通信与网络安全作为CISSP认证八大知识域之一，在考试中占据13%的权重，主要考核网络安全技术与管理的综合应用能力，尤其聚焦金融等“高攻击风险”行业的网络防护体系构建。该知识域围绕“网络攻防”核心，要求从业者掌握从架构设计到攻击防护的全流程安全控制方法，是保障数据在传输过程中机密性、完整性和可用性的关键领域。

1、安全网络架构与模型基础

网络安全的技术实施依赖于对网络架构模型的深刻理解。CISSP考核重点涵盖OSI七层模型与TCP/IP四/五层模型的安全控制差异：在OSI模型中，网络层(第3层)通过防火墙实现数据包过滤、NAT转换等边界防护;传输层(第4层)依赖TCP三次握手机制与端口访问控制;应用层(第7层)则通过TLS/SSL协议加密HTTP、FTP等应用数据。而TCP/IP模型将OSI的会话层、表示层、应用层合并为应用层，需重点关注IP组网(如IPv4/IPv6安全特性)、VOIP网络信令加密(如SIP over TLS)及无线网络(802.11i/WPA3)的认证机制。

2、网络组件与通道安全

安全网络架构需覆盖硬件与软件组件的全生命周期防护。硬件层面包括路由器、交换机的固件安全加固、传输介质(光纤/同轴电缆)的抗干扰设计，以及网络访问控制设备(如NAC、防火墙)的策略优化。软件与服务层面则需关注内容分发网络(CDN)的边缘节点防护、目录服务(如Active Directory)的权限最小化配置，以及虚拟化网络(SDN/NFV)的控制器安全。

通信通道安全聚焦数据传输过程的保护，包括：

有线通道：通过STP(屏蔽双绞线)降低电磁泄露风险，采用链路聚合(LACP)提高冗余性;

无线通道：实施WPA3-Enterprise认证、无线入侵检测(WIDS)，禁用WEP/WPA等弱加密协议;

远程访问：部署IPSec/SSL VPN，强制双因素认证(2FA)，并通过隧道分离技术隔离办公与互联网流量。

3、网络攻击防护技术

针对金融行业面临的DDoS、APT等高级威胁，CISSP强调多层次防御体系：

入侵检测与防御：部署基于特征(NIDS)与异常(HIDS)的入侵检测系统，结合白名单机制限制未授权进程执行，通过灰名单动态隔离可疑IP;

DDoS防御：采用流量清洗(如黑洞路由)、速率限制(Rate Limiting)、CDN分流，以及基于机器学习的异常流量识别;

协议层攻击防护：防御IP碎片攻击(启用DF位)、SYN Flood(调整半连接队列)、ARP欺骗(静态绑定MAC)与会话劫持。

4、金融行业网络防护实践

金融机构作为“高攻击风险”目标，其网络防护需满足严格的合规与审计要求。以商业银行为例，其网络架构通常采用“纵深防御”策略：

边界安全：互联网出口部署下一代防火墙(NGFW)，开启应用识别与SSL解密，定期审计防火墙策略(如删除冗余规则、最小权限原则);

VPN配置规范：远程运维人员需通过企业VPN接入，采用证书认证(PKI)替代密码，日志留存至少6个月以满足《网络安全法》审计要求;

IDS审计机制：IDS告警需与SIEM平台联动，每日生成攻击趋势报告，重点关注针对核心业务系统(如支付网关、征信系统)的异常访问。

通过整合技术控制与管理流程，通信与网络安全知识域为金融机构构建了从“被动防御”到“主动防护”的安全能力体系，是CISSP认证中衡量从业者网络安全实践能力的核心标准。