CISSP04-通信与网络安全

在2018年4月公布的CISSP考试大纲中，【资产安全】的平均权重为15%。其中使用的AIO为第7版,OSG为第8版。

内容概述

通信和网络安全知识域涵盖了通信和网络架构相关的安全设计原则和机制。该知识域内容包括：网络架构相关知识（包括网络拓扑、IP寻址、网络分段、交换和路由、无线网络、OSI和TCP模型以及TCP/IP协议族、网络分层、网络汇聚等）以及如何将安全机制应用于其中；网络组件的安全以及如何保障通信的安全；网络中常见的威胁和相关防御方法。

通信和网络安全知识域在CISSP CBK中包括（源自于：CBK5）：

一、在网络架构中应用安全设计原则

了解OSI模型层以及每个层中对应的协议。OSI模型一七层中每层支持的协议如下：

应用层：HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP3、IMAP、SNMP、NNTP、S-RPC和SET。

表示层：加密协议和格式类型，如ASCII、EBCDICM、TIFF、JPEG、MPEG和MIDI。

会话层：NFS, SQL和RPC。

传输层：SPX、SSL、TLS、TCP和UDP。

网络层：ICMP、RIP、OSPF、BGP、IGMP、IP、IPsec、IPX、NAT、SKIP。

数据链路层：SLIP、PPP、ARP、L2F、L2TP、PPTP、FDDI、ISDN。

物理层：EIA/TIA-232、EIA/TIA-449、X.21、HSSI、SONET、V.24和V.35。

熟悉TCP/IP。了解TCP和UDP之间的区别：熟悉四个TCP/IP层(应用层、传输层、互联网层和链路层)以及它们与OSI模型的对应关系。此外，了解众所周知的端口的用途并熟悉子协议。

二、网络组件安全

了解不同的布线类型及其有效距离和最大吞吐率。这包括STP、10BaseT(UTP)、10Base2(细网)、10Basc5(粗网)、100BaseT, 1000BaseT和光纤。你还应该熟悉UTP 1到7的类别。

熟悉常见的LAN技术。最常见的LAN技术是以太网。熟悉模拟与数字通信；同步与异步通信；基带与宽带通信；广播、多播和单播通信；CSMA、CSMA/CA和CSMA/CD；令牌传递和轮询。

了解安全的网络架构和设计。网络安全应考虑IP和非IP协议、网络访问控制、使用安全服务和设备、管理多层协议以及实现端点安全性。

了解网络分段的各种类型和目的。网络分段可用于管理流量、提高性能和实现安全性。网段或子网的示例包括内联网、外联网和非军事区(DMZ)。

了解不同的无线技术。手机、蓝牙（802.15）和无线网络（802.11）都称为无线技术。注意它们的差异、优点和缺点。了解保护802.11网络的基础知识。

了解光纤通道。光纤通道是一种网络数据存储解决方案(即SAN或NAS)，支持高速文件传输。

了解FCoE。FCoE用于封装以太网上的光纤通信通道。

了解iSCSI。iSCSI是一种基于IP的网络存储标准。

了解802.11和802.11a、b、g、n和ac。802.11是用于无线网络通信的IEEE标准。版本包括802.11(2Mbps)、802.11a(54Mbps)、802.11b(11Mbps)、802.11g(54Mbps)、802.11n(600Mbps)和802.11ac(1.3+Mbps)。该802.11标准还定义了WEP。

了解站点调查。站点调查是调查环境中部署的无线接入点的存在、强度和范围的过程。此任务通常涉及使用便携式无线设备走动，记录无线信号强度，并将其绘制到建筑物的图纸上。

了解WPA2。WPA2是一种新的加密方案，称为计数器模式密码块链接消息身份验证码协议(CCMP)的计数器模式，它基于AES加密方案。

了解EAP。EAP不是特定的身份验证机制；相反，它是一个身份验证框架。实际上，EAP允许新的身份验证技术与现有的无线或点对点连接技术兼容。

了解PEAP。PEAP将EAP方法封装在提供身份验证和加密的TLS隧道中。

了解LEAP。LEAP是针对WPA的TKIP的思科专有替代方案。这是为了在802.11i/WPA2系统被批准为标准之前消除TKIP的缺陷。

了解MAC过滤。MAC过滤器是授权无线客户端接口MAC地址的列表，无线接入点使用该MAC地址来阻止对所有未授权设备的访问。

了解SSID广播。无线网络传统上在称为信标帧的特殊分组内定期宣告其SSID。广播SSID时，任何具有自动检测和连接功能的设备不仅可看到网络，还可启动与网络的连接。

了解TKIP。TKIP被设计为WEP的替代品，不需要替换传统的无线硬件。TKIP以WPA（Wi-Fi保护访问）的名称实施到802.11无线网络中。

了解CCMP。创建CCMP以替换WEP和TKIP/WPA。CCMP使用带有128位密钥的AES(高级加密标准)。

了解强制网络门户。强制网络门户是一种身份验证技术，可将新连接的无线Web客户端重定向到门户网站访问控制页面。

了解天线类型。各种天线类型可用于无线客户端和基站。这些包括全向极天线以及许多定向天线，例如八木天线、平板天线和抛物线天线。

了解标准网络拓扑。包括环形、总线、星形和网状。

了解常见的网络设备。包括防火墙、路由器、集线器、网桥、调制解调器、中继器、交换机、网关和代理。

了解不同类型的防火墙。防火墙有几种类型：静态数据包过滤、应用级网关、电路级网关、状态检查、深度数据包检测和下一代防火墙。

了解用于连接LAN和WAN通信技术的协议。包括帧中继、SMDS. X.25. ATM. HSSI、SDLC、HDLC和ISDN。

三、根据设计实施通信信道安全

理解远程访问安全管理的有关问题。远程访问安全管理，要求安全系统设计者需按照安全策略、工作任务及加密的要求，来选择硬件与软件组件。

熟悉LAN及WAN中使用的各种数据通信协议和技术。主要包括SKIP、SWIPE、SSL、SET、PPP、SLIP、CHAP、PAP、EAP、S-RPC，此外还有VPN、TLS/SSL和VLAN。

了解什么是隧道。隧道就是用第二种协议封装另一种传输协议的消息。第二种协议经常利用加密来保护消息内容。

理解VPN。VPN基于加密隧道。能提供具备身份验证及数据保护功能的点对点连接。常见的VPN协议有PPTP、L2F、L2TP及IPsec。

能够解释什么是NAT。NAT为私有网络提供寻址方案，允许使用私有IP地址，并支持多个内部用户，通过较少的公网IP地址来访问互联网。很多安全边界设备都支持NAT，如防火墙、路由器、网关及代理服务器。

理解分组交换与电路交换之间的差异。在电路交换中，通信双方之间建立专用的物理路径。分组交换中，消息或通信内容要分成很多小段，然后通过中间网络传送到目的端。分组交换系统有两种通信路径或虚电路：永久虚电路(PVC)及交换式虚电路((SVC)。

理解专线与非专用线路之间的差异。专线是一直连通、保留给特定用户使用的线路。专线的例子包括T1、T3、E1、E3及有线调制解调器。非专用线路需要在数据传输前建立连接。使用相同类型非专用线路的远程系统间能够建立连接。标准的调制解调器，DSL、ISDN都是非专用线路的例子。

了解与远程访问安全相关的各种问题。熟悉远程访问、拨号连接、屏幕捕捉、虚拟应用/桌面及普通远程办公的安全重点。

了解各种类型的WAN技术。了解大多数WAN技术需要一个通道服务单元数据服务单元(CSU/DSU)，有时也称为WAN开关。WAN连接技术种类很多，如X.25帧中继、ATM、SMDS、SDH及SONET。有些WAN连接技术要求附加一些专用协议，以支持各种类型的专业系统及设备。

理解PPP及SLIP之间的差异。点对点协议(PPP)是一种封装协议，支持在拨号或点对点线路上传输IP流量。PPP包含范围广泛的通信服务，例如，IP地址的分配及管理、同步通信的管理、标准化封装、多路复用、链路配置、链路质量测试、错误检测以及功能与选项协商（如是否使用压缩)。PPP最初支持CHAP、PAP身份验证。现在版本的PPP也支持MS-CHAP、EAP、SPAP。PPP取代了SLIP。SLIP不提供身份验证，只支持半双工通信，没有错误检测功能，需要手工完成链路的建立与拆解。

理解安全控制的共同特征。安全控制对用户应该是透明的(不可见)。Hash值与CRC校验能够用于验证消息的完整性。记录序列号用于确保传输的顺序完整。传输日志有助于检测通信滥用。

理解邮件安全的工作原理。互联网邮件基于SMTP、POPS及IMAP协议。存在固有的不安全性。为使邮件变得安全，需要在安全策略中加入一些安全手段。解决邮件安全的技术包括：S/MIME、MOSS、PEM或PGP。

了解传真安全的工作机理。传真安全主要使用加密传输，或加密通信线路来保护传真内容的安全。主要目的是防拦截。活动日志及异常报告能够检测出传真过程的异常，这可能反映有攻击行为发生。

了解与PBX系统有关的威胁以及针对PBX欺骗的应对措施。针对PBX欺骗与破坏的防范措施与保护计算机网络的方法相同：逻辑、技术控制、管理控制及物理控制。

理解与VoIP有关的安全问题。VoIP面临的安全风险包括：改号欺诈、语音钓鱼、SPIT、拨号管理软件/固件攻击、电话硬件攻击、DoS、MitM、欺诈及交换机跳跃攻击。

理解飞客攻击的内容。飞客攻击(Phreaking)是一种特定类型的攻击，此类攻击使用各种技术，绕过电话系统的计费功能，以便能免费拨打长途电话；或更改电话服务的功能；或盗用专业化服务；或直接导致服务崩溃。常见的飞客工具包括：黑盒、红盒、蓝盒、白盒。

理解语音通信安全。语音通信易受多种攻击的威胁，尤其随着语音通信成为网络服务的一个重要部分。使用加密通信能够提高保密性。需要采取一些技术手段来防止拦截、窃听、tapping以及其他类型的攻击。熟悉与语音通信相关的主题，如POTS、PSTN、PBX及VoIP。

能够解释什么是社会工程。社会工程是一种手段。攻击者通过让雇员相信自己与高级管理层、技术支持或前台有联系，来获取组织内部人员的信任。然后怂恿受害者更改系统的个人账号，如重置密码.攻击者可借此获得对网络的访问权。针对此类攻击，最好的防护手段就是加强培训。

解释安全边界的概念。安全边界是不同安全区间的分界线。也是安全区与非安全区间的分界线。这两点在安全策略中要进行明确。

理解各种类型的网络攻击以及与通信安全有关的应对措施。通信系统易受多种攻击的威胁，这些攻击包括分布式拒绝服务(DDoS)、窃听、假冒、重放、修改、欺骗、ARP攻击与DNS攻击。要能针对V种攻击提出有效的应对措施。

• 防火墙 OSG P348 第一代 静态数据包过滤防火墙 第二代 应用级网关防火墙 第二代 电路级网关防火墙 第三代 状态检查防火墙(动态数据包防火墙) 深度数据包检测防火墙-深度数据包检测(DPI)是一种过滤机制,通常在应用程序层运行,以便过滤通信的有效内容.