CISSP错题知识点整理
我超怕的-CISSP错题知识点整理-https://www.cnblogs.com/iAmSoScArEd/p/18576720
考试已经通过了,停止更新,感谢。
1. RADIUS (Remote Authentication Dial-In User Service)
功能
- 主要功能: 集中式身份认证、授权和计费(AAA)服务。
- 使用场景: 无线网络认证、VPN连接、拨号接入、路由器/交换机的集中认证管理。
工作原理
- 用户请求: 用户通过客户端设备发送凭据(如用户名和密码)。
- 传输: 客户端设备将凭据打包成RADIUS协议格式,通过UDP发送到RADIUS服务器。
- 认证与授权:
- RADIUS服务器验证凭据是否合法。
- 根据用户权限返回相应的授权信息(如可访问的资源或带宽限制)。
- 计费: 如果启用计费,服务器还会记录用户连接时间和资源使用量。
安全特性
- 默认使用共享密钥加密用户凭据,但密钥共享方式较为脆弱。
- 无端到端加密,推荐结合IPSec/TLS。
优缺点
| 优点 | 缺点 |
|---|---|
| 可管理大量设备的集中式认证 | 使用UDP,传输可靠性较低 |
| 支持多种协议(如PPP、802.1X) | 无法分离认证和授权信息 |
| 适合无线网络和VPN场景 | 敏感数据加密较弱,需结合外部加密协议 |
2. Diameter
功能
- 主要功能: 作为RADIUS的增强版本,提供更高的安全性、扩展性和可靠性。
- 使用场景: 复杂的移动网络(如4G/5G通信)、VoIP、下一代VPN解决方案。
工作原理
- 基于消息交换的通信模型:
- Diameter使用请求/响应对话,所有消息均携带会话上下文。
- 动态扩展:
- 支持动态添加属性值对(AVP),以适应多样化的业务需求。
- 增强安全性:
- 强制使用TCP或SCTP传输,并支持TLS/IPSec保护通信。
安全特性
- 传输层加密: 提供对通信数据的端到端加密。
- 消息完整性检查: 确保消息未被篡改。
- 避免重放攻击: 使用唯一的会话标识符和时间戳。
优缺点
| 优点 | 缺点 |
|---|---|
| 更强的安全性和可靠性 | 较高的复杂性和实现成本 |
| 支持更多协议(如SIP、IMS) | 不向后兼容RADIUS |
| 适合现代移动通信场景 | 初始配置和部署较复杂 |
3. TACACS+ (Terminal Access Controller Access Control System Plus)
功能
- 主要功能: 分离式AAA服务,专为访问网络设备的控制设计。
- 使用场景: 企业网络中对设备访问权限的精细化管理(如路由器、交换机)。
工作原理
- 认证: 用户凭据发送到TACACS+服务器,通过TCP传输。
- 授权:
- 服务器返回特定用户对设备操作的权限(如读写/只读)。
- 审计:
- 记录用户执行的所有命令及其结果,便于日后分析。
安全特性
- 基于TCP: 提高传输可靠性。
- 分离功能模块: 认证、授权和审计分开处理,增强灵活性。
- 加密: 支持对整个会话加密,而不仅限于凭据。
优缺点
| 优点 | 缺点 |
|---|---|
| 高度灵活性,适合复杂授权场景 | 较低的兼容性,依赖Cisco设备 |
| 传输可靠性高,数据加密全面 | 初始配置和维护复杂 |
| 支持详细的命令审计 | 实现成本较高 |
对比总结
| 特性 | RADIUS | Diameter | TACACS+ |
|---|---|---|---|
| 传输协议 | UDP | TCP/SCTP | TCP |
| 安全性 | 基本加密(共享密钥) | 强加密(TLS/IPSec) | 整体加密(TCP加密会话) |
| 灵活性 | 较低 | 高 | 高 |
| 主要场景 | 无线网络、简单VPN | 移动网络、VoIP | 网络设备访问控制 |
| 优势特点 | 简单易用 | 扩展性强,适用现代通信场景 | 授权与审计功能强,支持精细管理 |
应考要点
-
协议功能与适用场景:
- 牢记RADIUS适合无线接入、Diameter适合现代移动通信,TACACS+适合网络设备管理。
-
安全特性与弱点:
- 熟悉RADIUS的弱点(UDP传输、加密不足),理解Diameter和TACACS+的增强点。
-
考试高频点:
- RADIUS默认使用UDP,端口1812/1813。
- Diameter是RADIUS的增强版本,具有更高的扩展性和安全性。
- TACACS+通过分离AAA功能实现细粒度授权控制。
DNSSEC (Domain Name System Security Extensions)
- 功能: 通过数字签名验证DNS响应的完整性和真实性,防止DNS欺骗(如缓存中毒)。
- 关键组件:
- 签名记录: 提供域名的公钥(
DNSKEY记录)。 - 验证链: 通过递归查询逐级验证签名。
- 签名记录: 提供域名的公钥(
- 局限性: 不提供加密,只验证完整性;依赖PKI基础设施。
XACML、SPML、SAML
以下是对 XACML、SPML 和 SAML 的深入解析,包括其定义、功能、工作原理、优缺点、以及适用场景等内容,帮助您全面理解并掌握这三个协议。
1. XACML (eXtensible Access Control Markup Language)
定义
XACML 是一种基于 XML 的访问控制语言,用于定义和评估访问控制策略。
功能
- 提供细粒度的访问控制:能根据上下文(用户身份、资源属性、环境条件等)决定权限。
- 集中化访问控制:将访问控制策略从应用程序中分离出来,统一管理。
- 标准化:使不同系统之间能共享和执行相同的访问控制策略。
工作原理
- 请求/响应模型:
- 用户向资源请求访问,XACML 请求由 PEP (Policy Enforcement Point) 收到。
- PEP 将请求转发给 PDP (Policy Decision Point),由 PDP 根据策略决定是否允许访问。
- 策略评估:
- 策略用 XACML 编写,包含规则(rules)、策略集(policies)和组合算法(combining algorithms)。
- 决策返回:
- PDP 返回“允许”、“拒绝”或条件性许可结果。
优缺点
| 优点 | 缺点 |
|---|---|
| 灵活的细粒度控制 | 配置和管理复杂 |
| 支持动态决策(基于上下文) | 性能可能受到复杂策略的影响 |
| 基于标准,易于与其他系统集成 | 学习曲线陡峭,开发成本较高 |
应用场景
- 企业级访问控制(如按部门、地理位置动态调整权限)。
- 多租户环境下的权限管理。
2. SPML (Service Provisioning Markup Language)
定义
SPML 是一种基于 XML 的标准,用于管理和分发用户帐户、访问权限等“资源供应”操作。
功能
- 自动化用户账户管理:在多个系统中同步创建、更新和删除用户账户。
- 跨平台的资源管理:使不同供应商的系统能通过标准化接口进行账户管理。
- 标准化供应流程:简化企业内部权限分配与用户生命周期管理。
工作原理
- 请求/响应模型:
- 用户通过 SPML 请求账户创建或权限分配。
- 服务端解析请求并完成操作(如创建账户或分配资源)。
- 组件角色:
- Requesting Authority (RA):发起资源管理请求的实体。
- Provisioning Service Point (PSP):处理请求并与目标系统交互的服务。
- Target:实际执行资源管理任务的系统。
优缺点
| 优点 | 缺点 |
|---|---|
| 提高企业内用户管理的自动化和效率 | 依赖于复杂的系统集成 |
| 标准化接口减少供应商锁定 | 普及率较低,支持厂商有限 |
| 支持用户生命周期管理 | 不适用于实时访问控制 |
应用场景
- 跨多个系统的用户账号和权限管理。
- 云计算环境下的自动化用户配置。
3. SAML (Security Assertion Markup Language)
定义
SAML 是一种基于 XML 的开放标准,用于在独立组织间交换认证和授权信息。
功能
- 单点登录 (SSO):允许用户在一次登录后访问多个独立的系统。
- 安全的身份信息共享:提供认证、授权和属性断言。
- 跨平台互操作性:支持多种应用程序之间的身份数据交换。
工作原理
- 三方模型:
- 用户代理 (User Agent):用户通过浏览器或应用发起请求。
- 身份提供者 (Identity Provider, IdP):负责认证用户并生成 SAML 断言。
- 服务提供者 (Service Provider, SP):验证 SAML 断言并授予用户访问权限。
- 认证过程:
- 用户向服务提供者发起请求。
- 服务提供者将用户重定向到身份提供者进行认证。
- 身份提供者生成 SAML 断言并返回给服务提供者。
- 服务提供者根据断言内容授予访问权限。
优缺点
| 优点 | 缺点 |
|---|---|
| 提供强大的 SSO 能力 | 实现复杂性较高,调试较困难 |
| 跨平台标准化互操作性 | 基于 XML,处理开销较大 |
| 安全传递认证和授权信息 | 依赖身份提供者的可靠性 |
应用场景
- 跨组织 SSO(如 Google Workspace 与其他 SaaS 应用的整合)。
- 企业内部多系统统一认证管理。
对比总结
| 特性 | XACML | SPML | SAML |
|---|---|---|---|
| 主要目标 | 实现动态、细粒度的访问控制 | 用户资源和权限的生命周期管理 | 身份和授权信息的跨系统共享 |
| 数据传输方式 | 通过策略评估返回允许/拒绝结果 | 通过 XML 传递资源配置命令 | 通过 SAML 断言传递认证/授权信息 |
| 主要组件 | PEP, PDP | RA, PSP, Target | User Agent, IdP, SP |
| 安全特性 | 动态访问控制、集中管理 | 集中式用户账户管理 | 安全的 SSO 和跨组织认证 |
| 适用场景 | 企业权限控制、动态资源访问 | 用户账户和资源管理的自动化 | 跨组织的身份管理和单点登录 |
应考要点
-
功能与适用场景:
- XACML 用于细粒度访问控制,特别是动态权限场景。
- SPML 适合自动化用户账户管理,特别是在多系统环境中。
- SAML 是 SSO 的核心协议,用于认证信息的跨系统传递。
-
关键术语与技术点:
- XACML: 熟悉 PEP(策略执行点)和 PDP(策略决策点)的分工。
- SPML: 牢记 RA(请求方)、PSP(服务点)和 Target(目标系统)的关系。
- SAML: 理解 SAML 断言的三种类型(认证断言、授权断言、属性断言)。
-
考试易混点:
- XACML 注重动态决策,SAML 注重身份数据的传递。
- SPML 适用于用户生命周期管理,而非实时访问控制。
SASL (Simple Authentication and Security Layer)
- 功能: 提供灵活的认证机制给网络协议(如SMTP、IMAP)。
- 工作模式: 协议无关,可结合Kerberos、OAuth等方案。
移动IP
- 用途: 为移动设备提供持续的IP连接。
- 核心组件:
- Home Agent (HA): 跟踪设备的“家庭地址”。
- Foreign Agent (FA): 管理设备临时网络的访问。
- 安全弱点: 三角路由可能导致延迟和安全风险。
IPSec
- 功能: 提供加密和验证,保护IP通信。
- 两种模式:
- 传输模式: 仅加密数据部分(适合端到端通信)。
- 隧道模式: 加密整个IP包(适合VPN)。
- 核心协议: AH(认证头):身份验证、机密性、ESP(封装安全负载):身份验证、机密性、完整性、IKE(密钥交换):基于DH。
各加密协议与层级
| 协议 | 适用层级 | 功能 |
|---|---|---|
| IPSec | 网络层 (L3) | 安全IP通信 |
| PPTP | 数据链路层 (L2) | 基础VPN协议,但安全性较弱 |
| SSL/TLS | 会话层 (L5) | Web加密通信 |
| L2TP | 数据链路层 (L2) | 提供VPN隧道功能 |
ISO 27000系列
- ISO 27001: 信息安全管理体系规范。
- ISO 27002: 安全控制实施指南。
- ISO 27005: 风险管理标准,支持安全决策。
企业架构框架
企业架构框架(Enterprise Architecture Framework, EAF)是现代企业信息化建设和管理的重要工具,旨在帮助企业有效地设计、实施和优化业务与技术的协调运作。以下是对企业架构框架的详细解析,包括其定义、主要组成部分、常见框架模型及其应用场景。
企业架构框架定义
企业架构框架是用于构建和管理企业架构的一组方法论、工具和模型。
它提供了一种系统化的方式,将企业的战略目标、业务流程和信息技术结合起来,确保业务和技术之间的协同。
主要目标
- 对齐业务与 IT:确保信息技术支持企业的战略目标。
- 提升效率:通过系统化设计减少资源浪费,优化业务和技术运作。
- 改进治理:提供透明的架构模型,支持风险控制和合规性管理。
- 支持变革:帮助企业适应外部环境的变化,实现灵活的架构演进。
企业架构框架的主要组成部分
-
架构域(Architecture Domains)
- 业务架构(Business Architecture):描述企业的业务战略、流程和组织。
- 数据架构(Data Architecture):定义数据存储、管理和共享方式。
- 应用架构(Application Architecture):涵盖应用系统及其相互关系。
- 技术架构(Technology Architecture):描述硬件、网络和技术平台。
-
架构工件(Artifacts)
- 视图(Views):以特定角度呈现架构内容,如业务视图、数据视图等。
- 模型(Models):使用标准化符号和语言描述企业架构。
-
架构过程(Processes)
- 当前状态架构(As-Is Architecture):企业当前的运作模式。
- 目标状态架构(To-Be Architecture):企业希望达到的未来模式。
- 过渡规划(Transition Plan):从当前状态到目标状态的实施路径。
-
架构治理(Governance)
- 包括政策、标准、指导原则,确保架构设计和实施符合企业战略。
常见企业架构框架解析
1. TOGAF (The Open Group Architecture Framework)
特点
- 面向服务的架构(Service-Oriented Architecture, SOA)。
- 强调架构开发方法(Architecture Development Method, ADM)。
- 提供详细的文档模板和过程指导。
核心组成
- ADM:一个迭代的过程模型,用于开发企业架构。
- 架构内容框架(Architecture Content Framework):定义架构交付成果和工件。
- 企业连续体(Enterprise Continuum):提供参考模型库。
优点
- 被广泛采用,拥有丰富的工具和文档支持。
- 可扩展性强,适合大规模企业。
适用场景
- 需要对复杂业务和技术环境进行全面规划的企业。
2. Zachman Framework
特点
- 强调架构的分类和组织。
- 将企业架构分为六种视角(Who, What, Where, When, Why, How)和六种抽象层次(Scope, Business Model, System Model, Technology Model, Components, Functioning Enterprise)。
优点
- 结构化清晰,易于理解。
- 强调完整性和一致性。
缺点
- 缺乏过程指导,不提供实施方法。
适用场景
- 需要全面梳理架构视图,特别是数据密集型的企业。
3. DoDAF (Department of Defense Architecture Framework)
特点
- 面向美国国防领域设计,支持复杂系统的规划和管理。
- 强调标准化和兼容性。
架构视图
- 作战视图(Operational View, OV):描述作战任务和活动。
- 系统视图(System View, SV):描述系统及其接口。
- 技术视图(Technical View, TV):定义技术标准和指南。
适用场景
- 涉及国防、政府或高度复杂系统的企业。
4. SABSA (Sherwood Applied Business Security Architecture)
特点
- 以安全为核心的企业架构框架。
- 强调从业务需求驱动安全设计。
六个层次
- 业务需求、概念架构、逻辑架构、物理架构、组件架构和操作架构。
适用场景
- 强调信息安全的金融、医疗、政府机构等领域。
企业架构框架的应用场景
- 数字化转型
- 帮助企业设计支持战略目标的信息技术架构。
- 业务流程优化
- 梳理当前业务流程,并通过架构设计优化效率。
- 合规与风险管理
- 使用框架工具确保 IT 系统符合行业标准和法规要求。
- 系统整合与互操作
- 统一规划异构系统的整合,提升协同效能。
企业架构框架在 CISSP 考试中的重点
1. 框架之间的对比
- TOGAF 提供过程指导,适用于复杂环境;Zachman 强调视图和分类,便于理解;SABSA 关注安全;DoDAF 适合国防领域。
- 考试时通常会问框架的特点、组成部分或适用场景。
2. 企业架构与信息安全的关系
- 了解企业架构中信息安全如何贯穿业务、数据、应用和技术架构。
- 知道安全架构框架(如 SABSA)如何在企业架构中应用。
3. 治理与管理
- 企业架构框架在 IT 治理中的作用,包括资源优化和战略对齐。
总结
| 框架 | 核心特性 | 适用场景 |
|---|---|---|
| TOGAF | 标准化流程(ADM),面向服务 | 大型企业,复杂业务和技术整合 |
| Zachman | 分类和视图清晰 | 数据密集型,系统梳理 |
| DoDAF | 标准化,国防领域专用 | 政府、国防或高度复杂系统 |
| SABSA | 强调安全,业务需求驱动 | 金融、医疗、注重安全的企业 |
企业架构框架不仅是设计和管理企业 IT 系统的工具,还能提升业务与 IT 的融合度,优化企业运营效率。在 CISSP 中,应掌握各框架的特点、适用场景,以及如何将安全策略融入企业架构中。
COBIT (Control Objectives for Information and Related Technology)
COBIT (Control Objectives for Information and Related Technology) 是由 ISACA(Information Systems Audit and Control Association) 开发的框架,专注于信息技术治理(IT Governance)和管理。它帮助企业通过信息技术实现业务目标,同时确保合规性和风险管理。以下是对 COBIT 的详细解析以及与其他相关框架的对比。
一、COBIT 的核心概念
1. 定义
COBIT 是一个全面的框架,旨在平衡企业在 业务目标、IT 成本效益、IT 风险和合规性 之间的需求。
2. 目标
- 实现 IT 和业务的对齐(Alignment)。
- 优化资源使用。
- 管理企业 IT 风险。
- 确保 IT 系统的合规性。
- 提高信息和技术的价值。
3. 核心组成
COBIT 的设计基于五个原则和七个支持使能者(Enablers):
-
五大原则:
- 满足利益相关者的需求。
- 覆盖企业的端到端。
- 应用单一的综合框架。
- 使能者的全面整合。
- 分离治理与管理。
-
七个使能者:
- 原则、政策和框架(Policies, Principles and Frameworks)。
- 流程(Processes)。
- 组织结构(Organizational Structures)。
- 信息(Information)。
- 服务、基础设施和应用(Services, Infrastructure and Applications)。
- 人员、技能和文化(People, Skills and Competencies)。
- 信息的伦理和行为。
二、COBIT 的版本演化
1. COBIT 5
- 强调 IT治理 和 IT管理 的分离。
- 提供了从 IT 价值链到流程的端到端整合。
- 引入了面向利益相关者需求的治理目标(Governance Objectives)。
2. COBIT 2019
- 通过更新整合最新的技术发展和业务需求。
- 更灵活地支持不同规模的企业。
- 焦点领域(Focus Areas):如云计算、安全性、敏捷开发等。
- 强调持续改进(Continuous Improvement)。
三、COBIT 的主要功能模块
-
治理目标(Governance Objectives)
以企业目标(Enterprise Goals)和利益相关者需求为驱动,定义了 40 个治理和管理目标(Governance and Management Objectives)。 -
治理和管理区分
- 治理(Governance):由董事会负责,包含评估、指导和监督(Evaluate, Direct, Monitor)。
- 管理(Management):由高管团队负责,涉及计划、构建、运行和监控(Plan, Build, Run, Monitor)。
-
绩效管理模型
引入了基于成熟度(Maturity)的能力模型,使用五级量化标准来评估流程能力。 -
流程参考模型
提供一个标准化的 IT 治理和管理流程框架,涵盖 40 个关键流程。
四、COBIT 与其他框架的对比
| 框架 | 目标与重点 | 适用领域 | 特点 |
|---|---|---|---|
| COBIT | IT治理与管理,优化IT价值 | 跨行业,适用于IT治理和合规 | 五原则、七使能者,平衡治理与管理 |
| ITIL (IT Infrastructure Library) | IT服务管理,专注于 IT 运维和服务交付 | IT服务管理(ITSM) | 实用性强,强调服务生命周期 |
| ISO 27001 | 信息安全管理系统(ISMS)的标准 | 信息安全管理 | 提供认证标准,适用于安全合规 |
| NIST CSF | 网络安全框架,专注于风险管理和网络安全 | 网络安全 | 包括五大功能:识别、保护、检测、响应、恢复 |
| TOGAF | 企业架构框架,专注于业务与技术整合 | 大型企业,复杂业务与技术整合 | 提供详细的架构开发方法,强调系统视图 |
| CMMI (Capability Maturity Model Integration) | 过程改进,专注于能力和过程成熟度的提升 | 软件开发、产品设计、项目管理 | 强调过程优化和成熟度评估 |
| PMBOK | 项目管理,提供项目生命周期和管理最佳实践 | 项目管理 | 广泛适用,标准化项目管理流程 |
五、COBIT 的典型应用场景
-
IT治理
- 为企业 IT 部门提供透明的治理和管理模型。
- 确保 IT 支持业务目标,例如提高客户满意度、增加收入。
-
风险管理
- 使用 COBIT 的治理目标和风险控制流程,识别和缓解 IT 风险。
- 特别适用于需要满足法规要求(如 GDPR、SOX)的企业。
-
合规性管理
- 帮助企业建立合规性审计流程,并通过 COBIT 定义的管理目标保持一致性。
- 特别适合金融、医疗等高度监管行业。
-
绩效改进
- 使用 COBIT 的成熟度评估工具优化 IT 运作流程。
- 提高资源利用率,减少冗余和浪费。
-
多框架整合
- 与 ITIL、ISO 27001 等结合,建立全面的 IT 和信息安全管理体系。
六、COBIT 在 CISSP 考试中的重点
-
治理与管理的区别
理解 COBIT 如何分离治理和管理,尤其是其流程的设计。 -
使能者模型
熟悉 COBIT 的七个使能者及其在信息技术治理中的作用。 -
风险与合规管理
重点掌握 COBIT 如何支持风险管理和合规性,尤其是法规要求。 -
对比框架的特点
能够区分 COBIT 与其他框架的核心差异,例如 ITIL 偏向服务管理,COBIT 强调治理与价值优化。
七、总结
| 框架 | 关键特性 | 适用场景 |
|---|---|---|
| COBIT | IT治理、资源优化、风险管理 | 需要统一治理和管理的企业,尤其是需要平衡 IT 价值和风险的企业 |
| ITIL | 服务管理生命周期,流程优化 | IT 服务部门的日常运维和支持 |
| CMMI | 过程改进和能力评估 | 需要优化软件开发或流程管理的企业 |
| NIST CSF | 网络安全与风险管理 | 高度依赖网络的企业,特别是需要网络安全框架的组织 |
| ISO 27001 | 信息安全管理认证 | 需要达到合规性要求并获得认证的企业 |
COBIT 的独特之处在于它的广泛适用性,无论是小型企业还是跨国公司都可以灵活应用。同时,与其他框架结合(如 ITIL 和 ISO 27001)可以实现更全面的 IT 和信息安全管理。
法律类型
| 类型 | 定义 |
|---|---|
| 普通法 | 基于判例法,由法官裁定案例后逐步形成。 |
| 习惯法 | 基于传统和习惯的法律体系。 |
| 民法 | 基于成文法,法律条文明确规定。 |
| 混合法 | 综合上述类型特点(如部分国家既用普通法又用民法)。 |
SOAP与SOA协议
- SOAP (Simple Object Access Protocol): 基于XML的消息协议,适合分布式服务通信。
- SOA (Service-Oriented Architecture): 定义服务之间如何协作的架构模式。
AI 分类与安全应用
- 分类:监督学习、非监督学习、强化学习。
- 应用:网络威胁检测、用户行为分析、自动化安全响应。
其他
-
平衡计分卡: 通过财务、客户、内部流程、学习与成长四个角度衡量企业绩效。
-
红队与BAS对比:
- 红队:提供模拟攻击,全面评估防御。
- BAS(Breach and Attack Simulation):自动化和连续测试。
特点 BAS 红队(Red Team) 优点 自动化、可重复性、覆盖全面 实战模拟、针对性强、发现隐藏风险 缺点 缺乏创造性、不适用于动态攻击环境 需耗费大量时间、成本较高
ACID(数据库事务属性)
ACID 是数据库事务的四个重要属性,确保数据一致性和可靠性:
- A(Atomicity,原子性):事务要么完全执行,要么完全不执行,不可分割。
- C(Consistency,一致性):事务完成后,数据库从一个一致状态转到另一个一致状态。
- I(Isolation,隔离性):多个事务并发执行时,相互之间不会干扰。
- D(Durability,持久性):事务一旦提交,结果永久保存,即使系统崩溃也不会丢失。
VXLAN(虚拟扩展局域网)
- 是一种网络虚拟化技术,扩展了传统 VLAN 的功能。
- 特点:
- 使用 24 位标识符支持高达 16,777,216 个 VLAN。
- 使用 UDP 在三层网络上创建二层隔离。
- 解决传统 VLAN 的可扩展性和性能瓶颈问题。
- 应用场景:数据中心、云计算网络中虚拟机迁移。
OCTAVE、FRAP、FMEA、故障树分析
- OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation):一种风险评估方法,侧重于业务影响分析和信息资产保护。
- FRAP(Facilitated Risk Analysis Process):轻量化风险评估方法,适合快速识别关键风险。
- FMEA(Failure Mode and Effects Analysis,失效模式与影响分析):用于系统或流程中可能故障的识别、分析及缓解措施的制定。
- 故障树分析(FTA):一种通过逻辑树形结构分析系统故障原因的技术,常用于高风险行业。
企业安全架构 & 企业架构框架
- 企业安全架构(ESA):企业内整合技术、流程和人员以保护关键资产。常用模型:
- SABSA(Sherwood Applied Business Security Architecture)。
- 企业架构框架(EA Framework):
- TOGAF:提供企业架构开发的详细指南。
- Zachman Framework:基于矩阵,定义不同利益相关者的视图。
- DoDAF(美国国防部架构框架):用于国防系统开发。
OECD(经济合作与发展组织)
- 目标:促进全球经济发展与国际合作。
- 在信息安全中贡献:制定跨国信息安全指南(如隐私保护、加密政策)。
CMMI(Capability Maturity Model Integration)
- 目的:帮助企业优化过程,提升软件开发和服务交付能力。
- 五个成熟度级别:
- 初始(Initial):无序状态。
- 可管理(Managed):有基本管理机制。
- 已定义(Defined):过程标准化。
- 量化管理(Quantitatively Managed):用数据衡量性能。
- 优化(Optimizing):持续改进。
ISRM(信息系统风险管理)
- ISRM 是识别、评估和缓解信息系统风险的过程。
- 关键阶段:
- 资产识别。
- 威胁评估。
- 漏洞分析。
- 风险响应与缓解。
E-Discovery(电子取证发现)
- 电子取证中的关键元素,用于法律诉讼时收集电子数据。
- 关键步骤:
- 信息保全(Preservation)。
- 数据收集(Collection)。
- 数据处理和分析(Processing and Analysis)。
HTML、SGML、GML
- HTML(超文本标记语言):用于 Web 内容的描述。
- SGML(标准通用标记语言):HTML 的基础,通用标记语言。
- GML(通用标记语言):SGML 的前身,用于信息文档结构化。
ASOR(Automatic Systematic Operational Risk)
- 一种风险评估方法,主要用于自动化系统中的操作风险分析。
User Profile(用户配置文件)
- 描述用户的权限、偏好和行为的文件或数据库记录。
- 应用于身份管理和访问控制。
强星属性
- 强星属性(Strong Star Property):适用于 强制访问控制模型(如 Bell-LaPadula)。用户可以写入和读取同级别数据,但不能跨越安全级别。
SDLC 不同阶段安全责任
- 安全责任分布:
- 需求分析阶段:定义安全需求。
- 设计阶段:设计安全架构。
- 开发阶段:实施安全编码。
- 测试阶段:进行漏洞扫描。
- 部署阶段:配置安全环境。
- 运维阶段:持续监控和补丁管理。
CCTV(闭路电视)技术参数
- 景深:镜头可以清晰聚焦的范围。
- 焦距:控制视野范围。
- 镜头开口:镜头的光圈大小,决定进光量。
- 孔径:与焦距成反比,较小孔径提供更大的景深。
也就是想要看的更广的范围即大景深:大焦距、小孔径
LLC 和 MAC(数据链路层)
- LLC(逻辑链路控制):负责流量控制和错误检测。
- MAC(介质访问控制):负责帧格式化和介质访问。
802.1 系列协议
- 802.1ae(MACSec):提供二层加密和完整性。
- 802.1ar:定义设备的唯一身份。
- 802.1af:用于密钥分发。
- 802.1X:基于端口的网络访问控制。
VLAN 跳跃
- 一种攻击技术,绕过 VLAN 隔离,通过伪造双标记帧或交换机漏洞实现。
瓦森纳安排
- 国际出口管制协定,控制双重用途技术(包括网络安全工具)的出口。
俗人昭昭,我独昏昏。俗人察察,我独闷闷。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· .NET10 - 预览版1新功能体验(一)