30、网络安全与灾难恢复知识全解析

网络安全与灾难恢复知识全解析

1. 灾难发生后的应对策略

当灾难发生后，让公司恢复运营所需的服务评估至关重要。我们会将这些服务分为关键、重要和非重要三类，并优先恢复最关键的服务。恢复顺序通常为：
1. 恢复电力供应。
2. 重建网络基础设施和关键服务器。
3. 恢复数据，然后重新上线。

2. 供应商多样性

公司应在组织内采用多样化策略以应对各种灾难。以供应商多样性为例，我们需要从不同供应商处购买相同技术，以防其中一家供应商倒闭或出现故障。比如，从两家不同的公司购买宽带服务，这样若其中一家供应商遭遇灾难，另一家仍能提供服务。

3. 知识回顾问题

以下是一系列知识回顾问题，帮助你检验对相关知识的掌握程度：
1. 哪种RAID模型至少需要三个磁盘？它能允许丢失多少个磁盘？
2. 哪些RAID模型至少需要四个磁盘？
3. RAID 5和RAID 6的区别是什么？
4. 无盘虚拟主机从哪里访问其存储？
5. SAN使用哪种类型的磁盘？
6. 个人用户可用的云存储示例有哪些？
7. 在事件响应程序的哪个阶段，你会减少受恶意软件感染的域控制器上计算机运行的服务？
8. 在灾难恢复演练中，IRP团队收到一个场景进行响应，他们可能会进行哪种类型的演练？
9. 网络安全团队为什么要使用MITRE ATT&CK框架？
10. 入侵分析框架的钻石模型的四个关键要素是什么？
11. IRP团队的角色和职责为什么重要？
12. 计算机出现蓝屏死机时会创建哪种类型的文件？
13. SFlow的目的是什么？
14. 哪种HTTP状态代码表示你已成功连接到Web服务器？
15. SOAR系统剧本的目的是什么？
16. 网卡组队的好处是什么？
17. UPS的目的是什么？
18. 可以在SAN节点上安装什么以提供冗余？
19. 公司为什么要为其宽带使用两家不同的供应商？
20. 事件响应计划的目的是什么？
21. 列举三种不同类别的事件。
22. 列举处理事件所需的三种不同角色。
23. 当事件刚刚报告时，帮助台应该做什么？
24. 事件响应演练的目的是什么？
25. 事件响应过程的第一阶段是什么，该阶段会发生什么？
26. 事件响应过程的最后阶段是什么？
27. 如果事件响应过程的最后一个过程未执行会发生什么？
28. 灾难恢复过程的遏制阶段会发生什么？
29. 灾难恢复过程的根除阶段会发生什么？
30. 灾难恢复过程的恢复阶段会发生什么？

4. 模拟测试

模拟测试部分包含两套模拟考试及详细解释，帮助你了解自己是否准备好参加正式考试。以下是模拟考试1的部分题目：
| 题目 | 选项 |
| — | — |
| 你是一所拥有10台内部网Web服务器的学院的管理员，需要安装X509证书以支持HTTPS，应选择最具成本效益的解决方案，你会使用哪种证书？ | a. 通配符
b. 域名
c. 自签名
d. SAN |
| 以下哪种威胁情报源可能提供更准确的数据？ | a. OSINT
b. 公共/私人信息共享中心
c. 封闭/专有
d. 威胁地图 |
| 网络安全管理员想在正在监控的日志文件中添加注释，最好使用哪个工具？ | a. Nmap
b. Head
c. Logger
d. Tail |
| 网络安全团队遭到一群来自互联网的黑客攻击，团队希望找到这群黑客的所有电子邮件地址，最好使用哪个工具？ | a. Dimitri
b. The harvester
c. Curl
d. Logger |
| 以下哪些工具可用于横幅抓取？ | a. Curl
b. Telnet
c. Nmap
d. netcat (nc) |

以下是这些问题解决流程的mermaid流程图：

graph LR
    A[选择问题类型] --> B{知识回顾问题}
    A --> C{模拟测试问题}
    B --> D[思考答案]
    D --> E[核对答案]
    C --> F[分析题目]
    F --> G[选择选项]
    G --> H[检查答案]

5. 模拟考试1题目解析

1. X509证书选择 ：对于学院的10台内部网Web服务器，自签名证书通常是最具成本效益的选择，因为它不需要向第三方证书颁发机构付费。所以答案选c。
2. 威胁情报源准确性 ：封闭/专有威胁情报源通常提供更准确的数据，因为它们往往包含更详细和特定的信息。所以答案选c。
3. 日志文件添加注释工具 ：Logger工具可用于在日志文件中添加注释，所以答案选c。
4. 查找黑客电子邮件地址工具 ：The harvester工具可用于收集目标的电子邮件地址等信息，所以答案选b。
5. 横幅抓取工具 ：Curl、Telnet、Nmap和netcat (nc)都可用于横幅抓取，所以答案选abcd。

6. 更多模拟考试题目及解析

题目	选项	答案及解析
网络安全分析师读完安全公告的月度发布后，开始搜索所有数据库服务器上的日志文件，他们正在完成什么任务？	a. 日志分析 b. 风险缓解 c. 安全管理 d. 威胁狩猎	答案：d。分析师在安全公告发布后搜索日志文件，是为了寻找潜在的威胁，属于威胁狩猎。
供应商停止销售产品，但仍销售有限数量的替换零件，该产品处于什么状态？	a. 遗留 b. 生命周期结束 c. 服务结束 d. 退役	答案：a。产品仍有替换零件销售，但已停止销售，属于遗留产品。
安全管理员需要在两家合作的汽车制造商之间实现安全认证，应采用以下哪种方式？	a. Kerberos b. OAuth c. 单点登录 d. SAML	答案：d。SAML常用于不同组织之间的安全认证。
以下哪些法规涉及信用卡购买和金融交易？	a. GDPR b. HIPAA c. PCI DSS d. 以上所有	答案：c。PCI DSS专门针对信用卡购买和金融交易的安全法规。
以下哪些可用于保护存储在移动电话上的数据（选择两个）？	a. TLS b. SSL c. FDE d. 远程擦除 e. 屏幕锁 f. 电缆锁	答案：cd。FDE（全磁盘加密）和远程擦除可有效保护移动电话数据。

7. 事件响应和灾难恢复相关概念

1. RTO和RPO
   • RTO（恢复时间目标）指的是可接受的停机时间，即公司在灾难发生后恢复运营所需的时间。
   • RPO（恢复点目标）指的是公司可以容忍的数据丢失量。例如，公司遭受DDoS攻击后，将RPO设置为4小时，意味着公司可以接受最多4小时的数据丢失。
2. 事件响应过程阶段
   • 第一阶段：准备 ：建立事件响应团队，制定响应计划，进行培训和演练等。
   • 最后阶段：恢复 ：将系统恢复到正常运行状态，验证数据完整性和系统功能。
   • 如果最后阶段未执行，可能导致系统无法正常运行，数据丢失或损坏等问题。

8. 安全防护和攻击防范

1. 防止SSL中间人攻击 ：证书固定（Certificate pinning）可防止SSL中间人攻击，通过将服务器证书的哈希值固定在客户端，确保客户端只信任特定的证书。
2. 未知漏洞调查和测试 ：沙箱（Sandboxing）是调查和测试未知漏洞的最佳技术，它可以在隔离的环境中运行程序，避免对系统造成损害。

以下是事件响应过程的mermaid流程图：

graph LR
    A[准备阶段] --> B[检测阶段]
    B --> C[分析阶段]
    C --> D[遏制阶段]
    D --> E[根除阶段]
    E --> F[恢复阶段]
    F --> G[总结阶段]

9. 数据安全和管理

1. 数据保护方法
   • 令牌化（Tokenization） ：将敏感数据替换为令牌，令牌与原始数据在安全的数据库中关联。
   • 数据掩码（Data masking） ：对敏感数据进行部分或全部替换，以保护数据隐私。
   • 加密（Encryption） ：使用加密算法对数据进行加密，确保数据在传输和存储过程中的安全性。
2. 数据保留政策 ：公司应根据法规和业务需求，制定合理的数据保留政策，减少不必要的数据存储，降低数据泄露风险。

10. 网络安全工具和技术

1. 网络扫描工具 ：Nmap可用于扫描网络中的主机和端口，发现开放的服务和漏洞。
2. 日志分析工具 ：SIEM（安全信息和事件管理）系统可收集、分析和关联日志数据，帮助检测安全事件。
3. VPN技术 ：IPSec隧道模式可确保VPN通信的头部和有效负载都被加密，提供更高的安全性。

通过对以上知识的学习和理解，你可以更好地应对网络安全和灾难恢复方面的挑战，提高公司的安全性和恢复能力。希望这些内容对你有所帮助！

网络安全与灾难恢复知识全解析

11. 访问控制与认证

1. 访问控制模型
   • 自主访问控制（DAC） ：数据所有者决定谁可以访问数据。例如，在某些小型企业中，文件的创建者可以自行设置其他用户对该文件的访问权限。
   • 强制访问控制（MAC） ：由系统管理员或数据 custodian 根据安全策略分配访问权限。对于处理秘密和顶级机密数据的组织，如英国秘密服务，通常会采用MAC，由安全管理员或数据 custodian 来严格把控访问。所以对于存储秘密和顶级机密数据的情况，答案选 b。
2. 认证方法
   • SAML（安全断言标记语言） ：常用于不同组织之间的安全认证，如两个汽车制造商之间的联合项目。
   • OAuth ：主要用于授权第三方应用访问用户资源，如社交媒体平台授权第三方应用获取用户信息。
   • Kerberos ：常用于企业内部网络的身份认证，提供单点登录功能。

12. 网络攻击类型及防范

1. DDoS攻击 ：分布式拒绝服务（DDoS）攻击会影响系统的可用性，导致服务无法正常响应。公司在遭受 DDoS 攻击后，需要合理设置恢复点目标（RPO）和恢复时间目标（RTO）。RPO 表示公司可以容忍的数据丢失量，RTO 表示公司在灾难发生后恢复运营所需的时间，也就是可接受的停机时间，所以向 CEO 解释 RTO 可以选 a。
2. 中间人攻击（MITM） ：SSL 中间人攻击可通过证书固定（Certificate pinning）来防止，确保客户端只信任特定的证书。
3. 缓冲区溢出攻击 ：当 SIEM 系统检测到大量大字节数据的 Ping 响应时，可能存在缓冲区溢出攻击的风险。如输出“Pinging Server 1 with 45,000 bytes of data”且多次响应，可能是攻击者试图通过发送大量数据来溢出缓冲区。

13. 云安全相关知识

1. 云服务模型
   • 软件即服务（SaaS） ：用户通过互联网使用软件应用，无需自行安装和维护。例如，常见的在线办公软件。
   • 平台即服务（PaaS） ：提供开发和部署应用的平台，用户可以在平台上开发和运行自己的应用。
   • 基础设施即服务（IaaS） ：提供云计算基础设施，如服务器、存储和网络等。对于希望迁移到云端并仍能控制 IT 系统的公司，IaaS 是较好的选择，所以公司 A 应选 b。
2. 云安全评估 ：CSA CCM（云安全联盟云控制矩阵）可帮助评估云服务提供商的整体风险，为公司选择云服务提供商提供参考。

14. 审计与合规

1. 审计报告类型
   • SOC 1报告 ：主要关注服务组织对用户财务报告的影响。
   • SOC 2报告 ：侧重于服务组织的安全性、可用性、处理完整性、保密性和隐私性等方面，对于购买网络安全公司的大型企业，SOC 2 报告可提供关于安全控制和数据处理的详细信息，所以答案选 c。
   • SOC 3报告 ：是 SOC 2 报告的公开摘要版本。
2. 审计建议执行问题 ：如果审计建议未得到执行，可能是因为供应商停止生产补丁（产品处于生命周期结束状态）、公司不同意建议或没有合适的补丁接口等原因。在嵌入式设备补丁问题中，若供应商不再生产补丁，可能是因为产品已到生命周期结束，所以答案选 c。

15. 数据中心安全

1. 物理安全措施 ：在数据中心入口安装 6 英尺的陷阱门（mantrap），主要目的是防止尾随（tailgating）和未经授权的人员进入数据中心，所以答案选 bc。
2. 云安全信任模型 ：云服务提供商通常采用零信任模型，默认不信任任何内部或外部的用户和设备，需要进行严格的身份验证和授权。

16. 恶意软件和攻击手段

1. 多态病毒 ：多态病毒的哈希值会在不同主机上发生变化，使得传统的基于哈希值的病毒检测方法失效。当网络安全团队发现新发布的恶意软件哈希值在不同主机上不同时，可能检测到的是多态病毒，所以答案选 e。
2. 网络钓鱼攻击
   • 鲸鱼攻击（Whaling） ：针对高级管理人员的网络钓鱼攻击。
   • 语音钓鱼（Vishing） ：通过电话进行的钓鱼攻击。当攻击者试图针对高级管理人员但只能留下语音邮件时，原本的攻击意图可能是鲸鱼攻击，最终使用的是语音钓鱼攻击，所以答案选 ab。

17. 风险评估和管理

1. 风险登记册 ：风险登记册记录风险描述、风险所有者和缓解策略等信息，帮助公司管理和跟踪风险。所以答案选 b。
2. 业务影响分析（BIA） ：在设计 BIA 计划时，计算公司在灾难恢复系统中可以在没有数据的情况下运行的时间，即恢复点目标（RPO），所以答案选 d。

18. 网络设备和故障排查

1. 网络设备检查 ：当多个用户同时报告无法访问互联网时，应首先检查路由器，因为路由器是网络连接的关键设备，所以答案选 b。
2. 网络监控工具 ：netstat 和 Nmap 可用于查看服务器上运行的服务，所以答案选 bd。

19. 安全策略和最佳实践

1. 职责分离 ：在财务部门，为了防止员工贪污，应采用职责分离的原则，将财务处理的不同职责分配给不同的人员，所以答案选 c。
2. 数据最小化 ：公司应根据法规和业务需求，只收集和保留必要的个人数据，减少数据泄露的风险。审计人员建议减少个人身份信息（PII）和敏感数据的保留时间，体现了数据最小化的原则，所以答案选 d。

20. 总结

网络安全和灾难恢复是一个复杂而重要的领域，涉及众多的技术、工具和策略。通过对灾难恢复流程的合理规划，如优先恢复关键服务、采用供应商多样性等策略，可以提高公司在灾难发生后的恢复能力。在网络安全方面，要了解各种攻击手段和防范方法，如防止 SSL 中间人攻击、检测和处理未知漏洞等。同时，合理运用访问控制、认证方法和数据保护技术，确保数据的安全性和隐私性。此外，审计和合规工作对于公司的安全运营也至关重要，要及时执行审计建议，制定合理的数据保留政策。通过不断学习和实践这些知识和技能，我们可以更好地应对网络安全挑战，保障公司的稳定运营。

以下是网络安全知识体系的mermaid流程图：

graph LR
    A[网络安全与灾难恢复] --> B[灾难恢复策略]
    A --> C[网络安全防护]
    B --> D[服务恢复顺序]
    B --> E[供应商多样性]
    C --> F[访问控制与认证]
    C --> G[攻击防范与检测]
    C --> H[数据安全管理]
    F --> I[DAC]
    F --> J[MAC]
    F --> K[SAML等认证方法]
    G --> L[DDoS攻击]
    G --> M[MITM攻击]
    G --> N[缓冲区溢出攻击]
    H --> O[令牌化]
    H --> P[数据掩码]
    H --> Q[加密]

通过以上对网络安全和灾难恢复知识的全面解析，希望能帮助大家更好地理解和应用这些知识，提升自身的安全意识和应对能力。