以明文形式传输,监听到合法用户的 MAC 地址后,通过改变其 MAC 地址获得资源访问权限
-
共享密钥认证需要 AP 和客户端(Station,STA,也称工作站)预先共享一个密钥
设计上存在缺陷,密钥很容易被破解
WEP 使用 RC4 加密算法
(2)WPA 与 WPA2
Wi-Fi 联盟在 802.11i 标准草案的基础上制定了 WPA(Wi-Fi Protected Access)标准
2004 年,IEEE 发布了 802.11i 正式标准(也成为 WPA2),在加密算法上采用了基于 AES 的 CCMP 算法
临时密钥完整性协议(Temporal Key Integrity Protocol,TKIP)
计数器模式及密码块链消息认证码协议(Counter Mode with CBC-MAC Protocol,CCMP)
TKIP 采用 RC4 作为加密算法
CCMP 是基于 AES 和 CCM(Counter-mode/CBC-MAC)模式的全新标准
(3)WAPI 安全协议
我国在 2003 年提出了 WLAN 国家标准,即无限鉴别和保密基础结构(WLAN Authentication and Privacy Infrastructure,WAPI)
WAPI 由无线局域网认证基础设施(WLAN Authentication Infrastructure,WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure,WPI)两部分组成
2.无线局域网安全防护
(1)将无线局域网安全管理纳入公司总体安全策略中
(2)应用安全技术保护无线局域网安全
8.4.3 RFID 安全
射频识别(Radio Frequency Identification,RFID)是一种应用广泛近场通信技术,通过无线电信号识别特定目标并读写相关数据
RFID 是一种简单的无线通信系统,由读写器和多个应答器构成,应答器也被称为智能标签或标签
1.针对标签的攻击
-
数据窃取
-
标签破解及复制
2.针对读写器的攻击
-
拒绝服务
-
恶意代码
3.针对无线通信的攻击
针对无线网络的攻击方式在 RFID 体系中也可以使用,包括干扰、嗅探等
4.FRID 安全防护
8.5 知识子域:典型网络攻击及防范
8.5.1 欺骗攻击
欺骗攻击是通过伪造数据从而获得不当优势的一类攻击方式
欺骗攻击是一类攻击类型的统称,常见的实现方式有 IP 欺骗(IP spoofing)、ARP 欺骗(ARP Spoofing)、DNS 欺骗(DNS Spoofing)以及 TCP 会话劫持(TCP Hijack)等
1.IP 欺骗
2.ARP 欺骗
地址解析协议(Address Resolution Protocol,ARP)
计算机系统无需收到 ARP 请求就可以发送 ARP 应答,而这个应答会被接收到的计算机系统进行处理
ARP 欺骗可实现中间人欺骗、拒绝服务等攻击
3.DNS 欺骗
域名系统(Domain Name System,DNS)
8.5.2 拒绝服务攻击
拒绝服务(Denial of Service,DoS)
拒绝服务攻击的实现方式非常多,包括 SYN Flood、UDP Flood、TearDrop、ARP Flood、Smurf、Land 等
1.SYN Flood
2.UDP Flood
3.泪滴攻击(TearDrop)
泪滴攻击也被称为分片攻击或碎片攻击
4.分布式拒绝服务攻击
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)
8.6 知识子域:网络安全防护技术
8.6.1 边界防护
1.防火墙
防火墙用在两个不同安全要求的安全域之间,根据定义的访问控制策略,检查并控制这两个安全域之间所有流量
控制、隔离、记录
(1)防火墙的主要技术
-
静态包过滤
丢弃、通过、转发
无法实现对应用层信息过滤处理
-
应用代理
-
状态检测
也称动态包过滤
(2)防火墙部署
要考虑如何根据安全要求和实际环境部署及使用啊防火墙
-
单防火墙(无 DMZ)部署
-
单昂火枪(DMZ)部署
-
双防火墙部署
2.安全隔离与信息交换系统
安全隔离与信息交换系统也称为安全隔离网闸或简称网闸,是针对物理隔离情况下数据交换问题而发展出来的技术,现在也被用于高安全要求网络上的边界安全防护网闸采用专用硬件控制技术保证内外网之间没有物理连接,而防火墙一般存在逻辑链接
3.其他边界安全防护技术
IPS (Intrusion Prevention System,IPS)是集入侵检测和防火墙于一体的安全设备,部署在网络出口中,不但能检测入侵的发生,而且能针对攻击进行响应,实时地中止入侵行为的发生和发展。串联部署,影响性能
防病毒网关部署在网络出口处,对进出的数据进行分析,发现其中存在的恶意代码并进行拦截
统一威胁管理(Unified Threat Management,UTM)将防病毒、入侵检测防火墙等多种技术集成一体,形成标准的统一威胁管理平台。2002 年提出
USG 统一安全网关
8.6.2 检测与审计
1.入侵检测系统
入侵检测系统(Intrusion Detection System,IDS)
IDS 是一种主动的安全防护技术
IDS 的主要作用是发现并报告系统中未授权或违反安全策略行为,为网络安全策略的制定提供指导
(1)入侵检测分类
根据部署方式及数据来源,分为网络入侵检测和主机入侵检测
网络入侵检测在应用中以旁路方式接入,不会对网络的传输数据带来干扰
(2)入侵检测技术
-
误用检测
也成为特征检测,根据已知入侵攻击的信息来检测可能的入侵行为
误用:模式匹配
-
异常检测
根据系统或用户的非正常行为或者对于计算机资源的非正常使用来检测可能存在的入侵行为。异常检测需要建立一个系统的正常活动状态或用户正常行为模式的描述模型
异常:统计分析
(3)入侵检测系统部署
(4)入侵检测系统的局限性
2.安全审计系统
8.6.3 接入管理
1.虚拟专用网(VPN)
虚拟专用网(Virtual Private Network,VPN)
(1)关键技术
二层隧道协议
PPTP Point to Point Tunneling Protocol,PPTP 点到点隧道协议
L2TP Layer Two Tunneling Protocol,第二层隧道协议
三层隧道协议
IPSec
通用路由封装协议 General Routing Encapsulation,GRE
(2)应用领域
2.网络准入控制
网络准入控制(Network Access Control,NAC)