导图社区 CISSP学习笔记-域4(通信和网络安全)
- 59
- 0
- 0
- 举报
CISSP学习笔记-域4(通信和网络安全)
这是一篇关于CISSP学习笔记-域4(通信和网络安全)的思维导图,主要内容包括:练习题,知识点。
编辑于2024-03-31 11:18:11- CISSP
- 考试复习
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
CISSP学习笔记-域4(通信和网络安全)
社区模板帮助中心,点此进入>>
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
- 相似推荐
- 大纲
CISSP学习笔记-域4(通信和网络安全)
知识点
4.1 评估和实施网络架构中的安全设计原则
4.1.1 OSI和TCP/IP模型
4.1.1.1 OSI和TCP/IP对比
4.1.1.2 针对网络模型各层的攻击向量
1. 物理层
•被动嗅探
•电气干扰
•切断电缆
2. 数据链路层
•伪造 MAC 地址(如:ARP 欺骗)
3.网络层
•MITM 攻击
•拒绝服务(DoS)攻击
4. 传输层
•SYN 洪水攻击
•会话劫持
5. 会话层
•皮弃的安全套接字层(SSL)协议的弱点
•不太安全的传输层安全(TLS)版本
6. 表示层
•针对加密方案的攻击
7. 应用层
•应用层协议的弱点(如:HTTP、FTP 等)
•SQL注入
•跨站脚本(XSS)攻击等常见的Web 攻击
4.1.2. 互联网协议 (IP) 网络
利用IP、ARP、ICMP 和IGMP 等核心协议,互联网层负责数据包的寻址、打包和路由功能,使互联网成为现实。IP 有两个版本:IPV4(第4版) 是目前使用的主要版本,而IPv6 (第6 版)是连接互联网的设备正在演进的版本。
4.1.2.1 IP v4
IP v4 使用32 位地址,从理论上讲,几年前就已经用完了。然而,随着网络地址转换 (NAT)、私有IP地址和其他技术的出现,IPV4 的寿命得到了延长。
1. IPv4 范围
2. NAT
NAT 是一种技术,用于将一个或多个本地(内部)IP 地址映射到一个或多个全球(外部)IP地址,反之亦然。
4.1.2.2 IP V6
IPV6 将IPV4 的 有限的 32位地址扩展到 128 位用于寻址。它还包括诸如地址范国、自动配置、安全性 和服务质量 (Q0S) 等功能。
4.1.2.3 网络攻击
4.1.2.3.1 分布式拒绝服务攻击
典型的 DDoS 攻击由大量的单个机器组成,这些被控制,在短时间内以压倒性的流量轰击目标。
4.1.2.3.2 SYN 洪水(SYN Flooding)
SYN 洪水是利用TCP 协议特性发起的 DoS攻击。攻击者发送大量 SYN数据包给目标,但不回应 SYN-ACK 数据包,导致目标系统资源耗尽,软件崩溃。防御措施包括:扩大后备队列、回收日的半开连接、使用 SYN cookies技术
4.1.2.3.3 中间人攻击 (MTM)
在 MITM 攻击中,攻击者拦截信号,并在停止传输或允许信息到达预定收件人之前秘密地转发(并可能改变)通信。
防御手段:认证、篡改检测
4.1.2.3.4 数据包嗅探
数据包窃取可以包括抓取传输中的数据包,并试图从内容中提取有用的信息。
一些数据包中包含有用户名、密码、IP地址、信用卡号码和其他有价值的有效载荷。加密敏感流量是防止网络窃取的最好方法。
4.1.2.3.5 劫持攻击
劫特攻击是网络通信中的惡意干扰,分为连接劫持(如 ARP 欺骗、DNS 劫持)和会话劫持(如中间人攻古),旨在截获会话令牌或 cookie 以获取敏感信息并冒充受害者。
4.1.2.3.6 MITRE ATT&CK 框架
MITRE ATT&CK 是由 MITRE 公司开发的,旨在为安全专家在其组织中开发威胁模型和方法打下基础,并提供战术和技术。
4.1.3. 安全协议
4.1.3.1 SSH(安全外壳协议)
••替代 Telnet,通过TCP 进行加密的交互式文本通信
•防止会话劫持和 MITM 攻击
•SSH-1 不安全,SSH-2 安全
4.1.3.2TLS(传输层安全)
•取代 SSL,成为安全网络流量的主要协议
•保护 HTTP 会话和其他端到端加密需求
•支持服务器认证和客户端与服务器之间的相互认证
SSL3.0已被发现容易受到 POODLE 攻击,故已不安全
4.1.3.3 Kerberos
•保护登录凭证的通信协议
•使用票据概念,允许不安全网络上的系统安全地证明身份
4.1.3.4. IPSec (P 安全协议)
IPSec 是一套协议,旨在为通过 IP 网络发送的数据提供保密性、完整性和认证。
•IPSec 主要由以下几部分组成:
1认证头 (AH):提供数据源认证和数据完整性保护。它能检测数据在传输过程中的任何篡改,并确认发送方的身份。
2.封装安全有效载荷 (ESP):提供数据源认证、数据完整性保护以及加密。通过加密数据有效载荷,ESP 确保了通信内容的保密性。
3,安全关联(SA):为 IPSec 协议提供参数,包括密钥和加密算法等。SA 定义了如何处理传输中的数据以及如何处理 AH 和ESP。
•IPSec 有两种工作模式:
1.传输模式 :仅加密和认证 IP 数据包的有效载荷(数据部分)。适用于端到端的通信安全,保护数据的完整性和保密性。
2隧道模式:加密和认证整个IP 数据包,包括数据和IP 头部信息。这种模式用于创建安全的通信隧道,如 VPN,连接两个网络节点,保护整个数据传输过程。
4.1.3.5 互联网密钥交换 (IKE)
-IPSec 套件的一部分,用于在两个实体之间建立安全通信通道
•通常使用 X .509 PK 证书进行认证,利用 Dittie-Hellman-Merkle 密钥交换协议建立共享会话密钥
•两个版本:IKEV1 和 1KEv2,都容易受到离线宇典攻击,需要高熵密码保护
4.1.4. 多层协议的影响
1.介绍
•多层网络通信协议允许不同系统之间相互通信
•常见的多层协议:TCP/IP 网络协议套件
•示例:分布式网络协议 (DNP3),用于工业控制系统 (ICS) 和监控控制与数据采集(SCADA) 网络,包括数据框架层、传输层和应用层。
2. 多层协议优点
•可在更高层使用各种协议
•加密可包含在各个层中
•支持复杂网络结构中的灵活性和弹性
3. 多层协议缺点
•允许隐蔽通道
•可绕过过滤器
•逻辑上强加的网段边界可超越
4.1.5. 融合协议
融合协议结合了专有协议和标准协议(如 TCP/P 套件协议),旨在降低对昂贵专有硬件的依赖,并提供根据所使用融合协议的不同性能。以下是一些主要的融合协议:
4.1.5.1 以太网光纤通道 (FCOE)
•应用:存储区域网络(SAN) 解决方案
•技术:使用光纤通道协议和专门的网络设备
•速度:高速运行(最低 10 Gbps)
•OS1 模型位置:第二层
•发展:IP 光纤通道(FCIP)作为后续技术,适用于更广泛的网络环境
4.1.5.2 互联网小型计算机系统接口 (iSCSI)
•应用:光纤通道的低成本替代品
•技术:基于IP 的网络存储标准
•优势:便于通过网络连接远程存储卷
4.1.5.3 多协议标签交换 (MPLS)
•应用:高性能网络技术,用于创建虚拟专用电路
•技术:根据短路径标签引1导数据,提高转发速度
•0S1 模型位置:第2.5层(介于数据链路层与网络层之间)
4.1.5.4 互联网语音协议 (VoP)
•应用:廉价的电话解决方案
技术:使用多种技术在IP 网络上封装语音通信和多媒体会话
•优势:成为企业和个人的主流电话解决方案
4.1.6.微分段
微分段是一种在网络中创建区域的方法,用于隔离资源并为每个网段提供独立保护。当需要访问跨区资源时,微分割要求重新认证。以下是一些与微分段相关的技术:
4.1.6.1 软件定义网络 (SDN)
1.管理方法:集中管理网络,实现跨供应商、应用和技术的统一管理
2.标准:OpenFlow(最早的SDN标准之一)
3.架构层次:
。基础设施层 (数据平面):包括网络交换机、路由器和数据转发过程
。控制层:确定流量流动方式,根据基础设施层状态和应用层需求进行决策
•应用层:与控制层对接的网络服务、实用工具和应用程序
4.1.6.2 软件定义安全 (SDS)
•安全模式:由安全软件控制和管理的安全机制
•特点:策略驱动,包括网络分段、入侵检测与预防、用户与设备识别、应用控制等
4.1.6.3 软件定义广域网 (SD-WAN)
•应用:支持广域网架构,特别是与云环境相关的部分
•特点:使用软件控制数据中心与远程网络间的连接和管理服务
•Gartner 提及的四个特性:
1) 必须支持多种连接类型(如互联网、MPLS、LTE 等)
2)可以进行动态路径选择,以支持跨 WAN 连接的负载分担(load sharing)
3) 提供一个简单的界面来管理广域网
4) 必须支持 VPN 和其他第三方服务
4.1.6.4 虚拟可扩展局域网 (VxLAN)
•技术:网络虚拟化技术,将第二层以大网帧封装在第四层 UDP 数据报中
•优势:允许以更大规模划分网络(相较于 VLAN),满足大型多租户公共云供应商需求
4.1.7. 无线网络
三、无线接入点 (WAP)
无线接入点(WAP),有时只被称为接入点(AP),是一种网络工作设备,允许支持无线的设备连接到有线网络。WAP 直接连接到有线局城网,然后使用 Wi-Fi 或其他无线技术(如 Li-Fi) 向该有线局域网提供无线连接。
4.1.7.11 确保无线接入点的安全
1.
现场调查
•目的:识别流氓 AP,确定 AP 位置和配置。
•重要性:确保合规性和安全性,定期进行。
2.确定无线接入点位置
•优化信号覆盖范園:使用中心位置。
•威少信号衰减:避免障碍物、千扰和反射。
3 选择适当的天线类型
•全向天线:广泛覆盖。
•定向天线:集中覆盖特定方向。
4. 选择适当的无线信道
•注意:不同国家/地区拥有不同数量的信道。
5.选择合适的部署模式
•基础模式:包括独立模式(无线容户端互联)、有线扩展(无线客户端连接到有线网络)、企业扩展(多个WAP 为同一ESSID 提供覆盖)、网桥(连接两个有线网络)。
6.设置并管理服务集标识符 (SSID)
•Ad hoc 模式:无线设备在没有集中控制的情况下进行通信。
•ESSID:基础设施模式下的无线网络名称。
°B5S10:Ad hoc 模式下的无线网络名称。
•提高安全性:不广播 SSID 并使用 WPA3。
7.使用限制性门户网站进行认证
•场景:公共无线网络,例如酒店、机场等。
•方法:需要输入凭证、付款或访问代码。
8.实施 MAC 过滤器
•功能:允许授权设备访问 WAP 的列表。
•缺点:难以管理且难以扩展到大型环境。
四、无线攻击
4.1.7.12 信号干扰
概述:恶意活动,压制 WAP,使合法流量无法处理。
防范措施:使用抗干扰技术的设备、进行信号监控、及时检测并消除干扰源等。
4.1.7.13 战争驾驶
概述:是攻击者在移动过程中搜索和定位无线网络以寻找漏洞的行为。这些网络通常是攻击者无权访问的。
防范措施:使用强加密协议、不公开 SSID、限制网络接入权限等。
五 无线传输技术
4.1.7.14 LiFi
概述:使用光传输数据的无线通信技术,使用可见光、紫外线或红外线传输数据。
优点:安全优势,可以控制在物理空问内;速度快,是Wi-Fi带宽的100 倍。
4.1.7.15 蓝牙
概述:无线技术标准,支持短距离点对点无线传输。
优点:不需要基站,设备之间直接连接。
缺点:缺乏加密功能;速度慢。
4.1.7.16 ZigBee
概述:低成本、低功耗、低延迟无线通信标准,基于 IEEE 802,15.4, 应用于物联网。
安全功能:访问控制列表 (ACL);顿计数器;加密(使用 123 位 AES 密钥
4.1.8.蜂窝网络
蜂窝网络是一种无线通信系统,通过分散在地理区城内的小区和基站进行通信。用户通过便携式设备在特定无线电频率下连接到蜂窝站点、其他蜂窝设备或互联网。
蜂窝网络面临的攻击场景之一是利用手机基站进行中间人攻击,以捕获流量。在制定或管理组织的自带设备(BYOD) 政策时,应考虑这些威胁。
4.1.9. 内容分发网络(CDN)
内容分发网络(CDN),也称为内容交付网络,是地理上分布的资源服务、代理服务器和数据中心的集合。该架构模型的性质是提供低延迟、高性能和高可用性的内容,特别是多媒体、电子商务和社交网站。
内容的获取尽可能靠近请求的客户,这导致了更低的延迟和更大的吞吐量。由于数据是在多个司法管辖区 存储或处理的,CDN及其用户必须了解 当地的法规如何影响他们的业务和他们的客户。
4.2. 安全的网络组件
4.2.1. 硬件的运行
一、网络硬件的安全和正确操作
•标准、政策和程序
组织应建立硬件设备安全基线的标准,制定操作和管理这些设备的政策,并正式确定日常操作流程以支持一致的设备管理。
•培训
网络管理员和其他管理或操作硬件的人员,应定期接受正确和安全操作的培训。
•变更管理
配置、补丁和其他变化应被正确记录,并遵循组织的标准变化管理程序。
•冗余电源
在关键的网络基础设施上部署冗余电源,以确保在停电情况下的可用性。
•监测
监测网络设备的故障、异常或其他与安全有关的事件。
•保修和支持
应对所有的网络设备保持有效的保修,以便在系统发生故障时提供保障。
二、网络术语
4.2.1.1 数据碰撞(data collision)
如果两个系统同时传输,试图同时使用网络媒介,就会发生数据碰撞,其结果是一个或两个信息可能被破坏。
4.2.1.2广播域(broadcast domain)
是计算机网络的一个逻辑划分,其中所有节点都可以通过数据链路层(第二层)的广播到达对方。
4.2.1.3 碰撞域(colision domai)
由使用共享媒体连接的所有设备组成。其中设备之间随时可能发生碰撞。
三、网络组件
4.2.1.4 防火墙
防火墙是用来防止未经授权的数据从网络的一个区域流向另一个区域。
防火墙类型:
1.静态包过滤防火墙:最早和最简单的防火墙设计,在OSI 模型的网络层(第3层)运行,根据既定规则检查每个数据包。这种防火墙不提供认证机制,可能容易受到欺骗。
2 应用级防火堵:在应用层(第7层)运行,对数据包和网络流量进行深度检查。这种防火墙通格作为终端用户和外部网络之间的隔腐器,充当代理。深度检查需要时间,因此这种防火墙是所有类型中最慢的。
3 状态检测防火墙:在OSI模型的网络和传输层(分别为第3和第4层)运行,监控网络连接的状态。基于TCP 的操作方式,记录连接状态以及其他属性,并对这些属性进行过滤。
4 电路级防火墙:仅在 OSI模型的会话层 (第5层)工作,确保TCP 握手完成。没有实际的数据包被检查,也没有任何单个数据包被丢弃。这种防火墙的优点是验证会话,同时掩盖有关受保护网络的任何细节。
5 下一代防火墙 (NGFW):将传统防火墙功能与其他基于网络的安全设备(如IDS 或 IPS)的先进功能结合。在OSl 模型的多个层面运作。
6.多接口防火墙:具有两个或更多网络接口的防火墙,使用一套软件定义的规则来确定哪些流量可以在它所连接的网络之间通过,降低数据在两个网络之问无意中被交换的风险。
7 堡垒主机/隔离主机 (Bastion Host/Screened Host ):位于核心网络路由设备的服务后面或 DMZ 中的特殊用途防火墙或主机。将内部的私人网络与不信任的网络(可能是互联网)分开。充当代理,作为唯一可从外部来源到达的设备,掩盖内部节点的身份,增加一层保护。
防火墙部署架构:
。选择防火墙类型:包括静态包过滤、应用级、状态检测、电路级、下一代
•确定部署位置 :例如网络边界、内部网络划分、DMZ 或核心网络。
•选择防火墙形式:硬件防火墙或软件防火墙。
•选取技术:开源防火墙技术或专有防火墙技术。
•部署方式:物理设备或虛拟设备。
•管理和维护:配置、监控、更新和处理安全事件。
4.2.1.5 中继器、集中器和放大器
•工作在物理层
•延长信号在特定媒体类型上的最大传输长度
•连接使用相同协议的网段
4.2.1.6 集线器(Hubs)
•工作在物理层
•将多个使用相同协议的网络设备连接到同一个碰撞域
•随着交换机的普及,集线器已逐渐被淘汰
4.2.1.7 网桥(Bridges)
•工作在数据链路层
。连接使用相同协议的网段,分割碰撞域
•使用生成树算法(STA)防止广播风暴
•巳被交换机替代,因为交换机具有更高的性能
4.2.1.8 交换机(Switches)
•主要工作在数据链路层
•智能集线器,连接多个设备并创建独立的碰撞域
•高级交换机可 在网络层运行,提供路由功能
•支持 VLAN 划分,有助于提高网络安全和效率
4.2.1.8 路由器(Routers)
••工作在网络层
•基于 IP 进行转发,负责决策和控制网络问流量
•能够连接不同类型的网络,如局域网和广域网
4.2.1.9网关(Gateways)
•通常工作在应用层
•协议翻译器,实现不同网络间的通信
•能够将一个网络的数据流的格式转换为另一个网络可使用的兼容格式
4.2.1.10 代理(Proxies)
•—种特殊的网关
•在网络间充当中介、过滤器、缀存服务器或地址转换服务器
•不进行跨协议翻译,常用于 NAT 服务器
4.2.1.11 局域网扩展器(LAN Extenders)
•多层交换机
•用于扩展一个网段,使其超过特定电缆类型的距离限制
•可作为广域网交换机、广域网路由器、中继器或放大器来实现
4.2.1.12 无线接入点(Wireless Access Points, WAPs)
•工作在数据链路层
。提供无线网络连接,允许设备通过无线方式接入有线网络
4.2.2. 传输介质
一、局域网技术:
4.2.2.1以太网 (Ethernet)
•基于 IEEE 802.3 标准的广播技术,允许多设备在同一介质上进行通信
•实施成本低,易于理解、实施和维护
•通常部署在星形或总线拓扑结构中
•使用双绞线支持双向全双工通信
•在 OSI 模型的物理层和数据链路层工作
•按数据传输率和距离分类:快速以大网(100Mbps)、千兆位以太网(1Gbps)、万兆以太网 (10Gbps)
4.2.2.2 无线局域网 (Wi-Fi)
•遵循 IEEE 802.11 标准的无线通信技术
•分为基础设施模式(通过接入点连接设备)和Ad Hoc 模式(设备之间直接连接)
二、网络布线:
4.2.2.3 同轴电缆
•中心芯为铜线,外层有绝缘层和导电屏蔽层
•实现双向通信,具有抗电磁干扰(EMI) 能力
•比双绞线成本高且更笨重,但信号传输距离更远
4.2.2.4 基带电缆和宽带电缆
•命名约定遵循 xxyyyzZ模式
xx 代表电缆类型所提供的最大速度,yyy 表示它是基带电缆还是毫带电缆,zZ 表示电缆可以使用的最大距离或作为电缆技术的缩写。例如 10Base2 电缆表示:10Mbps 的基带电缆大约 200 米传输距离。
STP 具有金属箔包裹的电线,提供额外保护,使其免受串扰和 EMI千扰
4.2.2.6 导体
•铜线:成本效益高,在室温下性能良好。但有阻力,信号强度会下降
•光纤电缆:传输光脉冲,速度快,抗窃听和干扰,传输距离长,但安装困难,初始费用较高
4.2.2.7其他布线考虑因素
•避免连续使用四个以上的中继器
•遵循5-4-3 规则:最多五个网段,由最多四个中继器和集中器连接,只有三个可以有额外的或其他的用户、服务器或网络设备连接。
三、网络拓扑结构
网络的物理拓扑结构有四个基本变化:环形、总线、星形和网狀。
4.2.2.8 环形拓扑结构
在环形拓扑结构中,设备被连接起来,数据包以单向的环形模式传输。数据是一个系统一个系统地传输,如果一个系统出现故障,整个网络就会中断。
4.2.2.9 总线拓扑结构
总线拓扑结构中的每个节点或系统都由一条线路或主千电缆连接。如果总线与一个区段断开,该区段就会瘫痪。然而,在该段内,节点仍然可以相互联系。
总线拓扑结构的类型有:线性和树形
4.2.2.10 星形拓扑结构
•每个独立节点直接连接到中心节点 (交换机、集线器或集中器)
•所有数据通信必须通过中心节点,可能成为瓶颈或单点故障
•易安装和维护,网络故障容易隔离,不影响其他部分
•总线或环形拓扑结构的逻辑构架可形成星形拓扑结构
•以太网网络可以部署为物理星形,因为它是基于总线的
4.2.2.11 网状拓扑结
网状拓扑结构是一个网络工作中的所有系统通过一些单独的路径相互连接起来。
优点:冗余连接提高了可用性
缺点:管理复杂且会产生额外费用
4.2.3. 网络访问控制设备 (NAC)
NAC 技术拦截设备的网络流量,验证其连接授权,使用802.1x 认证协议。NAC的目标包括执行网络策略,实施安全策略,以及认证和投权网络连接。通过执行一系列网络策略,间接阻止/减少零日攻击。
1.实现 NAC 的两个阶段:
•准入前 :检查端点是否符合政策,如IP、MAC、身份信息等。
•准入后:授予网络访问,管制用户行为,根据规则遵守情况决定是否取消访问
2.NAC 实现方式:
。有代理 NAC:使用代理服务器进行身份验证和授权。可通过认证协议,如802.1× 和 RADIUS,来实现身份验证和授权。
•无代理 NAC :在网络设备上实现身份验证和授权功能。可通过认证协议,如802.1X 和RADIUS.来实现身份验证和授权。
•带外 NAC :分离分析和执行功能,报告至中央控制台。但是,如果没有安全措施,带外配置可能会破坏网络安全。
•带内 NAC :设备位于网络流量中间,根据端点登录时决定是否允许或限制流量。优点是:可以在流量流中间直接进行身份验证和授权,但如果设备负载过高,可能会成为网络性能瓶颈。
3.修复方法:
修复是解决阻止访问的必要步骤。修复有两种不同的方法:
•隔离:端点限制在特定 IP 网络或 VLAN,提供有限访问。
。捕获门户 :将网络访问重定向至特定网页,如登录页面或授权页面。
4.2.4. 端点安全性
4.2.4.1 端点(Endpoint)
端点包括笔记本电脑、合式机、服务器、移动设备、物联网设备、工业控制系统、自主移动系统、机器人等
4.2.4.2 端点检测和响应 (EDR)
EDR 实现对所有类型端点的高级威肋进行持续监测和响应。通过监测端点和网络事件并分析这些事件以检测、调查和应对可疑活动。
4.2.4.3端点安全策略
纵深防御策略结合零信任架构、本地主机防火墙、高级威助保护应用程序、多因素认证、审计(如 UEBA)、基于客户端的 1DS/IPS 等下一代端点控制,将受感染或可疑的端点隔离于网络之外。
4.2.4.4 端点安全措施
端点安全应包括反病毒和反恶意软件的有效性、正确配置的基于主机的防火墙、禁用不必要服务的加固配置以及打补丁的操作系统。
4.2.4.5 移动设备
1. 移动设备安全策略包括:
•存储:最低限度的数据保留,定期别除超过数据保留政策的数据。
•认证:使用多因素认证,如密码、生物识别等,在不使用时锁定设备。
•加密:对移动设备上的静态数据进行加密,结合硬件安全模块 (HSM)提供更高级别的安全管理。
•远程擦除:通过网络别除丢失设备的内容。
2. 移动设备管理(MDM) 及其发展:
•MDM:注册并管理员工的移动设备,包括资产管理、配置管理、远程擦除等功能。
•EMM:MDM 的加强版,实现更细粒度的内容控制,保护企业数据。
• UEM:整合 MDM 和EMM,扩大管控范围,包括移动设备、PC、1oT、可穿戴设备、ICS等。
3 移动设备管理策略:
•应用控制:黑名单或白名单方式管理移动设备上的应用程序。
•容器化和存储分割 :为敏感组织数据提供安全加密部分,允许用户无限制地访问设备的其他部分。
•可移动存储:禁止使用设备上的可移动存储,以减少数据泄漏风险。
•内容过滤:防止用户访问设备上未经授权的内容。
4.移动设备追踪
•资产追踪:管理设备的整个生命周期,包括设备申请、订购、接收、初始配置、安全策略应用、 设备分配给用户,以及设备退役等过程。
•地理定位 :利用移动设备的 GPS 功能确定设备位置。
。地理围栏:在特定区域周国设立虚拟围栏,当设备离开围栏时触发警报
•需要注意隐私问题,并确保合法、道德地向受监控员工披露监控情况和授权用途。
5. 移动应用安全
•身份验证:要求访问数据或资源的应用程序进行认证。
•数据加密:确保应用程序的敏感数据在静止和传输状态下都加密,并实施强大的密钥管理。
•地理标记权限:确保应用程序的地理标记权限符合企业要求。
6 移动设备安全执行
•避免使用第三方应用商店
•防止越狱或 Root,监测设备是否存在越狱迹象,确保设备固件是最新的并已打补丁以防已知漏洞。
4.2.4.6 移动部署模式
1. 自带设备(BYOD)
员工使用个人设备连接公司网络并完成工作任务。这种模式提高了工作效率,但涉及隐私问题,且需要公司进行安全管理和限制。
2 选择自己的设备(CYOD)
公司提供一组设备供员工选择。这种模式为员工提供了自由度,同时使公司能够统一管理设备并实施安全控制。
3 公司拥有,个人启用(COPE)
公司提供设备,员工可以在工作和个人生活之间自由切换。这种模式有利于平衡工作和生活,但增加了公司的管理和安全难度。
4 组织自有,仅限业务(COBO/COMS):
公司购买符合安全策略的移动设备,仅供公司业务使用。这是最具安全性的部署
5 虚拟桌面基础设施(VDI)
企业在数据中心或云端运行虚拟桌面,员工使用个人设备连接。数据始终保持在虚拟化环境内,确保了安全性。
七、移动设备实施策略的典型关注点包括:
•设备管理:注册、配置、更新、替换和撤销等。
•应用管理:安装、更新、禁用和卸载等。
•数据安全:加密、备份、恢复和擦除等。
•网络安全:网络连接、防火墙、VPN等。
•设备定位:定位、监控和锁定等。
•无线安全:无线网络安全、Wi-Fi 加密等。
•隐私保护:个人隐私和信息保护。
•电池管理:电池使用、电量管理、充电策略等。
•支持与服务:移动设备管理支持、用户帮助等。
•第三方应用管理 :第三方应用的管理、监控、禁用等。
。策略与指导:制定明确的使用政策和指导。
•移动设备管理平合(MDM):配置、 策略、安全性、监控等。
•用户身份管理 (UIM):确保只有授权用户访问公司网络和数据。
•多因素验证:提高安全性,如指纹、面部识别、密码等。
•可持续性管理:设备寿命周期管理,包括购买、使用、维护、更新和回收等。
•灾难饺复:制定灾难恢复计划,应对突发事件导致的设备故障或丢失。
•日志管理:收集、分析设备日志,了解使用情况和发现安全威胁。
•集中管理:提高管理效率和安全性。
•用户培训:提高用户安全意识和技能。
•合规性:遵循法律、法规和行业标准。
4.3. 根据设计实施安全的通信通道
4.3.1. 语音
4.3.1.1 专用交换机 (PBX)
PBX (Private Branch Exchange) 是企业级电话系统。模拟信号的PBX 可能存在话费欺诈风险。减轻措施包括识别问题、漏洞管理、培训和监控。
4.3.1.2 POTS (Plain Old Telephone Service)
POTS 是传统电话服务,使用PSTN线路提供通话服务。POTS 连接的语音通信容易被截获、窃听等。安全控制依赖物理控制、隔离网络流量和监控脆弱区域。
4.3.1.3 公共交换电话网络 (PSTN)
PSTN (Public Switched Telephone Network)是传统电话通信网络,主要提供语音通话服务。PSTN信号可通过 modem 转换为数字信号,用于拨打 DSL或 ISDN互联网连接。
4.3.1.4 VolP
VolP (Voice over Internet Protocol) 通过 互联网协议进行语音通信。VoIP漏洞包括钓鱼、SPIT 攻击、呼叫管理器系统受攻击、MITM 攻击和未加密流量泄露。补救措施包括使用加密、网络分段和网络访问控制技术。
4.3.2. 多媒体协作
多媒体协作是一个统称,包括视频电话会议、即时通讯、电子邮件等。在COVID-19 大流行期间,这些技术成为开展业务的关键服务。许多组织已经接受了远程工作作为一种可接受的选择。
4.3.2.1 远程会议
远程会议需要确保认证,例如使用唯一的密码预先登记参加会议。语音、数据或视频的传输可能需要加密来保护。Zoombombing 是未经授权的个人或因体进入zoom 视频会议的行为,通常包括在祝频会议中发布不当内容或干扰正常进行。
4.3.2.2 即时通讯
•即时信息 (IM)也被称为私人信息(PM)。IM 可能面临以下安全威胁:
•账户欺骗:在IM 不强制执行强认证的情况下,会威胁到真实性。
•数据包窃取:如果没有加密,即时通讯很容易受到数据包的窃取,使其完整性受到威胁。
•惡意代码存放、感染或数据泄露:文件传输和远程访问增加了这些风险。
•社会工程攻击:IM 用户经常受到许多形式的社会工程攻击。
•SPIM:垃圾短信,即发送大量无用或未经授权的短信。
注意:在防火墙上阻断端口以阻止IM 攻击是无效的,因为 IM 通常使用开放端口(如 80/443)。
4.3.2.3 电子邮件
电子邮件服务器:Sendmail 和 Microsoft Exchange 是常见的电子邮件服务器软件,支持发送邮件的SMTP 协议以及接收邮件的POP3 和IMAP 协议。SMTP服务器应确保被正确配置为入站和出站邮件的强认证。
•电子邮件安全目标:确保电子邮件的保密性、完整性、可用性、不可否认性和真实性 (CIANA)。
•电子邮件攻击:网络钓鱼、垃圾邮件(spam)等。
•邮件安全政策:使用准则、访问控制、隐私、电子邮件备份和保留政策。
•电子邮件安全解决方案:数字签名、反恶意软件扫描、阻止可疑附件和有潜在风险的文件名扩展名、过滤器、加密技术、培训用户、防病毒和端点保护等。
•电子邮件安全标准:
通过强制使用 TLS 进行电子邮件加密来提供保证。
1) S/MIME(安全多用途互联网邮件扩展)
使用公钥加密和数字签名启用电子邮件的身份验证和保密性。使用X.509数字证书提供身份验证,公钥加密标准 (PKCS) 加密提供隐私。
2)MOSS (MIME 对象安全服务)
使用 MD2 和 MD5 算法,存在安全漏洞。MOSS 从未被广泛部署,现已放弃,主要由于 PGP 的普及。
3) PEM(隐私增强邮件)
提供电子邮件加密机制,包括身份验证、完整性、 保密性和不可否认性服务。使用 RSA、DES 和X.509。
4)DKIM(域名密钥识别邮件)
通过验证域名身份确保邮件来自声称的组织。实施 DKM 依赖于公钥和数宇签名。
5)PGP (Pretty Good Privacy)
使用各种加密算法保护电子邮件消息和其他数字资产。PGP 不是标准,而是广泛应用于互联网上的独立开发产品。OpenPGP 和GnuPG 是基于 PGP 的开源产品。
6) 强制加密
通过TLS进行电子邮件加密
4.3.3. 远程访问
4.3.3.1 远程访问技术
•特定服务的远程访问:允许用户远程访问和使用特定服务,如仅可使用电子邮件
•远程控制:允许授权用户获得另一个系统的远程访问权限并具有实际在远程系统前的控制权。
•屏幕抓取:将一个应用程序中显示的信息复制到另一个应用程序中使用或显示。
实施加密以降低未经授权的披露或破坏的风险。
4.3.3.2 远程访问安全管理
•多因素身份认证:使用多种验证方式增加安全性。
。限制远程访问:仅允许需要和经常使用远程访问的人员。
•传输链路加密:使用 VPN、SSL、TLS、SSH 和 IPSec 等技术保护数据传输。
4.3.3.3 认证方法
4.3.3.4 VPN
是一条通信隧道,在一个不受信任的网络(如互联网)上建立一个安全的点对点连接。大多数 VPN使用加密来保护封装的流量,但加密并不是连接被认为是VPN的必要条件。
•隧道技术
使用另一种协议封装数据包来保护初始数据包,通信量仅对隧道两端的系统可见,对不受信任的网络隐藏。
常见 VPN 协议:
1 PPTP:点对点隧道协议,从PPP 拨号协议发展而来,用于数据链路层对流量进行封装,并在IP网络上使用。使用pPP 支持的相同认证协议保护认证流量。现被认为不安全且过时。
2 L2TP:第二层隧道协议,用于创建点对点隧道连接不同的网络。L2TP 本身不提供加密,因此不提供保密性或强认证,但可以与 IPSec 结合提供这些服务。L2TP 支持 TACACS+和 RADIUS。 L2TPV3 版本改进了安全功能,包括改进的封装和支持更多的通信技术,如帧中继、以太网和ATM等。
3 IPSec :一种网络层的安全协议,可以在 IP数据包上添加加密和鉴权信息。
4 OpenVPN:一种基于 SSLITLS协议的开源VPN协议,支持多种加密算法。
5 SSTP:一种基于 HTTPS 的隧道协议,可以通过防火墙进行传输。
4.3.4.1 帧中继 (Frame Relay)
•一种基于分组交换技术的快速数据传输技术
•使用虚拟电路而非专用物理电路
•通过 VPN 加密共享虚拟电路上的流量以确保保密性
•主要应用于中小型企业的广域网(WAN)线路
•逐渐被 ATM、IP 等协议(包括 VPN) 替代
4.3.4.2 异步传输模式 (ATM)
•一种高速数据传输技术,主要用于提供高速数据传输和多种类型的信息传输服
•使用固定大小(53 字节)的数据单元(信元)进行数据传输
•支持高速传输、高度灵活性和高度可靠性
•随着 IP 网络的普及,ATM 逐渐被取代
4.3.4.3 多协议标签交换 (MPLS)
请参阅 4.1.5.3 融合协议介绍的 MPLS
4.3.4. 数据通信
4.3.5.虛拟化网络
网络虚拟化将硬件和软件网络资源整合为一个统一实体,由软件控制各种网络功能。这有助于实现敏感网络分段和主机隔离。通过使用虛拟局域网 (VLAN)和应用不同的安全策略,可以提高网络安全性。网络虛拟化还能在遇到攻击或灾难时动态地重新配置网络,提高弹性。
4.3.6.第三方连接
1. 第三方连接包括:
•数据和电信供应商(如ISP)
•云服务提供商
•供应商、客户、合作伙伴组织等。
2 风险
主要风险是合规风险。作为数据所有者,组织有责任确保第三方合作伙伴的数据管理和保护措施符合法律和监管要求。这包括托管和处理数据的服务器和系统的位置等方面。
3 最佳实践
•使用合规报告(如SOC2 报告)评估与第三方连接相关的安全和合规风险。
•通过服务级别协议(SLA)确保第三方的责任。
•采用传输加密、强大的访问控制程序和电子邮件过滤来保护数据。
。持续监控第三方连接,以便及时发现新的威胁、异常行为或对 SLA 的偏离。
练习题
1.Gary 想要分发一个大文件,并且倾向于使用点对点内容分发网络(CDN)。 以下哪项是这种类型技术最常见的例子? A. CloudFlare B. BitTorrent C. Amazon CloudFront D. Akamai Edge
B
2.在对无线网络进行安全评估时,Jim 发现一个使用 WPA 的网络正在使用 LEAP。Jlim 应该提出什么建议? A 继续使用 LEAP。对于 WPA 网络来说,它提供比TKIP 更好的安全性。 B.使用其他协议,如PEAP 或 EAP-TLS,并在支持的情况下实施 WPA2。 C. 为避免认证问题,继续使用 LEAP,但切换到 WPAz。 D.使用其他协议,如PEAP 或 EAP-TLS. 并实施 Wired Equivalent Privacy 以避免无线安全问题。
B 查书 P410 WAP的身份认证有两种:OSA(明文)和SKA(通信前认证) D选项中的Wired Equivalent Privacy 就是WEP
3.Ben 使用 802.11ac 连接了他的笔记本电脑和平板电脑。他使用了什么无线网络模式来连接这些设备? A.基础设施模式 B. 有线扩展模式 C.自组网模式 D.独立模式
C
4. Selah 和 Nick 的个人电脑同时发送流量,导致它们同时发送数据。以下哪个网络术语描述了可能受到相同问题影响的网络中的系统范围? A. 子网 B. 超网 C.冲突域 D.广播域
C
5. Sarah 正在手动审查一个TCP 流量的数据包捕获,并发现一个系统在短时间内反复发送的 TCP 数据包中设置了RST 标志位。在TCP数据包头中,这个标志位代表什么意思? A.RST 标志位代表“Rest”。服务器需要流量暂停一小段时间。 B.RST标志位代表 “Relay-set”。数据包将被转发到数据包中设置的地址。 C.RST标志位代表“Resume Standard"。通信将恢复到正常格式。 D. RST 代表 “Reset”。TCP 会话将被断开连接。
D
6.Gary 正在部署一个无线网,并希望部署速度最快的无线技术。以下哪种无线网络标准应该使用? A. 802.11a B. 802.11g C. 802.11n D. 802.11ac
D
7Michele希望用-个安全的协议替代FTP 流量。她应该选择哪个安全协议? A. TFTP B. HFTPS C. SecFTP D. SFTP
D
8.Jake 被告知他的网络存在一个第3层的问题。以下哪个与 OSI模型中的第3 层相关联? A.IP地址 B.TCP 和 UDP协议 C. MAC地址 口.通过硬件发送和接收比特
A
9. Frank 负责确保他的组织拥有可靠的、受支持的网络硬件。以下哪个不是网络管理员在努力确保网络持续运行时的常见问题? A. 设备是否有供应商支持 B. 设备是否在保修期内 C.主要设备是否支持冗余电源供应 D.所有设备是否支持冗余电源供应
D
10.Brian 正在为一个PPP 连接选择认证协议。他想选择一个可以加密用户名和密码,并通过挑战/响应对话来防止重放攻击的选项。他还希望定期重新认证远程系统。他应该使用哪个协议? A. PAP B. CHAP C. EAP D. LEAP
B
11. 以下哪个协议通常用于为 VPN 提供后端身份验证服务? A. HTTPS B. RADIUS C. ESP D. AH
B
12. Issca想确保他的 VoIP 会话初始化是安全的。他应该确保启用和要求哪个协议? A. SVOIP B. PBSX C. SIPS D. SRTP
C P405 书中原话,RTP或SRTP载会话初始协议(SIP)简历端点之间的通信链路后接管 初始化安全要用SIPS
对于问题 13-15,请参考以下情景和图表 :Coris 正在为他的组织设计分层网络 13. 图表中展示的是哪种防火墙设计? A. 单层防火墙 B. 双层防火墙 C.三层防火墙 D.四层防火墙 14. 如果 VPN 授予远程用户与本地工作站相同的网络和系统资源访问权限,Chris 应该提出哪个安全问颗? A.VPN 用户将无法访问 Web 服务器。 B. 没有额外的安全问题;VPN 聚合器的逻辑网络位置与工作站的逻辑网络 位置匹配。 C. Web 服务器流量未经过状态检查。 D. VPN 用户应仅从受控的个人电脑连接。 15. 如果Chris 想要阻止针对web服务器的跨站脚本攻击,最适合此目的的设备是什么,他应该将其放在哪里? A. 防火墙,位置A B. 人侵检测系统 (1DS),位置A C. 人侵防御系统 (IPS),位置 B D.web 应用防火墙 (WAF),位置C
B
D
C
16. Susan 正在部署一种路由协议,该协议维护着一个目标网络列表,其中包括到达目标网络的跳数和应发送流量的方向。她使用的是哪种类型的协议? A. 链路状态协议 B. 链路距离协议 C. 目的地度量协议 D.距离向量协议
D
17.Ben 已经配置了他的网络不广播 SSID。Ben 禁用 SSID 广播的原因是什么,以及他的 SSID 如何被发现? A. 禁用 SSID广播可以防止攻击者发现加密密钥。SSID 可以从解密的数据包中恢复。 B.禁用 SSID 广播可以隐藏网络不被末授权人员发现。SSID 可以通过使用无线嗅探器进行发现。 C.禁用 SSID 广播可以防止信标帧的问题。SSID 可以通过重建 BSSID 来恢复。 D.禁用SSID 广播有助于避免 SSID 冲突。SSD 可以通过尝试连接到网络来发现。
B
18. 以下哪个网络工具可以在接受客户请求、修改请求的源地址、将请求映射到客户端并将修改后的请求发送到目标地址的过程中保护客户端的身份并提供互联网访问? A. 交换机 B. 代理 C 路由器 D.防火墙
B P423 书中原话,关注题中保护客户端身份
19 Susan 希望通过多个互联网服务提供商对其公司的第二个位置发送的通信流量进行安全保护。对于始终保持连接的链接,她应该使用哪种技术来保护流 A. FCoE B. SDWAN C. 点对点 IPsec VPN D. Zigbee
C
20. Melissa 希望以对用户透明的方式将她组织中的多个物理网络合并起来,同时允许根据网络服务的需求进行资源分配。她应该部署哪种类型的网络? A. iSCSI B. 虚拟网络 C. SDWAN D. CDN
B
21. 哪种电子邮件安全解决方案提供了两种主要的使用模式 :(1)提供完整性、 和机密性的封装消息模式? 发件人身份验证和不可否认性的签名消息 :(2) 提供完整性、发件人身份验证 A. S/MIME B. MOSS C. PEM D. DKIM
A 查书 PEM提供电子邮件加密机制,包括身份验证、完整性、 保密性和不可否认性服务。使用 RSA、DES 和X.509。但是题中说两种模式,所以选A P461
•电子邮件安全标准:
1) S/MIME(安全多用途互联网邮件扩展)
使用公钥加密和数字签名启用电子邮件的身份验证和保密性。使用X.509数字证书提供身份验证,公钥加密标准 (PKCS) 加密提供隐私。
提供两种机制(消息类型):签名消息和安全信封消息。签名消息提供完整性、身份认证和不可否认性,安全信封消息提供收件人身份认证和保密性
2)MOSS (MIME 对象安全服务)
使用 MD2 和 MD5 算法,存在安全漏洞。MOSS 从未被广泛部署,现已放弃,主要由于 PGP 的普及。
3) PEM(隐私增强邮件)
提供电子邮件加密机制,包括身份验证、完整性、 保密性和不可否认性服务。使用 RSA、DES 和X.509。
4)DKIM(域名密钥识别邮件)
通过验证域名身份确保邮件来自声称的组织。实施 DKM 依赖于公钥和数宇签名。
5)PGP (Pretty Good Privacy)
使用各种加密算法保护电子邮件消息和其他数字资产。PGP 不是标准,而是广泛应用于互联网上的独立开发产品。OpenPGP 和GnuPG 是基于 PGP 的开源产品。
6) 隐式SMTPS
SMTP通过TLS进行加密,使用端口 tcp465
7) DMARC
基于DNS的电子邮件身份认证系统,防止网络钓鱼和其他欺诈行为
22. 在进行安全评估时,Jim 发现他正在与的组织使用多层协议来处理 SCADA 系统,并且最近将 SCADA 网络连接到组织的其他生产网络。关于通过 TCP/IP 传输的串行数据传输,他应该提出哪种关注? A.现在连接到网络的 SCADA 设备可以通过网络进行攻击。 B. 无法对通过 TCP/IP 的串行数据进行加密。 C. 串行数据无法在 TCP 数据包中传输。 D.TCP/IP 的吞吐量可能会导致对串行设备的简单拒绝服务攻击。
A P404 P292 SCADA攻击
23.Ben 为一家小型咖啡连锁店提供网络和安全服务。咖啡连锁店希望为顾客提供安全的免费无线网络。如果 Ben 不需要担心协议支持问题,以下哪个选项对于让顾客安全地连接到无线网络而无需用户帐户是最佳选择? A.使用 PSK 模式的 WPA2。 B. 使用 SAE 模式的 WPA3。 C. 使用企业模式的WPAz。 D.使用强制门户。
B P412 SAE使用预设密码以及客户端和AP记性身份认证和密钥交换 PSK使用固定静态密码进行身份认证 显然B更安全 补充ENT企业模式,支持RADIUS或者TACACS+
24.Alicia 的公司已经实施了使用短信消息提供数宇代码的多因素身份验证。关于这种设计,Alicia 可能要表达的主要安全关注是什么? A. 短信消息没有加密。 B. 短信消息可以被发件人伪装。 C. 短信消息可能被多部手机接收。 D.短信消息可能存储在接收手机上。
A
25.802.11n 使用的速度和频率范围是多少? A. 仅限 5 GHz B.900 MHz 和2.4 GHz C.2.4 GHz 和5 GHz D.仅限 2.4 GHz
C
26. 地址解析协议 (ARP)和逆地址解析协议 (RARP)在OSI模 型的哪一层操作? A. 第1层 B. 第2层 C.第3层 D. 第4层
B
27.以下哪个是一种融合协议,允许通过TCP 进行存储挂载,并经常被用作比光纤通道更低成本的替代方案? A. MPLS B. SDN C. VolP D. iSCSI
D
28. Chris 正在构建一个以太网网络,并且知道他需要在 1000BaseT 网络中跨越超过 150 米的距离。他应该使用什么网络技术来帮助解決这个问题? A. 在100 米之前安装一个中继器、交换机或集线器。 B. 使用具有更好屏薇性能的7 类电缆以实现更高的速度。 C.安装一个网关来处理距离问题。 D. 使用 STP 电缆来处理更长距离的高速传输。
A
对于问题 29-31,请参考以下情景和图示: Selah 的组织多年来一直使用一种流行的消息服务。最近,人们对消息的使用提出了一些担忧 29. 基于图示,消息流量最有可能使用的协议是什么? A. SLACK B. HTTP C SMTP D HTTPS 30. 将内部通信从 A 发送到 B引发了什么安全关注? A. 防火墙不能保护系统 B。 B.系统C可以看到从系统 A 到 B的广播流量。 C.它经过了一个未加密的协议传输。 D.消息传递不提供不可否认性。 31. Selah 的公司如何最好地满足对内部系统 A 和C的用户进行安全消息传递的需求? A. 使用第三方消息服务。 B. 实施并使用本地托管的服务。 C. 使用 HTTPS。 D. 停止使用消息传递,改为使用更安全的电子邮件
B
C
B 记住
32. 当允许多层协议时,以下哪个缺点是一个关注点? A.可以在更高层使用一系列协议。 B. 允许隐藏通道。 C.无法绕过过滤器。 D.无法在多个层次上加密。
B
33 以下哪个不是融合协议 A. MIME B. FCoE C. iSCSI D. VolP
A P404
融合协议:SAN、FCoE、MPLS、iSCSI、VoIP、VPN、SDN、云、虚拟化、SOA、微服务、基础设施即代码、无服务器架构
34.Chris 在旅行时使用移动热点提供互联网接入。如果他在他的个人电脑连接到组织的企业网络时保持热点连接,他可能引发哪个安全问题? A.流量可能无法正确路由,暴露敏感数据。 B. 他的系统可能作为从互联网到本地网络的桥接器。 C. 他的系统可能成为反射式 DDoS 攻击的入口。 D.安全管理员在发生安全问题时可能无法确定他的IP地址。
B
35. 作为一名信息安全专业人员,Susan 被要求确定她所在组织的无线网络可能会被访问的地方,尽管并不打算如此。为了确定她所在组织的无线网络可以访问的地方,Susan 应该怎么做? A. 现场勘测 B.步行探测 C.驾车探测 D.设计地图
A
36. IPsec 可以为安全通信提供哪些功能? A. 加密、访问控制、不可否认和消息认证 B. 协议融合、内容分发、微分割和网络虛拟化 C.加密、授权、不可否认和消息完整性检查 D. 微分割、网络虛拟化、加密和消息认证
A P471 不支持授权 IPsec AH支持认证、访问控制、防重放 IPsec ESP支持加密、身份认证 AH提供完整性和不可否认 ESP提供保密性和完整性
37.Casey 被要求确定 Zigbee 网络流量是否可以在传输过程中得到保护。 zigbee 使用什么安全机制来保护数据流量? A.3DES 加密 B.AES 加密 C. ROT13 加密 D. Blowfish 加密
B P420 Zigbee使用蓝牙技术,低功耗低吞吐率,接近设备,支持128位加密算法 P190 3DES密钥是168位或者112位 AES支持128 192 256
38. Sue 将自己的MAC 地址修改为允许在使用 MAC 过滤提供安全性的网络上。Sue 使用了什么技术,并且她的行为可能引起哪个非安全问题? A. 广播域利用,地址冲突 B. 欺骗,令牌丢失 C. 欺骗,地址冲突 D. 虚假EUI 创建,令牌丢失
C
39.jim 想整在证程站点都署 4GLTE作为带外管理解決方案。以下哪种安全 功能通常不可用于 4G 服务提供商? A.加密功能 B. 基于设备的身份验证 C.为安全服务订户提供的专用塔和天线 D. 基于SIM 卡的身份验证
C
40. SMTP、HTTP 和 SNMP 都属于 0SI模型的哪一层? A. 第4层 B. 第5层 C 第6层 D.第7层
D
41. Melissa 使用 ping 实用程序作为渗透测试练习的一部分来检查远程系统是否在线。如果她不想在数据包嗅探器的日志中看到自己的ping 数据包,她应该过滤掉哪个协议? A. UDP B TCP C. IP D. ICMP
D
42.selah 希望在她的网络上提供基于端口的身份验证,以确保客户端在使用网络之前必须进行身份验证。以下哪种技术是符合这一要求的适当解決方案? A. 802.11a B. 802.3 C. 802.15.1 D. 802.1x
D
43. Ben 部署了一个 1000BaseT 千兆网络,并需要在一栋大楼中铺设一根电缆。 如果 Ben 将其链路直接从一个交换机连接到该建筑中的另一个交换机,根据1000BaseT 规范,Ben 最多可以覆盖多远的距离? A.2公里 B.500米 C.185米 D.100米
D
44.MAC 克隆试图绕过有线网络中的哪种安全控制? A. 端口安全 B. VLAN跳跃 C.802.1q 千道 D. Etherkiller 防护
A
45.Kathleen 所在的公司大部分员工已转向远程工作,并希望确保他们用于语音、视频和基于文本的协作的多媒体协作平合是安全的。以下哪种安全选项能够为通信提供最佳用户体验,并提供适当的安全性? A. 要求所有使用协作平台的通信都需要软件 VPN 连接到公司网络。 B. 要求所有通信使用 SIPS 和 SRTP。 C.对协作平台的所有流量使用 TLS。 D. 在每个远程位置部署安全的 VPN终端,并使用点对点 VPN 进行通信。
C 干扰选择D,不应该是点对点
46.Chris 希望为他正在设计的设备使用低功耗的个人区域网络无线协议。以下哪种无线协议最适合在建筑物或房间之间相对短距离连接的小型低功耗设备之间进行通信? A. WiFi B. Zigbee C. NFC D.红外线
B
47. 以下选项包含了OSI 模型第6层存在的标准或协议? A NFS、SQL和RPC B. TCP、UDP和TLS C.JPEG、ASCIl 和 MIDI D.HTTP、FTP和 SMTP
C
48.cameron 对针对公司主要网络应用的分布式拒绝服务攻击感到担忧。以下选项中哪个选项能够对大规模 DDoS 攻击提供最强的弹性? A. CDN B. 增加 Web 应用服务器集群中的服务器数量 C. 通过公司的 ISP 签约 DDoS 缓解服务 D.增加一个或多个 ISP 提供的带宽量
A
49. VPN 有四种常见的协议。下面哪个选项包含所有常见的VPN协议? A. PPTP、LTP、L2TP、IPsec B. PPP. L2TP. IPsec. VNC C. PPTP. L2F. L2TP. IPsec D. PPTP. L2TP. IPsec, SPAP
C
50. Wayne 想部署一个安全的语音通信网络。以下哪些技术应该考虑使用? (选择所有适用项。) A. 为VoIP 电话和设备使用专用 VLAN。 B. 要求使用 SIPS 和 SRTP。 C. 对所有远程 VoIP 设备要求使用 VPN。 D. 实施 VoIP IPS。
AB 记住
51.0S1模型的哪一层包括电气规范、协议和接口标准? A. 传输层 B. 设备层 C.物理层 D.数据链路层
C
52.Ben 正在设计一个 WiFi 网络,并被要求选择最安全的网络安全标准。他应该选择哪个无线安全标准? A. WPA2 B. WPA C. WEP D. WPA3
D
53.Kathleen 在城镇上有两个主要位置,并希望这两个环境看起来像同一个本地 网络。每个位置都都署了路由器、交换机和无线访问点。以下哪种技术最适合让这两个设施看起来属于同一个网络段? A. SDWAN B. VXLAN C. VMWAN D. iSCSI
B
54 分段、排序和错误检查都发生在与 SSL、TLS和UDP 相关的 OS!I模型的 -层? A 传論层 B 网络层 C会话层 D.表示层
A
55. Windows 的 ip-config 命令显示以下信息:BC-5F-F4-78-48-7D。这个术语是什么。通常可以从中获取哪些信息? A IP地址,系统的网络位置 B MAC 地址,网络接口卡的制造商 C. MAC 地址,使用的媒体类型 D.IPV6 客户端 1D,网络接口卡的制造商
B
56. Chris 要求在无线认证中选择实施PEAP 和LEAP之间的一个。他应该选择 什么,为什么? A LEAP。因为它修复了与TKIP 相关的问题,从而提供更强的安全性 B.PEAP。因为它实施了 CCMP 以提供安全性 C. LEAP,因为它实施了 EAP-TLS 进行端到端会话加密 D.PEAP。因为它可以提供封装 EAP 方法的TLS 遂道,保护整个会话
D
57.Ben 正在解决一个网络故障,并发现他连接的NAT 路由器的内部网络是 192.168.x.x 子网,而其外部是192.168.1.40。他這到了什么问题? A 192.168.x.x 是一个不可路由的网络,不会传送到互联网。 B.192.168 1.40 不是一个有效的地址,因为它校 RFC 1918 保留。 C 使用相同的 1 范围无法选行双重 NAT• D. 上游系统无法解封装他的数据包,他需要使用PAT 代替。
C
58. 一个B类网络的默认子网掩码是什么? A. 255.0.0.0 B. 255.255.0.0 C. 255.254.0.0 D. 255.255.255.0
B
59.Jim 的组织在语音通信中使用传统PBX。内部通信最常见的安全问题是什么?他应该建议采取什么措施来防止它? A.窃听,加密 B 中间人攻击,瑞到端加密 C 窃听,物理安全 D. 拔号扫描,部署入侵防御系统 (IPS)
C P452 容易被窃听、拦截,要通过物理安全保护语音通信的安全
60 通过WiFi和LiFi进行无线通信的技术差异是什么 A. LiFi 不容易受到电磁干扰。 B.LiFi 不能提供宽带速度。 C. WiFi 不容易受到电磁干扰。 D.WiFi 不能提供宽带速度。
A
61.Soan的组织在与台式电脑相同的交换机上都部署了VoIP 电话。这可能会引起什么安全问题,有什么解决方案可以帮助解決? A. VLAN跳越攻击;使用物理分离的交换机。 B.VLAN跳越攻击 ;使用加密。 C.主叫号码欺骗:使用 MAC 过滤。 D.拒绝服务攻击;在网络之间使用防火墙。
A
对于问题 62-65,请参考以下场景: Susan 正在为分公司设计组织的新网络基础设施。 62. Susan 希望为该地点的内部网络地址使用一组不可路由的 IP地址。根据您对安全网络设计原则和IP 网络的了解,以下哪些 IP地址范围可用于此目的? (选择所有适用的选项。) A. 172.16.0.0/12 B. 192.168.0.0/16 C. 128.192.0.0/24 D. 10.0.0.0/8 63. Susan 知道她将需要为客户实施一个 WiFi 网络,并希望收集客户的信息,例如他们的电子邮件地址,而不必向他们提供无线网络密码或密钥。什么类型的解决方案将提供这种功能组合? A. NAC B.一个强制性门户 C.预共享密钥 D. WPA3 的SAE模式 64. 通过设置无线网络后,Susan 开始确保即使发生中断,她的网络也能保特运行。如果出现电力暂时中断或其他临时电力问题,她可以采取以下哪种最简单的方式确保她的网络设备,包括路由器、接入点和网络交换机,保持通电? A. 购买并安装带有自动启动功能的发电机。 B. 为所有网络设备部署双电源供应。 C.安装UPS 系统,預盖所有必须保持在线的网络设备。 D.与多个不同的电力公司签订合同,以获得冗余电力。 65. Susan 希望为新分支机构的设备提供 10Gigabrt 的网络连接。以下哪些结构化布线选项可以满足这些速度要求?(选择所有适用的选项。) A. Cat5e B 光纤 C Cat6 D 同轴电缆
ABD
B
C
BC
66 数据流出现在 OSl模型的哪三个层次? A. 应用层、表示层和会话层 B.表示层、会话层和传输层 C.物理层、数据链路层和网络层 D.数据链路层、网络层和传输层
A 记住
67.Lucca 希望保护正在生产使用但不再得到支持且无法进行补丁更新的终端免受网络攻击。为了最好地保护这些设备,他应该采取什么措施? A. 在设备上安装防火墙。 B. 在设备上禁用所有服务和开放端口。 C.在设备前面放置一个硬件网络安全设备。 D.将设备从网络中拔掉,因为无法正确保护这些设备。
C 记住
68. selah 的网络团队被要求找到一种技术,可以通过将网络视为代码来动态更改组织的网络。她应该推荐哪种类型的架构? A.遵循5-4-3 规则的网络 B. 融合网络(converged network) C. 软件定义网络 D.基于虛拟化的网络
C
69.Jason 知道使用 OSI模型的协议在数据从一层流动到另一层时依赖封装。随着数据在 OSI 层级上流动,每个层级都添加了什么? A. 信息被添加到头部。 B. 信息被添加到数据的主体部分。 C.数据使用新的秘密密钥进行加密。 D.提供完全前向保密性的安全信封。
A
70 在故障排除过程中,Alyssa与技术支持人员交流时,对方表示问题是一个第3层的问题。以下可能的问题中,哪一个不是第3层的问题? A. TTL不匹配 B.MTU 不匹配 C.错误的访问控制列表 (ACL) D.网络电缆故障
D
71,在对组织的网络进行审查时,Angela 发现网络遭受了广播风暴,并且承包前、访客和组织管理人员都在同一网络段上。 Angela 应该推荐进行哪种设计更 A. 要求所有用户进行加密 B. 在网络边界安装防火墙。 C.启用生成树环路检测。 D.根据功能要求对网络进行分段。
D
72. ICMP、RIP 和网络地址转换都发生在 OSI 模型的哪一层? A. 第1层 B. 第2层 C. 第3层 D.第4层
C
对于问题 73-75,请参考以下情景: Ben是一名信息安全专业人员,所在的组织正在用云托管的虚拟机替换其物服务器。随着组织构建虚拟环境,它正朝着混合云运营模式迈进,一些系统服务保留在本地数据中心,而其他系统和服务则托管在云中。下图显示了本数据中心和云 VPC 的网络 IP范围(地址相同,都是用的10.0.0.0/24),你需要在回答问题时考虑这些信息。 73.Ben 想要确保在他的云托管基础设施即服务环境中的实例之间(系统与系统之间)的流量是安全的。为了完全确保虚拟化网络流量不会被捕获和分析,他可以做什么? A. 阻止在所有主机上安装数据包嗅探器。 B. 禁用所有虚拟网络接口的混杂模式。 C. 禁止使用任何虛拟 TAP。 D.加密主机之间的所有流量。 74. 由于为数据中心和 VPC 配置的子网,最可能出现什么问题? A.IP 地址冲突 B. 路由环路 C.MAC 地址冲突 D.以上全部 75. Ben 希望使用多个互联网服务提供商 (ISP) 连接到他的云VPC,以确保可靠的访问和带宽。他可以使用什么技术来管理和优化这些连接? A. FCoF B. VXLAN C. SDWAN D. LiFi
D
A
C P406 SDWAN主要用于WAN链路在云服务中间的管理和控制
76. WPA2 的计数器模式密码块链接消息认证模式协议(CCMP) 基于哪种常见的加密方案? A. DES B. 3DES C. AES D. TLS
C P410 AES-CCMP
77.当以太网网络中的主机检测到碰撞并发送干扰信号后,接下来会发生什么? A. 发送干扰信号的主机被允许重新发送数据,而其他主机暂停发送,直到该传输成功接收。 B.所有主机停止发送,并且每个主机在尝试重新发送之前等待一个随机时间段。 C.所有主机停止发送,并且每个主机根据其最近的成功发送时间等待一段时间。 D.主机等待令牌传递,然后在通过令牌时恢复传输数据。
B 记住
78.Mark 担心网络电缆的物理安全性。在没有专门设备的情况下,哪种类型的网络连接最难窃听? A. WiFi B. Bluetooth C. Cat5/ Cat6 双绞线 D.光纤
D
79.Rich 希望将他的网络连接到距离他当前位置半英里的一栋建筑物。沿途有树木和地形特征,但是一条道路穿过树木通向另一个位置。哪种传输介质最适合这种部署? A. 每200到 300 码设置中继器的以太网电缆 B. WiFi 定向天线 C.光纤电缆 D. LiFi 系统
C
80. 端点安全系统部署面临的最常见挑战是什么? A. 受损 B. 数据量大 C 监控网络上的加密流量 D 处理非TCP协议
B P432 第一段概括后就是答案B
81. 127.0.0.1 是什么类型的地址? A.公共IP地址 B. RFC 1918 地址 C.APIPA 地址 D.回环地址
D
82.Susan 正在为需要使用蓝牙的组织用户撰写最佳实践声明。她知道蓝牙存在潜在的安全问题,以下哪组指导原则应该包合在Susan 的声明中? A 使用蓝牙内置的强加密功能,更改设备上的默认PIN码马,在非活动使用时关闭发现模式和蓝牙功能。 B. 仅在不涉及机密活动时使用蓝牙,更改设备上的默认 PIN 码,在非活动 使用时关闭发现模式和蓝牙功能。 C. 使用蓝牙内置的强加密功能,使用扩展的 (八位数或更长)蓝牙 PIN 码,在非活动使用时关闭发现模式和蓝牙功能。 D.仅在不涉及机密活动时使用蓝牙,使用扩展的 (八位数或更长)蓝牙 PIN码,在非活动使用时关闭发现模式和蓝牙功能。
B P416 没有扩展密码
83. 哪种类型的网络设备最常用于将端点系统分配到虛拟局城网 (VLAN)中? A.防火墙 B. 路由器 C.交换机 D.集线器
C
84.Steve 的任务是在 IP 网络上实施一种网络存储协议。在他的实施中,他很可能使用哪种以存储为中心的融合协议? A. MPLS B. FCoE C. SDN D. VoIP
B
85. Michelle 被告知她即将加入的组织使用 SD-WAN 控制器架构来管理他们的广域网(WAN)连接。 关于网络的管理和控制,她可以做出哪些假设?(所有适用项。) A 网络使用预定义规则来优化性能。 B. 网络进行持续监控以支持更好的性能。 C.网络使用自学习技术来应对网络变化。 D.所有连接都由组织的主要互联网服务提供商管理。
ABC 记住
86下面接照正确的顺中以鲜工层到年7层显示了03)横型的各层?请特这里显示的 OS1模型层按正确顺序排列,从第1层到第7层。 A第1层=数据链路层 ;第2层=物理层,第3层=网络层;第4层二传输 层;第5层=会话层 ;第6层-表示层;第7层=应用层 B.第1层=物理层;第2层=数据链路层 ;第3层=网络层;第4层=传输 层;第5层=会话层;第6层=表示层;第7层=应用层 C第1层=物理层 :第2层二数据链路层;第3层=网络层;第4层=传输 层;第5层=会话层;第6层=应用层;第7 层=表示层 口.第1层=物理层;第2层=数据链路层 ;第3层=网络层;第4层=会话层;第5层=传输层,第6层=表示层;第7层=应用层
B
87. 瓦莱丽在她的网络交换机上启用了端口安全。她最有可能试图防止哪种类型的攻击? A. IP 欺骗 B.MAC 聚合 C. CAM 表洪泛 D.VLAN跳跃
C P402 端口安全可以禁止与未知、未经授权的恶意设备之间的通信 另一个方法是静态ARP条目
88. 阿莱娜希望确保系统在被允许接入网络之前符合她的网络安全设置,并希望尽可能地测试和验证系统设置。她应该部署哪种类型的 NAC 系统? A.预验证,无需客户端的 NAC 系统 B. 后验证,基于客户端的 NAC 系统 C. 预验证,基于客户端的 NAC 系统 D.后验证,无需客户端的 NAC 系统
C
89. 德里克希望部署冗余核心路由器,如图所示。哪种高可用性集群模型将为他提供最大吞吐量? A. 主/主模式 B. 线交互模式 C. 主/备模式 D.邻线模式
A
90 安吉拉语要在以下协议进行选择,以进行安全认证,并不想引如不必要的技术复杂性。她应该选择哪种认证协议?为什么? A.EAP,因为它默认提供强加密 B.LEAP,因为它提供频繁的重新认证和更改 WEP 密钥 C.PEAP, 因为它提供加密,并且不会受到 LEAP 相同的漏洞的影响 D. EAP-TLS
C
91. 当卫星互联网是唯一可用选项时,对于需要高性能互联网连接的系统,经常出现的担忧是什么? A. 安全性 B. 与诸如 LiFi 的协议的兼容性 C. 与诸如 zigbee 的协议的兼容性 D.延迟
D
92.SDN 实施的哪个层使用程序通过 API 进行资源需求通信? A. 数据平面 B. 控制平面 C. 应用平面 D.监控平面
C 没找到 API-应用
93. 以下哪个不是多层协议的缺点? A. 它们可以绕过过滤器和规则。 B. 它们可以在更高的 OSI层级上运行。 C.它们可以允许隐蔽通道。 D.它们可以绕过网络段边界。
B
94. 将TCP/IP 模型的以下层按顺序排列,从应用层开始,向下移动到协议栈。 1. 应用层 2.网络访问层 3. 互联网层 4. 传输层 A. 1,2.3.4 B. 1,4,2,3 C. 1,4,3,2 D. 4,1,3,2
C
95. Category 5e 电缆的最大速度是多少? A. 5 Mbps B. 10 Mbps C. 100 Mbps D. 1000 Mbps
D
96.56G网络相对于 4G 网络具有的两个主要优势是什么?(选择所有适用项。) A 抗干扰功能 B 增强的用户身份保护 C 互认证能力 D.多因素认证
BC 没找到,记住
97. 在数据中心环境中,VXLAN 扮演什么功能? A 它消除了以太网电缆的最大距离限制。 B 它允许多个子网在相同的IP 空间中存在,使用相同的 IP 地址的主机。 D.以上全部 C.它在层3网络上进行层2连接的隧道封装,将其扩展到底层的层了网络。
C 记住
98.Chris 正在设置一个酒店网络,需要确保每个房间或套房中的系统可以彼此连接,但其他套房或房间中的系统不能连接。同时,他还需要确保酒店中的所有系统都能连接到互联网。作为最有效的商业解决方案,他应该推荐哪个解决方案? A. 每个房间的 VPN B. VLAN C.端口安全 D.防火墙
B
99. 在进行取证调查时,Charles 能够确定连接到受损网络的系统的媒体访问控制(MAC)地址。Chariles 知道 MAC 地址与制造商或供应商相关,并且是系统 指纹的一部分。MAC 地址是OSI的哪一层? A. 应用层 B. 会话层 C.物理层 D.数据链路层
D
100. Mikayla 正在审查她所在组织的VoIP 环境配置,并找到了一个显示以下设计的图表。她应该表达哪种关注? A 语音连接未加密,可能被窃听。 B. 这个图表中没有安全问题。 C.会话初始化连接末加密,可能被查看。 D.会话初始化和语音数据连接都未加密,可能被捕获和分析。
C 初始化应该使用SIPS