超级会员免费看
网络安全知识综合解析
一、Mock Exam 1 知识点总结
-
证书相关
- 自签名证书 :对于面向内部的服务器,自签名证书是最便宜的选择。
- 证书有效性 :计算机需要信任且证书本身必须有效。只有 CRL 和 OCSP 能提供证书验证,若 CRL 运行缓慢,通常会实施 OCSP;若移除 CRL,则必须实施 OCSP。
- 多服务器证书选择 :若要在五个面向互联网的邮件服务器上安装证书,Subject Alternative Name (SAN) 证书可能是最具成本效益的解决方案。
-
威胁情报与攻击检测
- 封闭/专有威胁情报 :由生成报告的公司资助,投入更多资金创建,能提供更准确信息,因为这些信息会出售给其他公司。
- 威胁狩猎 :当发布新的安全更新时,威胁狩猎是在当前和历史日志中搜索攻击症状的过程。
- 攻击类型检测 :DDoS 和 DoS 攻击旨在破坏 IT 系统的可用性,使其瘫痪。SIEM 系统可检测如密码喷洒等攻击。
-
系统管理与维护
- 系统生命周期 :生命周期结束(End - of - life)的系统不再由供应商支持,不会有补丁更新;服务终止(End - of - service)时,供应商停止一切支持,包括提供备件。
- 日志管理 :logger 命令可用于向日志文件中插入注释。
- 系统监控 :持续监控可检测系统故障和安全漏洞。
-
访问控制与认证
- 访问方法 :MAC 用于对机密数据的访问控制,安全管理员在人员经过审查且访问合理时,负责授予用户数据访问权限。
- 第三方认证 :第三方认证是使用 SAML 的联合服务。
- 多因素认证 :可使用智能卡、TOTP 等作为多因素认证方式。
-
数据保护与存储
- 数据静止保护 :FDE 可保护静止数据,移动电话可通过屏幕锁和强密码保护访问。
- 数据最小化 :数据最小化是仅收集实现目的所需的数据,并仅在合规要求的时间段内保留这些数据。
- RAID 存储 :RAID 6 至少使用四个磁盘,采用双重奇偶校验,可容忍两个磁盘故障。
-
其他安全概念
- 沙箱化 :将应用程序放在隔离的虚拟机中,用于测试补丁或运行危险应用程序。
- 令牌化 :令牌化用令牌替换数据,令牌链接到持有数据的支付提供商,比加密更优,因为它是无状态的。
- IPSec 模式 :IPSec 隧道模式用于外部 VPN,加密报头和有效负载;传输模式用于内部服务器到服务器通信,仅加密有效负载。
二、Mock Exam 2 问题与解答
-
无线认证协议选择
- 若要为无线网络实施加密认证方法,EAP - TLS 是最安全的协议。
-
网络攻击调查步骤
- 当发现网络服务器遭受攻击且存在未知活动连接时,首先应将受攻击的 Web 服务器从网络断开,以防止进一步损坏。
-
灾难恢复站点选择
- 金融公司遭受灾难后,若想在最短时间内全面恢复运营,热站点(Hot site)是最佳选择。
-
取证调查步骤
- 对犯罪嫌疑人的笔记本进行取证调查时,在开始保管链之前,第一步是制作笔记本的系统镜像。
-
软件版本信息获取工具
- 攻击者若想获取网络中使用的软件版本信息,可使用 Netstat、端口扫描、Nmap 等工具。
-
物联网设备攻击原因
- 人们家中的监控画面在不知情的情况下出现在互联网上,可能是因为新购买的物联网设备默认配置未更改。
-
网络攻击防范措施
- IT 培训公司办公室遭受网络攻击后,可通过在交换机上创建 VLAN 并将公司管理团队放入该 VLAN 来防止未来攻击。
-
认证系统选择
- 若组织有多种网络连接方式,需要一个集中管理的认证系统来记录访问时间,TACACS + 和 RADIUS 是最合适的认证方法。
-
成像技术的好处
- 使用成像技术(如 Microsoft WDS 服务器或 Symantec Ghost)为新桌面计算机和笔记本电脑部署镜像,主要好处是为所有新机器提供一致的基线。
-
第三方账户登录协议
- 公司允许用户使用他人管理的账户(如 Facebook 账户)登录互联网应用,这种方式基于 OAuth 2.0 协议。
-
网络威胁类型
- 销售团队成员未经许可将自己的笔记本连接到公司网络,这属于 BYOD(自带设备)带来的网络威胁。
-
密码策略设置
- 若要实施更严格的密码策略,需设置密码历史记录(防止 12 次密码更改内使用相同密码)、最小密码年龄(确保用户一天内不能多次更改密码)以及要求密码满足复杂性要求(防止使用简单密码)。
-
手机解锁与应用安装
- 为解锁手机并安装第三方应用,可使用越狱或 root、侧载等技术。
-
数据隐私标准
- GDPR 是数据隐私和处理的标准。
-
防止暴力破解措施
- 若不能使用账户锁定设置,可通过加盐(Salting)使暴力破解更难成功。
-
无线密码保护
- 为保护无线路由器的管理员密码,WPA2 - Enterprise 是最合适的无线功能。
-
网络入侵检测系统(NIDS)作用
- 网络管理员安装 NIDS 主要是为了识别网络中的新流量模式和漏洞。
-
整数溢出攻击防范
- 为防止 Web 服务器遭受整数溢出攻击,可在表单上进行输入验证。
-
虚拟机攻击类型
- 攻击者从访客机器攻击数据库服务器并窃取用户信用卡信息,这属于 VM 逃逸攻击。
-
不可检测的攻击
- 零日病毒攻击通常无法被任何监控系统检测到。
-
双因素认证方式
- 若已使用面部识别作为访问方式,可结合手掌阅读器、拇指扫描仪、虹膜扫描仪等实现双因素认证。
-
软件风险评估
- 为降低新软件引入的未知漏洞风险,可采用沙箱化和模糊测试(Fuzzing)等方法。
-
支付终端合规
- 安装信用卡/借记卡支付终端的小企业必须遵守 PCI DSS 法规。
-
服务器认证协议更改原因
- 禁用 NTLM 并启用 Kerberos 可防止中间人攻击和传递哈希攻击。
-
文件销毁防范措施
- 为防止类似政治顾问销毁文件的事件再次发生,可实施职责分离,确保任何文件销毁都有第二人见证。
-
生物识别系统购买因素
- 购买新的生物识别系统时,低 FAR(误识率)是关键因素。
-
日志收集准备
- 在安装 SIEM 服务器收集多个地点的日志文件之前,首先要安装网络时间协议(NTP)服务器,以确保时间同步。
-
证据完整性证明
- 为证明调查的证据未被篡改,可使用 MD5、SHA1 等哈希算法。
-
软件开发流程
- 开发人员提交代码并将其移入软件开发的开发阶段,且代码将自动化,这属于持续集成。
-
攻击类型识别
- 使用 HTML 标签并在 标签之间插入 JavaScript 的攻击是跨站脚本攻击。
-
无线网络问题解决
- 新安装的无线网络出现设备干扰问题,可能是管理员未进行站点调查和检查无线信道。
-
证书受损处理
- 若 X509 证书受损,为保护公司且减少管理工作量,应撤销该 X509 证书并将其添加到 CRL。
-
生物识别系统性能指标
- 生物识别系统在补丁升级后允许未经授权的用户进入,此时测量的是 FAR(误识率)。
-
足迹分析
- 创建关于网络连接和主机的图表属于足迹分析。
-
无线接入点选择
- 安装新的无线接入点时,若要兼顾安全性和与旧系统的兼容性,可选择 WPA2 TKIP。
-
防止重放攻击协议
- 为防止重放攻击,可使用 Kerberos 协议,它使用时间戳和 USN。
-
威胁行为者判断
- 公司研发数据被盗且生产线受损,最有可能的威胁行为者是竞争对手。
-
供应商多样性原因
- 实施供应商多样性的原因包括提高可靠性和增强弹性。
-
认证安全协议选择
- 若管理员的凭据在桌面和网络设备之间以明文形式传输,可使用 Secure Shell 协议来保护认证。
-
SIEM 误报原因
- SIEM 服务器检测到服务器存在漏洞,但手动检查证明无漏洞,可能是由于误报或使用了错误的审计过滤器。
-
笔记本保险决策
- 若公司每月丢失 10 台笔记本,每月保险费用为 10000 美元,购买单价为 1000 美元的笔记本可避免购买保险。
-
可靠性衡量指标
- MTBF(平均无故障时间)是衡量可靠性的指标。
-
计算机隔离方案
- 若要隔离持有商业机密的研发计算机,气隙(Air gap)是最佳解决方案。
-
风险转移方式
- 外包 IT 支持和购买网络安全保险属于风险转移。
-
第三方认证协议特征
- 使用基于 XML 认证的第三方到第三方认证协议具有单点登录(SSO)和 SAML 等特征。
-
数据处理方式识别
- 看到客户信用卡部分信息被隐藏,这属于数据掩码。
-
安全事件处理阶段
- 安全管理员隔离受病毒感染的域控制器,清除病毒并关闭 Telnet 服务,这属于根除阶段。
通过对这些知识点的学习和理解,我们可以更好地应对网络安全领域的各种挑战,保障网络系统的安全稳定运行。在实际工作中,我们应根据具体情况选择合适的安全策略和技术,不断提升网络安全防护水平。
网络安全知识综合解析
三、关键知识点深入分析
-
证书管理
-
证书类型对比
| 证书类型 | 适用场景 | 成本 | 特点 |
| ---- | ---- | ---- | ---- |
| 自签名证书 | 面向内部的服务器 | 低 | 自行颁发,安全性相对较低,适用于内部环境 |
| Wildcard 证书 | 多个子域名 | 适中 | 可用于多个子域名,节省成本 |
| Subject Alternative Name (SAN) 证书 | 多个不同域名的服务器 | 适中 | 可在多个不同域名的服务器上使用 |
| Root 证书 | 作为信任链的根 | 高 | 是整个证书信任体系的基础 | -
证书验证机制
证书的有效性和信任是保障网络安全的重要环节。CRL(证书撤销列表)和 OCSP(在线证书状态协议)是常用的证书验证方式。当 CRL 运行缓慢时,可实施 OCSP 来提高验证效率。例如,在一个大型企业网络中,若 CRL 无法及时更新,可能导致已撤销的证书仍被信任,此时使用 OCSP 可以实时验证证书状态。
-
证书类型对比
-
威胁检测与防范
-
常见攻击类型及应对
| 攻击类型 | 攻击目标 | 防范措施 |
| ---- | ---- | ---- |
| DDoS/DoS | 系统可用性 | 部署抗 DDoS 设备、流量清洗服务等 |
| 密码喷洒 | 用户账户 | 实施账户锁定策略、使用强密码策略等 |
| 零日病毒 | 系统漏洞 | 及时更新系统补丁、使用高级威胁检测工具等 | - 威胁狩猎流程
-
常见攻击类型及应对
graph LR
A[新安全更新发布] --> B[收集当前和历史日志]
B --> C[分析日志,搜索攻击症状]
C --> D[发现潜在攻击]
D --> E[采取防范措施]
当有新的安全更新发布时,通过收集和分析日志来发现潜在的攻击迹象,及时采取防范措施,如隔离受感染的设备、更新安全策略等。
3.
系统管理与维护
-
系统生命周期管理
生命周期结束的系统不再得到供应商的支持,存在安全风险。企业应制定合理的系统更新和替换计划,避免使用过时的系统。例如,对于一些关键业务系统,应在其生命周期结束前及时进行升级或替换。
-
日志管理的重要性
日志记录了系统的各种活动,是发现安全事件和故障的重要依据。使用 logger 命令可以方便地向日志文件中插入注释,帮助管理员更好地理解日志内容。同时,持续监控日志可以及时发现异常活动。
4.
访问控制与认证
-
访问控制模型
MAC(强制访问控制)用于对机密数据的访问进行严格控制,安全管理员根据用户的身份和权限授予访问权限。例如,在政府机构或金融机构中,对敏感数据的访问通常采用 MAC 模型。
-
多因素认证的优势
多因素认证可以大大提高系统的安全性。常见的多因素认证方式包括智能卡、TOTP(基于时间的一次性密码)等。例如,在企业的远程访问系统中,要求用户同时使用用户名、密码和 TOTP 进行认证,可以有效防止账户被盗用。
5.
数据保护
-
数据静止保护技术
FDE(全磁盘加密)可以保护静止数据的安全,防止数据在存储介质丢失或被盗时被泄露。同时,移动电话可以通过屏幕锁和强密码保护访问,进一步增强数据安全性。
-
数据最小化原则
数据最小化是一种重要的数据保护原则,企业应仅收集实现业务目的所需的数据,并在合规要求的时间段内保留这些数据。例如,在一个电商平台中,只收集用户的必要信息,如姓名、地址、联系方式等,避免过度收集用户数据。
四、实际应用案例分析
-
无线网络安全案例
某公司新安装了无线网络,但出现了设备干扰问题。经调查发现,管理员未进行站点调查和检查无线信道。解决方法是进行全面的站点调查,了解周围无线环境,选择合适的无线信道,并调整无线接入点的功率和位置。 -
数据泄露案例
某企业的数据库服务器遭受攻击,导致用户信用卡信息泄露。攻击方式为 VM 逃逸,攻击者从访客机器突破到数据库服务器。为防止此类事件再次发生,企业应加强虚拟机的安全隔离,定期进行漏洞扫描和安全审计。 -
密码攻击案例
一个 SIEM 系统发现了密码喷洒攻击。密码喷洒攻击是通过使用少量常见密码尝试登录大量账户。企业应实施强密码策略,如要求密码长度、复杂度等,同时设置账户锁定策略,当多次登录失败时锁定账户。
五、网络安全最佳实践建议
-
制定完善的安全策略
企业应制定涵盖网络访问、数据保护、用户认证等方面的安全策略,并定期进行审查和更新。例如,制定严格的密码策略、访问控制策略等。 -
加强员工培训
员工是网络安全的重要防线,应定期进行网络安全培训,提高员工的安全意识。例如,培训员工如何识别钓鱼邮件、避免使用弱密码等。 -
定期进行安全评估
定期对网络系统进行漏洞扫描、渗透测试等安全评估,及时发现和修复安全漏洞。例如,每季度进行一次全面的安全评估。 -
建立应急响应机制
建立完善的应急响应机制,当发生安全事件时能够迅速响应,减少损失。例如,制定应急响应预案,明确各部门的职责和响应流程。
六、总结
网络安全是一个复杂而重要的领域,涉及多个方面的知识和技术。通过对证书管理、威胁检测、系统管理、访问控制、数据保护等关键知识点的深入学习和理解,以及对实际应用案例的分析,我们可以更好地应对网络安全挑战。在实际工作中,应根据企业的具体情况制定合适的安全策略,加强安全管理,不断提升网络安全防护水平。同时,持续关注网络安全领域的新技术和新趋势,及时调整安全策略,以适应不断变化的网络安全环境。
希望本文能够帮助读者更好地理解网络安全知识,为保障网络系统的安全稳定运行提供有益的参考。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
