【系统分析师】9.3 通信与网络安全技术

🔐 一、概述：网络空间的"战场法则"与"防御工事"

通信与网络安全技术是保障数据在网络传输过程中机密性、完整性、可用性（CIA三要素），以及通信双方身份真实性、行为不可否认性的技术总和。它是9.1"信息系统安全体系"在网络域的具体落地。

对于系统分析师而言，这一节的核心是建立"网络攻防映射观"：

· 协议即规则：TCP/IP是互联网的"交通法"，但设计之初并未内置安全基因。

· 攻击即对抗：攻击者利用协议漏洞实施窃听、欺骗、拒绝服务；防御者通过加密、认证、过滤进行反制。

· 边界到零信任：传统依赖物理边界（防火墙隔离）；现代架构要求纵深防御、微分段、持续验证。

一句话总纲：通信网络安全 = （识别网络协议风险 + 部署通道加密 + 实施边界访问控制 + 检测异常行为） 的闭环体系。

---

🛡️ 二、详细讲解：三横四纵的技术框架

本知识点按分层防御、通道安全、边界控制、攻击对抗四大模块展开。

1️⃣ 网络安全分层防御（OSI/TCP/IP视角）

不同层的协议有不同漏洞，防御手段也分层实施。

物理层：

· 典型攻击：电磁泄漏、线路搭接、光纤窃听

· 防御技术：屏蔽双绞线、光纤加密、电磁屏蔽、物理隔离

数据链路层：

· 典型攻击：ARP欺骗、MAC泛洪、MAC地址欺骗

· 防御技术：端口安全、MAC地址绑定、动态ARP检测、802.1X准入

网络层：

· 典型攻击：IP欺骗、Smurf攻击、ICMP重定向、IP碎片攻击

· 防御技术：包过滤防火墙、IPSec VPN、入口/出口过滤、反欺骗配置

传输层：

· 典型攻击：SYN Flood、会话劫持、端口扫描

· 防御技术：SYN Cookie、连接限制、TLS/SSL加密、状态检测防火墙

应用层：

· 典型攻击：SQL注入、XSS、CSRF、DNS劫持、弱口令

· 防御技术：Web应用防火墙、代码审计、HTTPS、多因素认证

软考考点：能识别"某攻击属于哪一层"并匹配合适防御手段。

2️⃣ 关键安全协议（通信通道的"防弹衣"）

这是系统分析师必须掌握的硬核知识点，需分清协议层次、作用、模式。

IPSec（网络层）：

· 功能：保护IP通信，提供加密、认证、完整性

· 核心组件：

· AH：认证头，提供源认证和完整性，不加密

· ESP：封装安全载荷，加密+认证

· SA：安全关联，定义参数

· 两种模式：

· 传输模式：只加密载荷（端到端）

· 隧道模式：加密整个IP包（VPN专用）

SSL/TLS（传输层与应用层之间）：

· 功能：保护Web、邮件等应用层数据，当前标准为TLS 1.2/1.3

· 核心机制：握手协议（协商密钥） + 记录协议（加密传输）

· 典型应用：HTTPS

SSH（应用层）：

· 功能：加密远程登录和文件传输，替代明文Telnet

· 版本：SSH-2安全，禁用SSH-1

VPN技术：

· IPSec VPN：常用于站点到站点

· SSL VPN：常用于远程接入（浏览器即可）

· GRE/L2TP：隧道封装协议

3️⃣ 网络边界与访问控制（第一道防线）

防火墙是边界防护的经典设备，已从包过滤演进为下一代防火墙。

防火墙技术演进：

1. 包过滤防火墙：基于ACL检查IP/端口（静态）

2. 状态检测防火墙：维护会话表，识别连接状态

3. 应用代理防火墙：代理应用流量，安全高但性能低

4. NGFW：融合应用识别、IPS、SSL解密、威胁情报

NAT技术：不仅缓解IPv4地址枯竭，也起到拓扑隐藏的安全效果。

· 静态NAT：1对1固定映射

· 动态PAT：多对1端口复用（家用路由器）

· NAT ALG：处理多通道协议（如FTP、SIP）

网络隔离：

· 物理隔离：网闸、光纤断开

· 逻辑隔离：VLAN、防火墙策略

· 微分段：软件定义网络下的细粒度隔离，实现零信任愿景

4️⃣ 网络攻击与防御实战（威胁对抗）

DDoS攻击：通过僵尸网络耗尽目标资源。

· 防御：流量清洗、黑洞路由、CDN分流、速率限制

中间人攻击：攻击者拦截并篡改通信。

· 防御：加密（TLS）、证书验证、强认证

扫描与探测：端口扫描、漏洞探测。

· 防御：入侵检测系统、防火墙扫描防护策略

金融行业纵深防御实践：下一代防火墙 + SSL解密 + 双因素VPN + SIEM日志审计，满足等保合规。

5️⃣ 新兴架构安全（考试前沿）

SDN安全：控制器集中管控，但也成为新攻击目标。

无线安全：禁用WEP，使用WPA3-Enterprise、802.1X认证。

---

📌 三、总结与速记方法

✅ 核心重点

1. 分层防御是骨架：必须记住物理-链路-网络-传输-应用各层的典型攻击与对应设备/协议。

2. IPSec是必考点：AH vs ESP、传输 vs 隧道、IKE密钥交换，极易混淆，必须辨析清楚。

3. 防火墙不是万能药：包过滤→状态检测→NGFW→微分段，反映边界防护理念的演进。

4. 加密协议三剑客：IPSec（网络层）、TLS（传输层之上）、SSH（应用层），各司其职。

5. 攻击套路要背熟：SYN Flood、ARP欺骗、DDoS、MITM是案例分析高频场景，需说出防御措施。

⚡ 速记口诀与脑图

1️⃣ 分层攻防口诀

物链网传应，攻防一一应：

· 物：窃听→屏蔽/加密

· 链：ARP→绑定/DAI

· 网：IP欺骗→IPSec/过滤

· 传：SYN→Cookie/代理

· 应：SQL注入→WAF/消毒

2️⃣ IPSec"三二二"口诀

· 三组件：AH（认证）、ESP（加密）、SA（参数）

· 二模式：传输（仅载荷）、隧道（整包）

· 二协议：IKE（自动协商）、手工（静态配置）

3️⃣ VPN应用速判

· 点到点：IPSec隧道模式

· 远程接入：SSL VPN（无客户端）

· 跨公网二层桥接：L2TP/GRE

4️⃣ 防火墙演进"三代"

一代看包，二代看流，三代看应用+智能

5️⃣ 防御思维一句话

进不来（访问控制）、拿不走（加密）、看不懂（加密）、改不了（完整性）、赖不掉（审计）

---

掌握9.3通信与网络安全技术，你将能从协议底层识别系统通信风险，在设计阶段就将加密、认证、访问控制融入网络拓扑，这是系统分析师构建高安全等级系统的核心差异化能力。