导图社区 CISSP学习笔记-域3(安全架构和工程)
- 64
- 0
- 0
- 举报
CISSP学习笔记-域3(安全架构和工程)
这是一篇关于CISSP学习笔记-域3(安全架构和工程)的思维导图,主要内容包括:重点习题,知识点。
编辑于2024-03-18 19:40:25- CISSP
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
CISSP学习笔记-域3(安全架构和工程)
社区模板帮助中心,点此进入>>
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
- 相似推荐
- 大纲
CISSP学习笔记-域3(安全架构和工程)
知识点
3.1. 利用安全设计原则研究、实施和管理工程流程
3.1.1. 安全架构和工程概要
3.1.0.1 安全架构和工程概述
•安全架构 :组件、流程、服务和控制的组织和设计,旨在将与系统相关的安全风险降低到可接受的水平
•安全工程:安全架构设计的实施
3.1.0.2 系统和应用开发过程
设计
开发
测试
实施
维护
退役
3.1.0.3 安全设计原则
一般安全架构的原则,都是基于詹姆斯-安德森 《计算机安全技术规划研究〉中概述的基本要求
•安全功能的实现方式需要防止其被绕过、规避或篡改。
•安全功能需要在实施安全控制的必要时刻被激活调用。
•安全功能需要尽可能地小,以便更有可能发现缺陷。
3.1.0.4 ISO/IEC 19249
3.1.0.4.1 架构原则
•域隔离:通过逻辑分隔降低攻击面,提高安全性。如:
•分层:划分功能层次,降低复杂性,提高可维护性。
•封装:使用明确接口进行通信,简化系统并增强安全性。
•冗余:复制关键组件,提高可用性和容错能力。
•虚拟化:创建独立虚拟环境,提高资源利用率和安全性。
3.1.0.4.2 设计原则
1最小特权 :仅授予完成任务所需的最低权限,降低安全风险。
2.攻击面最小化:通过系统加固和移除不必要组件,减少潜在攻击点。
3.集中的参数验证:对用户输入进行全面验证,确保数据安全。
4.集中的安全管理服务:一次性集成常用安全功能,确保安全控制经过审查和测试。
•集中的访问控制服务器
•集中的加密处理
•安全信息和事件管理 (SIEM)
•安全协调、自动化和响应 (SOAR)
5.为错误和异常处理做准备:避免泄漏敏感信息,保持系统安全。
3.1.2. 最少的特权
最小特权原则指出 :每个程序、服务或个人被授子的正是他们完成工作所需的访问和权利,并且只在必要的时候使用
3.1.3. 纵深防御
纵深防御是以分层的方式协调使用多种安全控制,通过使用安全控制的组合,降1了被渗透和破坏的概率。
下图中攻击者如果要获得访问权,必须穿过几种不同类型的保护机制:
防御层不一定都是技术性的,一个精心设计的安全架构考虑了物理、技术和篬理控制的相互作用。
3.1.4安全默认值
安全默认值是系统或应用设计中预设的安全配置和功能.旨在确保系统在初始状态下具有较高安全性。通过实施安全默认值的有助于:降低安全漏洞、提高用户友好性和降低维护成本。
在实施过程中,需要在安全性与可用性之间进行权衡,确保系统易于定制和使用,同时提供安全指导以帮助用户正确配置和使用系统以满足企业的需求和风险偏好。
3.1.5. 威胁建模
威胁建模是一个过程,通过这个过程可以识别潜在的安全威胁和漏洞,并对缓解措施进行优先排序。常用三种模型:STRIDE、DREAD 和 PASTA
3.1.6. 安全地失敗
3.1.6.1 故障开放(fail-open)
当异常发生时,系统仍允许访问,确保关键信息在系统错误或异常时仍可访问。
适用场景包括人员安全,如火灾时开放出口门以保证人员撒离。
3.1.6.2 故障安全-故障失效(fail-secure)
与故障开放相反,故障安全的系统会在异常情况下阳止访问,将安全性置于可用性之上。例如,意外断电的防火墙在重新启动时可能阻止所有流量,直至管理员验証其安全配置。故障安全地称 証共安全配置。故障安全地称 証共安全配置。故障安全地称 f a i l - s a f e 或 f a i l - c l o s e d 。
总结根据不同场最选择合适的安全地失败策略。通常情況下,系统设计成故障安全状态较好 :但涉及人员安全时,应考虑故障开放策略。
3.1.7.职责分离(SoD)
职责分离(Separation of Duties. SoD) 是一种安全原則、用于确保关键任务和敏感操作在组织内部分配给多个员工,从而降低内部欺诈和数据泄露的风险。这个原则的核心思想是通过分散权力和责任,增加犯罪的难度和检测到不当行为的可能性。
例如:在银行中,出纳员可以接触大笔资金,但实际转移或提取资金需要主管的签名。这样,个人无法单独将资金转移到自己的账户或未经批准为他人提取大额资金。
3.1.8.保持简单
复杂性是安全的敌人,这意味着架构和工程设计应尽可能保持简单。一个系统或机制越复杂,它就越有可能有内在的弱点而不被发现,或者有可能被规避的安全机制。相反,系统越简单、越小,就越容易设计、评估和测试。
3.1.9. 零信任
零信任是一种安全模式,其前提是一个组织不应自动信任其周國环境中的任何东西
-相反,他们必须在允许访问之前验证试因连接到其系统的任何东西。
零信任模式的核心原则:
•始终验证 (Aways Verity):在允许访问之前,根据上下文对每个访问请求进行验证和授权。
•使用最小权限的访问 (Least Privilege Access):在即时 (Just-In-Time, J1T) 的基础上,为所要求的特定访问分配所需的最低权限。
•假设被入侵 (Assume Breach):不要相信组织网络上的设备,假设最坏的情况
(即你已经被攻破),并尽量减少影响半径以防止进一步的损害。
3.1.10.隐私设计
隐私设计 (PbD) 的七个基本原则:
1.主动且预防性:采取主动和预防措施,而不是被动和补救措施。
2.隐私作为默认设置:个人数据在所有I 系统和业务流程中自动得到保护,无需额外操作。
3.隐私融入设计 :在设计阶段考虑隐私,如加密和认证机制,而非在开发完成后再添加。
4-完整功能,正和,非零和:同时实现隐私和安全,二者都很重要。
5端到端安全-全生命周期保护:数据在创建、管理和销毀过程中都得到安全保护。
6.可见性和透明度-保持开放:遵香“信任但验证°的原则,确保隐私策路的可见性和透明度。
7.尊重用户隐私-以用户为中心:在设计和实施过程中始终关注和尊重用户的隐私需求。
3.1.11. 信任但验证
信任但验证是一种信息安全策略,要求在授权访问前先认证和验证,但由于当前威胁环境的变化,许多专家建议采用零信任模式,即对所有访问请求进行验证,而不自动信任网络内部实体。
各注:在与第三方合作或进行审计时,都可以运用 “信任,但要验证”这一理念。
3.1.12. 共同的责任
共同责任模式是一种云安全框架,明确了云服务提供商(CSP) 和客户在保护云系统和数据方面的责任。例如,客户负责管理访问控制,而 CSP 负责提供物理和技术安全保护。这些责任在协议或合同中正式约定并记录。
3.2.理解安全模型的基本概念
3.2.1.系统状态和处理模式
安全模型是对安全要求的结构化表示,指导安全架构的设计。不同的安全模型强调不同的目标,例如军队和政府关注保密性,而商业系统关注数据完整性。
3.2.1.1 有限状态机 (FSM)
这是一种计算模型,用于表示系统的状态和状态之间的转换。有限状态机可以帮助我们理解和分析系统在不同条件下的行为,确保系统在所有可能的状态下都能安全地运行。在这个模型中,评估每个状态的保密性-完整性-可用性属性可以确保系统以安全的方式运行。
3.2.1.2. 网格 (lattice)
这是一种访问控制模型,通过定义一组安全级别、部分排序关系,以及为主体和对象分配安全级别来实现访问控制。网格模型根据主体和对象的安全级别之间的关系确定访问规则,从而保护敏感信息。
3.2.1.3. 信息流模型
这是一种关注信息流动的访问控制模型。信息流模型将安全分类分配给对象,并通过安全策略控制这些对象的流动方向或类型。这种模型有助于防止敏感信息泄露或
末经授权的访问。常见的有:Bell-LaPadula 保密性模型、Biba 完整性模型
3.2.1.4不千涉模型
这是一种强调系统内都对象和主体之间隔离的安全模型。不干涉模型确保较高安全级别的活动不会影响较低安全级别的活动,从而防止潜在的信息泄露和安全威胁。
3.2.2. Bell-lapadula (BLP)模型
场景:假设在现实世界的场景,军队中的一名情报人员,他有“秘密”权限,这是一个介于"机密"和"最高机密”之间的分类。
Bell-LaPadula (BLP)模型是一种格子安全模型,主要关注保密性,包括以下三个核心属性:
•简单安全属性 (No Read Up,不向上读)
防止主体读取较高安全级别的对象。根据简单安全属性规则,该官员只能阅读秘密和机密材料。
•安全属性 (No Write Down, 不向下写)
防止主体特信息写入较低安全级别的对象。根据”属性"规则,该官员不能对
•机密”级别(较低级别)的对象进行写入。
•自由裁量权属性
允许主体在访问矩阵允许的范国内对对象执行操作。例如,不同部门的官员可能在各自领域具有不同的访问权限。
3.2.3.Biba 完整性模型
Biba 模型是一个完整性模型,也是一个基于格子的模型,确保数据不被未经授权的用户或进程所修改。它规定了以下两个属性:
•简单完整性属性 (No Read Down, 不向下读)
主体不能从较低完整性级别的对象读取数据。这个规则的目的是确保较高完整性级别的数据不受到来自较低级别来源的不可信数据的影响。换句话说,这可以防止数据在不同完整性级别之间的混合,从而确保较高级别的数据始终可靠。
•完整性属性 (No Write Up,不向上写)
主体不能向较高完整性级别的对象写入数据。这个规则的目的是防止低完整性级别的主体篡改或破坏较高完整性级别的数据。这可以确保只有相应完整性级别的主体可以修改相应级别的数据。
3.2.4. Clark-Wilson 模型
Clark-Wison 模型是一个商业应用中的完整性模型,通过实施受限接口 (restrictiveinterface)限制主体直接访问对象。模型包含以下关键组成部分:
•受限数据项(CDI):模型中的关键数据类型,需保持数据的完整性。
•无约束数据项 (UDI):除CDI之外的其他数据,典型的是系统输入。
•完整性验证程序 (IVPs):确保所有CDI 有效的程序。
•转换程序(TPs):执行系统完整性策略并维护 CDI 完整性的程序。
在Clark-Wison 模型中,UD1通过IVPs 转换成CDl。CD1 不能直接修改,而必须经过TPs才能进行更改。确保数据的完整性和可靠性。
3.2.5.Brewer-Nash 模型
Brewer-Nash 模型旨在实施道德墙 (ethical wall) 安全策略,以防止潜在的利益冲突和内幕交易。该模型以前被称为“中国墙。模型,但已被弃用转而使用“道德墙”或“沉默圈(cone of silence)"
3.2.6. 赠予模型(Take-Grant Model)
赠子模型是一种描述实体 (主体或对象)之间权限传递的形式化安全模型。在这个模型中,有四个基本操作:
1.取得 (Take):允许一个主体获取另一个实体的权限。
2.授予 (Grant)
:允许一个主体将权限赋予另一个实体。
3.创造 (Create):允许一个主体创建一个新的对象。
4.移除(Remove):允许一个主体撒销或删除其在一个对象上的权限。
3.3. 根据系统安全要求选择控制措施
3.3.1. 根据系统安全要求选择控制措施
1. 分析安全要求:
•监管和合规性要求分析(如 HIPAA、PCI-DSS、FISMA、各国隐私立法(GDPR等)、SOC 审计)
•威胁分析 (参考 1.11.1 章节内容)
•风险评估(参考 1.10 章节内容)
2.选择并实施安全控制措施:
根据法规或组织安全治理要求选择安全框架,实施适合解决确定风险的控制措施。
遵循 PDCA :
•计划(Plan):考虑控制及其适应特定情况的实施方式
•执行(Do):实施控制
•检查 (Check):评估控制的有效性
•行动 (Action):弥补差距和缺陷
3.定期审查和调整安全控制:
特殊事件导致的重新审视:
安全事件或漏洞
组织结构或人员的重大变化
新的或退役的产品或服务
新的或重大变化的威胁或威胁行为者
信息系统或基础设施的重大变化
正在处理的信息类型发生了重大变化
安全治理、风险管理框架或政策的重大变更
广泛的社会、经济或政治变化(如 COVID-19)
道循定期的和以事件为导向的过程来评估控制的适用性和有效性
在安全框架更新时,组织需要考虑这些变化并进行适当的调整
3.4. 了解信息系统(1S)的安全能力
3.4.1. 系统的安全能力
3.4.1.1 内存保护
1操作系统基础的安全控制之一就是内存保护,如果一个程序试图引用它不允许访问的内存地址,系统会阻止该访问,哲停该程序,并将控制权移交给操作系统。见
2.操作系统的两个保护措施:
1) 处理器的双模式操作:特权(或内核)模式和非特权(或用戸)模式。
2)地址空间布局随机化(ASLR)”:试图减轻可预测的内存地址位置的风险。
3.相关漏洞;幽灵漏洞(Spectre)、熔断(Meltdown)
总结:正确的内存保护既依赖于硬件的正确操作,也依赖于操作系统的正确设计。系统使用底层的内存保护硬件来防止程序访问它们没有被赋子访问权限的内存
3.4.1.2安全加密処理器(Secure Cryptoprocessor)
1安全加密处理器是一个硬件模块,可以抵抗硬件篡改,并且具有有限的接口,能更容易验证在加密处理器上运行的(有限的)代码的完整性和安全操作。
2.现实中的一些安全加密处理器:
1) 专有的,比如 iPhone 的 Secure Enclave
2) 开放标准的,如 ISO/EC 11889 規定的 TPM
3.4.1.3 可信的平台模块(TPMS)
TPM 是作为安装在计算设备主板上的硬件组件来实现的。通常它被实现为一个计算机芯片来执行若千安全功能,提供ISO/EC 11889 规定的安全存储和密码服务。
3.4.1.4硬件安全模块(HSM)
硬件安全模块 (HSM) 在功能上与 TPM 几乎相同,区别在于 TPM 是作为计算设备主板上的一个芯片实现的,而HSM 是一个外国设备,一般通过扩展卡或外部设备的形式直接连接到电脑或网络服务器。
常见的应用场景:在证书颁发机构(CA)中,用它们来保护根私钥;在支付处理机构,用它们来保护用于保护持卡人数据的对称加密密钥。
3.5. 评估和减轻安全架构、设计和解決方案要素的脆弱性
3.5.1. 客户端系统
客户端漏洞分类:
•客户端的不安全操作或配置
•以不安全方式在客户端系统上存储临时数据
••运行不安全的软件版本(如过时或未打补丁)
客户端与服务器通信的潜在漏洞:
未验证服务器身份
未验证或未过滤从服务器接收的数据
未防止窃听与服务器交换的数据
未检測与服务器交换的数据的篡改
-未在执行或采取基于从服务器收到的信息的行动之前验证从服务器收到的命令或代码
解决方案:
•评估操作系统和应用程序是否存在未打补丁的软件或不安全的配置
•使用公认的安全协议(如TLS)验证服务器身份,防止窃听和篡改与服务器通信的数据
•使用适当的编码技术确保从服务器收到的数据或命令有效且一致
•使用数宇签名验证从服务器收到的可执行代码
其他措施:
•将客户端引用的组件纳入漏洞管理程序
•根据风险评估和威胁建模采取适当措施,如防火墙、物理安全控制、全磁盘加密
。在开发应用程序时采用安全软件开发过程(参考域8相头内容)
3.5.2. 服务端系统
3.5.2.1 服务端安全实践
•验证客户端和用户身份
•验证所有输入并保护免受 DoS攻击
•实施漏洞管理程序
•采用安全软件开发流程和最小特权原则
•应对针对服务端本身(物理、环境、通信基础设施)的威助。
3.5.2.2服务器加固指南
可参考诸如 CIS 和 NIST 等行业组织的加固建议进行安施
安装更新和补丁
删除或锁定不必要的默认账户
更改䭾认账户密码
仅启用所需的服务、协议、守护程序等
启用日志和审计
每个服务器只实现一个主要功能
根据需要调整默认的系统、文件系統、服务和网络配置
3.5.3. 数据库系统
3.5.3.1 数据库系统的安全控制措施
数据库服务器作为服务端系统的特例,网络可访问的数据库也适用上一节讲到的服务端系统的安全控制措施。
3.5.3.2 常见数据库攻击
•聚合(Aggregation)攻击:通过汇总多个不太敏感的数据片段,从而获取敏感信息的过程。
•推理((nference)攻击 :通过对已知事实进行逻辑推导,从而获得敏感信息的过程。
3.5.3.3 数据库加密方法
•全盘加密 (FDE):保护存储介质上的所有数据,防止物理盗窃或丢失。
•文件系统级加密:在文件系统级别进行加密,适用于卷、目录或文件。
•透明数据加密 (TDE):数据在应用程序中为明文,在数据库中为密文。
•单元级加密(CLE):对数据库信息中的单元格或列进行加密,仅在请求时解密。
应用级加密:业务逻辑或应用层对数据进行加密和解密,即使数据库访问被破坏也能提供保护。
3.5.3.4 选择数据库加密方法时需考虑的因素
•性能:加密/解密操作可能会影响性能。
•备份:确保加密数据的备份也是安全的。
-压缩:加密数据可能影响压缩效果。
3.5.4. 加密系统
3.5.4.1 破解加密系统的途径
1.利用算法和协议的弱点:
•密码学难度较高,即使专家也可能出错
•攻击面包括算法、实施加密保护的人员、流程和技术
•随着时间推移,计算能力、数学突破和其他方法改进使密码分析更有效
2.利用执行方面的弱点
•使用过时的算法或未经测试的密码
•使用行业标准和经过测试的算法,避免自行发明或实现算法
3.利用密钥管理漏洞
•密钥不应重复使用,应定期更换
•对称密钥和私钥的有效性取决于保密性
•内部威胁,如心怀不满的内部员工,可采用双人控制或职贵分离
3.5.4.2 检测和缓解加密系统漏洞:
•进行加密系统的同行审查
••接受合格的第三方评估
•对缺陷采取纠正措施
3.5.5. 工业控制系统 (ICS)
工业控制系统 (1CS)是一种控制工业过程和机器的计算机管理设备,涵盖了一系列的控制系统和相关的传感器。
3.5.5.1 ICS 的组成
•分布式控制系统 (DCS)
一种自动化控制系统,通常用于监控和管理连续生产过程中的设备。
•可编程逻辑控制器 (PLC)
是一种特殊类型的计算机,主要用于控制工业过程中的设备。
•监控与数据采 (SCADA)
负责监控和收集工业过程中的数据,以便操作人员可以实时了解生产过程的状况。
3.5.5.2 1CS 安全性问题
。安全性差、易受攻击
•打补丁可能困难甚至不可能
3.5.5.3 ICS 安全控制措施
•仅保留执行核心功能所需的最基本代码
•隔离网络
•限制物理和逻辑访问
•记录所有活动
3.5.6. 基于云的系统
3.5.6.1 云计算概念
云计算提供了一种通过网络访问共享的可配置计算资源(如网络、服务器、存储、应用程序和服务)的方式,具有无处不在、方便和按需的特点。云计算的主要挑战在于数据安全和管理的风险。
3.5.6.2 云服务模式
•Saas:软件即服务,负责 Data
•Paas:平合即服务,负责 APP、Data
•Iaas:基础设施即服务,负责OS、APP、Data
3.5.6.3 云服务的部署模式
•公共云:可供任何客户使用
•私有云:仅供单一客户使用
•社区云:专门由一小群具有类似兴趣或要求的客户使用
•混合云:上述两种或多种部署模式的组合
3.5.6.4 云服务模型中的共享责任
•云服务提供商对以下情况负完全责任:
物理安全
环境安全
-硬件(即,服务器和存储设备)。
-网络(即电缆、交换机、路由器、防火墙和互联网连接)
•云服务提供商和客户共同承担以下责任:
漏洞和补丁管理
配置管理
培训
3.5.6.5 云数据安全措施
将云上存储的和传输中的数据进行加密,密钥使用本地密钥并进行保护。使用加密擦除方法进行数据和密钥的删除确保机密性。
3.5.7. 分布式系统
3.5.7.1分布式系统
分布式系统是一系列子系统的集合,可能在地理上分布,并以某种方式相互连接,攻击面比单一系统大得多。分布式系統的建立是为了实现一些目标,包括:依赖、性能和可扩展性。
3.5.7.2分布式系统的风险
•通信安全
由于分布式系统的子系统之间需要通过网络通信,因此需要确保通信过程中的数
•身份验证和访问控制
据保密性、完整性和可用性。这需要对通信通道进行加密和认证。
在分布式系统中,确保只有合法用户和设备能路访问相关资源非常重要。需要实
•系统和软件一致性
现强大的身份验证和访问控制机制来防止未经授权的访问。
今布式系統中的各个子系统可能使用不同的提作飛統,中间件和这用软件,这可能导致不同版本和补丁级别的风险。需罗糖保系统和软件在整个分布式环境中保持一致。
•防止拒绝服务(DoS) 攻击
分布式系统可能面临 Dos 攻击风险
•数据隐私和合规性
据主权要求,防止数据泄露和非法传输。
•维护和管理
分布式系统需要对各个子系统进行持续的监控、维护和更新。这包括及时打补丁、配置管理和安全审计。
•一致性和容错
分布式系统可能面临子系统间通信的延迟或中断问题。需要设计容错机制以确保在通信中断或其他故障情况下,系统能够继续运行并保持一致性。
3.5.8.物联网(loT)
物联网 (IoT)描述了一个由嵌入技术(如传感器和软件)的物理物体组成的网络,这些技术使它们能够通过互联网与其他设备连接并交换数据。包括:家用电器、医疗设备、智能家居设备等。
3.5.8.1 1oT 设备的安全问题
物联网设备需要考虑的安全问题通常与认证和加密技术有关,例如一些被公开的摄像头。主要安全问题包括:
认证和加密
软件和固件更新
网络隔离
3.5.8.2 物联网安全措施
•为物联网设备部署一个独立的网络,与主网络保持分离和隔离
•确保供应商提供自动更新其软件和固件的功能
3.5.8.3 IoT 相关的攻击
Mirai 僵尸网:利用数百万不安全的物联网设备进行分布式拒绝服务 (DDoS)攻击
3.5.9.微服务
微服务架构是一种模块化的软件开发风格,涉及将一个单一的应用程序开发成一个松散耦合的较小的应用程序或服务 (微服务) 的集合,每个都运行自己的进程。微服务的建立是为了可独立部署,并通过轻量级通信协议一起工作。
3.5.9.1 微服务安全原则
•隔离:
每个微服务必须能够被部署、修改、维护和销毁,而不影响周围的其他微服务
•纵深防御:
1)在整个应用或系统中实施多层安全控制
2)独立监控和保护每个微服务以及整个环境中每个徽服务之问的通信是至关重要的
3.5.9.2 微服务 API 安全
徽服务架构中最脆弱的部分是用于与微服务之间通信的 APl。在保护徽服务架构时,确保 API 安全是至关重要的。
3.5.10. 容器化
容器化(如 Docker)是虛拟化技术的进一步发展。容器(container)提供了一种轻量级的方法,将整个应用程序打包,使其具有可移植性,从而可以在不同的硬件平合之同经松迁楼,容器的主要优势在于它们不需要自己的媒作系统,而是利用有主操作系统。
3.5.10.1 容器安全实践
•使用来自可信来源的签名基础镜像。
•在向镜像添加应 用程序或其他组件时,遵循严格的配置管理实践。
•对所有容器镜像进行漏洞扫描和打补丁。
•对所有容器镜像实施适当的访问控制,如基于角色的访问控制。
•确保运行容器的宿主操作系统安全。
•限制容器之间的通信,遵循最小特权原则。
容器化平合需要严格执行隔离,确保容器无法访问分配给其他容器的数据或资源。只要保持隔离,容器就是一个高度安全的轻量级虚拟化计算选择。容器编排和管理工具(如Kubernetes)可以实施网络控制,限制通信路径。
3.5.11. 无服务器模式
无服务器计算是一种云计算模式,由云提供商管理服务器,并根据需要动态地分配机器资源。在无服务器计算中,基础设施的管理任务。如配置和补丁,由云提供商处理,让客户主要负费线写在这些服务器上执行的代码。AWS Lambda、 AzureFunctions 和 Google Cloud Functions 是公共云供应商提供的流行无服务器框架。
通过无服务器架构,客户在安全方面的责任大大减少,并在很大程度上转移到云提供商(CSP)身上,后者负责所有操作系统的加固、补丁和运行时安全。
3.5.12. 嵌入式系统
物联网正在格技术带入许多工业、机械、家庭和运输系统。我们经常把物联网设备的技术部分称为嵌入式系统,因为它是一个完整的专用信息处理组件,嵌入在另一个更大的系统中,旨在提供一套有限的功能。与1ICS 和10T 系统类似,它们是特殊功能的设备,经常连接到互联网,有时没有考虑到安全机制。许多嵌入式系统是专有的,没有强大的内置安全机制,如强认证或加密功能。此外,嵌入式系统中的软件通常被嵌人计算机芯片中,当发现系统的漏洞时,可能不容易更新或修补。
3.5.13. 高性能计算 (HPC) 系统
高性能计算 (HPC) 指的是使用一台或多合超级计算机,通常用于高度复杂的汁算科学和其他涉及数学的应用。
HPC 系统与传统系统和其他基于云的系统有相同的安全问题。它们通常运行基于Linux 的操作系统,并受到软件漏洞、配置问題和凭证泄露的彩响。所有的传统安全措施都应该在这里被考惠。但 HPC 环境是高度专业化、专门设计的硬件和软件。任何定制的硬件和软件都会带来额外的威胁载体,必须是安全的。
3.5.14.边缘计算系统
3.5.15. 虛拟化系统
虚拟化系统通过软件模拟硬件资源,使多个操作系统能够在同一硬件上运行。这是云计算背后的主要技术。虚拟机和软件驱动的网络(SDN)是典型的康拟化系统实例。
3.5.15.1 管理程序 (Hypervisor)
管理程序负赉创建模拟环境和管理虚拟化系统的硬件资源。有两种类型的管理程序:裸机管理程序和第二类管理程序。裸机管理程序直接运行 在硬件上,而第二类管理程序作为程序运行在操作系统之上 (virtual box)。
3.5.15.2 虚拟化系统的潜在风险
•虚拟机蔓延:大量未充分利用的虚拟机在运行,可能是由于缺乏全面的丁 管理或安全计划。
•服务器蔓延:与虚拟机蓮延相似,但涉及到物理服务器。
•影子川:在未经高级管理层或 I 团队知情或许可的情况下部署的 丁组件(物理或虛拟)。
•虚拟机逃逸:软件从虚拟机中突破管理程序提供的隔离保护,渗透到其他虚拟机或宿主机。
3.6. 选择和确定加密解决方案
3.6.1. 密码学基础
3.6.1.1 密码学概述
密码学是对数据进行数学处理,以保护其机密性和/或完整性。
1.保密性(和隐私):
密码学的主要用途之一是保护信息的保密性,无论是在静止状态还是在传输过程中。
当应用于个人身份信息 (PI)) 和受保护的健康信息 (PHI) 时.这提供了"隐私"的关键特征。
2.完整性
密码学的另一个常见应用是使用散列算法和消息摘要来提供数据完整性(或准确性)的保证。
3.真实性(和不可抵赖性)
密码学也可用于认证服务,以及通过数宇签名和数宇证书进行不可抵赖。
3.6.1.2 密码学概念
1.明文与密文
。明文(Plaintext);未被转化成密文前的、自然格式的可直接理解的信息
Cleartext-以可读、可用的形式存在的信息,不打算通过加密手段进行掩盖
•密文(Ciphertext);明文信息的改变形式,以便除了预定的接收者外,任何人都无法读懂
2.加密与解密
•加密(Encryption):将信息从明文转换为密文的过程
•解密(Deeryption)-与加密相反的过程,将密码文本信息转换为明文的过程。
3.算法与密钥
•加密算法(Cryptographic algorithm);在加密和解密过程中使用的一种数学函
•密钥(Key);有时称为密码变量,与算法一起被引入加密过程,以增加加密和解密的复杂性。密钥与密码类似,必须经常更换,而且通常只被有权限和授权的实体知道,以加密和解密信息。
3.6.2. 密码学生命周期
密码学生命周期涉及算法选择、密钥管理,以及在静止、运输和使用中的加密教梧管理。以下是 NIST 密码学生命周期的各个阶段:
1.启动阶段:根据组织需求,进行算法选择系统。
•适合目的的密码学类型 (例如,对称、 公钥、散列等)
•特定的算法(如 AES、RSA、SHA 等)
•密钥长度(如 AES-256、RSA-2048、SHA-512等)
•运行模式 (ECB、CBC 等)
2开发和采购:该组织开发,或更有可能采购加密系统。
3.实施和评估:加密系统投入使用,评估它是否满足组织的安全目标。
4运营和维护:组织确保密码系统的持续安全运行。
5.日落:加密算法的弱点被发现,不再适合继续长期使用时,组织停止使用该
3.6.3. 密码学方法(对称)
安全架构师可以使用一些加密工具来保护数据的机密性和完整性,对这些工具的选择取决于被防御的威胁、通信的性质和信息的敏感性。关于可用于不同情况的加密方法
3.6.3.1 对称加密算法
发送方和接收方使用相同的密钥来加密和解密信息。
3.6.3.2对称系统的主要缺点:
1.秘钥分发问题
如何在通信前把共享秘钥安全的分发给双方是个问题。需要通过带外方法或非对称系统安全地分发秘密钥匙。
2.不提供不可否认性
无法确认加密消息来自哪一方
3.缺乏可伸缩性
参与者太多时所需维护秘钥数量巨大,秘钥数=n(1-1)/2
4.秘钥生命周期短
参与者离开通信群体后,其所知秘钥均需销毁。
3.6.3.3 对称系统的主要优点:
•速度:对称系统要比非对称系统快得多
•成本低:对称密钥加密方式的实现成本低,不需要复杂的计算资源和高昂的设备费用。
3.6.3.4 对称密码学的基本类型
•流密码。
使用可变长度密钥对数据流进行加密和解密。流密码可以实时加密和解密数据流,但安全性较差。流密码最常见的是RC4,曾被用在 SSL 和TLS中,但现在已基本被放弃使用。
•块密码:
将明文数据按照一定的长度分成若千个区块,然后使用密钥对每个区块进行加密。块密码的安全性较高,但密钥长度必须是固定的。常见的块大小是 64位、128 位和 256 位。典型的块密码包括 Blowfish、 Twofish、DES 和AES。
3.6.3.5 密码运行模式
1.电子密码本(ECB):
将输入的数据分成若千个数据块,然后对每个数据块使用相同的密钥进行加密。容易受到重复明文攻击,实际应用中通常不会单独使用。
2.密码块链接(CBC):
需要一个初始向量 (N) 来初始化加密过程,将上一个数据块的密文与当前数据块的明文进行异或运算,然后再使用密钥进行加密。可以有效防止重复明文攻击。
3.密码反馈(CFB):
将明文分成若千字节,与初始化向量进行异或运算,然后通过密码算法加密。适用于加密实时数据流,如电话通信和实时视频流。
4.输出反馈(OFB):
将每组数据与上一组的密文进行异或运算。适用于加密实时数据流,且不受数据延迟或丢失的影响。
5.计数器(CTR):
使用一个数字计数器生 成随机初始化向量,用于与每组数据进行异或运算。
每次加密都会生成一个新的初始化向量,提高了安全性。
6.伽罗瓦/计数器模式(GCM):
一种对称密码加密技术,用于加密数据流。具有计数器模式(CTR)的优点,并提供数据完整性校验(ICV)功能,确保数据的完整性。
3.6.3.6 常见的对称加密算法
•DES:
数据加密标准,56 位密钥,64 位区块,目前被认为不安全。
•Triple DES
三重DES算法,将55位密钥长度增加到168 位,但在2017 年被NIST皮弃,被认为不安全。
•AES :
高级加密标淮,使用 128、192 和256 位密钥,目前(至2023 年)被认为是种安全的算法。
•RC系列:
由Ron Rivest 开发的对称密钥算法,包括 RC2、RC4、RC5 和RC6。 其中RC2 和RC4 被认为是不安全的,而RC5 和RC6 被认为是安全的。
•Blowfish:
分组密码算法,密钥长度可达 448 位,安全性较高。源代码开放,免费使用,但商业产品需要授权。
•Twofish :
分组密码算法,密钥长度可达256 位,安全性较高。广泛应用于加密软件、加密设备和安全通信系统。
•Skipjack :
由美国政府的国家安全局(NSA) 提出的对称密码加密算法,密钥长度为 80位,安全性较高,但源代码保密,一股仅用于美国政府内部。
•IDEA:
国际数据加密算法,密钥长度为 128 位,用于 PGP 电子邮件加密和解密。
•CAST 分组加密算法:
包括 CAST 123 (使用 128 位密钥)和CAST 256 (使用 256位密钥),其中CAST 256 在安全性方面更优秀,但加密速度较慢。
3.6.4. 密码学方法(非对称)
3.6.4.1 非对称加密算法
非对称密码学通过为每个用户提供一对密钥(公钥/私钥)来解決可扩展性问题。常见的使用场景如下:
非对称加密的主要特点:
•高密钥分发效率:通过公钥基础设施 (PKI) 分发密钥。
•提供完整性、身份验证和不可否认性:私钥实现这些功能。
•可伸缩性:简单的密钥维护,密钥数量=n~2。
•长密钥生命周期:参与者只需提供公钥即可加入通信
缺点 :非对称加密比对称加密慢。通常使用非对称加密交换对称密钥,然后用对称加密保证通信安全。
3.6.4.2常见的非对称加密算法
•迪菲-赫尔曼密钥交换(Difie-Hellman-Merkle Key Exchange)
用于安全交换加密密钥的方法,不用于加密或解密,而是用于双方安全地生成共享密钥。
•RSA:
非对称密钥算法,用于加密和签名数据。安全性基于两个大素数的因式分解困难。RSA 是最常用的公钥加密算法之一。
•El-Gamal
非对称密钥算法,用于传输数宇签名和密钥交换。基于离散对数问题,源于Diffie-Hellman-Merkle 算法。
3.6.5. 密码学方法(椭圆曲线、量子)
3.6.5.1 椭圆曲线密码学(ECC)
•ECC 是一种公钥密码学方法,安全性基于椭圆曲线的特殊代数结构。
•使用较短的密钥长度产生高安全性。例如,256 位的ECC 密钥相当于 3072位的RSA 密钥。
•由于较小的密钥导致更快的计算,ECC 比其他公钥算法更高效,适用于资源受限的应用场景。
3.6.5.2 量子密码学
•量子密码学利用量子力学的一个特性:任何对量子系统的测量或观察都会千扰它。
•这为传输秘密加密密钥提供了基础,如果被窃听者截获,会被发现。
•量子计算的出现和其在加密和解密方面的应用引起了对现有安全算法可能被破解的担忧。
3.6.6. 公钥基础设施 (PKI)
公钥基础设施(Public Key Infrastructure,PK);是一种用于实现电子商务和网络安全的技术架构。它主要由一些机构、证书领发机构和认证机构组成.为电子商务和网络安全提供了必要的基础设施。
3.6.6.1 数宇证书
数字证书是一种电子凭证,用于在网络环境中验证实体(如个人、组织或设备)的身份,并将实体的公钥与其身份信息关联起来。证书须发机构(CA)负责核实实体的身份信息并签发数宇证书。
3.6.6.1.1X.509
一种常见的数字证书格式,广泛应用于电子商务和网络安全领城,用于进行身份认证和数据加密。典型的X 509 证书包括以下信息:
•数宇证书版本:x.509证书的版本号,指明证书的格式和内容。
•证书序列号:x.509 证书的唯一标识符,区分不同证书。
•证书签名算法标识符:用于签名证书的算法标识符,包括算法名称和版本。
•证书主题名称:X. 509 证书持有者(如个人或组织)的名称。
•证书主题公钥信息 :证书持有者的公钥信息,用于加密数据和验证数字签名
•证书扩展信息:X.509证书的附加厲性和扩展厲性,如密钥用途限制和证书
•证书预发者名称:预发 X 509 证书的证书领发机构(CA) 名称。
•证书领发者公钥信息:CA的公钥信息,用于验证证书的签名。
•证书有效期:X.509 证书的有效期限,包括生效日期和到期日期。
3.6.6.2 证书颁发机
证书领发机构(CA)是负责颁发、管理、更新和废止数字证书的组织或机构。数宇证书保证了电子文件的真实性和完整性,为电子商务和网络安全提供文持。
CA 主要分为两类
•顶级CA 是权威机构,负责领发高安全等级的证书。
•子CA 是普通机构,主要领发低安全等级的证书,通常用于组织内部认证。
在颁发证书前,CA 通常会与注册授权机构 (RA) 合作进行身份验证。RA 负责核实用户的身份信息(如证明文件和联系方式),并向 CA 提交验证报告。这样,CA可以更有效地管理证书,确保电子商务和网络安全。
3.6.6.3 证书的生命周期
1. 注册:
用户向证书领发机构(CA) 申请数宇证书,填写申请表格并提交身份信息及公钥。经核实后,CA 向用户领发数宇证书。
2. 验证:
CA对用户证书信息进行验证,确保其安全性和可靠性。验证步骤包括域名验证(DV)、机构验证(QV)和扩展验证 (EV),以确保证书真实性和可信度
3. 注销:
当证书过期或废止,CA 将其标记为无效。此过程称为注销,通常通过证书吊销列表 (CRL) 或在线证书状态协议(OCSP) 实现。
3.6.6.4 证书的格式
3.6.6.5使用场景:电子邮件通信
1.用户在PKI 中注册并获得一对数宇证书(公钥和私钥)。
2.发送方使用收件人的公钥加密邮件内容。
3.发送方使用自己的私钥对邮件进行数宇签名。
4收件人使用发送方的公钥验证邮件的真实性,并使用自己的私钥解密邮件内容。
5如果邮件的数字签名和验证过程都正常,则收件人可以安全地阅读邮件内容。
3.6.7. 密钥管理实践
密码学的安全性依赖于对称私钥和私钥的保密。以下是正确的密钥管理实践
1.密钥生成
•长度:密钥长度需适应不断提高的计算能力和量子通信发展。
•随机性:使用基 于硬件的随机数生成器,如TPM 和HSM。
2. 密钥存储与使用
•使用 KEK 加密数据加密密钥,得到加密后的密钥。
•使用 DEK 加密数据,得到加密后的数据。
•存储在 HSM 中。
3. 管理措施
•职责分离:接触加密密钥的人不能接触加密数据。
•双重控制:使用两个不同的控制因素保护私钥,如设备和密码。
•知识分割:将密钥 (或密码) 分割成多块,需结合使用以解密数据(或进入系统)。
4.轮换与更换密钥
•密钥有有限的寿命,如有被破坏证据或怀疑,应尽快更换。
。即使密钥保密性得到维护,也应定期更换。
•当接触密码材料的重要人员离职时,进行密钥轮换。
•NIST 和 PCI 建议至少每年轮换一次数据加密密钥。
5. 密钥销毁
确认不再需要加密数据时,安全销毀密钥:
•通过覆盖存储、消磁或物理销毁等手段,删除密钥的所有副本,确保无法恢复。
•保留销毁记录,包括密钥位置和销毁手段。
3.6.8.数字签名和数字证书
3.6.8.1 数字签名
数字签名利用非对称加密技术来实现完整性、认证和不可否认性:
认证:当接收者验证数字签名时,他们可以确认发送者的身份,因为只有发送者拥有用于签名的私钥。
•完整性:通过哈希西数生成的消息摘要,接收者可以验证信息在传输过程中没有被篡改。
•不可香认性:发送者无法否认发送过的信息,因为他们使用私钥签名,可以向第三方证明这一事实。
3.6.8.2 数字证书
数宇证书是一种电子文件,用于证实公钥的所有权。通常由可信的第三方(如证书颁发机构,CA)签发,以确认公钥的有效性。数宇证书包括公钥持有者的身份信息和数宇签名,确保证书内容的真实性。
3.6.8.3 数宇签名过程
发送方对信息进行哈希运算,得到消息摘要
发送方使用私钥加密消息摘要,生成数宇签名
发送方將原始信息、数宇签名和公钥发送给接收方
接收方用公钥解密数字签名,验证信息的完整性和发送者身份
3.6.8.4 哈希消息身份认证码(HIMAC)
•使用加密哈希函数和密钥验证消息完整性和真实性
•常与 SHA-2 或 SHA-3 哈希西数一起使用
•MAC 用于验证消息完整性和真实性,与HMAC 相比,MAC 不使用密钥,而是使用一个公共参数来计算消息的认证码。如果消息和认证码不匹配,则说明消息被篡改过。
3.6.8.5 数字签名标准
RSA:常用的非对称加密算法,使用两个密钥进行加密和解密。在数宇签名中,用私钥对数据进行签名,然后用公钥来验证签名。
•DSA:密钥签名算法,基于整数分解问题,仅使用私钥生成签名,因此只能用来生成签名,而不能用来加密数据。
•ECDSA :基于椭國曲线的数宇签名算法,具有更高的安全性和计算速度
3.7.了解密码分析攻击的方法
3.7.1.蛮力攻击
蛮力攻击 (Brute-force attack) 是密码学中的一种攻击手段,攻击者尝试穷举所有可能的密钥,直至找到正确密钥以访问加密信息。
3.7.1.1 彩虹表 (Rainbow Tables)
为提高空力攻击效率,可使用彩虹表。彩虹表存储了 可能密码的哈希值,主要用于破解离线哈希密码。
3.7.1.2 防范彩虹表攻击
为抵御彩虹表攻击,可采用盐(salting)、胡椒 (peppering)和密钥延伸(key stretching)等技术。
-盐:在用户密码哈務前添加随机宇符串,使得每个用户的哈希值唯一,降低彩虹表攻击成功率。
•胡椒:在哈希过程中加入一个固定的隐秘值,使得攻击者无法预先计算彩虹
•密钥延伸:通过多次迭代哈希西数,增加密码破解所需的计 算量,从而提高破解难度
3.7.2.仅限密码文本
只有密码文 本的样本来进行分析。这种类型的攻击是最常见的攻击类型之一,因为通过截获网络流量很容易获得密码文本。有不同的方法可用于纯密码文本的攻击,包括:频率分析
3.7.3.已知明文
在这种类型的攻击中,攻击者不仅有密码文本,还有与之相关的已知明文,使攻击者能够将已知明文与密码文本的结果进行比较,以确定两者之间的任何关系。
3.7.4.选定明文
选定的明文攻击 (chosen plaintext attack),攻击者可以选择任意数量的明文进行攻击,并通过比较明文和密文的差异来推导出密钥的值。
3.7.5. 频率分析
频率分析是一种攻击方法,攻击者通过检查密码文本,试图将常用的词汇联系起来,以发现加密密钥或使用的算法。
3.7.6.实施攻击
实施攻击试图利用密码系统中的一些弱点。 如协议或算法中的漏洞。
3.7.7. 侧信道
侧信道攻击更为隐蔽,通常不会直接破坏系统的功能,而是通过记录系统活动特征,如CPU利用率、功托或电磁辐射等变化来破解加密信息。
它利用了加密系统的某些非密钥的特征来破解加密系统,可以通过多种方式进行,包括:时序、缓存访问、能耗、电磁辐射、 错误信息等。
3.7.8.故障注入
故障注入攻击是侧面通道攻击,包括故意注入故障或错误的输入并观察错误和输出
3.7.9.时序
时序攻击是一种侧信道攻击,攻击者试图通过监测执行算法函数所需的时间来攻破密码系统
3.7.10. 中间人(MITM)
中间人 MITM 攻击要求攻击者能够截获和转发两方之间的信息,并可能修改原始信息。为了防范 MitM 攻击,通常会使用加密技术来保护通信内容。
3.7.11. 传递哈希值
传递哈希攻击 (Pass-the-Hash Attack)是一种攻击手法,攻击者在获取到密码哈希值后,直接利用该哈希值进行认证。在这种攻击中,攻击者无铅解密哈希值或获取明文密码。此类攻古主要针对认证协议,而非哈希值或其他加密元素。
防御传递哈希攻击的方法:
•最小特权安全模型 :通过限制攻击者获得和使用提升特权的能力,降低传递哈希攻击的可能性和影响。
•嘧码管理:定期(最好是自动)轮换密码,使用密码管理工具,有助于抵御此类攻击。
3.7.12. 利用 Kerberos
Kerberos 是一个基于票据的网络认证协议,使用对称密钥加密技术,为客户端/服务器环境提供强大的身份验证。它允许网络上的节点(系统)相互证明其身份。
kerberos 漏洞攻击是指攻击者利用 Kerberos 认证协议中的漏洞进行攻击。通过利用这些漏洞,攻击者可以绕过身份验证,获取未授权访问权限,甚至在受害者系统中执行恶意代码。
防御利用 Kerberos 漏洞攻击的方法:
。最小特权安全模型 :通过限制攻击者获得和使用提升特权的能力,降低利用Kerberos 漏洞攻击的可能性和影响。
•密码管理:定期(最好是自动)轮换密码,使用密码管理工具,有助于抵御攻击
3.7.13. 勒索软件
勒索软件是一种恶意程序,会感染系统、加密受害者的文件并锁定访问权限,除非支付账金。在典型的勒索软件攻击中,受害者会收到关于如何支付赎金以获得解密密钥以恢复数据。通过定期存储备份可以部分缓解。
预防勒索软件攻击的方法:
•补丁与更新:保持操作系統和应 用程序的补丁及更新。
•最小权限 :限制管理权限的使用。
•反恶意软件:使用具有最新签名的可信赖反恶意软件工具,以及遵循其他系统加固的最佳实践。
除了上述安全措施外,定期备份数据是应对勒索软件的关键,这样可以在不支付赎金的情况下恢复数据。通过定期存储备份,您可以在遭受攻击时快复到已知的安全状态。
3.8 在场地和设施设计中应用安全原则
3.8.1. 在场地和设施中应用安全原则
1通用安全原则在物理安全中的应用:
。适用于物理安全的信息安全原则包括 CIA 三要泰:
•保密性和完整性:保密性和完整性的主要物理威胁未经授权的访问,如入侵者和盗窃。
•可用性:可用性受到自然环境事件(如地震)和基础设施事件(如停电、HVAC故障、水灾)影响。
2.风险处理方法:避免、减轻、转移和接受
•避免:选择不容易受到特定风险影响的设施,如将数据中心设在地质稳定的地区以避免地震风险。
•减轻:通过实施安全控制(管理、技术和物理) 来减轻威胁。
•移:通过保险或合同方式转移或分担物理风险。
•接受:评估剩余风险,确定是否在组织的风险承受能力范園内。如不符合,需采取额外措施降低剩余风险。
3.物理安全控制类型:
•管理控制:设施建设与选择、站点管理、人员控制、安全意识培训,以及应急响应与流程。
•技术控制:访问控制、入侵检测、警报、CCTV、监视、HVAC 电力供应,以及火警探测与消防。
•物理控制:国栏、照明、门锁、建筑材料、捕人陷阱、警犬与警卫。
3.9. 设计现场和设施的安全控制
3.9.1. 布线间和中间配电设施
依赖互联网服务提供商 (SP)提供高带宽通信服务的组织,在场地内有特定的敏感区域和设备接收这些服务。这些通信区域称为配电设施,是外部数据线进入建筑物的物理点,将高带宽线路分解成多条低带宽线路。
•主分配设施(MDF):大型设施中的配电设施,通常位于数据中心和大型设施的服务器室
•中间分配设施 (1DF):较小的分配区域和设备,将高带宽连接分解成单独的线路或网络布线,用于连接终端、主机或集中式网络交换机。通常位于小型布线室
物理安全措施:
。限制访问:MDF 和 1DF 应在锁定或限制区域内,限制访问。
•高度考虑:避免在地下室或低于地面的区域设置 MDF 和 1DF,以防洪水或其他破坏性事件。
近离风险源:特 MDF 和1DF 设置在远离故障高空喷酒器、破损水管或 HVAC设备带来的风险的地方。
3.9.2. 服务器机房和数据中心
1.风险评估
确定数据中心的物理安全风险,确保数据中心的安全性。在评估风险时,请考虑以下方面:
物理访问风险
暖气、通风和空调 (HVAC)
环境风险
火灾风险
2.设计标准
3.运行和维护
•为确保数据中心正常和安全地运行,需要实施适当的程序,包括:
•人员安全:背景调查、培训和访问程序
•维护:确保设施和设备得到及时的维护
•记录、监控和警报:实时监控数据中心的状况,并在发生异常时触发警报
•控制测试和审计:定期检查和测试数据中心的安全措施
例如,在停电时,如果不间断电源(UPS) 的负载能力不足以支持正常运行,需要考虑其他备用能源方案,如柴油发电机。同时,应定期测试和维护发电机,确保燃料充足,并注意燃料可能随着时间推移变质。
3.9.3.媒体存储设施
媒体存储设施需实施环境控制措施,防止存储媒体随时间推移而退化。具体控制措施取決于所存储的媒体、制造商建议和预期威胁,通常包括:
稳定的温度和湿度
空气过滤和正压控制,减少空气中的灰尘、微粒或污染物(如腐蚀性烟雾、柴油发电机或附近车辆的度气)
适当的地板覆盖(如乙烯基地板、橡胶地板),降低静电产生
媒体存储设施应远离可能产生磁场的电气设备(如变压器或电机)
长时间存档数据应定期从存储介质读取并重新记录至新介质,遵循磁带制造商的建议(如每六年一次)
移动存储设备时应采取职责分离、双人控制等措施,并进行记录
重要数据应进行异地备份
执行媒体报皮程序,在处置前对媒体进行消毒(如消磁)和安全销毀,确保敏感信息离开组织后无法从媒体中提取。
3.9.4. 证据存储
证据存储需考虑物理控制,以保护监管链的完整性,确保法庭上使用的证据未被篡改或污染。至少应包括一份日志记录:不可賽灭地记录每件被放入或移出证据库的物品。对证据存储室监管链的控制措施包括:
•制定严格政策,规定谁可以进入证据存储室、将哪些信息记入日志以及管理证据存储室钥匙的程序。
•视频监控:考虑采用运动检测或与门传感器相连的系統,仅在人员进入证据存储室时进行录像。这是因为证据在等待审判期间通常需长期保存,连续的祝频
记录会消耗过多存储空间,或存储时间比典型的证据存储时间短。
•证据存储室需设置双锁门,或在上锁的证据存储室内设立上锁的存储柜。对钥匙的控制需有不同的职费,需要两个人一同进入证据存储室。
3.9.5. 限制区和工作区的安全
限制区和工作区安全涉及一系列措施,旨在保护特定区城(如办公区或受限制的政府办公区)的安全。这些特施包括对进入区域的人员审查、安装监控系统和设置门禁系统等,以防止未经授权的人员进入,保护区域内的人员和资源。
工作区安全应基于风险评估(包括威胁建模),遵循安全原则和适当的控制措施设计,以降低风险。需要考虑的因素包括:
1.最小权限和知其所需
基于正式批准的政策和程序,仅允许个人在履行职责所需范園内进入限制和安全区域。定期审查访问权,确保访问理由未改变,并保持详细的可审计记录。
2.职责分离和/或双重控制
根据风险评估,可能需要一名以上经过认证的工作人员在场才能进入安全工作区。可通过行政控制(如警卫记录或视频监控)验证,或通过多把锁或电子访问控制执行。
3.纵深防御
•设施应设计为支持安全等级层次的安全控制,从建筑物外部的公共区域到最高安全区域(如最钕感或高风险的资产或工作所在地)。
•门禁系统认证:适当的严格程度和可容忍的误报率取决于被保护区域的安全级别。
•多因素认证技术:用户需要门禁卡和输入 PIN 码,以防止门禁卡的丢失和被冒名顶替者使用。
•纠正性控制:视频监控等侦查性控制和运动检测器、警报器等纠正性控制可作为补偿性控制。
4.合规义务
处理政府或军事分类数据的组织需建立必要的安全控制,如人员身份认证、警卫、电子访问控制等。非军事或政府组织也需满足 GDPR、HIPAA、PCI DSS 等法规或合同义务的安全要求。
3.9.6. 水电和和供暖、通风和空气调节 (HVAC)
公用设施包括电力、水、通讯和供暖、通风和空调。需要关注以下几点:
1.电力管理设备:
•浪涌保护器:提供电源过载保护。
•电源调节器:高级版浪涌保护器,消除或过滤线路噪音。
•不间断电源 (UPS):提供额外电力供设备正常关机。
•备用电池:供整个基础设施运行,存在电池切换中断。
•发电机:高级版备用电池,理论上燃料不断电力不断。
2.电力问题术语:
•做障(Fault):瞬时断电。
停电(Blackout:完全失去电力供应。
•降(Sag):瞬时低电压。
•低电压(Brownout):长时低电压。
•尖峰(Spike):瞬时高电压。
•浪涌(Surge):长时高电压。
突入(nrush):通常气進接到电源相关的初始电力浪涌。
•接地(Ground):电路中接地导线。
3.噪音:
通过某种形式的干扰、中断或流动而产生的功率干扰。电磁干扰 (EMI) 和射频干扰(RF)) 影响丁设备正常运转。
4温度、湿度和静电:
•温度范围:15-32 摄氏度
•湿度范围:20%-80%
•注意湿度过高导致腐蚀,湿度过低产生静电。
5.水:
敏感区域需完善排水系统,防止水灾。
3.9.7. 环境问题
1.环境风险因素:
•极端气候(台风、龙卷风、暴风雪等)
•地质灾害(地震、洪水、海味)
-自然灾害(森林火灾、火山)
建筑风险
•生物因素(虫害、野生动物)
应对策略:
合理选址数据中心
避免关键设施置于易受损位置
增强数据中心弹性及灾备计划
-评估供应商风险承受能力
2.疫情风险:
•影响员工或供应商工作
-增加组织压力
应对措施:
1) 实行远程办公
2) 转移工作至受影响较小地区
3.采用云服务:
•转移关键业务至安全区域
•利用分布式数据中心降低风险
3.9.8火灾预防、探测和扑灭
保护人员生命与健康优先于保护设施和建筑物,确保人员能够安全的离开建筑
3.9.8.2 火灾燃烧四个主要阶段:
•电离反应:物质与氧化剂发生化学反应,释放能量。
。烟雾:物质中的有机成分在高温下开始分解,产生烟等。
•火焰:火灾可见的部分,通常以黄色或橙色为主。
•燃烧:物质完全燃烧,产生大量的热量和光。
3.9.8.3 火灾探测
1.热感应:
•固定温度探测器:温度到达阈值就触发
•上升率探测器:温度上升速率到达阈值就触发
2火焰感应:感应火焰的闪烁或火焰的红外能量。
3烟雾感应:
•光电式:感应光强度的变化
•光束式:感应烟雾打断光束来检测烟雾
•电离式:感知放射性材料正常电离电流的干扰
•吸气式:将空气吸入采样室,并感知微量的烟雾。
3.9.8.5 火灾响应系统:
•自动通知消防部门
•联动灭火系统进行灭火
3.9.8.6 喷水灭火系统
•湿管:管道中一直都有水,在特定的温度下释放水。用于常温环境。
•干管:在喷头被触发之前,供水管道中没有水。常用于暴露在冰点温度下的仓库。
•洪水:千管式的变种,能快速输送大量的水。用于需要大量水来扑灭火灾的场所。
•预作用:管道里充满压缩气体,检测到火火后开始注水,达到一定温度才会喷水。被推荐用于信息处理区,因为它通过允许人工干预来减少意外排放的风险。
重点习题
1. Mathew 的工作是一家咨询公司的安全管理员,他必须执行访问控制策路,根据用户的先前活动限制其访问权限。例如,一旦顾问访问 Acme Cola(一家咨询容户)的数据,他们就不能再访问任何 Acme 的竞争对手的数据。哪种安全模型最适合 Matthew 的需求? A. Clark-Wilson B. Biba C. Bell-LaPadula D. Brewer-Nash
3.Ralph 正在为一个几乎没有员工的新计算设施设计物理安全基础设施。他计划在设施中安装运动探测器,但也希望包括一个用于验证物理存在的辅助验证 控制。以下哪项最适合满足他的需求, A.闭路电视监控 (CCTV) B. 人侵预防系统 (IPs) C. 转门 D.法拉第笼
4.Harry 想从一个使用m个n控制的数据库中恢复一个丢失的加密密钥,其中 m=4,n=8。检索密钥所需的最少托管代理数量是多少? A. 2 B. 4 C. 8 D. 12
5. Fro 的公司正在考應以使应商那里路买热于 web 的电子邮件服冬,并特自已的电子的件服参館环境作为节省成本的措施进行海法。Fian 的公司考虑的是 哪种类型的云计算环境? A. Saas B. laas C. Caas D. Paas
6.Bob 是美国联邦政府的安全管理员,他希望选择一种作为联邦数字签名标准 (FIPS 186-4)批准的数宇签名方法。以下哪种加密算法不是用于数字签名的可接受选择? A. DSA B. HAVAL C. RSA D. ECDSA
7.Harry 想要访问由 Sally拥有并存储在文件服务器上的文档。将主体/客体模型应用于此场景,资源请求的主体是谁或什么? A. Harry B. Sally C.服务器 D. 文档
8. Michael 负责进行取证调查,正在调查一起中度严重的安全事件,该事件涉及对公司网站的篡改。相关的Web服务器运行在虚拟化平合上,市场团队希望尽快恢复网站的运行。Michael 接下来最合理的下一步是什么? A. 在调查完成之前让网站保持离线状态。 B. 将虚拟化平合下线以作为证据。 C.对受损系统进行快照,并将其用于调查。 D.忽略事件,专注于快速恢复网站。
9.Helen 是一名软件工程师,正在开发一段代码,她希望将其限制在一个隔离的沙箱中以实现安全目的。Helen 正在使用哪种软件开发技术? A. 界限 B. 输入验证 C.限制 D. TCB
10. 描述了组织对其控制措施满足安全要求的信心程度的额念是什么? A. 信任 B.证书颁发 C. 验证 D. 确保
11. 当开发人员为了测试目的而试图方便自己访问他们开发的软作的,最有可能在代码中引入哪种安全漏洞? A. 维护钩子 B.跨站脚本 C. SQL注入 D.缓冲区溢出
12. 在此图中,由于 Biba 完整性模型的限制,Sally 无法读取该文件。Saly 器有机密级别的安全许可,而该文件具有机密级别的分类。正在执行 B0a 模型约豆个原则? Sally Read Request Data File A. 简单安全性属性 B. 简单完整性属性 C \*-安全性属性 D.\*-完整性属性
13.Tom 负责维护用于拉制位于发电厂內的工业过程的系统的安全性。居于福 述这些系统的术语是什么? A. POWER B. SCADA C. HAVAL D. COBOL
14. Somia 最近因硬件放醇人巷记本电脑上拆下了一块加盛硬益,并特其巷动到了新设香上。尽管她如道用户的害理,但地在访问提益上的品造内参的道的子国难。是什么硬件安全梅性可能号致了这个同還? A. TCB B. TPM C. NIACAP D. RSA
15.cors 想要给证他下製的软什包是否 酒始饭在想K超。迎果他以为技水上熟综的攻台考司能替换了软件包并加人了后门,他应该使用什么哈希工員? A. MD5 B. 3DES C. SHA1 D. SHA 256
对于第 16 到 19 题,请参考以下情景: Alice 和 Bob 希望使用非对称加密系统进行彼此之间的通信。他们位于国家的不同地区,但通过使用由相互信任的证书须发机构签名的数宇证书交换了加密密 钥。 16. 如果 Alice 想要给B0b 发送一条加密的消息以保证机密性,她使用哪个密钥 来加密消息? A. Alice 的公钥 B. Alice 的私钥 C.Bob 的公钥 D.Bob 的私钥 17.当Bob 收到Aice 发送的加密消息时,他使用哪个密钥来解密消息的明文内 A. Alice 的公钥 B. Alice 的私钥 C.Bob 的公钥 D.Bob 的私钥 18. 在这种情景中,Bob 不会拥有以下哪一个密钥? A. Alice 的公钥 B. Alice 的私钥 C. Bob 的公钥 D.Bob 的私钥 建数宇签名? 19. Alice 还想对她发送给 Bob的消息进行数宇签名。她应该使用哪个密钥来创 A. Alice 的公钥 B. Alice 的私钥 C. Bob 的公钥 D.Bob 的私钥
20.下面哪一个名称用于尝试打败彩虹表攻击的密码中添加的随机值? A. 哈希 B. 盐值 C.扩展器 D.钢筋
21.以下哪一项不是哈希算法的属性? A 它们需要一个加密密钥。 B.它们是不可逆的。 C.非常难以找到具有相同哈希值的两个消息。 D.它们接受可变长度的输入。
22. 当检测到火灾的初期阶段后,什么类型的灭火系统在一个阀门打开后填满水,并要求喷头加热后才会释放水? A. 湿管 B. 千管 C.淹没 D.预动作
23.Susan 想要以一种方式配置 IPsec, 以保证数据包内容的机密性。IPsec 的哪个组件提供这种功能? A. AH B. ESP ALin C. IKE D. ISAKMP
24.以下加密目标中的哪一个保护设备丢失或被盗时所带来的风险? A. 不可抵赖性 B. 身份验证 C.完整性 D. 机密性
25.1oanna 想要查看她所在组织用于建领控制的工业控制系统的状态。她应该询问关于哪种类型的系统的访问权限? A. SCADA B. DSS C. BAS D. ICS-CSS
26. 在这里显示的图中,Harry 的写人数据文件的请求被阻止了。Harry 拥有机密级别的安全许可,数据文件具有机密级别的分类。是哪个 Bell-Lapadula 模型的原则阻止宁这个请求?写人请求 A. 简单安全属性 B.简单完整性属性 C.l*-安全属性 D.自由裁量安全属性
27.Aoran 和Tobias想要开始使用对称加略系统进行通信。但是他们没有额染安排的空钢,并且无法莱自会西米交换密钥。他们可以使用什么算法来安全地 交换密钥? A. IDEA B. Diffie-Hellman C. RSA D. MD5
28. Carl 的组织最近进行了用户访问审查。审查结束后,审计人员注意到了几起特权蔓延的情况。违反了哪个安全原则? A. 安全失败 B. 保持简单 C.信任但验证 D.最小特权
29. Matt 的组织最近采用了零信任网络架构。根据这种方法,在授予主体对资源的访问权限时,以下哪一项标准最不适用? A. 密码 B. 双因素身份验证 C.IP地址 D.生物特征扫描
30.Colin 是一家非营利组织的首席隐私官,并协助团队过渡到 “隐私设计”方法。在这种方法下,团队应该拥抱以下哪个原则? A.主动性而非被动性 B. 隐私作为默认设置 C.端到端安全 D.防御深度
31. 密码学原则支持密码算法应该对公众进行审查的观点是什么? A. 安全通过混淆 B. 克尔克霍夫原则 C. 防御深度 D.海森堡原则
32.Ryan 正在为组织的数据中心制定物理访问计划,并希望实施此图示箭头所指示的安全控制。这个控制的名称是什么? A.人阱(Mantrap) B. 转门(Turnstile) C. 入侵防御系统( Intrusion prevention Sstem) D.门户(Portal)
33. 以下哪个选项不描述机房的标准物理安全要求? A. 仅放置在由安保人员监控的区域。 B.不要在机房存放易燃物品。 C. 在门上使用传感器记录进出情况。 D.定期检查机房。
35. 最近,Lana 在她的组织中实施了一项新流程,根据该流程,负责向用户授子系统访问权限的经理不被允许参与访问审查。她正在执行哪个原则? A.两人控制 B. 最小权限 C.权限膨胀 D.职责分离
36. 以下关于系统开发的陈达哪些是正确的?(选择所有适用项。) A 如果用户不进行其他配置,系统应设计为以安全方式运行。 B. 如果系统遇到错误,应设计为回退到安全状态。 C.系统应设计为将安全作为设计特性之一。 D.系统应以尽可能简单的方式保持其功能。
37.Alen 正在律查一个根据通用标准铁得了EAL 评估保证级别的系统。关于设系统,他可能拥有什么程度的保证? A.它己经通过功能测试。 B.它已经通过结构测试。 C.它已经进行了形式验证、设计和测试。 D.它已经经过系统地设计、测试和审查。
38. Jake 在一个研究机构工作,该机构正试图部署一个网格计算系统,该系统将对用户工作站进行循环搜索,以进行需要高性能计算的研究任务。与此操作相关的最重要风险是什么? A.数据保密性 B.隔离破坏 C.数据完整性 D.数据可用性
39. Eimear 的软件开发团队使用一种方法,通过使用 API 将许多离散的软件对象绑定在一起。最适合描述这种架构的术语是什么? A. 微服务 B. 功能即服务 C. 容器化 D.虛拟化
40. Adam 最近在 NTFS 文件系统上配置了权限,以通过逐个列出每个用户来描述不同用户对文件的访问权限。他创建了什么? A.访问控制列表 B. 访问控制条目 C.基于角色的访问控制 D. 强制访问控制
41. Betty 对针对其组织的自定义应用程序的缓冲区溢出攻击表示担忧。哪个安全控制措施对这些攻击提供最强的防御? A. 防火墙 B. 人侵检测系统 C. 参数检查 D.漏洞扫描
42.以下那种控制措施的组合最能体现防御层次深度的原则 A. 电子邮件加密和网络入侵检测 B. 云访问安全代理(CASB) 和安全意识培训 C. 数据丢失防护和多因素身份验证 D.网络防火墙和主机防火墙
43.James 正在使用一种被授权同时处理机密和绝密级别信息的国防部系统。他正在使用什么类型的系统? A. 单状态系统 B. 无分类系统 C.专用系统 D.多状态系统
44. Kyle 被授子访问一个使用系统高模式的军事计算机系统。关于kyle 的安全申批要求,以下哪项是不正确的? A.Kvle 必须具备对系统处理的最高级别的机密信息的申批,无论他的访问 权限如何。 B.kyle 必须获得处理系统中所有信息的访问批准。 c.kyle 必须对系统处理的所有信息具备合法的知晓需求。 D.Kyle 必须具备有效的安全审批。
45. Gary 截获了两个人之间的通信,并怀疑他们正在交换秘密消息。通信内容 似乎是这里显示的图像。这两个人可能使用什么类型的技术将消息隐藏在这个图像中? A 视觉密码学 B 隐写术 C 密码哈希 D 传输层安全
46. Phiip正在开发一种新的安全工具,将被组织的许多不同子公司的个人使用。他造样使用 Docker来部署工具以简化配置。以下哪个术语最能描述这种方法? A. 虚拟化 B. 抽象 C. 简化 D.容器化
47. 在这里显示的环形保护模型中,哪个环包含操作系统的内核? A 环0 B 环1 C 环2 D 环3
48. 在基础设施即服务(laaS)环境中,供应商向客户提供存储服务的访问权限。通常由谁负责从停用的磁盘中删除敏感数据? A. 客户的安全困队 B. 客户的存储团队 C. 客户的供应商管理团队 D. 供应商
49. 在系统审计过程中,Casey 注意到她组织的 web 服务器的私钥己经存储在公共的 Amazon S3存储桶中超过一年。她应该首先采取以下哪项措施? A. 从存储桶中删除密钥。 B. 通知所有客户可能已经暴露其数据。 C. 使用新密钥请求新的证书。 D.什么都不做,因为私钥应该可以访问以进行验证。
50. 以下哪个系统保证过程提供了对系统控制的独立第三方评估,可以被许多不同的组织信任? A. 认证 B. 定义 C 验证 D 认可
51.Darcy 的组织正在部署无服务器计算技术以更好地满足开发人员和用户的器求。在无服务器模型中,通常由谁负责配置操作系统的安全控制? A. 软件开发人员 B. 网络安全专业人员 C. 云架构师 D. 供应商
52. Harold 正在评估他的环境对硬件放障的容易受损性,并希望确定一件硬件的预期寿命。他应该使用什么度量标准? A. MTTR B. MTTF C. RTO D. MTO
53. Chris 正在为公司设计一个用于内部使用的加密系统。该公司有1,000 名员工,他们计划使用一种非对称加密系统。他们希望该系统设置为任意一对用户可以私密通信。他们总共需要多少密钥? A. 500 B. 1,000 C. 2,000 D.4,950
54. Gary 担心为组织中使用的许多移动设备应用一致的安全设置。哪种技术最能帮助解决这个挑战? A. MDM B. IPS C. IDS D. SIEM
55.Alirce 向Bob 发送了一条消息:Bah想向 Chartle 证明他收到的消息确安来自 Alice。Bob 试图实现的密码学目标是什么? A. 身份验证 B. 机密性 C. 否认防止 D.完整性
56.pronda正在考感在她的组织使用新得身份证来进行物理访问控制,她遇到了一种使用如下所示卡片的军事系统,请问是和类型的卡片? A. 智能卡 B. 近距离卡 C磁条卡 D.第三阶段卡片
57.Gordon担心黑客可能利用苑艾克振射现象远程读取他设施內受限工作区战的计質机豆系器的内容。哪种技术可以防止这种类型的攻击? A. TCSEC B. SCSI C. GHOST D. TEMPEST
58.Jorge 相信攻击者已经获得了他组织的一个 Active Directory 服务器上 Kerberos 服务账户的哈希值。这可能会导致哪种类型的攻击? A.黄金票据攻击 B. Kerberoasting 攻击 C. 传递票据攻击 D. 暴力破解
59. Sherry 对她细织中使用的密码技术进行了清查,并发现以下算法和协议在使用中。她应该更换其中哪个技术,因为它已不再被认为是安全的? A. MD5 B. AES C. PGP D. WPA3
60.Robert 正在调查一起安全漏洞,并发现 Mimikatz 工具安装在他环境中的一个系统上。这种攻击类型很可能发生了什么? A. 密码破解 B. 密码哈希传递 C. MAC 欺骗 D.ARP 毒化
61. Tom是一位密码分析员,正在试因破解一种密码算法的秘密密钥。他有一优被加密的拦截消息的副本,同时也有该消息的解密明文的副本。他希望利用加空的消息和其明文米检素秘密密钥,解密其他消息。 Tom参与了哪种类型的攻击 A.已选择密文攻击 B. 已选择明文攻击 C.已知明文攻击 D.暴力破解
62一名黑容最近通过使用精确的时序攻击破坏了 James 公司数据的完整性。 支击者等待James 使用哈希值验证文件内容的完整性,然后在James 验证完整性并读取文件内容之间修改了文件。发生了哪种类型的攻击? A.社会工程攻击 B.TOCTOU 攻击 C.数据篡改攻击 D.参数检查攻击
63. Carl 部署了一组视频传感器,这些传感器将放置在偏远位置作为研究项目的一部分。由于连接限制,他希望在将结果发送回云进行进一步分析之前,尽可能名地在设备本身上进行图像处理和计算,哪种计算模型最能满足他的需求? A. 无服务器计算 B.边缘计算 C.基础设施即服务 (laas)计算 D.软件即服务(Saas)计算
64. 在重新使用固态驱动器之前,您可以采取什么措施来防止由于固态驱动器上的磨损平衡而导致意外数据泄露? A. 重新格式化 B. 磁盘加密 C. 磁化消除 D.物理销毀
65.Johnson wrdoers 严格限制对总销售额信息的访问,特其视为竞争机密。然而,发货员司以无限制地访问订单记录以促进交易完成。最近,一名发货员成数据库中提取了一不委度的所有个人销售记录,并对它们进行了汇总以确定总销售额。发生了哪种类型的攻击? A. 社会工程攻击 B. 推断攻击 C. 聚合攻击 D. 数据篡改攻击
66 哪种物理安全控制不断广播虚假辐射以掩盖计算设备真正的电磁辐射 A. 法拉第笼 B. 铜包覆窗户 C.屏蔽电缆 D.白噪声
67. 在软件即服务云计算环境中,通常由谁负责确保适当的防火墙控制措施以保护应用程序? A. 客户的安全团队 B. 供应商 C.客户的网络团队 D. 客户的基础设施管理团队
68. Alice 拥有对象的读取权限,并希望 Bob 也拥有相同的权限。Take-Grant保护模型中的哪条规则允许她完成这个操作? A. 创建规则 B. 删除规则 C.授予权限规则 D.接受权限规则
69. 作为其事件响应过程的一部分,Charles 安全擦除了被入侵机器的硬盘,并从原始介质重新安装了操作系统(0S)。完成后,他完全打补丁并应用了组织的安全模板,然后将系统重新连接到网络。几乎在系统重新启用后不久,他发現它重新连接到了之前所属的同一个僵尸网络。Charles 应该在哪里寻找导致这种行为的恶意软件? A.操作系统分区 B. 系统的 BIOS 或固件 C.系统内存 D.安装介质
70. Lauren 实施了地址空间布局随机化(ASLR) 来帮助防止系统被攻破。她使用了哪种技术来保护她的系统? A. 加密 B. 强制访问控制 C.内存地址随机化 D. 自主访问控制
71.Alan 拦截了一条加密消息,并想确定用于创建该消息的加密算法类型。他首先进行了频率分析,并注意到消息中字母的频率与英语中宇母的分布非常接近。最有可能用于创建这条消息的是哪种类型的密码? A. 替换密码 B. AES C.转位密码 D. 3DES
72.双DES(2DES)加密算法从未被用作 DES 算法的可行替代方案。2DES 容易受到一种攻击,而DES 或3DES 方法不存在这种攻击。这种攻击是哪种实现攻击? A. 选择明文攻击 B. 暴力破解攻击 C. 中间人攻击 D. 两次中间人攻击
73.Grace 想在她的组织中实施应用程序控制技术。用户通常需要安装新的应用程序进行研究和测试,她不想干扰这个过程。同时,她希望阻止使用已知的恶意软件。在这种情况下,什么类型的应用程序控制是合适的? A. 黑名单控制 B. 灰名单控制 C. 白名单控制 D.蓝名单控制
74.Warren 正在为一家敏感媒体存储设施设计物理入侵检测系统,并希望包括一种技术,如果警报系统的通信线路被意外切断,会发出警报。哪种技术可以 满足这个要求? A.心跳传感器 B. 辐射安全技术 C.运动探测器 D.法拉第笼
75.John 和Gary 正在进行商业交易谈判,John 必须向 Gary 证明他可以访问系统。他使用了如下所示的-魔法门”场景的电子版本。John使用了什么技术? A分割知识证明 B 零知识证明 C.逻辑证明 D.数学证明
76.在扫描无线网络上的所有系统后,Mike 注恋到一个系统被识别为运行着一不非常过时的革樂移动操作系统版本的 ios 设备。在进一步调查时,他发现该设备是一台原始的ipad,“并且无法升级到当前安全的探作系统版本。对于处理这个设备,最好的选择是什么? A. 淘汰或更换设备。 B. 将设备隔离在一个专用的无线网络中。 C.在平板电脑上安装防火墙。 D. 重新安装操作系统。
77. Tonya认为攻击者能够通过进行 DNS 投毒攻击来窃听她的用户和远程 Web 服务器之间的合法 HTTPS 通信。在进行 DNS 投毒之后,攻击者可能会使用什么技术来进行窃听? A. 中间人攻击 B. 暴力破解 C.定时攻击 D.中会中攻击
78.Howard 正在为他的组织选择一种加密算法,他希望选择一种支持数宇签名的算法。以下哪种算法符合他的要求?、 A. RSA B. 3DES C. AES D. Blowfish
79. Laura 负责确保公司的基于 Web 的应用程序的安全,并希望为开发人员进行一次关于常见 Web 应用程序安全漏洞的教育计划。她可以在哪里找到一个简明扼要列出最常见的 Web 应用程序问题的清单? A. CVE B. NSA C. OWASP D. CSA
80. Bell-LaPadula 和Biba 模型以一种使用了什么特定状态机模型的方式来实现 状态机? A. 信息流 B. 非干扰性 C.级联 D.反馈
81在第三方漏洞扫描和交全测试期间,Danielle的雇主最近发现了安装在公司新建筑物中用于管理的联入式系统存在严重的近程访向漏洞。制造商已经倒闭,这些设备没有任何补丁或更新。对于数百个存在漏洞的设备,Danieile应该建议她的雇主采取什么措施? A 确定替代设备型号并更换每个设备。 B. 关闭所有设备。 心.将设备迁移到安全且隔离的网络段。 D. 反向工程设备并构建内部补丁。
82. 哪种类型的运动探测器感应被监测区域中电磁场的变化? A. 红外线 B.波形 C. 电容 D. 光电
83.Mike 的任务是防止像 Mirai 这样的恶意软件爆发,Mirai 是一个针对 IP摄像头和路由器的僵尸网络。他的组织应该保护哪种类型的系统? A. 服务器 B. SCADA C.移动设备 D.物联网(IoT)设备
84. 关于 Biba 访问控制模型,以下哪种说法是正确的? A. 它涉及保密性和完整性。 B. 它涉及完整性和可用性。 C.它防止了隐蔽信道攻击。 D.它侧重于保护对象免受完整性威胁。
85. 在传输层安全中,用于加密web 服务器和客户端之间实际通信内容的是什么类型的密钥? A. 短暂会话密钥 B. 客户端的公钥 C.服务器的公钥 D. 服务器的私钥
86 Beth 希望在数据中心的安全区城中使用技术来防止不必要的电磁池漏。以下哪种技术司以帮助她实现这个目标? A. 心跳传感器 B. 法拉第笼 C 捎带确认(Pigqybacking) D. WPA2
87. 在违拟化计算环境中,哪个组件负责执行宿主机之间的隔离? A. 客户操作系统 B. Hypervisor (虚拟机监视器) C. 内核 D.保护管理器
88 Rick是一名主要使用Python 进行应用程序开发的开发人员。最近,他决定 评估一个新的服务,他持自己的Python 代码提供给供应商,然后在供应商的服务器环境中执行。这种服务属于哪种类型的云计算环境? A. Saas(软件即服务) B. Paas (平合即服务) C. laas (基础设施即服务) D. Caas(容器即服务)
89.Kim 管理的数据中心的主要 HVAC 系统出现了组件故障,导致温度升高警报。在解决问题后,kim 应考虑以下哪项措施以防止类似的问题再次发生? A. 闭环冷却器 B. 冗余冷却系统 C. 蒸发冷却器 D.将数据中心迁移到更寒冷的气候地区
90. Tommy 计划为他的数据中心的一个机架安装一台电源调节 UPS。如果以下哪种情况持续一段时间,UPS 将无法防护? A. 故障 B. 停电 C. 电压下降 D.噪声
91. 以下哪个湿度值处于数据中心运营的可接受范围内? A. 0% B. 10% C.25% D.40%
92.Kristen 的组织遭受了 勒索软件感染,无法访问关键业务数据。她正在考虑支付赎金以恢复对数据的访问权限。关于这种付款,以下哪些说法是正确的? (选择所有适用的选项。) A. 支付赎金可能是非法的。 B.支付赎金可能导致进一步的支付要求。 C.支付赎金可以确保获得解密密钥。 D.支付赎金可能导致数据泄露。
93 Alex的雇主大部分工作成果都是以 PDF文件的形式创建的。Alex担心PDF文件的受众限制在那些付费的人员范團内。他可以使用以下哪种技术最有效地控制对这些文件的访问和分发? A.EDM(电子文档管理) B. 加密 C.数宇签名 D.DRM(数宇版权管理)
94. 作为团队法证调查流程的一部分,Matt 在使用存储设施之前要签出驱动器和其他证据。他正在创建哪种类型的文件? A. 刑事文件 B.证据链 C.民事文件 D.CYA(自我保护)
95.Todd 认为他的组织使用的数宇证书已被破坏,他想将其添加到证书吊销列表(CRL) 中。证书的哪个元素会出现在 CRL中? A. 序列号 B. 公钥 C. 数字签名 D.私钥
96.Alison 正在检查银行网站提供给她的数字证书。以下哪个要求对她信任数宇证书而言是不必要的? A. 她知道服务器属于银行。 B. 她信任证书颁发机构。 C. 她验证证书未列在 CRL上。 D. 她验证证书上的数宇签名。
97. 以下哪个是使用隐蔽时间通道从组织中窃取信息的示例? A. 发送电子邮件 B. 在点对点文件共享服务上发布文件 C.以摩尔斯电码的节奏输入 D.向共享内存空间写入数据
98. 以下哪一项对于使用自签名数宇证书的合理应用? A.数宇商务网站 B. 银行应用 C. 内部调度应用 D. 客户门户
99. 罗恩正在调查一起发生在高度安全的政府设施中的安全事件。他认为在攻击过程中加密密钥被窃取,并找到了攻击者使用干冰冷冻加密组件的证据。这种攻击很可能是什么类型的攻击? A.侧信道攻击 B. 暴力破解攻击 C.时序攻击 D.故障注入攻击
100. 將以下编号的安全模型与相应的字母安全描述进行匹配 安全模型 1. Clark-Wilson 2. Graham-Denning 3. Bell-LaPadula 4. Biba 描述 A. 该模型阻止低等级对象访问高等级对象,从而确保机密性。 B. 该模型的*属性可总结为“无撰写” C.该模型使用安全标签通过转换程序和受限接口模型授子对象访问权限。 D.该模型通过八个主要保护规则或操作专注于安全地创建和删除主体和对象。
101. 将以下编号的架构安全概念与相应的字母描述进行匹配 架构安全概念 1. 时间检查 2.隐蔽通道 3. 使用时间 4. 维护钩子 5. 参数检查 6. 竞态条件 描述 A.一种用于在通常不用于通信的路径上传递信息的方法 B.利用系统行为对外部事件序列的依較进行攻告 C.主体检查对象是否可用的时间 D.主体可以访问对象的时间 E.仅由系统开发者知道的访问方法 F. 一种可以帮助防止缓冲区溢出攻击的方法