第 1 章 P1 记忆卡（持续更新）

这页开始把候选池里的 P1 知识点写成真正能背的卡。

不是先追求花哨口诀，而是先让小白知道：这个词在现实里管什么，题目为什么考它，最后怎么从题干选回来。

怎么读这一页

每张卡按同一个流程走。

先懂一句话：先看现实里发生了什么。
真正要背什么：只提 2 到 5 个点。
关键词拆解：英文、中文、题干信号分开。
候选池：列几个记法，再说为什么保留或淘汰。
最终主记法：固定一条能记住的链。
小白故事：用同一个小林网店场景串起来。
回到考题：看到什么选它，看到什么不要选它。
别混：和相邻知识点分开。

已完成清单

第一批：

Integrity / 完整性
Confidentiality / 机密性
Risk Assessment / 风险评估
Availability / 可用性
PCI DSS / 支付卡行业数据安全标准
Nonrepudiation / 不可否认性
Defense in Depth / 纵深防御
Due Diligence / 尽职调查
RTO / 恢复时间目标
NIST / 美国国家标准与技术研究院

第二批：

Standard / 标准
Vulnerability Assessment / 漏洞评估
BCP / 业务连续性计划
RPO / 恢复点目标
CISO / 首席信息安全官
ISO / 国际标准化组织
STRIDE / 威胁建模分类
Threat Modeling / 威胁建模
DRP / 灾难恢复计划
Authenticity / 真实性

第三批：

Firewall / 防火墙
Penetration Testing / 渗透测试
Identity / 身份
Accountability / 问责性
Authentication / 认证
COBIT / IT 治理框架
Incident Response / 事件响应
Auditing / 审计
Authorization / 授权
Encryption / 加密

第四批：

IDS / 入侵检测系统
IPS / 入侵防御系统
MFA / 多因素认证
OSI / 开放系统互连模型
VPN / 虚拟专用网络
Audit Trail / Log / 审计跟踪与日志
Vulnerability Scan / 漏洞扫描
Cost-Effective / 成本有效
Procedure / 程序
Security Governance / 安全治理

第五批：

Policy / 安全政策
Guideline / 指南
Security Boundary / Perimeter / 安全边界
Legally Defensible / 法律可辩护
Due Care / 应尽注意
DAD / 泄露、篡改、毁坏
AAA / 认证、授权、记账
SLE / ALE / ARO / 风险损失计算
PKI / 公钥基础设施
CA / RA / Certificate / 证书链三件套

第六批：

SAML / 安全断言标记语言
OAuth / OIDC / 委托授权与身份认证层
SSO / 单点登录
Kerberos / 票据认证协议
RADIUS / TACACS+ / 网络 AAA 服务
MAC / DAC / RBAC / ABAC / 访问控制模型
Least Privilege / 最小权限
Need-to-Know / 知情需要
Data Owner / Custodian / 数据所有者与保管者
Classification / Labeling / 分类与标记

第七批：

Biometrics / 生物识别
FAR / FRR / CER / 生物识别错误率
Password Policy / 密码策略
Passphrase / 口令短语
Smart Card / Token / 智能卡与令牌
LDAP / 轻量目录访问协议
PAM / 特权访问管理
Separation of Duties / 职责分离
Privileged Account / 特权账号
Security Models / Bell-LaPadula / Biba / Clark-Wilson / 安全模型

第八批：

Reference Monitor / 参考监视器
Security Kernel / 安全内核
TCB / 可信计算基
Covert Channel / 隐蔽通道
Trusted Path / 可信路径
Orange Book / TCSEC / 橙皮书与可信计算机系统评价准则
Common Criteria / 通用准则
Data Remanence / 数据残留
Media Sanitization / 介质净化
Secure Erase / Degaussing / Destruction / 安全擦除、消磁与销毁

第九批：

Kerckhoffs's Principle / 科克霍夫原则
Symmetric Encryption / 对称加密
Asymmetric Encryption / 非对称加密
Hashing / 哈希
Digital Signature / 数字签名
HMAC / 基于哈希的消息认证码
Digital Envelope / 数字信封
AES / 3DES / DES / 对称算法
Block Cipher Modes / ECB / CBC / CTR / GCM / 分组密码模式
Key Management / Split Knowledge / Dual Control / 密钥管理、分割知识与双人控制

第十批：

RSA / Rivest-Shamir-Adleman / 非对称算法
Diffie-Hellman / DH / 密钥交换
ECC / Elliptic Curve Cryptography / 椭圆曲线密码
ElGamal / 埃尔加马尔公钥算法
Quantum Cryptography / 量子密码学
PKI Trust Model / 公钥基础设施信任模型
Certificate Lifecycle / 证书生命周期
CRL / OCSP / 证书吊销检查
TLS Handshake / TLS 握手
Cryptographic Attacks / Brute Force / Known Plaintext / Chosen Ciphertext / 密码攻击对照

第十一批：

IPsec / AH / ESP / IP 安全协议组件
Tunnel Mode / Transport Mode / 隧道模式与传输模式
PGP / S/MIME / 安全邮件标准
Secure Email / 安全邮件目标
Link Encryption / End-to-End Encryption / 链路加密与端到端加密
Steganography / 隐写术
Watermarking / 数字水印
Data Masking / 数据脱敏
Tokenization / 令牌化
DLP / Data Loss Prevention / 数据防泄漏

第十二批：

Privacy / PII / PHI / 隐私、个人身份信息与受保护健康信息
GDPR / General Data Protection Regulation / 欧盟通用数据保护条例
HIPAA / Health Insurance Portability and Accountability Act / 美国健康保险可携性与责任法案
Data Retention / Record Retention / 数据保留
Data Remanence 深化 / 数据残留深化
Data Lifecycle / 数据生命周期
Data Sovereignty / Data Localization / 数据主权与数据本地化
Intellectual Property / Proprietary Data / 知识产权与专有数据
Patent / Copyright / Trademark / Trade Secret / 知识产权四兄弟
Privacy by Design / Privacy by Default / 隐私设计先行与默认隐私保护

第十三批：

Data Classification Levels / 数据分类级别
Data Marking / Handling / 数据标记与处理
Data Owner / Controller / Processor / 数据所有者、控制者与处理者
Data Steward / Custodian / User / 数据管家、保管者与用户
Data States / At Rest / In Transit / In Use / 数据三态
Data Minimization / 数据最小化
Pseudonymization / Anonymization / 假名化与匿名化
DRM / Digital Rights Management / 数字版权与使用控制
CASB / Cloud Access Security Broker / 云访问安全代理
EOL / EOS / End of Life / End of Support / 生命周期结束与支持结束

第十四批：

Security Baseline / 安全基线
Configuration Baseline / 配置基线
Hardening / 系统加固
Patch Management / 补丁管理
Change Management / Change Control / 变更管理与变更控制
Vulnerability Management / 漏洞管理
Secure Configuration / 安全配置
Mobile Device Management / MDM / 移动设备管理
BYOD / Bring Your Own Device / 自带设备办公
EDR / Endpoint Detection and Response / 端点检测与响应

第十五批：

NAC / Network Access Control / 网络接入控制
Remote Access / 远程访问
VPN 深化 / Virtual Private Network / 虚拟专用网络
Zero Trust / 零信任
Network Segmentation / 网络分段
Microsegmentation / 微分段
Firewall Rules / ACL / 防火墙规则与访问控制列表
Proxy / Forward Proxy / Reverse Proxy / 代理、正向代理与反向代理
Load Balancer / 负载均衡器
CDN / WAF / 内容分发网络与 Web 应用防火墙

第十六批：

DMZ / Demilitarized Zone / 隔离区
VLAN / Virtual LAN / 虚拟局域网
Subnetting / 子网划分
NAT / PAT / 网络地址转换与端口地址转换
DNS / DNSSEC / 域名系统与 DNS 安全扩展
DHCP Security / DHCP 安全
Wireless Security / 无线安全
WPA2 / WPA3 / Wi-Fi 保护访问
Bluetooth / Zigbee / 近距离与低功耗无线
SDN / VPC / 软件定义网络与虚拟私有云

第十七批：

ARP / ARP Spoofing / 地址解析协议与 ARP 欺骗
ICMP / Ping / Smurf / 网络控制消息、Ping 与 Smurf 攻击
TCP Three-Way Handshake / TCP 三次握手
SYN Flood / SYN 泛洪
Port Scan / 端口扫描
IDS / IPS 深化 / 入侵检测与入侵防御深化
SIEM 深化 / 安全信息与事件管理深化
SOAR 深化 / 安全编排、自动化与响应深化
Honeypot / Honeynet / 蜜罐与蜜网
Threat Intelligence / 威胁情报

第十八批：

Malware / Virus / Worm / Trojan / 恶意软件、病毒、蠕虫与木马
Ransomware / 勒索软件
Rootkit / 根套件
Keylogger / 键盘记录器
Logic Bomb / 逻辑炸弹
Backdoor / 后门
Botnet / 僵尸网络
Phishing / Spear Phishing / Whaling / 钓鱼、鱼叉式钓鱼与捕鲸
Social Engineering / 社会工程
Password Attacks / Brute Force / Dictionary / Password Spraying / 密码攻击对照

第十九批：

Anti-malware / Endpoint Protection / 反恶意软件与端点保护
Sandbox / Malware Analysis / 沙箱与恶意软件分析
Incident Response Lifecycle / 事件响应生命周期
Preparation / Detection / Analysis / 准备、检测与分析
Containment / Eradication / Recovery / 遏制、根除与恢复
Lessons Learned / 经验复盘
Forensic Imaging / Write Blocker / 取证镜像与写保护器
Chain of Custody / Evidence Handling / 保管链与证据处理
Order of Volatility / 易失性顺序
Legal Hold / eDiscovery / 法律保留与电子取证发现

第二十批：

Security Logging / Audit Logging / 安全日志与审计日志
Log Retention / 日志保留
Time Synchronization / NTP / 时间同步与网络时间协议
Monitoring / Continuous Monitoring / 监控与持续监控
Clipping Level / Threshold / 剪切阈值与告警阈值
False Positive / False Negative 深化 / 误报与漏报深化
Vulnerability Disclosure / 漏洞披露
Patch Testing / Rollback / 补丁测试与回滚
Configuration Drift / 配置漂移
Asset Inventory 深化 / 资产清单深化

第二十一批：

Secure Coding / Secure SDLC / 安全编码与安全软件开发生命周期
Input Validation / 输入验证
Output Encoding / 输出编码
SQL Injection / SQL 注入
XSS / Cross-Site Scripting / 跨站脚本
CSRF / Cross-Site Request Forgery / 跨站请求伪造
Buffer Overflow / 缓冲区溢出
Race Condition / TOCTOU / 竞态条件与检查时使用时问题
Error Handling / Fail Secure / 错误处理与安全失败
Code Review / Static Analysis / 代码审查与静态分析

第二十二批：

DAST / Dynamic Application Security Testing / 动态应用安全测试
Fuzzing / 模糊测试
API Security / API 安全
Session Management / 会话管理
Cookie Security / SameSite / HttpOnly / Secure / Cookie 安全属性
JWT / Token Security / JWT 与令牌安全
OAuth Scopes 深化 / OAuth 权限范围深化
Secrets Management / 密钥与秘密管理
Hardcoded Credentials / 硬编码凭据
Dependency / Software Composition Analysis / 依赖与软件组成分析

第二十三批：

Cloud Security Shared Responsibility / 云安全共享责任
IaaS / PaaS / SaaS 深化 / 云服务模型深化
CSP / Cloud Service Provider / 云服务提供商
CASB 深化 / Cloud Access Security Broker / 云访问安全代理
Cloud Data Protection / 云数据保护
Container Security / 容器安全
Kubernetes Security / Kubernetes 安全
Serverless Security / 无服务器安全
Virtualization Security / 虚拟化安全
VM Escape / Hypervisor Security / 虚拟机逃逸与虚拟机监控器安全

第二十四批：

Network Architecture Security / 网络架构安全
DMZ 深化 / Demilitarized Zone / 隔离区
VLAN / Subnet 深化 / 虚拟局域网与子网
NAT / PAT 深化 / 网络地址转换与端口地址转换
Proxy / Forward Proxy / Reverse Proxy 深化 / 代理、正向代理与反向代理
WAF 深化 / Web Application Firewall / Web 应用防火墙
CDN / DDoS Protection / 内容分发网络与 DDoS 防护
ZTNA / Zero Trust Network Access / 零信任网络访问
Secure Remote Access / 安全远程访问
Wireless Security Baseline / 无线安全基线

第二十五批：

Cryptography Architecture / 密码学架构
Symmetric vs Asymmetric Encryption 深化 / 对称与非对称加密对照
Hashing 深化 / 哈希深化
Digital Signature 深化 / 数字签名深化
Certificate Chain 深化 / 证书链深化
Key Exchange / Diffie-Hellman 深化 / 密钥交换与 DH 深化
HMAC 深化 / 基于哈希的消息认证码深化
PKI Operations 深化 / 公钥基础设施运维深化
Certificate Pinning / 证书固定
Crypto Algorithm Selection / 密码算法选择

第二十六批：

Malware Taxonomy 深化 / 恶意软件分类深化
Virus / Worm / Trojan 深化 / 病毒、蠕虫与木马深化
Ransomware Response / 勒索软件响应
Rootkit / Bootkit 深化 / 根套件与启动套件深化
Logic Bomb 深化 / 逻辑炸弹深化
Botnet / C2 深化 / 僵尸网络与命令控制深化
Phishing / Spear Phishing / Whaling 深化 / 钓鱼、鱼叉式钓鱼与捕鲸深化
Social Engineering Pretexting / 社会工程借口攻击
DoS vs DDoS 深化 / 拒绝服务与分布式拒绝服务深化
Threat Intelligence Indicators / 威胁情报指标

记忆卡：Integrity / 完整性

Integrity 这张卡不能只背“完整性”三个字。

小白先懂一句话：它问的是东西有没有被偷偷改坏，改完以后你还能不能相信它。

1. 先懂一句话

Integrity = 完整性。

它不是问资料有没有被别人看见。

它真正问的是：内容有没有保持原样。

订单金额从 1000 元变成 10 元，系统还能打开，但账已经不可信了，这就是完整性问题。

2. 真正要背什么

这张卡真正要背 3 件事。

完整性看“有没有被改”。
被改以后，重点不是页面能不能打开，而是数据还能不能信。
常见信号是 tamper、modify、alter、change、corrupt、unauthorized modification。

3. 关键词拆解

Integrity：完整、原样、可信。

Unauthorized modification：没有权限的人改了内容。

Tampering：偷偷动手脚。

Hash / checksum：常用来检查文件或数据有没有变过，但它们是手段，不是完整性本身。

4. 候选池

候选 1：整单没动。

保留。它把“完整性”落到一张订单上：金额、地址、数量都没被乱改。

候选 2：完整账本。

保留。账本是具体物，适合记“数据还可信”。

候选 3：完整的人。

淘汰。画面太散，容易跑到身体完整，和信息安全考点接不上。

讨论结论：主钩子用“整单没动”。它既能接住完整性，也能直接回到题目里的订单、配置、日志、文件被改。

5. 最终主记法

Integrity = 整单没动。

记完整句：订单没有被偷偷改，账本才完整，系统里的内容才可信。

翻回知识点就是：完整性保护数据不被未授权修改。

6. 小白故事

小林的网店卖一台 1000 元的设备。

客户下单后，后台订单突然变成 10 元。

网站没有宕机，客服也能登录，客户资料也没有外泄。

但这张订单已经不能信，因为关键内容被改了。

这时先不要想“是不是可用性”，也不要想“是不是机密性”。

先抓一句话：订单被改，伤到完整性。

7. 回到考题

题目说 data altered、record modified、file tampered、checksum failed，先想完整性。

题目问“哪个安全目标被破坏”，选 integrity。

题目问“用什么办法发现文件有没有变”，再看 hash、digital signature、checksum 这类手段。

8. 别混

机密性看：不该看的人看见了没有。

完整性看：内容被改了没有。

可用性看：该用时能不能用。

最容易错的地方：系统还能打开，不代表没问题。只要内容被改坏，就是完整性。

记忆卡：Confidentiality / 机密性

Confidentiality 这张卡不能只背“保密”。

小白先懂一句话：它问的是秘密有没有被不该看的人看见。

1. 先懂一句话

Confidentiality = 机密性。

它不是问资料有没有改，也不是问系统能不能打开。

它真正问的是：谁能看，谁不能看。

客户名单、身份证号、信用卡号、病历、工资表，被不该看的人看到，就是机密性出事。

2. 真正要背什么

这张卡真正要背 3 件事。

机密性看“有没有泄露”。
重点对象是敏感数据、秘密、受保护信息。
常见信号是 disclosure、leak、exposure、unauthorized access、view confidential data。

3. 关键词拆解

Confidential：保密的，不能随便公开。

Disclosure：披露、泄露。

Unauthorized access：不该访问的人访问了。

Encryption / access control：加密和访问控制是保护机密性的手段，不是机密性本身。

4. 候选池

候选 1：机密箱。

保留。资料放进机密箱，只有该看的人有钥匙。

候选 2：密名单。

保留但弱。它能指向客户名单，但不如机密箱稳。

候选 3：鸡蜜。

淘汰。谐音好笑但太偏，容易记成无关画面。

讨论结论：主钩子用“机密箱”。它能接住“谁能看”，也能接到访问控制、加密、泄露通知这些题。

5. 最终主记法

Confidentiality = 机密箱。

记完整句：客户资料锁在机密箱里，不该看的人不能翻。

翻回知识点就是：机密性保护信息不被未授权查看或披露。

6. 小白故事

小林的网店有一份客户资料表。

里面有姓名、手机号、地址和付款记录。

实习生本来只该看订单状态，却打开了整份客户资料表。

资料没有被改，网站也没停。

但不该看的人看见了秘密。

这时先判机密性。

7. 回到考题

题目说 unauthorized disclosure、data leak、exposure of sensitive information，先想机密性。

题目问哪个目标被破坏，选 confidentiality。

题目问防止别人看见，可以再看 encryption、access control、classification。

8. 别混

机密性是“别被乱看”。

完整性是“别被乱改”。

可用性是“别用不了”。

最容易错的地方：看到 encryption 不要直接选“加密本身”。先看题目问目标还是手段。防止泄露的目标才是机密性。

记忆卡：Risk Assessment / 风险评估

Risk Assessment 这张卡不能只背“评估风险”。

小白先懂一句话：它是在出事前先估算，什么东西可能坏，坏了有多痛。

1. 先懂一句话

Risk Assessment = 风险评估。

它不是扫描工具，也不是模拟攻击。

它真正问的是：资产在哪里，威胁是什么，漏洞在哪里，发生可能性多大，影响多严重。

2. 真正要背什么

这张卡真正要背 6 件事。

资产：你要保护什么。
威胁：谁或什么可能造成坏事。
漏洞：哪里有弱点。
可能性：坏事发生概率高不高。
影响：坏了以后损失有多大。

3. 关键词拆解

Risk：风险，通常是威胁利用漏洞造成影响的可能性。

Assessment：评估，不是修复，是先判断轻重缓急。

Impact：影响，坏了多痛。

Likelihood：可能性，发生概率多高。

4. 候选池

候选 1：风评表。

保留。风来之前先拿表评估：招牌会不会掉，玻璃会不会碎，服务器会不会停。

候选 2：风险体检。

保留但偏泛。能说明检查，但不如风评表能带出“概率和损失”。

候选 3：风险秤。

保留。左边放发生概率，右边放损失影响，适合记 likelihood 和 impact。

候选 4：风险扫描。

淘汰。容易和 vulnerability scan 漏洞扫描混。

讨论结论：主钩子用“风评表”，辅助画面用“风险秤”。表里列资产、威胁、漏洞，秤上称可能性和影响。

5. 最终主记法

Risk Assessment = 风评表 + 风险秤。

记完整句：风暴来之前，小林先填风评表，再用风险秤称一称：可能性多高，损失多重。

翻回知识点就是：风险评估用资产、威胁、漏洞、可能性和影响来判断风险高低。

6. 小白故事

小林要做网店安全预算。

他不能一上来就买最贵的防火墙。

他先列出客户资料、支付系统、库存系统和网站首页。

再问：谁可能攻击，哪里没补丁，发生概率高不高，坏了会损失多少。

这张表填完，才知道先救支付系统，还是先修后台账号。

这就是风险评估。

7. 回到考题

题目出现 asset value、threat、vulnerability、likelihood、impact，先想风险评估。

题目问“管理层想知道风险大小、优先级、剩余风险”，也往风险评估上靠。

题目问“用工具找已知漏洞”，那是漏洞评估，不是风险评估。

题目问“模拟攻击真的打进去”，那是渗透测试，不是风险评估。

8. 别混

风险评估看：哪里最可能出事，出事多痛。

漏洞评估看：哪里有已知弱点。

渗透测试看：攻击路线能不能真的走通。

审计看：控制有没有按要求执行并留下证据。

记忆卡：Availability / 可用性

Availability 这张卡不能只背“可用”。

小白先懂一句话：它问的是需要用的时候，系统能不能真的用上。

1. 先懂一句话

Availability = 可用性。

它不是问资料有没有保密，也不是问数据有没有被改。

它真正问的是：业务要用时，系统、服务、数据能不能打开、访问、处理。

2. 真正要背什么

这张卡真正要背 3 件事。

可用性看“该用时用不了”。
常见场景是宕机、拒绝服务、网络中断、服务器故障、数据库不可访问。
常见手段是冗余、备份、集群、负载均衡、灾备，但这些是手段。

3. 关键词拆解

Available：可获得、可访问、可使用。

Outage：宕机。

Unavailable：不可用。

DoS / DDoS：让服务被打到不可用，通常伤到可用性。

4. 候选池

候选 1：开门营业。

保留。客户来下单时，店门必须开。

候选 2：可用门。

保留但不如“开门营业”自然。

候选 3：可爱性。

淘汰。谐音偏离考点，容易记成形容词。

讨论结论：主钩子用“开门营业”。它能直接接住网站、收款、客服、数据库在营业时间必须能用。

5. 最终主记法

Availability = 开门营业。

记完整句：客户来下单时，店门开着，收银机能用，网站能打开。

翻回知识点就是：可用性保护系统和数据在需要时可访问、可使用。

6. 小白故事

小林的网店周一上午做活动。

客户已经排队准备付款。

结果网站打不开，收款接口也连不上。

客户资料没有泄露，订单金额也没有被改。

但客户要买时买不了。

这就是可用性问题。

7. 回到考题

题目说 outage、unavailable、cannot access、service down、DDoS，先想可用性。

题目问目标，选 availability。

题目问办法，再看 redundancy、backup、failover、load balancing、DRP。

8. 别混

机密性：不该看的人看到了。

完整性：内容被改坏了。

可用性：该用时用不了。

最容易错的地方：备份不是可用性本身。备份是为了出事后恢复可用性的一种手段。

记忆卡：PCI DSS / 支付卡行业数据安全标准

PCI DSS 这张卡不能只背一串英文。

小白先懂一句话：只要你处理银行卡支付，就要按一套刷卡行业的安全规矩保护持卡人数据。

1. 先懂一句话

PCI DSS = Payment Card Industry Data Security Standard。

中文是：支付卡行业数据安全标准。

它不是政府法律条文，也不是某个加密算法。

它真正问的是：处理信用卡、借记卡、持卡人数据的商户和服务商，要遵守什么安全标准。

2. 真正要背什么

这张卡真正要背 5 件事。

PCI DSS 管支付卡数据。
重点对象是 cardholder data，持卡人数据。
适用对象是商户、支付服务商、处理或存储支付卡数据的组织。
它是行业安全标准，不是普通隐私法。

3. 关键词拆解

PCI：Payment Card Industry，支付卡行业。

DSS：Data Security Standard，数据安全标准。

Cardholder data：持卡人数据。

Merchant：商户。

4. 候选池

候选 1：刷卡机旁的支付卡守则。

保留。它把 PCI DSS 放到收银台：刷卡机碰到卡号，旁边就贴着处理持卡人数据的守则。

候选 2：拍卡一次，数据上锁。

保留但偏口语。能记住刷卡和数据安全，但英文对应不够稳。

候选 3：披萨店标准。

淘汰。PCI 容易硬拗成披萨，但披萨和支付卡没有关系，会把考点带偏。

讨论结论：主钩子用“刷卡机旁的支付卡守则”。这不是硬谐音，而是具体物钩子，因为 PCI DSS 的核心就是支付卡行业的数据安全规矩。

5. 最终主记法

PCI DSS = 刷卡机旁的支付卡守则。

记完整句：小林的收银台能刷卡，刷卡机旁就要贴支付卡守则，卡号和持卡人数据不能乱存乱传。

翻回知识点就是：PCI DSS 是支付卡行业保护持卡人数据的数据安全标准。

6. 小白故事

小林网店接入银行卡支付。

客户输入卡号、有效期和验证码。

这些数据不是普通订单备注，不能随便存，不能随便给客服看，也不能用明文到处传。

支付机构告诉小林：你要处理支付卡数据，就要按 PCI DSS 做安全。

所以题目看到 credit card、payment card、cardholder data、merchant，就先想 PCI DSS。

7. 回到考题

题目问处理信用卡数据要遵循什么标准，选 PCI DSS。

题目说 payment card、cardholder data、merchant、acquirer，也往 PCI DSS 上靠。

题目问个人隐私删除权，别选 PCI DSS，要看 GDPR 或隐私法。

8. 别混

PCI DSS 管支付卡行业数据安全。

GDPR 管欧盟个人数据保护。

HIPAA 管美国医疗健康信息。

FISMA 管美国联邦政府信息安全。

记忆卡：Nonrepudiation / 不可否认性

Nonrepudiation 这张卡不能只背“不可否认”。

小白先懂一句话：它问的是一个人做过之后，能不能事后赖账。

1. 先懂一句话

Nonrepudiation = 不可否认性。

它不是单纯证明身份是真的。

它真正问的是：事后能不能证明这件事就是这个人做的，让他不能否认。

2. 真正要背什么

这张卡真正要背 4 件事。

重点是事后不能否认。
常见对象是交易、签名、消息、合同、审批。
数字签名常用来提供不可否认性。
认证只能说明当下身份通过，不一定能向第三方证明事后不能抵赖。

3. 关键词拆解

Repudiate：否认、拒认。

Nonrepudiation：不能抵赖。

Digital signature：数字签名，常用来证明来源和完整性，也常用于不可否认。

Third party proof：能拿给第三方看，证明谁做过。

4. 候选池

候选 1：签了别赖。

保留。它直接抓住“事后不能否认”。

候选 2：赖账单。

保留但偏负面。能记住抵赖，但不如签了别赖完整。

候选 3：不许说不。

淘汰。太口语，容易和访问控制的拒绝访问混。

讨论结论：主钩子用“签了别赖”。它能把数字签名、交易确认、审批记录都串起来。

5. 最终主记法

Nonrepudiation = 签了别赖。

记完整句：你签过这张电子收据，事后不能说不是你。

翻回知识点就是：不可否认性让行为人事后不能否认自己发过消息、签过文件或完成过交易。

6. 小白故事

小林网店给供应商付款。

财务主管用数字签名批准了付款。

几天后他说：这不是我批的。

如果系统能拿出签名、时间、记录和完整证据，证明这笔审批确实来自他，他就不能抵赖。

这就是不可否认性。

7. 回到考题

题目说 cannot deny later、prove to a third party、signed transaction、digital signature，先想不可否认性。

题目问“证明消息来自某人并且事后不能否认”，选 nonrepudiation。

题目只问“登录时身份是真是假”，优先看 authentication 或 authenticity。

8. 别混

真实性看：身份或来源是不是真的。

认证看：系统怎么验证你是谁。

不可否认性看：做完以后能不能赖。

最容易错的地方：认证通过不等于不可否认。不可否认要能在事后拿证据说清楚。

记忆卡：Defense in Depth / 纵深防御

Defense in Depth 这张卡不能只背“多层防御”。

小白先懂一句话：它是让攻击者不是过一道门就进仓库，而是要连续过多道不同的关卡。

1. 先懂一句话

Defense in Depth = 纵深防御。

它不是买一个最强工具。

它真正问的是：一层失守后，下一层还能不能挡住。

2. 真正要背什么

这张卡真正要背 4 件事。

多层控制一起保护。
每层最好不完全一样，避免一个漏洞打穿全部。
一层失败，后面还有别的控制。
常见层次包括物理、网络、系统、应用、身份、数据、监控。

3. 关键词拆解

Depth：纵深，不是一条薄线，而是往里有层次。

Layering：分层。

Multiple controls：多个控制。

Compensating effect：前面没挡住，后面还能补一刀。

4. 候选池

候选 1：层层关卡。

保留。它把纵深防御变成门禁、账号、权限、日志一层一层。

候选 2：多道门。

保留但略窄。只想到门，可能漏掉监控、日志、数据控制。

候选 3：防御越深越好。

淘汰。像口号，不告诉小白怎么用。

讨论结论：主钩子用“层层关卡”。它有画面，也能回到题目里的多个控制。

5. 最终主记法

Defense in Depth = 层层关卡。

记完整句：攻击者进小林仓库，要过大门、前台、电脑登录、系统权限、数据加密和日志监控。

翻回知识点就是：纵深防御用多层不同控制降低单点失守的风险。

6. 小白故事

小林的网店后台不能只靠一个密码。

公司门口有门禁，电脑要登录，后台要 MFA，数据库有权限，敏感字段加密，日志还会记录异常。

如果密码被偷，MFA 还能挡。

如果账号被滥用，日志还能发现。

这就是层层关卡。

7. 回到考题

题目说 multiple layers、layered controls、no single control is enough，先想纵深防御。

题目问“为什么不要只依赖一个安全控制”，选 defense in depth。

题目问“把系统拆成模块找边界”，那更像 decomposition 或 abstraction，不是纵深防御。

8. 别混

纵深防御看：多层控制。

分层 Layering 看：把控制或系统按层摆放。

抽象 Abstraction 看：把相似对象分组，隐藏细节。

数据隐藏 Data Hiding 看：不让内部细节暴露。

记忆卡：Due Diligence / 尽职调查

Due Diligence 这张卡不能只背“尽职”。

小白先懂一句话：它是在做决定前，该查的先查清楚，不能闭眼签字。

1. 先懂一句话

Due Diligence = 尽职调查。

它不是已经开始做事时的小心操作。

它真正问的是：在采购、并购、合作、接受风险之前，有没有把该查的资料查完。

2. 真正要背什么

这张卡真正要背 4 件事。

尽职调查发生在决定前。
重点动作是调查、审查、核实、了解风险。
常见场景是供应商、并购、第三方、合同、风险接受。
它常和 due care 混。

3. 关键词拆解

Due：应当做的。

Diligence：勤勉、认真调查。

Investigation / review：调查、审查。

Third party / acquisition / supplier：第三方、并购、供应商，常触发尽职调查。

4. 候选池

候选 1：签前查。

保留。它抓住“做决定前先查”。

候选 2：尽职清单。

保留。能记住要一项一项查，并留下证据。

候选 3：知道再做。

保留。due diligence 偏“先知道、先计划、先查清”，due care 偏“做的时候合理小心”。

候选 4：尽力工作。

淘汰。太泛，容易和 due care 混成“工作时小心”。

讨论结论：主钩子用“签前查”，辅助句用“知道再做”。它能把供应商、并购、合同、风险接受、政策计划和留证都拉回来。

5. 最终主记法

Due Diligence = 签前查，知道再做。

记完整句：小林签供应商合同前，先查对方安全、合规、财务和交付风险；查完留证，才算知道自己该怎么做。

翻回知识点就是：尽职调查是在行动或决策前合理调查、计划、审查并留下依据。

6. 小白故事

小林准备把支付系统外包给一家供应商。

供应商说自己很安全。

小林不能直接签。

他要查供应商有没有安全认证、事故记录、数据处理方式、合同责任、备份能力和合规要求。

他还要留下记录：查了什么，谁批准，哪些风险接受，哪些风险要处理。

这一步叫尽职调查。

7. 回到考题

题目说 before acquisition、before contract、investigate supplier、review third-party risk，先想 due diligence。

题目问“签约前要做什么”，多半是尽职调查。

题目问“有没有计划、政策、流程、审批、调查记录”，也往 due diligence 上靠。

题目问“执行过程中要像合理人一样小心”，那是 due care。

8. 别混

Due diligence：决定前查清楚。

Due care：做事时保持合理谨慎。

最容易错的地方：一个是“签前查”，一个是“做时慎”。不要都翻成尽责后混在一起。

记忆卡：RTO / 恢复时间目标

RTO 这张卡不能只背三个字母。

小白先懂一句话：它问的是系统最多多久必须恢复，超过这个时间业务就受不了。

1. 先懂一句话

RTO = Recovery Time Objective。

中文是：恢复时间目标。

它不是问最多能丢多少数据。

它真正问的是：服务中断后，多久以内要恢复运行。

2. 真正要背什么

这张卡真正要背 3 件事。

RTO 管时间。
问的是恢复到可用状态的最长目标时间。
和 RPO 区分：RPO 管最多能丢多少数据。

3. 关键词拆解

Recovery：恢复。

Time：时间。

T 就是 Time。看到 RTO 中间的 T，先把脑子拉回“多久”。

Objective：目标，不一定等于真实恢复时间，而是业务要求的目标。

Downtime：停机时间。

4. 候选池

候选 1：倒计时牌。

保留。系统停了以后，墙上开始倒计时：2 小时内必须回来。

候选 2：热汤哦。

淘汰。虽然能硬接 R-T-O，但画面容易跑偏，之前也显得生硬。

候选 3：限时复活。

保留但作为辅助。能记住“时间限制”，但不如倒计时牌具体。

讨论结论：主钩子用“倒计时牌”。RTO 的核心不是谐音，而是时间目标，倒计时最稳。

5. 最终主记法

RTO = 倒计时牌。

记完整句：收款系统停了，倒计时牌开始走，2 小时内必须恢复可用。

翻回知识点就是：RTO 是业务能接受的最长恢复时间目标。

6. 小白故事

小林的收款系统中午 12 点宕机。

公司规定最多 2 小时必须恢复。

墙上倒计时从 2:00:00 开始跳。

如果下午 2 点前恢复，符合 RTO。

如果下午 4 点才恢复，超过 RTO，业务已经受不了。

这就是恢复时间目标。

7. 回到考题

题目问 how long can system be down、maximum acceptable downtime、time to restore，先想 RTO。

题目问“最多能丢多少数据”，选 RPO。

题目问“业务最多能忍多久停摆”，可能是 MTD，要看它问业务忍耐上限还是具体恢复目标。

8. 别混

RTO：多久恢复。

RPO：丢多少数据。

MTD：业务最多能忍停多久。

最容易错的地方：RTO 不是备份频率。备份频率更容易影响 RPO。

记忆卡：NIST / 美国国家标准与技术研究院

NIST 这张卡不能只背“美国某机构”。

小白先懂一句话：它像一本蓝色 SP 800 参考书，告诉组织安全框架、指南和控制怎么找。

1. 先懂一句话

NIST = National Institute of Standards and Technology。

中文是：美国国家标准与技术研究院。

它不是执法机关，也不是卖安全产品的供应商。

它真正问的是：安全框架、控制、风险管理、密码标准这些参考从哪里来。

2. 真正要背什么

这张卡真正要背 4 件事。

NIST 是美国标准与技术机构。
常出安全框架、指南、控制目录、风险管理框架。
它给组织参考，不是现场帮你配置防火墙。
题目看到 framework、standard、RMF、SP 800 系列，常往 NIST 想。

3. 关键词拆解

National Institute：国家机构。

Standards and Technology：标准与技术。

Framework：框架。

SP 800：NIST 特别出版物系列，CISSP 题里常见。

4. 候选池

候选 1：蓝色 SP 800 参考书。

保留。CISSP 题里常把 NIST 和 SP 800、RMF、CSF 放在一起考。

候选 2：标准尺。

保留但偏泛。NIST 给的是标准和框架，像一把尺子，但不如 SP 800 贴题。

候选 3：尼斯特老师。

保留但辅助。能记住读音，但不如 SP 800 参考书贴题。

候选 4：你死他。

淘汰。谐音粗暴，画面不贴知识点。

讨论结论：主钩子用“蓝色 SP 800 参考书”。它比单纯谐音更贴题，能让小白记住 NIST 是安全标准、框架和指南的来源。

5. 最终主记法

NIST = 蓝色 SP 800 参考书。

记完整句：小林不知道安全控制怎么选，就翻开蓝色 NIST SP 800 参考书。

翻回知识点就是：NIST 提供安全标准、框架和指南，帮助组织建立和评估安全控制。

6. 小白故事

小林要给网店建立安全制度。

他不想凭感觉乱写。

于是拿出一本蓝色参考书，封面写着 NIST SP 800。

书里告诉他：怎么分类系统，怎么选控制，怎么评估控制，怎么持续监控。

NIST 不替他运营系统，但给他一套可信的参考。

7. 回到考题

题目说 NIST RMF、SP 800、security framework、control catalog，先想 NIST。

题目问“美国哪个机构发布这些安全标准和指南”，选 NIST。

题目问支付卡数据安全，别选 NIST，先看 PCI DSS。

题目问审计准则或公司内部政策，也不要一看 standard 就乱选 NIST，要看题目来源。

8. 别混

NIST：美国标准与技术机构，出框架和指南。

ISO：国际标准组织，出国际标准。

PCI DSS：支付卡行业数据安全标准。

COBIT：治理和控制框架，更偏 IT 治理。

记忆卡：Standard / 标准

Standard 这张卡不能只背“标准”两个字。

小白先懂一句话：它是公司规定的硬要求，告诉你必须做到什么程度。

1. 先懂一句话

Standard = 标准。

它不是大方向口号，也不是一步一步操作说明。

它真正问的是：某件事必须达到哪条具体要求。

比如公司政策说“账号要安全”，标准就会写“密码至少 14 位、必须开 MFA、90 天内禁用离职账号”。

2. 真正要背什么

这张卡真正要背 4 件事。

Standard 是必须遵守的具体要求。
它比 policy 更细。
它不像 procedure 那样一步一步教你怎么做。
它不像 guideline 那样只是建议。

3. 关键词拆解

Policy：政策，大方向，告诉组织要做什么。

Standard：标准，具体硬要求，告诉必须达到什么水平。

Procedure：程序，步骤，告诉按什么顺序做。

Guideline：指南，建议，通常不是强制。

4. 候选池

候选 1：硬尺条。

保留。标准像一把硬尺，量不够就是不合格。

候选 2：红线要求。

保留。适合记“必须做到，不能低于红线”。

候选 3：标准答案。

淘汰。容易误会成考试答案，不贴安全文件层级。

讨论结论：主钩子用“硬尺条”。它能把 standard 和 policy、procedure、guideline 分开。

5. 最终主记法

Standard = 硬尺条。

记完整句：政策说账号要安全，标准拿硬尺条量出来：密码多长、MFA 开不开、日志留多久。

翻回知识点就是：标准是组织必须遵守的具体安全要求。

6. 小白故事

小林说：“我们要保护客户账号。”

这句话太大，员工不知道怎么做才算合格。

于是公司写标准：管理员账号必须 MFA，普通账号密码至少 14 位，登录失败 5 次锁定。

这不是建议，而是硬要求。

谁低于这把尺，就不合格。

7. 回到考题

题目问 mandatory、specific requirement、minimum baseline，先想 standard。

题目问 high-level statement of management intent，选 policy。

题目问 step-by-step instructions，选 procedure。

题目问 recommended but not mandatory，选 guideline。

题目问最低安全配置或最低统一水平，可能是 baseline，不要和 standard 硬混。

8. 别混

Policy：定方向。

Standard：定硬要求。

Procedure：定步骤。

Guideline：给建议。

Baseline：最低线。

最容易错的地方：看到“标准”不要直接想到 NIST。这里问的是组织文件层级里的 standard。

记忆卡：Vulnerability Assessment / 漏洞评估

Vulnerability Assessment 这张卡不能只背“找漏洞”。

小白先懂一句话：它是用检查和扫描找已知弱点，但不一定真的打进去。

1. 先懂一句话

Vulnerability Assessment = 漏洞评估。

它不是风险评估，也不是渗透测试。

它真正问的是：系统哪里有已知弱点、缺补丁、错误配置、弱密码或暴露服务。

2. 真正要背什么

这张卡真正要背 4 件事。

漏洞评估找已知弱点。
常用自动化扫描工具。
它告诉你哪里可能有洞。
它不一定证明攻击者真的能走完整攻击路线。

3. 关键词拆解

Vulnerability：漏洞、弱点。

Assessment：评估、检查。

Known weakness：已知弱点。

Missing patch：缺补丁。

4. 候选池

候选 1：找洞清单。

保留。每发现一个洞，就写进清单。

候选 2：补丁体检。

保留但偏窄。漏洞不只缺补丁，也包括配置和弱密码。

候选 3：黑客实战。

淘汰。那更像 penetration testing 渗透测试。

讨论结论：主钩子用“找洞清单”。它能提醒小白：这是找洞，不是算风险，也不是实战打穿。

5. 最终主记法

Vulnerability Assessment = 找洞清单。

记完整句：小林拿扫描器检查服务器，把旧版本、弱密码、开放端口写成找洞清单。

翻回知识点就是：漏洞评估识别系统中已知弱点。

6. 小白故事

小林的网店后台要上线。

安全同事先跑扫描器。

扫描器发现后台组件太旧、测试接口没关、数据库端口暴露、管理员密码策略太弱。

这些结果说明系统有洞。

但扫描器没有真的冒充攻击者一步步进后台。

所以这是漏洞评估，不是渗透测试。

7. 回到考题

题目说 known vulnerabilities、missing patches、automated scanner、weaknesses，先想 vulnerability assessment。

题目问 impact、likelihood、asset value，选 risk assessment。

题目问 simulate attacker、exploit path、authorized attack，选 penetration testing。

8. 别混

风险评估：判断风险大小和优先级。

漏洞评估：找已知弱点。

渗透测试：模拟攻击验证能不能打进去。

审计：查控制有没有按要求执行并留下证据。

记忆卡：BCP / 业务连续性计划

BCP 这张卡不能只背“业务连续性”。

小白先懂一句话：它问的是出事时业务怎么先活下去，客户还能不能下单、客服还能不能接电话、收款还能不能继续。

1. 先懂一句话

BCP = Business Continuity Plan。

中文是：业务连续性计划。

它不是只管服务器怎么恢复。

它真正问的是：业务中断期间和之后，公司怎么继续提供关键业务功能。

2. 真正要背什么

这张卡真正要背 4 件事。

BCP 保护业务继续运转。
它关心关键业务功能、人员、流程、沟通、临时办法。
它通常比 DRP 更大，DRP 是 IT 灾后恢复线。
BIA 常用来帮 BCP 判断哪些业务最重要。

3. 关键词拆解

Business：业务，不只是服务器。

Continuity：继续，不让业务趴下。

Plan：计划，提前写好谁做什么。

Critical business function：关键业务功能，比如收款、下单、客服。

4. 候选池

候选 1：保营业计划。

保留。它直接抓住 BCP 的本质：系统出事，店还要尽量营业。

候选 2：别停铺。

保留。小林网店不能因为系统坏了就整家店停摆。

候选 3：白菜片 bai cai pian。

保留但只做读音辅助。它能帮记 B-C-P，但不能当主解释。

候选 4：备份计划。

淘汰。备份只是手段，BCP 管的是业务怎么继续。

讨论结论：主钩子用“保营业计划 / 别停铺”。bai cai pian 只做读音辅助，真正要记的是业务中断时怎么继续营业。

5. 最终主记法

BCP = 保营业计划 = 别停铺。

记完整句：系统坏了，小林先拿出保营业计划，让接单、客服、收款和发货别停铺。

翻回知识点就是：BCP 让关键业务在中断期间和之后继续运转。

6. 小白故事

小林的网店支付系统故障。

业务部门不能只等 IT 慢慢修。

客服先通知客户，销售改用临时订单表，财务启用备用收款方式，仓库按手工清单发货。

这些动作不是在修服务器。

它们是在让业务先别趴下。

这就是 BCP。

7. 回到考题

题目说 maintain business operations、continue critical functions、during and after disruption，先想 BCP。

题目问 IT 系统、服务器、数据库、网络怎么恢复，选 DRP。

题目问多久恢复，可能是 RTO。

题目问最多丢多少数据，可能是 RPO。

8. 别混

BCP：业务怎么继续活。

DRP：IT 系统灾后怎么拉起来。

BIA：先分析业务停了会造成什么影响。

备份：恢复数据的一种材料，不等于整个 BCP。

记忆卡：RPO / 恢复点目标

RPO 这张卡不能只背三个字母。

小白先懂一句话：它问的是最多能丢到哪个时间点的数据。

1. 先懂一句话

RPO = Recovery Point Objective。

中文是：恢复点目标。

它不是问多久恢复系统。

它真正问的是：灾难发生后，数据最多可以回退到多久以前。

2. 真正要背什么

这张卡真正要背 3 件事。

RPO 管数据丢失窗口。
问的是能接受最多丢多少数据。
和 RTO 区分：RTO 管多久恢复。

3. 关键词拆解

Recovery：恢复。

Point：点，数据恢复到哪个时间点。

Objective：目标。

Data loss：数据丢失。

4. 候选池

候选 1：回档点。

保留。游戏回档到哪个存档点，很贴 RPO。

候选 2：丢单窗口。

保留。网店最怕丢订单，适合小林场景。

候选 3：恢复时间。

淘汰。那是 RTO，不是 RPO。

讨论结论：主钩子用“回档点”。它能直接记住 point 是点，问数据回到哪一点。

5. 最终主记法

RPO = 回档点。

记完整句：数据库坏了，小林最多接受回到 15 分钟前的存档点。

翻回知识点就是：RPO 是业务能接受的最大数据丢失时间窗口。

6. 小白故事

小林的订单数据库下午 3 点坏了。

最近一次备份是 2 点 45 分。

如果恢复到 2 点 45 分，3 点前那 15 分钟订单可能丢失。

公司如果能接受最多丢 15 分钟订单，RPO 就是 15 分钟。

这跟系统 1 小时后才恢复是两件事。

7. 回到考题

题目问 maximum data loss、recover to which point、last acceptable backup point，先想 RPO。

题目说 more frequent data captures、replication frequency，也常在考怎么降低 RPO。

题目问 how quickly recovered、downtime、restore within X hours，选 RTO。

题目问业务最长能忍停多久，选 MTD。

8. 别混

RPO：最多丢多少数据。

RTO：多久恢复系统。

MTD：业务最长能忍多久停摆。

最容易错的地方：看到 recovery 不要急着选 RTO。先看题目问 time to restore，还是 data loss point。

记忆卡：CISO / 首席信息安全官

CISO 这张卡不能只背职位名。

小白先懂一句话：CISO 是组织里负责信息安全方向、计划、治理和执行协调的高层安全负责人。

1. 先懂一句话

CISO = Chief Information Security Officer。

中文是：首席信息安全官。

它不是普通系统管理员，也不是业务数据 owner 的替代品。

它真正问的是：谁领导安全计划、协调安全策略、向高层汇报安全风险。

2. 真正要背什么

这张卡真正要背 4 件事。

CISO 负责安全计划和安全治理落地。
CISO 通常向高层汇报风险和安全状态。
CISO 不是最终拥有所有业务风险的人。
高层管理者仍对组织风险和治理负最终责任。

3. 关键词拆解

Chief：高层负责人。

Information Security：信息安全。

Officer：官员、负责人。

Security program：安全计划。

4. 候选池

候选 1：C 位安全官。

保留。CISO 坐在管理层会议桌的 C 位，把安全风险、预算和治理讲给高层听。

候选 2：安全总管。

保留。小白容易理解：不是修电脑的人，而是管安全方向的人。

候选 3：西索。

淘汰。音译能读，但没有考点。

候选 4：安全翻译官。

保留但辅助。CISO 常把技术风险翻译给高层。

讨论结论：主钩子用“C 位安全官”。它能抓住 CISO 的高层汇报和治理角色。

5. 最终主记法

CISO = C 位安全官。

记完整句：小林公司的 C 位安全官坐在管理层会议桌前，把安全计划、风险汇报和控制推进串起来。

翻回知识点就是：CISO 负责领导和协调组织的信息安全计划。

6. 小白故事

小林公司出了数据泄露。

系统管理员能修服务器，法务能看法规，客服能通知客户。

但谁把安全计划、风险、预算、责任和高层汇报串起来？

这个角色就是 CISO。

他不是每台机器的操作员，而是安全计划的负责人。

7. 回到考题

题目问 who manages security program、reports security risk、leads information security，先想 CISO。

题目问 who ultimately owns organizational risk，通常看 senior management。

题目问 data classification owner，可能是 data owner 或 business owner。

8. 别混

CISO：领导安全计划。

Senior management：最终承担治理和风险责任。

Data owner：决定数据分类和访问要求。

System administrator：执行具体系统配置。

记忆卡：ISO / 国际标准化组织

ISO 这张卡不能只背“国际标准”。

小白先懂一句话：ISO 是国际标准来源，CISSP 里常见的是 ISO 27001 和 ISO 27002 这类信息安全标准。

1. 先懂一句话

ISO = International Organization for Standardization。

中文是：国际标准化组织。

它不是美国机构，也不是支付卡行业标准。

它真正问的是：国际通用的管理体系、信息安全标准从哪里来。

2. 真正要背什么

这张卡真正要背 4 件事。

ISO 是国际标准化组织。
ISO 27001 偏信息安全管理体系要求。
ISO 27002 偏信息安全控制实践指南。
ISO 15408 常和 Common Criteria、保护轮廓、评估目标一起出现。
它和 NIST 区分：NIST 是美国标准与指南来源。

3. 关键词拆解

International：国际。

Standardization：标准化。

ISO 27001：信息安全管理体系。

ISO 27002：信息安全控制实践指南。

ISO 15408：Common Criteria 相关标准，常和保护轮廓、评估目标放在一起。

4. 候选池

候选 1：国际标准书架。

保留。ISO 像一排国际标准书，27001 和 27002 是其中常考的两本。

候选 2：爱搜。

淘汰。音近但不带考点。

候选 3：全球尺。

保留但偏泛。能记国际标准，但不如书架能装 27001/27002。

讨论结论：主钩子用“国际标准书架”。它能和 NIST 的蓝色 SP 800 参考书区分。

5. 最终主记法

ISO = 国际标准书架。

记完整句：小林找国际信息安全标准，就去 ISO 国际标准书架拿 27001 和 27002。

翻回知识点就是：ISO 提供国际标准，CISSP 常考 ISO 27001/27002。

6. 小白故事

小林公司想让安全管理更正规。

客户问：你们有没有国际认可的信息安全管理体系？

小林不能拿内部口号糊弄。

他去国际标准书架找 ISO 27001，看管理体系要求；再看 ISO 27002，了解控制实践。

这就是 ISO 在题里的常见位置。

7. 回到考题

题目说 international standard、ISO 27001、ISO 27002，先想 ISO。

题目说 Common Criteria、protection profile、security target，可能是 ISO 15408。

题目说 U.S. SP 800、RMF、CSF，选 NIST。

题目说 payment card、cardholder data，选 PCI DSS。

8. 别混

ISO：国际标准。

NIST：美国标准与指南。

PCI DSS：支付卡行业数据安全。

COBIT：IT 治理和控制框架。

记忆卡：STRIDE / 威胁建模分类

STRIDE 这张卡不能只背六个英文首字母。

小白先懂一句话：它是一张攻击类型清单，帮你在设计系统时想“攻击者可能从哪几类坏事下手”。

1. 先懂一句话

STRIDE = Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege。

中文大意是：冒充、篡改、抵赖、信息泄露、拒绝服务、提权。

它不是一个防火墙，也不是风险公式。

它真正问的是：威胁建模时用哪六类威胁检查系统。

2. 真正要背什么

这张卡真正要背 6 件事。

Spoofing：冒充身份。
Tampering：篡改数据。
Repudiation：抵赖行为。
Information Disclosure：信息泄露。
Denial of Service：拒绝服务，让系统不可用。
Elevation of Privilege：权限提升。

3. 关键词拆解

Spoofing：假冒。

Tampering：动手脚。

Repudiation：不认账。

Information Disclosure：秘密漏出去。

Denial of Service：服务被打停。

Elevation of Privilege：从普通权限爬到高权限。

4. 候选池

候选 1：六类攻击抽屉。

保留。每个抽屉放一种坏事。

候选 2：假改赖漏停提。

保留。中文压缩成六个动作：假冒、篡改、抵赖、泄露、停服、提权。

候选 3：死拽的。

淘汰。音译不像中文，也不带六类威胁。

讨论结论：主钩子用“六类攻击抽屉”，辅助口诀用“假改赖漏停提”。

5. 最终主记法

STRIDE = 六类攻击抽屉 = 假改赖漏停提。

记完整句：小林设计新后台时，先拉开六个抽屉：有人会假冒吗、会篡改吗、会抵赖吗、会泄露吗、会打停吗、会提权吗。

翻回知识点就是：STRIDE 是威胁建模中按六类威胁检查系统的方法。

6. 小白故事

小林要上线管理员后台。

他不先写代码，而是先看攻击剧本。

有人能冒充管理员吗？

有人能改订单金额吗？

管理员操作后能抵赖吗？

客户资料会泄露吗？

网站会被打到不可用吗？

普通客服能提权成管理员吗？

这六问就是 STRIDE。

7. 回到考题

题目问 threat modeling categories、spoofing/tampering/repudiation/information disclosure/DoS/elevation，先想 STRIDE。

题目问“用六类威胁分析系统”，选 STRIDE。

六类速判：假身份是 S，未授权修改是 T，事后否认或日志不可信是 R，秘密暴露是 I，服务不可用是 D，低权限变高权限是 E。

题目问“用分数给威胁排序”，可能是 DREAD，不是 STRIDE。

8. 别混

STRIDE：列威胁类别。

DREAD：给风险评分排序。

PASTA：以攻击为中心的威胁建模方法。

Threat modeling：整体建模过程，STRIDE 是其中一种分类方法。

记忆卡：Threat Modeling / 威胁建模

Threat Modeling 这张卡不能只背“建模”。

小白先懂一句话：它是在系统还没出事前，先画出系统，再想攻击者可能怎么打。

1. 先懂一句话

Threat Modeling = 威胁建模。

它不是事后调查，也不是单纯扫描漏洞。

它真正问的是：设计或分析系统时，先找资产、入口、数据流、信任边界和可能攻击路径。

2. 真正要背什么

这张卡真正要背 5 件事。

先理解系统怎么工作。
找资产、数据流、入口点、信任边界。
想攻击者可能怎么滥用。
用 STRIDE、PASTA 等方法帮助分类。
目的在设计阶段提前发现风险。

3. 关键词拆解

Threat：威胁，可能造成坏事的人或事件。

Modeling：建模，把系统画出来、拆开看。

Data flow：数据怎么流动。

Trust boundary：信任边界，数据跨过边界时要特别小心。

4. 候选池

候选 1：攻击剧本桌。

保留。把系统图摊在桌上，推演攻击者剧本。

候选 2：画图防坑。

保留但偏口语。能记住画图和提前找坑。

候选 3：漏洞扫描。

淘汰。威胁建模不是只跑工具找已知漏洞。

讨论结论：主钩子用“攻击剧本桌”。它能把系统图、数据流、边界和攻击路径串起来。

5. 最终主记法

Threat Modeling = 攻击剧本桌。

记完整句：小林把后台系统图摊在桌上，提前推演攻击者会从入口、数据流和边界哪里下手。

翻回知识点就是：威胁建模是在设计或分析阶段识别潜在威胁和攻击路径。

6. 小白故事

小林要做一个退款功能。

他先画图：客户请求进 API，API 查订单数据库，再调用支付接口退款。

图上有入口点，有数据流，有管理员权限，也有第三方支付边界。

安全同事开始问：能不能冒充客户？能不能改退款金额？能不能绕过审批？能不能让普通客服提权？

这不是事后救火。

这是威胁建模。

7. 回到考题

题目说 design phase、data flow diagram、trust boundary、identify threats before implementation，先想 threat modeling。

题目问六类威胁，选 STRIDE。

题目问扫描已知漏洞，选 vulnerability assessment。

题目问攻击者实际验证路径，选 penetration testing。

8. 别混

Threat modeling：提前画系统、想攻击路径。

STRIDE：威胁建模里的六类威胁分类。

Vulnerability assessment：找已知弱点。

Penetration testing：授权模拟攻击。

记忆卡：DRP / 灾难恢复计划

DRP 这张卡不能只背“灾备”。

小白先懂一句话：它管的是灾难后 IT 系统怎么重新跑起来。

1. 先懂一句话

DRP = Disaster Recovery Plan。

中文是：灾难恢复计划。

它不是整个业务怎么继续活的全部。

它真正问的是：服务器、数据库、网络、域名、备份、账号和应用怎么恢复。

2. 真正要背什么

这张卡真正要背 4 件事。

DRP 是 IT 灾后恢复线。
它关注系统、基础设施、数据和技术恢复步骤。
它属于更大范围的业务连续性安排。
它常和 BCP 混。

3. 关键词拆解

Disaster：灾难，比如机房损坏、系统大故障、勒索软件。

Recovery：恢复，让 IT 系统重新可用。

Plan：计划，提前写清楚恢复顺序和责任。

IT systems：服务器、数据库、网络、应用、备份。

4. 候选池

候选 1：大润发拍灾难片。

保留但作为音钩。D-R-P 可记成 da run fa pai，大公司拍灾难片，片名叫“IT 系统怎么拉起来”。

候选 2：技术抢修剧本。

保留。灾后 IT 团队照剧本启动备用环境、还原数据库、切换网络和域名。

候选 3：技术复活手册。

保留。比音钩更贴知识点。

候选 4：业务别趴下。

淘汰到 BCP。DRP 不是整个业务连续性。

讨论结论：主钩子用“技术抢修剧本”，音钩用“大润发拍灾难片”帮助记 D-R-P。

5. 最终主记法

DRP = 技术抢修剧本。

记完整句：灾难片开场，机房倒了，技术团队翻开抢修剧本，把服务器、数据库、网络和备份按顺序拉起来。

翻回知识点就是：DRP 规划 IT 系统在灾难后的恢复。

6. 小白故事

小林网店机房被水淹。

客服怎么安抚客户，是 BCP 的事。

但数据库从哪份备份恢复，备用机房怎么启动，DNS 怎么切换，服务器启动顺序是什么，网络怎么连回来，是 DRP 的事。

DRP 不负责整个业务活法。

它负责 IT 系统重新跑起来。

7. 回到考题

题目说 restore IT systems、servers、database、network、backup recovery、alternate processing site，先想 DRP。

题目说 DRP test、structured walkthrough、cutover test，也在 DRP 这条线上。structured walkthrough 是代表坐下来逐步审查；cutover test 是真的切过去，风险最大。

题目说 continue business operations、manual workaround、critical business functions，选 BCP。

题目问多久恢复，可能是 RTO。

题目问恢复到哪个数据点，可能是 RPO。

8. 别混

BCP：业务怎么继续。

DRP：IT 系统怎么恢复。

Backup：恢复数据的材料。

Hot/warm/cold site：灾难恢复可用的备用环境。

记忆卡：Authenticity / 真实性

Authenticity 这张卡不能只背“真实”。

小白先懂一句话：它问的是人、系统、消息或来源到底是不是它声称的那个。

1. 先懂一句话

Authenticity = 真实性。

它不是事后不能抵赖。

它真正问的是：身份、来源、消息是不是真的。

别人冒充员工登录，假网站冒充银行，伪造邮件冒充老板，都是真实性问题。

2. 真正要背什么

这张卡真正要背 4 件事。

真实性看“是不是真的”。
对象可以是人、设备、系统、消息来源。
常见信号是 genuine、real、valid source、not forged、claimed identity。
它和 nonrepudiation 区分：真实性是当下真不真，不可否认性是事后赖不赖。

3. 关键词拆解

Authentic：真实的、可信的。

Source：来源。

Genuine：真的，不是伪造。

Forgery：伪造。

4. 候选池

候选 1：真伪验票。

保留。后台门口查工牌，浏览器查服务器证书，邮件查数字签名，都是验真伪。

候选 2：验真章。

保留。像检查文件上的真章，确认来源是真的。

候选 3：真人真信。

保留但偏口语。能记住人和消息都要真。

候选 4：签了别赖。

淘汰。那是 nonrepudiation，不可否认性。

讨论结论：主钩子用“真伪验票”。它能提醒小白先判断身份、系统或消息来源是不是真的。

5. 最终主记法

Authenticity = 真伪验票。

记完整句：小林收到老板邮件前，先验票：发件人、域名、签名和来源到底是不是真的老板。

翻回知识点就是：真实性确认身份、系统、消息或来源是真实可信的。

6. 小白故事

小林的财务收到一封邮件。

邮件写着“我是老板，马上给这个账户转钱”。

财务不能只看头像和名字。

他要确认邮件来源、签名、域名和身份是不是真的。

如果是骗子冒充老板，问题不是“事后赖不赖”，而是“当下身份不真”。

这就是真实性。

7. 回到考题

题目说 genuine identity、valid source、prove source is real、not forged，先想 authenticity。

题目说 cannot deny later、prove to third party，选 nonrepudiation。

题目说 login process verifies who you are，可能是 authentication。

8. 别混

Authenticity：身份或来源是不是真的。

Authentication：验证身份的动作或流程。

Nonrepudiation：做完以后不能抵赖。

Integrity：内容有没有被改。

记忆卡：Firewall / 防火墙

Firewall 这张卡不能只背“墙”。

小白先懂一句话：它像网络门口的门卫，按规则看流量能不能进出。

1. 先懂一句话

Firewall = 防火墙。

它不是杀毒软件，也不是一定能发现所有攻击。

它真正问的是：网络流量从一个地方到另一个地方时，要不要放行。

2. 真正要背什么

这张卡真正要背 4 件事。

防火墙按规则允许或阻止网络流量。
规则常看源地址、目标地址、端口、协议、方向。
它常放在网络边界或分区边界。
packet filtering、stateful、proxy、WAF 都是不同防火墙或过滤思路，题目会换着问。
它是控制通行，不等于自动理解所有恶意行为。

3. 关键词拆解

Packet：网络包。

Port：端口，像服务门牌号。

Rule：规则，允许或拒绝。

Boundary：边界，不同网络区域之间的门口。

4. 候选池

候选 1：流量门卫。

保留。门卫看谁从哪来、要去哪里、走哪个门。

候选 2：小区岗亭。

保留。车从哪个门进、去哪栋楼、有没有通行规则，保安才放行。

候选 3：网络闸口。

保留。能记住防火墙常在网络边界。

候选 4：万能安全墙。

淘汰。防火墙不是万能，不能替代补丁、认证、日志、应用安全。

讨论结论：主钩子用“流量门卫 / 小区岗亭”。它能把源、目的、端口、协议和放行规则串起来。

5. 最终主记法

Firewall = 流量门卫。

记完整句：小林网店门口有流量门卫，只有符合规则的访问才能进后台或数据库区。

翻回知识点就是：防火墙根据规则控制网络流量是否允许通过。

6. 小白故事

小林把网站、后台、数据库放在不同区域。

客户可以访问网站。

客服可以访问后台。

外网不能直接访问数据库。

防火墙就在这些区域之间当门卫，看流量来源、目的、端口和协议，再决定放不放。

7. 回到考题

题目说 allow/deny traffic、packet filtering、network boundary、port/protocol rules，先想 firewall。

题目问 source/destination、TCP/UDP/ICMP、port，通常是包过滤这条线。

题目问 application-level firewall、proxy、WAF，要看它是不是在应用层理解请求。

题目问发现可疑攻击行为，可能是 IDS。

题目问主动阻断检测到的攻击，可能是 IPS。

题目问主机病毒，别直接选 firewall。

8. 别混

Firewall：按规则管流量通不通。

IDS：发现可疑行为并报警。

IPS：发现后还会阻断。

Antivirus：查恶意软件。

记忆卡：Penetration Testing / 渗透测试

Penetration Testing 这张卡不能只背“测试”。

小白先懂一句话：它是被授权的安全团队模拟攻击者，真的试着走一条攻击路线。

1. 先懂一句话

Penetration Testing = 渗透测试。

它不是只跑扫描器找已知漏洞。

它真正问的是：攻击者能不能利用弱点一步步打进去、扩大权限、接触数据。

2. 真正要背什么

这张卡真正要背 4 件事。

渗透测试必须授权。
授权要写清 scope 范围，不能想打哪里就打哪里。
它模拟真实攻击。
它验证攻击路径能不能走通。
它比漏洞评估更接近实战。

3. 关键词拆解

Penetration：渗透，穿进去。

Exploit：利用漏洞。

Authorized attack：授权攻击模拟。

Proof of exploitability：证明漏洞真的能被利用。

4. 候选池

候选 1：授权试闯。

保留。它同时抓住“授权”和“试着闯进去”。

候选 2：拿许可书撬自家门。

保留。不是小偷，是公司批准的人模拟小偷。

候选 3：安全闯关。

保留但偏游戏化。能记路线，但授权感不够。

候选 4：漏洞体检。

淘汰。那更像 vulnerability assessment。

讨论结论：主钩子用“授权试闯”，画面用“拿许可书撬自家门”。没有书面授权和范围，就不是测试，是攻击。

5. 最终主记法

Penetration Testing = 授权试闯。

记完整句：小林请可信团队拿授权书试闯后台，看漏洞能不能真的打进数据库。

翻回知识点就是：渗透测试是授权模拟攻击，用来验证攻击路径和影响。

6. 小白故事

扫描器说后台有旧组件。

这只是“可能有洞”。

小林请安全团队在授权范围内尝试利用这个洞。

团队发现能从后台拿到数据库只读权限。

这就证明攻击路线走通了。

这一步是渗透测试。

7. 回到考题

题目说 simulate attacker、exploit、authorized attack、prove vulnerability can be used，先想 penetration testing。

题目说 trusted team、stress-test、written authorization、scope，也往渗透测试靠。

题目说 automated scanner、known weakness、missing patch，选 vulnerability assessment。

题目说 impact/likelihood/asset value，选 risk assessment。

8. 别混

漏洞评估：找洞。

渗透测试：授权试闯，验证能不能打进去。

红队演练：更像完整对抗和目标驱动攻击模拟。

审计：查控制和证据。

记忆卡：Identity / 身份

Identity 这张卡不能只背“身份”。

小白先懂一句话：它是系统里“你说你是谁”的名字或标识。

1. 先懂一句话

Identity = 身份。

它不是证明你真的是这个人。

它真正问的是：系统用什么名字、账号、编号或标识来代表一个主体。

2. 真正要背什么

这张卡真正要背 3 件事。

Identity 是身份标识。
Identification 是报出身份。
Authentication 才是验证这个身份是真是假。

3. 关键词拆解

Identity：身份标识，比如用户名、员工号、账号。

Identification：识别或报身份，比如输入用户名。

Subject：主体，发起访问的人、进程或设备。

Claimed identity：声称的身份。

4. 候选池

候选 1：工牌名字。

保留。工牌上写“小林”，这只是身份标识。

候选 2：报名字。

保留。它适合记 identification。

候选 3：验密码。

淘汰到 authentication。验密码是认证，不是身份本身。

讨论结论：主钩子用“工牌名字”。它能把身份和认证分开。

5. 最终主记法

Identity = 工牌名字。

记完整句：工牌写着“小林”，这是身份；门卫检查工牌真假，才是认证。

翻回知识点就是：身份是系统用来识别主体的标识。

6. 小白故事

客服小林登录后台。

第一步输入用户名 lin。

这个用户名只是告诉系统“我声称我是 lin”。

系统还不知道他是不是真的小林。

接下来输入密码、刷令牌或按指纹，才是在验证身份。

7. 回到考题

题目问 username、user ID、claimed identity、identification，先想 identity/identification。

题目问 prove you are who you claim to be，选 authentication。

题目问 allowed actions，选 authorization。

8. 别混

Identity：你是谁的标识。

Authentication：证明你真是这个身份。

Authorization：验证后你能做什么。

Accountability：做过什么能不能追到你。

记忆卡：Accountability / 问责性

Accountability 这张卡不能只背“负责”。

小白先懂一句话：它问的是事情发生后，能不能追到是谁做的。

1. 先懂一句话

Accountability = 问责性。

它不是给权限。

它真正问的是：操作、访问、审批、修改有没有记录到具体主体，事后能不能追责。

2. 真正要背什么

这张卡真正要背 4 件事。

问责性要求行为能追到具体人或主体。
日志、审计轨迹、唯一账号能支持问责。
共享账号会破坏问责性。
它和不可否认性接近，但考试里 accountability 更常落到日志和责任追踪。

3. 关键词拆解

Account：账号，也像账本。

Accountability：能对账、能追责。

Audit trail：审计轨迹。

Unique user ID：唯一用户账号。

4. 候选池

候选 1：留名账本。

保留。谁做了什么，都在账本上留名。

候选 2：谁干的记录。

保留。很小白，直指考点。

候选 3：大家共用账号。

淘汰为反例。共用账号会让问责失效。

讨论结论：主钩子用“留名账本”。它能把唯一账号、日志、审计轨迹串起来。

5. 最终主记法

Accountability = 留名账本。

记完整句：小林后台每次改订单都留名，出事后能查到是谁改的。

翻回知识点就是：问责性让操作能追溯到具体主体。

6. 小白故事

小林公司以前让客服共用 admin 账号。

订单被改后，没人知道是谁做的。

后来每个人有自己的账号，后台记录谁登录、谁改了金额、什么时候改。

这本留名账本让公司能追责。

这就是问责性。

7. 回到考题

题目说 audit trail、unique user ID、trace actions to individual、shared account problem，先想 accountability。

题目说 track user actions、determine actions of a single individual，也是在问 accountability。

题目说 cannot deny later，可能是 nonrepudiation。

题目说 proof of identity，选 authentication。

8. 别混

Accountability：谁做的能追到。

Authentication：证明你是谁。

Authorization：你能做什么。

Nonrepudiation：做完后不能抵赖，证据能给第三方看。

记忆卡：Authentication / 认证

Authentication 这张卡不能只背“认证”。

小白先懂一句话：它是系统验证你是不是你声称的那个人。

1. 先懂一句话

Authentication = 认证。

它不是报名字，也不是给权限。

它真正问的是：你输入的身份标识，系统怎么验证是真的。

2. 真正要背什么

这张卡真正要背 4 件事。

认证验证身份真假。
常见因素是你知道的、你拥有的、你本人的特征。
MFA 是使用多个不同类别因素。
认证后才谈授权。
用户名只是身份标识，通常不算认证因素。

3. 关键词拆解

Something you know：你知道的，比如密码。

Something you have：你拥有的，比如令牌、手机。

Something you are：你本人的特征，比如指纹、人脸。

MFA：多因素认证。

4. 候选池

候选 1：验工牌真假。

保留。报出名字后，还要验工牌是不是你的。

候选 2：验你是谁。

保留。最直白。

候选 3：开权限。

淘汰到 authorization。开权限是授权。

讨论结论：主钩子用“验工牌真假”。它能和身份、授权分开。

5. 最终主记法

Authentication = 验工牌真假。

记完整句：小林报了用户名，系统再验密码、令牌或指纹，确认他真是小林。

翻回知识点就是：认证是验证主体身份的过程。

6. 小白故事

小林进入办公楼。

他说自己是客服小林。

门卫不能只听他说。

门卫要看工牌、刷门禁、核照片。

在系统里也是一样：用户名只是报身份，密码或令牌才是在认证。

7. 回到考题

题目说 verify identity、prove who you are、password/token/biometric，先想 authentication。

题目说 PIN + ATM card，是知道的东西加拥有的东西，才是两个因素。

题目说 user ID、claim identity，先想 identification/identity。

题目说 permissions、access rights，选 authorization。

8. 别混

Identity：工牌名字。

Authentication：验工牌真假。

Authorization：开哪些门。

Accounting/Accountability：记录谁进了哪扇门。

记忆卡：COBIT / IT 治理框架

COBIT 这张卡不能只背一串大写字母。

小白先懂一句话：它是帮公司治理和管理 IT 的框架，让 IT 做的事和业务目标对齐。

1. 先懂一句话

COBIT = Control Objectives for Information and Related Technologies。

中文可理解为：信息及相关技术控制目标框架。

它不是单个技术控制，也不是支付卡标准。

它真正问的是：企业怎么治理 IT、控制 IT、让 IT 支持业务目标。

2. 真正要背什么

这张卡真正要背 4 件事。

COBIT 偏 IT 治理和管理。
它强调业务目标和 IT 目标对齐。
它常用于控制、治理、审计视角。
它来自 ISACA 语境，常和审计、控制目标一起出现。
它和 NIST、ISO、PCI DSS、ITIL、RMM 要分开。

3. 关键词拆解

Control Objectives：控制目标。

Information and Related Technologies：信息及相关技术。

Governance：治理，谁决策、谁监督、怎么对齐目标。

Business alignment：业务对齐。

ISACA：COBIT 背后的常见组织题眼。

4. 候选池

候选 1：IT 治理方向盘。

保留。方向盘让 IT 按业务目标开，不是自己乱跑。

候选 2：控制目标清单。

保留但偏抽象。能记 COBIT 全称里的 control objectives。

候选 3：咖啡 bit。

淘汰。音近但没有治理含义。

讨论结论：主钩子用“IT 治理方向盘”。它能把 COBIT 和业务对齐、治理监督串起来。

5. 最终主记法

COBIT = IT 治理方向盘。

记完整句：小林公司不让 IT 自己乱开车，而是用 COBIT 方向盘把 IT 控制、审计和业务目标对齐。

翻回知识点就是：COBIT 是面向企业 IT 治理和管理的框架。

6. 小白故事

小林公司有网站、支付、客服、仓库和数据分析系统。

IT 部门每天都在忙，但老板问：这些系统到底有没有支持业务目标？

谁监督 IT 风险？

谁看控制有没有覆盖？

COBIT 就像一个治理方向盘，让 IT 不是只修机器，而是服务公司目标。

7. 回到考题

题目说 IT governance、control objectives、align IT with business、ISACA，先想 COBIT。

题目问 risk maturity model 或风险管理成熟度，不要选 COBIT，常看 RMM。

题目说 U.S. SP 800、RMF、CSF，选 NIST。

题目说 international standard、ISO 27001，选 ISO。

题目说 payment card data，选 PCI DSS。

8. 别混

COBIT：IT 治理和控制目标。

NIST：美国标准、框架、指南。

ISO：国际标准。

ITIL：IT 服务管理实践。

RMM：风险成熟度模型。

记忆卡：Incident Response / 事件响应

Incident Response 这张卡不能只背“响应”。

小白先懂一句话：安全事件发生后，公司按流程确认、控制、清除、恢复和复盘。

1. 先懂一句话

Incident Response = 事件响应。

它不是普通客服处理，也不是灾难恢复的全部。

它真正问的是：发现安全事件后，安全团队怎么按步骤处理。

2. 真正要背什么

这张卡真正要背 5 件事。

先准备：计划、团队、工具、联系方式。
发现和分析：确认是不是事件，并做 triage 分级。
遏制：先控制影响别扩散，同时注意证据保全。
清除和恢复：清掉原因，把系统恢复。
事后复盘：总结教训、改流程。

3. 关键词拆解

Incident：安全事件。

Containment：遏制，先别让影响扩大。

Eradication：清除根因。

Recovery：恢复服务。

Lessons learned：经验教训复盘。

Chain of custody：证据保管链，调查和取证时不能乱动证据。

4. 候选池

候选 1：事故处置流程。

保留。它清楚告诉小白这是流程，不是单个工具。

候选 2：报警到复盘。

保留。能记住从发现到总结。

候选 3：报警六步走。

保留。准备、发现、分级、遏制、清除恢复、复盘。

候选 4：灾难恢复计划。

淘汰。DRP 更偏 IT 灾后恢复，不等于所有安全事件响应。

讨论结论：主钩子用“事故处置流程”。辅助句用“报警到复盘”，但要记住不能跳过遏制和证据保全。

5. 最终主记法

Incident Response = 事故处置流程。

记完整句：小林发现后台被入侵，先确认、再遏制、清除、恢复，最后复盘。

翻回知识点就是：事件响应是组织处理安全事件的一套流程。

6. 小白故事

小林发现后台出现异常登录。

安全团队先确认是不是攻击。

确认后先分级，冻结可疑账号，隔离受影响服务器，防止继续扩散。

同时保留日志、镜像和关键证据，不能为了快就把现场全清掉。

再清除恶意文件、修补漏洞、恢复服务。

最后开会复盘：为什么发生，流程哪里要改。

7. 回到考题

题目说 security incident、containment、eradication、recovery、lessons learned，先想 incident response。

题目说 triage、forensics、chain of custody、law enforcement，也常在事件响应和调查语境里。

题目问服务器灾后怎么恢复，选 DRP。

题目问业务怎么继续撑住，选 BCP。

8. 别混

Incident response：处理安全事件。

DRP：灾难后 IT 系统恢复。

BCP：业务继续运转。

Forensics：取证调查和证据保全。

记忆卡：Auditing / Audit / 审计

Auditing 这张卡不能只背“检查”。

小白先懂一句话：审计是看控制有没有按要求执行，并且有没有证据。

1. 先懂一句话

Auditing / Audit = 审计。

它不是找漏洞，也不是模拟攻击。

它真正问的是：规则有没有执行，控制有没有运行，证据能不能证明。

2. 真正要背什么

这张卡真正要背 4 件事。

审计看控制和证据。
审计常看日志、记录、配置、审批、流程执行情况。
审计可以发现不合规或控制失效。
它常带 independent review 独立复查的味道。
它和 assessment、testing、monitoring 有交叉，但核心是证据审查。

3. 关键词拆解

Audit：审计。

Evidence：证据。

Control review：控制复查。

Compliance：合规。

Audit trail：审计轨迹。

Independent review：独立复查，不是自己说自己做得好。

4. 候选池

候选 1：查证据账本。

保留。审计不是听你说做了，而是看证据。

候选 2：查账验控制。

保留。能把“账”和“控制执行”连起来。

候选 3：查账官。

保留。审计员不是修系统的人，是拿清单查凭证的人。

候选 4：黑客试闯。

淘汰。那是渗透测试。

讨论结论：主钩子用“查证据账本”，辅助画面用“查账官”。它能回到日志、审批、控制复查。

5. 最终主记法

Auditing = 查证据账本。

记完整句：小林说备份每天做，审计员不听口头保证，直接查备份记录、日志和恢复测试证据。

翻回知识点就是：审计通过证据检查控制是否按要求执行。

6. 小白故事

小林公司规定离职账号当天禁用。

审计员抽查 20 个离职员工。

他看工单、账号禁用时间、审批记录和系统日志。

如果证据显示有人离职后账号还活着，控制就没执行好。

这就是审计。

7. 回到考题

题目说 evidence、control review、audit trail、compliance check，先想 auditing。

题目说 standards-based audit、independent review、OS audit trail、system logs，也往审计靠。

题目说 known weakness、missing patch，选 vulnerability assessment。

题目说 simulate attacker，选 penetration testing。

题目说 risk level、likelihood、impact，选 risk assessment。

8. 别混

Audit：查证据和控制执行。

Vulnerability assessment：找已知弱点。

Penetration testing：授权试闯。

Risk assessment：算风险大小和优先级。

记忆卡：Authorization / 授权

Authorization 这张卡不能只背“授权”。

小白先懂一句话：认证通过后，系统决定你能做什么、不能做什么。

1. 先懂一句话

Authorization = 授权。

它不是证明你是谁。

它真正问的是：你已经被确认身份后，系统给你哪些权限。

2. 真正要背什么

这张卡真正要背 4 件事。

授权发生在认证之后。
授权决定访问范围和操作权限。
常见内容是 read、write、delete、approve、admin。
最小特权原则常和授权相关。
题目常写成 subject 对 object 执行 action 是否被允许。

3. 关键词拆解

Access rights：访问权。

Permission：权限。

Privilege：特权。

Role：角色，常用于分配权限。

Need-to-know：需要知道原则，有身份不等于有必要访问。

4. 候选池

候选 1：开哪些门。

保留。认证后，不是所有门都能进，要看你被授权开哪几扇。

候选 2：权限菜单。

保留。用户登录后菜单显示什么，就是权限范围。

候选 3：批条进房间。

保留。你已经验明身份，但批条决定你能进财务室还是只能进前台。

候选 4：验工牌真假。

淘汰到 authentication。验身份不是授权。

讨论结论：主钩子用“开哪些门”，辅助画面用“批条进房间”。它能把授权和认证分开。

5. 最终主记法

Authorization = 开哪些门。

记完整句：小林刷工牌进公司后，系统还要决定他能开客服门、仓库门，还是管理员门。

翻回知识点就是：授权决定已认证主体可以访问哪些资源、执行哪些操作。

6. 小白故事

小林登录后台成功。

这说明系统已经认证他是客服小林。

但客服不能删除数据库，不能批准退款，不能改管理员权限。

系统只给他查看订单和回复客户的权限。

这一步就是授权。

7. 回到考题

题目说 permissions、access rights、what a user can do、least privilege，先想 authorization。

题目说 rights and privileges、requested activity/object access、clearance + need-to-know，也是在问授权。

题目说 prove identity，选 authentication。

题目说 user ID，选 identity/identification。

题目说 trace actions，选 accountability。

8. 别混

Identity：工牌名字。

Authentication：验工牌真假。

Authorization：开哪些门。

Accountability：留下谁开过门的记录。

记忆卡：Encryption / 加密

Encryption 这张卡不能只背“加密很安全”。

小白先懂一句话：它把明文变成看不懂的密文，主要防止不该看的人看懂内容。

1. 先懂一句话

Encryption = 加密。

它不是哈希，也不是数字签名。

它真正问的是：把可读内容变成密文，只有有密钥的人才能还原。

2. 真正要背什么

这张卡真正要背 4 件事。

加密保护内容不被看懂，常用于机密性。
明文通过算法和密钥变成密文。
对称加密同一把密钥加解密。
非对称加密用公钥和私钥配合。
常见场景是 data at rest 静态数据和 data in transit 传输中数据。

3. 关键词拆解

Plaintext：明文，看得懂的原始内容。

Ciphertext：密文，看不懂的加密结果。

Key：密钥。

Algorithm：算法。

TLS / VPN：常用来保护传输中的通信内容。

4. 候选池

候选 1：上锁信封。

保留。信封内容还在，但别人没有钥匙看不懂。

候选 2：密文锁盒。

保留。适合记密钥打开密文。

候选 3：指纹摘要。

淘汰到 hash。哈希不是加密，不能还原明文。

讨论结论：主钩子用“上锁信封”。它能提醒小白：加密是保护内容不被读懂。

5. 最终主记法

Encryption = 上锁信封。

记完整句：小林把客户资料装进上锁信封，路上被别人拿到，也看不懂里面内容。

翻回知识点就是：加密用算法和密钥把明文转换成密文，保护信息机密性。

6. 小白故事

小林要把客户资料发给合作仓库。

如果直接发明文，路上被截获就能看见姓名、电话和地址。

他先把资料加密，变成密文。

仓库用正确密钥才能解开。

这就是加密保护机密性。

7. 回到考题

题目说 protect confidentiality、ciphertext、plaintext、key、encrypt email content，先想 encryption。

题目说 data at rest、data in transit、encrypted VPN、TLS，也常往加密靠。

题目问验证文件有没有改，可能是 hash。

题目问证明来源和不可否认，可能是 digital signature。

题目问密码存储，通常看 hashing，不是可逆加密。

题目出现 ROT13 这类弱编码，不要当成真正安全加密。

8. 别混

Encryption：上锁，能解开，保护机密性。

Hashing：压成摘要，通常不能还原，用来验完整性。

Digital signature：签名，证明来源、完整性和不可否认。

Encoding：编码，方便传输，不是安全保护。

记忆卡：IDS / 入侵检测系统

IDS 这张卡不能只背“入侵检测”四个字。

小白先懂一句话：它像装在网络路口或主机旁边的报警器，看到可疑行为先喊人来查。

1. 先懂一句话

IDS = Intrusion Detection System（入侵检测系统）。

Intrusion 是入侵，detection 是检测。

它真正问的是：有没有东西在观察流量、日志或系统迹象，发现可疑攻击后发出告警。

2. 真正要背什么

这张卡真正要背 4 件事。

IDS 主要负责发现和告警。
NIDS 看网络流量，HIDS 看主机日志、文件和系统迹象。
signature-based 是按已知攻击特征识别，anomaly-based 是按异常行为识别。
IDS 告警之后，第一步通常是验证威胁并判断影响范围。
阈值太低容易 false positive（误报），阈值太高容易 false negative（漏报）。

3. 关键词拆解

Alert / alarm：告警，说明系统发现可疑现象。

HIDS：Host-based IDS（基于主机的入侵检测系统），更像盯着一台服务器的日志和系统变化。

NIDS：Network-based IDS（基于网络的入侵检测系统），更像站在网络路口看流量。

Signature：特征码，像“见过这个攻击长什么样”。

Anomaly：异常，像“这台机器平时不这样，今天行为很怪”。

False positive：误报，把没问题的事情报成攻击。

False negative：漏报，真的攻击发生了却没报出来。

Clipping level：告警阈值。门槛设太低会吵，设太高会漏。

4. 候选池

候选 1：只喊报警器。

保留。它能把 IDS 和 IPS 分开：IDS 先喊，IPS 还会拦。

候选 2：监控屏。

保留作辅助，但不够强。监控屏看得见，不一定提醒你。

候选 3：抓贼铁门。

淘汰。抓贼和拦门更像 IPS，不像 IDS。

讨论结论：主钩子用“只喊报警器”。它简单，但非常贴考试：IDS 的核心动作是 detect and alert。

5. 最终主记法

IDS = 只喊报警器。

记完整句：小林的网店半夜出现一百多次失败登录，IDS 像报警器一样响起来，提醒管理员赶紧确认是不是攻击。

翻回知识点就是：IDS 发现可疑行为并告警，但它本身不一定阻断连接。

6. 小白故事

小林把 IDS 放在 DMZ（非军事区：外网和内网之间的缓冲区）旁边。

半夜，网站收到一堆格式错误的数据包，后台账号也连续登录失败。

IDS 没有直接把攻击者推出去。

它先把异常记录下来，发出告警，让管理员查看来源、时间、目标系统和攻击范围。

这就是 IDS 的价值：先发现，先提醒，给事件响应争取时间。

7. 回到考题

题目说 intrusion detection、alert、alarm、detect suspicious activity，先想 IDS。

题目说 HIDS 如何识别潜在攻击，常看日志消息、文件变化或系统迹象。

题目说 signature-based IDS，先想用已知攻击特征识别。

题目说 statistical anomaly 或 abnormal behavior，先想异常检测。

题目说 threshold / clipping level 太低，容易误报；太高，容易漏报。

题目问 IDS / IPS 警报的初始响应，先验证威胁并确定攻击范围，不是立刻乱关所有系统。

题目问“发现文件内容被未授权修改”，更可能是 File Integrity Checker（文件完整性检查器），不要只因为有“发现”就选 IDS。

8. 别混

IDS：发现可疑行为，发告警。

IPS：发现后还能主动阻断。

Firewall：按规则允许或拒绝流量。

SIEM：集中收集、关联和分析很多日志与告警。

记忆卡：IPS / 入侵防御系统

IPS 这张卡不能只背“比 IDS 多一个 P”。

小白先懂一句话：IDS 像报警器，IPS 像站在路中间的门卫，发现危险后可以直接拦。

1. 先懂一句话

IPS = Intrusion Prevention System（入侵防御系统）。

Prevention 是预防、阻止。

它真正问的是：检测到攻击以后，系统能不能主动采取动作，比如丢弃数据包、重置连接、阻止访问或更新规则。

2. 真正要背什么

这张卡真正要背 5 件事。

IPS = 检测 + 阻断。
IPS 通常放在流量路径上，流量经过它，它才有机会拦。
常见动作是 block、drop、reset、deny、quarantine。
IPS 不是事后审计工具，它是实时防御控制。
IPS 阻止常见攻击通常属于 risk mitigation（风险缓解），因为它降低攻击成功的可能性。

3. 关键词拆解

Prevent：预防、阻止。

Inline：串在流量路径上，像门口必须经过的闸机。

Drop packet：丢弃数据包。

Reset connection：重置连接，让通信断掉。

Without external intervention：不等人工来点按钮，系统自己先阻断。

4. 候选池

候选 1：会拦门卫。

保留。它把 IPS 的动作说清楚：不只是看见，还会拦。

候选 2：自动刹车。

保留作辅助。看到危险就刹车，适合记主动阻断。

候选 3：安全摄像头。

淘汰。摄像头更像 IDS 或 CCTV，只看见不一定拦。

讨论结论：主钩子用“会拦门卫”。它和 IDS 的“只喊报警器”能组成一对。

5. 最终主记法

IPS = 会拦门卫。

记完整句：小林的网店门口不只装报警器，还站了会拦人的门卫；可疑流量冲过来，门卫直接把它挡在门外。

翻回知识点就是：IPS 在发现攻击后能主动阻断或限制可疑流量。

6. 小白故事

小林的网站被人不断试密码。

如果只有 IDS，管理员会收到告警，然后人工查。

如果部署 IPS，可疑请求经过它时，它可以直接丢弃包、重置连接，或者临时阻断来源地址。

这就是 IPS 比 IDS 多出来的地方：它不只是告诉你“有事”，它还会先动手挡一下。

7. 回到考题

题目说 intrusion prevention、prevent、block、drop、reset、deny，先想 IPS。

题目说实时阻止攻击、自动阻断连接、检测到后采取动作，也往 IPS 靠。

题目说 inline IPS，重点是它在流量必经路径上；如果只是旁路监听，通常不能直接阻断。

题目说 deploy IPS to stop common attacks，常是在降低攻击成功概率，属于风险缓解。

题目把 IDS 和 IPS 放一起问初始响应，仍然要先验证威胁和范围，不要把所有告警都当真。

题目问只发现、只告警，选 IDS，不选 IPS。

8. 别混

IDS：像报警器，重点是发现和通知。

IPS：像门卫，重点是发现后阻断。

Firewall：按预设规则过滤，不一定识别攻击行为。

NBA（Network Behavior Analysis，网络行为分析）：更偏发现异常行为模式，不等于所有 IPS。

记忆卡：MFA / 多因素认证

MFA 这张卡不能只背“多一个验证码”。

小白先懂一句话：它要的是不同种类的证明，不是同一种证明重复两遍。

1. 先懂一句话

MFA = Multi-Factor Authentication（多因素认证）。

Multi 是多个，factor 是因素，authentication 是认证。

它真正问的是：系统要你用两类或多类证据证明“我真是我”。

2. 真正要背什么

这张卡真正要背 6 件事。

认证是在证明身份，不是在决定权限。
常见因素是 something you know（你知道的东西）、something you have（你拥有的东西）、something you are（你自身特征）。
密码 + 安全问题通常还是同一类，都是“知道”。
PIN + ATM card 是两类：知道 PIN，拥有卡。
MFA 能降低密码被猜出、撞库或重放后的风险。
对 privileged accounts（特权账号）启用 MFA，是很常见的强化认证措施。

3. 关键词拆解

Know：知道的东西，比如密码、PIN。

Have：拥有的东西，比如智能卡、硬件令牌、手机验证码。

Are：你自身的东西，比如指纹、面部、虹膜。

OTP：One-Time Password（一次性密码），用过一次就失效。

Hardware token：硬件令牌，属于你拥有的东西。

Biometric：生物特征，属于你自身的东西。

4. 候选池

候选 1：多把不同钥匙。

保留。重点是“不同”，不是多把同样钥匙。

候选 2：密码加密码。

淘汰。两个密码还是同一类，不是好记法。

候选 3：门口三件套。

保留作辅助：记住、带着、本人特征。

讨论结论：主钩子用“多把不同钥匙”。它能提醒小白：MFA 的关键不是数量，是类别不同。

5. 最终主记法

MFA = 多把不同钥匙。

记完整句：小林进后台时，系统不只问密码，还要手机令牌；一个是脑子里知道的，一个是手里拿着的。

翻回知识点就是：MFA 用多个不同认证因素证明身份。

6. 小白故事

小林的后台密码泄露了。

如果系统只看密码，攻击者拿到密码就能进。

如果系统要求 MFA，攻击者还要拿到小林手机里的验证码，或者拿到智能卡，甚至通过指纹。

这不是“多输几次密码”，而是从不同角度证明身份。

7. 回到考题

题目说 Multi-Factor Authentication、two-factor authentication、strong authentication，先看选项是不是不同因素。

题目给 PIN + ATM card，通常是两因素：PIN 是知道，ATM card 是拥有。

题目给 password + security question，通常不是强两因素，因为都靠记忆。

题目给 fingerprint + smart card，是典型两因素：自身特征 + 拥有物。

题目说 username and password（用户名和密码）不等于 MFA；用户名主要是识别，密码才是认证因素。

题目说 privileged accounts、hardware token、biometric，常是在问给高权限账号加 MFA。

题目说 OTP 防止 replay（重放攻击），要想到一次性密码用过就不该再有效。

8. 别混

Identification：报自己是谁，比如输入用户名。

Authentication：证明自己真是这个人。

MFA：用多个不同类别证明身份。

Authorization：认证之后，再决定能访问什么。

SSO / FIM：单点登录或联合身份，解决登录和身份共享，不等于 MFA 本身。

记忆卡：OSI / 开放系统互连模型

OSI 这张卡不能只背七个层名。

小白先懂一句话：它是网络问题的分层地图，帮你判断“问题发生在哪一层”。

1. 先懂一句话

OSI = Open Systems Interconnection（开放系统互连）模型。

它把一次网络通信拆成 7 层。

你不是为了背一个抽象表格，而是为了看到 IP、MAC、端口、HTTP、网线时，知道它们站在哪一层。

2. 真正要背什么

这张卡真正要背 5 件事。

第 1 层物理层：比特、网线、光纤、电气信号。
第 2 层数据链路层：帧、MAC、交换机、ARP、以太网。
第 3 层网络层：IP、ICMP、路由器、数据包、路由。
第 4 层传输层：TCP、UDP、端口、分段、可靠或快速传输。
第 7 层应用层：HTTP、FTP、SMTP、DNS、SNMP 等应用协议。

第 5 层会话层管会话建立和维护，第 6 层表示层管编码、压缩和加密表示。

TCP/IP 模型没有单独的 Session layer（会话层），这是 OSI 模型里的层。

3. 关键词拆解

Layer：层。

Frame：帧，常对应第 2 层。

Packet / Datagram：包或数据报，常对应第 3 层。

Segment：段，常对应第 4 层。

Protocol：协议，题目问协议时要先看它工作在哪一层。

PPP / SLIP：常往第 2 层数据链路层看。

IPSec：常往第 3 层网络层看。

4. 候选池

候选 1：七层快递楼。

保留。数据像快递，从应用写信，到线缆上路，再到对方一层层拆开。

候选 2：七层电梯。

保留作辅助。适合记上下封装和解封装。

候选 3：七个抽象盒子。

淘汰。太虚，小白不知道盒子里装什么。

讨论结论：主钩子用“七层快递楼”。它能把每一层和现实动作连接起来。

5. 最终主记法

OSI = 七层快递楼。

记完整句：小林发一封网络快递，应用层写内容，传输层贴端口，网络层写 IP 地址，数据链路层写 MAC 标签，物理层让信号真正跑在线缆上。

翻回知识点就是：OSI 用七层模型定位网络通信、协议、设备和攻击发生的位置。

6. 小白故事

客户访问小林网站。

用户看到网页，这是应用层。

浏览器用 TCP 连接服务器端口，这是传输层。

数据要知道服务器 IP 地址，这是网络层。

在局域网里还要知道下一跳的 MAC 地址，这是数据链路层。

最后真正跑的是电信号或光信号，这是物理层。

题目问“哪一层”，就是让你把这件事放回七层楼里。

7. 回到考题

题目说 IP address、routing、datagram source and destination address，先想第 3 层网络层。

题目说 MAC address、ARP、frame、switch，先想第 2 层数据链路层。

题目说 TCP、UDP、port、segment、reliable transport，先想第 4 层传输层。

题目说 electrical specifications、fiber、bits、cable，先想第 1 层物理层。

题目说 HTTP、FTP、SMTP、DNS、SNMP，常往第 7 层应用层靠。

题目说 PPP、SLIP、MAC、frame，往第 2 层靠。

题目说 TCP/IP 模型里哪个不是定义层，Session layer（会话层）常是陷阱。

8. 别混

OSI 是地图，不是某个工具。

Router：主要看第 3 层。

Switch：主要看第 2 层。

Hub / cable / fiber：主要看第 1 层。

Firewall、IDS、IPS、VPN 要放回流量路径和对应层次里看。

记忆卡：VPN / 虚拟专用网络

VPN 这张卡不能只背“翻墙”或“远程连接”。

小白先懂一句话：VPN 是在公共网络上挖一条受保护的通道，让远程通信像走专用线路一样安全一些。

1. 先懂一句话

VPN = Virtual Private Network（虚拟专用网络）。

Virtual 是虚拟，private 是专用，network 是网络。

它真正问的是：在 Internet 这种公共网络上，用隧道、加密和认证保护通信。

2. 真正要背什么

这张卡真正要背 6 件事。

VPN 保护的是通信通道，不是自动给你所有权限。
remote access VPN 让个人远程连公司。
site-to-site VPN 连接两个网络，比如分公司和总部。
encrypted VPN 常用于保护公网传输中的机密性和完整性。
SSL VPN 常见优点是维护低、部署方便，适合很多远程用户。
Split tunneling（分离隧道）的风险是设备同时连公司内网和普通公网，可能把外部风险带进来。

3. 关键词拆解

Tunnel：隧道，把原来的通信包进受保护通道。

IPSec：常用于网络层的安全通信。

SSL VPN / TLS VPN：常用于更容易部署的远程访问场景。

Remote access：远程用户接入公司资源。

Site-to-site：站点到站点，两个网络互连。

Split tunneling：分离隧道，一部分流量走 VPN，一部分直接上公网。

4. 候选池

候选 1：公网地道。

保留。它能把“公共网络上受保护通道”讲清楚。

候选 2：隐身斗篷。

淘汰。容易让小白误以为 VPN 什么都能隐藏、什么都能保护。

候选 3：公司专线门票。

淘汰一半。VPN 像专线，但不是权限门票。

讨论结论：主钩子用“公网地道”。它最贴 VPN 的本质：公共路上开一条受保护通道。

5. 最终主记法

VPN = 公网地道。

记完整句：小林在家访问公司后台，不是把资料裸奔在 Internet 上，而是先钻进 VPN 公网地道，再到公司网络入口。

翻回知识点就是：VPN 在公共网络上建立受保护通道，用来保护远程或站点间通信。

6. 小白故事

小林的客服在家办公，要连公司订单系统。

如果直接把内部系统暴露到公网，攻击面会很大。

公司让客服先连 VPN。

客服的电脑和公司 VPN 入口之间建立加密隧道，数据在公网中间被截到，也不容易被读懂或篡改。

但连上 VPN 以后，系统仍然要认证身份、检查权限、记录日志。

7. 回到考题

题目说 VPN tunnel、encrypted VPN、secure connection over public network，先想 VPN。

题目说分支机构和总部长期连接，常看 site-to-site VPN。

题目说大量学生或远程用户需要低维护、易部署，常看 SSL VPN。

题目说只是“能不能访问某个文件”，还要看 authentication 和 authorization，不要只因为有 VPN 就默认能访问。

题目说 L2TP 支持非 IP 协议，要知道它是常见 VPN 协议中的一个特征点。

题目说 split tunneling，先想客户端同时连接公网和内网带来的风险。

题目问保密性时，VPN 常靠加密隧道；题目问不可否认性时，不要选 VPN，常看数字签名。

8. 别混

VPN：保护通道。

Encryption：保护内容不被读懂，VPN 里常用它。

Authentication：证明远程用户是谁。

Authorization：决定连进来后能访问什么。

Firewall：控制哪些流量能进出边界。

VLAN：本地逻辑分段，不是在公网建立加密隧道。

记忆卡：Audit Trail / Log / 审计跟踪与日志

Audit trail 和 log 这张卡不能只背“记录一下”。

小白先懂一句话：它是在事后留下脚印，让公司知道谁在什么时候做过什么。

1. 先懂一句话

Log = 日志。

Audit trail = 审计跟踪。

日志像一条条记录，审计跟踪像把这些记录串起来的脚印路线。

2. 真正要背什么

这张卡真正要背 5 件事。

日志记录事件，比如登录、失败、访问、修改、删除、配置变化。
审计跟踪支持 accountability（问责性），因为它能把行为追到某个身份。
好日志常包含 who（谁）、what（做了什么）、when（什么时候）、where（哪里）、result（成功还是失败）。
日志可以帮助 incident response（事件响应）和 forensics（取证）。
日志需要保护完整性和保留期限，否则查案时证据不可靠。
日志复查可以发现 anomalies（异常模式）、配置错误和恶意活动。

3. 关键词拆解

Audit：审计，检查证据和控制有没有按要求执行。

Trail：痕迹、路径。

Log retention：日志保留期限。

Access time：访问时间。

System log：系统日志。

Log repository：日志仓库，只负责集中存放，不等于自动分析。

SIEM：安全信息与事件管理，负责关联分析很多日志和告警。

SOAR：安全编排、自动化与响应，偏把分析后的响应动作自动化。

4. 候选池

候选 1：脚印账本。

保留。脚印表示轨迹，账本表示可查记录。

候选 2：录像带。

保留作辅助，但日志不一定是视频。

候选 3：门禁钥匙。

淘汰。钥匙是控制访问，不是事后记录。

讨论结论：主钩子用“脚印账本”。它能同时记住 log 的记录感和 audit trail 的追踪感。

5. 最终主记法

Audit Trail / Log = 脚印账本。

记完整句：小林查到订单金额被改，脚印账本告诉他：哪个账号、几点、从哪台机器改了这笔订单。

翻回知识点就是：日志和审计跟踪记录主体活动，帮助追责、调查和证明控制执行情况。

6. 小白故事

小林发现一笔订单从 1000 元变成 10 元。

他不能只问“是谁干的”，因为没人会主动承认。

他打开日志，看见管理员账号在凌晨 2 点从异常 IP 登录，然后修改了订单金额。

这些记录连起来，就是审计跟踪。

如果日志只保留 6 天，而事件发生在上个月，公司就查不下去了。

7. 回到考题

题目说 audit trail、system logs、security logs、trace actions to individual，先想日志、审计跟踪和问责性。

题目问访问控制日志除了 identifier（标识符）还要包含什么，常见答案是 access time（访问时间）。

题目说攻击没被预防控制挡住，也没被监控发现，事后调查要靠 recording and audit trail controls。

题目说日志保留 6 个月或更久对什么有价值，常往 incident response（事件响应）和调查靠。

题目说 review logs 发现操作问题、配置错误或恶意攻击，先想日志审查。

题目说 clipping level（告警阈值）也可能和日志/监控告警有关：门槛太低误报，太高漏报。

题目说 prosecution evidence（起诉证据）或 forensic evidence（取证证据），还要看 chain of custody（保管链），不要只答“有日志”。

8. 别混

Log：一条条事件记录。

Audit trail：能串起行为路径的记录链。

Auditing：审计这个动作，检查证据和控制。

Accountability：问责性，靠日志、身份和审计支撑。

Authorization：决定能不能做，不是事后查做没做。

File Integrity Checker：发现文件内容是否被改，更贴完整性检查，不是普通日志。

记忆卡：Vulnerability Scan / 漏洞扫描

Vulnerability scan 这张卡不能只背“扫漏洞”。

小白先懂一句话：它用工具自动照一圈系统，找已知弱点，但不等于真的模拟攻击打进去。

1. 先懂一句话

Vulnerability Scan = 漏洞扫描。

Vulnerability 是弱点，scan 是扫描。

它真正问的是：工具自动检查系统、应用、网络或数据库里有没有已知漏洞、缺补丁、弱配置。

2. 真正要背什么

这张卡真正要背 6 件事。

漏洞扫描通常是自动化工具完成。
它主要找 known vulnerabilities（已知漏洞）和 configuration issues（配置问题）。
它可以定期运行，用报告比较不同时间的变化。
它可以使用插件、签名或 CVE 编号识别具体漏洞。
它不等于渗透测试，因为渗透测试会沿攻击路线验证能不能真的利用。
新扫描工具跑生产环境时，通常要避开业务高峰，减少对正常业务的影响。

3. 关键词拆解

CVE：Common Vulnerabilities and Exposures（通用漏洞与暴露编号），给漏洞起统一名字。

CVSS：Common Vulnerability Scoring System（通用漏洞评分系统），给严重程度打分。

Network discovery scan：发现网络里有哪些主机和开放端口。

Web application scan：专门扫 Web 应用，比如 SQL 注入、目录索引等。

Database scan：扫数据库相关弱点。

Validate remediation：验证修复是否真的完成。定期扫描常用来做这件事。

4. 候选池

候选 1：漏洞探照灯。

保留。它照出哪里可能有洞。

候选 2：体检报告。

保留作辅助。它告诉你哪里可能有问题，但不等于已经手术治疗。

候选 3：黑客攻城。

淘汰。那更像渗透测试。

讨论结论：主钩子用“漏洞探照灯”。它能提醒小白：扫描是发现弱点，不是证明所有路径都能打通。

5. 最终主记法

Vulnerability Scan = 漏洞探照灯。

记完整句：小林拿漏洞探照灯扫服务器，发现旧版本组件、弱密码策略和一个 CVE 编号对应的已知漏洞。

翻回知识点就是：漏洞扫描用自动化工具探测已知弱点，帮助后续修复和复查。

6. 小白故事

小林上线新网站后，不知道哪里最容易被攻击。

他先让扫描器检查端口、版本、补丁、Web 目录和已知漏洞。

扫描器报告说：这里缺补丁，那里配置不安全，还有一个插件版本命中 CVE。

这份报告告诉他哪里有洞。

但它还没有证明攻击者能不能一路进后台、拿到客户资料；那通常要靠授权渗透测试来验证。

7. 回到考题

题目说 automated tools、known weaknesses、scheduled scanning、scanner report，先想 vulnerability scan。

题目说 Nessus、OpenVAS、SAINT，先想漏洞扫描工具。

题目说 Nikto、Web application vulnerability scan，先想 Web 漏洞扫描。

题目说 Heartbleed CVE-2014-0160，要检查扫描器是否有对应签名、插件或测试。

题目说工具只是发现开放端口，不一定识别漏洞，可能是 port scan，不要混。

题目说 validate remediation（验证修复）、missing patch（缺补丁）、regular scanning（定期扫描），也往漏洞扫描靠。

题目说在生产环境试新扫描工具，通常选 off-peak（业务低峰）或先控制范围，不要影响业务。

8. 别混

Vulnerability scan：自动找已知弱点。

Vulnerability assessment：把扫描和分析放进评估过程，形成修复路线。

Penetration testing：授权团队模拟攻击，验证能不能利用。

Risk assessment：看业务影响和优先级，不只是技术漏洞。

Audit：查控制和证据是否按要求执行。

记忆卡：Cost-Effective / 成本有效

Cost-effective 这张卡不能只背“便宜”。

小白先懂一句话：它问的是花的钱值不值，能不能用合理成本挡住主要风险。

1. 先懂一句话

Cost-effective = 成本有效。

Cost 是成本，effective 是有效。

它真正问的是：安全控制带来的保护效果，要配得上它花掉的钱、时间、人力和业务代价。

2. 真正要背什么

这张卡真正要背 6 件事。

组织预算不是无限的。
选择控制时，要看 lowest resource cost（较低资源成本）和 most significant protection（最大保护效果）。
控制成本不能超过被保护对象的价值。
成本有效不是最便宜，而是保护效果和成本平衡。
Cost-Benefit Analysis（成本效益分析）常用来给安全投入找量化理由。
如果法规或合同强制要求，不能只因为成本高就不做；成本有效是在可选方案里做权衡。

3. 关键词拆解

Cost：钱、人力、时间、维护成本、业务影响。

Benefit：减少的损失、降低的风险、合规或业务收益。

CBA：Cost-Benefit Analysis（成本效益分析）。

ALE：Annualized Loss Expectancy（年预期损失），常用来和控制成本比较。

4. 候选池

候选 1：铁算盘。

保留。它能记住“算账”，不是凭感觉买工具。

候选 2：最便宜按钮。

淘汰。最便宜可能挡不住风险。

候选 3：花小钱挡大坑。

保留作辅助。它有画面，但要记得不是所有坑都能靠小钱挡。

讨论结论：主钩子用“铁算盘”。安全控制要算保护价值、风险减少和资源成本。

5. 最终主记法

Cost-effective = 铁算盘。

记完整句：小林拿铁算盘算账：客户数据库值几十万，就值得加备份、加监控；普通宣传图册只值几百元，就不该用几十万元方案保护。

翻回知识点就是：安全控制要以合理资源成本提供足够保护，不能控制成本高过被保护对象价值。

6. 小白故事

小林想买一套昂贵安全设备。

供应商说功能很强，但一年费用比小林要保护的普通测试系统还贵。

这时他不能只问“安不安全”，还要问“值不值”。

如果控制成本超过被保护对象价值，考试里通常说 unwarranted（不合理、不值得）。

但如果客户数据库可能一年造成几十万损失，而一个几万元控制能显著降低风险，那就可能是成本有效。

7. 回到考题

题目说 most significant protection for lowest resource cost，先想 cost-effective。

题目说 control cost exceeds protected object value，通常是不合理。

题目说 Cost-Benefit Analysis（CBA）给新的安全计划提供什么，常看 quantifiable justification（可量化理由）。

题目说判断控制是否值得缓解漏洞，常比较 ALE（年预期损失）和 control cost（控制成本）。

题目说 most cost-effective DR site，还要结合 RTO / MTD，不是永远选最便宜冷站。

题目说 BIA（业务影响分析），重点是业务停摆影响和恢复优先级；题目说 CBA（成本效益分析），重点是投入值不值。

题目说 regardless of cost（不管成本），通常要警惕；CISSP 更偏业务合理、风险合理、成本合理。

8. 别混

Cost-effective：值不值，保护效果和成本平衡。

Cheapest：最便宜，不一定有效。

Maximum security：最强安全，不一定值得。

Compliance：合规底线，有些要求即使贵也必须满足。

Risk acceptance：风险接受，是业务层面决定是否承担剩余风险。

记忆卡：Procedure / 程序

Procedure 这张卡不能只背“流程”。

小白先懂一句话：它是照着做的操作单，一步一步告诉你怎么完成某个安全动作。

1. 先懂一句话

Procedure = 程序 / 流程。

它真正问的是：谁先做什么，下一步做什么，做完要记录什么。

2. 真正要背什么

这张卡真正要背 5 件事。

Procedure 是 step-by-step instructions（一步一步的操作说明）。
它把 policy（政策）和 standard（标准）落到具体执行动作。
Procedure 通常很具体，可以被员工照着执行。
程序可以用于开户、离职、备份、恢复、变更、事件响应等场景。
题目说 required to follow（必须遵守）且是详细动作，通常更像 procedure。

3. 关键词拆解

Policy：政策，高层原则，说“公司要什么”。

Standard：标准，强制要求，说“必须达到什么数值或规则”。

Procedure：程序，说“按什么步骤做”。

Guideline：指南，建议做法，说“最好怎么做”。

4. 候选池

候选 1：操作单。

保留。它最贴 step-by-step。

候选 2：公司口号。

淘汰。口号更像政策，不是程序。

候选 3：硬尺条。

淘汰到 standard。标准像尺子，程序像步骤单。

讨论结论：主钩子用“操作单”。看到 procedure，就想员工能照着一步一步做。

5. 最终主记法

Procedure = 操作单。

记完整句：小林给新客服开账号，不是凭感觉点按钮，而是照操作单：申请、主管审批、创建账号、分配权限、启用 MFA、记录工单。

翻回知识点就是：程序提供具体步骤，指导人员按一致方法执行安全任务。

6. 小白故事

公司政策说：员工账号必须安全。

标准说：密码至少 14 位，管理员必须 MFA，离职账号 24 小时内禁用。

但新人还是会问：我今天到底怎么做？

这时 procedure 出场。

它会写清楚：先填申请表，谁审批，谁开账号，开完怎么通知，最后日志怎么留。

没有程序，同一个要求到不同员工手里就会做成十种样子。

7. 回到考题

题目说 step-by-step instructions，先想 procedure。

题目问“具体怎么执行某个政策或标准”，先想 procedure。

题目说 policy、standard、procedure、guideline 放在一起，先分层级：政策定方向，标准定硬要求，程序定步骤，指南给建议。

题目问“必须达到什么具体要求”，不要选 procedure，可能是 standard。

题目说 minimum security configuration（最低安全配置），更像 baseline，不是 procedure。

题目说 high-level management intent（高层管理意图），更像 policy，不是 procedure。

8. 别混

Policy：为什么要做、原则是什么。

Standard：必须达到什么硬要求。

Procedure：一步一步怎么做。

Guideline：推荐怎么做，不一定强制。

Baseline：最低安全底线。

记忆卡：Security Governance / 安全治理

Security Governance 这张卡不能只背“管理安全”。

小白先懂一句话：它是公司高层给安全定方向、分责任、看风险、盯执行，让安全服务业务目标。

1. 先懂一句话

Security Governance = 安全治理。

Governance 不是每天配防火墙规则。

它真正问的是：谁在高层定义安全方向，谁批准风险，谁监督安全工作有没有和公司目标对齐。

2. 真正要背什么

这张卡真正要背 6 件事。

安全治理支持、评估、定义和指导组织安全工作。
理想情况下由 board of directors（董事会）或 governance committee（治理委员会）执行。
小组织可能由 CEO（首席执行官）或 CISO（首席信息安全官）承担治理活动。
治理要让安全流程、基础设施、风险和业务目标对齐。
治理题常先看责任、批准、监督、业务目标，而不是先选工具。
信息安全政策的重要作用之一，是支撑信息安全治理，让安全目标、责任和执行有依据。

3. 关键词拆解

Board of directors：董事会。

Governance committee：治理委员会。

Oversight：监督。

Alignment：对齐，让安全和业务目标一致。

Risk acceptance：风险接受，通常需要能承担业务后果的人批准。

Metrics and goals：度量和目标，用来让高层知道安全工作有没有朝正确方向走。

4. 候选池

候选 1：安全方向盘。

保留。方向盘决定往哪开，不是轮胎自己决定。

候选 2：工具箱。

淘汰。工具箱是具体控制，不是治理。

候选 3：老板驾驶舱。

保留作辅助。适合记高层监督和看仪表盘。

讨论结论：主钩子用“安全方向盘”。它能提醒小白：治理是定方向、分责任、监督对齐。

5. 最终主记法

Security Governance = 安全方向盘。

记完整句：小林公司不是让工程师自己想买什么就买什么，而是由高层握住安全方向盘，决定哪些风险要先管、钱花在哪里、谁对结果负责。

翻回知识点就是：安全治理通过高层支持、评估、定义和指导，让安全工作与组织目标和风险承受能力一致。

6. 小白故事

小林公司越做越大，有网店、仓库、支付、客服和供应商。

工程师知道怎么配防火墙，但他不能独自决定客户数据能承担多大风险，也不能独自决定停机一天公司能不能接受。

这些问题要由能承担业务后果的人来定方向。

董事会、治理委员会、CEO 或 CISO 要看风险、预算、合规、业务连续性和外部经验，然后决定安全目标和责任边界。

这样安全才不是各部门各干各的，而是服务公司整体目标。

7. 回到考题

题目说 board of directors、governance committee、CEO、CISO supports / evaluates / defines / directs security efforts，先想 security governance。

题目说 corporate governance、IT governance 和 security governance 互相关联，先想治理对齐。

题目问 first / priority（首先 / 优先）且是治理场景，通常先看范围、责任、高层支持、风险评估或业务目标，不要先跳到买工具。

题目说谁负责数据分类，常看 data owner（数据所有者），这属于治理责任链的一部分。

题目说 COBIT，通常是 IT governance framework（IT 治理框架），不要把 COBIT 当成单个技术控制。

题目说所有安全活动都应该只在安全部门内部完成，这是错误治理观；治理要跨业务、IT、风险、合规和高层责任。

题目问信息安全政策为什么重要，常看它如何支持 governance（治理）、明确责任和给控制提供依据。

8. 别混

Governance：定方向、定责任、监督、对齐业务。

Management：日常执行和管理安全活动。

Control：具体控制，比如防火墙、MFA、日志。

Audit：检查证据和控制是否执行。

COBIT：帮助做 IT 治理和控制目标的框架。

记忆卡：Policy / 安全政策

Policy 这张卡不能只背“政策”两个字。

小白先懂一句话：Policy 是公司贴在墙上的总规矩，先告诉所有人“安全这件事必须怎么对待”，但它不会把每一步操作都写成教程。

1. 先懂一句话

Policy = 安全政策。

它像公司老板签字的总规矩。

它告诉大家：哪些东西必须保护，谁要负责，违反了会怎样处理。

它不是教你“点哪个按钮、填哪张表、先找谁签字”。

那些一步一步怎么做的内容，才更像 procedure（程序）。

2. 真正要背什么

这张卡真正要背 5 件事。

Policy 是 high-level（高层级）的规则和方向。
它通常来自 management（管理层）的意图和授权。
它会定 scope（范围）、responsibility（责任）和 enforcement（执行要求）。
好的政策会写清楚不遵守会有什么 disciplinary action（纪律处分）。
它回答“公司要求什么”，不回答“每一步怎么操作”。

3. 关键词拆解

Policy：政策、总规则、管理层意图。

High-level：高层级，不是细节教程。

Management intent：管理层意图，意思是公司上面已经定了方向。

Enforcement：执行要求，不是写完放抽屉。

Disciplinary action：纪律处分，员工违反政策会有后果。

4. 候选池

候选 1：墙上的总规矩。

保留。小白能看见画面：墙上贴着老板签字的安全要求。

候选 2：操作说明书。

淘汰。操作说明书太像 procedure（程序），会把政策和步骤混掉。

候选 3：师傅建议。

淘汰。建议更像 guideline（指南），policy 通常是必须遵守。

讨论结论：主钩子用“墙上的总规矩”。它能提醒小白：政策先定方向、责任和后果，不负责写每一步操作。

5. 最终主记法

Policy = 墙上的总规矩。

记完整句：小林网店墙上贴着一张老板签字的安全政策，写着客户资料不能私自外发、管理员账号必须保护、违规要处理。

翻回知识点就是：policy 是高层级安全要求，用来给组织定方向、定责任、定执行后果。

6. 小白故事

小林网店开始只有三个人时，大家凭感觉做事。

后来客户多了，客服会导出客户名单，运营会碰订单数据，技术会开管理员账号。

如果老板只说“大家注意安全”，每个人理解都不一样。

于是公司先写 policy：客户资料属于敏感数据；没有业务需要不能导出；管理员账号必须单独保护；违反规则要处分。

这张纸不是教程。

它不是告诉客服鼠标点哪里。

它先告诉所有人：公司在安全上立了哪些硬规矩。

7. 回到考题

题目说 security policy（安全政策），先想“公司总规矩”。

题目说 high-level management intent（高层管理意图），先想 policy。

题目说 scope（范围）、assets（资产）、protection extent（保护到什么程度），也常在问 policy 先把保护范围和责任划出来。

题目说 senior management endorsement（高层背书）或 first step in security program（安全计划第一步），优先看有没有公司级安全政策声明。

题目问哪个文件应该包含 disciplinary measures（纪律处分措施），常看 policy。

题目说员工需要理解公司 policies and procedures（政策和程序），policy 管要求，procedure 管步骤。

题目问 session timeout（会话超时）这类组织要求由谁决定，可能会指向 policy 或 standard，要看题干是在问“总要求”还是“具体数值”。

8. 别混

Policy：公司要求什么，为什么这么要求。

Standard：必须达到什么具体硬指标。

Procedure：一步一步怎么做。

Guideline：建议怎么做，不一定强制。

Baseline：最低安全配置线。

记忆卡：Guideline / 指南

Guideline 这张卡不能只背“指南”两个字。

小白先懂一句话：Guideline 是师傅给你的推荐走法，最好照着做，但它通常不像 policy 或 standard 那样硬性强制。

1. 先懂一句话

Guideline = 指南。

它像老员工给新人的贴士。

它会说：这种情况建议这样做，这样更稳、更省事、更符合好习惯。

但它一般不是“你必须这么做，否则处分”。

2. 真正要背什么

这张卡真正要背 4 件事。

Guideline 通常是 recommendation（建议）。
它帮助你选择更好的做法，但不是最硬的命令。
它常和 best practice（最佳实践）一起出现。
题目要你分 policy、standard、procedure、guideline 时，guideline 最像“推荐路线”。

3. 关键词拆解

Guideline：指南、建议路线。

Recommendation：建议，不是硬性命令。

Best practice：最佳实践，别人总结过的好做法。

Should：应该做，语气比 must（必须）弱。

4. 候选池

候选 1：师傅建议贴士。

保留。它有“建议”味道，不会误导成强制命令。

候选 2：公司铁律。

淘汰。铁律更像 policy 或 standard。

候选 3：流程清单。

淘汰。流程清单更像 procedure。

讨论结论：主钩子用“师傅建议贴士”。小白看到 guideline，就先想“推荐做法”，不要直接当成必须项。

5. 最终主记法

Guideline = 师傅建议贴士。

记完整句：师傅在电脑旁贴了一张小纸条，提醒新人用密码管理器、别把权限一次开太大、上线前最好再让同事看一遍。

翻回知识点就是：guideline 是推荐性指导，帮助人做得更好，但通常不是硬性强制要求。

6. 小白故事

小林网店要给客服开新账号。

Policy 已经说：账号必须安全。

Standard 已经说：密码至少多少位、是否必须 MFA。

Procedure 会写：谁申请、谁审批、谁开通。

Guideline 站在旁边提醒：如果新人还不熟，先给最小权限；如果要临时提权，最好写清楚到期时间；如果遇到不确定的请求，先问主管。

它不是给你套铁链。

它是让你少走弯路。

7. 回到考题

题目说 recommended（推荐的）、best practice（最佳实践）、should（应该），先想 guideline。

题目问“哪种文档提供建议但不强制”，先想 guideline。

题目说 flexible（灵活）、suggested actions（建议动作）、operational guide（操作指导但可调整），也更像 guideline。

题目说 mandatory（强制）、must（必须）、shall（必须），不要急着选 guideline，更可能是 policy 或 standard。

题目说 step-by-step（一步一步），不要选 guideline，先想 procedure。

8. 别混

Guideline：建议路线。

Policy：总规矩。

Standard：硬指标。

Procedure：具体步骤。

Baseline：最低配置。

记忆卡：Security Boundary / Perimeter / 安全边界

Security Boundary 这张卡不能只背“边界”。

小白先懂一句话：边界是公司安全责任和信任范围的分界线，过了这条线，就要接受检查、认证或限制。

1. 先懂一句话

Security Boundary = 安全边界。

Perimeter = 周界、外围边界。

它可以是现实里的墙、门、园区围栏。

也可以是网络里的内网和互联网分界、数据库区和办公区分界、云服务和公司系统分界。

边界不是一定等于一台防火墙。

防火墙只是边界上常见的一种门卫。

2. 真正要背什么

这张卡真正要背 5 件事。

Boundary 是信任和责任的分界线。
Physical perimeter（物理周界）可以是墙、楼、门禁、围栏。
Logical boundary（逻辑边界）可以是网络接口、子网、DMZ、云边界。
Warning signs（警告标识）可以告诉未授权人员不得进入，否则可能被追责。
题目看到“哪里开始属于组织控制范围”，就要想到边界。

3. 关键词拆解

Boundary：边界、分界线。

Perimeter：周界，通常更像外围那一圈。

Control begins：控制从哪里开始。

Trust boundary：信任边界，意思是这边可信度更高，那边要先检查。

Warning sign：警告标识，告诉别人这里不是随便进的地方。

4. 候选池

候选 1：公司院墙和门。

保留。院墙代表边界，门代表检查点。

候选 2：一台防火墙。

淘汰。防火墙是边界上的控制，不是所有边界本身。

候选 3：地图上的红线。

保留作辅助。红线能提醒“责任到哪里为止”。

讨论结论：主钩子用“公司院墙和门”。它能同时记住物理边界和逻辑边界：墙是范围，门是检查。

5. 最终主记法

Security Boundary / Perimeter = 公司院墙和门。

记完整句：小林网店把互联网挡在院墙外，把办公网、服务器区、数据库区画成不同院子，每个门口都有人查身份、查权限、查日志。

翻回知识点就是：security boundary 是组织控制、信任和访问限制的分界线。

6. 小白故事

小林以前把所有系统都放在一起。

客服电脑、收款服务器、数据库、测试机器，像一个没有门的仓库。

外人只要从一个入口进来，就可能到处走。

后来他画了边界：公司大门外是互联网；办公区只能处理日常工作；服务器区必须管理员进入；数据库区只允许系统访问。

门口还贴了 warning sign：未授权访问会被追责。

这时安全边界就清楚了。

不是“买了防火墙就有边界”。

而是先知道哪一圈归公司保护，哪一道门需要检查。

7. 回到考题

题目说 perimeter（周界）、boundary（边界）、fence（围栏）、wall（墙）、building（建筑）、campus（园区），先想安全边界。

题目说 warning signs（警告标识）和 prosecution（起诉/追责），常在讲物理周界控制。

题目说 LAN to Internet（内网到互联网）或 trust boundary（信任边界），先想逻辑边界。

题目说 high security area / low security area（高安全区 / 低安全区）或 control flow across boundary（控制跨边界流动），先想边界两边的安全需求不同。

题目问 first（首先）怎么保护一个新系统，不要只盯工具，先想资产在哪、边界在哪、谁能跨边界。

8. 别混

Boundary：分界线。

Firewall：边界上的门卫。

DMZ：放在内外之间的缓冲区。

Network segmentation：把网络切成不同区域。

Access control：决定谁能过门。

TCB / security kernel / reference monitor：更偏系统内部可信计算基和访问裁决机制，不是普通题里说的公司边界。

记忆卡：Legally Defensible / 法律可辩护

Legally Defensible 这张卡不能只背“合法”。

小白先懂一句话：它问的是公司做了某个安全动作以后，拿到法庭、监管、审计面前能不能说得清、站得住。

1. 先懂一句话

Legally Defensible = 法律可辩护。

它不是一句“我觉得我没错”。

它需要依据：有法律、有政策、有授权、有记录、有一致执行。

如果公司查日志、封账号、处理员工、保存证据，却拿不出依据，就容易被说成随意、过度或不公平。

2. 真正要背什么

这张卡真正要背 5 件事。

Legally defensible 强调能在法律或监管场景下站住脚。
做安全动作前要有 policy（政策）和 authorization（授权）。
做动作时要有 documentation（记录）和 evidence（证据）。
执行要 consistent（一致），不能今天严、明天松、只针对某个人。
做不好可能带来 fines（罚款）、penalties（处罚）或 negligence（疏忽责任）。

3. 关键词拆解

Legally：法律上。

Defensible：能辩护、能解释、能证明自己有依据。

Authorization：授权，别人允许你做。

Documentation：记录，把过程留下来。

Negligence：疏忽，意思是本该做合理保护却没做。

4. 候选池

候选 1：法庭文件夹。

保留。画面清楚：所有依据和记录都放进文件夹。

候选 2：我觉得没事。

淘汰。这正好是反面，法庭不看感觉。

候选 3：律师护身符。

淘汰。太像只靠律师，容易忘掉证据、政策和一致执行。

讨论结论：主钩子用“法庭文件夹”。它能提醒小白：法律可辩护不是口号，是能拿出证据链。

5. 最终主记法

Legally Defensible = 法庭文件夹。

记完整句：小林要查员工是否违规导出客户资料，他先看公司政策、确认授权、只查相关日志、记录每一步，最后把证据放进法庭文件夹。

翻回知识点就是：安全动作要有法律、政策、授权和记录支撑，才能法律可辩护。

6. 小白故事

小林发现客户资料可能被员工私自导出。

如果他直接翻员工所有私人文件、随便公开处罚，事情可能变成公司自己违规。

正确做法是先看 policy 有没有说明公司可以监控工作系统。

再看谁有权批准调查。

调查时只看和事件有关的日志。

每一步都记录时间、人员、理由和结果。

这样以后员工质疑、监管询问、法庭追问，公司才不是空口说白话。

7. 回到考题

题目说 legally defensible（法律可辩护），先想“有依据、有授权、有记录、执行一致”。

题目说 fines（罚款）、penalties（处罚）、negligence（疏忽责任），要想到法律风险。

题目问怎样让调查、监控或处罚站得住，常看 policy、authorization、documentation。

题目说 evidence（证据）和 court（法庭），不要只想技术工具，也要想程序和记录。

8. 别混

Legal compliance：符合法律法规。

Legally defensible：被追问时能拿出依据解释。

Due care：持续做合理保护。

Due diligence：行动前认真调查。

Chain of custody：证据交接链，保证证据没被乱动。

记忆卡：Due Care / 应尽注意

Due Care 这张卡不能只背“注意”。

小白先懂一句话：Due Care 是你明知道应该保护，就真的按合理人的标准持续把该做的保护做起来。

1. 先懂一句话

Due Care = 应尽注意，也常译成应尽关注。

它像开车上路。

你不能只说“我研究过交通规则”，然后不看路、不踩刹车。

你要在实际行驶中保持合理谨慎。

安全里也是一样：知道风险以后，要持续做合理保护。

2. 真正要背什么

这张卡真正要背 4 件事。

Due care 是 ongoing care（持续注意），强调执行中保持合理谨慎。
它常和 reasonable person（合理人）标准有关。
如果本来应该做保护却没做，可能构成 negligence（疏忽）。
它和 due diligence（尽职调查）相邻，但不是同一个词。

3. 关键词拆解

Due：应该、应当。

Care：注意、照看、谨慎执行。

Reasonable person：合理人，意思是普通谨慎的人在同样情况下会怎么做。

Negligence：疏忽，本来该做却没做。

4. 候选池

候选 1：谨慎开车。

保留。开车能记住“持续注意”，不是只看一眼地图。

候选 2：开会研究。

淘汰。开会研究更像 due diligence（尽职调查）。

候选 3：每天检查备份灯。

保留作辅助。它很具体，能记住“该做就真的做”。

讨论结论：主钩子用“谨慎开车”。辅助钩子用“每天检查备份灯”，把抽象的 care 落到日常动作。

5. 最终主记法

Due Care = 谨慎开车，持续看路。

记完整句：小林不只是写了备份制度，还每天确认备份成功、告警有人处理、权限异常有人跟进，这叫应尽注意。

翻回知识点就是：due care 是持续执行合理保护，避免因为没有尽到合理注意而变成疏忽。

6. 小白故事

小林听说数据库可能坏。

他先调查备份方案，这一步像 due diligence。

调查完以后，他决定每天备份。

但如果备份任务天天失败，没人看日志，恢复也从没测试，那就不是 due care。

真正的 due care 是：备份要跑，失败要告警，告警要有人处理，恢复要测过。

它不是漂亮文件。

它是实际把该照看的地方照看住。

7. 回到考题

题目说 due care（应尽注意），先想“持续合理谨慎地做保护”。

题目说 reasonable person standard（合理人标准），先想 due care。

题目说 reasonable measures（合理措施）、continual effort（持续努力）、do the right action at the right time（在正确时间做正确动作），也偏 due care。

题目说 negligence（疏忽），常常是在问有没有尽到 due care。

题目问 before making a decision（做决定前）做研究，更像 due diligence。

题目问 after knowing the risk（知道风险后）怎样持续保护，更像 due care。

8. 别混

Due diligence：先调查、先研究、先搞清楚。

Due care：知道后持续认真做。

Policy：写下公司要求。

Procedure：写具体步骤。

Audit：事后检查有没有做。

记忆卡：DAD / 泄露、篡改、毁坏

DAD 这张卡不能只背三个英文单词。

小白先懂一句话：DAD 是 CIA 受伤后的反面清单，告诉你安全坏事通常坏在“被看见、被改坏、用不了”。

1. 先懂一句话

DAD = Disclosure / Alteration / Destruction。

Disclosure = 泄露，不该看的人看见了。

Alteration = 篡改，内容被改坏了。

Destruction = 毁坏，东西被毁掉或用不了了。

它和 CIA 正好对着看。

Confidentiality（机密性）怕 Disclosure（泄露）。

Integrity（完整性）怕 Alteration（篡改）。

Availability（可用性）怕 Destruction（毁坏）。

2. 真正要背什么

这张卡真正要背 3 组对应关系。

Disclosure 伤机密性：秘密被看见。
Alteration 伤完整性：内容被改坏。
Destruction 伤可用性：东西坏了或用不了。

3. 关键词拆解

Disclosure：泄露、披露。

Alteration：改变、篡改。

Destruction：破坏、毁坏。

CIA：机密性、完整性、可用性。

DAD：三种坏事，不是三个安全目标。

4. 候选池

候选 1：漏、改、毁三坏事。

保留。最短，也最贴题。

候选 2：坏爸爸。

淘汰。虽然 DAD 像 dad，但容易把注意力带偏，记不住三件坏事。

候选 3：泄密、篡改、停机。

保留作辅助。它更像中文题干信号。

讨论结论：主钩子用“漏、改、毁三坏事”。小白先抓坏事，再回到 CIA 对应的安全目标。

5. 最终主记法

DAD = 漏、改、毁三坏事。

记完整句：客户名单漏出去，订单金额被改掉，服务器数据被毁掉，这三件坏事就是 DAD。

翻回知识点就是：DAD 是 CIA 失败后的反面结果。

6. 小白故事

小林早上打开后台，发现三张报警单。

第一张：客户名单被外人下载了。

这是 Disclosure，秘密漏了，机密性受伤。

第二张：订单金额从 1000 元变成 10 元。

这是 Alteration，内容被改坏，完整性受伤。

第三张：数据库文件被删，系统打不开。

这是 Destruction，业务用不了，可用性受伤。

所以 DAD 不用神秘化。

它就是三类坏事的反面镜子。

7. 回到考题

题目说 disclosure（泄露/披露），先想 confidentiality（机密性）被伤。

题目说 alteration（更改/篡改），先想 integrity（完整性）被伤。

题目说 destruction（毁坏/破坏/删掉），先想 availability（可用性）被伤。

题目问 DAD 和 CIA 的关系，答 DAD 是 CIA 被破坏后的反面结果。

题目同时出现 STRIDE 时别串台：STRIDE 里的 D 常是 Denial of Service（拒绝服务），I 是 Information Disclosure（信息泄露）；DAD 是另一套“CIA 失败结果”。

8. 别混

CIA：安全想保护的目标。

DAD：目标失败后的坏结果。

Disclosure 不是审计公开报告那种正常披露，这里通常指不该看的信息被看见。

Destruction 重点是导致资源不可用，不要只理解成“机器外观被砸坏”。

记忆卡：AAA / 认证、授权、记账

AAA 这张卡不能只背“三个 A”。

小白先懂一句话：AAA 是身份系统的进门流程，先证明你是谁，再决定你能做什么，最后把你做过什么留下账。

1. 先懂一句话

AAA 常见全称是 Authentication / Authorization / Accounting。

Authentication = 认证，证明你真是你。

Authorization = 授权，决定你能做什么。

Accounting = 记账，记录你用了什么资源、做了什么动作。

在 CISSP 的身份管理语境里，还经常把 Identification（识别）和 Auditing（审计）一起讲。

所以小白不要只记三个词，要记完整进门顺序。

2. 真正要背什么

这张卡真正要背 5 步。

Identification（识别）：你先报出自己是谁。
Authentication（认证）：系统验证你是不是真的。
Authorization（授权）：系统决定你能进哪里、能做什么。
Auditing（审计）：系统检查和追踪行为。
Accounting（记账）：系统记录资源使用和操作账。

3. 关键词拆解

Identify：报名字，说“我是小林”。

Authenticate：验真假，输密码、刷令牌、过 MFA。

Authorize：给权限，能看订单还是能退款。

Audit：审计检查，事后能追。

Account：记账记录，留下谁做了什么。

4. 候选池

候选 1：进门五步。

保留。它能把识别、认证、授权、审计、记账串起来。

候选 2：登录成功。

淘汰。登录成功只到认证，不等于授权所有动作。

候选 3：门禁账本。

保留作辅助。门禁负责过门，账本负责留下记录。

讨论结论：主钩子用“进门五步”。它能提醒小白不要把认证和授权揉成一团。

5. 最终主记法

AAA = 进门五步。

记完整句：员工先报工号，门口验指纹，系统看他能不能进退款页面，摄像头和日志审计动作，最后账本记下他几点做了什么。

翻回知识点就是：AAA 管身份访问过程，核心是认证、授权、记账，考试里还要能分清识别和审计。

6. 小白故事

小林网店新客服要处理订单。

第一步，他输入账号。

这只是 Identification：他说自己是谁。

第二步，他输入密码和 MFA。

这才是 Authentication：系统确认他真是这个账号的人。

第三步，他想点退款按钮。

系统发现他只是普通客服，不能退款。

这就是 Authorization：登录成功不代表什么都能做。

第四步和第五步，系统把他的查询、失败退款尝试、登录时间都记进日志。

这让以后能审计，也能追责。

7. 回到考题

题目说 user claims an identity（用户声称身份），先想 identification。

题目说 password、token、biometric、MFA（密码、令牌、生物特征、多因素），先想 authentication。

题目说 what actions are allowed（允许做什么），先想 authorization。

题目说 log, trail, review（日志、轨迹、复核），先想 auditing。

题目说 accounting（记账）或 resource usage（资源使用记录），先想留下账。

题目出现 RADIUS 或 TACACS+ 时，常常在问集中式 AAA 服务：谁认证、谁授权、谁记账。

8. 别混

Identification：我说我是谁。

Authentication：证明我真是我。

Authorization：我能做什么。

Auditing：检查行为证据。

Accounting：记下资源使用和操作账。

记忆卡：SLE / ALE / ARO / 风险损失计算

SLE、ALE、ARO 这张卡不能只背公式。

小白先懂一句话：这组三个词是在帮公司算一笔风险账：一次事故损多少，一年大概来几次，一年总共可能亏多少。

1. 先懂一句话

SLE = Single Loss Expectancy，单次损失期望。

ARO = Annualized Rate of Occurrence，年发生率。

ALE = Annualized Loss Expectancy，年度损失期望。

先算一次事故亏多少，再估一年发生几次，最后乘起来得到一年风险损失。

2. 真正要背什么

这张卡真正要背 4 件事。

AV = Asset Value（资产价值），资产值多少钱。
EF = Exposure Factor（暴露因子），一次事故损失资产的比例。
SLE = AV x EF，单次事故损失。
ALE = SLE x ARO，年度预期损失。

3. 关键词拆解

Single：单次。

Annualized：按年度算。

Rate：发生频率。

Expectancy：期望值，不是保证一定发生。

Cost-effective：成本有效，常用 ALE 来判断安全控制值不值。

4. 候选池

候选 1：一次损、年次数、年总账。

保留。它直接对应 SLE、ARO、ALE。

候选 2：三个神秘公式。

淘汰。小白会背公式但不知道题目在问什么。

候选 3：小林风险账本。

保留作故事钩子。账本能把金额和次数串起来。

讨论结论：主钩子用“一次损、年次数、年总账”。这比硬背缩写更容易回到题目计算。

5. 最终主记法

SLE / ARO / ALE = 一次损、年次数、年总账。

记完整句：一台服务器值 10 万，一次火灾可能损失 40%，单次损失就是 4 万；如果一年大概 0.5 次，年度损失就是 2 万。

翻回知识点就是：SLE = AV x EF，ALE = SLE x ARO。

6. 小白故事

小林要不要花钱买新的备份方案。

他不能只说“我害怕火灾”。

他要算账。

服务器和数据值 100000 元。

一次火灾大概毁掉 40%。

所以 SLE 是 40000 元。

这种事故不是每年必来，估计两年一次，ARO 就是 0.5。

年度损失 ALE = 40000 x 0.5 = 20000 元。

如果控制每年花 5000 元，还能明显降低损失，可能值得。

如果控制每年花 80000 元，只防一个每年期望损失 20000 元的风险，就要重新考虑 cost-effective（成本有效）。

7. 回到考题

题目问 single loss expectancy（单次损失期望），找一次事故损多少。

题目问 annualized rate of occurrence（年发生率），找一年发生几次。

题目问 annualized loss expectancy（年度损失期望），用 SLE x ARO。

题目给 asset value（资产价值）和 exposure factor（损失比例），先算 SLE。

题目说 100-year flood（百年一遇洪水），不要理解成每 100 年必来一次；考试里常把它当 ARO = 0.01，也就是一年 1% 的发生率。

题目问控制是否 cost-effective（成本有效），比较控制成本和降低的 ALE。

题目问定量风险分析，看到金额和频率才用 SLE / ARO / ALE；题目问业务最多停多久，更像 MTD / RTO / RPO。

8. 别混

AV：资产总价值。

EF：一次事故损失比例。

SLE：一次事故损失金额。

ARO：一年发生频率。

ALE：一年预期损失金额。

记忆卡：PKI / 公钥基础设施

PKI 这张卡不能只背“公钥基础设施”。

小白先懂一句话：PKI 是网上的证件和公证体系，用证书把“这个公钥属于谁”说清楚。

1. 先懂一句话

PKI = Public Key Infrastructure，公钥基础设施。

它不是单个加密算法。

它是一整套信任体系。

网站说“这是我的公钥”，浏览器不能直接相信。

PKI 用 certificate（证书）、CA（证书颁发机构）、RA（注册机构）、CRL/OCSP（吊销检查）这些东西，帮你判断这个公钥到底靠不靠谱。

2. 真正要背什么

这张卡真正要背 5 件事。

PKI 把 public key（公钥）和 identity（身份）绑定起来。
Certificate（证书）像网上身份证。
CA 负责签发和签名证书。
RA 负责核验申请者身份。
CRL / OCSP 用来检查证书有没有被吊销。

3. 关键词拆解

Public key：公钥，可以公开给别人用。

Private key：私钥，只能自己保管。

Certificate：证书，里面有身份、公钥和签名等信息。

Trust chain：信任链，从网站证书一路信到受信任的 CA。

Revocation：吊销，证书不再可信。

4. 候选池

候选 1：网上公证处。

保留。它能记住“帮别人证明身份和公钥关系”。

候选 2：加密算法盒子。

淘汰。PKI 不是算法名。

候选 3：证书身份证体系。

保留作辅助。它能把证书、身份、公钥绑在一起。

讨论结论：主钩子用“网上公证处”。小白看到 PKI，不要只想加密，要想信任体系。

5. 最终主记法

PKI = 网上公证处。

记完整句：浏览器不直接相信网站递过来的公钥，而是去看证书、签发者、信任链和吊销状态，确认这个公钥真的属于这个网站。

翻回知识点就是：PKI 用证书体系把身份和公钥绑定起来，建立可信通信。

6. 小白故事

小林网店上线 HTTPS。

客户浏览器访问网站时，网站会拿出一张证书。

证书里写着：这个域名是谁，这个网站的公钥是什么，谁给它签了名。

浏览器再看：签名的 CA 我信不信？证书过期没有？有没有被吊销？

如果这些都过关，浏览器才放心用这个公钥继续建立安全连接。

这就是 PKI 的价值。

它不是让你凭感觉相信网站。

它是用一套证书、签名和检查机制把信任搭起来。

7. 回到考题

题目说 PKI（公钥基础设施），先想“证书信任体系”。

题目说 bind public key to identity（把公钥和身份绑定），先想 certificate 和 PKI。

题目说 trust chain（信任链），先想 PKI。

题目说 revocation（吊销）、CRL、OCSP，先想证书是否还有效。

题目说 IKE（互联网密钥交换），更偏 IPsec 协商，不是 PKI 的组成部分。

题目说 TPM（可信平台模块），更像硬件里保护密钥，不等于 PKI。

题目说 pre-shared key / PSK（预共享密钥），是双方提前共享秘密，不等于证书信任链。

题目问 encryption algorithm（加密算法），不要直接选 PKI；PKI 是体系，不是 AES 这种算法。

8. 别混

PKI：信任体系。

Certificate：证书，绑定身份和公钥。

CA：签发证书。

RA：核验身份。

TLS / HTTPS：使用证书建立安全连接的协议场景。

记忆卡：CA / RA / Certificate / 证书链三件套

CA、RA、Certificate 这张卡不能分开死背。

小白先懂一句话：RA 负责验人，CA 负责盖章签发，Certificate 是最后拿到手的网上证件。

1. 先懂一句话

CA = Certificate Authority，证书颁发机构。

RA = Registration Authority，注册机构。

Certificate = 证书。

把它们放在办证大厅里看最清楚。

RA 像窗口工作人员，先核验你是不是真的有资格办证。

CA 像盖章机关，确认无误后签发证书。

Certificate 像证件本身，上面写着身份和公钥。

2. 真正要背什么

这张卡真正要背 4 件事。

RA verifies identity（核验身份）。
CA issues / signs certificates（签发/签名证书）。
Certificate binds identity to public key（证书把身份和公钥绑在一起）。
CRL / OCSP check revocation（检查证书是否被吊销）。

3. 关键词拆解

Certificate Authority：证书颁发机构，重点是 authority（权威机构）。

Registration Authority：注册机构，重点是 registration（注册和身份核验）。

Certificate：证书，不是私钥。

Issue：签发。

Sign：签名，用 CA 的签名证明证书可信。

4. 候选池

候选 1：验人、盖章、证件。

保留。三个动作正好对应 RA、CA、Certificate。

候选 2：CA 全都负责。

淘汰。这样会漏掉 RA 的身份核验角色。

候选 3：证书就是钥匙。

淘汰。证书里有公钥和身份信息，但证书不是私钥。

讨论结论：主钩子用“验人、盖章、证件”。它能防止小白把 RA、CA 和 Certificate 混成一团。

5. 最终主记法

CA / RA / Certificate = 验人、盖章、证件。

记完整句：小林给网站办证书，RA 先检查这个域名确实归小林网店，CA 再盖章签发证书，浏览器看到证书后知道这个公钥属于这个网站。

翻回知识点就是：RA 核验身份，CA 签发证书，证书绑定身份和公钥。

6. 小白故事

小林想给网店办一张 HTTPS 证书。

他不能随便写“我是某大银行”就拿到证书。

第一步，RA 要核验申请者身份，确认域名、组织或申请信息是真的。

第二步，CA 根据核验结果签发证书，并用自己的 private key（私钥）给证书签名。

第三步，网站把证书交给浏览器。

浏览器看见证书，会用 CA public key（CA 公钥）验证这个签名。

验证通过后，浏览器才知道：这个公钥不是路边捡来的，它和这个网站身份有绑定关系。

如果以后证书泄露、过期或不该继续信任，还要通过 CRL 或 OCSP 检查吊销状态。

7. 回到考题

题目问 who issues certificates（谁签发证书），先选 CA。

题目问 who verifies identity before issuing（签发前谁核验身份），先选 RA。

题目问 what binds public key to identity（什么把公钥和身份绑定），先选 certificate。

题目问 CA 用什么签名证书，答案是 CA private key（CA 私钥）。

题目问浏览器用什么验证证书签名，答案是 CA public key（CA 公钥）。

题目问 revoked certificate（吊销证书）怎么查，先看 CRL 或 OCSP。

题目问 CRL 和 OCSP 区别：CRL 像下载一张吊销名单，OCSP 像实时问“这张证书现在还有效吗”。

题目说 private key（私钥）要保护，不要选 certificate；证书不是私钥本身。

题目说 CA 保存用户私钥，通常是错的；用户私钥应由用户自己保护。

8. 别混

RA：验人，不负责最终签名签发。

CA：盖章签发，用自己的权威签名证明证书可信。

Certificate：证件，绑定身份和公钥。

Private key：私钥，不能公开，不能交给别人。

CRL / OCSP：查证书有没有被吊销。

记忆卡：SAML / 安全断言标记语言

SAML 这张卡不能只背“SSO 协议”。

小白先懂一句话：SAML 像一张跨公司通行单，你先在自己公司验身份，自己公司盖章说“这个人是真的”，合作系统看见这张断言再放你进去。

1. 先懂一句话

SAML = Security Assertion Markup Language，安全断言标记语言。

Assertion = 断言。

断言不是普通聊天里的“我觉得”。

在这里，它是一份由 IdP（Identity Provider，身份提供方）签出来的身份声明。

SP（Service Provider，服务提供方）收到以后，不必自己重新验证你的密码，而是相信 IdP 的声明。

2. 真正要背什么

这张卡真正要背 5 件事。

SAML 常用于 federation（联邦身份）和 browser-based SSO（基于浏览器的单点登录）。
IdP 负责认证用户，证明“这个人是谁”。
SP 提供业务系统，比如 SaaS、报销系统、合作伙伴门户。
SAML assertion（SAML 断言）把身份信息交给 SP。
SAML 用 XML（可扩展标记语言）格式表达这些断言。

3. 关键词拆解

Federation：联邦身份，意思是跨组织信任身份。

Assertion：断言，带签名的身份声明。

IdP：身份提供方，负责先验人。

SP：服务提供方，负责提供系统。

Browser-based SSO：浏览器里跳转完成单点登录。

4. 候选池

候选 1：盖章通行单。

保留。它能记住“先验身份，再把声明递给另一个系统”。

候选 2：万能钥匙。

淘汰。SAML 不是把所有门都开掉，也不是直接给你资源权限。

候选 3：跨公司门票。

保留作辅助。它能记住 federation（联邦身份）这个跨组织场景。

讨论结论：主钩子用“盖章通行单”。小白看到 SAML，要先想 IdP 给 SP 递身份断言。

5. 最终主记法

SAML = 盖章通行单。

记完整句：小林员工要进合作公司的 SaaS 系统，先回自己公司 IdP 验身份，IdP 给他一张带章的 SAML 通行单，SaaS 作为 SP 看见通行单后放行。

翻回知识点就是：SAML 用身份断言实现跨域、跨组织的 Web SSO。

6. 小白故事

小林公司买了一个云报销系统。

云报销系统不想保存小林公司每个员工的密码。

员工访问报销系统时，浏览器被带回小林公司的登录页。

小林公司确认员工身份后，发出一份 SAML assertion。

这份断言像盖章通行单，告诉报销系统：这个人是谁，来自哪个组织，可能还有部门或角色声明。

报销系统相信小林公司的 IdP，于是让员工进入。

整个重点不是“用户少输一次密码”这么简单。

重点是两个系统之间建立了身份信任。

7. 回到考题

题目说 federation（联邦身份）、assertion（断言）、IdP（身份提供方）、SP（服务提供方），先想 SAML。

题目说 browser-based SSO（基于浏览器的单点登录）和 XML（可扩展标记语言），也常指 SAML。

题目问跨公司访问 SaaS 的 SSO，优先看 SAML。

题目说“我是谁”的身份声明，偏 SAML；题目说“授权第三方访问资源”，偏 OAuth。

8. 别混

SAML：身份断言，常用于企业联邦 SSO。

SSO：一次登录访问多个系统的体验或架构目标。

OAuth：委托授权，重点是让第三方应用访问资源。

OIDC：在 OAuth 2.0 上加身份认证层。

记忆卡：OAuth / OIDC / 委托授权与身份认证层

OAuth 和 OIDC 这张卡最容易讲错。

小白先懂一句话：OAuth 像给别人一张“代取钥匙”，只允许它替你取某些东西；OIDC 是在这套授权流程上再加一张身份证，证明登录的人是谁。

1. 先懂一句话

OAuth = 授权别人代表你访问资源。

它主要解决 delegated authorization（委托授权）。

比如你让照片打印店访问你的云相册。

你不该把云相册密码告诉打印店。

OAuth 会给打印店一张 access token（访问令牌），只允许它读取照片。

OIDC = OpenID Connect。

它是在 OAuth 2.0 上加的 authentication layer（认证层），用来证明用户身份。

2. 真正要背什么

这张卡真正要背 5 件事。

OAuth 主要是 authorization（授权），不是 authentication（认证）。
Access token（访问令牌）让第三方应用访问资源。
第三方应用不需要拿到用户密码。
OIDC 在 OAuth 2.0 上增加身份认证。
OIDC 常见关键词是 ID token（身份令牌）和 JWT（JSON Web Token）。

3. 关键词拆解

Delegated authorization：委托授权，我允许你替我访问一部分资源。

Access token：访问令牌，拿着它能访问指定资源。

Third-party app：第三方应用，不是资源主人。

ID token：身份令牌，证明用户是谁。

JWT：一种常见令牌格式。

4. 候选池

候选 1：代取钥匙。

保留。OAuth 的核心就是“你替我拿东西，但不能拿我的主密码”。

候选 2：登录证。

淘汰。OAuth 本身不是登录认证，容易误导。

候选 3：顺便验身份证。

保留给 OIDC。OIDC 正是把“验身份”补上。

讨论结论：主钩子拆成两句：OAuth 是代取钥匙，OIDC 是顺便验身份证。

5. 最终主记法

OAuth = 代取钥匙。

OIDC = 在代取钥匙流程里顺便验身份证。

记完整句：小林授权打印店读取云相册，不给密码，只给一张访问令牌，这是 OAuth；如果系统还要确认正在登录的人就是小林，就加 OIDC。

翻回知识点就是：OAuth 解决委托授权，OIDC 在 OAuth 2.0 上解决身份认证。

6. 小白故事

小林想把云相册里的商品图发给打印店。

最危险的办法是把云相册账号密码给打印店。

这样打印店不只可以下载商品图，还可能删照片、改资料、长期登录。

OAuth 的做法更像授权单：只允许打印店读取某个相册，过期就不能用。

这张授权单就是 access token。

但 OAuth 只回答“这个应用能不能访问这些照片”。

如果另一个系统还问“当前这个用户到底是不是小林”，就需要 OIDC 给出 ID token。

7. 回到考题

题目说 delegated authorization（委托授权）、access token（访问令牌）、API access（API 访问）、third-party app（第三方应用），先想 OAuth。

题目说“不暴露用户密码，让第三方应用访问资源”，先想 OAuth。

题目说 OpenID Connect、ID token（身份令牌）、authentication layer（认证层），先想 OIDC。

题目说“基于 OAuth 2.0 做 authentication / identity（认证 / 身份）”，选 OIDC。

题目问“谁是谁”的身份断言，如果出现 SAML / XML / IdP / SP，可能是 SAML，不要硬选 OAuth。

8. 别混

OAuth：授权第三方访问资源。

OIDC：在 OAuth 上确认用户身份。

SAML：用断言做联邦身份和企业 SSO。

Password sharing：把密码给第三方，这是坏做法。

记忆卡：SSO / 单点登录

SSO 这张卡不能只背“一次登录”。

小白先懂一句话：SSO 是一种登录体验和身份架构，用户登录一次，多个系统都认这次登录；实现它的工具可以是 SAML、OIDC、Kerberos 等。

1. 先懂一句话

SSO = Single Sign-On，单点登录。

它不是某一个协议名。

它描述的是用户体验：一次登录，多处通行。

比如小林员工早上登录公司账号，之后邮箱、报销、文档系统都能访问，不用每个系统再输一遍密码。

2. 真正要背什么

这张卡真正要背 4 件事。

SSO 让用户用 one credential（一组凭据）访问 multiple systems（多个系统）。
它能减少重复登录，改善用户体验。
它也让 centralized authentication（集中认证）变得更重要。
身份源一旦出问题，影响可能更大，所以要保护认证中心。

3. 关键词拆解

Single sign-on：单点登录。

One credential：一组凭据。

Multiple systems：多个系统。

Centralized authentication：集中认证。

Password synchronization：密码同步，不等于 SSO。

4. 候选池

候选 1：一次进大楼，多处刷门。

保留。它能记住一次登录后访问多个系统。

候选 2：所有密码设一样。

淘汰。这是密码同步或坏习惯，不是 SSO。

候选 3：一张员工证走整栋楼。

保留作辅助。它能提醒 SSO 是体验和架构，不是具体协议。

讨论结论：主钩子用“一次进大楼，多处刷门”。它能把便利性和集中身份源都记住。

5. 最终主记法

SSO = 一次进大楼，多处刷门。

记完整句：小林早上在公司门口验一次身份，之后进邮箱、报销、文档室都刷同一张员工证，不用每个门口重新报密码。

翻回知识点就是：SSO 让用户一次认证后访问多个系统。

6. 小白故事

没有 SSO 时，小林员工每天要记邮箱密码、报销密码、CRM 密码、文档系统密码。

密码太多，员工就会写在纸上，或者把所有密码设成一样。

SSO 把登录集中到一个身份入口。

员工先在中心入口通过认证。

之后其他系统相信这个认证结果。

好处是少输密码、少忘密码、集中管理账号。

风险是身份入口成了关键点。

所以 SSO 不是“简单省事”四个字，它还要求更认真保护认证中心。

7. 回到考题

题目说 single sign-on（单点登录）、one credential（一组凭据）、multiple systems（多个系统），先想 SSO。

题目问 most benefit（最主要好处），常看减少重复登录、改善用户体验、集中认证管理。

题目说 password synchronization（密码同步），不要当成 SSO；那只是多个系统密码保持一致。

题目问用什么协议实现 SSO，再看 SAML、OIDC、Kerberos 等选项。

8. 别混

SSO：目标和体验，一次登录多处使用。

SAML：常用于跨组织 Web SSO 的身份断言协议。

OIDC：现代 Web / mobile 常用的身份层。

Kerberos：域内票据认证，也能支持单点体验。

记忆卡：Kerberos / 票据认证协议

Kerberos 这张卡不能只背“KDC、TGT、ticket”。

小白先懂一句话：Kerberos 像公司票务中心，你先证明自己一次，票务中心发票，之后去不同服务时出示票据，不用每次把密码交给服务。

1. 先懂一句话

Kerberos 是一种基于 ticket（票据）的认证协议。

它使用对称密钥。

核心角色是 KDC（Key Distribution Center，密钥分发中心）。

KDC 里常分 AS（Authentication Service，认证服务）和 TGS（Ticket Granting Service，票据授予服务）。

2. 真正要背什么

这张卡真正要背 5 件事。

Kerberos 用 ticket（票据）证明身份。
KDC 是核心，坏了会成为 single point of failure（单点故障）。
用户先向 AS 认证，拿到 TGT（Ticket Granting Ticket，票据授予票据）。
用户再用 TGT 向 TGS 换服务票据。
Kerberos 需要 time synchronization（时间同步），时间差太大票据会失效。

3. 关键词拆解

Ticket：票据，像临时门票。

KDC：密钥分发中心，像票务中心。

TGT：先拿到的总票，用来换具体服务票。

TGS：票据授予服务，给具体服务票。

Mutual authentication：双向认证，客户端和服务端都能确认对方。

4. 候选池

候选 1：票务中心发门票。

保留。它能把 KDC、TGT、服务票据串起来。

候选 2：密码到处跑。

淘汰。Kerberos 正是为了避免每次把密码交给服务。

候选 3：时间检票口。

保留作辅助。Kerberos 很怕时间不同步。

讨论结论：主钩子用“票务中心发门票”，辅助记“时间检票口”。

5. 最终主记法

Kerberos = 票务中心发门票。

记完整句：小林先去 KDC 证明身份，拿到 TGT，再用 TGT 换进入文件服务器的服务票；文件服务器看票放行，不需要小林把密码交给它。

翻回知识点就是：Kerberos 用对称密钥和票据完成认证，依赖 KDC 和时间同步。

6. 小白故事

小林公司有文件服务器、打印服务器和内部系统。

如果每个服务都问小林密码，密码到处跑，风险很大。

Kerberos 的办法是让小林先去票务中心。

票务中心确认他身份后，给他一张 TGT。

他要访问文件服务器时，不是重新交密码，而是拿 TGT 去换文件服务器专用票。

文件服务器检查票据没过期、没被篡改，就放行。

票据有时间限制，所以公司机器时间必须同步。

7. 回到考题

题目说 ticket（票据）、KDC（密钥分发中心）、AS（认证服务）、TGS（票据授予服务）、realm（域），先想 Kerberos。

题目问 first step（第一步），用户先向 AS 认证。

题目问 primary weakness（主要弱点）或 single point of failure（单点故障），常看 KDC。

题目说 mutual authentication（双向认证）和 time synchronization（时间同步），也常指 Kerberos。

题目出现 LDAP（目录访问协议）不要混；Kerberos 是认证协议，LDAP 是查目录。

8. 别混

Kerberos：票据认证。

KDC：票务中心。

LDAP：目录查询。

SSO：一次登录多系统体验，Kerberos 可以帮助实现这种体验。

记忆卡：RADIUS / TACACS+ / 网络 AAA 服务

RADIUS 和 TACACS+ 这张卡不能只背“认证服务器”。

小白先懂一句话：它们都像网络设备门卫账本，帮 VPN、Wi-Fi、交换机、路由器判断谁能进、能做什么、做完怎么记账。

1. 先懂一句话

RADIUS = Remote Authentication Dial-In User Service。

TACACS+ = Terminal Access Controller Access-Control System Plus。

两者都常用于 AAA：Authentication（认证）、Authorization（授权）、Accounting（记账）。

但考试喜欢问区别。

RADIUS 更常见于 VPN、无线 802.1X、远程接入。

TACACS+ 更常见于网络设备管理，特别是路由器、交换机的命令级授权。

2. 真正要背什么

这张卡真正要背 5 件事。

RADIUS 常用于 remote access（远程访问）、VPN、wireless 802.1X（无线认证）。
RADIUS 使用 UDP 1812 / 1813。
TACACS+ 常用于 device administration（设备管理）。
TACACS+ 使用 TCP 49。
TACACS+ 分离 AAA，并加密整个 payload（负载）；RADIUS 主要加密密码字段。

3. 关键词拆解

AAA：认证、授权、记账。

Remote access：远程接入。

802.1X：网络接入控制常见场景。

Command authorization：命令授权，控制管理员能执行哪些命令。

Device administration：设备管理，比如交换机和路由器管理登录。

4. 候选池

候选 1：网络设备门卫账本。

保留。门卫管进入，账本管记录。

候选 2：两个都一样。

淘汰。考试很爱问 RADIUS 和 TACACS+ 区别。

候选 3：R 远程，T 设备。

保留作辅助。RADIUS 记远程接入，TACACS+ 记设备管理。

讨论结论：主钩子用“网络设备门卫账本”，再用“R 远程，T 设备”区分题目。

5. 最终主记法

RADIUS / TACACS+ = 网络设备门卫账本。

记完整句：员工连 VPN 或 Wi-Fi 时，RADIUS 像门卫查身份、给接入、记账；管理员登录交换机执行命令时，TACACS+ 更像细分权限的设备门卫。

翻回知识点就是：两者都是网络 AAA 服务，但 RADIUS 偏接入，TACACS+ 偏设备管理和命令授权。

6. 小白故事

小林公司有两类门。

第一类门是员工进网络：连 Wi-Fi、连 VPN、接入内部网。

这类场景常见 RADIUS。

第二类门是管理员进设备：登录交换机、路由器、防火墙，还要限制他能不能执行重启、改配置、看日志。

这类场景更像 TACACS+。

两个都能帮忙做 AAA。

但 RADIUS 更像“谁能进网络”。

TACACS+ 更像“管理员进设备后，每条命令能不能做”。

7. 回到考题

题目说 remote access（远程访问）、VPN、wireless 802.1X（无线认证）、ISP，常选 RADIUS。

题目说 UDP 1812 / 1813，先想 RADIUS。

题目说 router / switch admin command control（路由器/交换机管理员命令控制），先想 TACACS+。

题目说 TCP 49、separates AAA（分离认证授权记账）、encrypts entire payload（加密整个负载），先想 TACACS+。

题目只是说 AAA server（AAA 服务器），要看场景是用户接入还是设备管理。

8. 别混

RADIUS：偏用户网络接入。

TACACS+：偏网络设备管理和命令授权。

Kerberos：票据认证协议。

AAA：认证、授权、记账这套服务目标。

记忆卡：MAC / DAC / RBAC / ABAC / 访问控制模型

这四个访问控制模型不能混成一团。

小白先懂一句话：做题时先问“谁说了算”：系统标签说了算、资源主人说了算、岗位角色说了算，还是属性条件一起说了算。

1. 先懂一句话

MAC = Mandatory Access Control，强制访问控制。

DAC = Discretionary Access Control，自主访问控制。

RBAC = Role-Based Access Control，基于角色访问控制。

ABAC = Attribute-Based Access Control，基于属性访问控制。

它们都在回答同一个问题：谁能访问什么。

区别在于“判断权限的依据”不同。

2. 真正要背什么

这张卡真正要背 4 句话。

MAC 看 clearance（许可级别）和 label（标签），系统强制决定。
DAC 看 owner（所有者），资源主人能授予别人访问。
RBAC 看 role（角色）或 job function（工作职责）。
ABAC 看 subject attribute（主体属性）、object attribute（客体属性）和 environment（环境）。

3. 关键词拆解

Mandatory：强制，个人不能随便改。

Discretionary：自主，资源所有者有决定权。

Role：角色，比如客服、财务、管理员。

Attribute：属性，比如部门、地点、时间、设备、数据敏感度。

Lattice：格结构，常和 MAC 一起出现。

4. 候选池

候选 1：谁说了算。

保留。四个模型最怕背定义不分权力来源。

候选 2：四把钥匙。

淘汰。钥匙太泛，不容易区分四类。

候选 3：密级、主人、岗位、条件。

保留作辅助。它直接对应 MAC、DAC、RBAC、ABAC。

讨论结论：主钩子用“谁说了算”，固定成“密级、主人、岗位、条件”。

5. 最终主记法

MAC / DAC / RBAC / ABAC = 密级、主人、岗位、条件。

记完整句：机密档案室按密级放行是 MAC；文件主人分享给同事是 DAC；客服岗位能看订单是 RBAC；系统还要看地点、时间、设备和数据类型才放行是 ABAC。

翻回知识点就是：四种访问模型按不同依据做授权判断。

6. 小白故事

小林公司有一间资料室。

第一扇门贴着“机密”标签，只有许可级别够的人能进，连文件主人也不能随便放人进来。

这是 MAC。

第二扇门由文件主人决定，他可以把自己的报表分享给同事。

这是 DAC。

第三扇门按岗位开，客服能看订单，财务能看发票，仓库能看库存。

这是 RBAC。

第四扇门最细：同一个客服，只有在工作时间、公司电脑、公司网络、处理自己负责区域订单时才能看数据。

这是 ABAC。

7. 回到考题

题目说 Mandatory Access Control（强制访问控制）、label（标签）、clearance（许可级别）、classification（分类）、military（军事），先想 MAC。

题目说 owner controls access（所有者控制访问）、ACL（访问控制列表）、grant permission（授予权限），先想 DAC。

题目说 role（角色）、job function（工作职责）、group membership（组成员），先想 RBAC。

题目说 context-aware（感知上下文）、dynamic（动态）、environment（环境）、policy-based access（基于策略访问），先想 ABAC。

题目里的 MAC 如果在网络题里可能是 MAC address（网卡地址）；如果在访问控制题里才是 Mandatory Access Control。

8. 别混

MAC：系统强制按密级和标签。

DAC：资源主人决定。

RBAC：按岗位角色。

ABAC：按多个属性和环境条件动态判断。

记忆卡：Least Privilege / 最小权限

Least Privilege 这张卡不能理解成“权限越少越好”。

小白先懂一句话：最小权限是只给完成任务所需的钥匙，不多给，也不能少到工作做不了。

1. 先懂一句话

Least Privilege = 最小权限。

它问的是：这个人、程序、服务账号，为了完成当前工作，最少需要哪些权限。

只给这些。

不给额外的删除、改配置、导出全部客户资料等权限。

2. 真正要背什么

这张卡真正要背 4 件事。

最小权限适用于用户、进程、服务账号和管理员。
目标是减少 attack surface（攻击面）和误操作损害。
账号被盗时，攻击者只能拿到有限能力。
最小权限不是不给权限，而是只给必要权限。

3. 关键词拆解

Least：最少。

Privilege：权限、特权。

Minimum access：最低访问。

Only permissions required：只给所需权限。

Reduce attack surface：降低攻击面。

4. 候选池

候选 1：只给够用的钥匙。

保留。它能记住“够用”两个字。

候选 2：不给钥匙。

淘汰。不给钥匙会让业务停掉，不是最小权限。

候选 3：临时工只拿仓库小钥匙。

保留作故事钩子。

讨论结论：主钩子用“只给够用的钥匙”。这能防止把最小权限误解成“越少越好”。

5. 最终主记法

Least Privilege = 只给够用的钥匙。

记完整句：实习生只需要看库存表，就给他查看库存的钥匙，不给他删除客户数据、修改价格、创建管理员账号的钥匙。

翻回知识点就是：最小权限让主体只拥有完成任务所需的最低权限。

6. 小白故事

小林请了一个临时实习生帮忙盘库存。

实习生只需要看库存数量。

如果小林顺手给他管理员账号，他就能删客户、改订单、导出数据。

哪怕实习生本人不作恶，只要账号被钓鱼偷走，攻击者也会得到管理员能力。

最小权限的做法是：只给查看库存权限，到期自动收回。

这样工作能完成，风险也被压住。

7. 回到考题

题目说 least privilege（最小权限）、minimum access（最低访问）、only permissions required（只给所需权限），先想最小权限。

题目问账号被盗后 best way to limit damage（限制损害的最佳方式），常看 least privilege。

题目说服务账号只应访问自己需要的资源，也是在考 least privilege。

题目问有没有业务理由看某个具体文件，可能是 need-to-know，不要只看最小权限。

8. 别混

Least Privilege：权限范围尽量只够完成任务。

Need-to-Know：即使级别够，也要有业务需要才看某信息。

Separation of Duties：把危险操作拆给多人，防止一人独大。

记忆卡：Need-to-Know / 知情需要

Need-to-Know 这张卡不能只背“需要知道”。

小白先懂一句话：它问的是你有没有业务理由看这份信息；级别够不等于一定能看。

1. 先懂一句话

Need-to-Know = 知情需要。

它常出现在敏感信息和机密信息访问场景。

一个人可能有 clearance（许可级别）。

但如果这份资料和他的工作无关，他仍然不该看。

2. 真正要背什么

这张卡真正要背 4 件事。

Need-to-know 强调 business need（业务需要）。
它限制敏感信息只给真正需要的人。
它常和 compartmentalization（分隔）一起出现。
它和 least privilege 相近，但关注点不同。

3. 关键词拆解

Need：需要，不是好奇。

Know：知道某份信息。

Business need：业务需要。

Compartmentalization：分隔，把信息按项目或范围隔开。

Sensitive information：敏感信息。

4. 候选池

候选 1：有资格还要有理由。

保留。它能直接打掉“级别够就能看”的误解。

候选 2：谁都别看。

淘汰。need-to-know 不是封死信息，而是按业务需要开放。

候选 3：项目名单只给项目组。

保留作故事钩子。

讨论结论：主钩子用“有资格还要有理由”。这是考试最常见陷阱。

5. 最终主记法

Need-to-Know = 有资格还要有理由。

记完整句：经理有机密级别，但某个并购项目和他无关，他没有业务需要，就不能看项目名单。

翻回知识点就是：need-to-know 要求访问敏感信息时必须有实际业务需要。

6. 小白故事

小林公司准备收购一家小公司。

高层里很多人都有查看机密资料的级别。

但并不是每个高层都参与这个收购项目。

如果所有“级别够”的人都能看，消息很容易泄露。

所以项目资料只给收购小组。

这就是 need-to-know。

它不是问“你职位高不高”。

它问“你做这件事真的需要知道吗”。

7. 回到考题

题目说 need-to-know（知情需要）、business need（业务需要）、sensitive information（敏感信息），先想这张卡。

题目说 has clearance but no business reason（有许可级别但没有业务理由），应拒绝访问。

题目说 compartmentalization（分隔），把信息限制在相关小组，也常指 need-to-know。

题目问减少账号能力范围，可能是 least privilege；题目问是否有理由看某份资料，更像 need-to-know。

8. 别混

Need-to-Know：能不能知道这份信息。

Least Privilege：能不能拥有这些权限。

Clearance：许可级别，只是门槛之一。

Classification：信息本身的敏感等级。

记忆卡：Data Owner / Custodian / 数据所有者与保管者

Data Owner 和 Custodian 这张卡不能只背“一个负责，一个保管”。

小白先懂一句话：Owner 像数据主人，定规矩、担责任；Custodian 像数据管家，按主人要求做备份、权限、加密和恢复。

1. 先懂一句话

Data Owner = 数据所有者。

Data Custodian = 数据保管者。

Owner 通常是业务负责人，不一定是 IT。

Custodian 常常是 IT 或运维团队。

Owner 决定数据怎么分类、谁能访问、保留多久、保护到什么程度。

Custodian 按这些要求把技术控制做出来。

2. 真正要背什么

这张卡真正要背 5 件事。

Data Owner 对数据负最终责任。
Owner 决定 classification（分类）和 access approval（访问批准）。
Custodian 负责 backup（备份）、restore（恢复）、storage（存储）和 implementation（实施控制）。
Custodian 不负责决定数据敏感级别。
题目问 primarily responsible（主要负责）时，要看是在问决策还是执行。

3. 关键词拆解

Owner：主人，定规矩、负责任。

Custodian：保管者、管家，执行保护。

Classify data：给数据分类。

Authorize access：批准谁能访问。

Implement controls：实施控制措施。

4. 候选池

候选 1：主人定规矩，管家保管。

保留。它把责任和执行分开。

候选 2：IT 就是 owner。

淘汰。很多考试题会用这个坑你，IT 常是 custodian。

候选 3：业务老板和技术管家。

保留作辅助。它能帮小白把现实角色放进去。

讨论结论：主钩子用“主人定规矩，管家保管”。这句话能直接回到题目里的 owner / custodian 区分。

5. 最终主记法

Data Owner / Custodian = 主人定规矩，管家保管。

记完整句：客户数据归业务负责人负责，他决定分类、访问和保留要求；IT 团队按要求做权限、备份、加密和恢复。

翻回知识点就是：Owner 决策并负责，Custodian 执行并维护。

6. 小白故事

小林网店的客户资料属于业务部门。

客服主管最清楚这些数据能不能公开、谁要用、用错会造成什么影响。

所以客服主管更像 data owner。

技术团队负责把规则落地：数据库权限怎么配、每天怎么备份、恢复怎么测试、旧硬盘怎么销毁。

技术团队很重要，但它不是随便决定“客户资料是不是机密”的人。

如果题目问谁负责分类和批准访问，要看 owner。

如果题目问谁执行备份和维护控制，要看 custodian。

7. 回到考题

题目说 data owner（数据所有者）、classify data（数据分类）、authorize access（批准访问）、accountable（负责），先想 Owner。

题目问 who is primarily responsible for classification / access approval（谁主要负责分类 / 批准访问），选 Data Owner。

题目说 data custodian（数据保管者）、backup（备份）、restore（恢复）、implement controls（实施控制）、maintain（维护），先想 Custodian。

题目问谁执行备份、配置权限、维护存储，选 Data Custodian。

题目把 IT 写得很忙，不代表 IT 就是数据所有者。

8. 别混

Data Owner：定分类、定访问、负最终责任。

Data Custodian：执行技术保护和日常保管。

User：按授权使用数据。

Data Steward：有些组织里协助管理数据质量和使用规则，具体职责看题干。

记忆卡：Classification / Labeling / 分类与标记

Classification 和 Labeling 这张卡不能当成同义词。

小白先懂一句话：Classification 是先判断这份数据有多敏感；Labeling 是把这个判断贴出来，让人和系统知道该怎么处理。

1. 先懂一句话

Classification = 分类分级。

Labeling = 标记。

先分类，再标记。

比如一份客户名单被判定为 confidential（机密）。

这个“判定等级”的动作是 classification。

把“Confidential”写在页眉、水印、元数据或系统标签上，是 labeling。

2. 真正要背什么

这张卡真正要背 5 件事。

Classification 根据 value（价值）、sensitivity（敏感度）和 legal requirements（法律要求）确定保护级别。
常见等级有 public（公开）、internal（内部）、confidential（机密）、restricted（受限）。
Classification 决定保护强度。
Labeling 把分类结果显示或附加在数据上。
Labeling 帮人和系统知道 handling requirements（处理要求）。

3. 关键词拆解

Sensitivity：敏感度，泄露后影响多大。

Confidentiality level：保密级别。

Marking：标识，和 labeling 接近。

Metadata：元数据，系统里附带的标签信息。

Header / footer：页眉 / 页脚，可以写分类标签。

4. 候选池

候选 1：先分级，再贴标签。

保留。顺序清楚，特别适合考试。

候选 2：贴标签就是分类。

淘汰。这正是混淆点。

候选 3：仓库货架价签。

保留作辅助。先决定货物等级，再贴价签和搬运要求。

讨论结论：主钩子用“先分级，再贴标签”。这句话能防止把 classification 和 labeling 互换。

5. 最终主记法

Classification / Labeling = 先分级，再贴标签。

记完整句：客户名单先被判定为机密，这是分类；文件页眉、水印和系统元数据里写上 Confidential，这是标记。

翻回知识点就是：classification 决定敏感级别，labeling 显示分类结果和处理要求。

6. 小白故事

小林公司有三份文件。

第一份是官网宣传图，可以公开。

第二份是内部价格表，只给员工看。

第三份是客户身份证和支付记录，泄露会很严重。

业务负责人先判断它们分别属于公开、内部、机密或受限。

这一步是 classification。

然后系统在文件上加水印，邮件系统识别标签，打印件页脚写上级别，员工一眼知道不能乱转发。

这一步是 labeling。

没有分类，标签不知道贴什么。

没有标签，分类结果别人看不见，也很难执行。

7. 回到考题

题目说 classification（分类）、sensitivity（敏感度）、confidentiality level（保密级别）、public / internal / confidential / restricted，先想分类。

题目问 first step to protect data（保护数据第一步）或 determine protection level（确定保护级别），通常先 classification。

题目说 labeling（标记）、marking（标识）、metadata（元数据）、header / footer（页眉 / 页脚）、handling instructions（处理说明），先想标记。

题目问 how users know classification / handling requirements（用户如何知道分类和处理要求），选 labeling。

题目问谁决定分类，回到 Data Owner，不是 Custodian。

8. 别混

Classification：决定等级。

Labeling：把等级标出来。

Data Owner：通常负责决定分类。

Data Custodian：按分类要求实施保护。

Encryption：保护手段之一，不等于分类本身。

记忆卡：Biometrics / 生物识别

Biometrics 这张卡不能只背“生物识别认证”。

小白先懂一句话：生物识别是用身体特征当钥匙，比如指纹、脸、虹膜、视网膜、掌纹和声音。

1. 先懂一句话

Biometrics = 生物识别。

它属于 Something you are（你是什么）这一类认证因子。

密码是你知道的东西。

智能卡和令牌是你拥有的东西。

指纹、人脸、虹膜这些是你身体本身的特征。

2. 真正要背什么

这张卡真正要背 5 件事。

生物识别主要用于 authentication（认证），也就是验证身份。
它不能直接决定 authorization（授权），不能说明你能做什么。
Enrollment（注册）时会采样并生成 template（模板）。
Verification（验证）是 1:1：你说你是谁，系统看是不是你。
Identification（识别）是 1:N：系统从一群人里找你是谁。

3. 关键词拆解

Fingerprint：指纹。

Iris：虹膜，眼睛有颜色的那圈。

Retina：视网膜，眼底血管图案。

Face / voice：人脸 / 声纹。

Template：模板，不是完整照片；系统通常拿模板做比对。

4. 候选池

候选 1：用身体当钥匙。

保留。它能让小白立刻把生物识别放到“你是什么”。

候选 2：绝对安全钥匙。

淘汰。生物识别也会误判，也可能被欺骗。

候选 3：先登记身体样本。

保留作辅助。它能记住 enrollment 和 template。

讨论结论：主钩子用“用身体当钥匙”。但必须补一句：这把钥匙不好更换，所以模板保护很重要。

5. 最终主记法

Biometrics = 用身体当钥匙。

记完整句：小林进机房时不用只输密码，而是刷指纹或扫虹膜；系统不是给他授权所有操作，只是在验证“进来的人是不是小林”。

翻回知识点就是：生物识别是 Something you are，主要用于身份认证。

6. 小白故事

小林公司门口装了人脸门禁。

新员工第一天要先 enrollment，把人脸或指纹录进去，系统生成 template。

以后他站到门口，摄像头采样，再和模板比对。

如果他说“我是小林”，系统只拿他的样本和小林模板比，这是 verification，1:1。

如果系统不让他说名字，而是在全公司数据库里找“这个人是谁”，这是 identification，1:N。

但门禁认出他是小林，不代表他能进财务系统、删数据库、改工资。

那是授权问题，不是生物识别本身解决的事。

7. 回到考题

题目说 biometrics（生物识别）、something you are（你是什么）、fingerprint / iris / retina / voice / face，先想生物识别。

题目问 primary purpose（主要目的），常选 verify identity（验证身份）或 authentication（认证）。

题目说 enrollment（注册）、sample（采样）、template（模板），要想到生物模板需要保护。

题目说 verification（验证）是 1:1，identification（识别）是 1:N。

题目说 user acceptance（用户接受度）、privacy concern（隐私顾虑）、cost（成本），是在讲生物识别的现实限制。

8. 别混

Biometrics：认证因子，证明你是不是你。

Authorization：授权，决定你能做什么。

Template：比对模板，不要以为一定保存完整指纹照片。

Password：可修改；生物特征泄露后很难更换。

记忆卡：FAR / FRR / CER / 生物识别错误率

FAR、FRR、CER 这张卡不能只背缩写。

小白先懂一句话：生物门禁会犯两种错，错把坏人放进来，错把好人挡外面；两种错一样多的那个点，用来比较设备准不准。

1. 先懂一句话

FAR = False Acceptance Rate，错误接受率。

FRR = False Rejection Rate，错误拒绝率。

CER = Crossover Error Rate，交叉错误率，也叫 EER（Equal Error Rate，等错误率）。

FAR 是不该进的人被放进来。

FRR 是该进的人被挡在外面。

CER 是 FAR 和 FRR 相等时的点。

2. 真正要背什么

这张卡真正要背 5 件事。

FAR 高是 security risk（安全风险），因为冒名者被放行。
FRR 高是 usability / availability issue（可用性问题），因为合法用户被拒绝。
CER / EER 越低，生物识别系统越准确。
调严格阈值通常会降低 FAR，但提高 FRR。
调宽松阈值通常会降低 FRR，但提高 FAR。

3. 关键词拆解

False：错的。

Acceptance：接受、放行。

Rejection：拒绝、拦住。

Crossover：交叉，两条错误率曲线相遇。

Sensitivity / threshold：敏感度 / 阈值，决定系统多严格。

4. 候选池

候选 1：错放进、错拦住、两错相等点。

保留。它直译现实场景，最不绕。

候选 2：FAR 远方、FRR 反人。

淘汰。谐音不贴题，记了也回不到题干。

候选 3：小区门禁两种错。

保留作故事钩子。

讨论结论：主钩子用“错放进、错拦住、两错相等点”。这比背英文更能做题。

5. 最终主记法

FAR / FRR / CER = 错放进、错拦住、两错相等点。

记完整句：陌生人被门禁认成住户放进来，是 FAR；住户被门禁错挡在外面，是 FRR；两种错误率一样时，就是 CER。

翻回知识点就是：FAR 看安全风险，FRR 看可用性，CER/EER 用来比较准确度。

6. 小白故事

小林公司换了人脸门禁。

第一天，系统把外卖员认成小林放进机房。

这很危险，是 FAR，错放进。

第二天，真正的小林站在门口，系统却说不是本人。

这很烦，是 FRR，错拦住。

门禁可以调灵敏度。

调得很严格，坏人更难进，但好人也更容易被拒绝。

调得很宽松，好人更容易进，但坏人也更可能混进来。

要比较不同门禁整体准不准，就看 CER/EER，越低越好。

7. 回到考题

题目说 FAR / False Acceptance Rate（错误接受率），先想未授权者被系统放行。

题目说 FRR / False Rejection Rate（错误拒绝率），先想合法用户被系统拒绝。

题目说 CER / EER，先想 FAR 和 FRR 相等的点。

题目问 best biometric accuracy（最佳生物识别准确性），选较低 CER。

题目问如何处理高 FAR，常见做法是加第二因素或提高严格度，但要注意会影响 FRR。

8. 别混

FAR：坏人进来了，安全风险。

FRR：好人进不去，可用性和体验问题。

CER / EER：比较设备准确度的交叉点。

Sensitivity：可以调，但不是没有代价。

记忆卡：Password Policy / 密码策略

Password Policy 这张卡不能只背“设置复杂密码”。

小白先懂一句话：密码策略是给密码立规矩，规定多长、能不能重复、多久换、输错几次锁、默认密码怎么处理。

1. 先懂一句话

Password Policy = 密码策略。

它不是某一个具体密码。

它是组织写下并用系统执行的一组规则。

规则的目的，是让用户不要用太短、太常见、太容易被猜的密码，也让攻击者不能无限尝试。

2. 真正要背什么

这张卡真正要背 6 件事。

Length（长度）通常非常关键，长密码更难暴力破解。
Complexity（复杂度）是字符类型，比如大小写、数字、符号。
History（历史记录）防止用户反复用旧密码。
Minimum age（最短使用期限）防止用户连续改几次又改回原密码。
Maximum age / expiration（最长使用期限 / 过期）规定多久必须换。
Account lockout（账户锁定）限制连续失败尝试。

3. 关键词拆解

Password length：密码长度。

Password history：密码历史。

Password age：密码使用期限。

Default password：默认密码。

Shared password：共享密码，会破坏 accountability（问责）。

4. 候选池

候选 1：给密码立规矩。

保留。它能把策略和具体密码分开。

候选 2：越复杂越安全。

淘汰。复杂度有用，但现代题常强调长度和避免常见密码。

候选 3：门口试错计数器。

保留作辅助。能记住账户锁定和暴力破解。

讨论结论：主钩子用“给密码立规矩”。辅助记“长度、历史、年龄、锁定”。

5. 最终主记法

Password Policy = 给密码立规矩。

记完整句：小林公司规定密码至少够长、不能用常见弱密码、不能马上改回旧密码、连续输错要锁定，默认密码首次登录必须修改。

翻回知识点就是：密码策略定义并执行密码使用规则。

6. 小白故事

小林发现员工喜欢用 123456、生日、公司名。

有人被钓鱼后，攻击者还能拿这个密码去撞其他系统。

于是公司设置密码策略。

新密码不能太短。

不能在常见弱密码名单里。

不能和最近几次密码重复。

连续输错太多次要锁账号或延迟重试。

但策略也不能乱设。

锁定太严格可能被攻击者用来把别人账号故意锁死，形成 DoS（拒绝服务）。

7. 回到考题

题目说 password policy（密码策略）、complexity（复杂度）、length（长度）、history（历史记录）、expiration（过期），先想密码策略。

题目问阻止用户连续改密码再改回原密码，选 minimum password age（最短密码使用期限）。

题目问防止 brute force（暴力破解），常看 account lockout（账户锁定）、延迟、监控。

题目说 default password（默认密码），通常要首次登录修改。

题目说 shared password（共享密码），要警惕它破坏 accountability（问责）。

8. 别混

Password Policy：密码规则。

Passphrase：一种长而好记的密码形式。

MFA：多因素认证，不只靠密码。

PAM：管理特权访问，不是普通密码策略。

记忆卡：Passphrase / 口令短语

Passphrase 这张卡不能当成普通短密码。

小白先懂一句话：Passphrase 是一句长而好记的话，用长度撑起强度，比短短的复杂乱码更容易让人记住。

1. 先懂一句话

Passphrase = 口令短语。

它还是 Something you know（你知道的东西）。

但它不像 P@55w0rd 这种短密码。

它更像一句你能记住的长句子或随机词组合。

长度越长，暴力破解越难。

2. 真正要背什么

这张卡真正要背 4 件事。

Passphrase 的核心优势是 longer length（更长长度）。
它比很多短复杂密码更 user-friendly（对用户友好）。
好的 passphrase 不应是歌词、名言、常见句子。
最好用不容易被猜到的随机词或个人不可预测结构。

3. 关键词拆解

Phrase：短语、句子。

Memorable：容易记。

Entropy：熵，越不可预测越强。

Dictionary attack：字典攻击，攻击者拿常见词和短语去试。

Brute force：暴力破解，硬试所有可能。

4. 候选池

候选 1：一句话当密码。

保留。小白一眼能懂。

候选 2：越有名越好记。

淘汰。名言歌词太容易被猜。

候选 3：长句子，别俗套。

保留作辅助，提醒“长”和“不可预测”都要有。

讨论结论：主钩子用“一句话当密码”，但必须强调不是常见句子。

5. 最终主记法

Passphrase = 一句话当密码。

记完整句：与其用短而怪的 P@55w0rd，不如用一串更长、更好记、别人猜不到的短语。

翻回知识点就是：passphrase 通过长度和可记忆性提高密码强度。

6. 小白故事

小林让员工设置复杂密码。

结果大家写成 Summer2026!、Company@123，看起来复杂，其实很好猜。

后来他改成鼓励口令短语。

员工可以用更长的句子或随机词组合。

它不必到处塞符号，但要足够长，不能是热门歌词、电影台词、网络流行句。

这样用户更容易记住，也更少写在纸上。

攻击者想暴力破解，就要面对更长的搜索空间。

7. 回到考题

题目说 passphrase（口令短语）、long memorable phrase（长且易记的短语），先想 passphrase。

题目问 user-friendly strong password（对用户友好的强密码），常选 passphrase。

题目说 entropy（熵）或 dictionary attack（字典攻击），要注意常见句子不一定安全。

题目说 shortest password（最短密码）或 complexity only（只看复杂度），不要自动当成 passphrase。

8. 别混

Password：泛指密码。

Passphrase：更长、更像短语的密码。

Password policy：规定密码怎么设置。

MFA：加入另一个因子，不只是改密码形式。

记忆卡：Smart Card / Token / 智能卡与令牌

Smart Card 和 Token 这张卡不能只背“二次验证”。

小白先懂一句话：它们属于 Something you have（你拥有的东西），像你手里拿着的通行证或一次性码生成器。

1. 先懂一句话

Smart Card = 智能卡。

Token = 令牌。

它们属于 possession factor（持有因子）。

智能卡通常是带芯片的卡，可能保存证书和私钥。

令牌可能是硬件设备，也可能是手机里的软件令牌，用来生成 OTP（One-Time Password，一次性密码）。

2. 真正要背什么

这张卡真正要背 5 件事。

Smart card / token 属于 Something you have。
它们常和 PIN 或密码组合成 MFA（多因素认证）。
Smart card 可用于强认证、证书、数字签名。
Token 常生成 OTP，一次性密码可以减少重放风险。
TOTP 是基于时间的 OTP，HOTP 是基于计数器的 OTP。

3. 关键词拆解

PIN：你知道的东西。

Smart card：你拥有的卡。

Token：你拥有的令牌设备或软件。

TOTP：Time-Based One-Time Password，基于时间的一次性密码。

HOTP：HMAC-Based One-Time Password，基于计数器的一次性密码。

4. 候选池

候选 1：手里拿着的通行证。

保留。它能记住持有因子。

候选 2：第二个密码。

淘汰。令牌不是普通密码，它通常生成动态码。

候选 3：卡里藏私钥，令牌吐短码。

保留作辅助，区分智能卡和 OTP 令牌。

讨论结论：主钩子用“手里拿着的通行证”。辅助记“卡藏证书/私钥，令牌出 OTP”。

5. 最终主记法

Smart Card / Token = 手里拿着的通行证。

记完整句：小林登录管理员系统时，要插智能卡并输入 PIN；或者输入密码后，再输令牌生成的一次性验证码。

翻回知识点就是：智能卡和令牌是持有因子，常与知道因子组合成 MFA。

6. 小白故事

小林公司不想只靠密码保护管理员后台。

于是给管理员发智能卡。

卡里有证书和私钥，插入读卡器后，再输入 PIN。

就算别人捡到卡，没有 PIN 也不好用。

另一类员工使用手机令牌。

App 每 60 秒生成一个 OTP。

攻击者就算偷看到这次验证码，过一会儿也失效。

但令牌丢了也有风险，所以通常还要和 PIN、密码或生物识别一起用。

7. 回到考题

题目说 smart card（智能卡）、token（令牌）、something you have（你拥有的东西），先想持有因子。

题目说 PIN + smart card，这是两个因素：你知道的 PIN + 你拥有的卡。

题目说 OTP（一次性密码）、TOTP（基于时间）、synchronous authenticator（同步认证器），先想动态令牌。

题目说 HOTP 或 asynchronous authenticator（异步认证器），先想基于计数器的令牌。

题目说 smart card stores private key / certificate（智能卡存私钥/证书），不要说私钥应该随便导出。

8. 别混

Smart card：带芯片的卡，常存证书和私钥。

Token：硬件或软件令牌，常生成 OTP。

PIN：知道因子。

MFA：至少两个不同类型的因子。

记忆卡：LDAP / 轻量目录访问协议

LDAP 这张卡不能只背“身份认证协议”。

小白先懂一句话：LDAP 更像公司通讯录查询台，用来查用户、组、部门、设备和目录信息；它常配合认证系统，但不是 Kerberos 那种票据认证。

1. 先懂一句话

LDAP = Lightweight Directory Access Protocol，轻量目录访问协议。

Directory service = 目录服务。

目录不是普通文件夹。

它像网络世界的电话簿，记录用户是谁、在哪个部门、属于哪个组、有哪些属性。

Active Directory 常使用 LDAP 作为目录访问协议。

2. 真正要背什么

这张卡真正要背 5 件事。

LDAP 用来查询和管理目录信息。
它适合集中保存用户、组、组织结构和资源位置。
LDAP 常见端口是 389，LDAPS 是 636。
LDAP bind（绑定）操作包含对 LDAP 服务器的认证。
LDAP 查目录，Kerberos 做票据认证，两者不要混。

3. 关键词拆解

Directory：目录，像电话簿。

DN：Distinguished Name，可分辨名称。

OU：Organizational Unit，组织单位。

CN：Common Name，通用名。

DC：Domain Component，域组件。

4. 候选池

候选 1：公司通讯录查询台。

保留。它能让小白明白 LDAP 是查目录。

候选 2：登录票据中心。

淘汰。票据中心更像 Kerberos。

候选 3：目录树。

保留作辅助。LDAP 数据更像层级目录树，不像普通关系型数据库表。

讨论结论：主钩子用“公司通讯录查询台”。这是最能和 Kerberos、RADIUS 区分的画面。

5. 最终主记法

LDAP = 公司通讯录查询台。

记完整句：系统想知道小林属于哪个部门、哪个组、邮箱是什么，就去 LDAP 目录里查；要票据认证时，再看 Kerberos。

翻回知识点就是：LDAP 是开放的目录访问协议，常用于集中身份和目录信息查询。

6. 小白故事

小林公司有几百个员工。

每个系统都自己维护用户表，很快就乱了。

于是公司建了目录服务。

用户、组、部门、邮箱、设备位置都放在目录里。

应用要查“这个账号属于哪个组”，就问 LDAP。

这像去公司通讯录查询台问人和部门信息。

但 LDAP 本身不是“所有认证的答案”。

题目问票据、KDC、TGT，那是 Kerberos。

题目问网络接入 AAA，那可能是 RADIUS 或 TACACS+。

7. 回到考题

题目说 LDAP、Lightweight Directory Access Protocol（轻量目录访问协议）、directory service（目录服务），先想 LDAP。

题目说 open standard / vendor-neutral directory service（开放标准 / 供应商中立目录服务），常选 LDAP。

题目问 LDAP 哪个操作包含认证，常看 bind（绑定）。

题目说 TCP/UDP 389，先想 LDAP；题目说 LDAPS 636，先想加密 LDAP。

题目说 Active Directory uses LDAP（AD 使用 LDAP），不要把 AD 当成协议本身。

8. 别混

LDAP：查目录。

Kerberos：票据认证。

RADIUS / TACACS+：网络 AAA。

Active Directory：微软目录服务产品，支持 LDAP 等协议。

记忆卡：PAM / 特权访问管理

PAM 这张卡要先定清楚语境。

小白先懂一句话：在 CISSP 里，PAM 通常指 Privileged Access Management（特权访问管理），像管理员钥匙保险库，管谁能临时拿高权限、拿多久、做了什么。

1. 先懂一句话

PAM = Privileged Access Management，特权访问管理。

它不是普通 password policy（密码策略）。

也不要在 CISSP 场景里只理解成 Linux 的 Pluggable Authentication Modules（可插拔认证模块）。

考试更常把 PAM 放在高权限账号治理里：审批、保险库、临时授权、会话记录、审计。

2. 真正要背什么

这张卡真正要背 5 件事。

PAM 管 privileged accounts（特权账号）和 elevated rights（提升权限）。
Credential vault（凭据保险库）保存和轮换高权限凭据。
Just-in-time access（即时授权）只在需要时临时给权限。
Session recording（会话记录）记录管理员做了什么。
PAM 支持 least privilege（最小权限）和 accountability（问责）。

3. 关键词拆解

Privileged：特权，高于普通用户。

Access Management：访问管理，管谁能拿权限。

Credential vault：凭据保险库。

JIT access：即时授权，用完收回。

Session recording：会话记录，便于审计追踪。

4. 候选池

候选 1：管理员钥匙保险库。

保留。它能记住特权凭据不该随便散落。

候选 2：普通密码规则。

淘汰。那是密码策略，不是 PAM。

候选 3：临时借钥匙登记簿。

保留作辅助。能记住审批、临时授权和审计。

讨论结论：主钩子用“管理员钥匙保险库”。辅助记“借钥匙要审批、会记录、会归还”。

5. 最终主记法

PAM = 管理员钥匙保险库。

记完整句：管理员平时不用 root 账号办公，要改服务器时先申请，PAM 临时发放权限、记录操作，用完收回并轮换凭据。

翻回知识点就是：PAM 管理特权访问，减少共享高权限账号和不可追踪操作。

6. 小白故事

小林公司以前把服务器 root 密码写在共享文档里。

谁都说是为了方便。

但出事后没人知道是谁登录、谁改配置、谁删文件。

后来公司上 PAM。

管理员要高权限，先申请。

系统检查理由和审批。

批准后临时打开权限，并记录整个会话。

任务结束后权限收回，密码自动轮换。

这不是“再设一个复杂密码”。

这是把特权访问纳入管理。

7. 回到考题

题目说 PAM、Privileged Access Management（特权访问管理）、privileged account（特权账号）、admin account（管理员账号）、root（超级用户），先想 PAM 或特权账号管理。

题目说 credential vault（凭据保险库）、just-in-time access（即时授权）、session recording（会话记录），先想 PAM。

题目问如何避免共享管理员密码破坏 accountability（问责），常看 PAM、唯一身份、审计日志。

题目说 password policy（密码策略）只是在管密码规则，不等于 PAM。

8. 别混

PAM：管高权限访问。

Password policy：管密码规则。

Privileged account：高权限账号本身。

Least privilege：只给必要权限，是 PAM 要支持的原则。

记忆卡：Separation of Duties / 职责分离

Separation of Duties 这张卡不能只背“分工”。

小白先懂一句话：职责分离是把一件容易作恶的完整链条拆开，不能让一个人从头做到尾。

1. 先懂一句话

Separation of Duties = 职责分离。

它常缩写为 SoD。

它要防止 fraud（舞弊）和重大错误。

如果一个人能新增供应商、审批付款、执行付款、删除日志，他就能自己造一条假付款链。

职责分离就是把这些动作拆给不同人。

2. 真正要背什么

这张卡真正要背 4 件事。

SoD 用多人互相制衡，防止单人滥权。
它适合财务、变更管理、代码发布、密钥操作等高风险流程。
Dual control（双人控制）要求两个人共同完成操作。
Split knowledge（知识拆分）让任何单个人都不知道完整秘密。

3. 关键词拆解

Separation：分开。

Duties：职责、任务。

Fraud prevention：防舞弊。

Dual control：双人控制，两人一起操作。

Split knowledge：知识拆分，一人只知道一部分。

4. 候选池

候选 1：一件敏感事要两个人完成。

保留。它能直接记住制衡。

候选 2：少给权限。

淘汰。少给权限是 least privilege，不是职责分离。

候选 3：付款不能自己开单自己批。

保留作故事钩子。财务场景最直观。

讨论结论：主钩子用“一件敏感事要两个人完成”。辅助记“不能自己开单自己批”。

5. 最终主记法

Separation of Duties = 敏感流程不能一个人从头做到尾。

记完整句：小林不能让同一个员工创建供应商、审批付款、打款、删日志；这些步骤要拆开，互相检查。

翻回知识点就是：职责分离通过多人制衡降低舞弊和错误风险。

6. 小白故事

小林网店要给供应商打款。

如果小李一个人能新增供应商，又能审批付款，还能执行付款，他可以建一个假供应商，把钱打给自己。

如果付款后还能删日志，别人更难发现。

所以公司把流程拆开。

采购提交供应商。

财务复核资料。

主管审批付款。

系统记录日志，审计定期检查。

这就是职责分离。

它不是单纯“谁权限少一点”。

它是把危险链条拆断。

7. 回到考题

题目说 Separation of Duties / SoD（职责分离）、fraud prevention（防舞弊）、conflict of interest（利益冲突），先想职责分离。

题目问 proper separation of duties（恰当职责分离），找“同一个人不能完成会互相制衡的步骤”。

题目说 dual control（双人控制），强调两个人同时参与。

题目说 split knowledge（知识拆分），强调没有一个人掌握完整秘密。

题目只问最小化某人权限范围，可能是 least privilege，不一定是 SoD。

8. 别混

Separation of Duties：拆开危险流程。

Least Privilege：只给够用权限。

Dual Control：两人共同操作。

Split Knowledge：秘密分段掌握。

记忆卡：Privileged Account / 特权账号

Privileged Account 这张卡不能只背“管理员账号”。

小白先懂一句话：特权账号像管理员钥匙串，能改系统、建用户、删数据、改权限，所以必须更严格保护、审批、审计和及时收回。

1. 先懂一句话

Privileged Account = 特权账号。

它拥有 elevated rights（提升权限）。

普通账号只能做日常工作。

特权账号可以改变系统状态。

比如 root、administrator、domain admin、数据库管理员账号、服务账号。

2. 真正要背什么

这张卡真正要背 5 件事。

特权账号风险高，不能像普通账号一样随便用。
管理员日常办公应使用普通账号，需要时再提升权限。
特权账号必须使用 MFA、审计日志、会话记录和定期复核。
共享特权账号会破坏 accountability（问责）。
Privilege creep（权限蔓延）要靠访问复核发现并清理。

3. 关键词拆解

Privileged：特权的。

Elevated rights：提升权限。

Root / admin：超级用户 / 管理员。

Audit trail：审计轨迹。

Account review：账号复核。

4. 候选池

候选 1：管理员钥匙串。

保留。它能记住权限多、风险大。

候选 2：普通员工门卡。

淘汰。普通账号不能体现高风险。

候选 3：钥匙越多越要登记。

保留作辅助。能记住审计和问责。

讨论结论：主钩子用“管理员钥匙串”。钥匙越多，越不能共用，越要记录。

5. 最终主记法

Privileged Account = 管理员钥匙串。

记完整句：普通员工只能看自己的文件，管理员钥匙串能建账号、改权限、重启服务器、删数据，所以每次使用都要能追到个人。

翻回知识点就是：特权账号必须严格管理，防止滥用和不可追责。

6. 小白故事

小林以前让运维团队共用一个 admin 账号。

大家觉得方便。

直到某天服务器配置被改坏。

日志里只写着 admin 登录。

到底是谁改的，没人知道。

后来公司改成每个管理员都有个人账号。

需要高权限时，必须 MFA、审批、记录会话。

离职或转岗后，权限要及时收回。

这样出了事，才能知道谁在什么时候做了什么。

7. 回到考题

题目说 privileged account（特权账号）、admin account（管理员账号）、root（超级用户）、elevated rights（提升权限），先想特权账号。

题目问如何保护特权账号，常看 MFA、least privilege、PAM、审计、会话记录、定期账号复核。

题目说 shared admin account（共享管理员账号），通常是坏做法，因为破坏 accountability。

题目说 privilege creep（权限蔓延），要想到转岗后旧权限没有收回。

题目问验证持续需要特权访问的最佳方法，常看 periodic access review（定期访问复核）。

8. 别混

Privileged Account：高权限账号。

PAM：管理高权限访问的体系。

Service Account：服务运行用账号，也可能很高权限。

Accountability：操作能追到具体个人。

记忆卡：Security Models / Bell-LaPadula / Biba / Clark-Wilson / 安全模型

安全模型这张卡不能从公式开始背。

小白先懂一句话：先问模型保护什么目标。Bell-LaPadula 防泄密，Biba 防污染，Clark-Wilson 防乱改账。

1. 先懂一句话

Security Model = 安全模型。

它不是具体防火墙或工具。

它是一套规则，说明系统应该怎样控制主体访问客体。

Bell-LaPadula 保护 confidentiality（机密性）。

Biba 保护 integrity（完整性）。

Clark-Wilson 也保护完整性，但更像商业系统里的受控交易、职责分离和审计。

2. 真正要背什么

这张卡真正要背 6 件事。

Bell-LaPadula = 保密模型。
BLP 规则：no read up（不上读），no write down（不下写）。
Biba = 完整性模型。
Biba 规则：no read down（不下读），no write up（不上写）。
Clark-Wilson = 商业完整性模型。
Clark-Wilson 强调 well-formed transaction（格式良好的事务）、separation of duties（职责分离）和 auditing（审计）。

3. 关键词拆解

Subject：主体，主动访问的人或进程。

Object：客体，被访问的数据或资源。

Simple Security Property：简单安全属性，BLP 里是不上读。

Star Property：星属性，BLP 里是不下写。

CDI / TP / IVP：Clark-Wilson 里的受约束数据项、转换过程、完整性验证过程。

4. 候选池

候选 1：保密、完整、流程。

保留。三个词对应三类模型。

候选 2：楼梯、洁净病历、银行柜台。

保留作故事钩子。楼梯记 BLP，洁净记 Biba，柜台记 Clark-Wilson。

候选 3：三个都管访问控制。

淘汰。太泛，记不出考试区别。

讨论结论：主钩子用“三种保护重点：保密、完整、流程”。辅助画面是“密级楼梯、洁净病历、银行柜台”。

5. 最终主记法

Bell-LaPadula = 保密楼梯，不能往上偷看，不能往下泄密。

Biba = 完整洁净室，不能读脏数据，不能把低完整性写进高处。

Clark-Wilson = 银行柜台，不能直接改账，只能走规定交易。

翻回知识点就是：BLP 管机密性，Biba 管完整性，Clark-Wilson 用受控交易保护商业完整性。

6. 小白故事

小林公司有三套系统。

第一套是军事密级资料库。

低密级员工不能读高密级文件，高密级员工也不能把秘密写到低密级区域。

这是 Bell-LaPadula，保护秘密不往下漏。

第二套是关键病历系统。

医生不能拿低可信来源的数据污染高可信病历，低完整性程序也不能写进高完整性记录。

这是 Biba，保护数据不被污染。

第三套是银行账务系统。

柜员不能直接改余额。

必须通过规定交易，比如存款、转账、复核，并留下审计记录。

这是 Clark-Wilson，保护商业完整性。

7. 回到考题

题目问 Bell-LaPadula，先想 confidentiality（机密性）。

题目说 no read up（不上读），意思是低级别不能读高级别。

题目说 no write down（不下写），意思是高级别不能把信息写到低级别，防止泄密。

题目问 Biba，先想 integrity（完整性）。

题目说 no read down（不下读），意思是高完整性主体不能读低完整性数据，防污染。

题目说 no write up（不上写），意思是低完整性主体不能写入高完整性对象。

题目问 Clark-Wilson，看到 well-formed transaction（格式良好的事务）、separation of duties（职责分离）、auditing（审计）、CDI、TP、IVP，先选它。

8. 别混

Bell-LaPadula：保密，秘密不能往低处泄。

Biba：完整，高完整性不能被低完整性污染。

Clark-Wilson：商业完整性，用户不能直接改关键数据，必须通过受控交易。

Reference monitor / security kernel / TCB：更偏系统强制访问检查机制，不是这三个模型的目标本身。

记忆卡：Reference Monitor / 参考监视器

Reference Monitor 这张卡最容易背成一句空话：“访问控制的抽象机器”。

小白先懂一句话：它像资料室门口唯一的验票员，每个人、每个程序、每次想碰文件，都必须先让它查一遍规则。

1. 先懂一句话

Reference Monitor = 参考监视器。

它不是某个具体按钮，也不是某个普通软件。

它是一个安全设计思想：所有 subject（主体：人或进程）访问 object（客体：文件、数据库、设备）时，都要经过同一个检查点。

如果规则说你能看，它放行。

如果规则说你不能看，它拦住。

重点不是“有没有门卫”。

重点是“有没有任何一条小路可以绕过门卫”。

2. 真正要背什么

这张卡真正要背 3 个特性。

Complete mediation（完全仲裁）：每一次访问都检查，不是第一次检查完以后就永远放行。
Tamperproof / isolation（防篡改 / 隔离）：检查者自己不能被普通用户改掉，也不能被绕过去。
Verifiable（可验证）：它要足够清楚、足够小，安全人员能检查它有没有按规则工作。

3. 关键词拆解

Subject（主体）：主动发起访问的人、程序或进程。

Object（客体）：被访问的文件、数据库、内存区域、设备或资源。

Mediates all access（仲裁所有访问）：每次主体碰客体，都要先过检查点。

Always invoked（总被调用）：系统不能让某些访问偷偷跳过它。

Tamperproof（防篡改）：用户不能把检查者关掉、改掉或欺骗掉。

4. 候选池

候选 1：唯一验票员。

保留。它能记住“所有人都要从同一个口过”。

候选 2：门口看一眼。

淘汰。太弱，Reference Monitor 不是偶尔看一眼，而是每次都看。

候选 3：资料室没有侧门。

保留作故事钩子。它能记住“不能绕过”。

讨论结论：主钩子用“唯一验票员”。辅助句用“没有侧门、不能绕过、每次都查”。

5. 最终主记法

Reference Monitor = 唯一验票员。

记完整句：资料室只有一个入口，谁想看文件都要交证件；门卫每次都查规则，自己不能被收买，检查记录也能让别人复核。

翻回知识点就是：参考监视器负责检查所有主体对客体的访问请求，并且必须总被调用、不能被篡改、可以验证。

6. 小白故事

小林公司有一间客户资料室。

销售想进去看客户名单。

客服想进去查订单。

一个后台程序也想进去读数据库。

以前资料室有正门、后门、窗户，谁熟悉路都能溜进去。

后来公司只留一个入口，入口站着同一个验票员。

每个人每次进门，都要说清楚自己是谁、想看哪份资料、有没有权限。

验票员只按规则放行。

这就是 Reference Monitor。

它不是在讲“门卫很厉害”。

它在讲系统设计里必须有一个不会被绕过的访问检查点。

7. 回到考题

题目说 Reference Monitor（参考监视器）、mediates all access（仲裁所有访问）、always invoked（总被调用），先选 Reference Monitor。

题目问访问控制最核心的抽象机制是什么，先想 Reference Monitor。

题目列出 complete mediation（完全仲裁）、tamperproof（防篡改）、verifiable（可验证），也在指 Reference Monitor。

题目问谁实际实现这个思想，答案可能是 Security Kernel（安全内核），不是 Reference Monitor 本身。

8. 别混

Reference Monitor：抽象原则，像“所有访问必须过门卫”。

Security Kernel：具体实现，像真正的门禁系统。

TCB：更大的可信班底，包含所有负责执行安全策略的硬件、软件和固件。

Firewall（防火墙）：主要管网络边界，不等于 Reference Monitor。

记忆卡：Security Kernel / 安全内核

Security Kernel 这张卡不要直接背“实现参考监视器”就结束。

小白先懂一句话：Reference Monitor 是“每次都查”的原则，Security Kernel 是把这个原则真正做进系统里的核心门禁。

1. 先懂一句话

Security Kernel = 安全内核。

它是系统里负责执行安全规则的核心部分。

如果 Reference Monitor 是门卫制度，Security Kernel 就是刷卡机、门锁、后台权限检查程序和关键控制代码。

它要让访问检查真的发生。

不是写在制度墙上好看。

2. 真正要背什么

这张卡真正要背 4 件事。

Security Kernel（安全内核）实现 Reference Monitor（参考监视器）。
它通常位于 TCB（可信计算基）的核心部分。
它负责 enforcing security policy（强制执行安全策略）。
它也要满足总被调用、防篡改、可验证这些要求。

3. 关键词拆解

Implements（实现）：把抽象规则做成实际能运行的代码、硬件或固件。

Security policy（安全策略）：系统规定谁能访问什么、怎么访问。

Core of TCB（TCB 的核心）：TCB 很大，Security Kernel 是里面最关键的执行部件。

Firmware（固件）：写在设备里的底层控制程序。

4. 候选池

候选 1：门禁系统。

保留。它比“门卫制度”更具体，能记住“落地实现”。

候选 2：操作系统全部。

淘汰。太大了。Security Kernel 不是整个操作系统。

候选 3：核心刷卡机。

保留作故事画面。刷卡机负责实际判断开门还是拒绝。

讨论结论：主钩子用“真正站岗的门禁系统”。它能区分 Reference Monitor 的抽象概念和 Security Kernel 的具体实现。

5. 最终主记法

Security Kernel = 真正站岗的门禁系统。

记完整句：公司规定“进资料室必须验票”只是 Reference Monitor；真正让门锁开不开、刷卡过不过、记录留不留的核心门禁系统，就是 Security Kernel。

翻回知识点就是：安全内核实现参考监视器，是 TCB 中负责强制安全策略的核心机制。

6. 小白故事

小林公司先写了一条制度：所有人进资料室都要检查权限。

这条制度本身不会拦人。

如果门还是开着，制度就只是纸。

于是技术人员装了刷卡机、门锁、权限数据库和后台检查程序。

销售刷卡时，系统查他能不能看客户名单。

客服刷卡时，系统查他能不能看订单。

陌生程序想直接读数据库，门禁系统拦住。

这套真正执行检查的核心部分，就是 Security Kernel。

7. 回到考题

题目问 what implements the reference monitor（什么实现参考监视器），选 Security Kernel。

题目说 core of the TCB（TCB 的核心）并且 enforces access control（强制访问控制），先想 Security Kernel。

题目只问抽象模型或访问检查原则，才更像 Reference Monitor。

题目说 all hardware, software, and firmware（所有硬件、软件和固件）一起执行安全策略，才更像 TCB。

8. 别混

Reference Monitor：规则思想。

Security Kernel：把规则落地执行的核心。

TCB：所有可信安全部件的总和。

OS Kernel（操作系统内核）：普通操作系统核心，不一定等于安全内核；题目要看它是不是在实现安全策略。

记忆卡：TCB / Trusted Computing Base / 可信计算基

TCB 这张卡不能只背“可信计算基”四个字。

小白先懂一句话：TCB 是系统里那些“你必须相信它们不会乱来”的安全班底；如果它们坏了，整个安全规则就站不住。

1. 先懂一句话

TCB = Trusted Computing Base（可信计算基）。

它不是一块单独芯片。

它也不是整台电脑的每一颗螺丝。

它是所有负责 enforce security policy（强制执行安全策略）的 hardware（硬件）、software（软件）、firmware（固件）和保护机制的集合。

一句人话：系统靠哪些东西保证“该拦的拦住、该放的放行”，这些东西加起来就是 TCB。

2. 真正要背什么

这张卡真正要背 4 件事。

TCB 是一组可信组件，不是单个工具。
它包括硬件、软件、固件和保护机制。
它负责强制执行系统安全策略。
Reference Monitor（参考监视器）和 Security Kernel（安全内核）通常可以看作 TCB 里的关键部分。

3. 关键词拆解

Trusted（可信）：不是“它一定善良”，而是“安全依赖它正确工作”。

Computing Base（计算基）：支撑安全判断的基础部件。

Protection mechanisms（保护机制）：访问控制、权限检查、隔离、审计等能执行安全规则的机制。

Totality（总和）：题目出现“全部保护机制”时，常常在指 TCB。

4. 候选池

候选 1：整套安保班底。

保留。它能记住 TCB 是一组东西，不是一个人。

候选 2：电脑底座。

淘汰。容易误会成物理底座。

候选 3：门卫、门锁、监控、报警器一起算。

保留作故事画面。它能记住硬件、软件、固件都可能算进去。

讨论结论：主钩子用“整套安保班底”。辅助句是“安全靠谁撑住，谁就在 TCB 里”。

5. 最终主记法

TCB = 整套可信安保班底。

记完整句：资料室不是只靠一个门卫安全，还靠门锁、刷卡机、权限数据库、审计程序和报警器；这些负责执行安全规则的可信部件加起来，就是 TCB。

翻回知识点就是：可信计算基是系统中所有强制执行安全策略的硬件、软件、固件和机制的集合。

6. 小白故事

小林问：“我们公司资料室到底靠什么保护？”

管理员说：“靠门卫。”

审计说：“不止。”

如果门锁坏了，门卫也拦不住。

如果权限数据库被改了，刷卡机会放错人。

如果审计日志被删了，出事后没人知道谁进过门。

如果报警器失效，夜里有人撬门也没人发现。

所以安全不是靠单点英雄。

所有被系统信任、用来执行安全规则的部件，合起来才叫 TCB。

7. 回到考题

题目说 Trusted Computing Base（可信计算基），直接想到所有可信安全部件的总和。

题目说 total combination of protection mechanisms（保护机制的总组合），多半是 TCB。

题目列出 hardware / software / firmware（硬件 / 软件 / 固件）并说它们 enforce security policy（强制安全策略），选 TCB。

题目问具体实现 Reference Monitor 的核心，选 Security Kernel，不选整个 TCB。

8. 别混

TCB：一整套可信安全部件。

Security Kernel：TCB 里最核心的执行部件。

Reference Monitor：访问必须被检查的抽象概念。

TPM（Trusted Platform Module，可信平台模块）：是一种硬件安全芯片，不等于 TCB 全部。

记忆卡：Covert Channel / 隐蔽通道

Covert Channel 这张卡不要背成“加密通道”。

小白先懂一句话：它是两个不该通信的人，偷偷找了一条系统没打算给他们通信的小缝传消息。

1. 先懂一句话

Covert Channel = 隐蔽通道 / 隐蔽信道。

Covert 的意思不是“内容加密”。

它的重点是“偷偷绕过正常安全规则”。

正常系统可能禁止两个进程互相传消息。

但它们可以约好：CPU 忙一下代表 1，空一下代表 0；或者把某个共享文件大小改来改去传信号。

这就是隐蔽通道。

2. 真正要背什么

这张卡真正要背 4 件事。

Covert Channel 是 unintended communication path（非预期通信路径）。
它 bypasses security policy（绕过安全策略）。
Covert Storage Channel（隐蔽存储通道）用共享存储状态传消息。
Covert Timing Channel（隐蔽时间通道）用时间、延迟、响应节奏传消息。

3. 关键词拆解

Covert（隐蔽的）：不走公开、正常、被允许的通信方式。

Channel（通道）：能传递信息的路径。

Storage（存储）：用文件、磁盘空间、锁状态、共享变量等“东西的状态”传递信息。

Timing（时间）：用快慢、延迟、节奏、CPU 使用变化传递信息。

Overt Channel（公开通道）：系统本来就知道、允许、能监控的正常通信通道。

4. 候选池

候选 1：暗中递纸条。

保留。它能记住“不能明说，就偷偷传”。

候选 2：加密聊天。

淘汰。加密聊天还是正常通道，只是内容看不懂；隐蔽通道是通道本身不该存在。

候选 3：敲桌子报码。

保留作 timing channel（时间通道）画面。

讨论结论：主钩子用“暗中递纸条”。辅助画面用“改共享抽屉传纸条”和“敲桌节奏传数字”。

5. 最终主记法

Covert Channel = 不该聊天的人，借系统缝隙偷偷传话。

记完整句：安全策略不允许 A 和 B 通信，但 A 故意让系统变慢、变快，或者改一个共享状态，B 从这些变化里读出消息。

翻回知识点就是：隐蔽通道是绕过正常安全机制的非预期通信路径，常见类型是存储通道和时间通道。

6. 小白故事

小林公司规定两个部门不能直接共享客户资料。

于是系统也不允许两个程序互相发消息。

但一个程序发现，另一个程序能看到某个共享目录还剩多少空间。

它想传 1，就塞进一个大文件。

它想传 0，就把大文件删掉。

另一个程序只看空间变大还是变小，就读出了消息。

这就是 Covert Storage Channel。

另一次，它们不用文件。

一个程序故意让系统忙一秒、闲一秒，用节奏传消息。

这就是 Covert Timing Channel。

7. 回到考题

题目说 covert channel（隐蔽通道）、unintended communication path（非预期通信路径）、bypass security policy（绕过安全策略），先选 Covert Channel。

题目说 storage channel（存储通道），看共享文件、磁盘空间、锁、变量、资源状态。

题目说 timing channel（时间通道），看响应时间、CPU 忙闲、延迟、节奏。

题目说 encrypted channel（加密通道），不要自动选 covert。加密只是让内容不可读，隐蔽通道是偷偷绕开政策。

8. 别混

Covert Channel：秘密通信路径，重点是绕过安全策略。

Encrypted Channel（加密通道）：正常通道上把内容加密。

Backdoor（后门）：偷偷留下入口，重点是绕过登录或维护访问。

Tunnel（隧道）：把一种流量包进另一种流量里，可能合法，也可能被滥用；题目要看是否强调绕过策略。

记忆卡：Trusted Path / 可信路径

Trusted Path 这张卡不能写成“安全通道”就结束。

小白先懂一句话：它保证你是在和真正的系统安全核心说话，不是在假登录框里把密码交给别人。

1. 先懂一句话

Trusted Path = 可信路径。

它是一条用户和 TCB（可信计算基）之间的受保护通信路径。

重点不是“网线有没有加密”。

重点是“你输入密码、改密码、做敏感认证时，对面是不是真的系统安全部分”。

如果恶意程序弹出一个一模一样的登录框骗你输入密码，那就不是可信路径。

2. 真正要背什么

这张卡真正要背 4 件事。

Trusted Path 连接 user（用户）和 TCB（可信计算基）。
它常用于 login（登录）、authentication（认证）、password change（改密码）等敏感动作。
它要防 spoofing（伪造）和 interception（拦截）。
经典例子是 secure attention key（安全注意键），比如 Ctrl+Alt+Del 唤起可信登录界面。

3. 关键词拆解

Trusted（可信）：用户能确认对面是真的系统安全核心。

Path（路径）：用户输入和系统回应之间的通信线路。

Spoofing（伪造）：假的窗口、假的登录页、假的提示框冒充系统。

Secure attention key（安全注意键）：用户按下后，由系统直接接管，普通程序不能伪造。

4. 候选池

候选 1：确认是真的窗口。

保留。它抓住 Trusted Path 的核心：防假窗口。

候选 2：加密网线。

淘汰。可信路径不只是网络加密，很多时候讲的是用户到操作系统安全核心。

候选 3：只和本人通话的专线。

保留作辅助。它能记住“不被中间人冒充”。

讨论结论：主钩子用“确认是真的窗口”。辅助句是“输入密码前，先确认对面是系统本人”。

5. 最终主记法

Trusted Path = 你和系统本人说话的可信专线。

记完整句：当你输入密码时，系统要保证这个登录界面是真的 TCB 在接收，不是恶意程序画出来的假窗口。

翻回知识点就是：可信路径是用户与可信计算基之间受保护、不可伪造、不可拦截的通信路径。

6. 小白故事

小林打开电脑，屏幕上弹出一个登录框。

它长得和公司登录界面一模一样。

如果小林直接输入密码，可能就把密码送给恶意程序了。

公司后来规定，登录前必须按 Ctrl+Alt+Del。

这个按键组合普通程序不能拦截。

按下后出现的登录界面，由操作系统安全核心接管。

小林这时才知道：现在不是在和假窗口说话，而是在和真正的系统说话。

这就是 Trusted Path。

7. 回到考题

题目说 Trusted Path（可信路径）、secure communication with TCB（与 TCB 的安全通信）、secure attention key（安全注意键），先选 Trusted Path。

题目说 fake login screen（假登录界面）、spoofed login prompt（伪造登录提示），也在考 Trusted Path。

题目问网络两端数据传输加密，可能是 TLS（传输层安全）或 VPN（虚拟专用网络），不一定是 Trusted Path。

8. 别混

Trusted Path：用户和系统安全核心之间的可信交互。

TLS / SSL：网络通信加密协议。

VPN：把远程网络连成安全隧道。

Authentication（认证）：证明你是谁；Trusted Path 是让认证过程不被假界面骗走。

记忆卡：Orange Book / TCSEC / 橙皮书与可信计算机系统评价准则

Orange Book 这张卡不要背成“一个老标准”就过去。

小白先懂一句话：它像旧时代给计算机安全打等级的橙色成绩册，特别关心系统能不能保护秘密。

1. 先懂一句话

Orange Book = 橙皮书。

正式名叫 TCSEC = Trusted Computer System Evaluation Criteria（可信计算机系统评价准则）。

它是美国 DoD（Department of Defense，美国国防部）早期用来评估计算机系统安全性的标准。

它尤其偏重 confidentiality（机密性）。

它不是现代最常用的国际评估框架。

现代考试里经常把它和 Common Criteria（通用准则）放在一起让你区分。

2. 真正要背什么

这张卡真正要背 5 件事。

Orange Book / TCSEC 是早期美国国防部安全评估标准。
它偏重机密性，和 Bell-LaPadula（贝尔-拉帕杜拉保密模型）关系紧。
等级大方向是 D、C、B、A。
D 是最低保护，C 是自主保护，B 是强制保护，A 是验证保护。
Common Criteria（通用准则）后来取代了 TCSEC / ITSEC 这类旧框架。

3. 关键词拆解

D：Minimal Protection（最低保护）。

C1 / C2：Discretionary Protection（自主保护），更像用户或资源所有者控制访问。

B1 / B2 / B3：Mandatory Protection（强制保护），有标签、强制访问控制和更严格设计。

A1：Verified Protection（验证保护），要求形式化设计和验证。

Rainbow Series（彩虹系列）：一组不同颜色封面的安全标准，Orange Book 是其中一本。

4. 候选池

候选 1：橙色成绩册。

保留。它能记住 Orange Book 是评估等级。

候选 2：现代国际证书。

淘汰。这是 Common Criteria 的味道，不是 Orange Book。

候选 3：旧军方保密考试。

保留作故事钩子。它能记住 DoD 和 confidentiality。

讨论结论：主钩子用“旧军方橙色成绩册”。辅助句是“D/C/B/A 往上越来越严格，重点看保密”。

5. 最终主记法

Orange Book / TCSEC = 旧军方橙色安全成绩册。

记完整句：国防部像给保险柜考试一样，按 D、C、B、A 给系统保护秘密的能力打等级；越往上，强制访问控制和验证要求越严格。

翻回知识点就是：TCSEC 是早期美国可信计算机系统评价准则，偏重机密性，后来被 Common Criteria 取代。

6. 小白故事

小林要采购一套处理机密文件的系统。

老标准时代，评测人员拿出一本橙色册子。

他们不是先问界面好不好看。

他们问：低级别用户能不能偷看高级别文件？

秘密会不会被写到低级别区域？

系统有没有强制访问控制？

安全设计有没有被验证？

最差的系统只能拿 D。

有基本自主保护的是 C。

开始做强制访问控制的是 B。

做到形式化验证的是 A。

这就是 Orange Book / TCSEC 的画面。

7. 回到考题

题目说 Orange Book（橙皮书）、TCSEC（可信计算机系统评价准则）、DoD（美国国防部）、Rainbow Series（彩虹系列），先选 TCSEC。

题目强调 confidentiality（机密性）、Bell-LaPadula（贝尔-拉帕杜拉）、D/C/B/A 等级，也多半是 TCSEC。

题目说 ISO/IEC 15408（国际标准编号）、TOE（评估对象）、PP（保护轮廓）、ST（安全目标）、EAL（评估保证级），那是 Common Criteria。

8. 别混

TCSEC / Orange Book：旧的美国国防部标准，偏机密性。

Common Criteria：现代国际评估框架，使用 TOE、PP、ST、EAL。

Bell-LaPadula：保密模型，不是评估标准本身。

NIST：发布安全指南和框架的美国机构，不等于 Orange Book。

记忆卡：Common Criteria / 通用准则

Common Criteria 这张卡不能只背“EAL 等级”。

小白先懂一句话：它像国际通用的产品安全测评报告，先说要评什么，再说按什么要求评，最后给出评估保证深度。

1. 先懂一句话

Common Criteria = 通用准则。

它的正式标准编号是 ISO/IEC 15408。

它用来评估安全产品或系统的安全功能和保证程度。

它不是一句“这个产品绝对安全”。

它更像评测报告：这个产品说自己能做到哪些安全目标，评测机构按多深的程度检查过。

2. 真正要背什么

这张卡真正要背 5 件事。

TOE = Target of Evaluation（评估对象），就是被拿来评测的产品或系统。
PP = Protection Profile（保护轮廓），像买方或行业提出的通用安全需求模板。
ST = Security Target（安全目标），像厂商说明“我的这个产品承诺满足什么安全要求”。
EAL = Evaluation Assurance Level（评估保证级），从 EAL1 到 EAL7，表示评测深度。
EAL 越高，不等于产品绝对更安全，也不等于功能更多；它主要表示评估更深入、更严格。

3. 关键词拆解

Common（通用）：多国认可的共同评估语言。

Criteria（准则）：评测时使用的一套规则。

TOE（评估对象）：这次被评的具体东西。

PP（保护轮廓）：一类产品应该满足的安全需求。

ST（安全目标）：这个产品自己声称要满足的安全目标。

EAL1-EAL7（评估保证级 1 到 7）：评估从功能测试到形式化验证逐步加深。

4. 候选池

候选 1：国际测评报告卡。

保留。它能记住这是评估框架。

候选 2：安全满分证书。

淘汰。EAL 不是绝对安全分数。

候选 3：买方需求、厂商承诺、评测等级。

保留作结构钩子。它能对应 PP、ST、EAL。

讨论结论：主钩子用“国际测评报告卡”。辅助结构是“TOE 被评、PP 提要求、ST 写承诺、EAL 表示查多深”。

5. 最终主记法

Common Criteria = 国际安全测评报告卡。

记完整句：先把产品放到桌上当 TOE，再看行业需求 PP，厂商写出 ST，评测机构按 EAL1 到 EAL7 的深度去查。

翻回知识点就是：通用准则是 ISO/IEC 15408 下的安全评估框架，用 TOE、PP、ST、EAL 描述评估对象、需求、目标和保证级。

6. 小白故事

小林要买一款防火墙。

厂商说：“我很安全。”

评测机构说：“不能只喊口号。”

先确定 TOE：这次评的到底是哪一款防火墙、哪个版本、哪些模块。

再看 PP：这类防火墙通常应该满足哪些安全需求。

厂商写 ST：我的产品具体承诺满足哪些目标。

最后评测机构按 EAL 做检查。

EAL1 可能只是功能测试。

EAL7 则会走到非常严格的形式化设计和验证。

但是小林不能把 EAL 当成“永远不会被攻破”的保证。

它只说明这个产品按某个深度被评过。

7. 回到考题

题目说 Common Criteria（通用准则）或 ISO/IEC 15408，先选 Common Criteria。

题目问 TOE（Target of Evaluation，评估对象），就是被评测的具体产品或系统。

题目问 PP（Protection Profile，保护轮廓），想“通用需求模板”。

题目问 ST（Security Target，安全目标），想“厂商对这个产品的安全承诺”。

题目问 EAL（Evaluation Assurance Level，评估保证级），想“评估深度”，不要答成“绝对安全程度”。

8. 别混

Common Criteria：现代国际评估框架。

TCSEC / Orange Book：更早的美国国防部评估标准。

EAL：评估保证深度，不是产品无漏洞保证。

Certification（认证）：通过某个评估流程；不代表部署后就不需要配置、补丁和监控。

记忆卡：Data Remanence / 数据残留

Data Remanence 这张卡不要只背“删除后还有数据”。

小白先懂一句话：你以为文件删了，其实介质上可能还留着影子，懂工具的人还能把影子找回来。

1. 先懂一句话

Data Remanence = 数据残留。

它指数据在被 delete（删除）、format（格式化）、erase（擦除）或 power off（断电）以后，仍然以某种形式留在介质上。

电脑删除文件时，很多时候只是把目录里“这本书还在这里”的登记划掉。

书页本身可能还在书架上。

只要没人把那些位置覆盖掉，恢复工具就可能找回来。

2. 真正要背什么

这张卡真正要背 4 件事。

Data Remanence 是数据残余现象，不是备份。
普通删除和快速格式化通常不可靠。
磁盘、磁带、SSD、内存、slack space（文件尾部空隙空间）都可能出现残留。
处理数据残留要靠 Media Sanitization（介质净化），如 clear（清除）、purge（净化）、destroy（销毁）。

3. 关键词拆解

Residual data（残余数据）：看似没了，但还可能恢复的数据。

Slack space（空隙空间）：文件没有完全占满的磁盘块里剩下的空间，可能残留旧内容。

Magnetic remanence（磁性残留）：磁性介质上可能留下的旧信号痕迹。

Cold boot（冷启动）：某些情况下，内存断电后短时间内仍可能残留信息。

4. 候选池

候选 1：擦掉后还留影。

保留。它能记住“以为没了，其实还有痕迹”。

候选 2：自动备份。

淘汰。备份是故意留副本，数据残留是介质上没清干净。

候选 3：白板淡痕。

保留作故事画面。擦过的白板凑近还能看到旧字。

讨论结论：主钩子用“擦掉后还留影”。辅助画面用“目录删了，书页还在”。

5. 最终主记法

Data Remanence = 数据被擦掉以后留下的影子。

记完整句：删除文件像把图书目录里的索引划掉，真正的书页可能还躺在原位置，直到被覆盖、净化或销毁。

翻回知识点就是：数据残留是删除或断电后仍存在于介质上的可恢复数据痕迹。

6. 小白故事

小林把旧笔记本卖掉前，把客户名单文件拖进回收站，又清空回收站。

他以为资料没了。

买家用恢复工具一扫，发现原来的文件内容还在磁盘块里。

因为删除只是告诉系统“这块空间可以以后再用”。

在新数据覆盖之前，旧内容可能还躺在那里。

这就是 Data Remanence。

如果公司处理的是客户资料、密钥、病历或财务数据，只删除文件远远不够。

必须按介质类型和数据敏感程度做净化或销毁。

7. 回到考题

题目说 data remanence（数据残留）、residual data（残余数据）、deleted but recoverable（删除后仍可恢复），先选 Data Remanence。

题目问为什么旧硬盘报废前要清理，原因就是 Data Remanence。

题目说 slack space（空隙空间）可能藏旧数据，也是在考数据残留。

题目问具体怎么处理残留，才进入 Media Sanitization（介质净化）或具体方法。

8. 别混

Data Remanence：问题本身，数据还残留。

Backup（备份）：故意复制一份备用。

Cache（缓存）：为了加速临时保存数据，可能造成残留风险，但不是所有残留都叫缓存。

Media Sanitization：解决数据残留的处理流程。

记忆卡：Media Sanitization / 介质净化

Media Sanitization 这张卡不能背成“把硬盘格式化”。

小白先懂一句话：公司要把旧硬盘、磁带、U 盘、服务器交出去之前，必须把里面的数据处理到别人恢复不出来。

1. 先懂一句话

Media Sanitization = 介质净化 / 介质清理。

Media（介质）就是存数据的东西。

比如硬盘、SSD、磁带、U 盘、光盘、手机、打印机硬盘。

Sanitization（净化）不是简单删除。

它是一整套处理流程：根据数据有多敏感、介质是什么、还要不要继续用，选择清除、净化或销毁。

2. 真正要背什么

这张卡真正要背 5 件事。

介质净化的目标是处理 Data Remanence（数据残留）。
Clear（清除）通常是覆盖或重置，让普通恢复工具拿不到数据。
Purge（净化）比清除更强，适合介质离开原控制环境或更高敏感场景。
Destroy（销毁）最彻底，物理破坏介质，通常不能再用。
方法选择要看 data classification（数据分类）、media type（介质类型）和 reuse requirement（是否还要重用）。

3. 关键词拆解

Clear（清除）：把数据覆盖或重置，降低普通恢复风险。

Purge（净化）：用更强方式清理，目标是让更专业的恢复也很难成功。

Destroy（销毁）：切碎、粉碎、焚烧、熔毁，让介质无法再恢复和使用。

NIST SP 800-88（美国国家标准与技术研究院介质净化指南）：考试常见的介质净化指南。

4. 候选池

候选 1：旧本子出门前洗干净。

保留。它能记住“介质离开公司前要处理”。

候选 2：只按删除键。

淘汰。删除不是可靠净化。

候选 3：清、净、毁三档。

保留作结构钩子。它对应 clear、purge、destroy。

讨论结论：主钩子用“旧本子出门前洗干净”。辅助结构是“清、净、毁三档”。

5. 最终主记法

Media Sanitization = 存储介质出门前，按敏感度做清、净、毁。

记完整句：普通资料可能清除后继续用，敏感资料可能要净化后再流转，最高敏感或报废介质直接销毁。

翻回知识点就是：介质净化是为了处理数据残留，按数据分类、介质类型和重用要求选择清除、净化或销毁。

6. 小白故事

小林公司要淘汰一批旧设备。

第一台电脑只存过公开培训资料，还要给内部员工继续使用。

可以做清除。

第二块硬盘存过客户资料，要交给外部维修商。

普通删除不够，可能要做更强的净化。

第三块磁盘存过密钥和敏感财务资料，而且不需要再用。

公司直接走销毁流程，粉碎并保留销毁记录。

这就是 Media Sanitization。

它不是一招走天下。

它是先看数据有多敏感，再看介质是什么，最后决定清、净、毁。

7. 回到考题

题目说 media sanitization（介质净化）、sanitize media（清理介质）、reuse or disposal（重用或报废），先想清、净、毁三档。

题目问处理数据残留的总流程，选 Media Sanitization。

题目问最安全、最高保证、不能重用，通常选 Destruction（销毁）。

题目问还要继续使用介质，就不要急着选物理销毁。

8. 别混

Data Remanence：为什么要净化，因为数据会残留。

Media Sanitization：总流程，决定怎么处理介质。

Secure Erase：一种擦除方法。

Degaussing：一种消磁方法，主要用于磁性介质。

Destruction：物理销毁，最彻底但不能重用。

记忆卡：Secure Erase / Degaussing / Destruction / 安全擦除、消磁与销毁

这一张卡不要把所有方法都叫“删除”。

小白先懂一句话：同样是处理旧数据，安全擦除像让设备自己认真清空，消磁像用强磁场打乱磁性介质，销毁像直接把介质打碎到不能再用。

1. 先懂一句话

Secure Erase = 安全擦除。

Degaussing = 消磁。

Destruction = 销毁。

它们都是处理 Data Remanence（数据残留）的方法，但适用场景不一样。

普通 delete（删除）和 quick format（快速格式化）通常不够。

考试最爱问：哪种介质该用哪种方法。

2. 真正要背什么

这张卡真正要背 6 件事。

Secure Erase（安全擦除）通常指设备级或命令级擦除，比普通删除可靠。
SSD（固态硬盘）因为 wear leveling（磨损均衡），传统覆盖不一定能碰到所有物理位置，所以常看 Secure Erase 或 Crypto Erase（加密擦除）。
Degaussing（消磁）用 strong magnetic field（强磁场）破坏磁性数据。
Degaussing 适合 magnetic media（磁性介质），如磁带和传统机械硬盘。
Degaussing 不适合 SSD、光盘、纸质资料。
Destruction（销毁）最彻底，方法包括 shredding（粉碎）、pulverizing（粉化）、incineration（焚烧）、melting（熔毁）。

3. 关键词拆解

Secure Erase（安全擦除）：让设备按内建机制清理数据区域。

Crypto Erase（加密擦除）：销毁加密密钥，让加密数据无法解开。

Degaussing（消磁）：破坏磁性介质上的磁场排列。

Destruction（销毁）：物理破坏介质，不追求继续使用。

Optical media（光学介质）：CD、DVD、蓝光盘，不能靠消磁处理。

4. 候选池

候选 1：软擦、强磁、砸碎。

保留。它能把三类动作区分开。

候选 2：全部消磁。

淘汰。SSD 和光盘不能靠消磁。

候选 3：还要用就擦，不用就毁。

保留作考试判断。它能记住“重用需求”很关键。

讨论结论：主钩子用“软擦、强磁、砸碎”。辅助判断是“先看介质，再看还要不要重用”。

5. 最终主记法

Secure Erase / Degaussing / Destruction = 软擦、强磁、砸碎。

记完整句：还想继续用设备，先看安全擦除；磁带和机械硬盘可以消磁；高度敏感、报废、不再重用时，直接粉碎、焚烧或熔毁。

翻回知识点就是：不同介质要选不同净化方法，消磁只适合磁性介质，销毁最彻底但介质不可再用。

6. 小白故事

小林桌上有三样旧介质。

第一块 SSD 还想给员工继续用。

他不能只删文件，也不能指望普通覆盖一定覆盖到所有物理位置。

他优先考虑 Secure Erase 或 Crypto Erase。

第二卷磁带要报废。

磁带靠磁性保存数据，可以用 Degaussing 消磁。

第三张一次性刻录 DVD 存过敏感资料。

DVD 不是磁性介质，消磁没用。

公司选择物理销毁。

如果是一批最高敏感硬盘，而且不需要再用，公司也可以直接粉碎、焚烧、熔毁，并保留销毁证明。

7. 回到考题

题目问 most ineffective method to remove data（最无效的数据移除方法），看到普通 erase/delete（删除）通常要小心，它常常最弱。

题目说 magnetic tape（磁带）或 magnetic media（磁性介质），Degaussing 可能正确。

题目说 SSD（固态硬盘），不要选 Degaussing；常看 Secure Erase、Crypto Erase 或物理销毁。

题目说 optical disc / DVD（光盘），不要选 Degaussing；敏感资料通常物理销毁。

题目说 most secure（最安全）、highest assurance（最高保证）、no reuse（不再重用），通常选 Destruction。

题目说 media must be reused（介质必须重用），不要选 Destruction。

8. 别混

Delete / Erase（普通删除）：通常只是删除索引或标记空间可用，不可靠。

Clear（清除）：比普通删除强，常用于同环境内重用。

Purge（净化）：比清除更强，适合更高敏感或离开控制范围。

Degaussing（消磁）：只对磁性介质有效。

Destruction（销毁）：最彻底，但不能重用。

记忆卡：Kerckhoffs's Principle / 科克霍夫原则

Kerckhoffs's Principle 这张卡不要背成“密码学家的名言”。

小白先懂一句话：好锁不怕别人看见图纸，真正必须藏起来的是钥匙。

1. 先懂一句话

Kerckhoffs's Principle = 科克霍夫原则。

它说的是：密码系统的安全不应该依赖算法保密，而应该依赖密钥保密。

Algorithm（算法）可以公开。

Key（密钥）必须保密。

如果一个系统的安全只靠“别人不知道我怎么设计”，那它很危险。

因为设计一旦泄露，整个系统就塌了。

2. 真正要背什么

这张卡真正要背 4 件事。

算法公开也应该安全。
密钥才是必须保密的核心。
公开算法能让更多人审查缺陷。
Security through obscurity（通过隐藏获得安全）通常不是可靠设计。

3. 关键词拆解

Algorithm is public（算法公开）：别人知道加密规则也没关系。

Only the key is secret（只有密钥保密）：攻击者没有钥匙，仍然打不开。

Design is known（设计已知）：系统结构曝光后仍要安全。

Security through obscurity（隐藏式安全）：靠藏住实现细节来保护，考试里常是反面信号。

4. 候选池

候选 1：锁的图纸可以公开。

保留。它能直接记住“算法公开”。

候选 2：把保险柜藏起来。

淘汰。藏保险柜不是科克霍夫原则，容易滑到隐藏式安全。

候选 3：真正要藏钥匙。

保留作主句后半段。它能记住“密钥保密”。

讨论结论：主钩子用“图纸公开，钥匙保密”。这个画面比抽象说“算法公开”更好记。

5. 最终主记法

Kerckhoffs's Principle = 图纸公开，钥匙保密。

记完整句：保险柜结构图可以给全世界看，别人研究完仍然打不开，才说明锁本身可靠；真正不能丢的是钥匙。

翻回知识点就是：密码系统即使算法和设计公开，只要密钥没泄露，也应该保持安全。

6. 小白故事

小林公司采购保险柜。

厂商说：“我们这个保险柜很安全，因为没人知道里面怎么造。”

小林反而紧张。

如果有一天维修手册泄露，保险柜是不是就能被打开？

另一个厂商把结构图、材料、锁芯设计都公开给专家看。

专家挑不出能直接开锁的漏洞。

只要钥匙还在管理员手里，外人知道图纸也打不开。

这才像科克霍夫原则。

密码算法也是一样。

算法可以公开接受审查。

密钥才是必须保护的秘密。

7. 回到考题

题目说 algorithm is public（算法公开）、only the key is secret（只有密钥保密），先想 Kerckhoffs's Principle。

题目说 secure even if design is known（设计公开仍安全），也在考这个原则。

题目问 proprietary secret algorithm（专有秘密算法）是不是更好，不要急着选。考试通常更认可公开算法加严格密钥保护。

题目说 security through obscurity（通过隐藏获得安全），常是反面选项。

8. 别混

Kerckhoffs's Principle：算法公开，密钥保密。

Open source（开源）：代码公开的开发方式，不等于自动安全，但思想上都接受公开审查。

Security through obscurity：靠别人不知道细节来安全，通常不可靠。

Key management（密钥管理）：后面管密钥怎么生成、保存、轮换和销毁。

记忆卡：Symmetric Encryption / 对称加密

Symmetric Encryption 这张卡不要只背“同一把钥匙”。

小白先懂一句话：对称加密像两个人共用同一把箱子钥匙，锁箱和开箱都靠它，所以速度快，但钥匙怎么安全交给对方很麻烦。

1. 先懂一句话

Symmetric Encryption = 对称加密。

也叫 secret key cryptography（秘密密钥密码）。

加密和解密用同一把 shared secret key（共享秘密密钥）。

Alice 用这把钥匙把文件锁进箱子。

Bob 用同一把钥匙打开箱子。

这类算法速度快，适合 bulk data（大量数据），比如硬盘加密、数据库加密、VPN 里传大量流量。

2. 真正要背什么

这张卡真正要背 5 件事。

同一把密钥负责加密和解密。
速度快，适合大量数据。
主要提供 confidentiality（机密性）。
最大痛点是 key distribution（密钥分发）。
不能单独提供强 nonrepudiation（不可否认性），因为双方都握着同一把钥匙。

3. 关键词拆解

Same key（同一把钥匙）：加密和解密用同一个秘密。

Shared secret（共享秘密）：通信双方都知道这把密钥。

Fast（快）：计算开销小，适合大文件和大流量。

Key distribution（密钥分发）：怎么把密钥安全送到对方手里。

Scalability（可扩展性）：人越多，密钥数量越难管理。

4. 候选池

候选 1：两个人共用同一把门钥匙。

保留。它最直接地记住“同一把钥匙”。

候选 2：万能钥匙到处发。

淘汰。容易误会成所有人都用一把全局钥匙，对称加密不一定这样做。

候选 3：箱子锁得快，送钥匙难。

保留作考试钩子。它能记住优点和痛点。

讨论结论：主钩子用“同一把箱子钥匙”。辅助句是“锁得快，送钥匙难”。

5. 最终主记法

Symmetric Encryption = 同一把钥匙锁箱、开箱。

记完整句：Alice 用共享钥匙锁住文件，Bob 用同一把钥匙打开；箱子锁得很快，但要先安全把钥匙交到 Bob 手里。

翻回知识点就是：对称加密用共享密钥加解密，速度快，适合大量数据，但密钥分发和扩展性是主要难题。

6. 小白故事

小林要把一大箱客户资料送给小王。

他用一把钥匙把箱子锁上。

小王必须有同一把钥匙才能打开。

如果只有两个人，这很简单。

但公司有 100 个人，两两都要私密通信，钥匙数量会爆炸。

如果有人离职，还要重新换钥匙。

如果钥匙在路上被截走，攻击者就能打开箱子。

所以对称加密很快，但密钥管理很烦。

这也是为什么后面会出现非对称加密和数字信封。

7. 回到考题

题目说 shared secret key（共享秘密密钥）、same key（同一密钥）、secret key cryptography（秘密密钥密码），先选 Symmetric Encryption。

题目说 fast（快）、bulk data（大量数据）、disk encryption（磁盘加密）、AES，通常指对称加密。

题目问最大缺点，常看 key distribution（密钥分发）、scalability（扩展性差）、no nonrepudiation（不能单独提供不可否认）。

题目问双方都能生成同样的加密结果，不能证明是谁发的，也是在说对称加密的不可否认性问题。

8. 别混

Symmetric Encryption：同一把密钥，快，适合大量数据。

Asymmetric Encryption：公钥和私钥一对，慢，但解决密钥交换问题。

Hashing：哈希不是加密，主要验改动。

Digital Signature：签名证明来源和不可否认，不是为了快速加密大量数据。

记忆卡：Asymmetric Encryption / 非对称加密

Asymmetric Encryption 这张卡不要只背“公钥私钥”。

小白先懂一句话：公钥像公开挂锁，谁都能拿来把箱子锁上；私钥像只有本人有的开锁钥匙，只有本人能打开。

1. 先懂一句话

Asymmetric Encryption = 非对称加密。

也叫 public key cryptography（公钥密码）。

它给每个人一对 key pair（密钥对）：public key（公钥）和 private key（私钥）。

公钥可以发给别人。

私钥必须自己保管。

别人用你的公钥加密消息。

你用自己的私钥解密消息。

2. 真正要背什么

这张卡真正要背 5 件事。

它使用公钥和私钥一对密钥。
公钥可以公开，私钥必须保密。
它解决对称加密的 key distribution（密钥分发）问题。
它比对称加密慢，不适合直接加密大量数据。
它还能用于 digital signature（数字签名）和 key exchange（密钥交换）。

3. 关键词拆解

Public key（公钥）：可以给别人，用来加密给你看的内容，或验证你的签名。

Private key（私钥）：只能你自己保管，用来解密发给你的内容，或生成你的签名。

Key pair（密钥对）：公钥和私钥数学相关，但不能从公钥轻易推出私钥。

Key exchange（密钥交换）：让双方安全协商后续对称会话密钥。

Computationally expensive（计算开销大）：比对称加密慢。

4. 候选池

候选 1：公开挂锁，私人钥匙。

保留。它能记住“公钥可以公开，私钥不能给人”。

候选 2：两把完全没关系的钥匙。

淘汰。公钥和私钥不是随便两把钥匙，它们是一对数学相关的密钥。

候选 3：寄箱子不用先送钥匙。

保留作痛点钩子。它能记住非对称解决密钥分发。

讨论结论：主钩子用“公开挂锁，私人钥匙”。辅助句是“大箱子不直接用它锁，太慢”。

5. 最终主记法

Asymmetric Encryption = 公钥挂锁，私钥开锁。

记完整句：你把打开的挂锁放在前台，任何人都能拿你的挂锁锁箱子寄给你；箱子一旦锁上，只有你口袋里的私钥能打开。

翻回知识点就是：非对称加密用公私钥对解决密钥交换和身份问题，但速度较慢，通常和对称加密配合使用。

6. 小白故事

小林不想把箱子钥匙寄来寄去。

他在公司前台放了一堆打开的挂锁。

每个挂锁上都写着“小林公钥”。

任何人想给小林寄保密文件，就拿一个挂锁把箱子锁上。

锁上以后，连寄件人自己也打不开。

只有小林口袋里的私钥能打开。

这就是非对称加密的保密用法。

但如果箱子特别大，用这种锁每一页都处理会很慢。

所以现实里常用它来安全传递一把临时对称钥匙，再用对称加密处理大数据。

7. 回到考题

题目说 public/private key pair（公私钥对）、public key cryptography（公钥密码）、asymmetric（非对称），先选 Asymmetric Encryption。

题目说 key exchange（密钥交换）、scalable to many users（可扩展到大量用户），常指非对称。

题目问保密发送给 Bob，通常用 Bob 的 public key（公钥）加密，Bob 用自己的 private key（私钥）解密。

题目问数字签名，通常是 sender private key signs（发送者私钥签名），receiver public key verifies（接收者用公钥验证）。

8. 别混

非对称加密用于保密：接收者公钥加密，接收者私钥解密。

数字签名用于证明来源：发送者私钥签名，发送者公钥验证。

Certificate（证书）：把公钥和身份绑定起来，不等于非对称加密本身。

Digital Envelope（数字信封）：把非对称和对称组合起来。

记忆卡：Hashing / 哈希

Hashing 这张卡最容易被小白误会成“另一种加密”。

小白先懂一句话：哈希像文件指纹机，文件进去吐出一串短指纹；指纹能用来验文件有没有变，但不能把指纹变回文件。

1. 先懂一句话

Hashing = 哈希 / 散列。

Hash function（哈希函数）把任意长度的数据，变成固定长度的 message digest（消息摘要）。

它是 one-way function（单向函数）。

意思是：从原文算摘要很容易，从摘要倒推出原文非常难。

合同改一个空格，摘要也会大变。

所以它常用来检查 integrity（完整性）。

2. 真正要背什么

这张卡真正要背 5 件事。

输入可以很长，输出是固定长度摘要。
哈希是单向的，不能正常“解密哈希”。
同一输入应该得到同一摘要。
输入有微小变化，摘要会明显不同。
哈希主要用于完整性检查，不提供机密性。

3. 关键词拆解

Message digest（消息摘要）：哈希算出来的短结果。

Fixed-length output（固定长度输出）：无论原文多长，摘要长度固定。

One-way（单向）：不能从摘要轻易还原原文。

Collision resistance（抗碰撞）：很难找到两个不同输入得到同一摘要。

Integrity check（完整性检查）：用摘要判断内容有没有被改。

4. 候选池

候选 1：文件指纹机。

保留。它能记住“验身份一样验文件内容”。

候选 2：压缩包。

淘汰。压缩包还能解压，哈希不能还原。

候选 3：合同改 1 元，指纹全变。

保留作故事画面。它能记住微小变化也会影响摘要。

讨论结论：主钩子用“文件指纹机”。辅助句是“只能比对，不能还原”。

5. 最终主记法

Hashing = 文件进指纹机，吐出固定短指纹。

记完整句：合同原文可以很长，哈希结果是一串固定长度短码；你能拿短码比对合同有没有被改，但不能从短码还原合同。

翻回知识点就是：哈希用于生成消息摘要，主要验证完整性，不提供机密性。

6. 小白故事

小林从官网下载一个安装包。

官网同时给出一串 hash value（哈希值）。

小林下载后，在自己电脑上也算一遍哈希。

如果两个值一样，说明他下载到的文件和官网发布的文件一致。

如果安装包路上被人改了一个字节，哈希值就会不一样。

但小林不能拿官网那串哈希值还原安装包。

哈希不是加密。

它更像文件指纹。

用来验有没有被改，不是用来藏内容。

7. 回到考题

题目说 one-way function（单向函数）、message digest（消息摘要）、fixed-length output（固定长度输出），先想 Hashing。

题目问 verify integrity（验证完整性）或 detect modification（发现修改），常看哈希。

题目说 cannot be reversed（不可逆）或 cannot determine original message（不能从摘要确定原文），也是哈希。

题目问 protect confidentiality（保护机密性），不要选普通哈希，要看 encryption（加密）。

题目问 prove who sent it（证明是谁发的），普通哈希不够，要看 digital signature 或 HMAC。

8. 别混

Hashing：验改动，不保密，不可逆。

Encryption（加密）：藏内容，可以解密回来。

Checksum（校验和）：也能查错误，但安全强度通常不如密码学哈希。

Digital Signature：通常先哈希，再用私钥签名。

HMAC：哈希里加入共享密钥，用来做消息认证。

记忆卡：Digital Signature / 数字签名

Digital Signature 这张卡不要误会成“把文件加密”。

小白先懂一句话：数字签名像经理用私钥给文件盖章，别人用经理的公钥验章，能确认是谁签的、内容有没有被改、事后能不能赖。

1. 先懂一句话

Digital Signature = 数字签名。

它通常不是直接把整份文件拿去签。

常见流程是：先对文件做 hash（哈希），得到 message digest（消息摘要），再用 sender private key（发送者私钥）对摘要签名。

接收者用 sender public key（发送者公钥）验证签名。

如果验证通过，就说明签名确实来自对应私钥，文件摘要也没有被改。

2. 真正要背什么

这张卡真正要背 4 件事。

发送者用自己的 private key（私钥）签名。
接收者用发送者的 public key（公钥）验证。
它提供 integrity（完整性）和 authenticity（真实性）。
它支持 nonrepudiation（不可否认性），因为私钥理论上只有发送者掌握。

3. 关键词拆解

Sign（签名）：用私钥对摘要做密码学操作。

Verify（验证）：用公钥检查签名是否匹配。

Authenticity（真实性）：确认消息来源是真的。

Nonrepudiation（不可否认性）：发送者事后难以否认自己签过。

Private key signs, public key verifies（私钥签，公钥验）：这句话必须记牢。

4. 候选池

候选 1：私钥盖章，公钥验章。

保留。它能记住方向。

候选 2：签名就是加密文件。

淘汰。签名重点不是藏内容。

候选 3：先看文件指纹，再盖章。

保留作流程钩子。它能记住签名通常基于哈希。

讨论结论：主钩子用“私钥盖章，公钥验章”。辅助句是“签的是文件指纹，不是为了保密”。

5. 最终主记法

Digital Signature = 私钥盖章，公钥验章。

记完整句：经理先给合同做指纹，再用自己的私钥在指纹上盖章；财务用经理公钥验章，确认章是真的、合同没被改、经理不能轻易抵赖。

翻回知识点就是：数字签名用私钥生成、公钥验证，提供完整性、真实性和不可否认性。

6. 小白故事

小林经理批准一张 10 万元采购单。

系统先给采购单算出一串哈希指纹。

然后经理用自己的私钥给这个指纹签名。

财务收到后，不只是看采购单内容。

财务还用经理的公钥验证签名。

验证通过，说明这份采购单的指纹没变，签名也确实对应经理的私钥。

如果有人把 10 万改成 100 万，文件指纹会变，签名验证就失败。

如果经理事后说“不是我签的”，数字签名也能提供不可否认性的证据。

7. 回到考题

题目说 digital signature（数字签名）、nonrepudiation（不可否认性）、authenticity（真实性）、private key signs（私钥签名），先选 Digital Signature。

题目问谁的私钥签名，答案是 sender's private key（发送者私钥）。

题目问谁的公钥验证，答案是 sender's public key（发送者公钥）。

题目只问 confidentiality（机密性），数字签名不是主要答案。

题目问内容有没有被改，数字签名能帮助验证完整性，但普通哈希也可能是答案，要看有没有问来源和不可否认。

8. 别混

Digital Signature：证明来源、完整性、不可否认。

Encryption：隐藏内容。

Hashing：只验内容有没有变，不证明是谁生成的。

HMAC：共享密钥做消息认证，不能像数字签名一样强不可否认。

记忆卡：HMAC / Hash-Based Message Authentication Code / 基于哈希的消息认证码

HMAC 这张卡不要写成“高级哈希”就结束。

小白先懂一句话：HMAC 是给哈希指纹加一把共享密钥，外人就算知道消息内容，也算不出合格的认证标签。

1. 先懂一句话

HMAC = Hash-Based Message Authentication Code（基于哈希的消息认证码）。

它把 hash function（哈希函数）和 shared secret key（共享秘密密钥）结合起来。

普通哈希只看内容。

HMAC 还要求双方都知道同一把秘密密钥。

所以它不仅能发现内容有没有被改，还能确认消息来自持有密钥的一方。

2. 真正要背什么

这张卡真正要背 5 件事。

HMAC = 哈希 + 共享密钥。
它提供 integrity（完整性）和 message authentication（消息认证）。
它不提供 confidentiality（机密性），内容本身不一定被隐藏。
它不提供强 nonrepudiation（不可否认性），因为双方都知道同一把密钥。
它常出现在 API request signing（接口请求签名）、消息校验、协议认证里。

3. 关键词拆解

Keyed hash（带密钥哈希）：不是单纯把消息丢进哈希函数。

MAC（Message Authentication Code，消息认证码）：消息旁边贴的认证标签。

Shared secret（共享秘密）：发送方和接收方都知道的密钥。

Integrity and authenticity（完整性和真实性）：消息没改，且来自持钥方。

4. 候选池

候选 1：哈希指纹里加钥匙。

保留。它能区分普通哈希。

候选 2：数字签名的另一种名字。

淘汰。HMAC 不是数字签名，因为它用共享密钥。

候选 3：仓库发货单的秘密标签。

保留作故事画面。它能记住“别人改数量会对不上”。

讨论结论：主钩子用“带钥匙的哈希标签”。辅助句是“双方都能贴标签，所以不能强防抵赖”。

5. 最终主记法

HMAC = 哈希标签里藏一把共享钥匙。

记完整句：仓库和门店约好一个秘密规则，发货单旁边贴认证标签；门店用同一把秘密密钥重算标签，标签一致才相信数量没被改、消息来自持钥方。

翻回知识点就是：HMAC 用共享密钥和哈希函数生成消息认证码，提供完整性和消息认证，但不提供机密性和强不可否认。

6. 小白故事

小林的仓库每天给门店发货单。

攻击者可能在路上把“10 箱”改成“100 箱”。

如果只发普通哈希，攻击者也能改完内容后重新算一个哈希。

于是仓库和门店约好一把秘密密钥。

仓库用发货单内容加这把密钥，算出 HMAC 标签。

门店收到后，也用同一把密钥重算。

如果标签对不上，说明内容被改过，或者发送者不是真正持钥方。

但因为仓库和门店都知道密钥，所以不能像数字签名那样证明“只有仓库能生成”。

7. 回到考题

题目说 HMAC、keyed hash（带密钥哈希）、message authentication code（消息认证码），先选 HMAC。

题目说 shared secret（共享密钥）加 hash（哈希），也是 HMAC。

题目问 integrity and authenticity（完整性和真实性），但没有要求不可否认，HMAC 可能正确。

题目问 nonrepudiation（不可否认性），通常选 digital signature（数字签名），不选 HMAC。

题目问 confidentiality（机密性），HMAC 不是主要答案。

8. 别混

Hashing：只根据消息内容算摘要。

HMAC：消息内容加共享密钥，生成认证标签。

Digital Signature：私钥签、公钥验，支持不可否认。

Encryption：隐藏内容，HMAC 本身不隐藏内容。

记忆卡：Digital Envelope / 数字信封

Digital Envelope 这张卡不要和 Digital Signature 混。

小白先懂一句话：数字信封是大文件用快锁锁住，再把快锁钥匙放进小盒子，用收件人的公钥锁起来。

1. 先懂一句话

Digital Envelope = 数字信封。

它是 hybrid encryption（混合加密）。

思路是：用 symmetric key（对称密钥）快速加密真正的数据，再用 recipient public key（接收者公钥）加密这把对称密钥。

为什么这样做？

因为对称加密快，但送钥匙难。

非对称加密能安全送钥匙，但慢。

数字信封把两者拼在一起。

2. 真正要背什么

这张卡真正要背 4 件事。

数据本身用对称加密，因为快。
对称会话密钥用接收者公钥加密，因为能安全送。
接收者用自己的私钥解开会话密钥。
接收者再用会话密钥解开大数据。

3. 关键词拆解

Hybrid encryption（混合加密）：对称和非对称一起用。

Session key（会话密钥）：这次通信临时使用的对称密钥。

Envelope（信封）：把会话密钥安全包起来交给收件人。

Recipient public key（接收者公钥）：用来加密会话密钥。

Recipient private key（接收者私钥）：用来解开会话密钥。

4. 候选池

候选 1：大箱子用快锁，小钥匙进信封。

保留。它能记住“数据”和“钥匙”分开处理。

候选 2：给文件盖章。

淘汰。那是数字签名，不是数字信封。

候选 3：鱼和熊掌一起要。

保留作理解钩子。它能记住“既要速度，又要安全送钥匙”。

讨论结论：主钩子用“大箱子快锁，小钥匙公钥信封”。不要写成抽象的“混合加密”一句话。

5. 最终主记法

Digital Envelope = 对称锁大箱，公钥锁小钥匙。

记完整句：文件很大，所以用一次性对称钥匙快速加密；这把一次性钥匙再用收件人的公钥加密，像放进只有收件人能打开的小信封。

翻回知识点就是：数字信封用对称加密保护数据，用非对称加密保护对称会话密钥。

6. 小白故事

小林要给小王发一个很大的合同压缩包。

如果全程用小王公钥加密，会很慢。

于是小林先随机生成一把临时对称密钥。

他用这把临时钥匙快速加密大文件。

然后他把临时钥匙写在一张小纸条上。

这张小纸条不能明文发送。

小林用小王的公钥把纸条锁起来。

小王收到后，用自己的私钥打开小纸条，拿到临时密钥，再解开大文件。

这就是数字信封。

7. 回到考题

题目说 digital envelope（数字信封）、hybrid encryption（混合加密）、session key encrypted with recipient public key（会话密钥用接收者公钥加密），先选 Digital Envelope。

题目说 encrypt data with symmetric key（用对称密钥加密数据）再 encrypt the symmetric key with public key（用公钥加密对称密钥），也是数字信封。

题目问如何兼顾对称加密速度和非对称密钥分发，答案就是数字信封。

题目问不可否认性或私钥盖章，那是 Digital Signature，不是 Digital Envelope。

8. 别混

Digital Envelope：解决“怎么快速加密大数据并安全送会话密钥”。

Digital Signature：解决“谁签的、有没有改、能不能抵赖”。

Certificate（证书）：证明某个公钥属于某个身份。

TLS：实际协议里会用类似混合思想，但数字信封是更通用的概念。

记忆卡：AES / 3DES / DES / 对称算法

AES、3DES、DES 这张卡不要只背一串字母。

小白先懂一句话：DES 是老小锁，3DES 是把老小锁叠用三次，AES 是现代主流保险柜。

1. 先懂一句话

DES = Data Encryption Standard（数据加密标准）。

3DES = Triple DES（三重 DES）。

AES = Advanced Encryption Standard（高级加密标准）。

它们都是 symmetric block cipher（对称分组密码）。

区别不只是名字不同。

考试更常问：谁老、谁不安全、谁现代主流、块大小和密钥长度是什么。

2. 真正要背什么

这张卡真正要背 6 件事。

DES 使用 56-bit key（56 位有效密钥），现在不安全。
DES 的 block size（分组大小）是 64 bits（64 位）。
3DES 把 DES 执行三次，比 DES 强，但慢且偏旧。
AES 是当前主流对称分组算法。
AES block size 是 128 bits（128 位）。
AES key size 可以是 128 / 192 / 256 bits（128、192、256 位）。

3. 关键词拆解

Block cipher（分组密码）：把明文切成固定大小的块处理。

Rijndael：AES 的原始算法名称。

Legacy（遗留）：还可能在旧系统见到，但不是新系统优先选择。

Key length（密钥长度）：密钥位数越短越容易被暴力破解。

Current standard（当前标准）：考试里新系统选现代强算法，通常看 AES。

4. 候选池

候选 1：三代保险柜。

保留。能把 DES、3DES、AES 排成时代顺序。

候选 2：3DES 因为有 3 所以最新。

淘汰。3DES 是旧方案延长寿命，不是现代首选。

候选 3：老锁、叠锁、新柜。

保留作记忆画面。DES 老锁，3DES 叠三次，AES 新柜。

讨论结论：主钩子用“老锁、叠锁、新柜”。辅助数字一定写进去：DES 56/64，AES 128 块、128/192/256 密钥。

5. 最终主记法

DES / 3DES / AES = 老锁、叠锁、新柜。

记完整句：DES 这把老锁只有 56 位有效钥匙，已经不安全；3DES 把老锁用三次，算过渡方案；AES 是现代主流保险柜，128 位分组，密钥可选 128、192、256 位。

翻回知识点就是：AES 是当前主流对称分组加密标准，DES 已不安全，3DES 属于旧式过渡方案。

6. 小白故事

小林在公司仓库里发现三种锁。

第一种是 DES 老锁。

钥匙太短，现在工具强了，很容易被撬。

第二种是 3DES。

管理员说：“那就把老锁连续锁三遍。”

它比 DES 安全些，但又慢又旧。

第三种是 AES。

新系统、硬盘加密、很多现代协议都会优先考虑它。

小林做题时不用把它们想成三串字母。

他只要先判断时代和强度：DES 老旧不安全，3DES 过渡，AES 现代主流。

7. 回到考题

题目问 strongest modern symmetric algorithm（现代较强对称算法），常选 AES。

题目问 DES key length（DES 密钥长度），记 56 位有效密钥。

题目问 AES key sizes（AES 密钥长度），记 128 / 192 / 256 位。

题目问 AES block size（AES 分组大小），记 128 位。

题目给 ROT13、Blowfish、3DES、AES 这类选项时，要先看题目问现代标准还是某个特定场景。

8. 别混

AES / DES / 3DES：算法。

ECB / CBC / CTR / GCM：模式，不是算法。

RSA / ECC：非对称算法，不是对称分组算法。

Hashing：哈希不负责解密回来，不是加密算法。

记忆卡：Block Cipher Modes / ECB / CBC / CTR / GCM / 分组密码模式

Block Cipher Modes 这张卡不要和 AES 算法混。

小白先懂一句话：AES 像一把锁，模式是在说一排箱子要怎么一个接一个地锁。

1. 先懂一句话

Block Cipher Mode = 分组密码工作模式。

Block cipher（分组密码）每次只能处理固定大小的一块数据。

真实文件往往有很多块。

Mode of operation（工作模式）就是规定这些块怎么处理。

同样用 AES，选择 ECB、CBC、CTR、GCM，表现会完全不同。

所以算法和模式要分开记。

2. 真正要背什么

这张卡真正要背 5 件事。

ECB（Electronic Codebook，电子密码本）每块独立加密，相同明文块会产生相同密文块，容易暴露模式。
CBC（Cipher Block Chaining，密文分组链接）把前一块密文影响到后一块，需要 IV（初始向量）。
CTR（Counter，计数器模式）用计数器或 nonce 生成密钥流，能并行，nonce 不能重复。
GCM（Galois/Counter Mode，伽罗瓦计数器模式）基于 CTR 思路，并提供 authenticated encryption（认证加密）。
AES 是算法，ECB / CBC / CTR / GCM 是模式。

3. 关键词拆解

IV = Initialization Vector（初始向量）：让相同明文在不同加密中产生不同结果。

Nonce（一次性随机数 / 只用一次的数）：在 CTR / GCM 里不能重复使用。

Pattern leakage（模式泄露）：攻击者不用解密，也能看出重复图案。

Authenticated encryption（认证加密）：既保密，又能验证内容没有被改。

Tag（认证标签）：GCM 用来检查完整性和真实性的标签。

4. 候选池

候选 1：算法是锁，模式是一排箱子怎么锁。

保留。它能解决“算法和模式混淆”。

候选 2：ECB 是最简单也最安全。

淘汰。ECB 简单，但容易暴露重复模式。

候选 3：GCM 锁完还贴防篡改封条。

保留作故事画面。它能记住 GCM 带认证标签。

讨论结论：主钩子用“一排箱子怎么锁”。重点把 ECB、CBC、CTR、GCM 的差异写成具体动作。

5. 最终主记法

Block Cipher Modes = 一排箱子的锁法。

记完整句：ECB 每个箱子各锁各的，相同箱子露出相同图案；CBC 让前一个箱子影响后一个箱子；CTR 给每箱贴不同计数编号；GCM 锁完还贴防篡改标签。

翻回知识点就是：分组密码模式决定算法如何处理多块数据，ECB 应避免，CBC 需要 IV，CTR / GCM 要保护 nonce，GCM 同时提供保密和认证。

6. 小白故事

小林有 100 个文件块要加密。

如果用 ECB，每块都独立加密。

相同的明文块会变成相同的密文块。

攻击者虽然看不懂内容，但能看出哪里重复，就像加密后的图片还隐约露出轮廓。

CBC 改进了它。

每块加密前先和前一块结果搅在一起，还需要一个 IV 起头。

CTR 再换思路。

它给每块配一个不断变化的计数器，效率高，还能并行。

GCM 在 CTR 的基础上再加认证标签。

别人如果改了密文，标签会对不上。

7. 回到考题

题目说 ECB pattern leakage（ECB 暴露重复模式）或 identical plaintext blocks produce identical ciphertext blocks（相同明文块产生相同密文块），选 ECB。

题目说 CBC IV（CBC 需要初始向量）或 chaining（链接），想 CBC。

题目说 counter / nonce（计数器 / 一次性数）、parallel（可并行），想 CTR。

题目说 GCM authenticated encryption（认证加密）、integrity tag（完整性标签），想 GCM。

题目问 AES 是什么，AES 是算法，不是模式。

8. 别混

AES：分组加密算法。

ECB / CBC / CTR / GCM：AES 等分组算法的工作模式。

IV / nonce：不是密钥，但乱用会破坏安全。

HMAC：单独的消息认证码；GCM 自带认证标签，不等于 HMAC。

记忆卡：Key Management / Split Knowledge / Dual Control / 密钥管理、分割知识与双人控制

Key Management 这张卡不要只背“密钥生命周期”。

小白先懂一句话：算法再强，钥匙写在便利贴上也白搭；真正的密钥管理要管钥匙怎么生、怎么发、怎么存、什么时候换、什么时候销毁。

1. 先懂一句话

Key Management = 密钥管理。

它管 cryptographic key（密码密钥）的整个生命周期。

包括 generation（生成）、distribution（分发）、storage（存储）、use（使用）、rotation（轮换）、revocation（撤销）、recovery（恢复）、destruction（销毁）。

Split Knowledge = 分割知识。

意思是没有一个人知道完整秘密。

Dual Control = 双人控制。

意思是一个人不能单独完成关键操作，必须两个人一起执行。

2. 真正要背什么

这张卡真正要背 6 件事。

加密强度不只看算法，还要看密钥管理。
密钥要安全生成、分发、保存、轮换和销毁。
Crypto period（密码周期）是密钥被允许使用的时间范围。
Key rotation（密钥轮换）降低长期使用同一密钥的风险。
Split Knowledge（分割知识）是“没人知道完整密钥”。
Dual Control（双人控制）是“没人能单独完成关键操作”。

3. 关键词拆解

Key lifecycle（密钥生命周期）：密钥从出生到销毁的一整套流程。

Key escrow（密钥托管）：把密钥或恢复材料交给受控第三方或流程保存，用于恢复。

HSM = Hardware Security Module（硬件安全模块）：专门保护和使用密钥的设备。

Split knowledge（分割知识）：秘密拆成几份，单个人只知道一部分。

Dual control（双人控制）：关键动作需要两个人同时参与。

4. 候选池

候选 1：钥匙乱放，再好的锁也没用。

保留。它能记住密钥管理的重要性。

候选 2：两个人就是分割知识。

淘汰。太粗。两个人可能是双人控制，也可能是分割知识，要看题干问“知道秘密”还是“执行操作”。

候选 3：拆开知道，两人操作。

保留作区分钩子。前半句对应 Split Knowledge，后半句对应 Dual Control。

讨论结论：主钩子用“算法强不强，先看钥匙管不管”。辅助区分是“分割知识管知道多少，双人控制管能不能单独做”。

5. 最终主记法

Key Management = 管钥匙一生。

Split Knowledge = 秘密拆开，没有人知道完整钥匙。

Dual Control = 操作上锁，一个人不能单独完成。

记完整句：主密钥不写在纸上，而是进 HSM；密钥定期轮换，过期撤销，报废销毁；如果是最高敏感密钥，就把秘密拆开给多人保管，真正启用时还要两个人一起到场操作。

翻回知识点就是：密钥管理覆盖密钥生命周期，分割知识限制单个人知道完整秘密，双人控制限制单个人完成关键操作。

6. 小白故事

小林公司以前把数据库密钥写在共享文档里。

后来算法再强也出事了。

有人离职后，旧密钥还没换。

有人把密钥复制到测试环境。

有人忘了销毁旧备份。

公司开始做密钥管理。

新密钥由专门系统生成。

密钥放进 HSM。

使用有记录。

到期要轮换。

人员离职要撤销访问。

旧密钥要按流程销毁。

最高敏感的主密钥不能让一个人知道完整内容。

Alice 只知道一段，Bob 只知道一段，这叫 Split Knowledge。

真正启用密钥时，Alice 和 Bob 必须同时到场操作，这叫 Dual Control。

7. 回到考题

题目说 key lifecycle（密钥生命周期）、key generation（密钥生成）、key distribution（密钥分发）、key storage（密钥存储）、key destruction（密钥销毁），先选 Key Management。

题目说 crypto period（密码周期）或 key rotation（密钥轮换），也在密钥管理里。

题目说 split knowledge（分割知识），看“没有一个人知道完整密钥”。

题目说 dual control（双人控制），看“两个人共同执行关键操作”。

题目说 key escrow（密钥托管），看恢复密钥或第三方托管安排。

8. 别混

Split Knowledge：知识被拆开，单个人不知道完整秘密。

Dual Control：操作被绑定，单个人不能独自完成。

Separation of Duties（职责分离）：更大范围的流程拆分，不只用于密钥。

Least Privilege（最小权限）：只给够用权限，不等于两人控制。

记忆卡：RSA / Rivest-Shamir-Adleman / 非对称算法

RSA 这张卡不要只背三个创始人名字。

小白先懂一句话：RSA 像公开挂锁和私人钥匙，也像私人印章和公开验章板；它能做加密和签名，但不适合直接锁一整仓库的大文件。

1. 先懂一句话

RSA = Rivest-Shamir-Adleman。

它是非常经典的 asymmetric algorithm（非对称算法）。

RSA 的安全基础是 factoring large primes（分解大素数乘积很难）。

它使用 public key（公钥）和 private key（私钥）。

给别人发保密消息时，用接收者公钥加密。

接收者用自己的私钥解密。

做数字签名时，发送者用自己的私钥签名。

别人用发送者公钥验证。

2. 真正要背什么

这张卡真正要背 5 件事。

RSA 是非对称公钥算法。
它依赖大数分解难题。
保密发送时，用接收者公钥加密。
数字签名时，用发送者私钥签名。
RSA 计算慢，现实里常用来保护会话密钥或做签名，不直接加密大量数据。

3. 关键词拆解

Factoring（因式分解）：把一个很大的数拆回两个大素数，很难。

Public key encrypts（公钥加密）：别人可以用你的公钥锁给你。

Private key decrypts（私钥解密）：只有你能打开给你的密文。

Private key signs（私钥签名）：只有私钥持有者能盖出自己的章。

Public key verifies（公钥验证）：别人用公开验章板检查章是不是真的。

4. 候选池

候选 1：公开挂锁，私人钥匙。

保留。它能记住 RSA 的保密用法。

候选 2：私人印章，公开验章板。

保留。它能记住 RSA 的签名用法。

候选 3：RSA 用来加密所有大文件。

淘汰。RSA 慢，大数据通常交给对称会话密钥。

讨论结论：主钩子用“两面镜头：保密看挂锁，签名看印章”。这样不会把加密和签名方向写反。

5. 最终主记法

RSA = 公钥挂锁 + 私钥印章。

记完整句：别人用你的公钥挂锁把盒子锁给你，你用私钥打开；你用私钥印章给文件签名，别人用你的公钥验章。

翻回知识点就是：RSA 是基于大素数分解的非对称算法，可用于加密和数字签名，但通常不直接处理大量数据。

6. 小白故事

小林把自己的公钥挂锁放到公司前台。

任何人都能拿这个挂锁把资料箱锁上寄给小林。

箱子锁上以后，寄件人自己也打不开。

只有小林口袋里的私钥能打开。

这就是 RSA 的保密画面。

后来小林要批准合同。

他不想把合同藏起来，只想证明“这确实是我签的，而且内容没被改”。

他用私钥盖章。

别人用他的公钥验章。

这就是 RSA 的签名画面。

7. 回到考题

题目说 RSA、Rivest-Shamir-Adleman、factoring large primes（分解大素数），先想 RSA。

题目问 Richard 要给 Sue 发保密消息，用 Sue's public key（Sue 的公钥）加密。

题目问 Richard 收到别人用 RSA 发给他的密文，用 Richard's private key（Richard 的私钥）解密。

题目问 Richard 要数字签名，用 Richard's private key（Richard 的私钥）签名。

题目问大量数据加密，RSA 通常不是最佳单独方案，要看数字信封或对称加密。

8. 别混

RSA：非对称算法，可加密、可签名，依赖大数分解。

Diffie-Hellman：密钥交换，不是直接加密正文。

AES：对称算法，适合大量数据。

Hashing：哈希只生成摘要，不是公钥算法。

记忆卡：Diffie-Hellman / DH / 密钥交换

Diffie-Hellman 这张卡不要写成“另一种加密算法”。

小白先懂一句话：DH 的核心不是直接锁文件，而是让两个人在公开场合各自调漆，最后调出同一桶秘密颜色。

1. 先懂一句话

Diffie-Hellman = DH 密钥交换 / 密钥协商。

它本身不是 encryption protocol（加密协议）或 signature algorithm（签名算法）。

它解决的是 key exchange / key agreement（密钥交换 / 密钥协商）。

两个人可以在公开网络上交换一些计算结果。

旁观者能看到交换过程，却很难算出最终共享秘密。

最后双方得到同一个 shared secret（共享秘密），后续可以用它生成对称会话密钥。

2. 真正要背什么

这张卡真正要背 5 件事。

DH 用来协商共享密钥。
DH 不直接加密大量数据。
DH 本身不认证对方身份。
没有证书或签名配合，DH 容易被 man-in-the-middle（中间人）夹住。
DHE / ECDHE 里的 E 表示 ephemeral（临时），常和 forward secrecy（前向保密）一起考。

3. 关键词拆解

Key exchange（密钥交换）：双方协商出同一把秘密。

Shared secret（共享秘密）：双方最后都知道，旁观者不知道。

DHE（临时 Diffie-Hellman）：每次会话用临时参数。

ECDHE（椭圆曲线临时 Diffie-Hellman）：用椭圆曲线做临时密钥协商。

Forward secrecy（前向保密）：长期密钥以后泄露，也不应解开过去的会话。

4. 候选池

候选 1：公开调漆，最后同色。

保留。它能记住公开交换也能得到共同秘密。

候选 2：DH 负责证明对方是谁。

淘汰。DH 不自动认证身份。

候选 3：临时调色板。

保留作 DHE / ECDHE 钩子。每次会话重新调，过去的颜色不该被后来钥匙拖累。

讨论结论：主钩子用“公开调漆”。辅助警告是“只调出共同颜色，不查对方身份证”。

5. 最终主记法

Diffie-Hellman = 公开调漆，协商同一把秘密钥匙。

记完整句：两个人公开交换半成品颜料，各自再加自己的秘密色浆，最后两边调出同一种秘密颜色；旁观者看到过程，也很难还原秘密。

翻回知识点就是：DH 是密钥交换协议，用来协商共享秘密，通常需要证书或签名配合防中间人。

6. 小白故事

小林和小王隔着玻璃桌调颜色。

大家都能看见他们放在桌上的底漆和半成品。

但小林手里有自己的秘密色浆。

小王手里也有自己的秘密色浆。

他们交换半成品后，各自再倒入自己的秘密色浆。

最后两边得到同一种颜色。

路人只看见公开材料和半成品，很难调出最终颜色。

这就是 DH 的核心。

但如果中间有人冒充小王和小林分别调色，小林并不知道。

所以实际协议里还要证书或签名来认证身份。

7. 回到考题

题目说 Diffie-Hellman、DH、key exchange（密钥交换）、shared secret（共享秘密），先选 DH。

题目说 DHE / EDH（临时 DH）或 ECDHE（椭圆曲线临时 DH），想到临时会话密钥和前向保密。

题目问“这个算法本身是不是加密正文”，答案是否；它主要协商密钥。

题目问“没有认证会怕什么”，看 MITM（中间人攻击）。

8. 别混

Diffie-Hellman：协商共享秘密。

RSA：可用于加密和签名。

TLS：会使用 DH / ECDHE 等方式协商会话密钥，但 TLS 是完整协议。

Digital Signature：证明身份和来源，能补 DH 身份认证的缺口。

记忆卡：ECC / Elliptic Curve Cryptography / 椭圆曲线密码

ECC 这张卡不要从曲线公式开始背。

小白先懂一句话：ECC 像小尺寸精密钥匙，同等级安全下比 RSA 钥匙短很多，更适合手机、物联网和性能受限环境。

1. 先懂一句话

ECC = Elliptic Curve Cryptography（椭圆曲线密码）。

它是一类基于椭圆曲线数学难题的非对称密码技术。

重点不是要你手算曲线。

考试最常要你记：same cryptographic strength but shorter key（相同强度下密钥更短）。

比如资料里常见强度对照：3072-bit RSA 大约对应 256-bit ECC 级别。

2. 真正要背什么

这张卡真正要背 5 件事。

ECC 是非对称密码体系。
它用更短密钥达到类似安全强度。
它适合资源受限设备。
ECDH / ECDHE 用于密钥交换。
ECDSA / EdDSA 用于数字签名。

3. 关键词拆解

Elliptic curve（椭圆曲线）：提供数学难题的基础。

Shorter key same strength（短密钥同等强度）：ECC 高频考试信号。

ECDH：椭圆曲线 Diffie-Hellman。

ECDHE：临时椭圆曲线 Diffie-Hellman，常用于前向保密。

ECDSA：椭圆曲线数字签名算法。

4. 候选池

候选 1：小尺寸精密钥匙。

保留。它能记住短密钥和高强度。

候选 2：ECC 等于量子加密。

淘汰。ECC 不是量子密码，也不是天然抗量子。

候选 3：手机钱包里的强钥匙。

保留作故事画面。它能记住资源受限场景。

讨论结论：主钩子用“小而强的钥匙”。这比背公式更适合小白。

5. 最终主记法

ECC = 小钥匙，同等级强度。

记完整句：RSA 钥匙像一大串重钥匙，ECC 像一把小而精密的钥匙；同等级安全下，ECC 更短、更轻、更适合小设备。

翻回知识点就是：椭圆曲线密码用较短密钥提供类似强度，可用于密钥交换和数字签名。

6. 小白故事

小林要给两种设备配安全通信。

一台是服务器，电力和算力都充足。

另一台是小型传感器，电池很小，处理器也弱。

如果给它塞一大串笨重钥匙，它每次开门都很累。

ECC 像一把小而精密的钥匙。

钥匙短，计算负担小，却能达到相近强度。

所以看到“同样强度但密钥更短”，小林就该想到 ECC。

7. 回到考题

题目说 elliptic curve（椭圆曲线）、shorter key same strength（短密钥同等强度）、resource constrained（资源受限），先想 ECC。

题目问 3072-bit RSA 转成同等强度 ECC，常见答案是 256-bit ECC。

题目说 ECDHE，想椭圆曲线临时密钥交换和前向保密。

题目说 ECDSA 或 EdDSA，想椭圆曲线签名。

8. 别混

ECC：非对称密码体系。

AES：对称算法。

Quantum Cryptography：量子密钥分发等概念，不是 ECC。

Post-quantum cryptography（后量子密码）：抗量子攻击的新算法方向，不等于 ECC。

记忆卡：ElGamal / 埃尔加马尔公钥算法

ElGamal 这张卡不要背成“和 DH 差不多”就结束。

小白先懂一句话：ElGamal 像每封信都贴一个新的随机封条，安全思路靠近 Diffie-Hellman，但缺点是密文会膨胀。

1. 先懂一句话

ElGamal 是一种 public key cryptosystem（公钥密码系统）。

它和 Diffie-Hellman 关系很近，基于 discrete logarithm problem（离散对数难题）。

它可以用于公钥加密，也有签名相关变体。

考试常见记忆点：ElGamal 加密后的 ciphertext（密文）大约会变成 plaintext（明文）的两倍长度。

所以它不适合大量数据直接加密。

2. 真正要背什么

这张卡真正要背 4 件事。

ElGamal 是非对称公钥算法。
它是 Diffie-Hellman 思路的扩展。
它依赖离散对数难题。
它的密文会变大，常考“明文 2048 位，密文 4096 位”这类题。

3. 关键词拆解

Discrete logarithm（离散对数）：ElGamal 和 DH 共同依赖的数学难题。

Random value（随机值）：ElGamal 加密每次会引入随机性。

Ciphertext doubles（密文变两倍）：考试高频数字信号。

Public key encryption（公钥加密）：可用接收者公钥加密。

4. 候选池

候选 1：每封信贴新的随机封条。

保留。它能记住随机性。

候选 2：ElGamal 就是 DH。

淘汰。关系近，但 DH 是密钥交换，ElGamal 可做公钥加密。

候选 3：包裹变胖一倍。

保留作考试钩子。它能记住密文膨胀。

讨论结论：主钩子用“随机封条 + 包裹变胖”。这能把 ElGamal 和 DH 区分开。

5. 最终主记法

ElGamal = DH 家族的公钥加密，封条随机，包裹变胖。

记完整句：同一句话每次用 ElGamal 打包，外面的包裹样子都可能不同；但代价是密文会变长，常见考法是长度翻倍。

翻回知识点就是：ElGamal 是基于离散对数的公钥算法，和 DH 关系近，但能用于公钥加密，且密文膨胀明显。

6. 小白故事

小林给小王寄同一句话：“周五开会。”

如果每次包裹长得完全一样，别人容易看规律。

ElGamal 像每次都贴一个新的随机封条。

同一句话发两次，外面的密文包裹也可能不一样。

但封条和包装材料会让包裹变大。

原来一页纸，打包后可能像两页纸。

所以它能做公钥加密，但不适合直接运大量货。

7. 回到考题

题目说 ElGamal、extension of Diffie-Hellman（DH 扩展）、discrete logarithm（离散对数），先想 ElGamal。

题目问 2048-bit plaintext 用 ElGamal 后密文多长，常见答案是 4096 bits。

题目只问 key exchange（密钥交换），更像 Diffie-Hellman。

题目问 shorter key same strength（短密钥同等强度），更像 ECC。

8. 别混

ElGamal：公钥加密，密文会膨胀。

Diffie-Hellman：密钥交换。

RSA：基于大数分解。

ECC：短密钥同等强度。

记忆卡：Quantum Cryptography / 量子密码学

Quantum Cryptography 这张卡不要写成“量子电脑加密一切”。

小白先懂一句话：考试里的量子密码学常是在说量子密钥分发，像一碰就留痕的光子封条，用来发现有没有人偷看钥匙材料。

1. 先懂一句话

Quantum Cryptography = 量子密码学。

CISSP 语境里常见重点是 QKD = Quantum Key Distribution（量子密钥分发）。

QKD 不是直接把所有业务数据都用量子方式加密。

它更像用量子特性分发密钥材料。

如果窃听者在路上观察量子状态，状态会被扰动。

双方抽查时能发现异常，然后丢弃这批密钥材料。

2. 真正要背什么

这张卡真正要背 4 件事。

QKD 重点是 key distribution（密钥分发）。
量子特性让窃听可被发现。
量子计算会威胁 RSA、DH、ECC 这类传统非对称算法。
Quantum cryptography 不等于 post-quantum cryptography（后量子密码）。

3. 关键词拆解

Qubit（量子位）：量子信息单位。

Photon（光子）：QKD 中常见承载方式。

Eavesdropping detection（窃听检测）：有人看过会留下扰动。

Post-quantum cryptography（后量子密码）：在普通计算机上运行、抵抗量子攻击的新算法方向。

4. 候选池

候选 1：一碰就留痕的光子封条。

保留。它能记住窃听检测。

候选 2：量子直接加密所有流量。

淘汰。考试常考的是密钥分发，不是万能业务加密。

候选 3：钥匙材料抽查。

保留作故事动作。抽查发现异常就丢弃。

讨论结论：主钩子用“光子封条”。辅助警告是“量子密码学常考 QKD，不要写成后量子算法”。

5. 最终主记法

Quantum Cryptography = 用一碰留痕的量子材料分发钥匙。

记完整句：两边传的不是普通钥匙纸条，而是一串脆弱的量子封条；路上有人偷看，封条状态会变，双方抽查时能发现。

翻回知识点就是：量子密钥分发利用量子测量会扰动状态的特性，让窃听被检测出来。

6. 小白故事

小林和小王要分发一把密钥。

普通纸条在路上被拍照，他们未必知道。

量子密钥分发像用一串很脆的光子封条传材料。

如果中间有人偷看，封条状态会被改变。

小林和小王事后抽查一部分封条。

如果痕迹不对，就知道这批材料不干净，直接丢掉。

这就是量子密码学在考试里的主要画面。

7. 回到考题

题目说 QKD（量子密钥分发）、qubits（量子位）、photons（光子）、detect eavesdropping（检测窃听），先想 Quantum Cryptography。

题目说 quantum computing threatens RSA / DH / ECC（量子计算威胁 RSA、DH、ECC），要想到传统非对称算法面临量子风险。

题目说 post-quantum algorithms（后量子算法），不要和 QKD 混成一件事。

8. 别混

Quantum Cryptography / QKD：利用量子特性分发密钥并检测窃听。

Post-quantum cryptography：普通计算机上运行、设计来抗量子攻击的算法。

Diffie-Hellman：传统密钥交换。

TLS：现实网络安全协议，不是量子密码本身。

记忆卡：PKI Trust Model / 公钥基础设施信任模型

PKI 这张卡不要背成“证书就是可信”。

小白先懂一句话：PKI 像公章链，根 CA 是总部大章，中间 CA 是分部章，浏览器要一路查到自己信任的总部章。

1. 先懂一句话

PKI = Public Key Infrastructure（公钥基础设施）。

它解决的是：这个 public key（公钥）到底属于谁？

Certificate（证书）把 identity（身份）和 public key（公钥）绑定起来。

CA = Certificate Authority（证书颁发机构），负责签发证书。

RA = Registration Authority（注册机构），负责审核申请者身份。

浏览器信任的是 trust anchor（信任锚），通常是 root CA（根证书颁发机构）。

2. 真正要背什么

这张卡真正要背 5 件事。

PKI 把身份和公钥绑定起来。
CA 签发证书，RA 审核身份。
证书链从服务器证书连到中间 CA，再连到根 CA。
浏览器本地信任根 CA，才会信任链下的证书。
证书存在不等于一定可信，还要检查域名、有效期、用途、吊销状态和链是否完整。

3. 关键词拆解

Root CA（根 CA）：信任链的起点，浏览器或系统预置并信任它。

Intermediate CA（中间 CA）：根 CA 授权它继续签发下级证书。

Certificate chain（证书链）：从网站证书一路追溯到可信根。

Trust anchor（信任锚）：本地已经信任的根。

X.509：数字证书常见标准。

4. 候选池

候选 1：总部盖章，分部再盖章。

保留。它能记住证书链。

候选 2：有证书就安全。

淘汰。证书可能过期、吊销、域名不匹配或链不完整。

候选 3：身份和公钥绑在一张工牌上。

保留作理解钩子。证书的核心是绑定。

讨论结论：主钩子用“公章链”。辅助句是“先看身份和公钥绑定，再查链是否能追到可信根”。

5. 最终主记法

PKI Trust Model = 公章链证明“这个公钥属于这个身份”。

记完整句：网站拿出证书，证书上写着域名和公钥；中间 CA 给它盖章，根 CA 给中间 CA 授权，浏览器沿着公章链查到自己信任的根，才愿意相信。

翻回知识点就是：PKI 通过 CA、RA、证书和信任链，把身份与公钥可信地绑定起来。

6. 小白故事

小林浏览器访问银行网站。

网站说：“这是我的公钥。”

浏览器不能只听它自己说。

于是网站拿出证书。

证书像工牌，写着银行域名和公钥。

证书上有中间 CA 的签名。

浏览器再看中间 CA 有没有被根 CA 授权。

如果这条链能一路查到浏览器信任的根 CA，证书才可信。

如果域名不匹配、证书过期、被吊销，或者链断了，浏览器就会报警。

7. 回到考题

题目说 PKI、CA（证书颁发机构）、RA（注册机构）、certificate chain（证书链）、trust anchor（信任锚），先想 PKI Trust Model。

题目问谁审核身份，选 RA。

题目问谁签发证书，选 CA。

题目问浏览器如何信任网站证书，查证书链到 trusted root（可信根）。

题目问证书为什么可信，不是因为“它存在”，而是因为它通过完整验证。

8. 别混

PKI：信任体系。

Certificate：体系中的证书对象。

CA：签发证书。

RA：审核身份。

PGP Web of Trust：用户互相信任签名，不是中心化 CA 层级。

记忆卡：Certificate Lifecycle / 证书生命周期

Certificate Lifecycle 这张卡不要只背“申请、签发、吊销”几个词。

小白先懂一句话：证书像员工工牌，有申请、审核、发卡、使用、续期、吊销、过期和归档，不是发出来就永远有效。

1. 先懂一句话

Certificate Lifecycle = 证书生命周期。

证书从申请到报废，有一整套流程。

申请者先生成 CSR = Certificate Signing Request（证书签名请求）。

RA 或 CA 会验证身份。

CA 签发证书。

组织部署证书并使用。

快到期可以 renewal（续期）。

如果私钥泄露或身份不再有效，要 revocation（吊销）。

到期后 certificate expiration（证书过期）。

2. 真正要背什么

这张卡真正要背 6 件事。

Enrollment / CSR：申请证书。
Validation：验证申请者身份。
Issuance：CA 签发证书。
Deployment / use：部署和使用证书。
Renewal：快到期但仍合法时续期。
Revocation：还没到期但必须作废，例如私钥泄露、员工离职、域名不再归属。

3. 关键词拆解

CSR（证书签名请求）：申请者提交给 CA 的证书申请材料。

Issuance（签发）：CA 给证书盖章。

Renewal（续期）：证书快过期，继续申请新证书。

Revocation（吊销）：证书还没到期，但因为风险必须提前作废。

Key compromise（私钥泄露）：必须吊销证书的高频信号。

4. 候选池

候选 1：证书像员工工牌。

保留。工牌生命周期很直观。

候选 2：等证书自然过期就行。

淘汰。私钥泄露不能等过期，必须吊销。

候选 3：快到期续卡，丢卡注销。

保留作区分钩子。续期和吊销不能混。

讨论结论：主钩子用“工牌生命周期”。辅助句是“快到期续卡，出事注销卡”。

5. 最终主记法

Certificate Lifecycle = 证书工牌的一生。

记完整句：申请工牌、审核身份、制卡发卡、上班使用、快到期续卡、丢失或离职立刻注销，最后归档或销毁。

翻回知识点就是：证书生命周期覆盖申请、验证、签发、部署、续期、吊销、过期和归档。

6. 小白故事

小林公司给官网申请 HTTPS 证书。

管理员先生成 CSR。

CA 或 RA 要确认这个域名确实属于公司。

审核通过后，CA 签发证书。

管理员把证书装到服务器上。

浏览器访问时，服务器拿证书证明自己的身份和公钥。

快到期前，公司要续期。

如果私钥泄露，攻击者可能冒充网站。

这时不能等证书自然过期。

必须立刻吊销旧证书，重新签发新证书。

7. 回到考题

题目说 CSR / enrollment（申请）、issuance（签发）、renewal（续期）、revocation（吊销）、expiration（过期），先想证书生命周期。

题目说 private key compromise（私钥泄露），正确动作通常是吊销证书并重新签发。

题目问 RA 做什么，RA 审核身份。

题目问 CA 做什么，CA 签发证书。

题目问证书状态怎么查，进入 CRL / OCSP。

8. 别混

Renewal：证书快到期，正常换新。

Revocation：证书未到期，但因为风险提前作废。

Expiration：证书时间到了，自然失效。

CRL / OCSP：查证书是否已被吊销。

记忆卡：CRL / OCSP / 证书吊销检查

CRL 和 OCSP 这张卡不要写成“证书验证”四个字就完事。

小白先懂一句话：CRL 像墙上的吊销黑名单，OCSP 像给前台实时打电话问这张证书还有效吗。

1. 先懂一句话

CRL = Certificate Revocation List（证书吊销列表）。

OCSP = Online Certificate Status Protocol（在线证书状态协议）。

它们都在回答同一个问题：这张证书有没有被吊销？

它们不是签发证书。

它们也不是检查域名是否匹配的全部流程。

它们只负责 revocation status（吊销状态）。

2. 真正要背什么

这张卡真正要背 5 件事。

CRL 是 CA 定期发布的吊销证书列表。
CRL 缺点是可能大、更新有延迟、客户端要下载或查询列表。
OCSP 是在线查询单张证书状态。
OCSP 通常比 CRL 更接近实时。
OCSP stapling（OCSP 装订）是服务器把 OCSP 状态证明一起发给客户端，减少客户端自己去查。

3. 关键词拆解

Revocation（吊销）：证书还没过期，但已经不能再信。

CRL distribution point（CRL 分发点）：客户端下载吊销列表的位置。

OCSP responder（OCSP 响应器）：回答证书状态的在线服务。

Good / revoked / unknown（有效 / 已吊销 / 未知）：OCSP 常见状态。

Stapling（装订）：服务器随证书带上新鲜的 OCSP 回执。

4. 候选池

候选 1：公告栏黑名单。

保留。对应 CRL。

候选 2：前台实时电话。

保留。对应 OCSP。

候选 3：CRL / OCSP 证明网站一定安全。

淘汰。它们只查有没有吊销，不保证业务安全。

讨论结论：主钩子用“黑名单 vs 实时电话”。这样能清楚区分 CRL 和 OCSP。

5. 最终主记法

CRL = 下载黑名单查证书有没有被吊销。

OCSP = 在线问前台查这张证书现在还能不能信。

记完整句：保安查工牌时，可以看墙上黑名单，也可以打电话问前台；黑名单可能没及时更新，电话更实时，但也依赖在线响应。

翻回知识点就是：CRL 和 OCSP 都用于检查证书吊销状态，CRL 是列表，OCSP 是在线状态查询。

6. 小白故事

小林门口来了一个员工，拿着工牌说自己还在职。

保安不能只看工牌长得真。

员工可能已经离职，工牌还没到期。

第一种做法是查墙上黑名单。

如果工牌号在黑名单上，就拒绝进入。

这像 CRL。

第二种做法是给前台打电话，只问这一张工牌现在是否有效。

这像 OCSP。

如果员工随身带着前台刚开的状态证明，保安不用再打电话，也能检查证明是否新鲜。

这像 OCSP stapling。

7. 回到考题

题目说 CRL、Certificate Revocation List（证书吊销列表）、revocation list（吊销列表），先想 CRL。

题目问 CRL 主要缺点，常看 latency（延迟）、列表维护、列表可能很大。

题目说 OCSP、Online Certificate Status Protocol（在线证书状态协议）、status responder（状态响应器），先想 OCSP。

题目说 OCSP stapling（OCSP 装订），想服务器把状态证明一起发给客户端。

题目只问证书链、域名匹配、过期时间，不要只答 CRL / OCSP。

8. 别混

CRL / OCSP：只查吊销状态。

Expiration：证书自然过期。

CA：签发证书。

RA：审核身份。

Certificate chain：查证书能否追到可信根。

记忆卡：TLS Handshake / TLS 握手

TLS Handshake 这张卡不要写成“TLS 就是加密”。

小白先懂一句话：TLS 握手像进银行柜台，先互相确认规则和证书，再临时配一把会话钥匙，后面大量聊天才用这把快钥匙。

1. 先懂一句话

TLS = Transport Layer Security（传输层安全）。

HTTPS 常用 TLS 保护 Web 通信，默认端口常见是 443。

TLS Handshake（TLS 握手）是会话开始前的协商过程。

浏览器和服务器要协商 cipher suite（密码套件）、验证 certificate（证书）、完成 key exchange（密钥交换），最后得到 session key（会话密钥）。

后续大量数据通常用 symmetric encryption（对称加密）保护。

2. 真正要背什么

这张卡真正要背 5 件事。

ClientHello：客户端先说自己支持哪些 TLS 版本、密码套件和随机数。
ServerHello：服务器选择参数并回应。
服务器发送证书，客户端验证证书链、域名、有效期和吊销状态。
双方通过 RSA、DH、ECDHE 等方式完成密钥交换或密钥协商。
后续用对称会话密钥加密大量数据。

3. 关键词拆解

Cipher suite（密码套件）：这次会话用哪些算法组合。

Session key（会话密钥）：临时对称密钥。

Server certificate（服务器证书）：服务器证明自己的身份和公钥。

mTLS = Mutual TLS（双向 TLS）：客户端和服务器都用证书认证。

Forward secrecy（前向保密）：过去会话不应因长期私钥泄露而被解开。

4. 候选池

候选 1：先验执照，再配临时钥匙。

保留。它能记住证书验证和会话密钥。

候选 2：TLS 全程用 RSA 加密所有数据。

淘汰。现代 TLS 大量数据靠对称会话密钥。

候选 3：柜台先谈规则。

保留作 ClientHello / ServerHello 钩子。

讨论结论：主钩子用“先验执照，再配会话钥匙”。重点写清 TLS 是混合密码流程。

5. 最终主记法

TLS Handshake = 先谈规则、验证证书、协商会话钥匙。

记完整句：浏览器先说自己会哪些规则，服务器拿出证书证明身份，双方协商出临时会话密钥，后面的网页内容才用快的对称加密传。

翻回知识点就是：TLS 握手用证书和密钥交换建立安全会话，后续用对称会话密钥保护数据。

6. 小白故事

小林浏览器访问银行网站。

浏览器先说：“我支持这些 TLS 版本和密码套件。”

服务器回应：“那我们用这一套。”

服务器拿出证书。

浏览器检查证书是不是银行域名、有没有过期、链能不能追到可信根、有没有被吊销。

确认后，双方协商出一把临时会话密钥。

后面小林看余额、提交表单，不是每个字都用 RSA 慢慢加密。

大量数据用临时对称密钥加密。

这就是 TLS 握手后的真实工作方式。

7. 回到考题

题目说 TLS handshake、ClientHello、ServerHello、cipher suite、session key，先想 TLS 握手。

题目问 HTTPS 常用端口，记 443。

题目说 server certificate（服务器证书），想服务器身份验证。

题目说 mTLS，想客户端和服务器双方都用证书。

题目问后续大量数据用什么保护，通常是 symmetric session key（对称会话密钥）。

8. 别混

TLS：保护传输通道。

TCP three-way handshake（三次握手）：建立 TCP 连接，不等于 TLS 握手。

IPsec：保护 IP 层通信。

SSH：远程登录安全协议。

TLS 不保证应用逻辑安全，网站代码本身仍可能有漏洞。

记忆卡：Cryptographic Attacks / Brute Force / Known Plaintext / Chosen Ciphertext / 密码攻击对照

密码攻击这张卡不要先背一堆名字。

小白先懂一句话：先问攻击者手里有什么；只有密文、已知明文、能选明文、能选密文、能碰设备，名字就不一样。

1. 先懂一句话

Cryptographic Attacks = 密码学攻击。

这类题不是问“攻击者是不是坏人”。

它问的是攻击者拥有什么能力。

Brute Force（暴力破解）：一把一把试完整个钥匙空间。

Known Plaintext（已知明文攻击）：攻击者已经有一组明文和对应密文。

Chosen Ciphertext（选择密文攻击）：攻击者能选择密文交给系统解密，并观察结果或错误。

2. 真正要背什么

这张卡真正要背 6 件事。

Brute Force 是 exhaustive search（穷举搜索），试所有可能密钥或密码。
密钥每多 1 bit，搜索空间大约翻倍。
Salt（盐）和 key stretching（密钥拉伸）能提高口令暴力破解成本。
Known Plaintext 是攻击者 already knows（已经知道）明文和对应密文。
Chosen Plaintext 是攻击者能选择明文让系统加密。
Chosen Ciphertext 是攻击者能选择密文让系统解密或观察解密行为。

3. 关键词拆解

Ciphertext-only（仅密文）：攻击者只有密文。

Known plaintext（已知明文）：攻击者知道原文和对应密文。

Chosen plaintext（选择明文）：攻击者能挑原文让系统加密。

Chosen ciphertext（选择密文）：攻击者能挑密文让系统解密或看错误反馈。

Oracle（预言机）：系统像柜台一样回答攻击者的试探问题。

Side-channel（旁信道）：通过时间、电力、电磁等侧面痕迹推断秘密。

4. 候选池

候选 1：攻击者桌上有什么证据。

保留。它能记住先看攻击者能力。

候选 2：所有密码攻击都是暴力破解。

淘汰。暴力破解只是其中一种。

候选 3：钥匙箱、对照单、解密柜台。

保留作三类画面。钥匙箱对应 brute force，对照单对应 known plaintext，解密柜台对应 chosen ciphertext。

讨论结论：主钩子用“先看攻击者手里有什么”。不要让小白硬背术语，要让他从题干动作判断。

5. 最终主记法

密码攻击对照 = 试钥匙、看对照、问柜台。

记完整句：一把一把试是暴力破解；手里有原件和加密件对照是已知明文；拿自己挑的密文去问系统怎么解、看系统反应，是选择密文。

翻回知识点就是：密码攻击分类取决于攻击者拥有的数据和能力。

6. 小白故事

小林看到三种攻击者。

第一个攻击者站在门前，拿着一大箱钥匙从第一把试到最后一把。

这就是 Brute Force。

第二个攻击者手里有一张发票原件，也有这张发票的加密版本。

他对照两张纸找规律。

这就是 Known Plaintext。

第三个攻击者更危险。

他故意改几个密文包裹，交给系统解密。

系统虽然不直接告诉他密钥，但会吐出一些内容或错误提示。

他根据这些反馈往回推。

这就是 Chosen Ciphertext。

7. 回到考题

题目说 brute force、exhaustive search（穷举搜索）、try every key（尝试所有密钥），先选 Brute Force。

题目说 rainbow table（彩虹表），常和口令破解、哈希、盐一起考。

题目说 known plaintext 或 plaintext-ciphertext pair（明密文对），先选 Known Plaintext。

题目说 attacker can choose ciphertext and observe decryption behavior（攻击者能选择密文并观察解密行为），先选 Chosen Ciphertext。

题目说 high voltage / temperature / fault（高电压、温度、故障），是 Fault Injection（故障注入）。

题目说 timing / power / electromagnetic radiation（时间、电力、电磁辐射），是 Side-Channel（旁信道）或 Timing Attack（计时攻击）。

8. 别混

Brute Force：靠穷举，不靠已知样本。

Dictionary Attack：优先试常见词，不是完整穷举。

Known Plaintext：攻击者已经知道明文。

Chosen Plaintext：攻击者能选择明文让系统加密。

Chosen Ciphertext：攻击者能选择密文让系统解密或观察反馈。

MITM（中间人攻击）：夹在通信双方之间，不等于 meet-in-the-middle（中间相遇攻击）。

记忆卡：IPsec / AH / ESP / IP 安全协议组件

IPsec 这张卡不要背成“VPN 加密”四个字。

小白先懂一句话：IPsec 是给 IP 包走安全通道的一套工具；AH 像清单核对员，检查包有没有被改、是不是对方发的；ESP 像加密快递箱，让路上看不到里面内容。

1. 先懂一句话

IPsec = Internet Protocol Security（互联网协议安全）。

它工作在 network layer（网络层），用来保护 IP traffic（IP 流量）。

它不是一个单独算法，而是一套协议和机制。

AH = Authentication Header（认证头）。

AH 主要做 authentication（认证）、integrity（完整性）和 anti-replay（抗重放）。

AH 不负责加密内容。

ESP = Encapsulating Security Payload（封装安全载荷）。

ESP 常用于 confidentiality（机密性 / 加密），也可以提供完整性和认证。

IKE = Internet Key Exchange（互联网密钥交换），负责协商密钥和 SA（Security Association，安全关联）。

2. 真正要背什么

这张卡真正要背 5 件事。

IPsec 保护 IP 层通信。
AH 主要验证身份、完整性、抗重放，不加密数据内容。
ESP 提供机密性，通常也能提供完整性和认证。
IKE 用来协商密钥和安全关联。
题目问 confidentiality / encryption（机密性 / 加密）时，多半选 ESP，不选 AH。

3. 关键词拆解

AH（认证头）：像核对单，确认包没被换、没被改、来源可信。

ESP（封装安全载荷）：像上锁快递箱，保护里面的载荷内容。

SA（Security Association，安全关联）：双方协商好的安全规则和参数。

IKE（互联网密钥交换）：帮双方谈好密钥和安全参数。

Anti-replay（抗重放）：防止旧包被攻击者拿来重新播放。

4. 候选池

候选 1：AH 查清单，ESP 上锁箱。

保留。它能把 AH 和 ESP 的动作分开。

候选 2：AH 也负责加密。

淘汰。AH 不提供机密性。

候选 3：IPsec 是一整套通道工具。

保留作总钩子。它能记住 IPsec 不是单个算法。

讨论结论：主钩子用“AH 查单，ESP 锁箱”。题目问“看不到内容”就找 ESP。

5. 最终主记法

IPsec = 给 IP 包走安全通道。

AH = 查身份和改动。

ESP = 给内容上锁。

记完整句：两个办公室之间寄 IP 包，AH 负责核对包有没有被改、是不是这家发的；ESP 负责把包里的内容放进加密箱。

翻回知识点就是：IPsec 是网络层保护 IP 通信的协议套件，AH 提供认证和完整性，ESP 提供机密性并可提供认证和完整性。

6. 小白故事

小林公司总部要和分公司传业务数据。

如果只把数据包丢到公网，路上可能被看、被改、被重放。

IPsec 像在公网里安排了一套安全快递流程。

AH 站在门口拿清单核对。

包是不是原来的包？

中途有没有被改？

是不是约定的对方发来的？

ESP 则把真正的文件放进加密快递箱。

路上的人能看到有箱子经过，但看不到里面文件。

如果题目问“谁提供机密性”，小林就该先看 ESP。

7. 回到考题

题目说 IPsec、network layer（网络层）、protect IP traffic（保护 IP 流量），先想 IPsec。

题目说 AH / Authentication Header（认证头），想认证、完整性、抗重放，不想加密内容。

题目说 ESP / Encapsulating Security Payload（封装安全载荷），想机密性和加密。

题目问 “which IPsec component provides confidentiality”（哪个 IPsec 组件提供机密性），选 ESP。

题目说 IKE 或 SA，想密钥协商和安全参数协商。

8. 别混

IPsec：网络层保护 IP 流量。

TLS：传输层以上常用来保护 Web 等应用通信。

AH：不加密内容。

ESP：提供加密机密性。

VPN：虚拟专用网是使用场景或解决方案，IPsec 常用于 VPN，但不等于所有 VPN 都是 IPsec。

记忆卡：Tunnel Mode / Transport Mode / 隧道模式与传输模式

Tunnel Mode 和 Transport Mode 这张卡不要只背“隧道更安全”。

小白先懂一句话：隧道模式像把整辆快递车装进大货车，传输模式像原车照常上路，只把车厢里的货锁住。

1. 先懂一句话

Tunnel Mode = 隧道模式。

它会把 entire original IP packet（整个原始 IP 包）包进一个新的 IP 包里。

外面出现 new IP header（新的 IP 头）。

所以外面看到的是网关到网关、主机到网关等新的外层路径。

Transport Mode = 传输模式。

它保留 original IP header（原始 IP 头），主要保护上层 payload（载荷）。

它更常见于 host-to-host（主机到主机）场景。

2. 真正要背什么

这张卡真正要背 5 件事。

Tunnel mode 保护整个原始 IP 包。
Tunnel mode 会加一个新的 IP 头。
Tunnel mode 常用于 site-to-site VPN（站点到站点 VPN）、gateway-to-gateway（网关到网关）。
Transport mode 原始 IP 头还在外面。
Transport mode 主要保护载荷，常见主机到主机。

3. 关键词拆解

Entire IP packet（整个 IP 包）：原来的车、车牌、货物都被装进新壳里。

New IP header（新 IP 头）：外面的大货车有自己的新地址。

Payload（载荷）：真正的数据内容，像车厢里的货。

Gateway-to-gateway（网关到网关）：两个站点之间通过网关建立隧道。

Host-to-host（主机到主机）：两台主机直接通信。

4. 候选池

候选 1：整车装进大货车。

保留。对应 tunnel mode。

候选 2：只锁车厢。

保留。对应 transport mode。

候选 3：隧道模式只保护内容，不保护原 IP 包。

淘汰。隧道模式会包住整个原始 IP 包。

讨论结论：主钩子用“整车进新壳 vs 原车只锁货”。题目先看端点是谁。

5. 最终主记法

Tunnel Mode = 整包进新壳。

Transport Mode = 原头还在，只护载荷。

记完整句：隧道模式把原来的 IP 包整个装进新包里，适合站点到站点；传输模式让原 IP 头继续在外面，只保护里面的数据。

翻回知识点就是：IPsec 隧道模式保护整个原始包并添加新 IP 头，传输模式主要保护载荷并保留原 IP 头。

6. 小白故事

小林要把一辆快递车从总部送到分公司。

如果用传输模式，原来的车照常开在路上。

车牌还在外面。

路上的人能看到这辆车从哪来、去哪。

只是车厢里的货被锁住。

如果用隧道模式，小林把整辆快递车连车牌一起开进一辆大货车。

外面的人只看到大货车从总部网关到分公司网关。

原来的车和车牌都藏在里面。

这就是 tunnel 和 transport 的区别。

7. 回到考题

题目说 tunnel mode（隧道模式）、entire IP packet（整个 IP 包）、new IP header（新 IP 头），选 Tunnel Mode。

题目说 gateway-to-gateway（网关到网关）、site-to-site VPN（站点到站点 VPN）、host-to-gateway（主机到网关），常看 Tunnel Mode。

题目说 transport mode（传输模式）、original IP header remains（原 IP 头保留）、protect payload（保护载荷），选 Transport Mode。

题目问“网关到网关或主机到网关用什么模式”，通常看 tunnel mode。

8. 别混

Tunnel Mode：整包封装，外面加新头。

Transport Mode：原头保留，主要保护载荷。

IPsec：提供这两种模式的协议套件。

TLS tunnel：不是这张卡里的 IPsec tunnel mode。

记忆卡：PGP / S/MIME / 安全邮件标准

PGP 和 S/MIME 这张卡不要只背“都能加密邮件”。

小白先懂一句话：PGP 像朋友之间互相确认钥匙，S/MIME 像公司证件处用 CA 证书体系发邮件身份证。

1. 先懂一句话

PGP = Pretty Good Privacy。

PGP 常和 web of trust（信任网）一起考。

用户自己管理 key ring（密钥环），互相签名确认公钥属于谁。

S/MIME = Secure / Multipurpose Internet Mail Extensions（安全多用途互联网邮件扩展）。

S/MIME 依赖 X.509 certificate（X.509 证书）、CA（证书颁发机构）和 PKI。

两者都可以给 email（电子邮件）做 encryption（加密）和 digital signature（数字签名）。

2. 真正要背什么

这张卡真正要背 5 件事。

PGP 用于邮件加密和签名。
PGP 常见信任模型是 web of trust。
PGP 用户维护密钥环。
S/MIME 用于邮件加密和签名。
S/MIME 依赖 X.509 / CA / PKI，更适合企业标准化部署。

3. 关键词拆解

Web of trust（信任网）：用户之间互相签名、互相信任。

Key ring（密钥环）：PGP 用户保存自己和别人的密钥。

X.509 certificate（X.509 证书）：S/MIME 常用证书标准。

MIME（多用途互联网邮件扩展）：邮件格式扩展。

CA（证书颁发机构）：S/MIME 证书体系的信任来源。

4. 候选池

候选 1：PGP 是朋友互认钥匙。

保留。能记住 web of trust。

候选 2：S/MIME 是公司证件处发证书。

保留。能记住 PKI / CA。

候选 3：PGP 和 S/MIME 只保护邮件传输链路。

淘汰。它们主要保护邮件消息内容本身。

讨论结论：主钩子用“朋友钥匙圈 vs 公司证书”。题目看到 web of trust 选 PGP，看到 X.509 / CA 选 S/MIME。

5. 最终主记法

PGP = 朋友钥匙圈。

S/MIME = 公司证书邮件。

记完整句：PGP 靠用户之间确认钥匙，像朋友给朋友作保；S/MIME 靠 CA 签发 X.509 证书，像公司证件处发正式工牌。

翻回知识点就是：PGP 和 S/MIME 都能保护邮件内容，区别在信任模型和证书体系。

6. 小白故事

小林要给小王发加密邮件。

如果他们用 PGP，小林会把小王的公钥放进自己的密钥环。

朋友们可以给小王的公钥签名，证明这把钥匙确实属于小王。

这像熟人之间互相作保。

如果公司用 S/MIME，流程更像办工牌。

公司或 CA 审核身份，发一张证书。

邮件系统看到证书链，就知道这个公钥属于这个人。

两种方式都能加密和签名邮件，但信任来源不一样。

7. 回到考题

题目说 PGP、Pretty Good Privacy、web of trust（信任网）、key ring（密钥环），选 PGP。

题目说 S/MIME、X.509 certificate（X.509 证书）、CA、MIME，选 S/MIME。

题目问邮件内容加密和签名，PGP 和 S/MIME 都可能正确，要看题干信任模型。

题目只说 SMTP over TLS 或 STARTTLS，是邮件传输通道保护，不等于 PGP / S/MIME 的消息级保护。

8. 别混

PGP：信任网、钥匙圈、个人或分散信任。

S/MIME：X.509、CA、PKI、企业邮件常见。

TLS for SMTP：保护邮件服务器之间或客户端到服务器的传输链路。

DKIM / SPF / DMARC：偏邮件域名身份和防伪，不是邮件内容加密。

记忆卡：Secure Email / 安全邮件目标

Secure Email 这张卡不要写成“用安全邮件软件”。

小白先懂一句话：安全邮件要给邮件内容上锁、给封口盖章、让收件人能确认内容没改、发件人是真的、事后不容易抵赖。

1. 先懂一句话

Secure Email = 安全邮件。

它不是单一产品名。

它是在问邮件要达到什么安全目标。

Confidentiality（机密性）：邮件内容不被外人看懂。

Integrity（完整性）：邮件内容没有被改。

Authentication（认证性）：发件人身份是真的。

Nonrepudiation（不可否认性）：发件人事后难以否认发送过。

PGP 和 S/MIME 是常见实现方式。

2. 真正要背什么

这张卡真正要背 5 件事。

邮件加密保护内容机密性。
数字签名保护完整性和来源真实性。
数字签名支持不可否认。
邮件消息级保护可以在邮件到达邮箱后仍继续保护内容。
传输层 TLS 只保护某段传输通道，不一定保护邮箱里保存的邮件内容。

3. 关键词拆解

Message-level encryption（消息级加密）：邮件内容本身被保护。

Transport encryption（传输加密）：路上某段通道被保护。

Attachment（附件）：安全邮件也要考虑附件内容。

Digital signature（数字签名）：像封口盖章，能验来源和改动。

Metadata（元数据）：收发件人、主题、时间等不一定全部被内容加密保护。

4. 候选池

候选 1：邮件上锁加盖章。

保留。能记住加密和签名的两个动作。

候选 2：邮件只要走 TLS 就一直安全。

淘汰。TLS 可能只保护传输段，邮件落地后不一定仍加密。

候选 3：正文和附件一起装进安全信封。

保留作故事画面。

讨论结论：主钩子用“上锁 + 盖章”。题目问到达邮箱后仍保护，优先想消息级加密。

5. 最终主记法

Secure Email = 内容上锁，封口盖章。

记完整句：加密让外人看不懂正文和附件，签名让收件人知道是谁发的、内容有没有被改、事后能不能赖。

翻回知识点就是：安全邮件通常用加密提供机密性，用数字签名提供完整性、认证和不可否认。

6. 小白故事

小林要把合同发给客户。

如果只走普通邮件，路上和邮箱里都可能被看到。

他先把正文和附件放进上锁信封。

这解决机密性。

然后他在封口盖自己的数字签名章。

客户收到后，不只打开看内容，还检查封口有没有被拆、章是不是小林的。

如果有人改了合同金额，签名验证会失败。

如果小林事后说“不是我发的”，签名也能提供证据。

7. 回到考题

题目说 secure email（安全邮件）、encrypted email（加密邮件）、message confidentiality（消息机密性），看邮件加密。

题目说 digital signature（数字签名）、nonrepudiation（不可否认）、message integrity（消息完整性），看邮件签名。

题目说邮件转发后、落到邮箱后仍要保护内容，优先考虑 PGP / S/MIME 这类消息级保护。

题目只说保护客户端到邮件服务器的连接，才看 TLS / STARTTLS。

8. 别混

Secure Email：目标集合，可能包括加密和签名。

PGP / S/MIME：实现邮件加密和签名的标准。

SMTP over TLS / STARTTLS：保护传输连接。

DKIM / SPF / DMARC：帮助验证邮件域名和防伪，不等于内容加密。

记忆卡：Link Encryption / End-to-End Encryption / 链路加密与端到端加密

Link Encryption 和 End-to-End Encryption 这张卡不要只背“端到端更好”。

小白先懂一句话：链路加密像每个中转站都打开再重锁，端到端加密像发件人一开始锁箱，只有最终收件人能打开。

1. 先懂一句话

Link Encryption = 链路加密。

它保护 each hop（每一跳）之间的链路。

数据到了中间节点，会被解密，再用下一段链路的密钥重新加密。

它可以保护很多 lower-layer information（低层信息），甚至包括某些头部、地址和路由信息。

End-to-End Encryption = 端到端加密。

它从 source（源端）到 destination（目的端）保持密文。

中间节点只能转发，不能读明文负载。

但路由所需的部分 header（头部）通常仍要暴露，否则网络不知道往哪送。

2. 真正要背什么

这张卡真正要背 5 件事。

Link encryption 是 hop-by-hop（逐跳）保护。
Link encryption 中间节点会解密再加密。
Link encryption 可保护更多链路层信息，但中间节点成为暴露点。
End-to-end encryption 中间节点看不到明文负载。
End-to-end encryption 更关注源端到目的端的内容保护，但路由头部可能仍可见。

3. 关键词拆解

Hop-by-hop（逐跳）：每一段路单独加密。

Intermediate node（中间节点）：路由器、网关、中转设备。

Payload（负载）：真正要保护的数据内容。

Headers（头部）：地址和路由信息，网络转发需要看。

Leased line（租用线路）：链路加密常见场景之一。

4. 候选池

候选 1：每段路一个保安亭。

保留。对应 link encryption。

候选 2：发件人到收件人一路不打开。

保留。对应 end-to-end encryption。

候选 3：端到端隐藏所有网络地址。

淘汰。路由所需头部通常仍要被网络看到。

讨论结论：主钩子用“中转站会不会打开箱子”。能打开的是链路加密，不能打开的是端到端加密。

5. 最终主记法

Link Encryption = 每跳打开再重锁。

End-to-End Encryption = 只让最终收件人开箱。

记完整句：链路加密每段路都加密，但中转站能看到明文；端到端加密从发件人锁到收件人，中转站只负责搬箱子。

翻回知识点就是：链路加密保护每条链路但中间节点会解密，端到端加密保护源到目的负载。

6. 小白故事

小林寄一箱合同。

链路加密的流程像快递每到一个中转站就开箱检查，再用下一段路的锁重新封好。

每段路都不裸奔。

但每个中转站都看得到里面内容。

端到端加密不一样。

小林一开始就用客户的锁把箱子锁好。

中转站只看运单，把箱子搬走。

直到最终客户收到，才有钥匙打开。

所以判断这类题，先问中间节点能不能看到明文。

7. 回到考题

题目说 link encryption（链路加密）、each hop（每一跳）、intermediate nodes decrypt（中间节点解密），选 Link Encryption。

题目说 end-to-end encryption（端到端加密）、source to destination（源到目的）、only endpoints can read（只有端点能读），选 End-to-End Encryption。

题目说 headers / addresses / routing information（头部 / 地址 / 路由信息）也被保护，偏 Link Encryption。

题目问中间节点看不到明文负载，偏 End-to-End Encryption。

8. 别混

Link Encryption：逐跳保护，中间节点能解密。

End-to-End Encryption：端点保护，中间节点不读明文负载。

TLS：常用于端到端或近似端到端的应用传输保护，但具体要看部署位置。

VPN：可以实现多种保护方式，不等于自动端到端。

记忆卡：Steganography / 隐写术

Steganography 这张卡不要翻译完“隐写术”就结束。

小白先懂一句话：隐写术不是把内容锁起来，而是把纸条藏进照片里，让别人连“这里有秘密”都没发现。

1. 先懂一句话

Steganography = 隐写术。

它的目标是 conceal existence of message（隐藏消息存在）。

Encryption（加密）是让内容看不懂。

Steganography（隐写）是让别人不知道有内容藏在里面。

常见 cover file（载体文件）包括 image（图片）、audio（音频）、video（视频）。

一种经典技术是 LSB = Least Significant Bit（最低有效位），把信息藏进像素或采样的细微位置。

2. 真正要背什么

这张卡真正要背 4 件事。

隐写隐藏消息存在。
加密隐藏消息内容。
隐写常把信息藏进图片、音频、视频等载体。
隐写可以和加密一起用：先加密内容，再藏进图片。

3. 关键词拆解

Cover file（载体文件）：表面看起来正常的图片、音频或视频。

Hidden message（隐藏消息）：真正要藏的信息。

Conceal existence（隐藏存在）：别人不知道里面有消息。

LSB（最低有效位）：把信息藏在不容易被肉眼察觉的细节里。

4. 候选池

候选 1：纸条藏进照片。

保留。非常直观。

候选 2：给纸条上锁。

淘汰。那是加密的画面。

候选 3：别人以为只是普通照片。

保留作判断钩子。

讨论结论：主钩子用“藏消息存在”。不要和 encryption 的“锁内容”混。

5. 最终主记法

Steganography = 藏起来，让人不知道有消息。

记完整句：加密像把信锁进盒子，别人知道你有盒子；隐写像把信藏进照片，别人以为你只发了一张照片。

翻回知识点就是：隐写术通过载体文件隐藏消息存在，不等于加密。

6. 小白故事

小林发给小王一张海边照片。

普通人打开，只看到蓝天、沙滩和海浪。

但小王用约定工具一读，发现某些像素里藏着一段文字。

如果攻击者不知道照片里藏消息，他甚至不会去破解。

这就是隐写术的重点。

它不是让密文看不懂。

它是让秘密像没出现过一样藏起来。

如果小林更谨慎，可以先把文字加密，再藏进照片。

7. 回到考题

题目说 steganography（隐写术）、hide message（隐藏消息）、conceal existence（隐藏存在）、cover image/audio/video（载体图片 / 音频 / 视频），选 Steganography。

题目说 LSB（最低有效位），也常指隐写。

题目问内容看不懂但明确知道有密文，可能是 encryption。

题目问版权标识或追踪来源，可能是 watermarking。

8. 别混

Steganography：隐藏消息存在。

Encryption：隐藏消息内容。

Watermarking：给内容嵌入所有权或追踪标记。

Covert Channel：偷偷通信的路径，隐写可以作为一种隐藏传递方式，但概念范围不同。

记忆卡：Watermarking / 数字水印

Watermarking 这张卡不要误会成“把内容藏起来”。

小白先懂一句话：水印是在作品里打主人印或追踪印，别人可能照样能看内容，但你能证明来源、版权或泄露路径。

1. 先懂一句话

Watermarking = 数字水印。

它可以是 visible watermark（可见水印），也可以是 invisible watermark（不可见水印）。

它常被看作 steganography（隐写术）的商业应用。

目标不是让内容不可读。

目标是 ownership（所有权）、copyright（版权）、authenticity（真实性）或 tracking（追踪泄露来源）。

2. 真正要背什么

这张卡真正要背 4 件事。

水印用于标识所有权、版权、来源或真实性。
水印可以可见，也可以隐藏在内容里。
水印不能保证内容保密。
题干说“商业应用的隐写术，用来标识图片或验证真实性”，常选 watermarking。

3. 关键词拆解

Ownership（所有权）：证明这是谁的作品。

Fingerprinting（指纹化）：给不同副本嵌入不同标记，用于追踪泄露者。

Authenticity（真实性）：帮助判断内容是否来自可信来源。

Embedded mark（嵌入标记）：把标记放进内容里。

4. 候选池

候选 1：给主人盖暗章。

保留。能记住所有权和来源。

候选 2：水印会阻止别人看到内容。

淘汰。水印不是保密控制。

候选 3：每份视频一个编号。

保留作追踪泄露的故事画面。

讨论结论：主钩子用“主人印 / 追踪印”。重点写清它不是加密。

5. 最终主记法

Watermarking = 给作品打主人印或追踪印。

记完整句：别人可以看到视频，但视频里带着公司或代理商编号；如果流出去了，公司能追到是哪份副本。

翻回知识点就是：数字水印用于所有权证明、版权保护、真实性验证或泄露追踪，不是机密性控制。

6. 小白故事

小林公司把培训视频发给 20 家代理商。

每家拿到的视频内容一样。

但每份视频里都嵌了不同编号。

有的编号在角落可见。

有的藏在画面细节里。

后来网上流出一份视频。

公司提取水印，发现编号属于第 7 家代理商。

水印没有阻止别人观看视频。

但它帮助证明来源和追踪泄露。

7. 回到考题

题目说 watermarking（水印）、identify pictures（标识图片）、verify authenticity（验证真实性）、ownership / copyright（所有权 / 版权），选 Watermarking。

题目说 commercial application of steganography（隐写术的商业应用），也常是水印。

题目问隐藏一段秘密消息不被发现，更像 Steganography。

题目问让内容看不懂，更像 Encryption。

8. 别混

Watermarking：证明来源、版权或追踪泄露。

Steganography：隐藏消息存在。

Digital Signature：用私钥证明来源和完整性。

DRM：数字版权管理，范围比水印更大。

记忆卡：Data Masking / 数据脱敏

Data Masking 这张卡不要写成“数据加密”。

小白先懂一句话：脱敏像把真号码遮住一部分，或者换成格式正确的假号码，让人能办事、能测试，但看不到真实敏感值。

1. 先懂一句话

Data Masking = 数据脱敏 / 数据掩码。

它的目标是减少 sensitive data exposure（敏感数据暴露）。

它可以 redaction（遮盖）、substitution（替换）、shuffling（打乱）、format-preserving masking（保留格式脱敏）。

客服可能只看到信用卡后四位。

开发测试库里可能看到格式正确但不属于真人的身份证号。

2. 真正要背什么

这张卡真正要背 5 件事。

数据脱敏让人看不到真实值。
脱敏后的数据通常还保留一定业务格式。
它常用于客服界面、报表、测试、开发、培训。
Static masking（静态脱敏）是提前生成脱敏数据集。
Dynamic masking（动态脱敏）是在查询或显示时按权限遮挡。

3. 关键词拆解

Redaction（遮盖）：把敏感部分盖掉。

Obfuscation（混淆）：让真实值不容易被识别。

Last four digits（后四位）：信用卡或身份证类常见显示方式。

Test data（测试数据）：开发测试需要结构，但不需要真实个人信息。

Format-preserving（保留格式）：看起来像真号码，便于系统测试。

4. 候选池

候选 1：只露后四位。

保留。最直观。

候选 2：把真值放保险柜，外面用代号。

淘汰给 tokenization。脱敏不一定有映射库能还原。

候选 3：假号码也能跑测试。

保留作测试场景。

讨论结论：主钩子用“遮真值，留格式”。看到测试库和只显示后四位，先想 masking。

5. 最终主记法

Data Masking = 真值遮住，格式留下。

记完整句：客服只看到 **** **** **** 1234，开发只拿格式正确的假身份证号；业务界面能跑，真人敏感值不暴露。

翻回知识点就是：数据脱敏通过遮盖或替换减少敏感数据暴露，常用于显示、测试和非生产环境。

6. 小白故事

小林公司要让开发测试支付页面。

如果直接复制生产数据库，开发人员就会看到真实客户卡号、身份证号和手机号。

这很危险。

公司把卡号换成格式正确的假卡号。

把身份证号换成假号码。

客服界面只显示后四位。

开发还能测试长度、格式、校验逻辑。

但没人能看到真实客户信息。

这就是 Data Masking。

7. 回到考题

题目说 data masking（数据脱敏）、redaction（遮盖）、obfuscation（混淆）、last four digits（只显示后四位），先想 Data Masking。

题目说 test / development data（测试 / 开发数据）要可用但不能暴露真实敏感值，也常选 Data Masking。

题目说 token vault（令牌库）、mapping table（映射表），更像 Tokenization。

题目说数学加密、密钥、解密，更像 Encryption。

8. 别混

Data Masking：遮盖或替换真实值。

Tokenization：用 token 替代真实值，真实值在 vault 里映射。

Encryption：用算法和密钥把内容变成密文，可解密。

Hashing：单向摘要，通常不能还原。

记忆卡：Tokenization / 令牌化

Tokenization 这张卡不要写成“另一种加密算法”。

小白先懂一句话：令牌化是把真卡号放进保险柜，业务系统外面只拿一个代号；代号本身没价值，能不能还原取决于受保护的令牌库。

1. 先懂一句话

Tokenization = 令牌化。

Token（令牌）是 surrogate value（替代值）。

真实敏感数据放在 token vault（令牌库 / 保险柜）里。

业务系统只保存 token。

如果攻击者偷到 token，通常不能直接推出真实卡号。

因为 token 不是密文，不是靠算法直接解密。

它靠安全映射表把 token 对应回真实值。

2. 真正要背什么

这张卡真正要背 5 件事。

Tokenization 用无意义令牌替代真实敏感值。
真实值保存在受保护的 token vault。
Token 本身通常没有业务价值。
Tokenization 常用于 payment card（支付卡）和 PCI 场景。
Tokenization 不是 encryption（加密），不能简单用密钥解密 token。

3. 关键词拆解

PAN = Primary Account Number（主账号 / 支付卡号）。

Token vault（令牌库）：保存真实值和 token 映射的安全系统。

Mapping table（映射表）：记录 token 和真实值关系。

Surrogate value（替代值）：外部系统使用的代号。

PCI scope（PCI 范围）：令牌化可减少系统直接处理卡号的范围。

4. 候选池

候选 1：真卡号进保险柜，外面只用代号。

保留。最贴令牌化。

候选 2：token 是密文。

淘汰。token 不一定有数学可逆关系。

候选 3：偷到代号也刷不了卡。

保留作风险钩子。

讨论结论：主钩子用“保险柜 + 代号”。它能区分 tokenization 和 encryption。

5. 最终主记法

Tokenization = 真值进库，外面用代号。

记完整句：收银系统不保存真实卡号，只保存 tok_7392；真正卡号在令牌保险柜里，只有受控系统能查映射。

翻回知识点就是：令牌化用无意义 token 替代敏感数据，通过受保护的 token vault 映射回真实值。

6. 小白故事

小林的电商系统要处理银行卡。

如果订单库里直接存真实卡号，库一泄露就完了。

于是支付系统把真实卡号放进令牌库。

订单库只保存一个代号。

客服、发货、订单系统都拿代号办事。

攻击者偷走订单库，只看到一堆 token。

没有令牌库映射，token 不能直接当卡号用。

这就是 Tokenization。

7. 回到考题

题目说 tokenization（令牌化）、token vault（令牌库）、surrogate value（替代值）、PAN / card number（支付卡号），先想 Tokenization。

题目说 mapping table（映射表）或 vault（保险库），也在指令牌化。

题目问降低 PCI 范围、减少系统直接保存卡号，常看 Tokenization。

题目说只显示后四位，可能是 Data Masking。

题目说密钥和解密，可能是 Encryption。

8. 别混

Tokenization：用代号替换真值，靠 vault 映射。

Data Masking：遮住或替换显示/测试数据，不一定能还原。

Encryption：数学加密，可用密钥解密。

Hashing：单向摘要，不应能还原原值。

记忆卡：DLP / Data Loss Prevention / 数据防泄漏

DLP 这张卡不要背成“防泄漏软件”。

小白先懂一句话：DLP 像数据出门前的安检机，先识别是不是敏感数据，再按规则告警、加密、隔离、审批或阻断。

1. 先懂一句话

DLP = Data Loss Prevention / Data Leak Prevention（数据丢失防护 / 数据防泄漏）。

它重点看 data content（数据内容）和 destination（去向）。

不是只看端口、IP 或攻击签名。

DLP 会识别敏感数据，比如身份证号、信用卡号、客户名单、源代码、合同。

然后按策略决定 alert（告警）、block（阻断）、quarantine（隔离）、encrypt（加密）、require approval（要求审批）。

2. 真正要背什么

这张卡真正要背 6 件事。

DLP 识别敏感数据内容。
DLP 依赖 classification / labeling（分类 / 标签）和策略。
Endpoint DLP（端点 DLP）看电脑、USB、打印、复制。
Network DLP（网络 DLP）看邮件、网页、上传、外发流量。
Storage / Cloud DLP 看存储库、云盘、SaaS 里的敏感数据。
DLP 可以告警、阻断、加密、隔离或审批，但不是万能。

3. 关键词拆解

Content inspection（内容检查）：打开文件看里面是什么。

Fingerprinting（指纹）：识别特定敏感数据集。

Exfiltration（外泄）：数据被带出组织控制范围。

Policy（策略）：定义哪些数据不能去哪里。

False positive（误报）：正常业务被误拦，DLP 需要调优。

4. 候选池

候选 1：数据出门安检机。

保留。最贴 DLP。

候选 2：DLP 就是加密。

淘汰。加密只是 DLP 可采取的动作之一。

候选 3：看内容和去向。

保留作考试钩子。

讨论结论：主钩子用“安检机”。题目问敏感数据外发、深度内容检查、阻断邮件/USB/云盘，先想 DLP。

5. 最终主记法

DLP = 数据出门前先过安检。

记完整句：员工要把客户表发到外部邮箱，DLP 打开文件看内容，发现身份证号和客户标签，就按策略告警、审批、加密或直接拦下。

翻回知识点就是：DLP 通过识别、分类、监控和控制数据流向，减少敏感数据泄露。

6. 小白故事

小林公司有一张客户表。

表里有姓名、手机号、身份证号和订单金额。

员工想把它发到个人邮箱加班处理。

邮件网关里的 DLP 打开附件。

它不是只看文件名是不是“客户表”。

它看内容里有没有身份证号模式、客户标签、敏感字段和数据指纹。

发现命中策略后，它可以弹窗提醒、要求审批、加密附件，或者直接阻断发送。

如果员工把文件复制到 U 盘，端点 DLP 也可能拦。

如果文件躺在云盘里，云 DLP 可能扫描出来。

7. 回到考题

题目说 DLP、Data Loss Prevention、data leak prevention、exfiltration（外泄）、content inspection（内容检查），先选 DLP。

题目说识别存储在终端或通过网络传输的敏感信息，也常选 DLP。

题目说 endpoint / network / storage / cloud DLP，要按位置理解。

题目问阻止客户资料、信用卡号、源代码外发，DLP 是高频答案。

题目只问入侵检测或攻击签名，不是 DLP 的主场。

8. 别混

DLP：看数据内容和去向，防敏感数据外发。

IDS / IPS：看攻击或异常流量。

Firewall：主要按网络规则控制连接。

Encryption：保护内容不被看懂，是手段之一。

SIEM：集中收日志和关联分析，不直接拦数据外发。

记忆卡：Privacy / PII / PHI / 隐私、个人身份信息与受保护健康信息

Privacy、PII、PHI 这张卡不要背成三个孤立缩写。

小白先懂一句话：PII 是能认出“你是谁”的信息，PHI 是医疗场景里能认出“你是谁”的健康信息，Privacy 问的是别人能不能收集、使用、分享这些信息。

1. 先懂一句话

Privacy = 隐私。

它关心的是个人对自己信息的控制。

谁能收集。

为什么收集。

能不能分享。

保存多久。

用完能不能删除。

PII = Personally Identifiable Information（个人身份信息）。

它问的是：这条信息能不能直接或间接指向一个具体的人。

姓名、身份证号、社会安全号码、出生日期、地址、邮箱、生物识别记录，都可能是 PII。

教育、财务、就业、医疗信息，如果能和某个人连起来，也可能是 PII。

PHI = Protected Health Information（受保护健康信息）。

它问的是：这是不是和个人健康、治疗、医疗付款有关，并且处在 HIPAA（美国健康保险可携性与责任法案）管的医疗、保险、清算机构或业务伙伴场景中。

2. 真正要背什么

这张卡真正要背 5 件事。

Privacy 看“个人信息能不能被这样收集、使用、分享”。
PII 看“能不能认出某个人”。
PHI 看“可识别个人的健康信息，并且在受管医疗场景里”。
PHI 通常也是 PII，但 PII 不一定是 PHI。
隐私题先看合法、必要、透明、最小化，不要一上来只想加密。

3. 关键词拆解

Personal Data（个人数据）：和个人有关的数据，GDPR 里常见。

Data Subject（数据主体）：这份个人数据指向的那个人。

PII（个人身份信息）：能识别或追踪个人的信息。

PHI（受保护健康信息）：可识别个人的健康、治疗、付款信息。

Minimum Necessary（最小必要）：只拿完成任务必须拿的那一小部分。

Consent（同意）：个人允许你这样处理数据。

Notice（告知）：组织要告诉个人数据怎么被用。

4. 候选池

候选 1：个人资料信封。

保留。信封外写姓名和身份证号，是 PII；信封里放病历和医疗账单，在医疗场景里就是 PHI；谁能打开信封，就是 Privacy。

候选 2：隐私保险箱。

保留作辅助。它能记“谁能看”，但不够区分 PII 和 PHI。

候选 3：所有健康数据都是 PHI。

淘汰。这是错的。普通健身文章不是 PHI，匿名统计也不一定是 PHI。

讨论结论：主钩子用“个人资料信封”。这能把 PII、PHI、Privacy 三层同时放进一个画面。

5. 最终主记法

Privacy / PII / PHI = 个人资料信封。

记完整句：信封外能认出你，是 PII；信封里是你的病历和账单，在医疗受管场景里就是 PHI；谁能打开、复印、转发这个信封，就是 Privacy。

翻回知识点就是：隐私保护不是只把数据锁起来，而是管理个人信息从收集、使用、共享到删除的全过程。

6. 小白故事

小林网店开了一个健康用品专区。

普通订单里有姓名、手机号、地址和邮箱。

这些信息能认出客户是谁，所以是 PII。

后来小林和诊所合作，系统里出现客户的诊断结果、处方、治疗记录和付款记录。

这些资料如果能指向具体客户，并且诊所、保险方或外包处理方在用，就变成 PHI。

小林不能因为“资料在自己系统里”就随便用。

他要问清楚：当初为什么收集，客户有没有被告知，谁有权限看，能不能发给合作方，要保存多久，到期怎么删。

这就是 Privacy。

7. 回到考题

题目说 PII、Personally Identifiable Information（个人身份信息）、SSN（社会安全号码）、biometric record（生物识别记录）、date of birth（出生日期），先想能不能识别个人。

题目说 PHI、Protected Health Information（受保护健康信息）、patient record（病历）、health plan（健康计划）、healthcare provider（医疗服务提供者），先想 HIPAA 场景。

题目问处理个人数据的第一原则，不要只选“全部加密”。

先看合法依据、告知、目的限制、数据最小化、访问控制和保留期限。

8. 别混

PII：能认出某个人。

PHI：可识别个人的健康信息，并且在 HIPAA 相关医疗场景里。

Privacy：谁能收集、使用、分享、保留、删除个人信息。

Confidentiality（机密性）：不该看的人不能看。

最容易错的地方：PHI 不是“所有健康内容”。关键要看能不能识别个人，以及是不是在受管医疗语境里。

GDPR 这张卡不要背成“欧洲法律，很严格”。

小白先懂一句话：GDPR 像欧盟个人数据海关，只要你处理欧盟相关个人数据，就要说明目的、少拿数据、别乱转运、出事能交账。

1. 先懂一句话

GDPR = General Data Protection Regulation（欧盟通用数据保护条例）。

它保护的是 Personal Data（个人数据）。

个人数据不只是身份证号。

只要能直接或间接识别某个人，都可能落进它的范围。

GDPR 不是只管欧盟公司。

如果组织在欧盟语境下处理个人数据，或者向欧盟个人提供服务、监测其行为，也可能被 GDPR 影响。

2. 真正要背什么

这张卡真正要背 6 件事。

GDPR 管个人数据，不是普通所有数据。
Data Subject（数据主体）是数据指向的那个人。
Controller（控制者）决定为什么处理、怎么处理。
Processor（处理者）按控制者要求处理数据。
数据主体有权利，比如访问、更正、删除、限制处理、数据可携带、反对处理。
跨境传输要看充分性认定、SCC（标准合同条款）、BCR（约束性公司规则）等机制。

3. 关键词拆解

Right to Erasure（删除权）：符合法定条件时，个人可以要求删除数据。

Right to be Forgotten（被遗忘权）：常和删除权一起出现。

DPO = Data Protection Officer（数据保护官）。

SCC = Standard Contractual Clauses（标准合同条款）。

BCR = Binding Corporate Rules（约束性公司规则）。

Adequacy Decision（充分性认定）：欧盟认为某地保护水平足够。

72 hours（72 小时）：个人数据泄露在达到通知条件时，通常要尽快并在 72 小时内通知监管机构。

4. 候选池

候选 1：欧盟数据海关。

保留。数据要过境、要使用、要删除，都要按规则检查。

候选 2：GDPR = 管得怕人。

淘汰。太口水，不能帮小白区分 controller、processor、right to erasure。

候选 3：个人数据护照。

保留作辅助。个人数据像拿着护照出境，去哪里都要看规则。

讨论结论：主钩子用“欧盟数据海关”。它能接住个人权利、处理角色、跨境传输和问责。

5. 最终主记法

GDPR = 欧盟数据海关。

记完整句：个人数据要被收集、使用、转到境外或删除，先过欧盟数据海关，说明目的、少拿数据、按合法机制转运、出事能交账。

翻回知识点就是：GDPR 规定组织处理个人数据时的权利、责任、角色和跨境传输要求。

6. 小白故事

小林网店准备卖到欧洲。

客户下单时留下姓名、地址、邮箱、付款记录和浏览行为。

小林不能只说“我把数据库加密了，所以没事”。

GDPR 先问：你为什么收集这些数据。

是不是只收必要数据。

有没有告诉客户怎么用。

客户要查看、更正、删除时怎么办。

如果把客服系统放到欧盟以外，靠什么机制传出去。

如果发生个人数据泄露，谁负责判断和通知。

这不是技术强不强的问题，而是个人数据处理有没有合规路线。

7. 回到考题

题目说 GDPR、EU（欧盟）、personal data（个人数据）、data subject（数据主体），先想 GDPR。

题目问 right to erasure（删除权）或 right to be forgotten（被遗忘权），选 GDPR 个人权利。

题目问谁决定处理目的和方式，选 controller（控制者）。

题目问谁代表别人处理数据，选 processor（处理者）。

题目问欧盟个人数据跨境传输，先看 SCC、BCR、adequacy decision 这类机制。

8. 别混

GDPR：欧盟个人数据保护规则。

HIPAA：美国医疗健康信息规则。

PCI DSS：支付卡行业数据安全标准。

Data Localization（数据本地化）：要求数据存放或处理在某地。

最容易错的地方：GDPR 不是“所有数据必须留在欧洲”。它更核心的是个人数据处理是否合法、透明、必要、可追责。

记忆卡：HIPAA / Health Insurance Portability and Accountability Act / 美国健康保险可携性与责任法案

HIPAA 这张卡不要背成“美国医疗法”四个字就结束。

小白先懂一句话：HIPAA 管的是美国受管医疗场景里的 PHI，尤其是医院、保险、清算机构和处理 PHI 的业务伙伴怎么使用、披露和保护健康信息。

1. 先懂一句话

HIPAA = Health Insurance Portability and Accountability Act（健康保险可携性与责任法案）。

它不是把所有健康数据都包进去。

它重点保护 PHI = Protected Health Information（受保护健康信息）。

PHI 可以是电子的、纸面的、口头的。

只要它和个人健康、医疗服务或医疗付款有关，并且能指向个人，就要认真判断。

2. 真正要背什么

这张卡真正要背 6 件事。

HIPAA 保护 PHI。
Covered Entity（受管实体）包括医疗服务提供者、健康计划、医疗信息清算机构。
Business Associate（业务伙伴）代表受管实体处理 PHI，也要受约束。
BAA = Business Associate Agreement（业务伙伴协议），用于约束业务伙伴。
Privacy Rule（隐私规则）管 PHI 的使用和披露。
Security Rule（安全规则）管 ePHI（电子受保护健康信息）的保护。

3. 关键词拆解

PHI（受保护健康信息）：可识别个人的健康、治疗、付款信息。

ePHI（电子受保护健康信息）：电子形式的 PHI。

Covered Entity（受管实体）：HIPAA 直接管的医疗服务提供者、健康计划、清算机构。

Business Associate（业务伙伴）：帮受管实体处理 PHI 的外包方、服务商。

Minimum Necessary（最小必要）：只使用或披露完成目的所需的最少 PHI。

BAA（业务伙伴协议）：让业务伙伴也按 HIPAA 要求保护 PHI。

4. 候选池

候选 1：病历只撕够用的一页。

保留。它能记住 Minimum Necessary（最小必要）。

候选 2：医院大门。

保留作辅助。它能记医疗场景，但不够区分业务伙伴。

候选 3：HIPAA = 所有健康 App。

淘汰。HIPAA 是否适用，要看主体、场景和数据，不是看到健康两个字就选。

讨论结论：主钩子用“病历只撕够用的一页”。它既能记 PHI，也能记最小必要和业务伙伴协议。

5. 最终主记法

HIPAA = 病历只撕够用的一页。

记完整句：医院、保险方或外包服务商处理病历时，不能整本抱走；看病、付款、运营需要哪一页，就只用哪一页，并用协议和安全措施管住。

翻回知识点就是：HIPAA 规定受管医疗场景中 PHI 的使用、披露和保护要求。

6. 小白故事

小林诊所要把账单外包给一家结算公司。

账单里有患者姓名、诊断、治疗项目和付款信息。

这不是普通客户资料。

它是 PHI。

诊所不能直接把整套病历丢给外包公司。

它要签 BAA（业务伙伴协议）。

外包公司只能拿完成账单工作需要的那部分信息。

如果信息是电子形式，还要按 Security Rule（安全规则）做访问控制、审计、传输保护和其他安全措施。

7. 回到考题

题目说 HIPAA、PHI、ePHI、patient record（病历）、health plan（健康计划）、healthcare clearinghouse（医疗信息清算机构），先想 HIPAA。

题目说 covered entity（受管实体）把 PHI 交给 vendor（供应商）处理，先想 business associate（业务伙伴）和 BAA（业务伙伴协议）。

题目问“只给治疗所需的部分信息”，看 minimum necessary（最小必要）。

题目问 ePHI 的机密性、完整性、可用性保护，看 HIPAA Security Rule（安全规则）。

8. 别混

HIPAA：美国受管医疗场景中的 PHI。

GDPR：欧盟个人数据。

PII：能识别个人的信息，不一定是医疗。

PHI：可识别个人的健康信息，并且在 HIPAA 相关场景中。

最容易错的地方：不要看到健康数据就自动选 HIPAA。先看是不是可识别个人，谁在处理，是否属于 HIPAA 的受管场景。

记忆卡：Data Retention / Record Retention / 数据保留

Data Retention 这张卡不要背成“数据多保存一段时间”。

小白先懂一句话：数据保留问的是这份数据为什么要留、留多久、谁批准、到期怎么处理。

1. 先懂一句话

Data Retention = 数据保留。

Record Retention = 记录保留。

它不是备份。

备份回答“坏了怎么恢复”。

保留回答“这份资料按法律、业务或审计要求要留多久”。

如果有诉讼、调查或监管要求，还可能触发 Legal Hold（法律保留），暂停正常删除。

2. 真正要背什么

这张卡真正要背 5 件事。

保留期限来自法律、监管、合同、业务和组织政策。
Retention Schedule（保留计划）写清每类数据留多久。
Legal Hold（法律保留）会暂停销毁。
保留期满后要安全处置，不是永远放着。
保留太久会增加泄露、调查和合规风险。

3. 关键词拆解

Retention Period（保留期限）：数据应该保存的时间。

Retention Schedule（保留计划）：不同记录对应不同保留期限。

Legal Hold（法律保留）：诉讼或调查需要时，先别删。

Disposition（处置）：保留期结束后的归档、删除或销毁。

Storage Limitation（存储期限限制）：只在必要期限内保存。

4. 候选池

候选 1：资料借书卡。

保留。每份资料像一本书，卡片上写着归还日和处理方式。

候选 2：永远留着最安全。

淘汰。保留太久会扩大风险。

候选 3：备份就是保留。

淘汰。备份是恢复副本，也要遵守保留政策。

讨论结论：主钩子用“资料借书卡”。它能把留多久、为什么留、到期怎么处理说清楚。

5. 最终主记法

Data Retention = 每份资料都有借书卡。

记完整句：合同、日志、邮件、病历和订单都有自己的到期日，没到期要保管，到期要按政策归档或销毁，遇到法律保留先暂停删除。

翻回知识点就是：数据保留用政策和计划控制记录保存期限，平衡合规、业务和风险。

6. 小白故事

小林网店保存订单、客服聊天、付款记录和系统日志。

他一开始想“硬盘便宜，全都永久留着”。

法务告诉他，这不是好主意。

有些记录要留到满足税务和合同要求。

有些日志留到能调查安全事件就够了。

有些个人数据到期就应该删除。

如果公司正在被调查，相关邮件和日志不能按计划删除，这叫 Legal Hold（法律保留）。

保留不是堆仓库，而是给每类资料贴上到期标签。

7. 回到考题

题目说 retention policy（保留策略）、retention schedule（保留计划）、records management（记录管理），先想 Data Retention。

题目问“数据应该保存多久”，不要选随意时间。

先看法律、监管、合同、业务和组织政策。

题目出现 litigation（诉讼）、investigation（调查）、legal hold（法律保留），先暂停正常销毁。

题目说 backup（备份），先判断它是不是问恢复，不要直接当保留答案。

8. 别混

Data Retention：有意保存，按政策留多久。

Data Remanence：以为删了，但介质上还有残留。

Backup：为了恢复系统和数据。

Archive：长期归档，通常为了查询、合规或历史记录。

最容易错的地方：保留不是越久越好。安全考试里，长期保存不必要数据会变成新风险。

记忆卡：Data Remanence 深化 / 数据残留深化

Data Remanence 这张卡已经写过基础，这里专门加深介质和题目陷阱。

小白先懂一句话：数据残留就是你以为删掉了，但硬盘、磁带、SSD 或空闲空间里还可能留下能恢复的痕迹。

1. 先懂一句话

Data Remanence = 数据残留。

它不是“我要把数据保留多久”。

它是“我已经删除或格式化了，为什么别人还能恢复出来”。

操作系统删除文件时，常常只是把目录记录改掉。

真正的数据块可能还在介质上。

SSD（固态硬盘）还有 wear leveling（磨损均衡），传统覆盖不一定能覆盖到所有物理单元。

2. 真正要背什么

这张卡真正要背 6 件事。

Delete（删除）不等于安全销毁。
Format（格式化）通常也不等于安全销毁。
Clear（清除）是逻辑层覆盖或清理。
Purge（净化）比清除更强，让高级恢复也很难。
Destroy（销毁）是物理破坏介质。
Degaussing（消磁）适合磁性介质，不适合 SSD 和光盘。

3. 关键词拆解

Media Sanitization（介质净化）：让目标数据在合理努力下不可恢复。

Clear（清除）：让普通软件恢复不了。

Purge（净化）：让更强手段也难以恢复。

Destroy（销毁）：粉碎、熔毁、切碎等物理破坏。

Degaussing（消磁）：用强磁场清除磁性介质数据。

Crypto Erase（加密擦除）：销毁加密密钥，让密文失去可读性。

Free Space（空闲空间）：文件删了以后，数据残留可能躺在这里。

4. 候选池

候选 1：擦掉铅笔字，纸上还有压痕。

保留。它最像“删了但痕迹还在”。

候选 2：Delete 是垃圾桶。

保留作辅助。它能记住“删除只是移走入口”。

候选 3：消磁万能。

淘汰。SSD 和光盘不能靠消磁解决。

讨论结论：主钩子用“纸上压痕”。它能让小白记住为什么普通删除不够。

5. 最终主记法

Data Remanence = 字擦掉了，纸上还有压痕。

记完整句：删除只是把字从目录上擦掉，真正的压痕可能还在介质里；敏感介质退役时要按介质类型选择清除、净化、加密擦除或物理销毁。

翻回知识点就是：数据残留是介质上残余数据仍可能被恢复，需要合适的介质净化方法处理。

6. 小白故事

小林准备把旧电脑捐给学校。

他把客户资料拖进回收站，清空，再快速格式化硬盘。

他以为安全了。

安全同事说，这只是把书架目录撕掉，书页可能还在仓库里。

如果是磁性硬盘，可以考虑多次覆盖、净化或消磁。

如果是 SSD，要考虑厂商安全擦除、加密擦除或物理销毁。

如果资料特别敏感，直接销毁介质可能才是最稳的答案。

7. 回到考题

题目说 deleted files（已删除文件）、formatted drive（格式化磁盘）、residual data（残余数据）、data remanence（数据残留），先想数据残留。

题目问捐赠、转卖、退役介质前要做什么，选 media sanitization（介质净化）。

题目说 magnetic tape（磁带）或 magnetic hard drive（磁性硬盘），degaussing（消磁）可能是答案。

题目说 SSD（固态硬盘）或 optical disc（光盘），不要选消磁。

题目说最高敏感数据且介质不再使用，destroy（销毁）常常更合适。

8. 别混

Data Retention：有意保存。

Data Remanence：无意残留。

Media Sanitization：处理残留的过程。

Secure Erase：安全擦除方式之一。

Destruction：物理销毁。

最容易错的地方：看到“删除了”不要以为数据没了。考试很爱问普通删除、格式化为什么不够。

记忆卡：Data Lifecycle / 数据生命周期

Data Lifecycle 这张卡不要背成“创建到销毁”一句空话。

小白先懂一句话：数据像一个包裹，从出生、贴标签、入库、出库、转运、归档到销毁，每一步都要有人负责、按分类保护。

1. 先懂一句话

Data Lifecycle = 数据生命周期。

它讲的是数据从被创建或收集开始，一直到最后删除或销毁为止的全过程。

常见阶段包括 create / collect（创建 / 收集）、store（存储）、use（使用）、share / transmit（共享 / 传输）、archive（归档）、retain（保留）、destroy（销毁）。

数据保护不是只保护数据库在线运行的时候。

备份、导出文件、邮件附件、报表、归档介质和退役硬盘也在生命周期里。

2. 真正要背什么

这张卡真正要背 6 件事。

生命周期从创建到销毁都要保护。
早期步骤之一是 identify and classify（识别和分类）。
Classification（分类）决定保护强度。
Labeling / Marking（标记）让人知道数据级别。
Data Owner（数据所有者）负责分类和保护要求。
Data Custodian（数据保管者）执行备份、权限、存储等技术控制。

3. 关键词拆解

Cradle to Grave（从摇篮到坟墓）：从创建到销毁。

Identify（识别）：知道自己有什么数据和资产。

Classify（分类）：判断敏感度和价值。

Label / Mark（标记）：把分类结果贴出来。

Owner（所有者）：定规则、定分类。

Custodian（保管者）：按规则执行技术保护。

Disposition（处置）：生命周期末尾的归档、删除、销毁。

4. 候选池

候选 1：数据包裹一生。

保留。能串起出生、贴标签、运输、入库、销毁。

候选 2：生命周期就是备份。

淘汰。备份只是存储和恢复的一部分。

候选 3：只保护生产库。

淘汰。导出、备份、归档、测试数据同样要保护。

讨论结论：主钩子用“数据包裹一生”。每个阶段都能落到具体动作。

5. 最终主记法

Data Lifecycle = 数据包裹一生。

记完整句：数据出生先登记和分类，贴标签后入库，使用和传输时按级别保护，过期归档或销毁，最后还要防止残留。

翻回知识点就是：数据生命周期管理要求从创建到销毁的每个阶段都按敏感度和业务要求保护数据。

6. 小白故事

小林网店生成一张客户订单。

订单刚出现时，系统要知道它包含客户姓名、地址、电话和付款记录。

所以先识别，再分类。

分类后贴上“私有”或“敏感”标签。

客服查看时要按权限。

财务导出报表时要控制分享范围。

备份到介质时要加密并记录。

超过保留期限后要删除或销毁。

如果旧硬盘退役，还要处理数据残留。

这才叫生命周期。

7. 回到考题

题目说 data lifecycle（数据生命周期）、cradle to grave（从创建到销毁），先想全流程保护。

题目问生命周期早期先做什么，常看 identify and classify information and assets（识别和分类信息与资产）。

题目问分类定义通常写在哪里，看 security policy（安全策略）或 data policy（数据策略）。

题目问谁决定分类，选 Data Owner（数据所有者）。

题目问谁执行备份、存储和技术控制，选 Data Custodian（数据保管者）。

8. 别混

Data Lifecycle：全流程地图。

Data Retention：留多久。

Data Remanence：销毁后有没有残留。

Data Classification：按敏感度分级。

Data Labeling：把分类贴出来。

最容易错的地方：生命周期不是一个工具，也不是单纯加密。它是从数据出生到退场的管理路线。

记忆卡：Data Sovereignty / Data Localization / 数据主权与数据本地化

Data Sovereignty 和 Data Localization 这张卡不要背成“数据放哪里”。

小白先懂一句话：数据像行李箱，放在哪个国家、经过哪个国家、谁能远程打开，都会牵出不同法律；本地化是法律要求箱子必须留在本地。

1. 先懂一句话

Data Sovereignty = 数据主权。

它问的是：数据受哪个国家或地区的法律、监管和司法管辖影响。

Data Localization = 数据本地化。

它问的是：法律是否要求数据必须在某个国家或地区内存储、处理或保持副本。

Data Residency = 数据驻留。

它偏向描述数据实际放在哪里。

三者相近，但考试会用细节区分。

2. 真正要背什么

这张卡真正要背 5 件事。

数据放在哪里，会影响适用法律。
数据来自哪里，也可能带着法律要求。
云服务选区域不等于自动合规。
加密可以降低泄露风险，但不能让法律管辖消失。
跨境传输要看监管允许的机制和合同控制。

3. 关键词拆解

Jurisdiction（司法管辖）：哪个法律体系能管这份数据。

Cross-Border Transfer（跨境传输）：数据从一个国家或地区转到另一个国家或地区。

Residency（驻留）：数据实际存放位置。

Localization（本地化）：要求数据留在本地。

Sovereignty（主权）：数据受当地法律和控制权要求影响。

Cloud Region（云区域）：云厂商提供的数据中心地区选择。

4. 候选池

候选 1：数据行李箱过边检。

保留。能记数据跨境、管辖、留境要求。

候选 2：放美国云就按美国法，放欧洲云就按欧洲法。

淘汰。太简单，远程访问、数据主体、合同和跨境规则也会影响。

候选 3：加密后法律不管。

淘汰。加密是安全控制，不是法律通行证。

讨论结论：主钩子用“数据行李箱过边检”。箱子在哪、从哪来、谁能开，都要看规则。

5. 最终主记法

Data Sovereignty / Localization = 数据行李箱过边检。

记完整句：数据行李箱出境前，先看它来自哪里、要放哪里、谁能访问、当地法律准不准；如果法律要求留在本地，这就是数据本地化。

翻回知识点就是：数据主权关注法律管辖，本地化关注数据必须留在指定地区，跨境传输要用合规机制和控制措施。

6. 小白故事

小林网店把客户数据放到云服务。

他在控制台选了一个便宜地区，觉得只是技术选择。

法务说不是。

客户如果在欧盟，个人数据可能受 GDPR 影响。

数据如果存到另一个国家，可能触发跨境传输要求。

如果某国要求特定数据留在境内，就不能随便放到海外区域。

如果海外运维人员能远程访问，也可能被视为跨境处理。

加密能保护内容，但不能自动解决所有管辖问题。

7. 回到考题

题目说 data sovereignty（数据主权）、jurisdiction（司法管辖），先想法律管辖。

题目说 data localization（数据本地化），先想必须留在本国或本地区。

题目说 data residency（数据驻留），先想数据实际存放位置。

题目说 cross-border transfer（跨境传输），先看来源地、目的地、访问者和传输机制。

题目问云服务合规，不要只选“换云区域”。还要看合同、访问、法律和数据类型。

8. 别混

Sovereignty：谁的法律能管。

Localization：必须留在本地。

Residency：实际放在哪里。

GDPR：欧盟个人数据规则。

Encryption：保护数据内容，但不是管辖豁免。

最容易错的地方：云区域不是万能答案。数据在哪、谁能访问、哪个法律跟着数据走，都要一起看。

记忆卡：Intellectual Property / Proprietary Data / 知识产权与专有数据

Intellectual Property 这张卡不要背成“版权专利那些东西”。

小白先懂一句话：知识产权保护的是脑力创造和商业价值，专有数据保护的是组织靠它赚钱、竞争或运营的内部秘密。

1. 先懂一句话

Intellectual Property = IP（知识产权）。

它保护发明、作品、品牌标识、商业秘密等脑力成果。

Proprietary Data = 专有数据。

它是组织自己拥有、控制、希望限制传播的数据。

比如源代码、产品设计、技术路线、内部流程、客户名单、定价策略、商业计划。

竞争对手拿到这些资料，组织可能直接损失竞争优势。

2. 真正要背什么

这张卡真正要背 5 件事。

IP 是权利类型，不是某一种技术。
Proprietary Data 是组织有价值、不想公开的数据。
源代码、产品计划、客户名单、商业秘密都可能是专有数据。
许可证 License（许可）给的是使用权，不等于所有权。
DRM、加密、访问控制是保护手段，不是知识产权本身。

3. 关键词拆解

Intellectual Property（知识产权）：发明、表达、品牌、秘密等权利。

Proprietary（专有的）：属于组织、有竞争价值、不愿公开。

License（许可）：允许在特定条件下使用。

EULA = End User License Agreement（最终用户许可协议）。

DRM = Digital Rights Management（数字版权管理）。

Infringement（侵权）：未经授权使用受保护作品或标识。

4. 候选池

候选 1：创意工坊四个柜子。

保留。发明柜、作品柜、招牌柜、秘密保险箱，正好接四类知识产权。

候选 2：公司秘密仓库。

保留作专有数据画面。

候选 3：买了软件就拥有代码。

淘汰。通常只是获得许可，不是获得知识产权。

讨论结论：主钩子用“创意工坊四个柜子”。先问被保护的对象是什么，再选权利类型。

5. 最终主记法

Intellectual Property = 创意工坊四个柜子。

记完整句：发明放专利柜，作品放版权柜，品牌放商标柜，配方和客户名单放商业秘密保险箱；买到成品，不等于拥有柜子里的权利。

翻回知识点就是：知识产权保护不同类型的无形资产，专有数据要按价值和敏感度限制访问。

6. 小白故事

小林公司开发了一套推荐算法。

代码在仓库里。

产品界面有品牌 Logo。

市场部有客户名单。

研发部有未公开的技术方案。

这些东西不都是一个法律类别。

代码可能受版权保护。

Logo 可能是商标。

新技术如果申请并公开，可能走专利。

客户名单和未公开方案如果靠保密维持价值，可能是商业秘密或专有数据。

安全团队要做的是先分清对象，再选控制。

7. 回到考题

题目说 intellectual property（知识产权）、IP、proprietary data（专有数据），先问保护对象是什么。

题目说 license（许可）、EULA（最终用户许可协议），先想使用权限制。

题目说 DRM（数字版权管理），先想保护数字作品访问和分发。

题目说竞争对手拿到源代码、产品路线或客户名单，先想专有数据和商业秘密风险。

8. 别混

IP：法律权利大类。

Proprietary Data：组织不想公开的有价值数据。

DRM：保护数字内容的技术和策略。

License：允许使用，不一定转让所有权。

Trade Secret：靠保密维持价值的秘密。

最容易错的地方：不要把“技术保护措施”当成“权利类型”。加密和 DRM 是手段，知识产权是被保护的资产和权利。

记忆卡：Patent / Copyright / Trademark / Trade Secret / 知识产权四兄弟

Patent、Copyright、Trademark、Trade Secret 这张卡不能混着背。

小白先懂一句话：专利保护发明，版权保护表达，商标保护品牌来源，商业秘密靠保密保护有价值的信息。

1. 先懂一句话

Patent = 专利。

它保护发明、工艺、机器、配方等技术方案。

典型特点是公开换有限期限的独占权。

它保护固定下来的原创表达，比如书、音乐、电影、图片、课程、软件代码。

它不保护抽象想法本身。

Trademark = 商标。

它保护品牌来源识别，比如品牌名、Logo、标语、服务标志。

Trade Secret = 商业秘密。

它保护因为不被公众知道而有经济价值的信息，比如配方、客户名单、未公开算法、商业计划。

2. 真正要背什么

这张卡真正要背 4 个判断。

新发明、新工艺、新机器，看 Patent（专利）。
文字、音乐、图片、电影、代码表达，看 Copyright（版权）。
品牌名、Logo、标语、来源识别，看 Trademark（商标）。
配方、客户名单、未公开流程、保密算法，看 Trade Secret（商业秘密）。

3. 关键词拆解

Invention（发明）：专利常见信号。

Expression（表达）：版权常见信号。

Source Identifier（来源标识）：商标常见信号。

Confidential Business Information（保密商业信息）：商业秘密常见信号。

Registration（登记 / 注册）：专利和商标常涉及正式申请或注册。

Reasonable Efforts（合理保密措施）：商业秘密要靠措施维持保密。

4. 候选池

候选 1：一条街四个门面。

保留。机器图纸、书架、品牌招牌、秘密保险箱，画面很稳。

候选 2：专利就是版权。

淘汰。发明和表达是两回事。

候选 3：商业秘密公开后还能靠秘密保护。

淘汰。商业秘密核心就是保持秘密。

讨论结论：主钩子用“一条街四个门面”。看题先找对象，再进对应门。

5. 最终主记法

知识产权四兄弟 = 发明、表达、招牌、秘密。

记完整句：机器图纸进专利门，小说和代码进版权门，品牌 Logo 挂商标门，配方和客户名单锁进商业秘密保险箱。

翻回知识点就是：不同知识产权保护不同对象，题目先问“保护什么”，再选 patent、copyright、trademark 或 trade secret。

6. 小白故事

小林公司开了一条产品街。

第一间店展示一台新机器和工艺图纸。

这是专利的地盘。

第二间店摆着课程讲义、宣传视频和软件源代码。

这是版权的地盘。

第三间店门口挂着品牌名、Logo 和口号。

这是商标的地盘。

第四间店没有窗，保险箱里放客户名单、配方和未公开算法。

这是商业秘密的地盘。

考试题只要问清楚门里放的是什么，就不会乱选。

7. 回到考题

题目说 new invention（新发明）、process（工艺）、machine（机器）、technical design（技术设计），先想 patent（专利）。

题目说 book（书）、music（音乐）、movie（电影）、photo（照片）、software code（软件代码），先想 copyright（版权）。

题目说 brand name（品牌名）、logo（标志）、slogan（标语）、source of goods（商品来源），先想 trademark（商标）。

题目说 formula（配方）、customer list（客户名单）、business plan（商业计划）、kept secret（保持秘密），先想 trade secret（商业秘密）。

8. 别混

Patent：公开发明换限期保护。

Trademark：保护品牌识别，防止消费者混淆。

Trade Secret：不公开，靠合理保密措施维持。

最容易错的地方：源代码常是版权；Logo 常是商标；保密配方常是商业秘密；公开申请的发明才更像专利。

记忆卡：Privacy by Design / Privacy by Default / 隐私设计先行与默认隐私保护

Privacy by Design 这张卡不要背成“上线前注意隐私”。

小白先懂一句话：它要求系统还在设计图上时，就把隐私控制画进去；Privacy by Default 要求系统默认就少收、少用、少公开、少保留。

1. 先懂一句话

Privacy by Design = 隐私设计先行。

它不是等系统上线、出问题、被投诉后再补一个隐私声明。

它要求从需求、架构、数据库、权限、日志、共享、保留、删除这些设计环节开始，就考虑隐私。

Privacy by Default = 默认隐私保护。

它要求默认设置就偏保护个人。

用户不做额外选择时，也不应该被默认最大收集、默认公开、默认长期保存。

2. 真正要背什么

这张卡真正要背 6 件事。

隐私要在设计阶段嵌入。
默认设置要少收集、少共享、少保留。
Data Minimization（数据最小化）是高频动作。
Purpose Limitation（目的限制）要求只按明确目的处理。
PIA / DPIA（隐私 / 数据保护影响评估）用于提前评估风险。
假名化、加密、访问控制、保留期限和删除流程都是常见控制。

3. 关键词拆解

Data Minimization（数据最小化）：只收必要数据。

Purpose Limitation（目的限制）：只按声明目的使用数据。

Pseudonymization（假名化）：用别名替换直接标识，降低识别风险。

PIA = Privacy Impact Assessment（隐私影响评估）。

DPIA = Data Protection Impact Assessment（数据保护影响评估）。

Default Settings（默认设置）：用户不改设置时系统采用的状态。

4. 候选池

候选 1：盖房子时先装门锁和窗帘。

保留。它能说明设计阶段就放进去。

候选 2：上线后贴隐私公告。

淘汰。这是补救，不是设计先行。

候选 3：默认全公开，用户自己关。

淘汰。默认隐私保护要求反过来。

讨论结论：主钩子用“设计图上就画好门锁和窗帘”。它能记住不是事后补丁。

5. 最终主记法

Privacy by Design = 设计图上先画门锁和窗帘。

记完整句：系统还没开工，就先决定哪些数据不收、哪些字段要假名化、谁能看、保存多久、怎么删除；默认状态就让个人数据少暴露。

翻回知识点就是：隐私保护要在系统生命周期早期内建，并通过默认保护设置减少个人数据风险。

6. 小白故事

小林准备做一个会员 App。

产品经理想一次收姓名、生日、身份证号、地址、定位、通讯录和健康偏好。

安全同事没有等 App 上线后再补救。

他在设计阶段就问：下单真的需要身份证号吗。

推荐商品真的需要精确定位吗。

默认资料页是不是应该只自己可见。

数据多久自动删除。

高风险处理前要不要做 DPIA。

日志里能不能别写完整身份证号。

这些问题在设计图上解决，才是 Privacy by Design。

7. 回到考题

题目说 Privacy by Design（隐私设计先行），先想从需求和设计阶段嵌入隐私控制。

题目说 Privacy by Default（默认隐私保护），先想默认少收集、少共享、少保留、少公开。

题目问新系统处理个人数据的最佳做法，优先看 PIA / DPIA、数据最小化、目的限制、访问控制和保留删除。

题目说上线后再加公告、默认收集一切再让用户退出，通常不是最佳答案。

8. 别混

Privacy by Design：设计阶段就考虑隐私。

Privacy by Default：默认设置就保护隐私。

Security by Design：设计阶段考虑安全，不只隐私。

Encryption：加密是控制之一，不等于完整隐私设计。

Consent Banner（同意横幅）：可能是告知机制，不等于整个隐私设计。

最容易错的地方：隐私不是页面底部放一个政策链接。真正的隐私设计会影响数据模型、权限、默认设置、日志、保留和删除流程。

记忆卡：Data Classification Levels / 数据分类级别

Data Classification Levels 这张卡不要背成“给数据取几个名字”。

小白先懂一句话：分类级别是在问这份数据泄露、被改、丢失以后会有多严重，然后用级别决定该上几把锁。

1. 先懂一句话

Data Classification = 数据分类。

Classification Levels = 分类级别。

它不是加密，也不是 DLP。

它是先判断数据有多重要、多敏感、泄露后多痛。

级别越高，访问、存储、传输、打印、外带、销毁要求越严格。

政府常见 Top Secret（绝密）、Secret（秘密）、Confidential（机密）、Unclassified（未分类）。

商业组织可能用 Restricted（受限）、Confidential（机密）、Internal（内部）、Public（公开）。

名称不一定统一，但逻辑一样：损害越大，级别越高。

2. 真正要背什么

这张卡真正要背 5 件事。

分类级别表达数据价值、敏感性和泄露影响。
分类决定保护强度。
政府分类看国家安全损害。
商业分类看组织损害、竞争优势、隐私和关键性。
Data Owner（数据所有者）通常决定分类，不是普通 IT 随手决定。

3. 关键词拆解

Sensitivity（敏感性）：数据被看见会不会伤人、伤组织、违法。

Criticality（关键性）：业务是不是离不开这份数据。

Disclosure Impact（披露影响）：数据泄露后有多严重。

Top Secret（绝密）：未经授权披露可能造成 exceptionally grave damage（异常严重损害）。

Secret（秘密）：可能造成 serious damage（严重损害）。

Confidential（机密）：可能造成 damage（损害）。

Public（公开）：可以公开，但仍要保护完整性，不能让人乱改。

4. 候选池

候选 1：文件柜颜色。

保留。绿色公开、蓝色内部、黄色机密、红色受限，颜色越红锁越多。

候选 2：分类就是加密。

淘汰。分类是先定级，加密是可能采用的保护手段。

候选 3：PII 就是分类级别。

淘汰。PII 是数据类型，组织可能把它分类为 Private、Confidential 或其他级别。

讨论结论：主钩子用“文件柜颜色”。颜色告诉你损害级别，锁的数量代表保护强度。

5. 最终主记法

Data Classification Levels = 文件柜颜色越红，锁越多。

记完整句：先看资料泄露会造成多大损害，再把它放进对应颜色的柜子，颜色决定谁能看、怎么存、怎么传、怎么销毁。

翻回知识点就是：数据分类用级别表达敏感性和价值，并驱动后续保护要求。

6. 小白故事

小林公司有四份资料。

官网宣传页可以公开。

员工通讯录只给内部用。

客户身份证号和订单记录属于敏感资料。

未发布的新产品配方如果被竞争对手拿到，公司会损失很大。

这四份资料不能放在同一个柜子里。

先分级，再决定访问权限、加密、打印、外发审批和销毁方式。

如果一开始不分类，后面所有保护都会变成猜。

7. 回到考题

题目说 data sensitivity level（数据敏感级别）、classification level（分类级别）、disclosure impact（披露影响），先想数据分类级别。

题目问开发分类程序 first（第一步）做什么，先理解组织需要哪些 protection levels（保护级别）。

题目问谁决定分类，选 Data Owner（数据所有者）。

题目问分类有什么用，看决定适当保护强度。

题目问 classification 不能帮助什么，注意它不能帮你从数据库里提取数据。

8. 别混

Classification：定级。

Marking / Labeling：把级别贴出来。

Handling：按级别执行处理要求。

Encryption：加密，是保护手段。

DLP：识别和控制数据外发，是控制方案。

最容易错的地方：分类不是保护动作本身。它是保护动作的前置判断。

记忆卡：Data Marking / Handling / 数据标记与处理

Data Marking 和 Handling 这张卡不要混。

小白先懂一句话：Marking 是把“这是什么级别”贴出来，Handling 是按这个级别决定怎么拿、怎么传、怎么放、怎么销毁。

1. 先懂一句话

Marking = 标记。

Labeling = 标签。

它们让人和系统知道数据属于什么级别。

可以是文件页眉、页脚、水印、封面标签、介质贴纸、元数据标签、桌面背景提醒。

Handling = 处理。

它不是贴纸。

它是按标签执行动作：怎么存、怎么传、能不能打印、能不能带出、能不能邮件外发、到期怎么销毁。

2. 真正要背什么

这张卡真正要背 5 件事。

分类是定级。
标记是把级别显示出来。
处理是按级别执行规则。
未标记介质在高安全环境里很危险，可能被误当普通资料。
降级不是撕标签，必须先按可信程序清除数据并获得批准。

3. 关键词拆解

Marking（标记）：在数据或介质上显示分类。

Labeling（标签）：贴出分类标签。

Metadata Tag（元数据标签）：让系统和 DLP 识别数据级别。

Handling Procedure（处理程序）：告诉人怎么存、传、用、销毁。

Downgrade（降级）：把高分类介质降到低分类前，必须先清除可用数据。

Error of Omission（遗漏错误）：敏感资料漏贴标签，被误当低级资料处理。

4. 候选池

候选 1：易碎标签和搬运规则。

保留。箱子上贴“易碎”是 Marking，搬运时轻拿轻放是 Handling。

候选 2：贴标签就安全。

淘汰。标签只是提醒，真正安全来自后续处理控制。

候选 3：撕掉标签就降级。

淘汰。降级前要清除数据、审批和替换标签。

讨论结论：主钩子用“易碎标签和搬运规则”。它能把标记和处理分开。

5. 最终主记法

Data Marking / Handling = 贴易碎标签，按易碎方式搬。

记完整句：标签告诉你箱子是什么级别，处理规则告诉你能不能外带、能不能邮件发、要不要加密、最后怎么销毁。

翻回知识点就是：标记让分类可见，处理规则把分类变成实际操作。

6. 小白故事

小林公司有一盘备份磁带，里面是客户身份证号。

如果磁带没有标签，员工可能把它当普通空磁带寄出去。

所以磁带要贴上敏感级别。

文件也可能在页眉写 Confidential（机密），或者用元数据标签让 DLP 识别。

员工看到标签后，知道不能随便转发，传输要加密，打印要审批，销毁要按流程。

如果想把高分类磁带降级，不是撕掉标签。

必须先把里面的数据清除干净，再按批准程序换标签。

7. 回到考题

题目问如何避免 media or information mishandling（介质或信息误处理），选 labeling / marking（标签 / 标记）。

题目问如何让用户知道数据级别，选 marking / labeling。

题目问不同级别数据怎么存、传、印、销毁，选 handling procedures（处理程序）。

题目说 DLP adds metadata tags（DLP 添加元数据标签），看帮助系统识别和处理分类数据。

题目说 downgrade media（介质降级），先想可信清除和批准流程。

8. 别混

Classification：决定级别。

Marking / Labeling：显示级别。

Handling：执行级别对应动作。

DLP：可读取标签并自动执行策略。

Sanitization：清除介质数据。

最容易错的地方：标记不是为了好看。它是防止人和系统把敏感资料当普通资料处理。

记忆卡：Data Owner / Controller / Processor / 数据所有者、控制者与处理者

Data Owner、Controller、Processor 这张卡不要硬背职位名。

小白先懂一句话：Owner 和 Controller 都像拍板的人，Processor 像按指令干活的人；区别是 Owner 常在数据治理里，Controller 是隐私法规里的个人数据角色。

1. 先懂一句话

Data Owner = 数据所有者。

它通常是业务负责人。

它决定数据分类、访问要求、保护要求和谁有资格使用。

Data Controller = 数据控制者。

它出现在隐私和个人数据语境里。

它决定为什么处理个人数据，以及怎么处理个人数据。

Data Processor = 数据处理者。

它按 Controller 的指示处理个人数据。

它不该自己决定处理目的。

2. 真正要背什么

这张卡真正要背 5 件事。

Data Owner 决定分类和保护要求。
Data Owner 不是每天做备份的人。
Controller 决定个人数据处理目的和方式。
Processor 代表 Controller 做处理。
云商或外包商保存数据，不一定就是 Owner 或 Controller，常常只是 Processor。

3. 关键词拆解

Owner（所有者）：业务责任人，定规则。

Controller（控制者）：决定 purpose and means（目的和方式）。

Processor（处理者）：on behalf of controller（代表控制者）处理。

Purpose（目的）：为什么收集和使用数据。

Means（方式）：怎么处理、用什么系统、怎么保存和共享。

Classification Assignment（分类分配）：Owner 先决定数据级别。

4. 候选池

候选 1：老板、下单人、打印店。

保留。Owner 像账本老板，Controller 像决定名单用途的人，Processor 像只按单打印的外包店。

候选 2：谁存数据谁就是 Owner。

淘汰。保存数据的人可能只是托管或处理。

候选 3：Processor 可以随便换用途。

淘汰。Processor 要按 Controller 指示处理。

讨论结论：主钩子用“老板、下单人、打印店”。小白能一眼看出谁拍板、谁执行。

5. 最终主记法

Owner / Controller / Processor = 老板定账本，控制者定用途，处理者按单干活。

记完整句：Owner 决定这份数据有多敏感、谁能访问；Controller 决定个人数据为什么处理、怎么处理；Processor 只按 Controller 的要求处理。

翻回知识点就是：不同角色的核心差别在于谁有决策权，谁只是执行处理。

6. 小白故事

小林公司有客户资料。

销售总监是这份客户资料的业务负责人。

他最懂客户数据对公司有多重要，所以他决定分类和访问要求。

公司要把客户名单交给外包短信平台发通知。

公司决定为什么发、发给谁、保留多久，这时公司是 Controller。

短信平台只按合同发送，不该把名单拿去做自己的广告，这时短信平台是 Processor。

如果短信平台自己决定把名单卖给别人，它就越界了。

7. 回到考题

题目问谁决定 data classification（数据分类）、access requirements（访问要求）、protection requirements（保护要求），选 Data Owner。

题目问 privacy / personal data（隐私 / 个人数据）里谁决定 purpose and means（目的和方式），选 Data Controller。

题目问谁 on behalf of controller（代表控制者）处理数据，选 Data Processor。

题目问 owner 和 custodian 区别，Owner 先决定分类，Custodian 后执行保护方案。

8. 别混

Data Owner：数据治理里的业务责任人。

Data Controller：隐私法规里的个人数据处理决策者。

Data Processor：按指令处理个人数据。

Data Custodian：技术执行保护的人。

Security Administrator：在系统里配置权限的人。

最容易错的地方：外包商或云服务商“拿着数据”，不代表它拥有数据或决定用途。

记忆卡：Data Steward / Custodian / User / 数据管家、保管者与用户

Data Steward、Custodian、User 这张卡要和 Owner 分开。

小白先懂一句话：Owner 定规则，Steward 管数据质量和口径，Custodian 做技术保管，User 按授权使用。

1. 先懂一句话

Data Steward = 数据管家。

它常负责数据定义、数据质量、元数据、分类执行和治理规则落地。

Data Custodian = 数据保管者。

它负责技术执行，比如备份、恢复、存储、权限配置、加密、日志、销毁。

Data User = 数据用户。

它按授权使用数据完成工作，并遵守分类和处理规则。

2. 真正要背什么

这张卡真正要背 4 件事。

Steward 管数据质量、定义、目录和治理细节。
Custodian 管技术保护和日常维护。
User 只能按授权和政策使用数据。
Custodian 不拍板分类，Owner 才是分类决策者。

3. 关键词拆解

Data Quality（数据质量）：数据准不准、全不全、一不一致。

Metadata（元数据）：描述数据的数据，比如字段含义、来源、分类。

Backup（备份）：Custodian 常执行。

Access Implementation（权限实施）：把 Owner 的访问要求配置到系统里。

Due Care（应尽注意）：User 使用数据时要按规则小心处理。

4. 候选池

候选 1：图书馆四个人。

保留。馆长定规矩，管家管目录，保安管库房，读者按证借书。

候选 2：Custodian 是最终负责人。

淘汰。Custodian 执行保护，不决定业务分类。

候选 3：User 能按自己方便处理数据。

淘汰。User 必须按授权、政策和分类规则使用。

讨论结论：主钩子用“图书馆四个人”。这一画面能把角色拆开。

5. 最终主记法

Steward / Custodian / User = 管目录、管库房、按证借书。

记完整句：Steward 保证目录和数据质量对，Custodian 负责锁门、备份、权限和恢复，User 只能凭授权借阅和使用。

翻回知识点就是：数据角色按决策、治理、技术执行和使用职责分开。

6. 小白故事

小林公司有一套客户数据库。

销售负责人决定客户数据应该分为机密级，这是 Owner 的事。

数据管家检查字段含义，统一“客户编号”和“会员号”的口径，保证数据质量和标签正确。

IT 保管者配置数据库权限、备份、恢复、加密和日志。

客服人员只按授权查看订单状态，不能随便导出全量客户表。

这四类人如果混在一起，题目就会选错。

7. 回到考题

题目问谁维护 data definitions（数据定义）、metadata（元数据）、data quality（数据质量），选 Data Steward。

题目问谁负责 backup（备份）、recovery（恢复）、storage（存储）、permission implementation（权限实施），选 Data Custodian。

题目问谁按授权访问数据并遵守规则，选 Data User。

题目问 Custodian 的关键职责，看 data integrity and security（数据完整性和安全性）。

8. 别混

Owner：定分类和访问要求。

Steward：管数据质量、定义和治理落地。

Custodian：执行技术保护。

User：按授权使用。

Administrator：配置系统权限，常和 Custodian/IT 执行相关。

最容易错的地方：Custodian 做很多技术活，但不代表它拥有数据或决定分类。

记忆卡：Data States / At Rest / In Transit / In Use / 数据三态

Data States 这张卡不要背成三组英文。

小白先懂一句话：数据现在是躺着、在路上，还是正在被打开处理，决定了你该用哪类保护。

1. 先懂一句话

Data at Rest = 静止数据。

它躺在硬盘、数据库、SSD、USB、SAN、备份磁带里。

Data in Transit = 传输中数据。

它正在网络上跑，比如 API、邮件、无线网络、VPN、互联网传输。

Data in Use = 使用中数据。

它正在内存、CPU、应用、临时缓冲区或屏幕上被处理。

三种状态都要保护。

不能只保护硬盘，忘了网络和内存。

2. 真正要背什么

这张卡真正要背 5 件事。

At Rest 看存储介质。
In Transit 看网络传输。
In Use 看内存、应用和处理过程。
At Rest 常用强对称加密。
In Use 最难保护，因为数据常被解密后才能处理。

3. 关键词拆解

At Rest（静止）：data on storage（存储上的数据）。

In Transit（传输中）：data in motion（移动中的数据）。

In Use（使用中）：data being processed（正在被处理的数据）。

TLS（传输层安全）：常用于保护传输中数据。

VPN（虚拟专用网络）：常用于保护网络传输。

Homomorphic Encryption（同态加密）：允许在加密数据上计算，常被提到用于使用中数据保护。

Flush Buffers（清空缓冲区）：数据不用后清理内存残留。

4. 候选池

候选 1：水杯三状态。

保留。放桌上、端路上、正在喝，能记三种状态。

候选 2：只要加密就都一样。

淘汰。不同状态用的保护方式不同。

候选 3：In Use 也只是硬盘加密。

淘汰。In Use 重点在内存和处理过程。

讨论结论：主钩子用“水杯三状态”。看数据现在在哪，就知道是哪种状态。

5. 最终主记法

Data States = 躺着、路上、正在用。

记完整句：数据躺在磁盘上是 At Rest，跑在网络上是 In Transit，进了内存被应用处理是 In Use。

翻回知识点就是：数据状态决定保护重点，存储、传输和处理过程都不能漏。

6. 小白故事

小林网店有一份客户表。

客户表存在数据库磁盘里，这是 At Rest。

客服通过网页打开客户表，数据从服务器传到浏览器，这是 In Transit。

浏览器和后台程序把客户表解密后放到内存里处理，这是 In Use。

磁盘加密能保护第一段。

TLS 能保护路上那一段。

但一旦数据在内存里被应用使用，就要靠权限、隔离、清空缓冲区、日志和更高级技术保护。

7. 回到考题

题目说 hard drive（硬盘）、SSD、USB、backup tape（备份磁带）、database storage（数据库存储），先想 At Rest。

题目说 network transmission（网络传输）、wireless（无线）、Internet（互联网）、TLS、VPN，先想 In Transit。

题目说 memory（内存）、temporary buffers（临时缓冲区）、application processing（应用处理），先想 In Use。

题目问 At Rest 怎么保护，常看 strong symmetric encryption（强对称加密）。

题目问 In Transit 怎么保护，常看 TLS、VPN、对称和非对称加密组合。

8. 别混

At Rest：存在介质上。

In Transit：在网络上传。

In Use：正在处理。

Data Lifecycle：从创建到销毁的全流程。

Data Classification：决定数据有多敏感。

最容易错的地方：看到 encryption（加密）不要急着选。先看数据在什么状态。

记忆卡：Data Minimization / 数据最小化

Data Minimization 这张卡不要误会成“把文件压小”。

小白先懂一句话：数据最小化就是只拿必须拿的，只用必须用的，只留必须留的。

1. 先懂一句话

Data Minimization = 数据最小化。

它不是压缩文件大小。

它是隐私和数据保护原则。

系统只应该收集完成明确目的所必需的数据。

用完不该长期乱留。

不该为了“以后也许有用”就把身份证、定位、通讯录、生日、健康偏好都收走。

2. 真正要背什么

这张卡真正要背 5 件事。

少收集。
少使用。
少共享。
少保留。
数据越少，泄露时损害越小，合规负担也越小。

3. 关键词拆解

Need Only（只需要的）：只拿任务必须的数据。

Purpose Limitation（目的限制）：只按明确目的处理。

Retention Minimization（保留最小化）：只保存必要期限。

Privacy Risk（隐私风险）：个人数据越多，风险越高。

Overcollection（过度收集）：收了超出目的的数据。

4. 候选池

候选 1：出门只带钥匙和手机。

保留。任务需要什么就带什么，不把整个抽屉背走。

候选 2：所有数据都加密就行。

淘汰。加密有用，但收太多、留太久仍然有风险。

候选 3：最小化就是删光。

淘汰。不是不收数据，而是收必要数据。

讨论结论：主钩子用“出门只带必需品”。这能把少收、少留、少共享串起来。

5. 最终主记法

Data Minimization = 出门只带钥匙和手机。

记完整句：下单只需要姓名、地址、电话，就不要顺手收身份证、通讯录和精确定位；少拿一份，少丢一份。

翻回知识点就是：数据最小化通过限制收集、使用、共享和保留来降低隐私风险。

6. 小白故事

小林做会员注册页。

产品经理想一次收姓名、手机号、身份证号、生日、家庭地址、定位和通讯录。

安全同事问：普通下单真的需要身份证号吗。

发货需要精确定位吗，还是地址就够了。

客服需要看完整身份证号吗，还是后四位就够了。

日志需要保存完整个人数据吗。

这些问题不是抠门，而是在减少未来泄露时的伤害。

没收的数据，不会泄露。

7. 回到考题

题目说 data minimization（数据最小化）、collect only necessary data（只收必要数据）、limit retention（限制保留），先想数据最小化。

题目问降低隐私风险的 best（最佳）做法，常优先看少收、少留、少共享。

题目问新系统处理个人数据时该怎么设计，先看最小化、目的限制、默认隐私保护。

题目只说加密所有数据，不一定是最佳隐私答案。

8. 别混

Data Minimization：少拿、少用、少留。

Data Masking：遮住显示或测试数据。

Pseudonymization：用假名替换标识。

Anonymization：合理情况下无法再识别个人。

Compression：压缩文件大小，不是隐私原则。

最容易错的地方：数据最小化不是技术炫技，是设计原则。先别收那么多，后面才少出事。

记忆卡：Pseudonymization / Anonymization / 假名化与匿名化

Pseudonymization 和 Anonymization 这张卡不要混。

小白先懂一句话：假名化是把姓名换成代号，但有人握着名单；匿名化是名单也拿走，合理情况下找不回这个人。

1. 先懂一句话

Pseudonymization = 假名化。

它把直接身份标识换成代号。

比如张三变成 User 1024。

但如果还有映射表、密钥或名单，就能重新识别。

Anonymization = 匿名化。

它让数据在合理手段下不能再识别到具体个人。

真正匿名化以后，通常不应该能再还原身份。

2. 真正要背什么

这张卡真正要背 5 件事。

假名化还能通过映射表找回人。
匿名化应当合理不可逆。
假名化后的数据仍可能算个人数据。
匿名化适合统计分析，但会降低精细追踪能力。
Hash（哈希）不一定等于匿名化，能撞库或关联时仍可能识别。

3. 关键词拆解

Re-identification（重新识别）：把代号重新连回具体个人。

Mapping Table（映射表）：代号和真实身份的对照表。

Irreversible（不可逆）：不能合理还原身份。

Aggregation（聚合）：把个人记录汇总成统计。

De-identification（去标识化）：去掉或降低直接身份标识，范围比匿名化宽。

4. 候选池

候选 1：学生 A 和点名册。

保留。学生 A 是假名，老师手里的点名册能查回张三。

候选 2：名单烧掉只剩统计表。

保留。它适合记匿名化。

候选 3：把名字哈希就一定匿名。

淘汰。短字段或可猜字段可能被撞库。

讨论结论：主钩子用“学生 A + 点名册”。有没有点名册，就是假名化和匿名化的分界。

5. 最终主记法

Pseudonymization / Anonymization = 有点名册是假名化，点名册没了才像匿名化。

记完整句：张三改成学生 A，但老师有点名册，就是假名化；点名册和可识别线索都去掉，只剩无法合理回到个人的统计，才是匿名化。

翻回知识点就是：假名化降低识别风险但可还原，匿名化目标是不可合理重新识别。

6. 小白故事

小林要把客户数据给分析团队。

他把姓名和手机号删掉，把每个人换成客户 001、客户 002。

但是安全部门手里还有一张表，写着客户 001 就是王某。

这是假名化。

如果分析团队只拿到按城市和年龄段汇总的购买统计，而且没有合理办法回到某个具体人，这才更接近匿名化。

假名化能降低风险，但不是让数据彻底脱离隐私法规的魔法。

7. 回到考题

题目说 pseudonymization（假名化）、alias（别名）、mapping table（映射表）、re-identification（重新识别），先选假名化。

题目说 anonymization（匿名化）、irreversible（不可逆）、cannot identify individuals（不能识别个人），先选匿名化。

题目说还能通过密钥、名单、表格找回真实身份，就不是匿名化。

题目说 hash（哈希），要看能不能被猜回、撞库或和其他数据关联。

8. 别混

Pseudonymization：代号替换，可通过映射找回。

Anonymization：合理情况下找不回个人。

Tokenization：令牌替换，靠 token vault 映射。

Data Masking：遮住或替换显示/测试数据。

Hashing：单向摘要，但不自动等于匿名。

最容易错的地方：能还原身份的“匿名”通常不是真的匿名，更像假名化。

记忆卡：DRM / Digital Rights Management / 数字版权与使用控制

DRM 这张卡不要背成“加密文件”。

小白先懂一句话：DRM 是给数字内容装一套使用规则，内容发出去了，还能限制谁能看、能不能复制、能不能打印、什么时候过期。

1. 先懂一句话

DRM = Digital Rights Management（数字版权管理 / 数字权限管理）。

它常用于文档、视频、电子书、软件、课程资料和受版权保护的数字作品。

加密通常只回答“别人能不能看懂内容”。

DRM 还要回答“看懂以后能不能复制、打印、转发、截图、离线保存、过期后继续打开”。

2. 真正要背什么

这张卡真正要背 5 件事。

DRM 控制数字内容使用方式。
DRM 常见动作包括禁止复制、禁止打印、限制转发、到期失效。
DRM 可在内容离开组织后继续施加限制。
DRM 常用于版权作品和敏感文档。
DRM 不是普通加密，也不是知识产权本身。

3. 关键词拆解

Usage Control（使用控制）：限制如何使用内容。

Copy Restriction（复制限制）：不让随便复制。

Print Restriction（打印限制）：限制打印。

Expiration（过期）：到时间后不能打开。

Persistent Protection（持续保护）：内容离开原系统后仍带着控制。

Digital Rights（数字权利）：谁能对数字内容做什么。

4. 候选池

候选 1：电子书上的电子锁。

保留。你能读，但不能随便复制、打印、转给别人。

候选 2：DRM 就是版权。

淘汰。版权是权利，DRM 是技术和管理控制。

候选 3：DRM 就是加密。

淘汰。加密保护内容，DRM 控制使用行为。

讨论结论：主钩子用“电子书电子锁”。它能记住 DRM 管的是使用权限。

5. 最终主记法

DRM = 电子书上的电子锁。

记完整句：文件发给别人以后，电子锁还跟着它，限制复制、打印、转发和过期访问。

翻回知识点就是：DRM 用技术控制数字内容的访问和使用，帮助保护版权和敏感资料。

6. 小白故事

小林公司给合作方发一份培训课件。

合作方需要看，但不能转卖、不能群发、不能打印成纸质资料。

如果只是加密，合作方解密后可能随便复制。

DRM 会把使用规则绑在文件上。

打开需要授权账号。

不能复制文字。

不能打印。

链接 30 天后过期。

这就是 DRM 的题眼。

7. 回到考题

题目说 Digital Rights Management（数字版权管理 / 数字权限管理）、usage control（使用控制），先想 DRM。

题目问文档发出去后仍要限制 copy（复制）、print（打印）、share（分享）、forward（转发），选 DRM。

题目问保护 copyrighted works（受版权保护作品）的访问和分发，也常看 DRM。

题目只问让别人看不懂内容，可能是 encryption（加密），不是 DRM 的完整题眼。

8. 别混

DRM：控制内容怎么用。

Encryption：控制内容能不能被看懂。

DLP：防敏感数据外发。

Watermarking：打水印追踪来源。

最容易错的地方：DRM 的关键词不是“锁住文件”这么简单，而是“限制使用行为”。

记忆卡：CASB / Cloud Access Security Broker / 云访问安全代理

CASB 这张卡不要背成“云防火墙”。

小白先懂一句话：CASB 像夹在用户和云服务之间的云端安检门，管谁访问哪个云应用、带走什么数据、有没有违反公司策略。

1. 先懂一句话

CASB = Cloud Access Security Broker（云访问安全代理）。

它可以部署在本地，也可以是云服务。

位置上，它站在 users（用户）和 cloud services（云服务）之间。

作用上，它提供 visibility（可见性）、policy enforcement（策略执行）、threat protection（威胁防护）、DLP（数据防泄漏）和合规控制。

它特别常出现在 SaaS（软件即服务）、云应用、影子 IT 和云数据外发题里。

2. 真正要背什么

这张卡真正要背 5 件事。

CASB 管用户访问云服务。
CASB 提供云应用可见性。
CASB 执行云访问策略。
CASB 可结合 DLP、加密、MFA、威胁防护。
CASB 不是普通防火墙、WAF 或 SIEM。

3. 关键词拆解

Visibility（可见性）：知道谁用了哪些云服务。

Shadow IT（影子 IT）：员工绕过正式批准使用的云服务。

Policy Enforcement（策略执行）：按公司规则允许、阻断、加密或告警。

SaaS Control（SaaS 控制）：管云应用访问和数据流动。

Cloud DLP（云 DLP）：检查云里或上传到云的敏感数据。

Threat Protection（威胁防护）：检测异常访问和风险行为。

4. 候选池

候选 1：云端安检门。

保留。员工去云盘、邮箱、CRM 前先过安检。

候选 2：CASB 就是下一代防火墙。

淘汰。防火墙主要管网络连接，CASB 更贴云服务访问和策略。

候选 3：CASB 就是 SIEM。

淘汰。SIEM 收日志做关联分析，CASB 站在云访问路径上执行策略。

讨论结论：主钩子用“云端安检门”。它能接住用户、云服务、策略和数据外发。

5. 最终主记法

CASB = 去云服务路上的安检门。

记完整句：员工访问云盘、SaaS 或云邮箱时，CASB 检查身份、设备、文件内容和策略，决定放行、阻断、加密、告警或要求 MFA。

翻回知识点就是：CASB 是用户和云服务之间的安全策略执行点，用来提高云访问可见性和控制力。

6. 小白故事

小林公司把邮箱、文件盘和 CRM 都搬到云上。

员工开始用各种云盘传资料。

有些云服务 IT 根本不知道。

客户名单也可能被上传到私人网盘。

CASB 站在员工和云应用之间。

它看见谁在访问哪个云服务。

发现影子 IT。

识别上传文件里有没有身份证号和客户数据。

必要时阻断、加密、要求审批或触发多因素认证。

7. 回到考题

题目说 CASB、Cloud Access Security Broker（云访问安全代理），先想云服务访问策略。

题目说 visibility into cloud use（看见云使用情况）、shadow IT（影子 IT）、SaaS control（SaaS 控制），先想 CASB。

题目问在用户和云服务之间执行安全策略，选 CASB。

题目说对云应用执行 DLP、MFA、加密、威胁防护，也常看 CASB。

题目只问集中收日志，可能是 SIEM。

8. 别混

CASB：用户和云服务之间的云策略检查站。

Firewall：主要管网络连接和流量规则。

WAF：保护 Web 应用。

SIEM：集中日志和关联分析。

DLP：防敏感数据外泄，CASB 可集成 DLP 能力。

最容易错的地方：CASB 不是“云里随便一个安全工具”。它的题眼是云访问可见性和策略执行。

记忆卡：EOL / EOS / End of Life / End of Support / 生命周期结束与支持结束

EOL 和 EOS 这张卡不要背成“旧系统”。

小白先懂一句话：系统还会亮、还能跑，不代表安全；如果厂商不卖、不维护、不出补丁，新的漏洞就可能没人修。

1. 先懂一句话

EOL = End of Life（生命周期结束）。

它通常表示产品进入生命周期末尾，厂商不再把它当正常产品销售或发展。

EOS = End of Support（支持结束）。

它表示厂商不再提供支持、更新、安全补丁或技术帮助。

考试里最关键的是 EOS。

因为没有补丁，漏洞出来后可能没人修。

长期正确方向通常是 upgrade（升级）、migrate（迁移）或 replace（替换）。

2. 真正要背什么

这张卡真正要背 5 件事。

EOL/EOS 系统还能运行，但风险上升。
EOS 后可能没有安全补丁。
长期方案是升级、迁移或替换。
临时不能替换时，才考虑隔离、补偿控制、限制访问和加强监控。
不能把补偿控制当永久正常状态。

3. 关键词拆解

Unsupported System（不受支持系统）：厂商不再支持。

Patch Unavailable（无补丁）：没有安全更新可用。

Migration（迁移）：搬到受支持平台。

Upgrade（升级）：升到新版本。

Replacement（替换）：换掉产品或系统。

Compensating Control（补偿控制）：暂时降低风险的替代控制。

Isolation（隔离）：把旧系统和其他网络隔开，降低暴露面。

4. 候选池

候选 1：旧手机不再更新。

保留。手机还能用，但漏洞没人修，越来越危险。

候选 2：旧系统继续打补丁。

淘汰。EOS 后可能没有补丁可打。

候选 3：加防火墙就永远没事。

淘汰。补偿控制只是临时降低风险，不能替代迁移计划。

讨论结论：主钩子用“旧手机不再更新”。它能让小白明白“能开机”和“安全受支持”不是一回事。

5. 最终主记法

EOL / EOS = 旧手机还能亮，但系统不再更新。

记完整句：设备还能跑不代表安全；厂商不再支持后，漏洞没人修，长期要升级、迁移或替换，短期才用隔离和补偿控制撑住。

翻回知识点就是：EOL/EOS 系统带来维护和安全风险，组织应规划迁移并控制残余风险。

6. 小白故事

小林仓库还有一台老服务器。

它每天还能跑报表。

管理层觉得“没坏就别动”。

安全同事查到厂商已经停止支持。

新漏洞出来后，没有补丁。

备份软件也慢慢不兼容。

短期内，小林可以把这台服务器隔离、限制访问、加强监控。

但这不是终点。

真正计划应该是迁移报表系统，换到受支持平台。

7. 回到考题

题目说 EOL、End of Life（生命周期结束）、EOS、End of Support（支持结束），先想旧系统支持风险。

题目说 vendor no longer supports（厂商不再支持）、no patches（没有补丁）、unsupported system（不受支持系统），先想 EOS。

题目问长期最佳做法，通常看 upgrade（升级）、migrate（迁移）或 replace（替换）。

题目说短期无法替换，才看 isolation（隔离）、compensating controls（补偿控制）、monitoring（监控）。

8. 别混

EOL：生命周期结束，可能不再销售或发展。

EOS：支持结束，补丁和技术支持停止。

End of Development：不再开发新功能或新版本。

End of Sales：不再销售。

Patch Management：补丁管理，但 EOS 后可能无补丁可管。

最容易错的地方：系统能运行不代表还能安全运营。考试更看厂商支持和补丁风险。

记忆卡：Security Baseline / 安全基线

Security Baseline 这张卡不能只背“基线”两个字。

小白先懂一句话：它是系统上线前必须达到的最低安全底线。没过这条线，就不是“差一点”，而是还不该放心上线。

1. 先懂一句话

Security Baseline = 安全基线。

Baseline 是底线、起点、最低合格线。

现实里，公司不可能每台服务器都从零讨论一遍“要不要开日志、要不要改默认密码、要不要打补丁、要不要限制权限”。

所以先定一条安全底线：凡是要进生产环境的系统，至少要达到这些要求。

2. 真正要背什么

这张卡真正要背 4 件事。

安全基线是最低安全要求，不是最高理想状态。
它常来自 policy（政策）、standard（标准）、法律法规、行业要求和风险评估。
它可以按系统重要性调整，比如 low（低影响）、moderate（中影响）、high（高影响）。
它用来检查系统是否达标，也用来把跑偏的配置拉回安全状态。

3. 关键词拆解

Security Baseline：安全基线，最低安全底线。

Minimum security level：最低安全水平。

Secure starting point：安全起点。

Baseline controls：基线控制，也就是系统至少要有的一组控制措施。

Tailoring：裁剪，根据组织情况调整基线。

Scoping：定范围，判断哪些控制适用，哪些控制可以有理由地不适用。

4. 候选池

候选 1：安全身高线。

保留。它很适合小白。就像游乐设施前面有身高线，没到线不能玩；系统没到安全线，不能随便上生产。

候选 2：安全起跑线。

保留但不做主记法。它能表达起点，但不够强调“没达标不能上”。

候选 3：安全天花板。

淘汰。安全基线不是最高要求，而是最低要求。

讨论结论：主记法用“安全身高线”。它能把 baseline 的“最低合格线”讲清楚。

5. 最终主记法

Security Baseline = 安全身高线。

记完整句：系统上线前先量身高，日志、补丁、权限、加密、默认密码这些最低要求没达标，就不能当作安全系统放进生产环境。

翻回知识点就是：Security Baseline 是组织规定的最低安全控制集合，用来作为安全起点、合规检查和持续配置校正的依据。

6. 小白故事

小林网店要新上一台订单服务器。

开发同事说系统能跑，页面能打开。

安全同事没有马上点头。

他先拿出一张安全身高尺。

默认密码改了吗？

补丁打到要求版本了吗？

日志开了吗？

管理员权限收紧了吗？

敏感数据加密了吗？

如果这些最低项没过线，服务器就算能跑，也还没有达到公司的安全基线。

7. 回到考题

题目说 minimum level of security（最低安全水平），先想 Security Baseline（安全基线）。

题目说 secure starting point（安全起点），先想 Security Baseline（安全基线）。

题目说所有系统必须满足同一组最低安全要求，先想 Security Baseline（安全基线）。

题目说系统不符合基线，需要重新套用安全设置，也常看 Security Baseline（安全基线）。

8. 别混

Security Baseline：规定系统最低要达到什么安全水平。

Configuration Baseline：记录某台或某类系统应该是什么配置样子。

Standard：强制规则，安全基线常常来自标准。

Guideline：建议，不一定强制。

最容易错的地方：不要把安全基线当成“最佳状态”。它先问最低合格，不是问做到最豪华。

记忆卡：Configuration Baseline / 配置基线

Configuration Baseline 这张卡重点不是“安全要求”，而是“机器应该长什么样”。

小白先懂一句话：配置基线像服务器的证件照。以后系统变了、坏了、跑偏了，就拿证件照对照。

1. 先懂一句话

Configuration Baseline = 配置基线。

Configuration 是配置。

Baseline 是固定下来的基准样子。

现实里，一台服务器不只是“服务器”三个字。它有操作系统版本、补丁版本、开了哪些服务、哪些端口、装了哪些软件、哪些账号存在、哪些权限被设置。

把这些 approved configuration（批准配置）记录下来，就是配置基线。

2. 真正要背什么

这张卡真正要背 5 件事。

配置基线是已批准的标准配置样子。
它可以用来部署新系统。
它可以用来发现 drift（配置漂移），也就是系统偷偷变得和标准不一样。
它可以用来故障恢复和回滚。
它比安全基线更具体，通常会列版本、服务、端口、账号、软件和设置。

3. 关键词拆解

Configuration Baseline：配置基线。

Approved configuration：批准过的配置。

Standard build：标准构建。

Known good configuration：已知良好配置。

Drift：漂移，系统配置慢慢偏离原来的标准样子。

CIS Benchmark（互联网安全中心基准）：常用的安全配置建议清单，题目常拿来问配置基线或安全配置。

4. 候选池

候选 1：服务器证件照。

保留。证件照强调“标准样子”，很适合配置基线。

候选 2：机器体检单。

部分保留。体检单更适合漏洞管理，因为它强调找毛病。

候选 3：装修清单。

保留但不做主记法。装修清单能讲配置，但不够强调之后用来比对。

讨论结论：主记法用“服务器证件照”。看到配置基线，就想把系统的标准样子拍下来。

5. 最终主记法

Configuration Baseline = 服务器证件照。

记完整句：系统标准样子先拍照，版本、补丁、服务、端口、账号、权限都写清楚；以后谁改了、哪里跑偏了，就拿这张证件照对。

翻回知识点就是：Configuration Baseline 是已批准的配置基准，用来部署、比对漂移、审计、恢复和回滚。

6. 小白故事

小林网店有十台收款服务器。

一开始它们都按同一套模板装好。

操作系统版本一样。

补丁版本一样。

只开必须开的服务。

只开放业务需要的端口。

管理员账号和日志设置也一样。

安全同事把这个标准样子保存成配置基线。

两个月后，一台服务器突然多开了一个陌生端口。

不用猜。

拿配置基线一对，就知道它已经偏离了标准样子。

7. 回到考题

题目说 baseline configuration（基线配置），先想 Configuration Baseline（配置基线）。

题目问系统的 OS version（操作系统版本）、patch level（补丁级别）、application versions（应用版本）应该记录在哪里，先想 Configuration Baseline（配置基线）。

题目说用来发现 configuration drift（配置漂移），先想 Configuration Baseline（配置基线）。

题目说用标准镜像快速部署新服务器，也常看 Configuration Baseline（配置基线）。

8. 别混

Security Baseline：最低安全线。

Configuration Baseline：标准配置照片。

Secure Configuration：安全配置结果，比如关闭不必要服务、禁用默认密码。

Change Management：谁要改配置，必须申请、审批、测试、记录。

最容易错的地方：安全基线问“够不够安全”，配置基线问“现在应该是什么样”。

记忆卡：Hardening / 系统加固

Hardening 这张卡不要背成“变硬”。

小白先懂一句话：系统加固就是把默认开得太松的地方收紧，让攻击者少一点入口、少一点机会、少一点权限。

1. 先懂一句话

Hardening = 系统加固。

新系统刚装好时，常常为了方便，默认开了很多服务、端口、示例账号、默认设置。

这些东西方便管理员，也方便攻击者。

加固就是把不该开的关掉，把不该留的删掉，把不该松的收紧。

2. 真正要背什么

这张卡真正要背 5 件事。

加固的核心是 reduce attack surface（减少攻击面）。
常见动作是关闭不用的服务、端口、账号和应用。
改默认密码、限制权限、启用日志、启用安全设置，也属于加固。
加固是部署前和运行中都要做的动作。
打补丁可以属于加固的一部分，但 Hardening 不等于 Patch Management。

3. 关键词拆解

Hardening：系统加固，把系统收紧。

Attack Surface：攻击面，攻击者可以碰到、试探、利用的入口总和。

Disable unused services：关闭不用的服务。

Close unused ports：关闭不用的端口。

Remove unnecessary applications：移除不需要的软件。

Least privilege：最小权限，只给完成工作必须的权限。

4. 候选池

候选 1：新房换锁关窗封后门。

保留。它能把“默认太松，需要收紧入口”讲清楚。

候选 2：给服务器穿盔甲。

淘汰。画面有，但容易让人以为只是加一个防护工具。

候选 3：把多余门窗封起来。

保留。它和攻击面非常贴。

讨论结论：主记法用“新房换锁关窗封后门”。它能连到关闭端口、改默认密码、删多余服务。

5. 最终主记法

Hardening = 新房换锁关窗封后门。

记完整句：新系统像刚拿到的新房，先换默认锁、关不用的窗、封多余的后门、只留必须入口，攻击者能试的地方就少了。

翻回知识点就是：Hardening 是通过安全配置、关闭不必要功能、限制权限和减少暴露面来降低系统被攻击的机会。

6. 小白故事

小林网店买了一台新服务器。

它一开机就能跑。

但安全同事先检查门窗。

默认管理员密码还在，必须改。

测试账号还在，必须删。

远程服务开太多，必须关。

业务不用的端口暴露在外，必须封。

日志没开，必须打开。

这一串动作做完，系统才从“能用”变成“更难被打”。

7. 回到考题

题目说 disable unused services（关闭不用服务），先想 Hardening（系统加固）。

题目说 close unused ports（关闭不用端口），先想 Hardening（系统加固）。

题目说 remove unnecessary applications（移除不必要应用），先想 Hardening（系统加固）。

题目说 reduce attack surface（减少攻击面），先想 Hardening（系统加固）。

题目说把默认配置改成更安全，也常看 Hardening（系统加固）。

8. 别混

Hardening：把系统收紧。

Patch Management：管理补丁，从发现补丁到测试、审批、部署、验证。

Vulnerability Management：发现、确认、排序、修复漏洞的闭环。

Secure Configuration：加固后留下的安全设置状态。

最容易错的地方：加固不是买一个新工具，而是把系统自身能收紧的地方先收紧。

记忆卡：Patch Management / 补丁管理

Patch Management 这张卡不能背成“有补丁就马上打”。

小白先懂一句话：补丁管理是把补丁从发现到上线管起来，先知道缺什么，再测试会不会弄坏业务，最后部署并验证。

1. 先懂一句话

Patch = 补丁。

Management = 管理。

软件发现漏洞后，厂商可能发布补丁来修。

但生产系统不是个人电脑。

补丁可能修好漏洞，也可能让收款系统打不开。

所以考试里的 Patch Management 强调流程，不强调冲动。

2. 真正要背什么

这张卡真正要背 6 件事。

先有 inventory（资产清单），知道自己有哪些系统和软件。
发现补丁后，要评估影响和风险。
上生产前要 test（测试）。
需要 approve（审批）和 maintenance window（维护窗口）。
部署后要 verify（验证）是否成功。
要准备 rollback（回滚），出问题能退回。

3. 关键词拆解

Patch Management：补丁管理。

Inventory：资产清单，先知道要给谁打补丁。

Test：测试，先在测试环境看会不会出问题。

Approve：审批，确认可以上线。

Deploy：部署，把补丁推到系统。

Verify：验证，确认补丁真的装好。

Rollback：回滚，补丁出问题时退回。

4. 候选池

候选 1：补衣服先试针脚。

保留。补丁像补衣服，但公司制服不能直接乱缝，要先试。

候选 2：看见创可贴就贴。

淘汰。它会误导成“马上打补丁”，和考试流程相反。

候选 3：修路先封路通知。

保留但不做主记法。它能表达维护窗口，但不够贴补丁。

讨论结论：主记法用“补衣服先试针脚”。它能记住补丁不是乱贴，是要测试、审批、部署、验证。

5. 最终主记法

Patch Management = 补衣服先试针脚。

记完整句：生产系统像一排公司制服，补丁不能抓起来就缝；先看哪件破了，试针脚，审批，安排时间，补完检查，坏了还能拆回去。

翻回知识点就是：Patch Management 是识别、评估、测试、批准、部署、验证和记录补丁的管理流程。

6. 小白故事

小林网店的数据库软件爆出漏洞。

厂商发了补丁。

老板问能不能今晚全装。

安全同事先看资产清单，确认哪些服务器受影响。

然后在测试服务器装补丁。

测试发现旧报表插件会报错。

技术团队先修兼容问题，再提交变更审批。

维护窗口到了，才给生产服务器打补丁。

打完后再扫描确认漏洞消失。

如果系统异常，就按回滚计划退回。

7. 回到考题

题目说 patch（补丁）、software update（软件更新）、hotfix（热修复），先想 Patch Management（补丁管理）。

题目问补丁上生产前最重要做什么，通常先看 test（测试）、backup（备份）、approval（审批）和 rollback（回滚）。

题目问补丁管理第一步，常看 inventory（资产清单）。

题目问如何确认补丁成功，常看 verify（验证）、scan（扫描）或 audit（审计）。

题目说自动全量推补丁导致故障，改进方向通常是先测试和分阶段部署。

8. 别混

Patch Management：补丁流程。

Change Management：所有变更的审批和控制，补丁通常也是一种变更。

Vulnerability Management：发现和管理漏洞，打补丁只是修复方式之一。

EOS：End of Support（支持结束），系统不再受支持时，可能没有补丁可管。

最容易错的地方：考试不喜欢“立刻给所有生产系统打补丁”。它更喜欢有测试、有审批、有验证、有回滚。

记忆卡：Change Management / Change Control / 变更管理与变更控制

Change Management 这张卡不是在问“能不能改”，而是在问“改之前有没有人负责、有没有测试、有没有回退路”。

小白先懂一句话：生产环境不能靠一句“我改一下”就动手。每一次改动都可能把系统弄坏，所以要管起来。

1. 先懂一句话

Change Management = 变更管理。

Change Control = 变更控制。

现实里，改代码、改防火墙规则、改服务器配置、打补丁、换数据库参数，都叫 change（变更）。

变更管理就是让这些改动走流程。

谁要改？

为什么改？

影响谁？

测试了吗？

什么时候改？

失败怎么回滚？

这些都要提前讲清楚。

2. 真正要背什么

这张卡真正要背 7 件事。

先提交 request（变更请求）。
做 impact assessment（影响评估）和 risk assessment（风险评估）。
获得 approval（批准）。
先 test（测试）。
安排 maintenance window（维护窗口）。
准备 rollback plan（回滚计划）。
实施后 document（记录），留下 change log（变更日志）。

3. 关键词拆解

Change Management：变更管理，管理变更流程。

Change Control：变更控制，强调审批和控制。

CAB：Change Advisory Board（变更咨询委员会），常用于评审重要变更。

UAT：User Acceptance Testing（用户验收测试），业务用户确认改完能用。

Rollback Plan：回滚计划，失败时怎么退回。

Change Log：变更日志，记录谁在什么时候改了什么。

4. 候选池

候选 1：餐厅换菜单流程。

保留。菜单一改，厨师、收银、服务、库存都会受影响，很像生产变更。

候选 2：随手改门牌。

淘汰。它能表现危险，但不能表达完整流程。

候选 3：改路口红绿灯。

保留但不做主记法。它能表达影响范围大，但不够日常。

讨论结论：主记法用“餐厅换菜单流程”。它能让小白看见审批、测试、通知、回滚。

5. 最终主记法

Change Management = 餐厅换菜单流程。

记完整句：餐厅不能老板一句话就把菜单改掉；先试菜、算库存、通知收银和服务员、选不忙的时间上线，卖不动还能换回旧菜单。

翻回知识点就是：Change Management 是对生产环境变更进行申请、评估、批准、测试、排期、实施、回滚和记录的流程。

6. 小白故事

小林网店想改支付接口。

开发说只改一行配置。

安全同事没有让他直接上生产。

因为这一行可能影响收款、订单、退款、对账和客服查询。

他们先提交变更请求。

技术人员说明改什么。

业务人员确认影响。

测试环境先跑支付流程。

维护窗口安排在凌晨。

上线前准备回滚配置。

上线后记录谁改了、什么时候改的、结果怎样。

这才是变更管理。

7. 回到考题

题目说 unauthorized change（未经授权变更），先想 Change Management（变更管理）。

题目说 undocumented change（没有记录的变更），先想 Change Management（变更管理）。

题目说 tested and approved before production（上生产前测试和批准），先想 Change Management（变更管理）。

题目说 rollback plan（回滚计划）、maintenance window（维护窗口）、change log（变更日志），也常看 Change Management（变更管理）。

题目问紧急变更，正确方向通常是先处理紧急问题，但事后仍要记录和复审。

8. 别混

Change Management：管所有生产变更。

Patch Management：管补丁，补丁通常也要走变更管理。

Configuration Management：记录配置状态和配置基线。

Incident Response：已经出事后的响应流程。

最容易错的地方：变更管理不是阻止改动，而是让改动可批准、可测试、可追踪、可回退。

记忆卡：Vulnerability Management / 漏洞管理

Vulnerability Management 这张卡不要背成“扫一下漏洞”。

小白先懂一句话：漏洞管理是一个闭环。发现问题只是第一步，后面还要确认、排序、修、复查、汇报。

1. 先懂一句话

Vulnerability = 漏洞、弱点。

Management = 管理。

现实里，扫描器可能列出几百个问题。

但公司不会同时修完所有东西。

所以漏洞管理要回答：哪些是真的？哪些最危险？谁负责修？什么时候修？修完了吗？剩下风险谁接受？

2. 真正要背什么

这张卡真正要背 6 件事。

Identify（识别）：扫描、资产发现、漏洞情报。
Validate（确认）：判断是不是误报。
Prioritize（排序）：按 CVSS（通用漏洞评分系统）、资产重要性、是否可被利用来排序。
Remediate（修复）：打补丁、改配置、升级、替换。
Mitigate（缓解）：暂时隔离、限制访问、加监控。
Reassess（复查）：重新扫描，确认问题真的下降。

3. 关键词拆解

Vulnerability Management：漏洞管理。

Vulnerability Scan：漏洞扫描，找已知弱点。

CVSS：Common Vulnerability Scoring System（通用漏洞评分系统），用来描述漏洞严重度。

CVE：Common Vulnerabilities and Exposures（通用漏洞与暴露编号），漏洞编号。

False Positive：误报，工具说有问题但实际没有。

Residual Risk：剩余风险，处理后仍然留下的风险。

4. 候选池

候选 1：体检闭环。

保留。体检不是拿到报告就结束，还要复查、治疗、跟踪。

候选 2：漏洞垃圾桶。

淘汰。它只表达“有问题”，不表达管理闭环。

候选 3：排队看病。

保留但不做主记法。它能表达优先级，但不够完整。

讨论结论：主记法用“体检闭环”。它能把扫描、确认、排序、修复、复查串起来。

5. 最终主记法

Vulnerability Management = 体检闭环。

记完整句：扫描像体检，报告出来不能直接扔给医生；先确认真假，再按危险程度排队治疗，治完还要复查，剩下治不了的风险要有人签收。

翻回知识点就是：Vulnerability Management 是持续识别、评估、排序、修复或缓解漏洞，并验证结果的过程。

6. 小白故事

小林网店每周跑一次漏洞扫描。

报告显示网站服务器有 80 个问题。

安全同事没有直接把 80 个都标红丢给运维。

他先确认哪些是误报。

再看哪些服务器最重要。

收款服务器上的远程利用漏洞排在前面。

内部测试机上的低危配置项排在后面。

能打补丁的安排补丁。

暂时不能打补丁的先限制访问、加监控。

修完后再扫一次，确认问题真的消失。

7. 回到考题

题目说 identify and remediate vulnerabilities（识别并修复漏洞），先想 Vulnerability Management（漏洞管理）。

题目说 routine scans（定期扫描）、periodic assessments（周期评估），先想 Vulnerability Management（漏洞管理）。

题目说 validate scanner results（确认扫描结果），先想 Vulnerability Management（漏洞管理）。

题目说 prioritize vulnerabilities（漏洞排序），常看 CVSS（通用漏洞评分系统）、asset criticality（资产重要性）和 exploitability（可利用性）。

题目只问工具发现已知漏洞，可能是 Vulnerability Scan（漏洞扫描）。

8. 别混

Vulnerability Management：漏洞闭环。

Vulnerability Scan：只负责发现已知问题。

Patch Management：修复漏洞的一种方式。

Penetration Testing：渗透测试，验证攻击能不能真的打通。

Risk Assessment：风险评估，帮助管理层决定优先级和接受风险。

最容易错的地方：漏洞扫描不是漏洞管理的全部。扫描只是开头，闭环才叫管理。

记忆卡：Secure Configuration / 安全配置

Secure Configuration 这张卡问的是“系统设置得安不安全”。

小白先懂一句话：同一台服务器，功能一样能跑，但设置可以很危险，也可以很安全。安全配置就是把设置调到安全状态。

1. 先懂一句话

Secure Configuration = 安全配置。

Configuration 是配置、设置。

Secure 是安全。

现实里，很多风险不是软件代码漏洞，而是设置太松。

默认密码没改。

不需要的服务开着。

日志没开。

权限给得太大。

远程管理暴露在公网。

把这些设置改到安全状态，就是安全配置。

2. 真正要背什么

这张卡真正要背 5 件事。

安全配置关注具体设置。
常见动作包括禁用默认账号、关闭不用服务、启用日志、加密、强认证和最小权限。
安全配置可以来自 CIS Benchmark（互联网安全中心基准）或组织基线。
安全配置需要持续检查，因为配置会漂移。
它是 Hardening（系统加固）之后留下的结果。

3. 关键词拆解

Secure Configuration：安全配置。

Secure Defaults：安全默认值。

Default Password：默认密码。

Logging：日志记录。

Encryption：加密。

Least Privilege：最小权限。

Configuration Drift：配置漂移。

4. 候选池

候选 1：新手机开机先设安全。

保留。新手机能用，但先要设锁屏、指纹、隐私权限和备份。

候选 2：服务器穿制服。

淘汰。画面太泛，不知道制服里有什么。

候选 3：安全开关面板。

保留但不做主记法。它能表示设置，但没有生活感。

讨论结论：主记法用“新手机开机先设安全”。小白能立刻理解：能用不等于设置安全。

5. 最终主记法

Secure Configuration = 新手机开机先设安全。

记完整句：手机刚买来能打电话，但先要设锁屏、关多余权限、开备份和定位保护；服务器也一样，能跑只是第一步，安全设置要单独调好。

翻回知识点就是：Secure Configuration 是让系统按安全要求设置账户、权限、服务、端口、日志、加密和认证。

6. 小白故事

小林网店新装了后台管理系统。

页面能打开。

登录也正常。

但安全同事发现管理员默认密码还没改。

测试接口还开着。

普通客服账号能导出全部客户数据。

登录失败没有记录。

数据库连接没有加密。

这些都不是“系统坏了”。

它们是配置不安全。

把这些设置一项项改好，才叫安全配置。

7. 回到考题

题目说 secure settings（安全设置），先想 Secure Configuration（安全配置）。

题目说 approved configuration（批准配置）、CIS Benchmark（互联网安全中心基准），也可能考 Secure Configuration（安全配置）或 Configuration Baseline（配置基线）。

题目说 default password（默认密码）、unnecessary services（不必要服务）、logging disabled（日志未启用），先想安全配置问题。

题目说验证系统是否保持安全基线，常看配置检查或配置管理工具。

8. 别混

Secure Configuration：安全设置结果。

Hardening：把系统调严的动作。

Configuration Baseline：把批准配置保存成标准照片。

Security Baseline：最低安全线。

最容易错的地方：安全配置不是某个单独工具，而是一组具体设置。题目看到“设置、默认值、服务、端口、日志、权限”，就往它身上想。

记忆卡：Mobile Device Management / MDM / 移动设备管理

MDM 这张卡不要只背“管手机”。

小白先懂一句话：MDM 是公司用来统一管理手机、平板和移动设备的平台。它能下发规则、检查合规、远程锁定或擦除公司数据。

1. 先懂一句话

MDM = Mobile Device Management（移动设备管理）。

Mobile Device 是移动设备，比如手机、平板、笔记本。

Management 是管理。

现实里，员工手机一多，公司不能一个个手工设置。

MDM 就像一个移动设备管理台，把设备登记进来，再统一下发安全要求。

2. 真正要背什么

这张卡真正要背 6 件事。

Enrollment（注册）：设备先加入管理。
Policy Push（下发策略）：要求 PIN（锁屏密码）、加密、自动锁屏。
App Control（应用控制）：允许、禁止、安装或移除应用。
Remote Lock / Wipe（远程锁定或擦除）：设备丢失时保护数据。
Inventory（资产清单）：知道有哪些设备、版本和状态。
Compliance Check（合规检查）：不合规设备可以限制访问。

3. 关键词拆解

MDM：Mobile Device Management（移动设备管理）。

Remote Wipe：远程擦除。

Device Encryption：设备加密。

PIN / Passcode：锁屏密码。

Policy Enforcement：策略强制执行。

Managed Device：受管设备。

4. 候选池

候选 1：公司手机遥控台。

保留。它能表达集中管理、远程锁定、远程擦除。

候选 2：手机班主任。

淘汰。这个说法有画面，但不够贴企业管理，也容易显得随意。

候选 3：设备总开关。

保留但不做主记法。它能表达集中控制，但不够具体。

讨论结论：主记法用“公司手机遥控台”。它能把 MDM 的远程管理能力讲清楚。

5. 最终主记法

MDM = 公司手机遥控台。

记完整句：员工手机先登记进公司遥控台，公司才能统一要求锁屏、加密、安装工作应用、检查合规，丢了还能远程锁住或擦掉公司数据。

翻回知识点就是：MDM 是管理移动设备的企业平台，用来执行安全策略、应用控制、设备清单、合规检查和远程保护。

6. 小白故事

小林网店给客服配了工作手机。

客服每天用手机看订单、联系客户、处理退款。

如果手机丢了，里面可能有客户资料。

公司先把手机注册到 MDM。

MDM 要求必须有锁屏密码。

设备必须加密。

只能装批准的工作应用。

如果手机丢失，管理员可以远程锁定。

必要时，还可以远程擦除公司数据。

这就是移动设备管理。

7. 回到考题

题目说 Mobile Device Management（移动设备管理）或 MDM，先想移动设备统一管理。

题目说 remote wipe（远程擦除）、remote lock（远程锁定），常看 MDM。

题目说 enforce encryption（强制加密）、push apps（推送应用）、remove apps（移除应用）、device compliance（设备合规），常看 MDM。

题目说大量公司移动设备要统一安全策略，先想 MDM。

如果题目问设备已经丢了、但远程擦除不一定来得及，保护静态数据常优先看 full device encryption（整机加密）。

8. 别混

MDM：管理移动设备的平台。

BYOD：员工用自己的设备办公，是一种使用模式。

NAC：Network Access Control（网络访问控制），控制设备能不能进网络。

GPO：Group Policy Object（组策略对象），常见于 Windows 域环境。

最容易错的地方：MDM 管的是已经纳入管理的设备。员工完全未注册的私人设备，公司通常不能随便远程控制。

记忆卡：BYOD / Bring Your Own Device / 自带设备办公

BYOD 这张卡不要只背“用自己的手机”。

小白先懂一句话：BYOD 是员工拿自己的设备访问公司资源。问题不是设备能不能用，而是公司数据和个人隐私混在一起以后，边界怎么画。

1. 先懂一句话

BYOD = Bring Your Own Device（自带设备办公）。

Bring 是带来。

Your Own Device 是你自己的设备。

现实里，员工可能用自己的手机收公司邮件、用自己的电脑连公司系统。

这很方便，但风险也明显。

公司想保护数据。

员工不想公司随便看个人照片、聊天和位置。

所以 BYOD 一定要靠 policy（政策）和技术边界来管。

2. 真正要背什么

这张卡真正要背 6 件事。

BYOD 的设备所有权属于员工，不属于公司。
核心矛盾是公司数据保护和员工个人隐私。
要有 acceptable use policy（可接受使用政策）。
常用控制包括注册、设备指纹、容器、MDM、MAM（移动应用管理）和远程应用。
如果题目强调 endpoint no residual data（终端不留残余数据），常看 virtual hosted application（虚拟托管应用）或远程访问。
公司不能把 BYOD 当成完全属于自己的设备随便管。

3. 关键词拆解

BYOD：Bring Your Own Device（自带设备办公）。

Personally Owned Device：个人拥有的设备。

Containerization：容器化，把公司数据和个人数据隔开。

MAM：Mobile Application Management（移动应用管理），管应用和应用里的数据。

Device Fingerprinting：设备指纹，用浏览器、硬件、软件特征识别设备。

Virtual Hosted Application：虚拟托管应用，应用跑在公司环境里，终端只看到画面和输入。

4. 候选池

候选 1：自己的杯子进实验室。

保留。杯子是自己的，但进实验室就要遵守规则，不能把样本带出去。

候选 2：自带饭盒上班。

保留但不做主记法。它能表达个人物品，但不够体现数据边界。

候选 3：公司送手机。

淘汰。那更像 COPE（公司拥有、个人启用）或公司设备，不是 BYOD。

讨论结论：主记法用“自己的杯子进实验室”。它能表达私人设备进入公司业务环境后必须有边界。

5. 最终主记法

BYOD = 自己的杯子进实验室。

记完整句：杯子是员工自己的，但拿进实验室就要贴标签、按规则使用，不能把公司样本带回家；设备也是自己的，但访问公司数据时必须隔离、登记和受策略约束。

翻回知识点就是：BYOD 是员工个人设备访问企业资源的模式，重点风险是数据保护、隐私边界、可管理性、法律发现和残留数据。

6. 小白故事

小林网店允许客服用自己的手机看订单。

一开始大家觉得很方便。

后来问题来了。

手机丢了，客户资料怎么办？

员工离职，公司数据怎么清掉？

公司能不能擦掉整台私人手机？

员工会不会觉得公司侵犯隐私？

安全同事给 BYOD 写了政策。

公司数据放在工作容器里。

只有合规设备能登录。

离职时只清公司数据，不碰个人照片。

如果题目要求终端完全不留公司数据，就让员工通过远程应用访问。

7. 回到考题

题目说 BYOD、Bring Your Own Device（自带设备办公），先想员工个人设备访问公司资源。

题目说 personally owned device（个人拥有设备），先想 BYOD。

题目问 BYOD 如何唯一识别设备，常看 registration（注册）和 device fingerprinting（设备指纹）。

题目说不希望公司数据残留在终端，常看 virtual hosted application（虚拟托管应用）或 remote access（远程访问）。

题目说公司要统一管理已注册移动设备，可能看 MDM。

8. 别混

BYOD：员工自己的设备。

COPE：Corporate Owned, Personally Enabled（公司拥有、个人使用）。

COBO：Corporate Owned, Business Only（公司拥有、仅办公用）。

MDM：管理设备的平台。

Containerization：把公司数据和个人数据隔开的一种办法。

最容易错的地方：BYOD 的难点不是“能不能连上”，而是设备所有权、隐私、数据残留和离职清理。

记忆卡：EDR / Endpoint Detection and Response / 端点检测与响应

EDR 这张卡不要背成“杀毒软件”。

小白先懂一句话：EDR 是装在电脑、服务器等端点上的监控和响应工具。它不只看有没有病毒文件，还看进程、行为、网络连接和异常动作。

1. 先懂一句话

EDR = Endpoint Detection and Response（端点检测与响应）。

Endpoint 是端点，比如员工电脑、服务器、笔记本。

Detection 是检测。

Response 是响应。

现实里，攻击不一定表现成一个已知病毒文件。

它可能是异常进程、可疑脚本、横向移动、偷偷连外网、修改系统关键位置。

EDR 就是在端点上收集这些线索，并支持隔离、调查和处置。

2. 真正要背什么

这张卡真正要背 5 件事。

EDR 收集 endpoint telemetry（端点遥测数据）。
它看进程、文件、内存、注册表、网络连接和行为。
它能 detect（检测）可疑活动。
它能 response（响应），比如隔离主机、结束进程、删除恶意文件。
它帮助调查攻击路径和影响范围。

3. 关键词拆解

EDR：Endpoint Detection and Response（端点检测与响应）。

Endpoint：端点，电脑、服务器、笔记本等最终设备。

Telemetry：遥测数据，端点持续上报的行为线索。

Isolation：隔离，把可疑主机从网络中隔开。

Threat Intelligence：威胁情报，已知攻击特征和攻击者信息。

IOC：Indicator of Compromise（失陷指标），说明系统可能被攻陷的线索。

4. 候选池

候选 1：终端行车记录仪加响应按钮。

保留。行车记录仪负责记录过程，响应按钮负责立即处理。

候选 2：电脑摄像头。

淘汰。容易让人误会成真的拍视频，不够准确。

候选 3：端点急救箱。

保留但不做主记法。它有响应味道，但缺少持续检测。

讨论结论：主记法用“终端行车记录仪加响应按钮”。它能同时记住检测、记录、调查和响应。

5. 最终主记法

EDR = 终端行车记录仪加响应按钮。

记完整句：每台电脑都装了行车记录仪，记录进程、文件和网络行为；发现异常时，不只是报警，还能隔离主机、结束进程、保留证据。

翻回知识点就是：EDR 是在端点上持续收集行为数据，检测可疑活动，并提供隔离、调查和响应能力的安全工具。

6. 小白故事

小林网店一台客服电脑突然开始大量访问陌生地址。

传统杀毒没有报出已知病毒。

EDR 看到另一条线索。

一个脚本从临时目录启动。

它读取浏览器凭据。

又尝试连接内部文件服务器。

EDR 先把这台电脑从网络隔离。

再保留进程、文件和网络连接记录。

安全同事根据这些记录判断攻击从哪里来、影响了哪些账号、下一步该清理什么。

7. 回到考题

题目说 Endpoint Detection and Response（端点检测与响应）或 EDR，先想端点监控和响应。

题目说 endpoint telemetry（端点遥测数据），先想 EDR。

题目说 isolate host（隔离主机）、kill process（结束进程）、collect evidence（收集证据），常看 EDR。

题目说分析端点内存、文件系统、进程和网络活动，常看 EDR。

题目只问集中收集日志和关联分析，可能是 SIEM。

8. 别混

EDR：端点检测、调查和响应。

Antivirus：杀毒，传统上更偏已知恶意文件和特征。

SIEM：集中收集日志并关联分析。

IDS / IPS：检测或阻止入侵，常见在网络或主机层面。

UEBA：User and Entity Behavior Analytics（用户与实体行为分析），重点是用户和实体行为异常。

最容易错的地方：看到 endpoint（端点）加 detect/respond（检测和响应），优先想 EDR；看到 centralized logs（集中日志），优先想 SIEM。

记忆卡：NAC / Network Access Control / 网络接入控制

NAC 这张卡不要背成“网络里有个控制”。

小白先懂一句话：NAC 管的是设备能不能接入网络。不是网线插上就能进，而是先检查身份和设备状态，合格才放行，不合格就隔离。

1. 先懂一句话

NAC = Network Access Control（网络接入控制）。

Network Access 是接入网络。

Control 是控制。

现实里，员工把电脑接上公司网线，或者连上公司 Wi-Fi，不代表它就应该直接进入内网。

这台电脑可能没打补丁。

可能没有杀毒。

可能不是公司设备。

也可能是陌生人带来的设备。

NAC 就是在“进网门口”先查这些条件。

2. 真正要背什么

这张卡真正要背 5 件事。

NAC 控制设备能不能接入网络。
它常检查 identity（身份）和 device posture（设备安全状态）。
常见检查包括补丁、杀毒、加密、配置、证书和是否注册。
不合规设备可以被放进 quarantine network（隔离网络）或 remediation network（修复网络）。
802.1X 是常见接入认证技术，但 NAC 是更大的接入控制思路和系统。

3. 关键词拆解

NAC：Network Access Control（网络接入控制）。

Device Posture：设备安全状态，电脑现在够不够安全。

Pre-admission：准入前检查，还没进内网之前先查。

Post-admission：准入后检查，进去后持续监控和限制。

Quarantine Network：隔离网络，不合格设备先待在这里。

Remediation：修复，让设备补丁、杀毒或配置达标。

802.1X：Port-Based Network Access Control（基于端口的网络访问控制），常用于接入口认证。

4. 候选池

候选 1：NAC = na chu（拿出）证件和体检单。

保留。它能把身份和设备健康状态都带出来。

候选 2：网络门口体检。

保留。它很贴小白理解，但没有挂住 NAC 的读音。

候选 3：插线就进。

淘汰。这个是错误画面，NAC 正是防止插线就进。

讨论结论：主记法用“拿出证件和体检单”。看到 NAC，就想设备进网前要拿出身份和健康证明。

5. 最终主记法

NAC = na chu（拿出）证件和体检单。

记完整句：设备想进公司网络，先拿出“你是谁”的证件，再拿出“补丁、杀毒、配置是否合格”的体检单，合格进内网，不合格先进隔离网修好。

翻回知识点就是：NAC 是在设备接入网络前后检查身份和安全状态，并按策略允许、限制、隔离或修复设备的控制系统。

6. 小白故事

小林网店新来了临时客服。

他把自己的笔记本插进公司网口。

以前的做法是：插上就能访问内网。

现在不行。

NAC 先问这台电脑是谁的。

有没有公司证书。

补丁是不是太旧。

磁盘有没有加密。

杀毒有没有开启。

如果都合格，它可以进入客服系统。

如果不合格，它只能进入修复网络，先更新补丁、装好安全软件，再重新申请接入。

7. 回到考题

题目说 Network Access Control（网络接入控制）或 NAC，先想设备接入网络前后检查。

题目说 device posture（设备安全状态）、health check（健康检查）、compliance before connecting（连接前合规检查），先想 NAC。

题目说 quarantine noncompliant device（隔离不合规设备），先想 NAC。

题目说 802.1X、Port-Based Network Access Control（基于端口的网络访问控制），常看接入口认证。

题目只说咖啡店 Wi-Fi 弹出接受协议页面，可能是 captive portal（强制门户），不一定是 NAC。

8. 别混

NAC：管设备能不能接入网络。

802.1X：一种常见接入口认证技术。

MDM：管理移动设备的平台。

Firewall：管流量能不能通过边界。

Captive Portal：强制门户，常让用户先看页面、接受条款或登录。

最容易错的地方：NAC 不是单纯看 MAC 地址，也不是普通防火墙规则。它重点看“设备进网前是否合格”。

记忆卡：Remote Access / 远程访问

Remote Access 这张卡不要一看到远程就只想 VPN。

小白先懂一句话：远程访问是人在公司外面，想进入公司资源。VPN、远程桌面、VDI、云桌面、远程管理，都可能是远程访问的具体做法。

1. 先懂一句话

Remote Access = 远程访问。

Remote 是远处。

Access 是访问。

现实里，员工不在公司办公室，也可能要处理订单、查邮件、连服务器、看报表。

问题是：外面的网络不受公司控制。

外面的电脑也可能不够安全。

所以远程访问不是“能连上就行”，而是要控制谁能连、用什么方式连、连到哪里、能做什么、留下什么记录。

2. 真正要背什么

这张卡真正要背 6 件事。

远程访问是从公司外部访问公司资源。
它可以通过 VPN、远程桌面、VDI、终端服务、云桌面、远程管理工具等方式实现。
远程用户要强认证，常看 MFA（多因素认证）。
远程通信要加密，防止被窃听。
权限要最小化，远程进来不代表可以访问所有系统。
要有策略、日志、监控和支持流程。

3. 关键词拆解

Remote Access：远程访问。

Telecommuting：远程办公。

RAS：Remote Access Server（远程访问服务器）。

Remote Desktop：远程桌面，远程控制另一台机器。

VDI：Virtual Desktop Infrastructure（虚拟桌面基础设施），桌面跑在数据中心，用户远程看画面和操作。

RDP：Remote Desktop Protocol（远程桌面协议）。

SSH：Secure Shell（安全外壳协议），常用于安全远程管理。

MFA：Multi-Factor Authentication（多因素认证）。

RAT：Remote Access Trojan（远程访问木马）。它是攻击者偷偷控制机器的恶意工具，不是正规远程办公方案。

4. 候选池

候选 1：远门进公司。

保留。它能表达人在外面，目标在公司里面。

候选 2：外面开内门。

保留但不做主记法。它能表达入口，但不够完整。

候选 3：远程等于 VPN。

淘汰。这是常见误解。

讨论结论：主记法用“远门进公司”。然后补一句：进门方式很多，VPN 只是其中一种。

5. 最终主记法

Remote Access = 远门进公司。

记完整句：人在远处，想进公司系统，不能只看有没有路；还要看身份、设备、加密、权限、日志和能不能只进该进的房间。

翻回知识点就是：Remote Access 是从外部建立到组织资源的访问能力，需要认证、授权、加密、限制、监控和策略管理。

6. 小白故事

小林网店客服在家办公。

她要查看订单。

公司可以给她 VPN。

也可以给她 VDI。

也可以让她登录一个只开放客服系统的远程应用。

这些都属于远程访问方案。

安全同事先不问“买哪个工具”。

他先问：谁能远程进来？

用什么认证？

通信有没有加密？

能不能只进客服系统？

设备丢了怎么办？

访问记录在哪里看？

这才是远程访问安全。

7. 回到考题

题目说 remote access（远程访问）、telecommuting（远程办公）、RAS（远程访问服务器），先想从外部访问内部资源。

题目问远程访问的安全要求，常看 MFA（多因素认证）、encryption（加密）、least privilege（最小权限）、logging（日志）。

题目说 remote desktop（远程桌面）或 remote control（远程控制），重点是控制另一台远处的系统。

题目说 SSH（安全外壳协议）或 RDP（远程桌面协议），重点是远程管理或远程控制方式。

题目说 RAT、Remote Access Trojan（远程访问木马），不要当成正常远程访问，它是恶意控制。

题目说 remote node（远程节点），重点是远程设备像接入局域网一样使用网络服务。

题目只问建立加密隧道，可能是 VPN。

8. 别混

Remote Access：远程访问总概念。

VPN：远程访问的一种常见加密通道。

VDI：远程桌面跑在数据中心，终端主要显示画面和输入。

Remote Administration：管理员远程管理设备，更要强认证和记录。

最容易错的地方：远程访问不等于 VPN。VPN 是路，远程访问是从外面进公司资源这件事。

记忆卡：VPN 深化 / Virtual Private Network / 虚拟专用网络

VPN 这张卡不要背成“开了就安全”。

小白先懂一句话：VPN 是在公共网络上铺一条受保护通道，让远程用户或两个站点像通过专用通道通信一样。

1. 先懂一句话

VPN = Virtual Private Network（虚拟专用网络）。

Virtual 是虚拟，不是真的拉了一条专线。

Private 是专用、受保护。

Network 是网络。

现实里，员工在家上网，分公司也通过互联网连总部。

互联网是公共道路。

VPN 在公共道路上包一层受保护的隧道，让通信不容易被旁边的人看懂或篡改。

2. 真正要背什么

这张卡真正要背 6 件事。

VPN 保护的是通信通道。
常见用途是 remote access VPN（远程访问 VPN）和 site-to-site VPN（站点到站点 VPN）。
它通常提供加密、完整性保护和身份认证。
IPsec VPN 常在网络层保护站点或主机之间的流量。
SSL/TLS VPN 常用于浏览器或应用层远程访问场景。
VPN 不自动等于授权正确，进来以后还要看权限控制。

3. 关键词拆解

VPN：Virtual Private Network（虚拟专用网络）。

Tunnel：隧道，把流量封装进受保护通道。

Remote Access VPN：远程访问 VPN，员工从外部连公司。

Site-to-Site VPN：站点到站点 VPN，分公司和总部之间建隧道。

IPsec：Internet Protocol Security（互联网协议安全），常用于网络层 VPN。

SSL/TLS VPN：基于 SSL/TLS 的 VPN，常见于浏览器或应用访问。

Full Tunnel：全隧道，远程设备所有流量都走 VPN。

Split Tunneling：分离隧道，一部分流量走 VPN，一部分直接上互联网，方便但风险更高。

ESP：Encapsulating Security Payload（封装安全载荷），IPsec 中常用于提供加密和完整性保护。

AH：Authentication Header（认证头），IPsec 中提供认证和完整性，但不加密数据内容。

4. 候选池

候选 1：外网铺内。

保留但要解释完整。它的意思是从外网铺一条受保护通道进公司内网。

候选 2：公共路上的加密隧道。

保留。它比“外网铺内”更清楚。

候选 3：VPN 等于所有访问都安全。

淘汰。VPN 只保护通道，不自动修好权限和终端安全。

讨论结论：主记法用“公共路上的加密隧道”，辅记“外网铺内”。这样既自然，又能挂住 VPN 的场景。

5. 最终主记法

VPN = 公共路上的加密隧道。

记完整句：人在外网，系统在公司里，中间走的是公共道路；VPN 在路上套一条受保护隧道，让通信被加密和校验，但进门后能看什么还要靠授权。

翻回知识点就是：VPN 是在不可信网络上建立受保护隧道，用来保护远程访问或站点互联通信。

6. 小白故事

小林网店在上海有总部，在成都有仓库。

仓库系统每天要访问总部数据库。

如果直接走互联网，路上可能被窃听或篡改。

于是技术团队在两边建了 site-to-site VPN。

总部和仓库之间像有一条受保护通道。

另一个客服在家办公。

她用 remote access VPN 连回公司。

但 VPN 只说明通道安全。

她登录后仍然只能看客服系统，不能看财务数据库。

7. 回到考题

题目说 VPN、Virtual Private Network（虚拟专用网络）、encrypted tunnel（加密隧道），先想受保护通道。

题目说 remote user connects to company network（远程用户连接公司网络），常看 remote access VPN。

题目说 branch office to headquarters（分公司到总部），常看 site-to-site VPN。

题目说 network-layer tunnel（网络层隧道），常看 IPsec。

题目说 browser-based remote access（基于浏览器的远程访问），可能看 SSL/TLS VPN。

题目说 split tunneling（分离隧道），要想到远程用户同时连公司和公网，风险是公网威胁可能绕进来。

题目问 IPsec 里谁提供加密，常看 ESP；题目问认证和完整性但不加密，常看 AH。

8. 别混

VPN：大范围受保护通道。

TLS：传输层安全协议，HTTPS 会用它。

HTTPS：浏览器和网站之间的安全网页通信。

IPsec：常用于网络层 VPN 的协议族。

Authorization：授权，决定进来后能访问什么。

最容易错的地方：VPN 保护路，不等于进来的人拥有所有权限，也不等于他的设备一定干净。

记忆卡：Zero Trust / 零信任

Zero Trust 这张卡不要理解成“谁都不信，所以谁都不能用”。

小白先懂一句话：零信任不是不让人工作，而是不因为你在内网、在公司、连上 VPN，就默认相信你。每次访问都要验证身份、设备、权限和上下文。

1. 先懂一句话

Zero Trust = 零信任。

它反对一种老想法：人在公司内网里，就默认可信。

现实攻击里，账号可能被盗。

电脑可能中招。

VPN 用户可能不是本人。

所以零信任会说：不要因为“人在里面”就直接放行。

每次访问关键资源，都重新判断。

2. 真正要背什么

这张卡真正要背 6 件事。

Never trust, always verify（永不默认信任，始终验证）。
不按网络位置默认信任，比如内网不天然安全。
强调 least privilege（最小权限）。
强调 continuous verification（持续验证）。
常结合 MFA（多因素认证）、设备状态、身份、上下文和策略判断。
常和 microsegmentation（微分段）一起出现，减少横向移动。

3. 关键词拆解

Zero Trust：零信任。

Implicit Trust：隐含信任，默认你可信。

Continuous Verification：持续验证。

Least Privilege：最小权限。

Context：上下文，比如位置、设备、时间、风险、行为。

Lateral Movement：横向移动，攻击者进入一处后继续往其他系统扩散。

Policy Engine：策略引擎，在零信任架构里负责做访问决策。

Policy Administrator：策略管理员，负责把访问决策落实到连接上。

4. 候选池

候选 1：进门后每个房间还要刷卡。

保留。它能解释“进了内网也不代表通行所有地方”。

候选 2：零信任就是谁都挡住。

淘汰。零信任不是停工，而是每次按条件验证。

候选 3：公司里面也要查票。

保留但不做主记法。它能表达不默认信任，但不如房间刷卡具体。

讨论结论：主记法用“进门后每个房间还要刷卡”。它能把持续验证和最小权限讲清楚。

5. 最终主记法

Zero Trust = 进门后每个房间还要刷卡。

记完整句：连上公司网络只算进大门，不能默认全楼通行；每进一个系统，都要看身份、设备、权限和风险，够条件才开门。

翻回知识点就是：Zero Trust 是不基于网络位置默认信任，而是对每次访问进行身份、设备、上下文和权限验证的安全模型。

6. 小白故事

小林网店以前只要员工连上 VPN，就能碰到很多内部系统。

后来一个客服账号被盗。

攻击者连进来后，试图访问报表、文件共享和财务系统。

零信任改造后，情况变了。

客服账号只能进客服系统。

访问财务系统需要额外审批和 MFA。

设备补丁太旧时，不能访问敏感应用。

半夜从陌生地区登录，会触发更严格验证。

这不是不让员工工作，而是不再把“已经进内网”当成万能通行证。

7. 回到考题

题目说 Zero Trust（零信任），先想不默认信任内网。

题目说 never trust, always verify（永不默认信任，始终验证），先想 Zero Trust。

题目说 continuous authentication / authorization（持续认证 / 授权），常看 Zero Trust。

题目说 policy engine（策略引擎）、policy administrator（策略管理员），常见于零信任架构的访问决策组件。

题目说 least privilege（最小权限）、device posture（设备状态）、context-aware access（上下文感知访问），也常和 Zero Trust 一起出现。

题目说防止攻击者进入后横向移动，常看零信任和微分段。

8. 别混

Zero Trust：安全模型和访问理念。

VPN：建立受保护通道，但可能仍保留“进来就可信”的旧思路。

NAC：控制设备能不能接入网络。

Microsegmentation：把网络或工作负载切得更细，常用来实现零信任。

最容易错的地方：零信任不是一个单独盒子，也不是“全都拒绝”。它是每次访问都按身份、设备、上下文和权限重新判断。

记忆卡：Network Segmentation / 网络分段

Network Segmentation 这张卡不要背成“网络分开一点”。

小白先懂一句话：网络分段是把大网络切成不同区域，让财务、客服、数据库、访客 Wi-Fi 不要混在一锅里。一个区域出问题，不应该顺手打到所有区域。

1. 先懂一句话

Network Segmentation = 网络分段。

Segment 是段、区域。

现实里，如果所有设备都在同一个大网络，任何一台电脑出事，攻击者可能更容易到处试探。

网络分段就是把网络切成不同区域。

每个区域之间通过路由、防火墙、ACL 或策略控制通信。

2. 真正要背什么

这张卡真正要背 5 件事。

网络分段把网络按业务、敏感度、功能或信任级别分成区域。
目标是限制攻击扩散和减少不必要访问。
常见方式包括 VLAN（虚拟局域网）、subnet（子网）、DMZ（隔离区）、防火墙区域。
分段后，不同区域之间要用规则控制流量。
分段是边界更清楚，不等于自动加密。

3. 关键词拆解

Network Segmentation：网络分段。

VLAN：Virtual LAN（虚拟局域网），逻辑上分开网络。

Subnet：子网，按 IP 地址范围划分。

DMZ：Demilitarized Zone（非军事区 / 隔离区），常放对外服务。

East-West Traffic：东西向流量，数据中心内部系统之间的流量。

North-South Traffic：南北向流量，内外部之间进出的流量。

4. 候选池

候选 1：商场分楼层。

保留。不同楼层卖不同东西，中间有入口和规则。

候选 2：一锅乱炖。

淘汰。这是没分段的错误画面。

候选 3：公司分部门门禁。

保留但不做主记法。它贴权限，但容易和身份访问控制混。

讨论结论：主记法用“商场分楼层”。它能让小白看见区域、路线和入口控制。

5. 最终主记法

Network Segmentation = 商场分楼层。

记完整句：客户区、仓库区、财务区、机房区不能混在同一层乱走；每层之间有通道和检查，出了事也不让问题一路扩散。

翻回知识点就是：Network Segmentation 是把网络划分为多个受控区域，通过路由、VLAN、防火墙或 ACL 限制区域之间的访问。

6. 小白故事

小林网店以前把客服电脑、收款系统、数据库、访客 Wi-Fi 都放在同一个大网络里。

一台访客设备出问题后，它能扫描到很多内部系统。

安全同事开始分段。

访客 Wi-Fi 只能上互联网。

客服区只能访问客服系统。

收款系统只能访问支付接口和订单数据库。

数据库区不接受普通办公电脑直接访问。

网络还是同一家公司的网络，但不再是随便串门的大房间。

7. 回到考题

题目说 segmentation（分段）、network zones（网络区域）、separate sensitive systems（隔离敏感系统），先想 Network Segmentation（网络分段）。

题目说 limit lateral movement（限制横向移动），常看分段或微分段。

题目说 VLAN、subnet、DMZ、防火墙区域，常和网络分段有关。

题目问把公开 Web 服务器放在哪里，常看 DMZ（隔离区）。

题目只问加密远程通信，不是分段，可能看 VPN 或 TLS。

8. 别混

Network Segmentation：把网络切成区域。

Microsegmentation：切得更细，常到工作负载或应用级别。

Firewall Rules：控制区域之间哪些流量能过。

Encryption：保护通信内容，不负责把网络切区。

最容易错的地方：分段不是为了“看起来整齐”，而是为了让不该互通的东西不要互通，限制攻击扩散。

记忆卡：Microsegmentation / 微分段

Microsegmentation 这张卡不要只背“更小的分段”。

小白先懂一句话：微分段是把分段切到更细，甚至按应用、服务、工作负载来管。它重点防止攻击者进入一个系统后，在内部横向乱走。

1. 先懂一句话

Microsegmentation = 微分段。

Micro 是微小、细粒度。

Segmentation 是分段。

传统网络分段像把商场分楼层。

微分段更像每个店铺、仓库门、收银台都有自己的通行规则。

哪怕人在同一楼层，也不能随便进每个房间。

2. 真正要背什么

这张卡真正要背 5 件事。

微分段比普通网络分段更细。
它常按 workload（工作负载）、application（应用）、service（服务）或虚拟机来定规则。
它重点控制 east-west traffic（东西向流量）。
它能减少 lateral movement（横向移动）。
它常和 Zero Trust（零信任）一起使用。

3. 关键词拆解

Microsegmentation：微分段。

Workload：工作负载，可能是一台虚拟机、容器、服务或应用组件。

East-West Traffic：东西向流量，内部系统之间的流量。

Distributed Firewall：分布式防火墙，把规则放到更靠近工作负载的位置。

Internal Segmentation Firewall：内部隔离防火墙。

VXLAN：Virtual Extensible LAN（虚拟可扩展局域网），可支持跨子网和大规模虚拟网络。

4. 候选池

候选 1：商场每家店都单独刷卡。

保留。它能从“分楼层”自然升级到“每个店铺也管”。

候选 2：碎成粉末。

淘汰。太夸张，而且没有访问控制含义。

候选 3：内部小隔间。

保留但不做主记法。它贴近，但不够有动作。

讨论结论：主记法用“商场每家店都单独刷卡”。它能说明微分段不是只切楼层，而是管到更细的访问关系。

5. 最终主记法

Microsegmentation = 每家店都单独刷卡。

记完整句：普通分段把商场分楼层，微分段让每家店、仓库、收银台都有自己的刷卡规则；进了一层楼，不等于能进所有店。

翻回知识点就是：Microsegmentation 是对内部网络、工作负载或应用组件做细粒度隔离，用策略控制东西向流量并限制横向移动。

6. 小白故事

小林网店的数据中心里有 Web 服务器、订单服务、支付服务、库存服务和数据库。

它们都在内部。

以前只要攻击者拿下一台 Web 服务器，就能继续探测很多内部服务。

微分段上线后，规则变细了。

Web 服务器只能找订单服务。

订单服务只能找库存和支付。

支付服务只能找支付数据库。

普通 Web 服务器不能直接连财务数据库。

攻击者即使进了一个点，也很难一路横着走。

7. 回到考题

题目说 microsegmentation（微分段），先想工作负载级别的细粒度隔离。

题目说 east-west traffic（东西向流量）控制，常看微分段。

题目说 limit lateral movement（限制横向移动），常看微分段。

题目说 distributed firewall（分布式防火墙）或 internal segmentation firewall（内部隔离防火墙），也可能指向微分段。

题目只说把网络分成几个区域，可能是 Network Segmentation（网络分段）。

8. 别混

Network Segmentation：大区域分段。

Microsegmentation：更细的应用、服务、工作负载分段。

Zero Trust：访问理念，微分段常帮助落地。

VLAN：网络分段技术之一，但不等于微分段全部。

最容易错的地方：微分段不是为了把网络画得更复杂，而是为了让内部系统之间也只走必要通路。

记忆卡：Firewall Rules / ACL / 防火墙规则与访问控制列表

Firewall Rules 和 ACL 这张卡不要只背“允许 / 拒绝”。

小白先懂一句话：防火墙规则像边界检查清单。它按源头、目标、协议、端口和动作判断一条流量能不能过。

1. 先懂一句话

Firewall Rules = 防火墙规则。

ACL = Access Control List（访问控制列表）。

在防火墙里，ACL 不是“文件主人给谁读写”的那个故事。

这里的 ACL 更像网络边界上的名单和条件表。

它写清楚：从哪里来，到哪里去，用什么协议，访问哪个端口，是允许还是拒绝。

2. 真正要背什么

这张卡真正要背 6 件事。

防火墙规则按流量条件做 allow（允许）或 deny（拒绝）。
常见条件是 source（源地址）、destination（目标地址）、protocol（协议）、port（端口）、direction（方向）。
规则通常按顺序匹配，先匹配到的规则先执行。
最后常有 implicit deny（隐式拒绝），没被允许的默认拒绝。
规则要尽量具体，避免 any-any（任何到任何）放太宽。
ACL 也可能出现在路由器、交换机、防火墙或访问控制模型里，要看上下文。

3. 关键词拆解

Firewall Rule：防火墙规则。

ACL：Access Control List（访问控制列表）。

Source：源头，流量从哪里来。

Destination：目标，流量要去哪里。

Protocol：协议，比如 TCP、UDP、ICMP。

Port：端口，比如 80、443、22。

Implicit Deny：隐式拒绝，没有明确允许就拒绝。

Stateful Firewall：状态防火墙，会记住连接状态。

Static ACL：静态访问控制列表，主要按包头条件匹配，不理解完整会话。

4. 候选池

候选 1：边界检查清单。

保留。它能解释规则逐条检查。

候选 2：门口名单。

保留但不做主记法。它已经用于 DAC 的 ACL，容易混。

候选 3：全放行最方便。

淘汰。这是危险配置。

讨论结论：主记法用“边界检查清单”。它能把源、目标、协议、端口、动作都放进去。

5. 最终主记法

Firewall Rules / ACL = 边界检查清单。

记完整句：流量来到边界，先看从哪来、到哪去、走什么协议、打哪个端口；清单写了允许才放行，没写允许就默认挡住。

翻回知识点就是：防火墙规则 / 网络 ACL 是按源、目标、协议、端口、方向和动作控制网络流量的规则集合。

6. 小白故事

小林网店有一台 Web 服务器放在 DMZ。

客户可以访问它的 HTTPS 443 端口。

但客户不应该直接访问数据库 3306 端口。

防火墙规则写成：

互联网到 Web 服务器 443，允许。

互联网到数据库，拒绝。

Web 服务器到数据库指定端口，允许。

其他没写的，默认拒绝。

这样客户能打开网站，但不能绕过网站直接碰数据库。

7. 回到考题

题目说 firewall rule（防火墙规则）、ACL、permit（允许）、deny（拒绝），先想流量规则。

题目说 source IP（源 IP）、destination IP（目标 IP）、protocol（协议）、port（端口），先想防火墙规则或 ACL。

题目问默认安全做法，常看 deny by default（默认拒绝）或 implicit deny（隐式拒绝）。

题目说规则顺序错误导致访问异常，要想到 top-down processing（从上到下匹配）。

题目说 stateful inspection（状态检查），想到状态防火墙会记连接状态；题目只说固定源、目标、端口、协议表，可能是静态 ACL。

题目说文件对象上谁能读写，那个 ACL 可能是访问控制模型里的 ACL，不一定是防火墙规则。

8. 别混

Firewall ACL：网络流量规则。

DAC 里的 ACL：资源所有者写的访问名单。

RBAC：按角色授权。

NAC：设备能不能接入网络。

Proxy：替客户端或服务器转发请求，并可能检查内容。

最容易错的地方：看到 ACL 不要立刻套同一个答案。先看它是在网络边界、文件权限，还是访问控制模型里。

记忆卡：Proxy / Forward Proxy / Reverse Proxy / 代理、正向代理与反向代理

Proxy 这张卡不要只背“代理服务器”。

小白先懂一句话：代理就是替别人转发请求。正向代理站在用户这边，替用户出去；反向代理站在服务器这边，替服务器接请求。

1. 先懂一句话

Proxy = 代理。

Forward Proxy = 正向代理。

Reverse Proxy = 反向代理。

代理的核心动作很简单：它不让客户端和目标直接说话，而是由代理中间转一手。

关键是看代理站在哪一边。

站在用户这边，替用户访问外网，叫正向代理。

站在服务器这边，替服务器接外部请求，叫反向代理。

2. 真正要背什么

这张卡真正要背 6 件事。

Proxy 的核心是转发请求。
Forward Proxy（正向代理）保护或管理客户端出站访问。
Reverse Proxy（反向代理）保护或发布后端服务器。
代理可以做缓存、过滤、认证、日志、内容检查、隐藏真实地址。
反向代理常和负载均衡、TLS 终止、WAF 一起出现。
代理不是 VPN。VPN 建隧道，代理转具体请求。

3. 关键词拆解

Proxy：代理，代替一方转发请求。

Forward Proxy：正向代理，替客户端出去。

Reverse Proxy：反向代理，替服务器接入。

Caching：缓存，把常用内容先存起来。

Content Filtering：内容过滤。

TLS Termination：TLS 终止，在代理处解密 TLS，再转给后端。

NAT：Network Address Translation（网络地址转换），重点是改地址映射，不等于理解 HTTP 请求。

4. 候选池

候选 1：正向替用户出去，反向替服务器接请求。

保留。它直接解释区分点。

候选 2：代理跑腿。

保留但不做主记法。它好懂，但没有区分正反。

候选 3：代理就是 VPN。

淘汰。代理和 VPN 不是同一层含义。

讨论结论：主记法用“正向替用户出去，反向替服务器接请求”。这句话简单但很关键。

5. 最终主记法

Proxy = 替别人转发。

记完整句：正向代理替用户出去访问网站，反向代理替服务器接外部请求；看它站在用户前面，还是站在服务器前面。

翻回知识点就是：Proxy 是中间转发请求的组件，Forward Proxy 面向客户端出站控制，Reverse Proxy 面向服务器入站发布和保护。

6. 小白故事

小林网店办公室不允许员工电脑直接访问外网。

员工访问网页时，先把请求交给正向代理。

正向代理检查网站类别、记录日志、过滤危险内容，再替员工出去访问。

另一边，客户访问小林网店官网。

客户没有直接碰到后端 Web 服务器。

请求先到反向代理。

反向代理可以做 TLS 终止、隐藏后端地址、分发到多台服务器，也可以把请求交给 WAF 检查。

同样叫代理，站的位置不一样，考试答案就不一样。

7. 回到考题

题目说 forward proxy（正向代理），先想替内部用户访问外部网站。

题目说 reverse proxy（反向代理），先想替后端服务器接收外部请求。

题目说 web filtering（网页过滤）、outbound browsing control（出站浏览控制），常看正向代理。

题目说 hide internal servers（隐藏内部服务器）、publish web app（发布 Web 应用）、TLS termination（TLS 终止），常看反向代理。

题目说 encrypted tunnel（加密隧道），不要直接选代理，可能是 VPN。

题目只说 address translation（地址转换），可能是 NAT，不是代理。

8. 别混

Forward Proxy：替用户出去。

Reverse Proxy：替服务器接请求。

VPN：建受保护隧道。

Load Balancer：把流量分给多台后端。

WAF：检查 Web 应用层攻击。

最容易错的地方：代理的正反不是看流量箭头漂不漂亮，而是看它代表谁说话。

记忆卡：Load Balancer / 负载均衡器

Load Balancer 这张卡不要背成“防火墙的一种”。

小白先懂一句话：负载均衡器像取号分流台。很多用户同时来，它把请求分给多台后端服务器，让一台别累死，也能避开坏掉的服务器。

1. 先懂一句话

Load = 负载，工作量。

Balancer = 平衡器。

Load Balancer = 负载均衡器。

现实里，一个网站如果只有一台服务器，访问量一大就容易撑不住。

多放几台服务器后，又要决定每个用户请求交给哪台处理。

负载均衡器就是站在前面分配请求的组件。

2. 真正要背什么

这张卡真正要背 5 件事。

负载均衡器把请求分发到多台后端服务器。
它提高 availability（可用性）和 performance（性能）。
它会做 health check（健康检查），避开故障服务器。
它可能支持 session persistence（会话保持），让同一用户继续找同一后端。
它不是主要用来拦 SQL 注入或 XSS 的，那个更像 WAF。

3. 关键词拆解

Load Balancer：负载均衡器。

Backend Server：后端服务器。

Pool：服务器池，一组可接请求的服务器。

Health Check：健康检查，检查后端是否可用。

Round Robin：轮询，按顺序分配请求。

Session Persistence / Sticky Session：会话保持，让用户持续落到同一后端。

Layer 4 Load Balancing：四层负载均衡，主要看 IP、端口和传输层连接。

Layer 7 Load Balancing：七层负载均衡，可以按 HTTP URL、Header（头部）等应用层信息分流。

4. 候选池

候选 1：取号分流台。

保留。它能表达请求来了以后分给不同窗口。

候选 2：服务器裁判。

淘汰。裁判感太抽象，没有分流画面。

候选 3：别让一台累死。

保留但不做主记法。它能解释目的，但不够像术语。

讨论结论：主记法用“取号分流台”。用户请求像排队办事，负载均衡器把人分到不同窗口。

5. 最终主记法

Load Balancer = 取号分流台。

记完整句：客户请求一起涌来，取号台看哪个窗口空、哪个窗口坏了、同一个客户之前在哪个窗口办过事，再把请求分到合适服务器。

翻回知识点就是：Load Balancer 是把客户端请求分配给多个后端实例，以提升性能、可用性和故障恢复能力的组件。

6. 小白故事

小林网店做活动，网站访问量突然上来。

如果所有客户都打到一台 Web 服务器，这台服务器很快会卡住。

技术团队加了三台 Web 服务器。

负载均衡器站在前面。

它把一部分请求给服务器 A。

一部分给服务器 B。

一部分给服务器 C。

如果服务器 B 健康检查失败，负载均衡器就暂时不再分给它。

客户看到的是同一个网站，后面其实有一组服务器在分担。

7. 回到考题

题目说 load balancing（负载均衡）、distribute traffic（分发流量），先想 Load Balancer（负载均衡器）。

题目说 multiple backend servers（多个后端服务器）、server pool（服务器池），先想负载均衡。

题目说 Layer 4（四层）按 IP/端口分发，或 Layer 7（七层）按 HTTP 内容分发，也可能是负载均衡器。

题目说 health check（健康检查）、failover（故障切换）、high availability（高可用），也可能看负载均衡器。

题目说 global users need content closer to them（全球用户需要更近内容），更可能是 CDN。

题目说拦 SQL 注入、XSS，优先看 WAF。

8. 别混

Load Balancer：把请求分给多台后端。

CDN：把内容缓存到离用户更近的边缘节点。

WAF：检查 Web 应用攻击。

Reverse Proxy：替服务器接请求，很多负载均衡器也能做反向代理能力。

最容易错的地方：负载均衡主要解决性能和可用性，不是主要解决应用漏洞。

记忆卡：CDN / WAF / 内容分发网络与 Web 应用防火墙

CDN 和 WAF 经常一起出现在云服务里，但考试不能混。

小白先懂一句话：CDN 让内容离用户更近，解决“访问慢、源站压力大”；WAF 站在 Web 应用前面，解决“请求里有没有 Web 攻击”。

1. 先懂一句话

CDN = Content Delivery Network（内容分发网络）。

WAF = Web Application Firewall（Web 应用防火墙）。

CDN 的重点是 delivery（分发）。

WAF 的重点是 application firewall（应用防火墙）。

一个偏加速和分担流量。

一个偏检查 Web 请求和拦应用层攻击。

2. 真正要背什么

这张卡真正要背 6 件事。

CDN 把静态内容或可缓存内容放到多个边缘节点。
CDN 让用户从更近的节点拿内容，降低 latency（延迟）。
CDN 也能减轻源站压力，提高可用性。
WAF 保护 Web 应用，检查 HTTP/HTTPS 请求。
WAF 常拦 SQL injection（SQL 注入）、XSS（跨站脚本）、恶意请求模式。
CDN 不等于 WAF，WAF 也不等于修好代码根因。

3. 关键词拆解

CDN：Content Delivery Network（内容分发网络）。

Edge Node：边缘节点，离用户更近的缓存节点。

Cache：缓存，把内容先存起来。

Latency：延迟，用户等响应的时间。

Origin Server：源站，真正托管原始内容的服务器。

WAF：Web Application Firewall（Web 应用防火墙）。

SQL Injection：SQL 注入。

XSS：Cross-Site Scripting（跨站脚本）。

4. 候选池

候选 1：CDN = 内容分店。

保留。内容开到离用户更近的分店。

候选 2：WAF = 网应用防线。

保留。WAF 的 W 是 Web，A 是 Application，F 是 Firewall。

候选 3：CDN 就是负载均衡器。

淘汰。CDN 有地理分发和缓存，负载均衡器更多是在后端服务器之间分流。

讨论结论：主记法用“CDN 内容分店，WAF Web 门诊检查”。CDN 负责离用户近，WAF 负责检查 Web 请求有没有病灶。

5. 最终主记法

CDN = 内容分店。

WAF = Web 门诊检查。

记完整句：CDN 把图片、视频、脚本这些内容开到离用户更近的分店，让用户少走路；WAF 站在网站前面检查请求，拦 SQL 注入、XSS 这类 Web 攻击。

翻回知识点就是：CDN 是分布式内容交付和缓存网络，WAF 是面向 Web 应用层请求的防护控制。

6. 小白故事

小林网店全国都有客户。

所有图片都从上海源站发，北方和海外用户打开很慢。

于是公司用了 CDN。

热销商品图片被缓存到多个边缘节点。

用户访问时，从离自己近的节点拿图片，源站压力也下降。

后来网站又遇到恶意请求。

有人在搜索框里塞 SQL 注入字符串。

也有人往评论区塞脚本。

这时 CDN 的“内容分店”不是核心答案。

要让 WAF 站到 Web 应用前面，检查 HTTP 请求，把常见 Web 攻击挡下来。

7. 回到考题

题目说 CDN、Content Delivery Network（内容分发网络），先想内容缓存、边缘节点、降低延迟、减轻源站压力。

题目说 geographically distributed content（地理分布内容）、edge servers（边缘服务器）、low latency（低延迟），先想 CDN。

题目说 WAF、Web Application Firewall（Web 应用防火墙），先想保护 Web 应用。

题目说 SQL injection（SQL 注入）、XSS（跨站脚本）、HTTP application layer attack（HTTP 应用层攻击），常看 WAF。

题目说把请求分到多台后端服务器，可能是 Load Balancer（负载均衡器）。

8. 别混

CDN：内容放近，加速和分担源站压力。

Load Balancer：在后端服务器之间分配请求。

WAF：检查 Web 应用层攻击。

Firewall：更通用的网络流量控制。

Secure Coding：从代码根因上修漏洞。

最容易错的地方：WAF 可以挡一部分攻击，但不是代码修复的替代品。CDN 可以减轻访问压力，但不是专门用来拦 SQL 注入。

记忆卡：DMZ / Demilitarized Zone / 隔离区

DMZ 这张卡不要背成“外网和内网之间随便放一块地方”。

小白先懂一句话：DMZ 是给外部用户访问的中间区。网站可以放在这里，但核心数据库不要直接放在这里。

1. 先懂一句话

DMZ = Demilitarized Zone（隔离区 / 非军事区）。

它在互联网和内网之间。

现实里，公司网站要给客户访问。

客户在外网。

网站后面又可能要查订单、库存、数据库。

如果把网站直接放进内网，外部攻击一打中网站，就可能更容易碰到内部核心系统。

所以把对外服务放到 DMZ。

DMZ 像接待厅：客户能进接待厅，但不能直接进财务室和库房。

2. 真正要背什么

这张卡真正要背 5 件事。

DMZ 放对外服务，比如 Web、邮件网关、外部 DNS、反向代理。
DMZ 介于 Internet（互联网）和 internal network（内部网络）之间。
外网可以访问 DMZ 的指定服务。
DMZ 到内网要严格限制，只允许必要流量。
VPN concentrator（VPN 集中器）或远程接入入口也可能放在 DMZ。
DMZ 是隔离设计，不是数据加密，也不是备份。

3. 关键词拆解

DMZ：Demilitarized Zone（隔离区 / 非军事区）。

Public-facing Server：面向公网的服务器。

Internal Network：内部网络。

Screened Subnet：受屏蔽子网，常用来描述 DMZ 设计。

Three-legged Firewall：三接口防火墙，一个接外网，一个接内网，一个接 DMZ。

4. 候选池

候选 1：公司接待厅。

保留。客户能进接待厅，不能进核心办公室。

候选 2：门口缓冲间。

保留但不做主记法。它能表达中间区，但画面不如接待厅。

候选 3：内网仓库。

淘汰。DMZ 不是核心内网。

讨论结论：主记法用“公司接待厅”。它能让小白记住对外服务可以接待外人，但不能让外人直接进内部。

5. 最终主记法

DMZ = 公司接待厅。

记完整句：客户能进接待厅找前台，不能绕过前台进财务室；公网能访问 DMZ 的网站，不能直接访问内网数据库。

翻回知识点就是：DMZ 是位于公网和内网之间的隔离网络，用于放置必须对外暴露的服务，并通过防火墙限制内外访问路径。

6. 小白故事

小林网店要让客户访问官网。

官网必须能从互联网打开。

但订单数据库不能直接暴露给互联网。

安全同事把官网放进 DMZ。

客户访问 DMZ 里的 Web 服务器。

Web 服务器只通过指定端口访问内网订单服务。

客户不能直接连数据库。

如果官网被攻击，攻击者先落在接待厅，不能顺手打开所有内部房间。

7. 回到考题

题目说 DMZ、Demilitarized Zone（隔离区 / 非军事区），先想公网和内网之间的中间区。

题目说 public-facing web server（面向公网的 Web 服务器）放在哪里，常看 DMZ。

题目说 external DNS、mail relay（邮件中继）、reverse proxy（反向代理），也可能放 DMZ。

题目说 VPN concentrator（VPN 集中器）作为外部用户进入公司的入口，也可能放在 DMZ。

题目说保护内部数据库不要直接暴露，常看 DMZ 加防火墙规则。

题目问加密传输，不是 DMZ，可能看 TLS 或 VPN。

8. 别混

DMZ：放对外服务的隔离区。

VLAN：交换机上的逻辑局域网。

Subnet：IP 地址范围上的子网。

Firewall Rules：控制 DMZ 和内外网之间哪些流量能过。

最容易错的地方：DMZ 不是“最安全的地方”，它是可暴露服务的缓冲区。核心数据不要因为有 DMZ 就直接放进去。

记忆卡：VLAN / Virtual LAN / 虚拟局域网

VLAN 这张卡不要只背“虚拟局域网”。

小白先懂一句话：VLAN 是在同一批交换机上，把设备逻辑分成不同局域网。人坐在同一办公室，也可以像在不同网络房间里。

1. 先懂一句话

VLAN = Virtual LAN（虚拟局域网）。

Virtual 是虚拟。

LAN 是 Local Area Network（局域网）。

现实里，客服、财务、仓库可能都插在同一台交换机上。

如果没有隔离，它们可能在同一个广播域里。

VLAN 让交换机逻辑上分区。

同一台交换机上，客服可以是 VLAN 10，财务可以是 VLAN 20，访客 Wi-Fi 可以是 VLAN 30。

2. 真正要背什么

这张卡真正要背 5 件事。

VLAN 是二层逻辑隔离，常在交换机上实现。
VLAN 可以减少 broadcast domain（广播域）。
不同 VLAN 之间通信通常要经过 router（路由器）或 Layer 3 switch（三层交换机）。
Trunk（干道链路）可以在交换机之间携带多个 VLAN。
802.1Q 是常见 VLAN 标记标准。

3. 关键词拆解

VLAN：Virtual LAN（虚拟局域网）。

Broadcast Domain：广播域，广播消息能传到的范围。

Trunk Port：干道端口，承载多个 VLAN。

Access Port：接入口端口，通常只属于一个 VLAN。

802.1Q：VLAN 标记标准。

Inter-VLAN Routing：VLAN 间路由，不同 VLAN 互通需要路由。

4. 候选池

候选 1：同一栋楼里的透明隔间。

保留。设备在同一交换机环境里，但逻辑上隔开。

候选 2：部门颜色贴纸。

保留但不做主记法。能记 VLAN 标记，但不够强调隔离。

候选 3：物理拉新网线。

淘汰。VLAN 的价值就是不用物理拆成很多网络。

讨论结论：主记法用“同楼透明隔间”。同一栋楼不等于同一个房间，同一台交换机也不等于同一个 VLAN。

5. 最终主记法

VLAN = 同楼透明隔间。

记完整句：客服、财务、访客都在同一栋楼，但透明隔间把广播和访问范围隔开；要跨隔间说话，就要走路由或三层交换。

翻回知识点就是：VLAN 是在交换网络中进行逻辑二层分段的方法，用来隔离广播域和组织网络区域。

6. 小白故事

小林网店办公室只有一排交换机。

客服电脑、财务电脑、仓库电脑都插在上面。

安全同事没有重新拉三套物理网络。

他把客服放 VLAN 10。

财务放 VLAN 20。

访客无线放 VLAN 30。

访客的广播不会跑进财务。

客服要访问财务系统，也不能靠同一台交换机直接过去，而要经过路由和防火墙规则。

7. 回到考题

题目说 VLAN、Virtual LAN（虚拟局域网），先想交换机上的逻辑隔离。

题目说 reduce broadcast domain（减少广播域），先想 VLAN。

题目说 802.1Q tagging（802.1Q 标记），先想 VLAN trunk。

题目说 inter-VLAN routing（VLAN 间路由），说明不同 VLAN 之间要三层转发。

题目说 port security（端口安全），重点可能是限制交换机端口能接哪些 MAC 地址，不一定是 VLAN。

题目说把公网 Web 服务器放中间区，可能是 DMZ，不是 VLAN 本身。

8. 别混

VLAN：二层逻辑隔离。

Subnet：三层 IP 地址范围。

DMZ：公网和内网之间的隔离区。

Network Segmentation：分段设计目标，VLAN 是实现方式之一。

最容易错的地方：VLAN 不是万能安全边界。不同 VLAN 之间如果路由和规则放太宽，还是会互通。

记忆卡：Subnetting / 子网划分

Subnetting 这张卡不要背成“IP 地址后面多了斜杠”。

小白先懂一句话：子网划分是在 IP 地址层面切块。网络部分相同的设备像住在同一片街区，不同街区之间要找路由器转发。

1. 先懂一句话

Subnetting = 子网划分。

Subnet = 子网。

IP 地址不是只表示一台机器。

它还要告诉网络：这一台机器属于哪个网络块。

Subnet Mask（子网掩码）或 CIDR（无类别域间路由）写法，比如 /24，就是在说明前多少位是网络部分。

2. 真正要背什么

这张卡真正要背 5 件事。

子网把 IP 地址分成 network portion（网络部分）和 host portion（主机部分）。
同一子网的设备通常可以直接二层通信。
不同子网之间通信要经过 router（路由器）或三层设备。
子网划分能控制地址范围、广播范围和路由边界。
Private IP（私有地址）常见有 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。

3. 关键词拆解

Subnet：子网。

Subnet Mask：子网掩码。

CIDR：Classless Inter-Domain Routing（无类别域间路由），常见写法如 192.168.1.0/24。

Network Portion：网络部分。

Host Portion：主机部分。

Default Gateway：默认网关，离开本子网时先找它。

4. 候选池

候选 1：IP 街区切块。

保留。它能把“同一街区直接找，不同街区找路由”讲清楚。

候选 2：门牌号码分片。

保留但不做主记法。能记地址，但不够强调网络和主机部分。

候选 3：子网就是 VLAN。

淘汰。这是常见混淆。

讨论结论：主记法用“IP 街区切块”。IP 先看属于哪片街区，再看街区里的哪一户。

5. 最终主记法

Subnetting = IP 街区切块。

记完整句：IP 地址前半段像街区名，后半段像门牌号；同一街区能直接找，不同街区要去路由器那里问路。

翻回知识点就是：Subnetting 是通过子网掩码或 CIDR 把 IP 地址空间划成多个网络范围，用于地址管理、广播控制和路由。

6. 小白故事

小林网店有客服区、仓库区和服务器区。

客服用 192.168.10.0/24。

仓库用 192.168.20.0/24。

服务器用 192.168.30.0/24。

客服电脑找同子网里的打印机，可以直接通信。

客服电脑要访问服务器区，就要把流量交给默认网关。

路由器再决定能不能转过去。

如果防火墙规则不允许，地址知道也过不去。

7. 回到考题

题目说 subnet mask（子网掩码）、CIDR、/24、/16，先想 Subnetting（子网划分）。

题目说 network portion（网络部分）和 host portion（主机部分），先想子网。

题目说不同子网之间通信，先想 router（路由器）或 Layer 3 switch（三层交换机）。

题目说 private IP address（私有 IP 地址），记 10/8、172.16/12、192.168/16。

题目想真正限制访问时，还要看 ACL（访问控制列表）或 firewall rules（防火墙规则）。子网只是地址和路由边界，不自动等于禁止访问。

题目说二层逻辑隔离，可能是 VLAN。

8. 别混

Subnet：三层 IP 地址范围。

VLAN：二层逻辑隔离。

Router：不同子网之间转发。

NAT：把地址转换成另一个地址。

最容易错的地方：VLAN 和子网常一起用，但不是同一个概念。VLAN 管二层隔离，子网管三层地址范围。

记忆卡：NAT / PAT / 网络地址转换与端口地址转换

NAT 和 PAT 这张卡不要背成“安全防护”。

小白先懂一句话：NAT / PAT 是把内部地址翻译成外部地址。它解决地址怎么出去的问题，不等于真正的访问控制。

1. 先懂一句话

NAT = Network Address Translation（网络地址转换）。

PAT = Port Address Translation（端口地址转换）。

公司内部可能有很多私有 IP，比如 192.168.1.10。

这个地址在互联网上不能直接路由。

出去访问网站时，边界设备把内部私有地址换成公网地址。

如果很多内部设备共用一个公网地址，就用端口号区分谁是谁，这就是 PAT。

2. 真正要背什么

这张卡真正要背 5 件事。

NAT 改 IP 地址映射。
PAT 用端口号让多台内部设备共享一个公网地址。
NAT 常和 private IP（私有地址）一起出现。
NAT 会隐藏内部地址结构，但不等于防火墙。
IPv6 地址空间很大，设计上减少了对 NAT 的依赖。

3. 关键词拆解

NAT：Network Address Translation（网络地址转换）。

PAT：Port Address Translation（端口地址转换），也叫 NAT overload。

Private IP：私有 IP，不能直接在公网路由。

Public IP：公网 IP，可在互联网路由。

One-to-One NAT：一对一地址转换。

Many-to-One PAT：多对一端口转换。

4. 候选池

候选 1：前台换门牌。

保留。内部门牌出门时换成公司对外门牌。

候选 2：多人共用一个外线号码。

保留。特别贴 PAT，靠分机号区分。

候选 3：NAT 就是防火墙。

淘汰。NAT 可能带来隐藏效果，但不是完整安全控制。

讨论结论：主记法用“前台换门牌，PAT 加分机号”。这能把 NAT 和 PAT 分开。

5. 最终主记法

NAT = 前台换门牌。

PAT = 同一个外线号码加分机号。

记完整句：内部电脑出门时，前台把内部门牌换成公司公网门牌；很多电脑共用一个公网门牌时，再用端口号当分机号分清是谁。

翻回知识点就是：NAT / PAT 是边界设备进行地址和端口映射的机制，用于私有地址访问公网和节省公网地址。

6. 小白故事

小林网店办公室有 100 台电脑。

它们都用 192.168 开头的私有地址。

这些地址不能直接在互联网跑。

员工访问网站时，出口设备把 192.168.10.25 换成公司的公网地址。

另一个员工也用同一个公网地址出去。

设备用不同端口号记账：这个连接是客服 A 的，那个连接是财务 B 的。

这就是 PAT。

但如果外面有恶意请求，仍然要靠防火墙规则判断能不能进。

7. 回到考题

题目说 NAT、Network Address Translation（网络地址转换），先想地址映射。

题目说 PAT、Port Address Translation（端口地址转换），先想多个内部设备共用一个公网 IP。

题目说 private IP to public IP（私有地址转公网地址），先想 NAT。

题目说 many internal hosts share one public address（多台内部主机共享一个公网地址），先想 PAT。

题目说阻止不允许的流量进入，优先看 firewall（防火墙），不要只选 NAT。

8. 别混

NAT：改地址。

PAT：改地址加端口。

Firewall：按规则允许或拒绝流量。

Proxy：替客户端或服务器转发应用请求。

最容易错的地方：NAT 不是机密性控制，也不是访问控制清单。它主要是地址转换。

记忆卡：DNS / DNSSEC / 域名系统与 DNS 安全扩展

DNS 和 DNSSEC 这张卡不要背成“一个把网址变 IP，一个更安全”。

小白先懂一句话：DNS 像互联网通讯录，把域名查成 IP；DNSSEC 给查询结果加数字签名，让你知道答案没被冒充或篡改，但它不负责把内容加密。

1. 先懂一句话

DNS = Domain Name System（域名系统）。

DNSSEC = Domain Name System Security Extensions（DNS 安全扩展）。

你输入 www.example.com。

电脑真正要连接的是 IP 地址。

DNS 负责把名字查成地址。

问题是，如果有人把通讯录改了，你以为去了真网站，实际可能被带到恶意地址。

DNSSEC 用数字签名验证 DNS 答案的真实性和完整性。

2. 真正要背什么

这张卡真正要背 6 件事。

DNS 把 domain name（域名）解析成 IP 地址。
常见记录有 A、AAAA、CNAME、MX、NS、PTR、TXT。
DNS 常用 UDP 53，也会用 TCP 53。
DNS poisoning（DNS 缓存中毒）会把正确域名指向错误地址。
DNSSEC 用数字签名保护 DNS 响应的真实性和完整性。
DNSSEC 不提供机密性，不隐藏你查了什么域名。

3. 关键词拆解

DNS：Domain Name System（域名系统）。

Resolver：解析器，帮客户端查询 DNS。

Authoritative DNS：权威 DNS，负责某个域名的正式答案。

A Record：域名到 IPv4 地址。

AAAA Record：域名到 IPv6 地址。

MX Record：邮件服务器记录。

DNSSEC：Domain Name System Security Extensions（DNS 安全扩展）。

Digital Signature：数字签名，用来验证答案没被改、来源可信。

4. 候选池

候选 1：DNS = 通讯录。

保留。域名查地址非常贴。

候选 2：DNSSEC = 通讯录盖章。

保留。签名不是加密，像盖章确认答案可信。

候选 3：DNSSEC = 隐身通讯录。

淘汰。DNSSEC 不提供隐私隐藏。

讨论结论：主记法用“DNS 通讯录，DNSSEC 盖章”。这能防止把 DNSSEC 误会成加密通道。

5. 最终主记法

DNS = 通讯录。

DNSSEC = 通讯录盖章。

记完整句：DNS 帮你按名字查地址；DNSSEC 检查这条地址是不是被正式盖章的答案，防止有人把通讯录偷偷改成假地址。

翻回知识点就是：DNS 负责域名解析，DNSSEC 通过数字签名为 DNS 响应提供认证和完整性保护。

6. 小白故事

客户要访问小林网店。

他输入 shop.example.com。

浏览器先问 DNS：这个名字对应哪个 IP？

正常情况下，DNS 返回小林网店服务器地址。

如果 DNS 缓存被污染，客户可能被带到假网站。

DNSSEC 像在 DNS 答案上盖章。

浏览器或解析器可以检查这个章是不是对的。

章对，说明答案没被篡改。

但别人仍可能知道你查了哪个域名，因为 DNSSEC 本身不是加密查询内容。

7. 回到考题

题目说 DNS、Domain Name System（域名系统），先想域名到 IP 的解析。

题目说 DNS poisoning（DNS 缓存中毒）或 spoofed DNS response（伪造 DNS 响应），先想错误地址被塞进解析结果。

题目说 DNSSEC，先想数字签名验证 DNS 答案。

题目问 DNSSEC 提供什么，答 authenticity（真实性）和 integrity（完整性），不是 confidentiality（机密性）。

题目问默认端口，DNS 常见是 53。

8. 别混

DNS：查名字到地址。

DNSSEC：给 DNS 答案做签名验证。

TLS：保护应用通信通道。

DoH / DoT：把 DNS 查询放进 HTTPS 或 TLS 保护中，更偏查询隐私和传输保护。

最容易错的地方：DNSSEC 不加密网页内容，也不隐藏 DNS 查询。它主要防 DNS 答案被伪造或篡改。

记忆卡：DHCP Security / DHCP 安全

DHCP Security 这张卡不要只背“自动分 IP”。

小白先懂一句话：DHCP 是自动发网络配置的柜台；DHCP 安全要防假柜台乱发地址、网关和 DNS，把设备带到错误方向。

1. 先懂一句话

DHCP = Dynamic Host Configuration Protocol（动态主机配置协议）。

电脑刚接入网络时，通常还不知道自己该用哪个 IP、网关、DNS。

DHCP 服务器会自动发这些配置。

问题是，如果网络里出现 rogue DHCP server（恶意或未授权 DHCP 服务器），它也能抢着发配置。

它可能把默认网关和 DNS 指到攻击者那里。

2. 真正要背什么

这张卡真正要背 5 件事。

DHCP 自动分配 IP 地址、子网掩码、默认网关、DNS 等配置。
DHCP 常见过程是 DORA：Discover、Offer、Request、Acknowledge。
Rogue DHCP server（未授权 DHCP 服务器）会发错误配置。
DHCP Snooping（DHCP 监听）在交换机上区分可信和不可信端口。
DHCP Snooping 可建立 IP-MAC 绑定表，帮助防 ARP 欺骗等攻击。

3. 关键词拆解

DHCP：Dynamic Host Configuration Protocol（动态主机配置协议）。

DORA：Discover（发现）、Offer（提供）、Request（请求）、Acknowledge（确认）。

Lease：租约，地址不是永久给你，而是租给你一段时间。

Default Gateway：默认网关。

Rogue DHCP：未授权 DHCP。

DHCP Snooping：DHCP 监听 / DHCP 防护。

Trusted Port：可信端口，允许接真正 DHCP 服务器。

APIPA：Automatic Private IP Addressing（自动私有 IP 地址分配），常见 169.254.x.x，说明客户端没拿到正常 DHCP 地址。

4. 候选池

候选 1：自动发门牌的柜台。

保留。IP 像门牌，DHCP 自动发。

候选 2：假柜台乱发门牌。

保留。它能解释 rogue DHCP。

候选 3：DHCP 是 DNS。

淘汰。DHCP 发配置，DNS 查名字。

讨论结论：主记法用“真柜台发门牌，假柜台会带错路”。这能把 DHCP 和 DHCP 安全合在一起。

5. 最终主记法

DHCP = 自动发门牌柜台。

DHCP Security = 防假柜台乱发门牌和路线。

记完整句：电脑进网络先去柜台领 IP、网关和 DNS；如果假柜台抢着发，电脑可能拿到错误路线，所以交换机要只信真正柜台。

翻回知识点就是：DHCP Security 是保护 DHCP 配置分发过程，防止未授权 DHCP 服务器和错误网络配置影响客户端。

6. 小白故事

小林网店新电脑接入办公室网络。

电脑开口问：谁给我 IP？

正常 DHCP 服务器回答：你用 192.168.10.50，网关是 192.168.10.1，DNS 是公司 DNS。

如果有员工私接了一个小路由器，它也可能回答。

电脑可能拿到错误网关。

流量被带到不该去的地方。

安全同事在交换机上开 DHCP Snooping。

只有连接真正 DHCP 服务器的端口被标为可信。

其他端口不许乱发 DHCP Offer。

7. 回到考题

题目说 DHCP、Dynamic Host Configuration Protocol（动态主机配置协议），先想自动分配 IP 配置。

题目说 rogue DHCP server（未授权 DHCP 服务器），先想假服务器发错配置。

题目说 DHCP Snooping（DHCP 监听），先想交换机只信可信 DHCP 端口。

题目说 DORA，记 Discover、Offer、Request、Acknowledge。

题目说客户端拿到 169.254.x.x，先想 DHCP 失败后自动分配 APIPA 地址。

题目问 DHCP snooping 在做什么，重点是限制哪些端口能发 DHCP 服务器响应，不是给用户做身份认证。

题目问 DNS 解析，不是 DHCP；DHCP 可以告诉你 DNS 服务器地址，但不负责解析域名。

8. 别混

DHCP：发 IP、网关、DNS 等网络配置。

DNS：把域名解析成 IP。

NAC：控制设备能不能进网络。

ARP：IP 到 MAC 的本地解析。

最容易错的地方：DHCP 安全不是“把地址写死”。考试常看 rogue DHCP 和 DHCP Snooping。

记忆卡：Wireless Security / 无线安全

Wireless Security 这张卡不要只背 Wi-Fi 密码。

小白先懂一句话：无线安全要保护的是空中的连接。因为信号会飘出墙外，所以要同时管加密、认证、接入点、信号范围和假热点。

1. 先懂一句话

Wireless Security = 无线安全。

有线网络要插线。

无线网络靠空中信号。

这带来一个问题：攻击者不一定要进办公室。

他可能站在楼下，就能看到无线网络名称，尝试连接、监听或伪造热点。

所以无线安全不能只靠“别让人知道名字”。

2. 真正要背什么

这张卡真正要背 6 件事。

无线要使用强加密和强认证，常看 WPA2 / WPA3。
企业无线常用 802.1X / EAP（可扩展认证协议）和 RADIUS。
要防 rogue AP（未授权接入点）和 evil twin（仿冒热点）。
SSID hiding（隐藏网络名）不是强安全控制。
MAC filtering（MAC 过滤）容易被绕过，不能当主保护。
WPS（Wi-Fi Protected Setup）方便配网，但可能带来弱点，企业环境通常要谨慎或禁用。
无线范围、天线方向、发射功率和访客网络也要管理。

3. 关键词拆解

SSID：Service Set Identifier（无线网络名称）。

AP：Access Point（接入点）。

Rogue AP：未授权接入点。

Evil Twin：仿冒热点，名字像真的，让用户连错。

War Driving / War Walking：开车或步行扫描周围无线网络。

Channel Overlap：信道重叠，信号强但性能差时常见。

WPS：Wi-Fi Protected Setup（Wi-Fi 保护设置），方便连接但可能被攻击。

802.1X：基于端口的网络访问控制，企业无线常用。

EAP：Extensible Authentication Protocol（可扩展认证协议）。

Site Survey：无线勘测，检查覆盖范围和信号情况。

4. 候选池

候选 1：空中门禁。

保留。无线不是线插在哪里，而是空中入口谁能进。

候选 2：藏 Wi-Fi 名字就安全。

淘汰。隐藏 SSID 不是可靠安全控制。

候选 3：楼外也能看到门牌。

保留但不做主记法。它能解释无线信号越界。

讨论结论：主记法用“空中门禁”。无线安全就是给看不见的空中入口做认证、加密和监控。

5. 最终主记法

Wireless Security = 空中门禁。

记完整句：无线信号会飘出去，门不在墙上，而在空中；要靠强认证、强加密、受管 AP、访客隔离和假热点检测来守门。

翻回知识点就是：Wireless Security 是保护无线接入、无线传输和无线基础设施，防止未授权接入、窃听、仿冒和错误配置。

6. 小白故事

小林网店办公室开了公司 Wi-Fi。

员工坐在屋里能连。

楼道里也能搜到这个名字。

如果只设置简单密码，外人可能猜出来。

如果有人私接一个同名热点，员工可能连到假的。

安全同事把员工无线改成 WPA3-Enterprise。

登录走 802.1X 和 RADIUS。

访客 Wi-Fi 放到单独 VLAN。

无线控制器监测未授权 AP。

信号功率也调到刚好覆盖办公区，不随便飘太远。

7. 回到考题

题目说 wireless security（无线安全），先想认证、加密、接入点和信号范围。

题目说 rogue AP（未授权接入点），先想未经批准的无线接入点。

题目说 evil twin（仿冒热点），先想假热点诱导用户连接。

题目说 war driving / war walking（扫描无线网络），先想无线网络暴露和勘测。

题目说信号强但无线性能差，可能看 channel overlap（信道重叠）。

题目说 WPS，记住它方便但不适合作为企业强安全依赖。

题目说 SSID hiding（隐藏 SSID）或 MAC filtering（MAC 过滤），不要当成强安全主方案。

题目说 enterprise wireless authentication（企业无线认证），常看 802.1X / EAP / RADIUS。

8. 别混

Wireless Security：无线接入整体安全。

WPA2 / WPA3：保护 Wi-Fi 的具体安全协议。

NAC：设备准入控制，可用于无线接入。

VPN：在网络上建加密隧道，不等于无线本身安全。

最容易错的地方：无线安全不是“密码复杂一点”就结束。考试更看企业认证、加密协议、未授权接入点和仿冒热点。

记忆卡：WPA2 / WPA3 / Wi-Fi 保护访问

WPA2 和 WPA3 这张卡不要只背“WPA3 更新”。

小白先懂一句话：WPA2 / WPA3 是保护 Wi-Fi 连接的安全协议。WPA2 主要记 AES-CCMP，WPA3 主要记更强握手、前向保密和更好的开放网络保护。

1. 先懂一句话

WPA = Wi-Fi Protected Access（Wi-Fi 保护访问）。

WPA2 是上一代主流安全协议。

WPA3 是更新的安全协议。

它们的核心任务是：让无线连接不容易被窃听、冒用和破解。

注意：WEP 已不安全。

早期 WPA 使用 TKIP，也不应当作为现代首选。

2. 真正要背什么

这张卡真正要背 6 件事。

WEP 不安全，考试看到 WEP 通常想到淘汰。
WPA2 使用 AES-CCMP，是长期主流。
WPA3-Personal 使用 SAE（同时认证等价）替代传统预共享密钥握手。
WPA3-Enterprise 可提供更强加密套件。
Personal 模式适合家庭或小场景，Enterprise 模式结合 802.1X / RADIUS。
WPA3 SAE 能降低离线猜密码风险，但弱密码和错误配置仍然危险。

3. 关键词拆解

WPA：Wi-Fi Protected Access（Wi-Fi 保护访问）。

WPA2：第二代 Wi-Fi 保护访问。

WPA3：第三代 Wi-Fi 保护访问。

AES：Advanced Encryption Standard（高级加密标准）。

CCMP：Counter Mode with CBC-MAC Protocol，WPA2 常见加密与完整性机制。

SAE：Simultaneous Authentication of Equals（同时认证等价），WPA3-Personal 的关键握手机制。

Enterprise：企业模式，常结合 802.1X 和 RADIUS。

PSK：Pre-Shared Key（预共享密钥），多人共用同一个无线密码时常见。

4. 候选池

候选 1：Wi-Fi 门锁升级。

保留。WEP 是旧锁，WPA2 是主流锁，WPA3 是新锁。

候选 2：密码写墙上。

淘汰。它只表达弱密码，不表达协议差异。

候选 3：家庭钥匙和公司门禁。

保留。Personal 和 Enterprise 区分很贴。

讨论结论：主记法用“Wi-Fi 门锁升级，家庭钥匙 vs 公司门禁”。它能同时记版本和模式。

5. 最终主记法

WPA2 / WPA3 = Wi-Fi 门锁升级。

记完整句：WEP 是旧锁别用，WPA2 是成熟主流锁，WPA3 是更新锁；家里常用共享密码，企业要走 802.1X 和 RADIUS 门禁。

翻回知识点就是：WPA2 / WPA3 是 Wi-Fi 安全协议，用于无线认证和加密；WPA3 提供比 WPA2 更强的认证和保护能力。

6. 小白故事

小林网店以前用老路由器。

无线还开着 WEP。

安全同事看到后立刻让它退役。

后来办公室改成 WPA2-Enterprise。

员工登录 Wi-Fi 时走个人账号和 RADIUS。

访客网络单独隔离。

再后来新设备支持 WPA3。

公司逐步开启 WPA3。

但安全同事仍然提醒：协议再强，也不能把共享密码设成 12345678。

7. 回到考题

题目说 WEP，通常想不安全、已淘汰。

题目说 WPA2，常看 AES-CCMP。

题目说 WPA3，常看 SAE、更强认证和更现代保护。

题目说 PSK（预共享密钥），要想到共享密码不利于逐用户追责。

题目说 enterprise Wi-Fi（企业无线），常看 802.1X / EAP / RADIUS。

题目说 personal Wi-Fi（个人模式），常看预共享密码或 SAE。

8. 别混

WEP：旧协议，不安全。

WPA / TKIP：过渡方案，不是现代首选。

WPA2：AES-CCMP，长期主流。

WPA3：更新协议，提供更强握手和保护。

802.1X：企业认证框架，不是加密算法本身。

最容易错的地方：WPA2/WPA3 是无线安全协议，不是 VPN，也不是 NAC。企业无线常把 WPA 和 802.1X/RADIUS 组合起来。

记忆卡：Bluetooth / Zigbee / 近距离与低功耗无线

Bluetooth 和 Zigbee 这张卡不要背成“都是无线”。

小白先懂一句话：Bluetooth 常见于个人近距离设备连接；Zigbee 常见于低功耗物联网和传感器网络，考试看到 Zigbee 保护流量，重点记 AES。

1. 先懂一句话

Bluetooth = 蓝牙，常用于短距离个人设备连接。

Zigbee = 一种低功耗无线网络技术，常用于 IoT（物联网）设备、传感器和自动化场景。

它们都不是普通公司 Wi-Fi。

蓝牙更像耳机、键盘、手机、笔记本之间的近距离连接。

Zigbee 更像很多低功耗小设备组成的传感器网络。

2. 真正要背什么

这张卡真正要背 6 件事。

Bluetooth 常见于 PAN（个人区域网）和短距离设备配对。
蓝牙风险包括弱 PIN、错误配对、可发现模式、未授权连接和数据泄露。
Zigbee 常见于低功耗 IoT 和传感器网络。
Zigbee 使用 AES 加密来保护数据流量。
无线小设备也要考虑密钥管理、固件更新和默认配置。
不要把 Bluetooth、Zigbee、Wi-Fi 当成同一种无线。

3. 关键词拆解

Bluetooth：蓝牙，短距离无线连接。

PAN：Personal Area Network（个人区域网）。

Pairing：配对，两个设备建立信任关系。

Discoverable Mode：可发现模式，设备能被其他设备搜索到。

Zigbee：低功耗无线网络技术。

IoT：Internet of Things（物联网）。

AES：Advanced Encryption Standard（高级加密标准），Zigbee 常用来保护流量。

4. 候选池

候选 1：蓝牙 = 近身配对。

保留。它能记住短距离和配对。

候选 2：Zigbee = 小设备省电网。

保留。它能记住低功耗 IoT 场景。

候选 3：Zigbee = 3DES。

淘汰。题库例子里 Zigbee 保护数据流量用 AES，不是 3DES。

讨论结论：主记法用“蓝牙近身配对，Zigbee 小设备省电网，保护流量看 AES”。

5. 最终主记法

Bluetooth = 近身配对。

Zigbee = 小设备省电网。

记完整句：蓝牙记短距离设备配对；Zigbee 记低功耗 IoT 传感器网络；题目问 Zigbee 流量保护，回到 AES。

翻回知识点就是：Bluetooth 面向近距离个人设备通信，Zigbee 面向低功耗物联网网络，Zigbee 使用 AES 机制保护数据流量。

6. 小白故事

小林网店仓库有两类无线设备。

客服桌上有蓝牙键盘和蓝牙耳机。

它们要配对，最好不要一直处在可发现模式。

仓库货架上有很多低功耗传感器。

这些传感器不需要像 Wi-Fi 那样高速传大文件。

它们更关心省电、稳定、能组成小设备网络。

这类场景常看到 Zigbee。

如果题目问 Zigbee 用什么保护数据流量，答案要回到 AES。

7. 回到考题

题目说 Bluetooth（蓝牙），先想短距离、配对、个人区域网。

题目说 pairing（配对）、discoverable mode（可发现模式）、weak PIN（弱 PIN），常看蓝牙安全。

题目说 Zigbee，先想低功耗 IoT 和传感器网络。

题目问 Zigbee 用什么安全机制保护数据流量，选 AES encryption（AES 加密）。

题目说企业 Wi-Fi、WPA2、WPA3，不要选 Bluetooth 或 Zigbee。

8. 别混

Bluetooth：短距离个人设备连接。

Zigbee：低功耗 IoT 网络。

Wi-Fi：无线局域网，常见 WPA2/WPA3。

NFC：近场通信，距离更短。

最容易错的地方：Zigbee 题不要凭“无线”去选 WPA，也不要选 3DES、ROT13 或 Blowfish。看到 Zigbee 数据流量保护，优先记 AES。

记忆卡：SDN / VPC / 软件定义网络与虚拟私有云

SDN 和 VPC 这张卡不要背成“都是云里的网络”。

小白先懂一句话：SDN 是把网络控制从设备里抽出来集中编排；VPC 是云里给你划出一块像私有网络的空间，让你自己分子网、路由和安全规则。

1. 先懂一句话

SDN = Software-Defined Networking（软件定义网络）。

VPC = Virtual Private Cloud（虚拟私有云）。

SDN 解决的是“网络怎么被集中控制和自动编排”。

VPC 解决的是“我在公有云里怎样拥有一块隔离的网络空间”。

一个偏网络控制方式。

一个偏云网络环境。

2. 真正要背什么

这张卡真正要背 6 件事。

SDN 把 control plane（控制平面）和 data plane（数据平面）分开。
控制器集中下发网络策略。
SDN 让网络更容易自动化、编排和动态调整。
VPC 是云里的逻辑隔离网络。
VPC 里常配置 subnets（子网）、route tables（路由表）、security groups（安全组）、network ACLs（网络 ACL）。
VPC 不是物理专线，也不是自动安全，仍要正确配置。

3. 关键词拆解

SDN：Software-Defined Networking（软件定义网络）。

Control Plane：控制平面，决定怎么转发。

Data Plane：数据平面，实际转发流量。

Controller：控制器，集中管理网络策略。

Northbound API：北向 API，给应用或编排系统调用控制器能力。

Southbound API：南向 API，控制器向网络设备下发指令。

VPC：Virtual Private Cloud（虚拟私有云）。

Security Group：安全组，云里常见的实例级访问规则。

Route Table：路由表，决定子网流量往哪里走。

4. 候选池

候选 1：SDN = 遥控交通灯。

保留。控制器统一指挥转发设备。

候选 2：VPC = 云里圈地。

保留。它能表达云中逻辑隔离网络。

候选 3：VPC = VPN。

淘汰。名字像，但不是同一个概念。

讨论结论：主记法用“SDN 遥控交通灯，VPC 云里圈地”。一个管控制方式，一个管云里网络空间。

5. 最终主记法

SDN = 遥控交通灯。

VPC = 云里圈地。

记完整句：SDN 让控制器统一改交通灯，决定流量怎么走；VPC 是云里给小林网店圈出一块网络地盘，里面再分子网、路由和安全规则。

翻回知识点就是：SDN 是通过软件控制器集中管理网络转发策略的架构，VPC 是公有云中逻辑隔离的私有网络环境。

6. 小白故事

小林网店把一部分系统迁到云上。

他先建一个 VPC。

这个 VPC 像云里的一块独立园区。

园区里分公开子网和私有子网。

公开子网放负载均衡器。

私有子网放应用和数据库。

安全组限制哪些端口能进。

路由表决定流量能不能出互联网。

另一边，网络团队用 SDN 控制器统一下发策略。

不用一台台手工改设备，而是由控制器集中编排流量路径。

7. 回到考题

题目说 SDN、Software-Defined Networking（软件定义网络），先想控制平面和数据平面分离。

题目说 centralized controller（集中控制器）、programmable network（可编程网络）、network automation（网络自动化），常看 SDN。

题目说 northbound API（北向 API），重点是应用或编排平台通过 API 调用 SDN 控制器。

题目说 spine-and-leaf（脊叶架构），常见于大型数据中心网络设计，可能和 SDN 数据中心题一起出现。

题目说 VPC、Virtual Private Cloud（虚拟私有云），先想云里的逻辑隔离网络。

题目说 cloud subnet（云子网）、route table（路由表）、security group（安全组），常看 VPC。

题目说加密隧道从外部连公司，可能是 VPN，不是 VPC。

8. 别混

SDN：软件集中控制网络。

VPC：云里的逻辑私有网络。

VPN：受保护隧道。

VLAN：本地交换网络的逻辑局域网。

最容易错的地方：VPC 里的“Private”不是说天然安全，只是逻辑隔离。安全仍然要靠子网、路由表、安全组、NACL 和身份权限正确配置。

记忆卡：ARP / ARP Spoofing / 地址解析协议与 ARP 欺骗

ARP 这张卡不要只背“IP 找 MAC”。

小白先懂一句话：ARP 是在本地网络里问“这个 IP 对应哪张网卡地址”；ARP 欺骗就是有人冒充回答，把流量骗到自己那里。

1. 先懂一句话

ARP = Address Resolution Protocol（地址解析协议）。

IP 地址像街道地址。

MAC 地址像本地网络里的座位号。

电脑要在同一个局域网里发数据，最终要知道对方的 MAC 地址。

如果缓存里没有，就广播问一句：谁是这个 IP？

真正的设备回答：这个 IP 是我，我的 MAC 是这个。

ARP 欺骗的问题在于：攻击者也可以抢答。

2. 真正要背什么

这张卡真正要背 6 件事。

ARP 用来把 IPv4 地址解析成 MAC 地址。
ARP 主要发生在本地二层网络里。
ARP request（ARP 请求）通常是广播。
ARP reply（ARP 响应）会更新 ARP cache（ARP 缓存）。
ARP spoofing / poisoning（ARP 欺骗 / 中毒）会塞入假的 IP-MAC 对应关系。
常见防护包括 static ARP（静态 ARP）、Dynamic ARP Inspection / DAI（动态 ARP 检测）、switch port security（交换机端口安全）。

3. 关键词拆解

ARP：Address Resolution Protocol（地址解析协议）。

ARP Cache：ARP 缓存，临时记住 IP 和 MAC 的对应关系。

ARP Request：ARP 请求，广播询问谁拥有某个 IP。

ARP Reply：ARP 响应，回答自己的 MAC 地址。

ARP Spoofing / ARP Poisoning：ARP 欺骗 / ARP 中毒，伪造对应关系。

DAI：Dynamic ARP Inspection（动态 ARP 检测），交换机检查 ARP 响应是否可信。

4. 候选池

候选 1：IP 问座位号。

保留。它能把 IP 和 MAC 的关系讲清楚。

候选 2：有人抢答错座位。

保留。它能解释 ARP 欺骗。

候选 3：ARP 是 DNS。

淘汰。DNS 查域名到 IP，ARP 查 IP 到 MAC，层次不同。

讨论结论：主记法用“IP 问座位号，骗子抢答”。先记正常 ARP，再记攻击怎么骗。

5. 最终主记法

ARP = IP 问座位号。

ARP Spoofing = 骗子抢答错座位。

记完整句：电脑在本地网络里喊“谁是 192.168.1.1”，本该由网关回答；攻击者抢着说“是我”，电脑就把流量送错人。

翻回知识点就是：ARP 将 IPv4 地址映射到 MAC 地址，ARP 欺骗通过伪造 ARP 响应污染缓存，常导致中间人攻击或流量劫持。

6. 小白故事

小林网店办公室里，客服电脑要访问网关。

它只知道网关 IP 是 192.168.10.1。

但它还要知道网关的 MAC 地址。

于是它在局域网里广播：谁是 192.168.10.1？

正常情况下，网关回答。

如果攻击者抢答：我是 192.168.10.1，我的 MAC 是 AA-BB-CC。

客服电脑信了这个假答案。

之后发往网关的流量先跑到攻击者机器上。

攻击者就可能窃听、篡改或转发流量。

7. 回到考题

题目说 ARP、Address Resolution Protocol（地址解析协议），先想 IP 到 MAC。

题目说 ARP cache poisoning（ARP 缓存中毒），先想假的 IP-MAC 映射。

题目说 man-in-the-middle / on-path attack（中间人攻击）发生在同一局域网里，可能看 ARP spoofing。

题目说 Dynamic ARP Inspection（动态 ARP 检测），先想交换机检查 ARP 响应。

题目说域名解析，别选 ARP，那是 DNS。

题目说伪造源 IP，可能是 IP spoofing（IP 欺骗），不一定是 ARP。

题目说挤爆交换机 CAM 表，让交换机像集线器一样泛洪，常看 MAC flooding（MAC 泛洪），不是 ARP 缓存中毒。

8. 别混

ARP：IP 到 MAC，本地网络。

DNS：域名到 IP。

DHCP：自动发 IP、网关、DNS。

MAC Spoofing：伪造 MAC 地址，不完全等于 ARP 欺骗。

IP Spoofing：伪造源 IP 地址，不等于骗别人改 ARP 缓存。

MAC Flooding：用大量假 MAC 挤爆交换机表，不等于骗 IP-MAC 对应关系。

最容易错的地方：ARP 不负责跨互联网找网站。它主要在本地链路里解决“这个 IP 对应哪张网卡地址”。

记忆卡：ICMP / Ping / Smurf / 网络控制消息、Ping 与 Smurf 攻击

ICMP 这张卡不要只背“ping 用的协议”。

小白先懂一句话：ICMP 是网络层的控制和报错消息。Ping 用它测试能不能到；Smurf 攻击用伪造源地址加广播，让一群机器一起回复受害者。

1. 先懂一句话

ICMP = Internet Control Message Protocol（互联网控制消息协议）。

它不主要传业务数据。

它更像网络里的提示条和报错条。

Ping 用 ICMP Echo Request（回显请求）和 Echo Reply（回显响应）测试连通性。

Smurf 攻击则滥用 ICMP 和广播地址。

攻击者伪造受害者 IP，向广播地址发 ICMP 请求。

很多设备一起回复受害者，流量被放大。

2. 真正要背什么

这张卡真正要背 5 件事。

ICMP 用于网络控制、错误报告和诊断。
Ping 用 ICMP Echo Request / Echo Reply 测连通。
Traceroute 也常和 ICMP 或 TTL 相关。
Smurf 是 ICMP 放大型拒绝服务攻击。
防护重点包括禁用定向广播、过滤伪造源地址和限制 ICMP 滥用。

3. 关键词拆解

ICMP：Internet Control Message Protocol（互联网控制消息协议）。

Ping：用 ICMP 测试目标是否可达。

Echo Request：回显请求。

Echo Reply：回显响应。

Smurf Attack：Smurf 攻击，伪造源地址向广播地址发 ICMP，放大回复压向受害者。

Directed Broadcast：定向广播，把包发给某个网络的广播地址。

4. 候选池

候选 1：网络喊话器。

保留。Ping 像喊一声，看对面回不回。

候选 2：广播喊错回信地址。

保留。它能解释 Smurf 的放大机制。

候选 3：ICMP 是端口。

淘汰。ICMP 不像 TCP/UDP 那样用端口。

讨论结论：主记法用“网络喊话器，Smurf 填错回信地址”。正常诊断和攻击滥用都能记住。

5. 最终主记法

ICMP = 网络喊话器。

Smurf = 广播喊话填受害者回信地址。

记完整句：Ping 是我喊你一声，你回我一声；Smurf 是攻击者对一群人喊，却把回信地址写成受害者，于是受害者被大量回复淹没。

翻回知识点就是：ICMP 提供网络控制和诊断消息，Smurf 通过伪造源地址和 ICMP 广播放大流量，造成拒绝服务。

6. 小白故事

小林网店网站打不开。

运维先 ping 服务器。

如果服务器回 Echo Reply，至少说明网络路径可能通。

后来攻击发生。

攻击者没有直接让一台机器打网站。

他把受害者网站 IP 写成源地址。

再向一个广播地址发 ICMP Echo Request。

广播网段里的很多机器都以为受害者在问，于是一起回受害者。

受害者收到大量无用回复，带宽被挤满。

这就是 Smurf 攻击的核心画面。

7. 回到考题

题目说 ICMP，先想网络控制消息、错误报告、Ping。

题目说 Ping，先想 Echo Request 和 Echo Reply。

题目说 Smurf，先想伪造受害者源 IP 加 ICMP 广播放大。

题目说 directed broadcast（定向广播），可能和 Smurf 防护有关。

题目说端口号，不要直接找 ICMP 端口，ICMP 不用 TCP/UDP 端口。

题目说 Ping flood（Ping 泛洪），是大量 ICMP 直接压目标。

题目说 Ping of Death（死亡之 Ping），是畸形或超大 ICMP 包的老式攻击。

8. 别混

ICMP：网络控制消息。

TCP：有连接、三次握手。

UDP：无连接，常用于 DNS 查询、视频、语音。

SYN Flood：滥用 TCP 握手，不是 ICMP。

Ping Flood：直接用大量 Ping 压目标。

Ping of Death：用异常 ICMP 包触发崩溃，和 Smurf 的广播放大不同。

最容易错的地方：Ping 可以是诊断工具，也可能被限制；但不要把所有 DoS 都叫 Smurf。Smurf 的题眼是 ICMP、广播、伪造源地址、流量放大。

记忆卡：TCP Three-Way Handshake / TCP 三次握手

TCP 三次握手这张卡不要只背 SYN、SYN-ACK、ACK。

小白先懂一句话：三次握手是在正式传数据前，双方先确认“我想连、我听到了、我也能听到你”，连接才算建立。

1. 先懂一句话

TCP = Transmission Control Protocol（传输控制协议）。

TCP 是面向连接的协议。

连接不是凭空出现的。

客户端先发 SYN，表示我想建立连接。

服务器回 SYN-ACK，表示我收到你的请求，我也准备好了。

客户端再回 ACK，表示我收到了你的确认。

三步完成后，双方才开始正式传数据。

2. 真正要背什么

这张卡真正要背 5 件事。

三次握手顺序是 SYN、SYN-ACK、ACK。
SYN 表示请求建立连接。
SYN-ACK 表示同意并确认。
ACK 表示最终确认。
SYN Flood 正是滥用前两步，让服务器保持很多半开连接。

3. 关键词拆解

TCP：Transmission Control Protocol（传输控制协议）。

SYN：Synchronize（同步），请求建立连接。

ACK：Acknowledgment（确认）。

SYN-ACK：服务器同时同步和确认。

Half-Open Connection：半开连接，握手还没完成。

Sequence Number：序列号，TCP 用来跟踪数据顺序。

4. 候选池

候选 1：三句开场白。

保留。三次握手就是正式聊天前确认双方在线。

候选 2：门口三问三答。

保留但不做主记法。它能表达连接建立，但略重。

候选 3：TCP 只发一次就连上。

淘汰。TCP 需要握手。

讨论结论：主记法用“三句开场白”。小白可以直接背出三句：我想连、我听到你、我也听到你。

5. 最终主记法

TCP Three-Way Handshake = 三句开场白。

记完整句：客户端说“我想连”，服务器说“我听到了，我也准备好”，客户端说“我也听到了”，然后才开始正式传数据。

翻回知识点就是：TCP 三次握手用 SYN、SYN-ACK、ACK 建立可靠连接，为后续数据传输做准备。

6. 小白故事

小林网店客户打开网页。

浏览器要和服务器建立 TCP 连接。

浏览器先敲门：SYN，我想连。

服务器开门回应：SYN-ACK，我收到，你也可以连我。

浏览器点头：ACK，我确认收到。

这三步完成，后面的 HTTP 或 HTTPS 数据才正式开始传。

如果第三步迟迟不来，服务器就会暂时挂着一个半开连接等对方。

7. 回到考题

题目说 TCP three-way handshake（三次握手），先想 SYN、SYN-ACK、ACK。

题目问 half-open connection（半开连接），先想握手未完成。

题目问 TCP SYN scan（SYN 扫描），它只做部分握手，又叫 half-open scanning（半开扫描）。

题目说 UDP，不要套三次握手，UDP 是无连接。

题目说 SYN Flood，先回到握手被滥用。

8. 别混

TCP：面向连接，有三次握手。

UDP：无连接，没有三次握手。

TLS Handshake：TLS 建安全会话，和 TCP 三次握手不是同一层。

SYN Flood：攻击者滥用 TCP 握手。

最容易错的地方：三次握手不是加密过程。它是建立 TCP 连接，不是证明网站可信，也不是保护内容机密性。

记忆卡：SYN Flood / SYN 泛洪

SYN Flood 这张卡不要只背“很多 SYN 包”。

小白先懂一句话：SYN Flood 是攻击者疯狂敲门但不进门，让服务器一直留座等人，直到真正客户没座位。

1. 先懂一句话

SYN Flood = SYN 泛洪。

它利用 TCP 三次握手的第一步。

攻击者发大量 SYN。

服务器收到后回 SYN-ACK，并为每个请求保留一点资源，等待最后的 ACK。

攻击者不回 ACK。

服务器就堆着大量半开连接。

资源被耗尽后，正常用户连接不上。

2. 真正要背什么

这张卡真正要背 5 件事。

SYN Flood 是拒绝服务攻击。
它滥用 TCP 三次握手。
关键现象是大量 half-open connections（半开连接）。
目标是耗尽服务器连接队列或资源。
防护可能包括 SYN cookies、调整队列、限速、过滤伪造源地址、DDoS 防护。

3. 关键词拆解

SYN Flood：SYN 泛洪。

DoS：Denial of Service（拒绝服务）。

DDoS：Distributed Denial of Service（分布式拒绝服务）。

Half-Open Connection：半开连接。

SYN Queue：SYN 队列，服务器等待握手完成的队列。

SYN Cookies：一种减轻 SYN Flood 的机制，减少服务器为未完成连接保存状态。

4. 候选池

候选 1：疯狂敲门不进门。

保留。它能解释半开连接和资源占用。

候选 2：把门锁打坏。

淘汰。SYN Flood 不是直接破坏门锁，而是占满等待位置。

候选 3：预约占座不来。

保留但不做主记法。它能解释资源耗尽，但不如敲门贴 TCP 握手。

讨论结论：主记法用“疯狂敲门不进门”。SYN 是敲门，ACK 不回来就是不进门。

5. 最终主记法

SYN Flood = 疯狂敲门不进门。

记完整句：攻击者不断说“我要连接”，服务器不断留位置等最后确认，但攻击者不回来确认，座位被占满，真正客户进不来。

翻回知识点就是：SYN Flood 是利用 TCP 三次握手制造大量半开连接，耗尽目标资源的拒绝服务攻击。

6. 小白故事

小林网店促销当天，服务器突然有大量连接请求。

日志里看到很多 SYN。

服务器也回了 SYN-ACK。

但最后的 ACK 很少回来。

服务器像前台一样给每个请求留了位置。

位置越留越多。

真正客户来下单时，服务器已经忙着等那些永远不会回来的连接。

网站开始变慢，甚至打不开。

7. 回到考题

题目说 SYN Flood，先想 TCP 三次握手被滥用。

题目说 many half-open connections（大量半开连接），先想 SYN Flood。

题目说 server connection queue exhausted（连接队列耗尽），先想 SYN Flood。

题目说 SYN cookies，常看 SYN Flood 防护。

题目说 ICMP 广播放大，那是 Smurf，不是 SYN Flood。

8. 别混

SYN Flood：TCP 半开连接耗资源。

Smurf：ICMP 广播放大。

UDP Flood：大量 UDP 包压垮服务或带宽。

Port Scan：探测端口状态，不一定是拒绝服务。

最容易错的地方：SYN Flood 的关键不是“攻击者登录失败”，而是握手不完成导致服务器资源被占住。

记忆卡：Port Scan / 端口扫描

Port Scan 这张卡不要背成“扫描就是攻击成功”。

小白先懂一句话：端口扫描是在问一台机器哪些门开着、哪些门关着、哪些门被防火墙挡住。它常是攻击前侦察，也常是安全测试的一部分。

1. 先懂一句话

Port = 端口。

Scan = 扫描。

服务器上不同服务监听不同端口。

Web 可能在 80 或 443。

SSH 可能在 22。

数据库可能在 3306 或 1433。

端口扫描就是系统性地探测这些端口的状态。

2. 真正要背什么

这张卡真正要背 6 件事。

Port Scan 用来发现开放端口和暴露服务。
Nmap 是常见端口扫描工具。
Open 表示端口有服务在接受连接。
Closed 表示端口可达，但没有服务监听。
Filtered 表示防火墙或过滤设备阻止判断。
TCP SYN scan 只完成部分握手，也叫 half-open scan。

3. 关键词拆解

Port Scan：端口扫描。

Network Discovery Scan：网络发现扫描。

Nmap：常见网络扫描工具。

Open：开放，端口上有服务在接。

Closed：关闭，端口可达但没有服务监听。

Filtered：被过滤，扫描器无法判断开还是关。

Unfiltered：未过滤，端口可达，但扫描器未必知道服务开没开。

Open|Filtered：可能开放，也可能被过滤，扫描器判断不出来。

Xmas Scan：圣诞树扫描，设置 FIN、PSH、URG 等标志探测端口。

4. 候选池

候选 1：挨个敲门看哪扇开。

保留。端口就是门，扫描就是挨个试。

候选 2：地图侦察。

保留但不做主记法。它能表达攻击前侦察，但不够具体。

候选 3：扫描等于修复。

淘汰。扫描只是发现，不负责修。

讨论结论：主记法用“挨个敲门看哪扇开”。看到 open / closed / filtered 就能接回来。

5. 最终主记法

Port Scan = 挨个敲门看哪扇开。

记完整句：扫描器按端口一个个敲，开门说明有服务，没人开但门能碰到是 closed，门前有防火墙挡着就可能是 filtered。

翻回知识点就是：Port Scan 是探测目标主机开放端口、服务暴露面和过滤状态的网络发现技术。

6. 小白故事

小林网店安全同事要检查一台新服务器。

他用 Nmap 扫描。

结果显示 443 open。

这说明 HTTPS 服务正在接受连接。

22 filtered。

这说明 SSH 可能被防火墙挡住，扫描器判断不了真实状态。

3306 closed。

这说明数据库端口可达，但没有服务在监听。

安全同事不是因为扫描就完成修复。

他还要判断这些端口是否应该暴露。

7. 回到考题

题目说 port scan（端口扫描）、Nmap，先想发现开放端口和服务。

题目说 TCP SYN scan，先想 half-open scan（半开扫描）。

题目说 TCP connect scan，先想完整建立连接。

题目说 ACK scan，常用于探测防火墙规则。

题目说 Xmas scan，记 FIN、PSH、URG 标志像一棵亮起来的树。

题目说 open|filtered，不是同时“又开又关”，而是扫描结果不确定：可能有服务，也可能被过滤。

题目问扫描 SQL 注入，端口扫描不够，常看 web vulnerability scanner（Web 漏洞扫描器）。

8. 别混

Port Scan：找端口和服务。

Vulnerability Scan：找已知漏洞。

Penetration Test：验证能不能真实利用。

SYN Flood：大量 SYN 消耗资源。

最容易错的地方：端口扫描可以是合法安全测试，也可以是攻击前侦察。题目要看角色、授权和目的。

记忆卡：IDS / IPS 深化 / 入侵检测与入侵防御深化

IDS 和 IPS 这张卡前面已经学过，这里要把“发现”和“阻断”彻底分开。

小白先懂一句话：IDS 发现可疑行为并告警；IPS 放在流量路径上，可以直接拦截或阻断。

1. 先懂一句话

IDS = Intrusion Detection System（入侵检测系统）。

IPS = Intrusion Prevention System（入侵防御系统）。

Detection 是检测。

Prevention 是防御 / 阻止。

IDS 更像看监控发现异常后报警。

IPS 更像在路口拦下可疑流量。

关键差别是：IPS 通常 inline（串在线路上），能主动阻断；IDS 常 out-of-band（旁路监听），主要告警。

2. 真正要背什么

这张卡真正要背 6 件事。

IDS 监控并告警。
IPS 检测并阻断。
NIDS / NIPS 放在网络层面看流量。
HIDS / HIPS 放在主机上看日志、文件、进程和系统行为。
Signature-based（基于特征）适合已知攻击。
Anomaly-based（基于异常）适合发现偏离正常行为，但误报可能更多。

3. 关键词拆解

IDS：Intrusion Detection System（入侵检测系统）。

IPS：Intrusion Prevention System（入侵防御系统）。

NIDS：Network IDS（网络入侵检测系统）。

HIDS：Host IDS（主机入侵检测系统）。

Inline：串联在流量路径上。

Out-of-Band：旁路监听，不直接挡流量。

False Positive：误报，正常行为被当成攻击。

False Negative：漏报，攻击没有被发现。

4. 候选池

候选 1：IDS 报警，IPS 拦车。

保留。它直接挂住发现和阻断。

候选 2：一个看，一个打。

淘汰。表达太粗，容易误会成 IDS 完全没价值。

候选 3：旁路看监控，路中设卡。

保留。能解释 out-of-band 和 inline。

讨论结论：主记法用“IDS 报警，IPS 拦车；旁路看，路中挡”。这条能回到大多数题目。

5. 最终主记法

IDS = 报警。

IPS = 拦车。

记完整句：IDS 在旁边看见异常就叫人；IPS 站在路中间，看见危险流量可以直接挡下来。

翻回知识点就是：IDS 用于检测和告警，IPS 用于检测并主动阻断；两者可基于网络或主机，也可基于特征或异常分析。

6. 小白故事

小林网店 DMZ 前面有一台监控设备。

它看到有人反复试探网站路径，发出告警。

这像 IDS。

安全团队收到告警后再分析。

后来攻击太频繁，公司把 IPS 放到流量路径上。

同样的恶意请求再来时，IPS 可以直接丢弃连接。

但 IPS 放错规则也可能误拦正常客户。

所以检测能力和误报调优都很重要。

7. 回到考题

题目说 detect and alert（检测并告警），先想 IDS。

题目说 block / prevent / drop malicious traffic（阻断恶意流量），先想 IPS。

题目说 inline，常看 IPS。

题目说 out-of-band 或 passive monitoring（被动监听），常看 IDS。

题目说 false positive（误报）和 false negative（漏报），常和 IDS/IPS 调优有关。

8. 别混

IDS：发现并告警。

IPS：发现并阻断。

SIEM：集中收日志、关联分析和告警管理。

EDR：端点检测与响应。

Firewall：按规则控制流量，不一定理解攻击特征。

最容易错的地方：IDS 不是“没用”。它的价值是发现、记录和告警；IPS 的额外能力是阻断，但也带来误拦风险。

记忆卡：SIEM 深化 / 安全信息与事件管理深化

SIEM 这张卡不要只背“收日志”。

小白先懂一句话：SIEM 把很多系统的安全日志收进一个地方，做关联分析，找出单条日志看不出来的安全事件。

1. 先懂一句话

SIEM = Security Information and Event Management（安全信息与事件管理）。

Security Information 是安全信息。

Event Management 是事件管理。

现实里，攻击线索散在很多地方。

VPN 有登录日志。

防火墙有连接日志。

服务器有系统日志。

应用有操作日志。

EDR 有端点行为。

单看一条可能不明显，放在一起才能看到一条攻击链。

2. 真正要背什么

这张卡真正要背 6 件事。

SIEM 集中收集日志和安全事件。
它做 normalization（规范化），把不同格式日志整理成可分析格式。
它做 correlation（关联分析），把多个线索串起来。
它生成 alerts（告警）和 reports（报告）。
它支持 compliance reporting（合规报告）和 investigation（调查）。
SIEM 通常不负责自动执行复杂响应，那更像 SOAR。

3. 关键词拆解

SIEM：Security Information and Event Management（安全信息与事件管理）。

Log Aggregation：日志汇聚。

Normalization：规范化。

Correlation：关联分析。

Alert：告警。

Dashboard：仪表盘。

Use Case：检测用例，比如“异地登录后访问敏感数据”。

4. 候选池

候选 1：安全大屏拼线索。

保留。它能表达集中收集和关联。

候选 2：日志仓库。

保留但不做主记法。太像只存日志，漏了关联分析。

候选 3：自动灭火器。

淘汰。自动响应更像 SOAR。

讨论结论：主记法用“安全大屏拼线索”。它不是只收日志，而是把线索连成事件。

5. 最终主记法

SIEM = 安全大屏拼线索。

记完整句：门禁、VPN、防火墙、服务器、应用、端点都把记录送到大屏，SIEM 把零散线索拼起来，发现可能的安全事件。

翻回知识点就是：SIEM 集中收集、规范化、关联分析安全日志和事件，用于告警、调查、报表和合规。

6. 小白故事

小林网店夜里发生异常。

单看 VPN 日志，只看到一个账号从外地登录。

单看服务器日志，只看到它访问了文件服务器。

单看数据库日志，只看到导出了客户表。

每条单独看都可能不够刺眼。

SIEM 把三条放在一起：

异常地点登录。

短时间访问敏感服务器。

随后大量导出数据。

这就从零散记录变成了一个需要处理的安全事件。

7. 回到考题

题目说 SIEM，先想集中日志和事件关联。

题目说 log aggregation（日志汇聚）、correlation（关联分析），先想 SIEM。

题目说 compliance reports（合规报告）和 security dashboard（安全仪表盘），常看 SIEM。

题目说自动执行响应剧本、开工单、隔离主机，更可能是 SOAR。

题目说只在端点上检测和隔离，可能是 EDR。

8. 别混

SIEM：收日志、关联分析、告警、报表。

SOAR：编排自动化响应。

EDR：端点行为检测与响应。

IDS / IPS：检测或阻断入侵流量。

最容易错的地方：SIEM 不是单纯日志文件夹。考试看到“多个来源日志合在一起分析”，优先想 SIEM。

记忆卡：SOAR 深化 / 安全编排、自动化与响应深化

SOAR 这张卡不要背成“更高级 SIEM”。

小白先懂一句话：SOAR 是把安全工具和流程串成响应剧本。SIEM 发现事件后，SOAR 可以按剧本自动查、派单、封禁、隔离和通知。

1. 先懂一句话

SOAR = Security Orchestration, Automation, and Response（安全编排、自动化与响应）。

Orchestration 是编排，把多个工具串起来。

Automation 是自动化，把重复动作自动做。

Response 是响应，把处理步骤落实。

SIEM 更像发现和告警。

SOAR 更像把处理流程变成可执行剧本。

2. 真正要背什么

这张卡真正要背 6 件事。

SOAR 连接多个安全工具。
它用 playbook（剧本）定义响应步骤。
它能自动富化告警，比如查 IP 信誉、查资产信息、查用户信息。
它能自动开工单、通知人员、封禁账号、隔离主机。
它帮助减少重复手工操作，提高响应一致性。
SOAR 的自动化必须谨慎，错误剧本可能误封正常业务。

3. 关键词拆解

SOAR：Security Orchestration, Automation, and Response（安全编排、自动化与响应）。

Playbook：响应剧本。

Orchestration：编排，串起不同工具和流程。

Automation：自动化。

Case Management：案件管理 / 工单管理。

Enrichment：告警富化，补充上下文。

4. 候选池

候选 1：安全值班剧本。

保留。它能解释 playbook。

候选 2：告警自己会处理。

淘汰。自动化不是魔法，要靠剧本和审批。

候选 3：把工具排成流水线。

保留但不做主记法。它能解释编排。

讨论结论：主记法用“安全值班剧本”。看到 SOAR，就想一条告警来了以后按剧本查证、派单、隔离、通知。

5. 最终主记法

SOAR = 安全值班剧本。

记完整句：SIEM 把事件叫出来，SOAR 翻开值班剧本，自动查 IP、查资产、开工单、通知负责人，必要时隔离主机或封禁账号。

翻回知识点就是：SOAR 通过编排和自动化把安全工具、数据和流程连接起来，实现一致、快速的事件响应。

6. 小白故事

小林网店 SIEM 告警：某账号疑似被盗。

以前安全同事要手工查十几个系统。

现在 SOAR 剧本启动。

第一步查这个账号是谁。

第二步查登录 IP 信誉。

第三步查这台设备有没有 EDR 告警。

第四步创建事件工单。

第五步通知值班人员。

如果风险分数超过阈值，再临时禁用账号并要求人工复核。

这就是安全响应从手工笔记变成剧本流程。

7. 回到考题

题目说 SOAR，先想编排、自动化、响应。

题目说 playbook（剧本）、runbook（运行手册）、case management（案件管理），常看 SOAR。

题目说自动富化告警、开工单、封禁 IP、隔离主机，常看 SOAR。

题目只说集中日志关联告警，优先看 SIEM。

题目只说端点隔离，可能是 EDR，也可能由 SOAR 调用 EDR 执行。

8. 别混

SIEM：发现和关联。

SOAR：编排和响应。

EDR：端点执行检测和响应动作。

Ticketing System：工单系统，SOAR 可能会调用它，但不等于 SOAR。

最容易错的地方：SOAR 不是替代分析员思考。它把可重复流程自动化，把人从机械操作里解放出来。

记忆卡：Honeypot / Honeynet / 蜜罐与蜜网

Honeypot 这张卡不要背成“诱敌深入就完了”。

小白先懂一句话：蜜罐是故意布置的诱饵系统，用来吸引、观察和研究攻击者；蜜网是一组互相配合的蜜罐网络。

1. 先懂一句话

Honeypot = 蜜罐。

Honeynet = 蜜网。

它们不是正常业务系统。

它们被设计成看起来有价值，让攻击者愿意碰。

安全团队通过它观察攻击手法、收集指标、发现扫描和入侵行为。

但蜜罐要隔离好。

否则攻击者可能把它当跳板去攻击别人。

2. 真正要背什么

这张卡真正要背 6 件事。

Honeypot 是诱饵系统。
Honeynet 是多个蜜罐组成的诱饵网络。
目标是 detection（发现）、research（研究）、deception（欺骗）和 intelligence collection（情报收集）。
蜜罐不应该承载真实生产业务。
蜜罐要严格隔离和监控，避免被当跳板。
Low-interaction（低交互）风险低但信息少；high-interaction（高交互）信息多但风险更高。

3. 关键词拆解

Honeypot：蜜罐，诱饵系统。

Honeynet：蜜网，多个蜜罐组成的诱饵网络。

Decoy：诱饵。

Deception Technology：欺骗技术。

Low-Interaction Honeypot：低交互蜜罐，模拟服务。

High-Interaction Honeypot：高交互蜜罐，更接近真实系统。

Containment：遏制 / 隔离，防止攻击者从蜜罐出去。

4. 候选池

候选 1：假金库。

保留。看起来有价值，但主要用于观察入侵者。

候选 2：真正客户数据库。

淘汰。蜜罐不能放真实敏感数据当生产系统。

候选 3：监控诱饵房间。

保留但不做主记法。它能表达观察，但不如假金库记忆强。

讨论结论：主记法用“假金库”。它能记住诱饵、观察和隔离。

5. 最终主记法

Honeypot = 假金库。

Honeynet = 一排假金库组成的诱饵区。

记完整句：安全团队故意放一个看起来有价值的假金库，攻击者一碰，所有动作都被记录；但假金库必须隔离，不能让攻击者从里面继续打出去。

翻回知识点就是：Honeypot / Honeynet 是用于欺骗、检测、研究和收集攻击情报的诱饵系统或诱饵网络。

6. 小白故事

小林网店发现外网经常有人扫描后台地址。

安全团队没有把真实后台暴露出去。

他们放了一个看起来像旧管理系统的蜜罐。

这个系统没有真实客户数据。

但会完整记录攻击者访问了哪些路径、用了哪些密码、上传了什么文件、来自哪些 IP。

如果攻击者进一步操作，蜜罐也会记录。

所有外连被严格限制，防止它被拿去攻击别人。

这些记录能帮助安全团队改进防护。

7. 回到考题

题目说 honeypot（蜜罐），先想诱饵系统。

题目说 honeynet（蜜网），先想多个诱饵系统组成的网络。

题目说 enticement（诱导）或 decoy system（诱饵系统），常看蜜罐。

题目问收集攻击者工具、行为和 IOC（失陷指标），可能看蜜罐。

题目说生产系统承载真实业务，不是蜜罐。

8. 别混

Honeypot：诱饵系统。

Honeynet：诱饵网络。

IDS：检测并告警。

DMZ：隔离公开服务的网络区域，不是故意诱捕攻击者的假系统。

Bastion Host：加固后的暴露主机或跳板，不是为了引诱攻击者乱碰。

Sandbox：隔离运行可疑程序看行为，不等于把假系统放出去诱敌。

Threat Intelligence：把攻击线索加工成可用情报。

最容易错的地方：蜜罐有价值，但不是随便放一个漏洞系统。它必须被隔离、监控和合法合规地管理。

记忆卡：Threat Intelligence / 威胁情报

Threat Intelligence 这张卡不要背成“安全新闻”。

小白先懂一句话：威胁情报是把外部和内部线索加工成能行动的信息，告诉你谁可能攻击、用什么方法、有哪些指标、应该怎么防。

1. 先懂一句话

Threat = 威胁。

Intelligence = 情报。

不是所有信息都是情报。

“某地发生攻击”只是信息。

“这个攻击组织正在利用某漏洞，相关 IP、域名、哈希如下，你的行业也在目标名单里，应优先排查这些系统”，这才更像可行动情报。

2. 真正要背什么

这张卡真正要背 6 件事。

Threat Intelligence 把威胁信息变成可行动判断。
IOC = Indicator of Compromise（失陷指标），比如恶意 IP、域名、文件哈希、注册表项。
TTP = Tactics, Techniques, and Procedures（战术、技术和过程），描述攻击者怎么做事。
Strategic intelligence（战略情报）给管理层看趋势和风险。
Tactical / operational intelligence（战术 / 运营情报）帮助安全团队理解攻击方法和当前活动。
Technical intelligence（技术情报）更贴近 IP、域名、哈希、恶意样本这些可直接检测的线索。
情报要看 relevance（相关性）、timeliness（及时性）、confidence（可信度）和 actionability（可行动性）。

3. 关键词拆解

Threat Intelligence：威胁情报。

IOC：Indicator of Compromise（失陷指标）。

TTP：Tactics, Techniques, and Procedures（战术、技术和过程）。

Threat Actor：威胁行为者。

Campaign：攻击活动。

Feed：情报源 / 情报订阅。

Enrichment：富化，把 IP、域名、哈希等补充上下文。

4. 候选池

候选 1：安全侦查报告。

保留。它不是新闻，而是能指导下一步行动的报告。

候选 2：黑名单大全。

淘汰。IOC 只是情报的一部分，威胁情报不只是黑名单。

候选 3：把线索变任务。

保留。它能强调 actionability（可行动性）。

讨论结论：主记法用“安全侦查报告，把线索变任务”。看到威胁情报，就想它要能帮助检测、优先级和响应。

5. 最终主记法

Threat Intelligence = 安全侦查报告。

记完整句：情报不是看热闹的新闻，而是把攻击者、方法、指标、目标行业和应对动作写清楚，让安全团队知道该查什么、堵什么、先做什么。

翻回知识点就是：Threat Intelligence 是经过收集、分析、关联和验证的威胁信息，用于支持检测、防御、响应和风险决策。

6. 小白故事

小林网店收到一份情报。

它不是只说“最近有攻击”。

它说明某攻击团伙正在打电商后台。

常用入口是旧版本插件。

常见恶意域名有几个。

上传文件的哈希也列出来。

安全团队把这些 IOC 加到 SIEM 和 EDR 检测里。

运维优先检查相关插件版本。

SOAR 剧本也更新：一旦命中这些域名和哈希，就自动开高优先级工单。

这才是情报变成行动。

7. 回到考题

题目说 Threat Intelligence（威胁情报），先想可行动威胁信息。

题目说 IOC（失陷指标），先想 IP、域名、哈希、文件路径等具体线索。

题目说 TTP（战术、技术和过程），先想攻击者的行为模式和方法。

题目说 enrichment（富化）告警，可能是用威胁情报给告警补上下文。

题目说 strategic / tactical / operational / technical intelligence（战略 / 战术 / 运营 / 技术情报），先看使用者：管理层看趋势，安全团队看打法，值班响应看当前活动，检测工具常吃 IP、域名、哈希。

题目只说安全新闻或未验证消息，不一定是高质量威胁情报。

8. 别混

Threat Intelligence：分析后的可行动威胁信息。

IOC：具体线索，是情报的一部分。

SIEM：用情报做关联和告警。

SOAR：用情报触发响应剧本。

Vulnerability Management：根据漏洞和资产优先级管理修复，也会用情报辅助排序。

最容易错的地方：威胁情报的重点不是“知道得多”，而是能帮助你更快发现、更准判断、更合理排序。

记忆卡：Malware / Virus / Worm / Trojan / 恶意软件、病毒、蠕虫与木马

这张卡不要把所有坏程序都叫病毒。

小白先懂一句话：Malware 是恶意软件这个大筐；Virus、Worm、Trojan 是里面常见的几种坏法，区别在于它怎么进来、怎么传播、靠不靠伪装。

1. 先懂一句话

Malware = Malicious Software（恶意软件）。

它不是某一种具体程序。

它是一个总称。

只要软件的目的不是帮你，而是破坏、偷东西、勒索、隐藏、控制或开后门，就可以放进恶意软件这个大筐。

Virus（病毒）通常要附着在文件或程序上，等用户运行或文件被传播时一起扩散。

Worm（蠕虫）更强调自己在网络里扩散，不一定需要用户每次点开。

Trojan / Trojan Horse（木马）更强调伪装成有用东西，让人自己把它装进去。

2. 真正要背什么

这张卡真正要背 5 件事。

Malware 是总称，不等于 Virus。
Virus 需要宿主文件或程序，常靠用户运行来传播。
Worm 可以自我复制、自我传播，常利用网络漏洞扩散。
Trojan 伪装成正常软件或文件，诱导用户安装。
做题先看传播方式：附着、自己扩散、伪装诱导，是三条不同线。

3. 关键词拆解

Malware：Malicious Software（恶意软件），大类。

Virus：病毒，附着在宿主文件或程序上。

Worm：蠕虫，自我复制并通过网络传播。

Trojan Horse：特洛伊木马，伪装成正常东西进入系统。

Payload：载荷，恶意软件真正要执行的坏动作。

Propagation：传播，恶意软件从一台机器到另一台机器的过程。

4. 候选池

候选 1：坏软件大筐。

保留。Malware 是总称，小白先别把总称当成病毒。

候选 2：病毒贴文件，蠕虫自己跑，木马装好人。

保留。它把三者区别说清楚。

候选 3：病毒、蠕虫、木马都一样。

淘汰。考试最爱考区别。

讨论结论：主记法用“坏软件大筐，三种坏法”。先记 Malware 是大类，再用三句话分开 Virus、Worm、Trojan。

5. 最终主记法

Malware = 坏软件大筐。

Virus = 贴在文件上。

Worm = 自己在网络里跑。

Trojan = 假装好东西让你装。

记完整句：恶意软件是坏程序总称；病毒像贴在文件上的坏代码，蠕虫像会自己扩散的网络坏代码，木马像披着正常软件外衣的坏代码。

翻回知识点就是：Malware 是恶意软件总称，Virus 依赖宿主和执行，Worm 自我传播，Trojan 通过伪装诱导安装。

6. 小白故事

小林网店客服收到三个文件。

第一个是被感染的表格。

客服打开表格后，里面附着的恶意代码跟着运行。

这更像 Virus。

第二个不用客服继续转发，它利用旧系统漏洞，从一台电脑跳到另一台电脑。

这更像 Worm。

第三个看起来像“订单统计小工具”。

客服以为有用，主动安装。

结果它偷偷开后门或偷数据。

这更像 Trojan。

它们都属于 Malware，但坏法不一样。

7. 回到考题

题目说 malware（恶意软件），先想总称。

题目说 infects files / attaches to host program（感染文件 / 附着宿主程序），先想 Virus。

题目说 self-replicating / spreads across network（自我复制 / 网络扩散），先想 Worm。

题目说 disguised as legitimate software（伪装成正常软件），先想 Trojan。

题目说 payload（载荷），看它最终要破坏、偷取、加密还是控制。

8. 别混

Malware：总称。

Virus：附着宿主文件或程序。

Worm：自我传播。

Trojan：伪装诱导安装。

Ransomware：勒索软件，重点是加密或锁定后要钱。

最容易错的地方：不是所有恶意软件都叫病毒。考试问“哪一种会自我传播”，不要下意识选 Virus，要看 Worm。

记忆卡：Ransomware / 勒索软件

勒索软件这张卡不要只背“加密文件”。

小白先懂一句话：Ransomware 是把你的数据、系统或业务卡住，然后向你要钱。加密是常见手段，但现在也常配合偷数据、威胁公开和双重勒索。

1. 先懂一句话

Ransom = 赎金。

Ransomware = 勒索软件。

它的目标不是安静潜伏。

它要制造压力。

比如客户订单打不开，财务文件打不开，服务器被锁，后台提示必须付款才给解密钥匙。

很多勒索攻击还会先偷走数据。

受害者不付款，攻击者就威胁公开数据。

2. 真正要背什么

这张卡真正要背 6 件事。

勒索软件常加密文件或锁定系统。
攻击者用解密钥匙或不公开数据来要赎金。
备份能帮助恢复，但备份必须离线、不可被一起加密、并且测试过恢复。
只付钱不等于安全恢复，也不保证一定拿到解密钥匙。
防护包括补丁、最小权限、邮件过滤、EDR、网络分段、备份和演练。
处置时要先隔离感染范围，再评估恢复和取证。

3. 关键词拆解

Ransomware：勒索软件。

Encryption：加密，把文件变成没有密钥就打不开的状态。

Double Extortion：双重勒索，加密文件加威胁泄露数据。

Offline Backup：离线备份，不一直连在生产系统上。

Immutable Backup：不可变备份，备份写入后不能随便改或删。

Decryption Key：解密密钥，用来恢复被加密的数据。

4. 候选池

候选 1：锁账本要赎金。

保留。它能把“业务被卡住”和“要钱”连起来。

候选 2：只是电脑中毒。

淘汰。勒索软件的题眼是勒索压力，不只是感染。

候选 3：备份保险箱。

保留但不做主记法。它适合记防护，但不是勒索本体。

讨论结论：主记法用“锁账本要赎金”。小白能直接想起文件打不开、业务停、对方要钱。

5. 最终主记法

Ransomware = 锁账本要赎金。

记完整句：攻击者把小林网店的订单、财务和客户文件锁住，说不给钱就不给钥匙，甚至威胁公开偷走的数据。

翻回知识点就是：Ransomware 通过加密、锁定或数据泄露威胁迫使受害者支付赎金。

6. 小白故事

小林网店早上上班，客服系统突然打不开。

财务共享盘里的文件名被改成奇怪后缀。

屏幕上出现说明：付款后才给解密工具。

更糟的是，对方还说已经复制了客户资料。

小林不能只问“有没有备份”。

还要问备份有没有被一起加密。

能不能真的恢复。

感染机器有没有隔离。

有没有日志能判断数据是否外泄。

这就是勒索软件不是单纯“文件坏了”，而是业务、恢复、取证和法律风险一起压上来。

7. 回到考题

题目说 ransom note（勒索提示），先想 Ransomware。

题目说 encrypted files（文件被加密）、payment demand（付款要求），先想 Ransomware。

题目说 double extortion（双重勒索），先想加密加威胁泄露。

题目问最有效恢复，常看离线备份、不可变备份和已测试恢复。

题目问第一步处置，常看隔离受感染系统，防止继续扩散。

8. 别混

Ransomware：锁住或威胁数据来要钱。

Worm：自我传播。

Trojan：伪装进入。

Data Breach：数据泄露，可能是勒索的一部分，但不等于勒索软件。

Backup：恢复材料，不是自动解决一切。备份如果一直在线，也可能被一起加密。

最容易错的地方：看到“有备份”不要立刻觉得安全。考试会问备份是否离线、是否不可变、是否测试过、RPO/RTO 能不能满足业务。

记忆卡：Rootkit / 根套件

Rootkit 这张卡不要背成“权限很高的病毒”。

小白先懂一句话：Rootkit 的重点是隐藏。它拿到高权限后，想把恶意进程、文件、网络连接或登录痕迹藏起来，让管理员看不见。

1. 先懂一句话

Root = 最高权限的意思之一。

Kit = 工具包。

Rootkit 可以理解成帮助攻击者维持隐藏控制的一组工具。

它不一定负责最初入侵。

它更常在入侵后做两件事：保住权限，藏住痕迹。

最危险的是内核级 rootkit，因为它在操作系统很底层动手脚。

安全工具可能也被它骗。

2. 真正要背什么

这张卡真正要背 6 件事。

Rootkit 重点是隐藏和持久控制。
它常隐藏文件、进程、驱动、账号、端口和日志痕迹。
User-mode rootkit（用户态根套件）影响普通系统接口。
Kernel-mode rootkit（内核态根套件）更底层、更难发现。
Bootkit 会影响启动过程。
严重 rootkit 感染常需要离线扫描、完整性校验或重装可信系统。

3. 关键词拆解

Rootkit：根套件，隐藏和维持高权限控制的工具集合。

Privilege：权限。

Persistence：持久化，重启后还留在系统里。

Kernel Mode：内核态，操作系统核心层。

User Mode：用户态，普通应用层。

Bootkit：启动级 rootkit，影响启动过程。

4. 候选池

候选 1：披隐身衣的高权限工具。

保留。它能同时记住高权限和隐藏。

候选 2：只是远程控制工具。

淘汰。远程控制不是 rootkit 的全部，隐藏才是题眼。

候选 3：系统底层遮眼布。

保留但不做主记法。能记内核级风险，但不够完整。

讨论结论：主记法用“披隐身衣的高权限工具”。先记它不是普通坏程序，而是让坏程序藏起来。

5. 最终主记法

Rootkit = 披隐身衣的高权限工具。

记完整句：攻击者进了系统后，不想被发现，就给自己的文件、进程、账号和连接披上隐身衣，让管理员和安全工具看漏。

翻回知识点就是：Rootkit 用来隐藏恶意活动并维持特权访问，常在系统底层篡改可见结果。

6. 小白故事

小林网店服务器被入侵后，管理员查看进程列表。

看起来一切正常。

查看文件夹，也没有奇怪文件。

查看端口，也没发现异常连接。

但外面仍然有人能偷偷连进来。

原因可能是 rootkit 在底层动了手脚。

管理员看到的是被过滤过的结果。

这时不能只相信本机命令。

要用可信介质启动、做离线扫描、比对系统完整性，必要时重装系统。

7. 回到考题

题目说 hidden processes（隐藏进程）、hidden files（隐藏文件）、hides attacker presence（隐藏攻击者存在），先想 Rootkit。

题目说 kernel-level（内核级）、bootkit（启动级），先想更难检测的 Rootkit。

题目说 local commands show nothing but compromise continues（本机命令看不见但入侵仍在），先想 Rootkit。

题目问最可信恢复，严重时常看重建系统、从干净备份恢复。

题目说 keylogging，不要直接选 Rootkit，Keylogger 的题眼是记录按键。

8. 别混

Rootkit：隐藏和维持特权控制。

Backdoor：绕过正常认证的隐藏入口。

Trojan：伪装成正常程序诱导安装。

Keylogger：记录键盘输入。

EDR：端点检测与响应，可以帮助发现异常，但也可能被高级 rootkit 干扰。

最容易错的地方：Rootkit 不是“攻击一开始怎么进来的”。它更像入侵后用来躲起来、留权限、骗检测的工具。

记忆卡：Keylogger / 键盘记录器

Keylogger 这张卡不要只背“偷密码”。

小白先懂一句话：Keylogger 是记录用户输入的东西。它可以偷密码，也可以偷聊天、账号、验证码、银行卡号和后台操作。

1. 先懂一句话

Key = 按键。

Logger = 记录器。

Keylogger = 键盘记录器。

它的核心动作是记录你敲了什么。

有的软件 keylogger 会藏在系统里。

也有硬件 keylogger 插在键盘和电脑之间。

攻击者最想要的是凭据，比如用户名、密码、一次性验证码或后台登录信息。

2. 真正要背什么

这张卡真正要背 5 件事。

Keylogger 记录键盘输入。
它常用于窃取凭据和敏感信息。
它可以是软件，也可以是硬件。
它不是猜密码，而是等用户自己把密码打出来。
防护包括反恶意软件、EDR、最小权限、MFA、物理检查和安全输入环境。

3. 关键词拆解

Keylogger：键盘记录器。

Credential Theft：凭据窃取。

Software Keylogger：软件键盘记录器。

Hardware Keylogger：硬件键盘记录器。

Clipboard Capture：剪贴板捕获，有些恶意软件也会偷复制粘贴内容。

Screen Capture：屏幕截图捕获，有些工具会同时截图。

4. 候选池

候选 1：偷看键盘小本本。

保留。它把“记录输入”说清楚。

候选 2：暴力猜密码。

淘汰。Keylogger 不猜，它等你自己输入。

候选 3：账号密码照相机。

保留但不做主记法。它能提示截图和输入监控，但略宽。

讨论结论：主记法用“偷看键盘小本本”。看到按键、输入、凭据被记录，就回到 Keylogger。

5. 最终主记法

Keylogger = 偷看键盘小本本。

记完整句：用户以为自己只是在登录后台，键盘记录器却在旁边把每个按键记下来，账号、密码和验证码都可能被抄走。

翻回知识点就是：Keylogger 通过记录键盘输入窃取凭据和敏感信息，可由软件或硬件实现。

6. 小白故事

小林网店管理员登录后台。

他输入用户名、密码和一次性验证码。

页面看起来正常。

但电脑里藏着 keylogger。

它把每次按键都写进日志。

几分钟后，攻击者拿到这些输入内容。

如果没有 MFA、异常登录检测和设备安全检查，攻击者可能直接接管后台。

这不是攻击者猜中了密码。

是用户自己输入时被偷看了。

7. 回到考题

题目说 keystrokes（按键）、captures typed input（捕获输入），先想 Keylogger。

题目说 stolen credentials after user typed password（用户输入后凭据被偷），先想 Keylogger。

题目说 hardware device between keyboard and computer（键盘和电脑之间的硬件设备），先想硬件 Keylogger。

题目说 brute force（暴力破解）或 dictionary attack（字典攻击），那是猜密码，不是 Keylogger。

题目问降低损失，常看 MFA、EDR、反恶意软件、设备检查和异常登录监控。

8. 别混

Keylogger：记录用户输入。

Password Guessing：猜密码。

Phishing：骗用户自己提交密码。

Screen Scraper：抓屏幕内容。

Credential Stuffing：拿已泄露账号密码去别处撞库。

最容易错的地方：Keylogger 的关键词是“记录输入”，不是“尝试很多密码”。它是偷看，不是硬猜。

记忆卡：Logic Bomb / 逻辑炸弹

Logic Bomb 这张卡不要背成“马上爆炸的病毒”。

小白先懂一句话：Logic Bomb 是一段埋好的恶意代码，平时不动，等特定条件出现才执行坏动作。

1. 先懂一句话

Logic = 条件逻辑。

Bomb = 触发后造成破坏的东西。

Logic Bomb = 逻辑炸弹。

它的关键不是传播。

它的关键是触发条件。

条件可能是日期到了、员工账号被删除、工资表没有某个人、某个文件出现、某个程序运行。

触发后才删除文件、破坏数据、关闭服务或执行其他恶意动作。

2. 真正要背什么

这张卡真正要背 5 件事。

Logic Bomb 是等待条件触发的恶意代码。
触发条件可以是时间、事件、账号状态或系统状态。
它常和内部人员、恶意开发者或被植入代码相关。
它不一定自己传播。
防护靠变更管理、代码审查、职责分离、日志监控和最小权限。

3. 关键词拆解

Logic Bomb：逻辑炸弹。

Trigger：触发条件。

Time Bomb：时间炸弹，按时间触发的逻辑炸弹。

Insider Threat：内部人员威胁。

Code Review：代码审查。

Change Control：变更控制。

4. 候选池

候选 1：闹钟到点删账本。

保留。它能记住“等条件”和“触发破坏”。

候选 2：会自己传播的病毒。

淘汰。传播不是 Logic Bomb 的题眼。

候选 3：离职按钮触发破坏。

保留但不做主记法。它适合记内部人员场景。

讨论结论：主记法用“闹钟到点删账本”。先记它平时安静，条件到了才动手。

5. 最终主记法

Logic Bomb = 闹钟到点删账本。

记完整句：恶意代码藏在系统里，平时不出声，等到某个日期或某个条件出现，就开始删文件、改数据或停服务。

翻回知识点就是：Logic Bomb 是由特定条件触发的恶意代码，常通过代码审查和变更控制降低风险。

6. 小白故事

小林网店以前有个开发人员离职。

后来公司发现系统里有一段奇怪代码。

它平时什么都不做。

但如果某个员工账号从工资系统里消失，代码就会删除一批配置文件。

这不是普通故障。

这是有人埋了触发条件。

所以安全团队要查代码变更记录、审批记录、提交人、触发时间和日志。

防护重点不是只装杀毒软件。

还要靠代码审查、职责分离和变更管理。

7. 回到考题

题目说 triggered by date/time（按日期或时间触发），先想 Logic Bomb 或 Time Bomb。

题目说 malicious code activates when employee is terminated（员工被解雇后触发），先想 Logic Bomb。

题目说 dormant until condition is met（条件满足前休眠），先想 Logic Bomb。

题目说 self-replicating（自我复制），更像 Worm。

题目问预防，常看代码审查、变更控制、职责分离和最小权限。

8. 别混

Logic Bomb：等条件触发。

Virus：附着宿主并传播。

Worm：自我传播。

Backdoor：隐藏入口。

Ransomware：锁数据要赎金。

最容易错的地方：Logic Bomb 的题眼不是“破坏很大”，而是“平时潜伏，条件到了才触发”。

记忆卡：Backdoor / 后门

Backdoor 这张卡不要只背“后门就是漏洞”。

小白先懂一句话：Backdoor 是绕过正常登录、检查或授权流程的隐藏入口。它可能是攻击者放的，也可能是开发调试时留下没删。

1. 先懂一句话

Backdoor = 后门。

正常门口要刷卡、输密码、过 MFA、写日志。

后门则绕过这些正常流程。

它可能是隐藏账号。

可能是硬编码密码。

可能是隐藏服务端口。

可能是程序里专门留的调试入口。

问题在于：别人可以不走正门，直接绕进去。

2. 真正要背什么

这张卡真正要背 6 件事。

Backdoor 是绕过正常认证或控制的隐藏入口。
它可以由攻击者植入，也可能是开发调试遗留。
它常用于持久访问。
它不一定等于漏洞扫描发现的普通漏洞。
防护包括代码审查、发布检查、配置审计、最小权限和日志监控。
发现后要查影响范围，因为后门可能已经被用过。

3. 关键词拆解

Backdoor：后门。

Hardcoded Password：硬编码密码，写死在代码里的密码。

Hidden Account：隐藏账号。

Remote Access：远程访问。

Persistence：持久化访问。

Release Control：发布控制，发布前检查调试代码和后门是否移除。

4. 候选池

候选 1：绕过正门的小暗门。

保留。它能把“绕过正常流程”讲清楚。

候选 2：所有漏洞都是后门。

淘汰。漏洞是弱点，后门是隐藏入口，不能混。

候选 3：开发忘删的调试钥匙。

保留但不做主记法。它适合记开发流程题。

讨论结论：主记法用“绕过正门的小暗门”。看到隐藏入口、硬编码密码、调试账号，就回到后门。

5. 最终主记法

Backdoor = 绕过正门的小暗门。

记完整句：系统正门要求账号、密码、MFA 和日志，但后门让某个人用隐藏入口绕过去，所以最危险的是它不按正常控制流程走。

翻回知识点就是：Backdoor 是绕过正常安全机制的隐藏访问路径，可用于持久控制或未授权访问。

6. 小白故事

小林网店上线新后台。

正常管理员登录要账号、密码和 MFA。

后来审计发现代码里有一个特殊参数。

只要访问某个隐藏路径，再带一个写死的口令，就能直接进管理页面。

开发说那是测试时留下的。

但上线后它就是后门。

攻击者一旦知道这个入口，就不用破解正常登录。

所以发布前要检查调试代码、默认账号、硬编码密码和隐藏接口。

7. 回到考题

题目说 bypasses normal authentication（绕过正常认证），先想 Backdoor。

题目说 hardcoded password（硬编码密码）、hidden account（隐藏账号）、debug access left in production（生产环境留下调试入口），先想 Backdoor。

题目说 attacker maintains access（维持访问），Backdoor 是常见办法之一。

题目问软件发布前要移除什么，常看 debugging code（调试代码）和 backdoors（后门）。

题目说 open port（开放端口），不一定就是后门，要看是否隐藏、未授权、绕过正常流程。

8. 别混

Backdoor：隐藏入口，绕过正常控制。

Vulnerability：弱点，可能被利用，但不一定是故意入口。

Rootkit：隐藏恶意活动和权限。

Trojan：伪装进入系统，可能顺便安装后门。

Default Password：默认密码，如果没改也可能形成后门式风险，但概念不完全相同。

最容易错的地方：后门的关键词是“绕过正常流程”。不是所有开放服务、所有 bug、所有弱密码都自动叫后门。

记忆卡：Botnet / 僵尸网络

Botnet 这张卡不要只背“很多电脑被控制”。

小白先懂一句话：Botnet 是很多被感染设备组成的受控网络，攻击者通过 C2 统一下命令，让它们一起发垃圾邮件、DDoS、挖矿、撞库或继续传播。

1. 先懂一句话

Bot = 被控制的受害设备。

Botnet = Bot Network（僵尸网络）。

一台感染设备叫一个 bot。

很多 bot 连起来就是 botnet。

攻击者通常通过 Command and Control / C2（命令与控制）下发指令。

这些设备可能是电脑、服务器、摄像头、路由器或 IoT 设备。

用户自己可能完全不知道设备已经在替别人干坏事。

2. 真正要背什么

这张卡真正要背 6 件事。

Botnet 是大量被攻陷设备组成的网络。
C2 负责控制和下命令。
常见用途包括 DDoS、垃圾邮件、恶意软件传播、凭据攻击和挖矿。
单个 bot 是被控制设备，botnet 是一群设备。
防护包括补丁、默认密码治理、EDR、网络出口监控和 C2 流量检测。
清理时不只要杀本机恶意软件，还要切断控制通道。

3. 关键词拆解

Bot：被攻击者控制的设备。

Botnet：僵尸网络。

C2 / Command and Control：命令与控制。

Botmaster：控制僵尸网络的人。

DDoS：Distributed Denial of Service（分布式拒绝服务）。

Beaconing：周期性回连，受感染设备定时联系 C2。

4. 候选池

候选 1：一群被遥控的设备。

保留。它把规模和控制说清楚。

候选 2：单台电脑中毒。

淘汰。单台感染可以是 bot，但 Botnet 强调一群和统一控制。

候选 3：后台遥控队伍。

保留但不做主记法。它能记 C2，但不如“一群被遥控的设备”直白。

讨论结论：主记法用“一群被遥控的设备”。看到很多设备一起攻击，就回到 Botnet。

5. 最终主记法

Botnet = 一群被遥控的设备。

记完整句：攻击者不是只用自己电脑打小林网店，而是控制成千上万台受害设备一起发请求、发邮件或撞密码。

翻回知识点就是：Botnet 是由多个受感染设备组成、受 C2 控制的网络，常用于 DDoS、垃圾邮件和其他大规模攻击。

6. 小白故事

小林网店突然被大量请求打到打不开。

日志显示来源 IP 分布在很多城市和国家。

这些来源不一定都是攻击者本人。

很多只是被感染的普通设备。

攻击者通过 C2 服务器发命令：一起访问这个目标。

于是这些设备同时行动。

小林看到的是 DDoS 流量。

安全团队还要分析有没有固定回连域名、异常外联、可疑 beaconing。

因为切断 C2 才能让被控设备失去指挥。

7. 回到考题

题目说 botnet，先想大量受控设备。

题目说 command and control / C2（命令与控制），先想 Botnet 或远控恶意软件。

题目说 many compromised hosts launch DDoS（很多被攻陷主机发起 DDoS），先想 Botnet。

题目说 infected IoT devices（被感染物联网设备），也常和 Botnet 相关。

题目说 single malware infection（单台感染），不一定是 Botnet，要看有没有一群和统一控制。

8. 别混

Bot：单个被控制设备。

Botnet：一群被控制设备组成的网络。

DDoS：攻击效果，Botnet 常用来发起 DDoS。

C2：控制通道。

Worm：传播方式，可能把设备变成 bot，但不等于 Botnet 本身。

最容易错的地方：Botnet 的题眼是“很多被控设备加统一指挥”。不要只看到恶意软件就选 Botnet。

记忆卡：Phishing / Spear Phishing / Whaling / 钓鱼、鱼叉式钓鱼与捕鲸

钓鱼这张卡不要只背“骗邮件”。

小白先懂一句话：Phishing 是用假消息骗你点链接、交密码、打开附件或转账；Spear Phishing 更有针对性；Whaling 专门盯高层或高价值人物。

1. 先懂一句话

Phishing = 钓鱼。

它不是先打服务器。

它先骗用户。

常见形式是邮件、短信、聊天消息、假网站、假登录页、恶意附件。

Spear Phishing = 鱼叉式钓鱼，目标更具体，内容更像为某个人或某部门定制。

Whaling = 捕鲸，目标是高层、财务负责人、CEO、CFO 或高价值账号。

2. 真正要背什么

这张卡真正要背 6 件事。

Phishing 是骗用户采取动作的攻击。
常骗的动作包括点链接、输密码、打开附件、批准 MFA、转账或泄露信息。
Spear Phishing 是有针对性的钓鱼。
Whaling 是针对高层或高价值目标的钓鱼。
防护包括安全意识培训、邮件过滤、域名防护、MFA、报告流程和带外确认。
钓鱼可能投递恶意软件，但钓鱼本身是骗法，不等于恶意软件类型。

3. 关键词拆解

Phishing：钓鱼攻击。

Spear Phishing：鱼叉式钓鱼，针对特定个人或组织。

Whaling：捕鲸，针对高层或高价值目标。

Credential Harvesting：凭据收割，骗取账号密码。

Malicious Attachment：恶意附件。

Business Email Compromise / BEC：商务邮件欺诈，常冒充高管或供应商骗转账。

4. 候选池

候选 1：假消息骗动作。

保留。它比“骗邮件”更完整。

候选 2：鱼叉瞄准个人，捕鲸瞄准高层。

保留。它能分开 Spear Phishing 和 Whaling。

候选 3：钓鱼就是病毒。

淘汰。钓鱼是骗法，病毒是恶意软件类型。

讨论结论：主记法用“假消息骗动作，鱼叉瞄个人，捕鲸瞄高层”。考试按目标范围区分。

5. 最终主记法

Phishing = 假消息骗动作。

Spear Phishing = 瞄准某个人或某部门。

Whaling = 瞄准高层和高价值目标。

记完整句：普通钓鱼是撒一批假消息骗很多人，鱼叉式钓鱼是瞄准小林财务部写定制邮件，捕鲸是直接盯老板或财务负责人。

翻回知识点就是：Phishing 通过欺骗诱导用户泄露信息或执行危险动作，Spear Phishing 更定向，Whaling 针对高层。

6. 小白故事

小林网店客服收到一封邮件：你的账号异常，请立刻登录。

链接打开后像公司登录页。

客服输入账号密码。

这就是普通钓鱼。

后来财务收到另一封邮件。

里面提到真实供应商名字、最近订单号和付款日期。

这更像 Spear Phishing。

再后来老板收到一封假律师函，要求紧急审批大额付款。

这更像 Whaling。

同样是骗，区别在于目标是不是定制，目标是不是高价值人物。

7. 回到考题

题目说 phishing，先想假消息骗用户动作。

题目说 targeted email（定向邮件）、uses personal details（使用个人细节），先想 Spear Phishing。

题目说 executives / CEO / CFO / senior management（高层），先想 Whaling。

题目说 fake login page（假登录页）、credential harvesting（凭据收割），常看 Phishing。

题目问防护，常看培训、邮件过滤、MFA、钓鱼报告按钮和带外确认。

8. 别混

Phishing：骗用户。

Spear Phishing：定向骗用户。

Whaling：骗高层或高价值账号。

Malware：恶意软件，可能通过钓鱼投递。

Social Engineering：社会工程总称，钓鱼是其中一种。

最容易错的地方：看到邮件不要只看“有没有附件”。题目真正问的是骗法、目标范围，还是附件里的恶意软件。

社会工程这张卡不要背成“骗人”两个字就结束。

小白先懂一句话：Social Engineering 是攻击者利用人的信任、紧张、好奇、礼貌、怕麻烦或权威感，让人自己做出危险动作。

1. 先懂一句话

Social Engineering = 社会工程。

它攻击的入口是人。

攻击者不一定先破解系统。

他可能先冒充同事、供应商、老板、快递、客服或维修人员。

目标是让人交出信息、打开门、插入 U 盘、点击链接、重置密码、批准登录或转账。

所以社会工程不是某一个工具。

它是一类利用心理和流程弱点的攻击方法。

2. 真正要背什么

这张卡真正要背 7 件事。

社会工程利用人的心理和流程漏洞。
Phishing（钓鱼）是社会工程的一种。
Pretexting（借口攻击）是编一个可信身份或故事。
Baiting（诱饵攻击）是用好处、U 盘、下载链接等诱人上钩。
Tailgating / Piggybacking（尾随 / 跟随进入）是跟着授权人员进入受控区域。
Impersonation（冒充）是假装成别人。
防护靠培训、身份核验、报告流程、最小权限和带外确认。

3. 关键词拆解

Social Engineering：社会工程。

Pretexting：借口攻击，编造理由或身份。

Baiting：诱饵攻击。

Tailgating：尾随进入，未经授权的人跟着进门。

Impersonation：冒充。

Vishing：语音钓鱼，电话骗取信息。

Smishing：短信钓鱼。

4. 候选池

候选 1：先骗人，再过门。

保留。它能表达“人是入口”。

候选 2：只要是邮件就是社会工程。

淘汰。邮件可以是渠道，社会工程看的是欺骗和诱导。

候选 3：编身份、抛诱饵、跟门进。

保留。它能记住几个常见类型。

讨论结论：主记法用“先骗人，再过门”。社会工程的重点不是技术有多复杂，而是让人替攻击者开路。

5. 最终主记法

Social Engineering = 先骗人，再过门。

记完整句：攻击者不急着打服务器，他先让员工相信、着急、好奇或不好意思拒绝，再让员工把门、账号、链接或审批交出去。

翻回知识点就是：Social Engineering 利用人的心理和流程弱点诱导危险行为，常见形式包括钓鱼、借口攻击、诱饵、冒充和尾随。

6. 小白故事

小林网店前台接到电话。

对方说自己是总部 IT，正在处理紧急故障。

他知道公司内部项目名，还说老板在催。

前台开始紧张。

对方要求她重置一个账号密码。

这不是系统自己坏了。

这是攻击者用身份、压力和紧急感让人违反流程。

如果前台按制度做带外确认，打回官方通讯录里的 IT 电话，攻击就可能被拦住。

7. 回到考题

题目说 phishing、pretexting、baiting、impersonation，先想 Social Engineering。

题目说 someone follows an employee through a secure door（跟着员工进安全门），先想 Tailgating。

题目说 attacker creates a believable story（编可信故事），先想 Pretexting。

题目说 fake USB drive left in parking lot（停车场放诱饵 U 盘），先想 Baiting。

题目问防护，常看安全意识培训、身份核验、最小权限、报告流程和带外确认。

8. 别混

Social Engineering：利用人。

Phishing：社会工程的一种，常用消息和假页面。

Malware：恶意软件，可能通过社会工程送进去。

Physical Security：门禁、访客、摄像头等物理控制，尾随场景常和它相连。

Security Awareness Training：安全意识培训，是重要防护，不是攻击本身。

最容易错的地方：社会工程不是“没有技术”。它常和技术攻击配合，但题眼是人被诱导做了不该做的动作。

记忆卡：Password Attacks / Brute Force / Dictionary / Password Spraying / 密码攻击对照

密码攻击这张卡不要把所有猜密码都叫暴力破解。

小白先懂一句话：密码攻击都在想办法拿到账号入口，但不同方法的“猜法”不同。Brute Force 是硬试很多组合；Dictionary 是试常见词；Password Spraying 是拿少数常见密码扫很多账号。

1. 先懂一句话

Password Attack = 密码攻击。

它可能是猜，也可能是偷，也可能是拿泄露库去撞。

这里重点看三种猜法。

Brute Force（暴力破解）是不管多慢，按组合一个个试。

Dictionary Attack（字典攻击）是拿常见密码、常见词、变体词去试。

Password Spraying（密码喷洒）是每个账号只试一两个常见密码，换很多账号扫一遍，避免单个账号快速锁定。

2. 真正要背什么

这张卡真正要背 7 件事。

Brute Force 是大量尝试密码组合。
Dictionary Attack 是用常见词表和常见密码表尝试。
Password Spraying 是少量常见密码对很多账号横向尝试。
Credential Stuffing 是拿已泄露账号密码去别的网站尝试。
防护包括 MFA、账号锁定、速率限制、强密码、密码管理器和泄露密码检测。
账号锁定能挡单账号高频尝试，但对喷洒要配合全局监控。
日志里看失败模式：一个账号很多失败，还是很多账号各失败一两次。

3. 关键词拆解

Brute Force：暴力破解，穷举或大量尝试。

Dictionary Attack：字典攻击，用密码字典和常见词。

Password Spraying：密码喷洒，用少数常见密码扫很多账号。

Credential Stuffing：凭据填充 / 撞库，用泄露凭据去试其他系统。

Account Lockout：账号锁定。

Rate Limiting：速率限制。

MFA：Multi-Factor Authentication（多因素认证）。

4. 候选池

候选 1：暴力是一扇门狂试。

保留。它能记住单目标大量尝试。

候选 2：字典是拿常见词表试。

保留。它直接对应 Dictionary。

候选 3：喷洒是一把钥匙扫一排门。

保留。它非常适合记 Password Spraying。

候选 4：喷洒等于撞库。

淘汰。喷洒用常见密码扫很多账号，撞库用已经泄露的账号密码组合去试。

讨论结论：主记法用“三种试法”：一扇门狂试、拿词表试、一把钥匙扫一排门。

5. 最终主记法

Brute Force = 一扇门狂试。

Dictionary = 拿常见词表试。

Password Spraying = 一把常见钥匙扫一排门。

记完整句：暴力破解盯着一个账号不断试，字典攻击拿常见密码词表试，密码喷洒拿 Password123 这种常见密码去试很多账号，每个账号只碰几下。

翻回知识点就是：不同密码攻击的区别在于尝试范围、尝试频率和密码来源。

6. 小白故事

小林网店后台出现登录失败。

第一种日志显示：同一个 admin 账号一分钟失败几千次。

这像 Brute Force。

第二种日志显示：攻击者按 password、qwerty、company2026、summer2026 这些常见词试。

这像 Dictionary Attack。

第三种日志显示：几百个员工账号，每个账号只失败一两次，试的都是 Welcome1 或 Password123。

这像 Password Spraying。

如果安全团队只盯单个账号锁定，就可能漏掉喷洒。

要看全局失败模式。

7. 回到考题

题目说 tries every possible combination（尝试所有可能组合），先想 Brute Force。

题目说 uses a list of common passwords（使用常见密码列表），先想 Dictionary Attack。

题目说 one common password across many accounts（一个常见密码扫很多账号），先想 Password Spraying。

题目说 leaked username/password pairs（泄露的账号密码组合），先想 Credential Stuffing。

题目问防护，先看 MFA、速率限制、账号锁定、强密码策略、泄露密码检查和异常登录监控。

8. 别混

Brute Force：硬试大量组合。

Dictionary Attack：拿词表试。

Password Spraying：少数常见密码扫很多账号。

Credential Stuffing：拿泄露凭据撞其他系统。

Keylogger：记录用户输入，不是猜。

Phishing：骗用户交出密码，不是猜。

最容易错的地方：Password Spraying 的狡猾点是“每个账号只试很少次数”。所以它可能绕过简单账号锁定，必须从很多账号的失败模式里看出来。

记忆卡：Anti-malware / Endpoint Protection / 反恶意软件与端点保护

这张卡不要只背“装杀毒软件”。

小白先懂一句话：Anti-malware 和 Endpoint Protection 是守在每台电脑、服务器或终端上的检查员，负责发现、拦截、隔离或清除恶意软件。

1. 先懂一句话

Anti-malware = 反恶意软件。

Endpoint = 端点，比如员工电脑、服务器、笔记本、手机或虚拟机。

Endpoint Protection = 端点保护。

过去大家常说 antivirus（防病毒）。

但现在威胁不只是病毒。

还有木马、勒索软件、间谍软件、脚本攻击、恶意宏、可疑行为和无文件攻击。

所以考试里看到 anti-malware，不要只想“查病毒库”。

还要想到特征检测、行为检测、实时防护、隔离、更新和集中管理。

2. 真正要背什么

这张卡真正要背 6 件事。

Anti-malware 负责检测、阻止、隔离和清除恶意软件。
Signature-based detection（基于特征检测）靠已知样本特征。
Heuristic / behavior-based detection（启发式 / 行为检测）看可疑行为。
Quarantine（隔离）是把可疑文件关起来，不让它继续运行。
Definitions / signatures（病毒库 / 特征库）要持续更新。
Endpoint Protection 比单机杀毒更广，常带集中策略、设备控制、日志和响应能力。

3. 关键词拆解

Anti-malware：反恶意软件。

Antivirus：防病毒，传统说法，范围比现代 anti-malware 更窄。

Endpoint Protection：端点保护。

Signature：特征码，用来识别已知恶意软件。

Heuristic Detection：启发式检测，按可疑特征推断。

Behavior-Based Detection：行为检测，看程序正在做什么。

Quarantine：隔离，把可疑文件放进安全区域。

4. 候选池

候选 1：每台电脑门口的检查员。

保留。它能记住端点保护是守在设备上。

候选 2：只看病毒库。

淘汰。现代端点保护不只靠特征库。

候选 3：可疑文件关小房间。

保留但不做主记法。它适合记 quarantine。

讨论结论：主记法用“端点门口检查员”。看到文件、进程、脚本、行为进出端点，就想反恶意软件和端点保护。

5. 最终主记法

Anti-malware = 查坏程序。

Endpoint Protection = 每台设备门口的检查员。

Quarantine = 把可疑文件先关起来。

记完整句：小林网店每台电脑门口都有检查员，看到已知坏文件按特征拦，看到奇怪行为按行为拦，不能确定时先隔离，等安全人员确认。

翻回知识点就是：Anti-malware / Endpoint Protection 在端点上检测、阻止、隔离和清除恶意软件，并依赖更新、策略和监控保持有效。

6. 小白故事

小林网店客服下载了一个“订单修复工具”。

文件刚落到电脑上，端点保护先看它是不是已知恶意文件。

如果特征库里有，就直接拦。

如果特征库里没有，但它开始批量加密文档、关闭备份服务、连接陌生地址，行为检测也会报警。

安全工具可以把文件隔离。

隔离不是删除全部证据。

它是先让可疑文件不能继续运行，再让安全人员分析。

7. 回到考题

题目说 antivirus / anti-malware（防病毒 / 反恶意软件），先想检测和清除恶意软件。

题目说 signature updates（特征库更新），先想识别已知恶意软件。

题目说 behavior-based detection（基于行为检测），先想发现未知或变种威胁。

题目说 quarantine（隔离），先想把可疑文件限制起来。

题目说 centralized endpoint policy（集中端点策略），更像 Endpoint Protection 或 EDR 管理能力。

8. 别混

Anti-malware：发现和清除恶意软件。

Endpoint Protection：端点上的一组保护能力。

EDR：端点检测与响应，更强调行为调查、时间线和响应动作。

SIEM：集中日志和关联告警，不负责在端点上直接查杀文件。

SOAR：编排响应动作，不等于端点防护本身。

Sandbox：隔离环境里运行可疑样本看行为。

Forensic Imaging：取证镜像，是保全证据，不是杀毒。

最容易错的地方：反恶意软件是防护和处置工具，不等于完整事故响应，也不等于法庭取证。

记忆卡：Sandbox / Malware Analysis / 沙箱与恶意软件分析

Sandbox 这张卡不要背成“安全就能随便运行”。

小白先懂一句话：Sandbox 是隔离出来的测试房间，把可疑文件放进去运行，观察它会改什么、连哪里、写什么文件、开不开后门。

1. 先懂一句话

Sandbox = 沙箱。

它不是生产环境。

它是一个被隔离、可回滚、可监控的环境。

Malware Analysis = 恶意软件分析。

分析可以有两类。

Static Analysis（静态分析）不运行样本，先看文件结构、字符串、哈希、导入函数。

Dynamic Analysis（动态分析）运行样本，看它真实做了什么。

沙箱更常用于动态分析。

2. 真正要背什么

这张卡真正要背 6 件事。

Sandbox 用隔离环境运行可疑代码。
Malware Analysis 是分析恶意软件行为、能力和指标。
Static Analysis 不运行样本。
Dynamic Analysis 会运行样本并观察行为。
沙箱可以产出 IOC，比如文件哈希、域名、IP、注册表项、文件路径。
高级恶意软件可能检测沙箱并隐藏行为。

3. 关键词拆解

Sandbox：沙箱，隔离测试环境。

Malware Analysis：恶意软件分析。

Static Analysis：静态分析，不运行。

Dynamic Analysis：动态分析，运行观察。

Detonation：引爆，在受控环境里运行样本。

IOC：Indicator of Compromise（失陷指标）。

Evasion：规避，恶意软件识别沙箱后假装正常。

4. 候选池

候选 1：隔离测试房间。

保留。它能说明为什么不会直接放到生产系统跑。

候选 2：危险文件随便点。

淘汰。沙箱不是随便点，是受控运行。

候选 3：引爆后看碎片。

保留但不做主记法。它适合记 detonation 和 IOC。

讨论结论：主记法用“隔离测试房间”。把可疑样本放进去看动作，而不是在真实业务机器上冒险。

5. 最终主记法

Sandbox = 隔离测试房间。

Malware Analysis = 看坏程序到底干了什么。

记完整句：安全人员不在小林网店真服务器上打开可疑附件，而是把它放进隔离房间，观察它改文件、连域名、写注册表、启动进程的全过程。

翻回知识点就是：Sandbox 支持动态恶意软件分析，通过隔离运行样本来观察行为并提取 IOC。

6. 小白故事

小林网店收到一封带附件的可疑邮件。

客服不确定它是不是订单文件。

安全人员没有在办公电脑上打开。

他们把附件放进沙箱。

沙箱里记录到：文件运行后创建新进程，连接一个陌生域名，下载第二阶段程序，还修改启动项。

这些行为说明它不是普通订单文件。

安全团队把域名、哈希、文件路径加入检测规则。

这就是把“可疑”变成“可查、可拦、可解释”的过程。

7. 回到考题

题目说 sandbox（沙箱），先想隔离环境运行和观察。

题目说 detonate malware（引爆恶意软件），先想沙箱动态分析。

题目说 static analysis（静态分析），先想不运行样本。

题目说 dynamic analysis（动态分析），先想运行样本看行为。

题目说 malware evades sandbox（恶意软件逃避沙箱），先想样本可能检测虚拟环境、延迟执行或等待用户动作。

题目说 SAST（静态应用安全测试），那是看源代码或应用代码缺陷，不是把恶意软件放进沙箱运行。

8. 别混

Sandbox：隔离运行和观察。

Anti-malware：端点上检测和拦截。

Honeypot：诱导攻击者来碰假目标。

SAST：分析源代码或应用代码安全问题，不是恶意软件动态分析。

Forensic Lab：取证实验室，强调证据完整性和流程。

Production System：真实业务系统，不应该用来随便运行可疑样本。

最容易错的地方：沙箱的价值是“隔离和观察”，不是保证所有恶意软件都会暴露，也不是替代完整事故响应。

记忆卡：Incident Response Lifecycle / 事件响应生命周期

事件响应生命周期这张卡不要背成一串英文单词。

小白先懂一句话：Incident Response 是出事后按流程处理，不是看到告警就乱点。先准备，发现后分析，再控制扩散、清掉根因、恢复业务，最后复盘改进。

1. 先懂一句话

Incident = 安全事件。

Response = 响应。

Lifecycle = 生命周期。

它回答的问题是：公司遇到安全事件时，按什么步骤处理。

常见流程可以记成：

Preparation（准备）。

Detection and Analysis（检测与分析）。

Containment, Eradication, and Recovery（遏制、根除与恢复）。

Post-Incident Activity / Lessons Learned（事后活动 / 经验复盘）。

不同资料会把阶段名字拆得略有差异。

有的题会写 detection、response、mitigation、reporting、recovery、remediation、lessons learned。

不要死背某一套词。

先看题干动作：现在是在发现、缓解、报告、恢复、补救，还是复盘。

2. 真正要背什么

这张卡真正要背 5 件事。

事件响应是流程，不是单个工具。
Preparation 是事前准备。
Detection and Analysis 是发现并判断发生了什么。
Containment, Eradication, Recovery 是控制、清除和恢复。
Lessons Learned 是事后改进，更新流程、控制和培训。

3. 关键词拆解

Incident Response：事件响应。

Preparation：准备。

Detection：检测。

Analysis：分析。

Containment：遏制。

Eradication：根除。

Recovery：恢复。

Lessons Learned：经验复盘。

4. 候选池

候选 1：先备战，后断案，再止血清伤，最后复盘。

保留。它把顺序和动作连起来。

候选 2：看到病毒先重装。

淘汰。直接重装可能破坏证据，也可能没弄清范围。

候选 3：准备、发现、分析、控制、清除、恢复、复盘。

保留但不做主记法。它是正式顺序，适合考试回忆。

讨论结论：主记法用“备战、断案、止血清伤、复盘”。小白先懂流程为什么有顺序，再背英文阶段。

5. 最终主记法

Incident Response Lifecycle = 备战、断案、止血清伤、复盘。

记完整句：安全事件不是靠临场乱救，平时准备工具和人；出事后先确认事实和范围；再控制扩散、清掉恶意内容、恢复业务；最后复盘把制度补上。

翻回知识点就是：Incident Response Lifecycle 是组织处理安全事件的阶段化流程。

6. 小白故事

小林网店发现后台账号异常登录。

如果团队没有准备，大家会先争论谁负责。

如果有事件响应流程，值班人员知道先保存日志、确认账号、判断范围、通知负责人。

确认是攻击后，先限制账号和受影响主机。

再清除恶意访问方式。

然后恢复业务。

最后开复盘会：为什么被盗、报警是否及时、流程哪里慢、下次怎么更快。

这就是事件响应生命周期。

7. 回到考题

题目说 incident response lifecycle（事件响应生命周期），先想阶段化处理。

题目问 first / before incident（事前），常看 Preparation。

题目说 identify scope and impact（确认范围和影响），常看 Detection and Analysis。

题目说 limit damage（限制损害），常看 Containment。

题目说 remove malware/root cause（清除恶意软件 / 根因），常看 Eradication。

题目说 return systems to normal（恢复正常），常看 Recovery。

题目说 improve process after incident（事后改进流程），常看 Lessons Learned。

题目说 mitigation（缓解），通常看先降低影响、限制损害，不是最后复盘。

题目说 reporting（报告），看通知、升级、记录和合规报告要求。

8. 别混

Incident Response：处理安全事件的完整流程。

Disaster Recovery：灾后恢复 IT 系统，重点是重大中断后的恢复。

Business Continuity：让业务继续运转。

Forensics：保全和分析证据，常嵌在事件响应里。

SOAR：自动化响应工具，不等于整个事件响应生命周期。

最容易错的地方：事件响应不是只有“恢复”。考试会问当前处在哪一步，要看动作：准备、发现、分析、遏制、根除、恢复、复盘。

记忆卡：Preparation / Detection / Analysis / 准备、检测与分析

这张卡不要把“准备”和“分析”混在一起。

小白先懂一句话：Preparation 是出事前把人、流程、工具、联系人准备好；Detection 是发现异常；Analysis 是确认它是不是事件、影响多大、该怎么处理。

1. 先懂一句话

Preparation = 准备。

它发生在事故前。

比如写响应计划、分配角色、准备取证工具、定义升级路径、建立日志、训练团队。

Detection = 检测。

它是看见异常信号。

比如 SIEM 告警、EDR 告警、用户报告、日志异常、外部情报命中。

Analysis = 分析。

它是把告警翻译成现实判断：这是真的吗？影响哪些资产？攻击者做了什么？现在严重到什么程度？

2. 真正要背什么

这张卡真正要背 6 件事。

Preparation 是事前准备，不是事故中才写计划。
Detection 是发现可疑迹象。
Analysis 是确认事件、范围、影响和优先级。
检测不等于确认，告警可能误报。
分析要看日志、时间线、资产重要性、账号行为和 IOC。
准备越好，后面响应越快越稳。

3. 关键词拆解

Preparation：准备。

Incident Response Plan：事件响应计划。

Playbook：响应剧本。

Detection：检测。

Alert：告警。

Triage：分诊 / 初步分类。

Analysis：分析。

Scope：范围。

Impact：影响。

4. 候选池

候选 1：先把急救箱放好。

保留。Preparation 是事前准备，不是事后才找工具。

候选 2：报警声就是结论。

淘汰。Detection 只是发现信号，Analysis 才判断事实。

候选 3：告警变案情。

保留。Analysis 的价值就是把零散信号变成判断。

讨论结论：主记法用“急救箱、报警声、案情判断”。准备是工具和流程，检测是铃响，分析是判断到底发生了什么。

5. 最终主记法

Preparation = 急救箱先放好。

Detection = 报警声响。

Analysis = 判断案情。

记完整句：平时先准备联系人、日志、工具和剧本；告警响了先发现异常；分析人员再判断是不是事件、影响哪些系统、优先级有多高。

翻回知识点就是：准备、检测和分析分别对应事件响应的事前基础、异常发现和事件确认。

6. 小白故事

小林网店提前准备了事件响应联系人表。

谁负责账号，谁负责服务器，谁联系法务，谁通知管理层，都写清楚。

这叫 Preparation。

某天 SIEM 告警：一个客服账号凌晨登录并导出大量数据。

这叫 Detection。

安全人员查看登录地点、导出记录、设备状态和用户排班。

发现客服当天不在岗，导出表包含客户资料。

这叫 Analysis。

如果没有分析，团队可能把误报当大案，也可能把真实攻击当小问题。

7. 回到考题

题目说 train the response team（训练响应团队）、create playbooks（编写剧本）、prepare tools（准备工具），先想 Preparation。

题目说 CSIRT / Computer Security Incident Response Team（计算机安全事件响应团队），常和 Preparation、角色分工、响应流程有关。

题目说 alert generated（产生告警）、suspicious activity detected（发现可疑活动），先想 Detection。

题目说 determine scope / impact / severity（确定范围 / 影响 / 严重性），先想 Analysis。

题目说 false positive（误报），常说明检测后还需要分析确认。

题目问分类优先级，常看 triage（分诊 / 初步分类）。

题目说 triage，不要直接跳到恢复。它更像前段分诊：先判断严重程度、影响范围和处理优先级。

8. 别混

Preparation：出事前准备。

Detection：发现信号。

Analysis：确认事实和范围。

Containment：限制损害继续扩大。

Eradication：清除根因。

Recovery：恢复正常服务。

最容易错的地方：告警不是结论。检测到可疑行为后，还要分析它是不是真事件、范围多大、先救哪里。

记忆卡：Containment / Eradication / Recovery / 遏制、根除与恢复

这张卡不要把“隔离机器”和“事件结束”画等号。

小白先懂一句话：Containment 是先别让火继续烧；Eradication 是把火源和残留清掉；Recovery 是确认干净后把业务安全拉回来。

1. 先懂一句话

Containment = 遏制。

它的目标是限制损害。

比如隔离主机、禁用账号、封禁恶意 IP、切断网络、暂停受影响服务。

Eradication = 根除。

它的目标是清除原因。

比如删除恶意软件、移除后门、修补漏洞、重置凭据、关闭被利用的配置。

Recovery = 恢复。

它的目标是把系统带回正常运行。

但恢复前要确认已经干净，不然恢复就是把攻击带回生产环境。

2. 真正要背什么

这张卡真正要背 6 件事。

Containment 限制事件扩大。
Eradication 清除恶意内容和根因。
Recovery 恢复系统和业务。
遏制可以短期，也可以长期。
根除常包括修补漏洞、清除恶意软件、重置密码。
恢复要监控，确认攻击没有复发。

3. 关键词拆解

Containment：遏制。

Short-Term Containment：短期遏制，快速止损。

Long-Term Containment：长期遏制，维持业务同时控制风险。

Eradication：根除。

Root Cause：根因。

Recovery：恢复。

Validation：验证，确认恢复系统可信。

4. 候选池

候选 1：先关阀，再清管，最后通水。

保留。它能说明三步不能乱。

候选 2：重启服务器就是恢复。

淘汰。没根除就重启，攻击可能回来。

候选 3：拔网线就结束。

淘汰。拔网线只是可能的遏制，不是完整响应。

讨论结论：主记法用“关阀、清管、通水”。先阻止继续流出，再清掉问题，最后恢复服务。

5. 最终主记法

Containment = 关阀止损。

Eradication = 清掉根因。

Recovery = 安全复工。

记完整句：发现小林网店后台被攻破，先关掉被盗账号和受感染主机，防止继续扩散；再清后门、补漏洞、换密码；最后恢复系统并持续监控。

翻回知识点就是：Containment 限制损害，Eradication 移除攻击根因，Recovery 将系统安全恢复到正常运行。

6. 小白故事

小林网店一台服务器中了勒索软件。

第一反应不是立刻恢复备份。

先要遏制。

比如断开这台服务器的网络，暂停被盗账号，阻止它继续加密共享盘。

然后根除。

安全团队找出入口，清除恶意程序，修补被利用的漏洞，重置相关账号。

最后恢复。

从干净备份恢复系统，验证文件完整，确认没有异常连接，再让业务回来。

如果跳过根除，恢复出来的系统可能很快又被打。

7. 回到考题

题目说 limit damage / prevent spread（限制损害 / 防止扩散），先想 Containment。

题目说 isolate affected host（隔离受影响主机）、disable compromised account（禁用被盗账号），常看 Containment。

题目说 remove malware / patch exploited vulnerability / remove backdoor（清除恶意软件 / 修补漏洞 / 移除后门），先想 Eradication。

题目说 restore from backup / return to production（从备份恢复 / 回到生产），先想 Recovery。

题目说 monitoring after restoration（恢复后监控），仍属于 Recovery 的安全确认。

8. 别混

Containment：先控制范围。

Eradication：清除根因。

Recovery：恢复业务。

Disaster Recovery：更偏灾后 IT 系统恢复。

Business Continuity：业务不中断或尽快继续。

最容易错的地方：隔离不等于清除，清除不等于恢复。考试问动作时，要看它是在止损、除根，还是复工。

记忆卡：Lessons Learned / 经验复盘

Lessons Learned 这张卡不要背成“写个总结”。

小白先懂一句话：经验复盘是在事件结束后把问题讲清楚、改流程、改控制、改培训，让下一次不再用同样方式摔倒。

1. 先懂一句话

Lessons Learned = 经验教训 / 经验复盘。

它发生在事件处理后。

重点不是找人背锅。

重点是回答：

哪里发现慢了？

哪里沟通乱了？

哪些日志不够？

哪些控制没起作用？

剧本要不要改？

培训要不要补？

预算或工具要不要调整？

2. 真正要背什么

这张卡真正要背 6 件事。

Lessons Learned 是事件后的复盘阶段。
目标是改进流程、控制、工具和培训。
产出可能是报告、行动项、更新后的 playbook、改进计划。
它不是事故处理中最先做的事。
它要基于事实和时间线，不是凭感觉责怪个人。
它能把一次事件变成组织能力提升。

3. 关键词拆解

Lessons Learned：经验复盘。

Post-Incident Activity：事后活动。

After-Action Report：事后报告。

Root Cause：根因。

Corrective Action：纠正措施。

Playbook Update：剧本更新。

Metrics：指标，比如检测时间、遏制时间、恢复时间。

4. 候选池

候选 1：把摔倒的台阶垫平。

保留。它能说明复盘是为了下次不再摔。

候选 2：开会骂人。

淘汰。复盘不是找替罪人。

候选 3：把经验写回剧本。

保留。它能连接行动项。

讨论结论：主记法用“把经验写回剧本”。复盘的价值是让下一次响应更快、更准、更稳。

5. 最终主记法

Lessons Learned = 把经验写回剧本。

记完整句：事件结束后，小林团队不只是说“幸好恢复了”，而是把哪里慢、哪里乱、哪里没日志、哪里要培训写成行动项，更新响应剧本。

翻回知识点就是：Lessons Learned 是事后复盘，用来改进事件响应能力和安全控制。

6. 小白故事

小林网店处理完一次钓鱼事件。

账号恢复了，数据也确认没有外泄。

但事情没有结束。

团队开复盘会。

他们发现：员工不知道怎么报告钓鱼邮件，SIEM 告警规则太晚触发，联系人表有旧电话，禁用账号流程要等太久。

于是他们更新培训、修改告警规则、更新联系人表、把禁用账号步骤写进 SOAR 剧本。

下次再遇到同类事件，团队不会从头慌。

7. 回到考题

题目说 after incident（事件后）、post-incident review（事后评审），先想 Lessons Learned。

题目说 update policies / procedures / playbooks（更新政策 / 程序 / 剧本），常看 Lessons Learned。

题目说 improve future response（改进未来响应），先想 Lessons Learned。

题目说 determine what happened during active incident（事件中判断发生什么），那是 Analysis，不是 Lessons Learned。

题目说 restore service（恢复服务），那是 Recovery，不是复盘。

8. 别混

Lessons Learned：事后改进。

Root Cause Analysis：根因分析，复盘里常会做。

Recovery：恢复业务。

Audit：审计可以检查流程是否符合要求，但不等于事件复盘。

Blame：追责不是复盘的核心目标。

最容易错的地方：复盘不是最后写一页漂亮报告。考试更看它有没有转化成更新流程、控制、培训和检测规则。

记忆卡：Forensic Imaging / Write Blocker / 取证镜像与写保护器

这张卡不要把“复制文件”和“取证镜像”混在一起。

小白先懂一句话：取证镜像是按取证要求完整复制存储介质，尽量保留原样；写保护器是防止取证人员不小心改动原始证据。

1. 先懂一句话

Forensic Imaging = 取证镜像。

它不是把几个文件拖到 U 盘。

它要尽可能做 bit-by-bit copy（逐位复制），把磁盘里的内容、空闲空间、删除残留等都保留下来。

Write Blocker = 写保护器。

它夹在取证电脑和原始硬盘之间。

作用是允许读取，不允许写入。

这样取证人员查看和复制证据时，不会改动原盘。

2. 真正要背什么

这张卡真正要背 6 件事。

Forensic image 是取证镜像，不是普通文件复制。
取证镜像尽量逐位复制整个介质。
原始证据应尽量保持不变。
Write blocker 防止对原始介质写入。
取证镜像通常要计算 hash（哈希）验证完整性。
分析应尽量在镜像副本上做，而不是直接动原盘。

3. 关键词拆解

Forensic Imaging：取证镜像。

Bit-by-Bit Copy：逐位复制。

Write Blocker：写保护器。

Hash：哈希，用来验证镜像和原始数据一致。

Original Evidence：原始证据。

Working Copy：工作副本，用来分析的副本。

4. 候选池

候选 1：给硬盘拍一张不改原件的全身照。

保留。它能说明完整复制和不动原件。

候选 2：复制桌面文件就行。

淘汰。取证镜像不是普通复制。

候选 3：只读阀门。

保留但不做主记法。它适合记 write blocker。

讨论结论：主记法用“全身照加只读阀门”。镜像是全身照，写保护器是只读阀门。

5. 最终主记法

Forensic Imaging = 给硬盘拍全身照。

Write Blocker = 只读阀门。

记完整句：取证人员不在原始硬盘上翻来翻去，而是用写保护器防止写入，做一份完整镜像，再用哈希证明镜像和原盘一致。

翻回知识点就是：Forensic imaging 用受控方式复制证据介质，write blocker 防止改动原始证据，hash 用于验证完整性。

6. 小白故事

小林网店一台财务电脑疑似被入侵。

安全人员不能随便开机乱点。

因为系统启动、打开文件、安装工具都可能改动时间戳和证据。

取证人员把硬盘接到写保护器上。

写保护器只允许读取。

然后制作取证镜像。

镜像完成后，计算原盘和镜像的哈希。

哈希一致，说明镜像可信。

后续分析在镜像副本上做。

原盘保存起来，避免证据被破坏。

7. 回到考题

题目说 bit-by-bit copy（逐位复制）、forensic image（取证镜像），先想完整复制介质。

题目说 prevent modification of original evidence（防止修改原始证据），先想 Write Blocker。

题目说 hash before and after imaging（镜像前后哈希），先想验证完整性。

题目说 copy selected files（复制选定文件），这不是完整取证镜像。

题目问分析应该在哪做，优先在 working copy（工作副本）上做。

8. 别混

Forensic Imaging：完整复制证据介质。

Backup：业务恢复用备份，不一定满足取证要求。

Write Blocker：防止写入原始证据。

Chain of Custody：记录证据谁拿过、何时拿、怎么保管。

Legal Hold：法律要求下暂停删除相关信息。

最容易错的地方：取证第一目标是保全证据完整性。普通复制、直接打开原盘、随便安装工具，都可能破坏证据。

记忆卡：Chain of Custody / Evidence Handling / 保管链与证据处理

这张卡不要背成“把证据收好”。

小白先懂一句话：Chain of Custody 是证据从发现到提交期间的交接记录。谁拿过、什么时候拿、在哪里、做了什么、证据状态怎样，都要能讲清楚。

1. 先懂一句话

Chain = 链条。

Custody = 保管。

Chain of Custody = 保管链。

它是证据可信度的记录链。

Evidence Handling = 证据处理。

它包括收集、标记、封存、传递、存储、分析和提交证据。

如果证据中间没人记录，或者谁都能碰，法庭或调查方就可能质疑：这个证据有没有被改过？

2. 真正要背什么

这张卡真正要背 7 件事。

保管链记录证据从收集到呈交的全过程。
每次交接都要记录时间、人员、地点、目的和状态。
证据要标记、封存、编号和安全存储。
分析时要尽量保护原始证据。
保管链支持证据完整性和可采性。
证据处理不规范会削弱调查和法律使用价值。
Hash、照片、签名和访问记录都可以帮助证明证据未被篡改。

3. 关键词拆解

Chain of Custody：保管链。

Evidence Handling：证据处理。

Evidence Tag：证据标签。

Sealing：封存。

Transfer Log：交接记录。

Integrity：完整性。

Admissibility：可采性，证据能否被正式接受。

4. 候选池

候选 1：证据接力签名表。

保留。它能说明谁接过都要签。

候选 2：证据放桌上大家看。

淘汰。没人记录、没人控制，就可能破坏可信度。

候选 3：每一手都留痕。

保留。它是保管链的核心。

讨论结论：主记法用“证据接力签名表”。证据像接力棒，每次交给谁都要登记。

5. 最终主记法

Chain of Custody = 证据接力签名表。

Evidence Handling = 证据拿、封、交、存、查都要有规矩。

记完整句：硬盘从小林办公室取走、交给取证人员、放入证据柜、拿出来分析、再交给法务，每一步都要记录谁、何时、为何、状态怎样。

翻回知识点就是：Chain of Custody 通过连续记录证据保管和交接过程，证明证据完整性和可信度。

6. 小白故事

小林网店发生数据泄露。

安全人员拿走一台涉事电脑。

如果只是抱走电脑，没人签字，没人封存，没人记录时间，后面就说不清楚。

取证人员应该给设备贴标签。

记录设备序列号、发现地点、收集时间、收集人。

封存后放进受控证据柜。

谁拿出来分析、什么时候拿、什么时候还，都写进记录。

这样以后别人问“这块硬盘有没有被换过或改过”，团队才有证据回答。

7. 回到考题

题目说 who had evidence and when（谁何时持有证据），先想 Chain of Custody。

题目说 evidence transfer log（证据交接记录），先想保管链。

题目说 preserve admissibility（保持证据可采性），常看证据处理和保管链。

题目说 label, seal, document（标记、封存、记录），常看 Evidence Handling。

题目说 hash verifies evidence integrity（哈希验证证据完整性），可以支持证据处理，但不等于完整保管链。

题目说 chain of command（命令链 / 指挥链），那是组织里的汇报或指挥关系，不是证据保管链。

8. 别混

Chain of Custody：证据交接和保管记录。

Chain of Command：命令链 / 指挥链，说明谁向谁汇报，不是证据链。

Forensic Imaging：制作证据镜像。

Write Blocker：防止改动原始介质。

Legal Hold：暂停删除相关资料。

Audit Log：系统日志，可以作为证据，但不是保管链本身。

最容易错的地方：保管链不是技术工具名字。它是一条能证明证据没有失控、没有被随意改动的记录链。

记忆卡：Order of Volatility / 易失性顺序

Order of Volatility 这张卡不要背成“先拷硬盘”。

小白先懂一句话：易失性顺序是在取证时先收最容易消失的数据。越容易随着断电、重启或时间流逝消失，就越要先收。

1. 先懂一句话

Volatility = 易失性。

Order of Volatility = 易失性顺序。

有些证据很容易消失。

比如内存里的恶意进程、网络连接、登录会话、路由表、ARP 缓存。

一关机，很多就没了。

有些证据比较稳定。

比如硬盘文件、备份、归档介质。

所以取证不是随便从哪开始。

要先抢救最容易消失的证据。

2. 真正要背什么

这张卡真正要背 6 件事。

易失性高的数据先收集。
内存、进程、网络连接、登录会话通常比硬盘文件更易失。
磁盘、备份、归档介质相对更稳定。
断电或重启可能破坏易失证据。
收集顺序要平衡证据保全和业务影响。
取证动作本身也可能改变系统，所以要记录方法和时间。

3. 关键词拆解

Order of Volatility：易失性顺序。

RAM / Memory：内存。

Running Processes：正在运行的进程。

Network Connections：网络连接。

Routing Table：路由表。

ARP Cache：ARP 缓存。

Disk Image：磁盘镜像。

Archives：归档数据。

4. 候选池

候选 1：先接住会蒸发的证据。

保留。它能说明为什么先收内存和连接。

候选 2：先把电脑关机保护现场。

淘汰。直接关机可能丢失内存和连接证据。

候选 3：热证据先拿，冷证据后拿。

保留但不做主记法。它简短，但小白可能不知道热冷指什么。

讨论结论：主记法用“先接住会蒸发的证据”。看到 volatile，就想不赶紧收就没了。

5. 最终主记法

Order of Volatility = 先接住会蒸发的证据。

记完整句：小林服务器还开着时，内存、进程、网络连接和登录会话像热气一样会散；硬盘和备份相对稳定，所以取证先抢易失数据，再做磁盘镜像。

翻回知识点就是：Order of Volatility 指按数据消失速度决定取证收集优先级，先收最易失的数据。

6. 小白故事

小林网店服务器疑似被远控。

有人说先关机拔电源。

取证人员停住了。

如果立刻关机，内存里的恶意进程、当前网络连接、攻击者会话、临时密钥都可能消失。

所以他们先记录系统时间、当前连接、运行进程、登录用户和内存。

然后再做磁盘镜像。

这样既能看到“硬盘里有什么”，也能看到“事件发生时系统正在做什么”。

7. 回到考题

题目说 order of volatility，先想先收最容易消失的数据。

题目说 live system（运行中的系统），先想内存、进程、网络连接、登录会话。

题目问关机前要注意什么，先想会丢失易失证据。

题目说 disk image（磁盘镜像），它重要，但不一定总是第一步。

题目说 logs on remote server（远程日志），也要考虑保全，但通常没有内存那么易失。

8. 别混

Order of Volatility：决定先收哪些证据。

Chain of Custody：记录证据交接。

Forensic Imaging：复制磁盘等介质。

Incident Containment：限制攻击扩大。

Business Availability：业务可用性，有时会和取证完整性产生权衡。

最容易错的地方：取证不是固定永远先关机或永远先拷硬盘。考试看“什么证据最容易消失”，优先收它。

记忆卡：Legal Hold / eDiscovery / 法律保留与电子取证发现

这张卡不要把法律保留和技术备份混在一起。

小白先懂一句话：Legal Hold 是一旦可能涉及诉讼或调查，就通知相关人员停止删除相关资料；eDiscovery 是在法律流程中识别、保全、收集、审查和提交电子信息。

1. 先懂一句话

Legal Hold = 法律保留。

它像一条正式命令：这些邮件、聊天记录、文件、日志、备份和业务记录不要删。

哪怕公司平时有自动删除政策，也要暂停相关删除。

eDiscovery = Electronic Discovery（电子发现）。

它是在诉讼或调查中处理电子存储信息。

电子存储信息常叫 ESI = Electronically Stored Information（电子存储信息）。

eDiscovery 关注的是哪些资料相关、怎么保全、怎么收集、怎么审查、怎么提供给法律程序。

2. 真正要背什么

这张卡真正要背 7 件事。

Legal Hold 是为了防止相关资料被删除或改动。
它通常由法务触发或管理。
它会暂停正常保留和删除策略中的相关部分。
eDiscovery 处理电子证据的识别、保全、收集、处理、审查和提交。
ESI 包括邮件、文档、聊天、数据库记录、日志、云数据等。
IT 负责技术协助，但法律范围和保留要求通常由法务决定。
没有遵守 legal hold 可能导致证据破坏和法律后果。

3. 关键词拆解

Legal Hold：法律保留。

Litigation Hold：诉讼保留，legal hold 的常见说法。

eDiscovery：电子发现。

ESI：Electronically Stored Information（电子存储信息）。

Preservation：保全。

Collection：收集。

Processing：处理 / 粗筛，把数据转换、去重、索引，减少后续审查量。

Review：审查。

Production：提交 / 提供。

4. 候选池

候选 1：法务按下暂停删除键。

保留。它能直接记住 Legal Hold。

候选 2：备份多做一份。

淘汰。备份不是法律保留，法律保留是停止删除相关资料。

候选 3：电子资料进法律流程。

保留。它能记住 eDiscovery。

讨论结论：主记法用“法务按下暂停删除键”。Legal Hold 先让相关资料别消失，eDiscovery 再按法律流程处理这些电子资料。

5. 最终主记法

Legal Hold = 法务按下暂停删除键。

eDiscovery = 电子资料进法律流程。

记完整句：小林网店可能涉及客户数据诉讼，法务通知 IT 暂停删除相关邮件、日志和聊天记录；随后按 eDiscovery 流程识别、保全、收集、审查并提交相关电子资料。

翻回知识点就是：Legal Hold 防止相关 ESI 被删除或更改，eDiscovery 是法律程序中处理电子信息的流程。

6. 小白故事

小林网店收到律师函。

事件和某段时间的客户数据处理有关。

公司平时邮件 90 天自动删除。

法务马上发出 Legal Hold。

相关人员不能删除邮件、聊天、文档和日志。

IT 也要暂停对应自动清理策略。

之后进入 eDiscovery。

团队识别哪些系统有相关资料，保全数据，导出副本，交给法务审查，最后按要求提交。

这不是普通备份。

它是法律流程里的资料保全和发现。

7. 回到考题

题目说 legal hold / litigation hold（法律保留 / 诉讼保留），先想暂停删除相关资料。

题目说 suspend retention deletion（暂停保留期删除），先想 Legal Hold。

题目说 ESI（电子存储信息），先想 eDiscovery。

题目说 identify, preserve, collect, review, produce（识别、保全、收集、审查、提交），先想 eDiscovery。

题目说 processing（处理），常是去重、转换格式、索引和缩小数据量。

题目说 review（审查），常是判断相关性、敏感性和律师-客户特权内容。

题目问谁决定法律保留范围，通常看 legal counsel / 法务。

8. 别混

Legal Hold：停止删除相关资料。

eDiscovery：法律流程中处理电子资料。

Backup：恢复业务或数据，不等于法律保留。

Data Retention：正常的数据保留周期。

Chain of Custody：证据交接记录。

最容易错的地方：Legal Hold 不是“保存得久一点”这么简单。它会覆盖正常删除策略，确保相关证据不会因为自动清理而消失。

记忆卡：Security Logging / Audit Logging / 安全日志与审计日志

日志这张卡不要只背“系统会记录东西”。

小白先懂一句话：Security Logging 是把安全相关动作记下来；Audit Logging 是让以后能追问“谁在什么时候做了什么”，用来调查、问责和证明合规。

1. 先懂一句话

Log = 日志。

它像系统账本。

人登录了没有。

从哪里登录。

访问了哪个文件。

有没有失败。

管理员改了什么配置。

这些都可能被写进日志。

Audit = 审计。

审计更关心以后能不能复盘、调查、问责和证明。

所以日志不是为了好看。

它是事后还原现场的材料。

2. 真正要背什么

这张卡真正要背 7 件事。

Security logging 记录安全相关事件。
Audit logging 支持审计、调查、合规和问责。
关键字段包括时间、用户、来源、目标、动作、结果。
日志要保护完整性，防止攻击者删除或篡改。
日志要集中收集，方便关联分析。
只记录不查看，价值会大幅下降。
日志内容要平衡安全、隐私、存储和合规要求。

3. 关键词拆解

Security Logging：安全日志记录。

Audit Logging：审计日志记录。

Audit Trail：审计跟踪，能把一串动作连起来。

Event：事件。

Timestamp：时间戳。

Source IP：来源 IP。

Success / Failure：成功 / 失败。

Tamper-Resistant Logs：防篡改日志。

4. 候选池

候选 1：系统账本。

保留。日志就是记录谁做了什么。

候选 2：监控摄像头回放。

保留但不做主记法。它能表达复盘，但日志不是视频。

候选 3：有日志就安全。

淘汰。日志不看、不保护、不关联，就不一定能发挥作用。

讨论结论：主记法用“系统账本”。账本要写清楚、不能被乱改、还要有人查。

5. 最终主记法

Security Logging = 系统安全账本。

Audit Logging = 以后能追责的账本。

记完整句：小林网店后台每次登录、失败、导出客户资料、修改权限，都写到账本里；出事后才能知道谁、何时、从哪里、对什么做了什么。

翻回知识点就是：安全日志和审计日志通过记录安全相关活动，支持检测、调查、问责和合规。

6. 小白故事

小林网店发现客户资料被导出。

如果没有日志，团队只能猜。

如果有日志，团队能看到凌晨 2 点有账号登录。

来源 IP 是陌生地址。

登录后访问客户数据库。

随后导出大量记录。

管理员还可以查这个账号是不是本人、是不是 MFA 通过、是不是权限被临时提升。

日志让一件模糊的坏事变成可以调查的时间线。

但如果攻击者先删了日志，调查就会断线。

所以日志本身也要被保护。

7. 回到考题

题目说 who did what and when（谁在什么时候做了什么），先想 audit logging。

题目说 reconstruct events（重建事件过程），先想 audit trail。

题目说 accountability（问责性），日志常是关键材料。

题目说 tamper with logs（篡改日志），先想保护日志完整性和集中收集。

题目说 correlate logs from many sources（关联多个来源日志），常看 SIEM。

题目问直接阻止未授权访问，通常看访问控制、认证、授权或防火墙，不是日志本身。

8. 别混

Logging：记录事件。

Monitoring：持续查看和发现异常。

Auditing：按规则检查和评价。

Access Control：直接控制能不能访问，日志更多负责记录、检测、调查和问责。

SIEM：集中收集、规范化和关联日志。

Log Retention：日志保留多久。

最容易错的地方：日志不是“记录了就完”。考试常问能不能调查、能不能问责、日志有没有被保护、保留多久。

记忆卡：Log Retention / 日志保留

Log Retention 这张卡不要背成“日志越久越好”。

小白先懂一句话：日志保留是在决定日志留多久、放哪里、谁能看、什么时候销毁。它要平衡调查需要、法规要求、存储成本和隐私风险。

1. 先懂一句话

Retention = 保留。

Log Retention = 日志保留。

日志不能今天记完明天就全删。

否则一个月后发现攻击，关键证据已经没了。

但日志也不是无限期越留越好。

留太久会占存储。

可能暴露个人信息。

也可能违反隐私或数据最小化要求。

所以组织要定义保留期限和销毁规则。

2. 真正要背什么

这张卡真正要背 6 件事。

日志保留期限由法规、合同、业务、调查和风险决定。
不同日志可能有不同保留期限。
热日志方便快速查询，归档日志成本低但恢复慢。
日志要保护机密性、完整性和可用性。
Legal hold（法律保留）会暂停相关日志删除。
保留期到后要按政策安全销毁，不是随便扔。

3. 关键词拆解

Log Retention：日志保留。

Retention Period：保留期限。

Archive：归档。

Hot Storage：热存储，查询快。

Cold Storage：冷存储，成本低但访问慢。

Secure Deletion：安全删除。

Legal Hold：法律保留，暂停删除相关资料。

4. 候选池

候选 1：账本放多久。

保留。它直接解释 retention。

候选 2：永远不删最安全。

淘汰。隐私、成本、法规和风险都不允许盲目无限保留。

候选 3：该查时找得到，该删时删干净。

保留。它能表达保留和销毁都要受控。

讨论结论：主记法用“账本放多久”。小白先懂保留期限不是拍脑袋，是由法律和业务需要决定。

5. 最终主记法

Log Retention = 账本放多久。

记完整句：小林网店不是把所有日志永远堆着，也不是很快删掉，而是按法规、调查需要和业务风险规定保留期限，到期后按规则安全销毁。

翻回知识点就是：Log Retention 定义日志保存、归档、访问和销毁要求，以支持调查、合规和风险管理。

6. 小白故事

小林网店 6 月发现 3 月份可能发生过数据泄露。

如果登录日志只留 7 天，调查就没材料。

如果日志保留 1 年，团队还能查那段时间谁登录、谁导出、谁改权限。

但另一类调试日志可能包含敏感个人数据。

它不能无限期存放。

法务如果发出 legal hold，相关日志即使到了原本删除日期，也要先暂停删除。

所以日志保留不是“多存一点”，而是一套有理由的保存和删除规则。

7. 回到考题

题目说 retention period（保留期限），先想日志或数据要留多久。

题目说 regulatory requirement（法规要求），常影响保留时间。

题目说 archive logs（归档日志），先想长期保存和较低频访问。

题目说 legal hold，相关日志不能按普通保留策略删除。

题目说 privacy risk（隐私风险），说明日志不是越久越好。

8. 别混

Log Retention：日志留多久。

Backup：用于恢复数据或系统。

Legal Hold：法律要求下暂停删除。

Data Retention：更广的数据保留。

Audit Logging：记录审计事件。

最容易错的地方：日志保留是策略问题，不是单纯存储问题。考试会看法规、调查、隐私和成本之间的平衡。

记忆卡：Time Synchronization / NTP / 时间同步与网络时间协议

时间同步这张卡不要背成“电脑时间准一点”。

小白先懂一句话：Time Synchronization 是让不同系统使用一致时间。NTP 是常见时间同步协议。没有统一时间，日志时间线会乱，事件调查会对不上。

1. 先懂一句话

Time Synchronization = 时间同步。

NTP = Network Time Protocol（网络时间协议）。

一个安全事件通常不只发生在一台机器。

防火墙有日志。

服务器有日志。

数据库有日志。

EDR 有日志。

如果每台机器的时间都差几分钟甚至几小时，调查人员就很难把事件串起来。

所以时间同步是日志、审计、取证和事件响应的基础。

2. 真正要背什么

这张卡真正要背 6 件事。

NTP 用来同步系统时间。
统一时间能帮助日志关联和事件重建。
时间戳错误会影响调查、审计和证据可信度。
时间源要可信，不能随便信任未知时间服务器。
关键系统应使用统一、可靠、受控的时间源。
时间同步也要被保护，避免攻击者篡改时间掩盖痕迹。

3. 关键词拆解

Time Synchronization：时间同步。

NTP：Network Time Protocol（网络时间协议）。

Timestamp：时间戳。

Clock Drift：时钟漂移，系统时间慢慢偏离。

Authoritative Time Source：权威时间源。

UTC：Coordinated Universal Time（协调世界时）。

Log Correlation：日志关联。

4. 候选池

候选 1：全公司对同一块表。

保留。它能说明所有系统时间一致。

候选 2：时间只是显示用。

淘汰。安全里时间关系到调查、审计和证据。

候选 3：日志拼图先对钟。

保留但不做主记法。它能说明为什么 NTP 重要。

讨论结论：主记法用“全公司对同一块表”。所有日志都按同一时间记，才能拼成一条线。

5. 最终主记法

NTP = 让系统对同一块表。

记完整句：小林网店的防火墙、服务器、数据库和终端都要对同一个可信时间源，否则调查时就分不清攻击者先登录、先导出，还是先改权限。

翻回知识点就是：Time Synchronization 通过 NTP 等机制统一系统时间，支持日志关联、审计、取证和事件响应。

6. 小白故事

小林网店调查一次异常登录。

防火墙日志显示 02:10 有连接。

服务器日志显示 01:58 有登录。

数据库日志显示 02:05 有导出。

如果三台设备时间不同步，团队可能误判顺序。

也许真正顺序是先登录，再导出，再外传。

但时间乱了，看起来像数据库先被导出。

有了 NTP，所有系统按同一块表记录，调查时间线才站得住。

7. 回到考题

题目说 NTP，先想同步系统时间。

题目说 correlate logs（关联日志），时间同步是基础。

题目说 inconsistent timestamps（时间戳不一致），先想时间同步问题。

题目说 forensic timeline（取证时间线），也要看时间是否可信。

题目说 authoritative time source（权威时间源），先想可信统一时间源。

题目说 Kerberos time skew（Kerberos 时间偏差），也要想到客户端和服务器时间不同步会导致认证失败。

8. 别混

NTP：同步时间。

SIEM：关联日志和事件。

PKI：证书和信任体系。

Kerberos：票据认证协议，对时间偏差很敏感，但 NTP 本身不是认证协议。

Timestamping Authority：时间戳服务，和 NTP 不完全一样。

Log Retention：日志保存多久。

最容易错的地方：时间同步不是小细节。没有可信时间，日志、审计和证据链都会变得很难解释。

记忆卡：Monitoring / Continuous Monitoring / 监控与持续监控

监控这张卡不要背成“偶尔看一眼报表”。

小白先懂一句话：Monitoring 是持续看系统和安全状态有没有异常；Continuous Monitoring 是把这种观察变成长期、重复、自动化的过程，而不是一年查一次。

1. 先懂一句话

Monitoring = 监控。

Continuous Monitoring = 持续监控。

安全不是部署完控制就结束。

系统每天在变。

用户权限会变。

补丁状态会变。

配置会变。

资产会新增或下线。

攻击也会变。

持续监控就是不断看这些变化，及时发现风险、违规和异常。

2. 真正要背什么

这张卡真正要背 6 件事。

Monitoring 关注系统、安全控制和事件状态。
Continuous Monitoring 是持续、周期性或自动化地收集和评估安全状态。
它能发现异常、趋势、违规和配置漂移。
它常依赖日志、SIEM、EDR、漏洞扫描、配置检查和指标。
监控产生告警后，还需要分析和响应。
持续监控不是一次性审计，也不是只在出事后看。

3. 关键词拆解

Monitoring：监控。

Continuous Monitoring：持续监控。

Security Metrics：安全指标。

KRI：Key Risk Indicator（关键风险指标）。

KPI：Key Performance Indicator（关键绩效指标）。

Dashboard：仪表盘。

Alerting：告警。

Baseline：基线。

4. 候选池

候选 1：一直看仪表盘。

保留。它能说明持续观察。

候选 2：年底审一次。

淘汰。持续监控不是年度审计。

候选 3：巡逻不是摆拍。

保留但不做主记法。能表达长期反复检查。

讨论结论：主记法用“一直看仪表盘”。小白能记住它是持续看状态变化，不是一次性检查。

5. 最终主记法

Continuous Monitoring = 一直看安全仪表盘。

记完整句：小林网店每天看漏洞、补丁、账号、日志、配置和告警有没有变化，发现异常就追，不是等半年审计才知道系统早就偏了。

翻回知识点就是：持续监控通过持续收集和评估安全状态，帮助组织及时发现风险、异常和控制失效。

6. 小白故事

小林网店新上线了一批服务器。

上线第一天配置是安全的。

但两周后有人临时打开远程管理端口。

一个月后某台服务器补丁落后。

再过几天，一个特权账号在半夜登录。

如果没有持续监控，这些变化可能没人知道。

如果有持续监控，系统会把配置偏离、补丁缺失和异常登录显示出来。

安全团队就能在事故前处理风险。

7. 回到考题

题目说 continuous monitoring，先想持续收集和评估安全状态。

题目说 dashboard / metrics（仪表盘 / 指标），常看监控。

题目说 detect changes over time（发现随时间变化），先想持续监控。

题目说 annual audit（年度审计），不是持续监控。

题目说 alert generated（产生告警），监控只是发现，后面还要分析和响应。

8. 别混

Monitoring：观察和发现状态变化。

Auditing：检查是否符合要求。

Logging：记录事件。

SIEM：集中日志并关联告警。

Continuous Assessment：持续评估，和持续监控关系很近，但更偏控制有效性评估。

最容易错的地方：持续监控不是“盯屏幕发呆”。它是把关键安全状态持续收集、比较、告警和改进。

记忆卡：Clipping Level / Threshold / 剪切阈值与告警阈值

Clipping Level 这张卡不要背成“超过多少次报警”这么简单。

小白先懂一句话：Threshold 是画一条线，低于线可能当作正常噪声，高于线才记录、告警或升级。Clipping Level 常用来区分正常小错误和需要调查的违规模式。

1. 先懂一句话

Threshold = 阈值。

Clipping Level = 剪切阈值。

现实里用户会偶尔输错密码。

一次输错不一定是攻击。

但如果同一账号短时间失败 20 次，就可能是暴力破解。

阈值就是那条线。

线以下可能只是噪声。

线以上就要记录、告警或调查。

2. 真正要背什么

这张卡真正要背 6 件事。

Threshold 是触发记录、告警或动作的界线。
Clipping level 用来过滤正常噪声，突出异常行为。
常见例子是登录失败次数、流量峰值、文件访问次数。
阈值太低会产生大量误报。
阈值太高会漏掉真实攻击。
阈值要基于基线、风险和业务情况调优。

3. 关键词拆解

Threshold：阈值。

Clipping Level：剪切阈值。

Baseline：基线，正常水平。

Noise：噪声，正常或低价值事件。

Alert：告警。

Escalation：升级处理。

Violation Tracking：违规跟踪。

4. 候选池

候选 1：正常小错和可疑大错之间画线。

保留。它能解释 clipping level。

候选 2：所有失败都报警。

淘汰。这样会把团队淹没在噪声里。

候选 3：门口计数线。

保留但不做主记法。能记登录失败次数。

讨论结论：主记法用“给异常画线”。线画得太低会吵，太高会漏。

5. 最终主记法

Threshold = 给异常画线。

Clipping Level = 超过这条线才重点记录或调查。

记完整句：小林网店允许用户偶尔输错密码，但如果某账号短时间失败太多次，超过阈值，就从正常错误变成要调查的违规线索。

翻回知识点就是：Clipping level / threshold 通过设置触发界线，帮助过滤正常噪声并突出需要分析的异常事件。

6. 小白故事

小林网店每天都有用户输错密码。

如果每错一次都叫醒安全团队，大家很快就不看告警了。

于是团队设置阈值。

一个用户 10 分钟内输错 5 次，只提示用户重试或锁定。

如果 100 个账号在短时间里各失败一次，而且密码都一样，这条规则又要从全局角度报警。

这说明阈值不能只看单点。

还要看攻击模式。

7. 回到考题

题目说 clipping level，先想正常错误基线和超过阈值记录分析。

题目说 threshold，先想触发告警或动作的界线。

题目说 too many false alarms（太多告警），可能是阈值太低。

题目说 missed attacks（漏掉攻击），可能是阈值太高。

题目说 failed login attempts（登录失败次数），常和阈值、锁定和违规跟踪有关。

8. 别混

Threshold：触发界线。

Baseline：正常水平。

Baseline 是“平时应该是什么样”，threshold 是“超过哪条线就触发动作”。

False Positive：误报，正常被当成异常。

False Negative：漏报，异常没被发现。

Account Lockout：账号锁定，是超过阈值后的可能动作。

最容易错的地方：阈值不是越低越安全。太低会制造告警疲劳，太高又会放过攻击。

记忆卡：False Positive / False Negative 深化 / 误报与漏报深化

误报和漏报这张卡不要靠背中文硬记。

小白先懂一句话：False Positive 是“警报响了，但其实没事”；False Negative 是“真的有事，但警报没响”。

1. 先懂一句话

False = 错的。

Positive = 系统说“有”。

Negative = 系统说“没有”。

False Positive = 系统说有攻击，但现实没有攻击。

False Negative = 系统说没有攻击，但现实真的有攻击。

在 IDS、IPS、SIEM、EDR、生物识别、反恶意软件里都可能出现。

关键是先问：系统判断了什么？现实真相是什么？

2. 真正要背什么

这张卡真正要背 6 件事。

False Positive 是误报。
False Negative 是漏报。
误报太多会造成告警疲劳。
漏报太多会让真实攻击进来没人知道。
调阈值、规则和模型时，误报和漏报常互相拉扯。
不同场景容忍度不同，高安全区域可能宁愿多误报也要少漏报。

3. 关键词拆解

False Positive：误报。

False Negative：漏报。

True Positive：真正报对，有攻击也报警。

True Negative：真正没事，没攻击也没报警。

Alert Fatigue：告警疲劳。

Tuning：调优。

Sensitivity：灵敏度。

4. 候选池

候选 1：警报响了但没火。

保留。它能记误报。

候选 2：真着火但警报没响。

保留。它能记漏报。

候选 3：Positive 就一定是好事。

淘汰。在安全检测里 positive 是系统说“发现了”，不代表好。

讨论结论：主记法用“两种警报”。响错了是误报，没响才危险是漏报。

5. 最终主记法

False Positive = 警报响了但没火。

False Negative = 真着火但警报没响。

记完整句：小林网店安全系统把正常导出报成攻击，这是误报；真正数据外泄却没报警，这是漏报。

翻回知识点就是：False positive 是错误地报告存在威胁，false negative 是未能发现真实威胁。

6. 小白故事

小林网店 SIEM 规则设置太敏感。

客服正常导出报表，也被当成数据泄露。

安全团队每天处理很多没事的告警。

这就是 false positive。

后来团队把规则放宽。

结果攻击者真的大量导出客户资料，系统却没报警。

这就是 false negative。

所以调优不是把告警越少越好。

而是在业务噪声和真实威胁之间找到平衡。

7. 回到考题

题目说 normal activity triggers alarm（正常活动触发告警），先想 False Positive。

题目说 attack occurs but no alert（攻击发生但没告警），先想 False Negative。

题目说 alert fatigue（告警疲劳），常由误报太多造成。

题目说 sensitivity too high（灵敏度太高），通常误报变多。

题目说 sensitivity too low（灵敏度太低），通常漏报变多。

题目说 biometric false acceptance / false rejection，要回到具体定义判断，不要机械套词。

8. 别混

False Positive：误报。

False Negative：漏报。

FAR：False Acceptance Rate，生物识别里错误接受率。

FRR：False Rejection Rate，生物识别里错误拒绝率。

CER：交叉错误率，用来比较生物识别设备准确性。

最容易错的地方：先分清“系统说什么”和“现实是什么”。系统说有但现实没有是误报；系统说没有但现实有是漏报。

记忆卡：Vulnerability Disclosure / 漏洞披露

漏洞披露这张卡不要背成“发现漏洞就发网上”。

小白先懂一句话：Vulnerability Disclosure 是发现漏洞后，按负责任或协调的方式通知厂商、验证、修复、发布公告，让用户有机会打补丁。

1. 先懂一句话

Vulnerability = 漏洞。

Disclosure = 披露。

发现漏洞的人可能是研究员、客户、攻击者、内部人员或安全团队。

如果直接公开漏洞细节，攻击者可能立刻利用。

如果永远不说，用户不知道有风险。

所以很多组织采用 Responsible Disclosure / Coordinated Vulnerability Disclosure（负责任披露 / 协调漏洞披露）。

先通知厂商。

给厂商时间验证和修复。

再发布公告、CVE 和补丁信息。

2. 真正要背什么

这张卡真正要背 6 件事。

漏洞披露是报告和公开漏洞信息的流程。
协调披露会给厂商修复时间。
公告通常包含影响范围、严重性、修复版本和缓解措施。
CVE 是公开漏洞编号系统。
Bug bounty（漏洞奖励）是鼓励研究员报告漏洞的机制。
漏洞披露不等于补丁管理，但会触发补丁和风险处置。

3. 关键词拆解

Vulnerability Disclosure：漏洞披露。

Responsible Disclosure：负责任披露。

Coordinated Vulnerability Disclosure / CVD：协调漏洞披露。

CVE：Common Vulnerabilities and Exposures（通用漏洞披露编号）。

Advisory：安全公告。

Bug Bounty：漏洞奖励。

Embargo：暂缓公开期，给修复留时间。

4. 候选池

候选 1：先告诉修门的人，再贴公告。

保留。它能说明先厂商后公开。

候选 2：发现漏洞马上全网公布。

淘汰。可能让用户在补丁前暴露风险。

候选 3：漏洞报修单。

保留但不做主记法。它能记报告流程，但少了公开阶段。

讨论结论：主记法用“先修门，再公告”。漏洞披露要兼顾让厂商修复和让用户知情。

5. 最终主记法

Vulnerability Disclosure = 先通知修门，再公开提醒大家。

记完整句：研究员发现小林网店软件供应商有漏洞，先按披露流程报告给厂商，厂商验证并修复后发布公告和补丁，用户再按风险安装更新。

翻回知识点就是：漏洞披露是漏洞发现、报告、协调修复和公开信息的流程。

6. 小白故事

安全研究员发现一个后台系统漏洞。

如果他立刻把利用细节发到网上，很多还没补丁的公司会被攻击。

如果他只私下藏着，用户也不知道风险。

协调披露的做法是先联系厂商。

厂商确认影响版本，准备补丁和缓解方案。

到约定时间，发布安全公告和 CVE 编号。

用户看到公告后，评估影响、测试补丁、安排上线。

这就是漏洞披露和补丁管理之间的连接。

7. 回到考题

题目说 coordinated disclosure（协调披露），先想研究员和厂商协作修复再公开。

题目说 CVE，先想公开漏洞编号。

题目说 security advisory（安全公告），先想漏洞影响和修复信息。

题目说 bug bounty，先想鼓励研究员按规则报告漏洞。

题目说 full disclosure（完全披露），通常是公开全部细节，风险更高。

8. 别混

Vulnerability Disclosure：漏洞信息如何报告和公开。

Vulnerability Management：组织如何发现、排序和修复自身漏洞。

Patch Management：补丁测试、部署和跟踪。

Exploit Publication：公开利用代码，不等于负责任披露。

Penetration Testing：授权测试，不等于对外披露流程。

最容易错的地方：漏洞披露不是炫技发帖。考试更看是否给厂商修复窗口、是否协调、是否让用户能采取行动。

记忆卡：Patch Testing / Rollback / 补丁测试与回滚

补丁这张卡不要背成“有补丁就马上全装”。

小白先懂一句话：Patch Testing 是补丁上生产前先测试会不会修坏业务；Rollback 是补丁出问题时能退回去。

1. 先懂一句话

Patch = 补丁。

它可能修漏洞、修 bug、改功能或更新组件。

但补丁也可能带来新问题。

比如支付接口打不开。

打印服务失效。

数据库驱动不兼容。

所以重要系统不能盲目直接上生产。

Patch Testing = 补丁测试。

Rollback = 回滚。

如果补丁出问题，要有退回计划。

2. 真正要背什么

这张卡真正要背 7 件事。

补丁管理要平衡安全风险和业务稳定。
Patch Testing 在测试环境验证兼容性和影响。
高危漏洞可能需要加急处理，但仍要控制风险。
Rollback Plan 是失败时退回原状态的计划。
变更窗口和沟通能降低业务影响。
关键系统补丁前要备份或快照。
补丁后要验证漏洞是否修复、业务是否正常。

3. 关键词拆解

Patch Testing：补丁测试。

Rollback：回滚。

Change Window：变更窗口。

Pilot Deployment：试点部署。

Regression Testing：回归测试，确认旧功能没被修坏。

Emergency Patch：紧急补丁。

Verification：验证。

4. 候选池

候选 1：先试药，再给全公司吃。

保留。它能说明先测试再大范围部署。

候选 2：补丁越快越好，不用管业务。

淘汰。CISSP 常考安全和业务平衡。

候选 3：补丁有退路。

保留。它能记 rollback。

讨论结论：主记法用“先试药，有退路”。补丁既要修洞，也不能把业务修瘫。

5. 最终主记法

Patch Testing = 先试药。

Rollback = 出问题能退回。

记完整句：小林网店发现支付服务器有高危漏洞，不能装都不装，也不能直接全量乱装；先测试关键流程，安排变更窗口，准备快照和回滚方案，再上线验证。

翻回知识点就是：Patch Testing 在部署前验证补丁影响，Rollback 确保补丁失败时能恢复到可用状态。

6. 小白故事

小林网店收到供应商安全公告。

支付系统有高危漏洞。

如果不补，可能被攻击。

如果直接补，可能支付失败，业务停摆。

团队先在测试环境安装补丁。

跑登录、下单、付款、退款流程。

确认没问题后，在低峰期部署生产。

部署前做快照。

如果付款接口异常，就按回滚计划退回。

补丁后再扫描确认漏洞已修。

7. 回到考题

题目说 test patches before production（生产前测试补丁），先想 Patch Testing。

题目说 regression testing（回归测试），先想补丁后旧功能不能被修坏。

题目说 rollback plan（回滚计划），先想部署失败时退回。

题目说 emergency patch（紧急补丁），说明风险高，但仍要记录、审批或补做变更控制。

题目说 maintenance window（维护窗口），先想降低业务影响。

8. 别混

Patch Testing：补丁上线前测试。

Rollback：失败时退回。

Vulnerability Disclosure：漏洞信息披露。

Change Management：变更流程，补丁通常走变更管理。

Backup：恢复材料，回滚可能依赖备份或快照。

最容易错的地方：补丁不是“越快越无脑”。考试会看风险优先级、测试、回滚、业务影响和验证。

记忆卡：Configuration Drift / 配置漂移

配置漂移这张卡不要背成“配置被改了”。

小白先懂一句话：Configuration Drift 是系统原本符合基线，但随着手工修改、临时修复、补丁、人员操作，慢慢偏离标准配置。

1. 先懂一句话

Configuration = 配置。

Drift = 漂移。

一开始系统按照安全基线配置。

关闭不必要端口。

启用日志。

禁用默认账号。

开启加密。

后来有人为排查故障临时打开端口。

有人改了防火墙规则。

有人安装了未批准软件。

这些小变化如果没人管，系统会慢慢偏离基线。

这就是配置漂移。

2. 真正要背什么

这张卡真正要背 6 件事。

配置漂移是实际配置偏离批准基线。
漂移常由手工修改、紧急变更、补丁、临时排错和未授权变更造成。
漂移会带来安全风险和合规问题。
基线扫描、配置管理和持续监控能发现漂移。
自动化配置管理能减少漂移。
发现漂移后要判断是批准变更，还是未授权偏离。

3. 关键词拆解

Configuration Drift：配置漂移。

Configuration Baseline：配置基线。

Approved Configuration：批准配置。

Unauthorized Change：未授权变更。

Configuration Management：配置管理。

Compliance Scan：合规扫描。

Desired State：期望状态。

4. 候选池

候选 1：系统慢慢偏离标准线。

保留。它直接解释 drift。

候选 2：一次严重攻击。

淘汰。配置漂移不一定是攻击，也可能是长期小变更。

候选 3：安全基线走歪了。

保留但不做主记法。它短，但要配故事才清楚。

讨论结论：主记法用“慢慢偏离标准线”。漂移的重点是从批准状态逐渐走偏。

5. 最终主记法

Configuration Drift = 配置慢慢偏离标准线。

记完整句：小林网店服务器上线时很安全，但几次临时排错后，端口开了、日志关了、测试账号留下了，实际配置已经偏离安全基线。

翻回知识点就是：Configuration drift 是系统实际配置与批准基线或期望状态之间的偏差。

6. 小白故事

小林网店有一台 Web 服务器。

上线时只开放 443。

日志开启。

默认账号禁用。

三个月后，运维为了排错临时打开 22。

开发为了测试加了一个账号。

某次升级把日志级别调低。

每次看起来都是小事。

但最后服务器和原来的安全基线不一样了。

持续配置检查发现偏差。

团队再判断哪些是批准变更，哪些要恢复。

7. 回到考题

题目说 configuration drift，先想实际配置偏离基线。

题目说 unauthorized changes（未授权变更），可能导致漂移。

题目说 compare current state to baseline（当前状态和基线比较），先想发现漂移。

题目说 desired state configuration（期望状态配置），常用于防止或纠正漂移。

题目说 continuous monitoring（持续监控），可以发现配置漂移。

题目说 approved change（已批准变更），不要直接当违规。已批准的变化要同步更新基线或配置记录。

8. 别混

Configuration Drift：配置偏离基线。

Change Management：控制变更流程。

Security Baseline：批准的安全标准配置。

Patch Management：补丁管理，补丁也可能引发配置变化。

Approved Baseline Update：批准变更后更新基线，避免合法变化被长期当成漂移。

Vulnerability：弱点，配置漂移可能造成漏洞，但不是同一个词。

最容易错的地方：配置漂移不一定是一次明显事故。它常是很多小改动慢慢积累出来的风险。

记忆卡：Asset Inventory 深化 / 资产清单深化

资产清单这张卡不要背成“列个电脑表”。

小白先懂一句话：Asset Inventory 是组织知道自己有什么资产、在哪里、谁负责、干什么、重要性多高、当前状态怎样。没有资产清单，后面的补丁、监控、风险评估都容易漏。

1. 先懂一句话

Asset = 资产。

Inventory = 清单。

资产不只是电脑。

还包括服务器、云资源、数据库、应用、账号、网络设备、移动设备、证书、域名、数据集、SaaS 服务和 IoT 设备。

安全团队如果不知道有哪些资产，就不知道哪些要打补丁、哪些要监控、哪些有高风险、哪些已经没人负责。

2. 真正要背什么

这张卡真正要背 7 件事。

资产清单记录组织拥有什么资产。
关键字段包括资产名称、类型、位置、所有者、用途、重要性、配置、补丁状态。
资产清单支持风险评估、漏洞管理、补丁管理、事件响应和合规。
云资产和临时资产也要纳入清单。
未知资产就是未知风险。
资产清单要持续更新，不是一次性表格。
资产所有者负责资产业务价值和保护要求。

3. 关键词拆解

Asset Inventory：资产清单。

Asset Owner：资产所有者。

Criticality：关键性。

CMDB：Configuration Management Database（配置管理数据库）。

Shadow IT：影子 IT，未经正式批准或管理的技术资产。

Discovery：发现资产。

Lifecycle：生命周期。

4. 候选池

候选 1：公司安全户口本。

保留。它能说明每个资产要有身份和负责人。

候选 2：Excel 里随便列机器名。

淘汰。资产清单要可用、可更新、可支撑安全流程。

候选 3：不知道有它，就保护不了它。

保留。它是资产清单的核心。

讨论结论：主记法用“公司安全户口本”。每个资产都要登记身份、地址、负责人和重要性。

5. 最终主记法

Asset Inventory = 公司安全户口本。

记完整句：小林网店要知道有哪些服务器、数据库、云桶、账号、证书和应用，分别谁负责、装了什么、重要性多高、补丁到哪一步，才能真正保护它们。

翻回知识点就是：Asset Inventory 通过持续记录资产信息，支持安全管理、风险评估、漏洞修复、监控和事件响应。

6. 小白故事

小林网店收到一个高危漏洞公告。

供应商说某版本 Web 组件有风险。

如果没有资产清单，团队不知道公司哪里用了这个组件。

只能到处问。

如果有资产清单，安全团队可以查：哪些服务器安装了这个组件，谁是负责人，是否面向互联网，是否承载支付业务，补丁状态如何。

然后先修最关键的资产。

这就是资产清单不是表格摆设，而是所有安全动作的地图。

7. 回到考题

题目说 asset inventory，先想组织知道自己有什么资产。

题目说 unknown assets（未知资产），先想无法评估和保护。

题目说 owner / custodian（所有者 / 保管者），资产清单常记录责任人。

题目说 vulnerability management starts with what（漏洞管理从什么开始），常看资产清单和资产发现。

题目说 shadow IT，先想未经管理的资产不在清单里。

题目说 new assets must be recorded during procurement / deployment / change（新资产要在采购、部署、变更中登记），先想资产管理流程，而不是只靠年底人工盘点。

8. 别混

Asset Inventory：资产清单。

CMDB：配置管理数据库，可能承载资产和配置关系。

Discovery Tool：资产发现工具，可以帮助找资产，但不能替代负责人、重要性、生命周期和变更流程。

Data Classification：给数据分级。

Risk Register：风险登记册，记录风险，不是资产清单。

Configuration Baseline：资产应该是什么配置。

最容易错的地方：没有资产清单，安全团队连“该保护谁”都不知道。考试看到补丁、漏洞、监控、事件响应的第一步，常常要先确认资产范围。

记忆卡：Secure Coding / Secure SDLC / 安全编码与安全软件开发生命周期

这张卡不要背成“开发最后扫一下漏洞”。

小白先懂一句话：Secure SDLC 是从需求、设计、编码、测试、发布到维护都把安全放进去；Secure Coding 是开发写代码时就避免把漏洞写进系统。

1. 先懂一句话

SDLC = Software Development Life Cycle（软件开发生命周期）。

它是软件从想法到上线再到维护的全过程。

Secure SDLC = 安全软件开发生命周期。

意思不是上线后才找安全团队扫一遍。

而是在需求阶段想安全要求，在设计阶段想威胁，在编码阶段按安全规范写，在测试阶段找漏洞，在发布阶段做变更控制，在维护阶段持续修补。

Secure Coding = 安全编码。

它更贴近代码本身，比如输入验证、输出编码、错误处理、权限检查、参数化查询和安全 API 使用。

2. 真正要背什么

这张卡真正要背 7 件事。

Secure SDLC 把安全嵌入开发全流程。
越早发现漏洞，修复成本越低。
安全需求要在需求阶段明确，不是上线后再补。
威胁建模帮助设计阶段提前想攻击路径。
Secure Coding 关注代码怎么避免常见漏洞。
SAST、DAST、代码审查、渗透测试适合不同阶段。
第三方组件、开源库和供应链也属于软件安全范围。

3. 关键词拆解

Secure SDLC：安全软件开发生命周期。

Secure Coding：安全编码。

Security Requirements：安全需求。

Threat Modeling：威胁建模。

SAST：Static Application Security Testing（静态应用安全测试）。

DAST：Dynamic Application Security Testing（动态应用安全测试）。

SCA：Software Composition Analysis（软件组成分析），常看第三方组件风险。

DevSecOps：把安全融入开发、运维和自动化流程。

4. 候选池

候选 1：安全从设计图就画进去。

保留。它能说明不是上线后贴补丁。

候选 2：最后上线前扫一次。

淘汰。太晚，成本高，也容易漏掉设计问题。

候选 3：边写边防坑。

保留但不做主记法。它适合记 Secure Coding。

讨论结论：主记法用“安全从设计图就画进去”。先记 Secure SDLC 是全过程，再把 Secure Coding 放到编码阶段。

5. 最终主记法

Secure SDLC = 安全从设计图就画进去。

Secure Coding = 写代码时别把坑写进去。

记完整句：小林网店不是等支付系统上线后才发现 SQL 注入，而是在需求、设计、编码、测试、发布每一步都检查安全，把漏洞挡在更早阶段。

翻回知识点就是：Secure SDLC 将安全活动嵌入软件生命周期，Secure Coding 通过安全编码实践减少代码级漏洞。

6. 小白故事

小林网店要开发新的退款功能。

如果没有 Secure SDLC，开发可能只关心功能能不能跑。

上线后才发现任何客服都能退任意订单，日志也记录不清楚。

有 Secure SDLC 时，需求阶段会写清楚：谁能退款、限额多少、要不要二次确认、日志记录什么。

设计阶段会画出攻击者可能怎么绕过审批。

编码阶段使用参数化查询、权限检查和安全错误处理。

测试阶段做代码审查、SAST、DAST 和业务逻辑测试。

发布后持续监控和修补。

安全就不是最后贴上去的一层纸，而是系统骨架的一部分。

7. 回到考题

题目说 Secure SDLC，先想全生命周期内建安全。

题目说 shift left（安全左移），先想越早发现越便宜。

题目说 security requirements（安全需求），先想需求阶段。

题目说 threat modeling（威胁建模），先想设计阶段提前找攻击路径。

题目说 secure coding standards（安全编码标准），先想开发人员写代码时遵守的规则。

题目说 SCA，先想第三方组件和开源依赖风险。

8. 别混

Secure SDLC：整个开发生命周期都做安全。

Secure Coding：编码阶段的安全实践。

SAST：不运行程序，看代码找问题。

DAST：运行中的应用外部测试。

Penetration Test：模拟攻击验证能否利用。

最容易错的地方：Secure SDLC 不是一个工具。考试看到“最早、最好、成本最低地减少软件漏洞”，通常要把安全前移到需求和设计阶段。

记忆卡：Input Validation / 输入验证

输入验证这张卡不要背成“检查一下有没有空”。

小白先懂一句话：Input Validation 是程序先检查外面送进来的东西是不是符合规则。不合规则的数据不能直接进入业务逻辑、数据库或命令。

1. 先懂一句话

Input = 输入。

Validation = 验证。

用户输入、API 参数、上传文件、Cookie、HTTP Header、第三方系统数据，都可能是输入。

小白容易误会：只有网页表单才叫输入。

其实只要是系统外部来的数据，都不能默认可信。

输入验证要问：

类型对不对。

长度合不合适。

格式是否符合。

范围有没有超出。

字符有没有危险。

文件类型和大小是否允许。

2. 真正要背什么

这张卡真正要背 7 件事。

输入验证检查外部数据是否符合预期。
最好用 allowlist（允许列表），明确允许什么。
Blocklist（阻止列表）容易漏掉变形输入。
客户端验证提升体验，但不能替代服务器端验证。
输入验证能减少注入、溢出、路径遍历等风险。
验证要看上下文，不同字段规则不同。
输入验证不是输出编码，也不是参数化查询的替代品。

3. 关键词拆解

Input Validation：输入验证。

Allowlist：允许列表，只允许符合规则的输入。

Blocklist：阻止列表，禁止已知坏输入。

Client-Side Validation：客户端验证。

Server-Side Validation：服务器端验证。

Canonicalization：规范化，把不同写法先转成标准形式再检查。

Data Type / Length / Range / Format：类型、长度、范围、格式。

4. 候选池

候选 1：门口先验货。

保留。输入进系统前先检查。

候选 2：只在浏览器检查就够。

淘汰。攻击者可以绕过浏览器直接发请求。

候选 3：只挡几个坏词。

淘汰。阻止列表容易被绕过。

讨论结论：主记法用“门口先验货”。外部来的东西先按规则验，不合格不能进。

5. 最终主记法

Input Validation = 门口先验货。

记完整句：小林网店搜索框、订单号、上传文件和 API 参数都要先验货，订单号就只能是规定格式，金额就只能是合理数字，不能把奇怪字符串直接送进数据库。

翻回知识点就是：Input Validation 在处理外部输入前检查类型、长度、格式、范围和允许值，降低攻击输入进入系统的风险。

6. 小白故事

小林网店有个退款接口。

它需要订单号和金额。

正常订单号应该像 ORD-2026-0001。

正常金额应该是正数，不能超过订单总额。

攻击者却传入一串奇怪内容，想让程序把它当数据库命令或系统命令。

如果没有输入验证，程序可能继续处理。

如果有输入验证，门口就会拦下：订单号格式不对，金额范围不对，请求失败。

这一步不是让页面好看。

它是在坏数据进入系统前先拦一道。

7. 回到考题

题目说 validate user input（验证用户输入），先想类型、长度、格式、范围。

题目说 allowlist，通常比 blocklist 更可靠。

题目说 client-side validation only（只做客户端验证），要警惕，因为可以被绕过。

题目说 server-side validation（服务器端验证），才是必须的控制点。

题目说 canonicalization（规范化），先想先把输入转成标准形式再验证，避免编码绕过。

8. 别混

Input Validation：输入进来先检查。

Output Encoding：输出到页面前转义。

Parameterized Query：数据库查询把数据和命令分开。

Authentication：确认你是谁。

Authorization：确认你能不能做。

最容易错的地方：输入验证很重要，但不是万能。SQL 注入最核心的防护通常是参数化查询；XSS 输出到页面时还要输出编码。

记忆卡：Output Encoding / 输出编码

输出编码这张卡不要背成“把中文变成乱码”。

小白先懂一句话：Output Encoding 是程序把要显示出去的内容先转成安全显示形式，让浏览器把它当普通文字，而不是当脚本或 HTML 执行。

1. 先懂一句话

Output = 输出。

Encoding = 编码 / 转义。

网页会把一些字符当成特殊意义。

比如小于号、大于号、引号、脚本标签。

如果用户留言里写了一段脚本，网站又原样输出到页面，浏览器可能把它当代码执行。

输出编码就是在内容显示前处理它。

让浏览器看到的是文字，而不是命令。

2. 真正要背什么

这张卡真正要背 6 件事。

输出编码发生在数据输出到特定上下文之前。
它常用于防止 XSS。
不同上下文要用不同编码，比如 HTML、JavaScript、URL、CSS。
目标是让危险字符失去执行意义，只作为文本显示。
输入验证不能替代输出编码。
安全模板引擎和框架常提供自动编码，但要理解上下文。

3. 关键词拆解

Output Encoding：输出编码 / 输出转义。

Escaping：转义。

HTML Encoding：HTML 编码。

JavaScript Encoding：JavaScript 上下文编码。

URL Encoding：URL 编码。

Context：上下文，输出位置不同，规则不同。

XSS：跨站脚本。

4. 候选池

候选 1：把危险符号变成普通文字。

保留。它能解释输出编码的目标。

候选 2：把数据库加密。

淘汰。输出编码不是加密。

候选 3：上台前换安全台词。

保留但不做主记法。它能表达输出前处理，但不如普通文字直观。

讨论结论：主记法用“危险符号变普通文字”。浏览器不再执行，只显示。

5. 最终主记法

Output Encoding = 把危险符号变成普通文字。

记完整句：小林网店留言板里有人输入脚本，网站输出前把尖括号和引号转义，浏览器就把它显示成文字，不会把它当脚本执行。

翻回知识点就是：Output Encoding 根据输出上下文转义特殊字符，防止用户内容被解释为可执行代码。

6. 小白故事

小林网店有商品评论区。

正常用户写“物流很快”。

攻击者写入一段脚本。

如果网站原样输出，下一位客户打开页面时，浏览器可能执行这段脚本。

如果网站输出前做 HTML encoding，脚本标签会被变成普通字符。

客户看到的只是文字。

浏览器不会执行。

这就是输出编码保护的是“显示出去的时候不要变成代码”。

7. 回到考题

题目说 prevent XSS（防止跨站脚本），常看 output encoding。

题目说 encode output based on context（按上下文编码输出），先想 Output Encoding。

题目说 user-supplied content displayed in browser（用户内容显示在浏览器），先想输出编码。

题目说 HTML context / JavaScript context / URL context，要按不同上下文选择不同编码。

题目说 encrypt output（加密输出），不要和 encoding 混。

8. 别混

Output Encoding：显示前转义。

Input Validation：输入时检查。

Encryption：加密保护机密性。

Hashing：哈希验证完整性或存密码。

Parameterized Query：防 SQL 注入。

最容易错的地方：Output Encoding 不是把数据藏起来。它是让浏览器别把用户内容当代码执行。

记忆卡：SQL Injection / SQL 注入

SQL 注入这张卡不要只背“输入特殊字符”。

小白先懂一句话：SQL Injection 是程序把用户输入和数据库命令拼在一起，攻击者就能把自己的输入变成数据库命令。

1. 先懂一句话

SQL = Structured Query Language（结构化查询语言）。

数据库用 SQL 查询、插入、修改、删除数据。

正常情况下，用户输入应该只是数据。

比如搜索关键词、用户名、订单号。

但如果程序把输入直接拼进 SQL 语句，攻击者就可能输入特殊内容，让数据库误以为那是命令。

于是可能绕过登录、读取数据、修改数据、删除数据。

2. 真正要背什么

这张卡真正要背 7 件事。

SQL 注入发生在输入被当成 SQL 命令的一部分。
根因常是动态拼接 SQL 和未受控输入。
最佳防护通常是 parameterized queries / prepared statements（参数化查询 / 预编译语句）。
输入验证有帮助，但不能替代参数化查询。
最小数据库权限能降低损害。
错误信息不要泄露数据库结构。
存储过程不一定天然安全，关键看是否仍然拼接输入。

3. 关键词拆解

SQL Injection：SQL 注入。

Parameterized Query：参数化查询。

Prepared Statement：预编译语句。

Bind Variables：绑定变量，把用户输入绑定成数据，不让它改 SQL 结构。

Dynamic SQL：动态 SQL。

Stored Procedure：存储过程。

Least Privilege：最小权限。

Database Error Message：数据库错误信息。

4. 候选池

候选 1：把客人的话听成老板命令。

保留。它能说明数据变命令。

候选 2：只要过滤单引号就安全。

淘汰。过滤少数字符很容易被绕过。

候选 3：数据和命令分开坐。

保留。它能记参数化查询。

讨论结论：主记法用“客人的话被当成老板命令”。防护核心是让数据和命令分开。

5. 最终主记法

SQL Injection = 客人的话被数据库当成命令。

Parameterized Query = 数据和命令分开坐。

记完整句：小林网店搜索框本来只该接收商品名，但程序把输入直接拼进 SQL，攻击者就把搜索词写成数据库命令；参数化查询会把输入固定当数据处理。

翻回知识点就是：SQL Injection 是用户输入被解释为 SQL 命令导致的注入漏洞，参数化查询是主要防护。

6. 小白故事

小林网店登录页面要求输入用户名和密码。

程序本来要问数据库：这个用户名和密码是否匹配？

攻击者在用户名里输入一段特殊内容。

如果程序直接拼接 SQL，数据库可能被诱导跳过密码判断。

或者返回不该看的用户数据。

正确做法是用参数化查询。

SQL 模板先固定：这里是用户名参数，这里是密码参数。

用户输入只能填进参数位置，不能改变查询结构。

这样攻击者的话就不会变成数据库命令。

7. 回到考题

题目说 SQL injection，先想输入被当数据库命令。

题目说 parameterized queries / prepared statements，先想最佳防护。

题目说 dynamic SQL concatenates user input（动态 SQL 拼接用户输入），先想风险。

题目说 database returns too much information（数据库错误暴露过多信息），可能帮助注入攻击。

题目说 least privilege database account（数据库账号最小权限），先想降低注入后的损害。

题目说 OS command / shell command（操作系统命令 / Shell 命令）被拼接执行，那更像 command injection（命令注入），不是 SQL 注入。

8. 别混

SQL Injection：攻击数据库查询。

XSS：攻击浏览器执行脚本。

CSRF：借用户登录状态发请求。

Command Injection：让操作系统命令解释器执行攻击者输入。

Input Validation：输入前检查。

Output Encoding：输出到页面前转义。

最容易错的地方：防 SQL 注入不要只说“过滤特殊字符”。CISSP 更喜欢参数化查询、预编译语句、最小权限和错误信息控制。

记忆卡：XSS / Cross-Site Scripting / 跨站脚本

XSS 这张卡不要背成“网站被黑了”。

小白先懂一句话：XSS 是攻击者把脚本塞进网页内容里，让其他用户的浏览器执行它。受害者不是数据库，而是打开页面的用户浏览器。

1. 先懂一句话

XSS = Cross-Site Scripting（跨站脚本）。

名字里有 scripting，就是脚本。

攻击者常把 JavaScript 之类的脚本放进评论、搜索结果、个人资料、消息或 URL 参数。

如果网站没有正确处理输出，浏览器就可能执行这段脚本。

脚本可能偷 Cookie、冒充用户操作、改页面内容、跳转钓鱼页。

2. 真正要背什么

这张卡真正要背 7 件事。

XSS 的执行地点通常是用户浏览器。
根因是用户可控内容被当成脚本输出。
Stored XSS（存储型）把脚本存进服务器，别人打开页面就中。
Reflected XSS（反射型）常通过恶意链接把脚本反射到页面。
DOM-based XSS 发生在前端脚本处理页面数据时。
主要防护是上下文相关输出编码、输入验证、内容安全策略等。
HttpOnly Cookie 可以降低脚本偷 Cookie 风险，但不是唯一防护。

3. 关键词拆解

XSS：Cross-Site Scripting（跨站脚本）。

Stored XSS：存储型 XSS。

Reflected XSS：反射型 XSS。

DOM-based XSS：基于 DOM 的 XSS。

JavaScript：常见浏览器脚本语言。

Cookie Theft：Cookie 窃取。

CSP：Content Security Policy（内容安全策略）。

4. 候选池

候选 1：留言变成浏览器脚本。

保留。它能说明用户内容被执行。

候选 2：数据库命令被改。

淘汰。那更像 SQL 注入。

候选 3：浏览器替攻击者跑脚本。

保留。它能记住受害位置是浏览器。

讨论结论：主记法用“留言变脚本”。小白看到用户内容在页面执行，就想到 XSS。

5. 最终主记法

XSS = 留言变成浏览器脚本。

记完整句：攻击者在小林网店评论区写入脚本，其他客户打开商品页时，浏览器把这段评论当代码执行，于是攻击者能偷信息或冒充操作。

翻回知识点就是：XSS 是用户可控内容在浏览器中被解释为脚本执行的漏洞，常用输出编码和 CSP 防护。

6. 小白故事

小林网店商品评论区允许用户留言。

攻击者不写普通评论，而是提交一段脚本。

服务器把评论存进数据库。

第二天其他客户打开商品页。

网站把评论原样输出。

浏览器看到脚本标签，以为这是网页代码，于是执行。

这段脚本可能读取页面信息、发请求、跳转到假登录页。

如果网站输出前做了正确编码，浏览器只会显示这段文字，不会执行它。

7. 回到考题

题目说 XSS，先想浏览器执行攻击者脚本。

题目说 stored / persistent XSS，先想脚本存到服务器。

题目说 reflected XSS，先想恶意链接把脚本反射到页面。

题目说 DOM-based XSS，先想前端脚本处理数据时出问题。

题目说 output encoding / escaping，常是 XSS 防护。

题目说 HttpOnly cookie，先想降低脚本读取 Cookie。

8. 别混

XSS：浏览器执行脚本。

SQL Injection：数据库执行注入命令。

CSRF：借用户登录状态发请求。

Output Encoding：XSS 重要防护。

Input Validation：也有帮助，但不能单独替代输出编码。

最容易错的地方：XSS 的攻击代码通常在受害者浏览器里跑，不是在数据库里跑。

记忆卡：CSRF / Cross-Site Request Forgery / 跨站请求伪造

CSRF 这张卡不要和 XSS 混。

小白先懂一句话：CSRF 是攻击者诱导已经登录的网站用户发出一个请求，网站以为这是用户本人主动操作。脚本不一定要在目标网站执行，关键是借了用户的登录状态。

1. 先懂一句话

CSRF = Cross-Site Request Forgery（跨站请求伪造）。

Request = 请求。

Forgery = 伪造。

用户已经登录小林网店后台。

浏览器里有登录 Cookie。

攻击者诱导用户打开另一个页面。

那个页面偷偷让浏览器向小林网店发起转账、改邮箱、改密码等请求。

因为浏览器会带上 Cookie，网站可能误以为是用户自己点的。

2. 真正要背什么

这张卡真正要背 7 件事。

CSRF 借用用户已登录状态发请求。
受害者通常是已经认证的用户。
攻击目标是让服务器执行用户未真正授权的动作。
防护常用 anti-CSRF token（防 CSRF 令牌）。
SameSite Cookie 可以减少跨站自动带 Cookie。
重要操作要重新认证或二次确认。
GET 请求不应该执行有副作用的敏感操作。

3. 关键词拆解

CSRF：Cross-Site Request Forgery（跨站请求伪造）。

Anti-CSRF Token：防 CSRF 令牌。

Synchronizer Token：同步令牌，一种常见 CSRF 防护方式，服务器生成并校验不可预测令牌。

SameSite Cookie：限制跨站请求携带 Cookie 的 Cookie 属性。

State-Changing Request：改变状态的请求，比如转账、改密码。

Session Cookie：会话 Cookie。

Re-authentication：重新认证。

Origin / Referer Check：检查请求来源。

4. 候选池

候选 1：借你的登录手去点按钮。

保留。它能说明借用户登录状态。

候选 2：留言变脚本。

淘汰。那是 XSS。

候选 3：偷数据库。

淘汰。CSRF 重点不是直接查询数据库，而是伪造用户请求。

讨论结论：主记法用“借你的登录手”。用户自己没想操作，但浏览器带着登录状态替攻击者发请求。

5. 最终主记法

CSRF = 借你的登录手发请求。

记完整句：小林管理员已经登录后台，攻击者诱导他打开恶意页面，这个页面偷偷让浏览器向后台发改密码请求；后台看到 Cookie，以为是管理员本人操作。

翻回知识点就是：CSRF 利用用户已认证会话伪造跨站请求，防护包括 CSRF token、SameSite Cookie 和敏感操作确认。

6. 小白故事

小林网店管理员登录后台后没有退出。

他又打开了一封邮件里的链接。

链接页面看起来只是普通图片。

但页面里藏着一个请求，自动提交到网店后台：把收款账号改成攻击者账号。

浏览器发请求时带着管理员后台 Cookie。

后台如果只看 Cookie，就可能认为管理员同意了。

如果后台要求请求里带一次性的 CSRF token，恶意页面拿不到这个令牌，请求就会失败。

7. 回到考题

题目说 CSRF，先想伪造用户已登录请求。

题目说 user is already authenticated（用户已经认证），先想 CSRF。

题目说 anti-CSRF token，先想防止伪造请求。

题目说 synchronizer token（同步令牌），也是 CSRF 防护。

题目说 SameSite cookie，先想减少跨站自动带 Cookie。

题目说 state-changing request（改变状态的请求），要防 CSRF。

题目说 malicious script executed in browser，可能更像 XSS。

8. 别混

CSRF：借用户登录状态发请求。

XSS：让浏览器执行攻击者脚本。

SQL Injection：让数据库执行注入命令。

Session Hijacking：劫持会话令牌。

Clickjacking：诱导用户点击隐藏按钮，和 CSRF 可配合但不是一回事。

最容易错的地方：CSRF 不一定要偷密码，也不一定要注入脚本。它的核心是“浏览器带着用户会话发了不该发的请求”。

记忆卡：Buffer Overflow / 缓冲区溢出

缓冲区溢出这张卡不要只背“内存不够”。

小白先懂一句话：Buffer Overflow 是程序给数据准备的小盒子太小，却把太多数据塞进去，溢出来的数据覆盖了旁边内存，可能导致崩溃或执行攻击者代码。

1. 先懂一句话

Buffer = 缓冲区。

它像程序临时放数据的小盒子。

Overflow = 溢出。

如果盒子只能放 10 个字符，程序却让用户塞 1000 个字符，而且没有检查长度，多出来的内容就可能挤到旁边的内存。

旁边内存里可能有程序控制信息。

攻击者如果精心构造输入，就可能改变程序执行流程。

2. 真正要背什么

这张卡真正要背 7 件事。

Buffer Overflow 是写入超过缓冲区容量的数据。
常见于低级语言或手动内存管理场景。
影响可能是程序崩溃、权限提升或远程代码执行。
输入长度检查能降低风险。
安全函数和内存安全语言能降低风险。
ASLR、DEP / NX、Stack Canaries 是常见缓解措施。
它不是普通存储空间不足，而是内存边界被破坏。

3. 关键词拆解

Buffer Overflow：缓冲区溢出。

Stack Overflow：栈溢出。

Heap Overflow：堆溢出。

Bounds Checking：边界检查。

ASLR：Address Space Layout Randomization（地址空间布局随机化）。

DEP / NX：数据执行保护 / 不可执行位。

Stack Canary：栈金丝雀，用来发现栈被覆盖。

4. 候选池

候选 1：小盒子塞爆，挤坏旁边东西。

保留。它能解释溢出。

候选 2：硬盘满了。

淘汰。缓冲区溢出不是磁盘空间满。

候选 3：越界写字。

保留但不做主记法。它准确，但小白可能不够有画面。

讨论结论：主记法用“小盒子塞爆”。长度没检查，数据越界，旁边内存被覆盖。

5. 最终主记法

Buffer Overflow = 小盒子塞爆，挤坏旁边内存。

记完整句：小林网店某接口只准备接收 20 个字符，却允许攻击者发 2000 个字符，超出的内容覆盖内存，程序可能崩溃或被劫持执行恶意代码。

翻回知识点就是：Buffer Overflow 是程序未正确限制写入长度，导致数据越过缓冲区边界覆盖其他内存的漏洞。

6. 小白故事

小林网店有个老旧组件用 C 写成。

它读取用户提交的备注字段。

开发者以为备注最多 50 个字符。

攻击者却提交了很长的字符串。

程序没有检查长度，把它直接复制进固定大小缓冲区。

多出来的内容越界，覆盖了旁边内存。

轻则程序崩溃。

重则攻击者控制程序下一步跳到哪里执行。

这就是缓冲区溢出为什么危险。

7. 回到考题

题目说 buffer overflow，先想超出缓冲区容量写入。

题目说 unchecked input length（未检查输入长度），先想溢出风险。

题目说 arbitrary code execution（任意代码执行），缓冲区溢出可能导致它。

题目说 bounds checking（边界检查），先想防止越界。

题目说 ASLR、DEP、NX、stack canary，先想缓冲区溢出缓解。

8. 别混

Buffer Overflow：内存边界被写穿。

SQL Injection：输入变数据库命令。

XSS：输入变浏览器脚本。

DoS：拒绝服务，缓冲区溢出可能导致崩溃型 DoS，但不是同一个概念。

Memory Leak：内存泄漏是内存未释放，不等于溢出。

最容易错的地方：缓冲区溢出不是“存储不够用”。它是程序写数据越界，破坏内存边界。

记忆卡：Race Condition / TOCTOU / 竞态条件与检查时使用时问题

竞态这张卡不要背成“速度太快”。

小白先懂一句话：Race Condition 是两个动作抢同一个资源，结果取决于谁先谁后；TOCTOU 是先检查再使用之间有空隙，攻击者在空隙里把东西换掉。

1. 先懂一句话

Race Condition = 竞态条件。

Race 是比赛。

程序里多个线程、进程或用户同时操作同一个资源。

如果没有锁、事务或同步控制，结果可能乱。

TOCTOU = Time of Check to Time of Use（检查时到使用时）。

程序先检查：这个文件安全吗？

过一会儿再使用：打开这个文件。

攻击者就在检查和使用之间把文件换成别的。

2. 真正要背什么

这张卡真正要背 7 件事。

Race condition 是执行顺序不确定导致安全问题。
TOCTOU 是检查和使用之间状态被改变。
常见在文件权限、临时文件、账户余额、并发交易、资源锁定。
防护包括 locking（锁）、atomic operations（原子操作）、transactions（事务）。
检查和使用要尽量合在同一个可信操作里。
并发代码要考虑同步和一致性。
竞态不是权限不足，而是时序窗口被利用。

3. 关键词拆解

Race Condition：竞态条件。

TOCTOU：Time of Check to Time of Use（检查时到使用时）。

Locking：加锁。

Atomic Operation：原子操作，不可被中途打断。

Transaction：事务。

Concurrency：并发。

Synchronization：同步。

4. 候选池

候选 1：检查完到使用前，被人换包。

保留。它非常贴 TOCTOU。

候选 2：两个人同时改账本。

保留。它能解释 race condition。

候选 3：程序运行慢。

淘汰。竞态不是慢，而是顺序和空隙不受控。

讨论结论：主记法用“检查后被换包”。再用“两人改账本”记并发抢资源。

5. 最终主记法

Race Condition = 两个人同时改账本。

TOCTOU = 检查后、使用前，被人换包。

记完整句：小林网店先检查退款文件没问题，准备使用前攻击者把文件换掉；或者两个退款请求同时扣同一笔余额，顺序失控就可能多退钱。

翻回知识点就是：Race condition 是并发操作时序导致的不一致，TOCTOU 是检查与使用之间状态被篡改。

6. 小白故事

小林网店有个优惠券系统。

优惠券只能用一次。

攻击者同时发两个请求。

两个请求几乎同时检查：优惠券还没用。

然后两个请求都继续执行扣减。

结果同一张券被用了两次。

这就是竞态。

另一个场景是文件上传。

系统先检查文件 A 是安全文件。

但正式打开前，攻击者把 A 换成恶意链接或敏感文件。

系统以为自己用的是刚才检查过的文件。

这就是 TOCTOU。

7. 回到考题

题目说 race condition，先想并发顺序导致结果不安全。

题目说 TOCTOU，先想检查和使用之间被改变。

题目说 time of check / time of use，直接选 TOCTOU。

题目说 locking / mutex / semaphore（锁 / 互斥量 / 信号量），常看并发控制。

题目说 atomic transaction（原子事务），先想防止中途被插入或状态不一致。

题目说 deadlock（死锁），是彼此等待资源导致卡住；race condition 是谁先谁后导致结果错误。

8. 别混

Race Condition：多个动作抢时序。

TOCTOU：检查到使用之间被换掉。

Replay Attack：重放旧消息。

Deadlock：死锁，多个任务互相等资源而卡住，不是抢时序绕过检查。

Buffer Overflow：内存写越界。

Authorization Failure：权限检查失败，不一定是时序问题。

最容易错的地方：竞态不是“程序慢”。它是程序没有正确控制同时发生的动作，导致攻击者抢时间窗口。

记忆卡：Error Handling / Fail Secure / 错误处理与安全失败

错误处理这张卡不要背成“出错提示友好一点”。

小白先懂一句话：Error Handling 是系统出错时怎么处理和提示；Fail Secure 是系统坏了也不要默认放行，不要因为出错就把门打开。

1. 先懂一句话

Error Handling = 错误处理。

系统一定会出错。

数据库断开。

权限服务不可用。

输入格式不对。

文件不存在。

关键是出错时系统怎么做。

如果把数据库结构、路径、堆栈信息直接给用户看，攻击者会学到很多。

Fail Secure = 安全失败。

意思是系统无法确定是否应该允许时，默认拒绝或进入安全状态，而不是放行。

2. 真正要背什么

这张卡真正要背 7 件事。

错误信息不要泄露敏感细节。
用户看到简洁提示，详细错误写入安全日志。
Fail secure 表示失败时保持安全状态。
访问控制系统出错时，通常不能默认允许访问。
Fail open 是失败时放行，可能牺牲安全换可用性。
Fail closed 常表示失败时拒绝或关闭通路。
安全设计要根据场景平衡安全和生命安全。

3. 关键词拆解

Error Handling：错误处理。

Exception Handling：异常处理。

Fail Secure：安全失败。

Fail Closed：失败关闭 / 默认拒绝。

Fail Open：失败开放 / 默认放行。

Verbose Error：过于详细的错误信息。

Stack Trace：堆栈跟踪。

4. 候选池

候选 1：系统坏了也别把门打开。

保留。它能记 fail secure。

候选 2：错误越详细越好。

淘汰。对用户详细暴露可能泄露系统信息。

候选 3：外面少说，里面记清。

保留。它能记错误提示和日志分开。

讨论结论：主记法用“坏了也别开门”。错误提示给用户少说，日志里给管理员记清。

5. 最终主记法

Fail Secure = 坏了也别默认开门。

Error Handling = 外面少说，里面记清。

记完整句：小林网店权限服务异常时，后台不要因为查不到权限就默认放行；页面只提示操作失败，详细堆栈和错误编号写入安全日志。

翻回知识点就是：安全错误处理要避免泄露内部信息，并在故障时进入安全默认状态。

6. 小白故事

小林网店后台连接权限系统失败。

危险写法是：权限系统查不到，就先让用户进去。

这叫把门打开。

安全写法是：无法确认权限，就拒绝敏感操作。

同时页面不要显示数据库地址、SQL 语句、代码路径和堆栈。

给用户显示“操作失败，请稍后再试”。

把详细错误写入后台日志，给运维调查。

这样攻击者看不到系统内部地图，系统坏了也不会自动放行。

7. 回到考题

题目说 fail secure，先想失败时进入安全状态。

题目说 fail closed，通常想默认拒绝。

题目说 fail open，想失败时放行，安全风险更高。

题目说 verbose error messages（详细错误信息），先想信息泄露风险。

题目说 stack trace shown to user（堆栈给用户看），先想错误处理不安全。

题目说 log detailed error internally（内部记录详细错误），通常更合适。

8. 别混

Error Handling：出错怎么提示、记录和恢复。

Fail Secure：失败时保持安全状态。

Availability：可用性，某些生命安全场景可能不能简单 fail closed。

Logging：详细错误应写入受保护日志。

Input Validation：输入前检查，不是出错后的处理。

最容易错的地方：Fail secure 不等于永远断电关门。CISSP 会看场景：保护数据时默认拒绝常更安全；涉及人身安全时不能让安全控制危及生命。

记忆卡：Code Review / Static Analysis / 代码审查与静态分析

代码审查这张卡不要背成“大家看看代码风格”。

小白先懂一句话：Code Review 是人检查代码有没有安全和质量问题；Static Analysis / SAST 是工具在不运行程序的情况下扫描代码、依赖或二进制，提前找漏洞。

1. 先懂一句话

Code Review = 代码审查。

人看代码，问：权限检查有没有漏？输入有没有验证？错误处理会不会泄露？逻辑能不能绕过？

Static Analysis = 静态分析。

Static 的意思是不运行程序。

SAST = Static Application Security Testing（静态应用安全测试）。

工具会扫描源代码、字节码或二进制，找常见漏洞模式。

它能早发现问题，但也可能误报，需要人工判断。

2. 真正要背什么

这张卡真正要背 7 件事。

Code Review 是人工审查代码。
Static Analysis / SAST 是不运行程序的代码安全分析。
它们适合在开发早期发现问题。
SAST 能找注入、硬编码密码、不安全函数、错误处理等问题。
SAST 看不到所有运行时和业务逻辑问题。
DAST 是运行应用后从外部测试，不是静态分析。
代码审查和工具扫描要结合，不能互相完全替代。

3. 关键词拆解

Code Review：代码审查。

Peer Review：同行评审。

Static Analysis：静态分析。

SAST：Static Application Security Testing（静态应用安全测试）。

White-Box Testing：白盒测试，知道内部结构或源代码；SAST 常属于白盒思路。

DAST：Dynamic Application Security Testing（动态应用安全测试）。

False Positive：误报。

Secure Coding Standard：安全编码标准。

4. 候选池

候选 1：代码上生产前先体检。

保留。它能说明提前发现问题。

候选 2：不运行也能查一遍。

保留。它能记 static。

候选 3：工具扫完就一定安全。

淘汰。SAST 有误报漏报，也看不完所有业务逻辑。

讨论结论：主记法用“代码体检，不运行先查”。人看逻辑，工具扫模式。

5. 最终主记法

Code Review = 人给代码体检。

Static Analysis / SAST = 不运行先查代码。

记完整句：小林网店退款功能上线前，开发同事和安全工具一起看代码，找输入验证缺失、SQL 拼接、硬编码密钥、权限漏检和错误信息泄露。

翻回知识点就是：Code Review 和 Static Analysis 在开发早期发现代码缺陷和安全漏洞，降低后期修复成本。

6. 小白故事

小林网店开发完成新接口。

上线前先做代码审查。

同事发现一个问题：接口只检查用户是否登录，没有检查订单是不是这个用户的。

SAST 工具又发现另一个问题：代码把用户输入拼进 SQL。

开发修复后再提交。

如果等上线后被攻击者发现，代价会更高。

所以代码审查不是挑格式。

它是在漏洞进入生产前多放一道关。

7. 回到考题

题目说 code review，先想人工检查代码。

题目说 static analysis / SAST，先想不运行程序扫描代码。

题目说 white-box / source code scan（白盒 / 源码扫描），常看代码审查或 SAST。

题目说 find defects early in SDLC（早期发现缺陷），常看代码审查和 SAST。

题目说 DAST，先想运行中的应用外部测试。

题目说 peer review，先想同行审查。

题目说 false positives in scanner results，说明工具结果需要人工确认。

8. 别混

Code Review：人看代码。

Static Analysis / SAST：不运行代码扫描。

DAST：运行应用后测试。

Penetration Test：模拟攻击验证利用。

Compiler：编译器把代码变程序，不等于安全审查。

最容易错的地方：SAST 是早期发现代码问题的工具，但不是万能安全证明。业务逻辑漏洞、运行时配置、认证授权流程，仍需要人和动态测试一起看。

记忆卡：DAST / Dynamic Application Security Testing / 动态应用安全测试

DAST 这张卡不要和 SAST 混。

小白先懂一句话：DAST 是把应用跑起来，从外面像攻击者一样访问它，观察运行中的网站或 API 有没有安全问题。

1. 先懂一句话

DAST = Dynamic Application Security Testing（动态应用安全测试）。

Dynamic 的意思是动态。

也就是应用已经运行起来。

测试工具不一定看源代码。

它像一个外部访客，对登录页、搜索框、接口、表单、URL 参数不断发请求。

看有没有 SQL 注入、XSS、错误信息泄露、认证绕过、配置错误等问题。

2. 真正要背什么

这张卡真正要背 7 件事。

DAST 测试运行中的应用。
它通常从外部黑盒或灰盒角度测试。
它不需要完整源代码。
它能发现运行时、配置、认证、会话和输入处理问题。
它可能覆盖不到未触发的代码路径。
DAST 常和 SAST、代码审查、渗透测试互补。
测试生产系统要控制风险，避免影响业务。

3. 关键词拆解

DAST：Dynamic Application Security Testing（动态应用安全测试）。

Dynamic Testing：动态测试。

Black-Box Testing：黑盒测试，不看内部代码。

Gray-Box Testing：灰盒测试，知道部分内部信息。

Runtime：运行时。

Crawler / Spider：爬取应用页面和接口的工具。

Authenticated Scan：带登录状态的扫描。

4. 候选池

候选 1：网站跑起来后从外面敲门。

保留。它能说明 DAST 是运行后外测。

候选 2：打开源代码逐行看。

淘汰。那更像代码审查或 SAST。

候选 3：像攻击者一样点页面。

保留但不做主记法。它适合记黑盒视角。

讨论结论：主记法用“跑起来后从外面敲门”。看到动态、运行中、外部请求，就想 DAST。

5. 最终主记法

DAST = 应用跑起来后，从外面敲门测试。

记完整句：小林网店上线测试环境后，DAST 工具像外部用户一样访问登录页、搜索框、订单接口和管理页面，看看运行中的应用会不会被注入、脚本或认证绕过打穿。

翻回知识点就是：DAST 在应用运行状态下从外部测试安全缺陷，和 SAST 的源代码静态扫描互补。

6. 小白故事

小林网店新功能写完了。

SAST 已经扫过代码。

但上线到测试环境后，真实路由、真实配置、真实登录流程才出现。

DAST 工具开始像外部访问者一样发请求。

它试搜索框，试订单参数，试未登录访问后台，试错误 URL。

它不关心代码写在哪里。

它关心运行中的系统对外表现是否安全。

这就是 DAST 的位置。

7. 回到考题

题目说 DAST，先想运行中的应用外部测试。

题目说 dynamic application security testing，先想不用看完整源代码也能测。

题目说 black-box web application scan（黑盒 Web 应用扫描），常看 DAST。

题目说 source code scan（源码扫描），那更像 SAST。

题目说 authenticated scan（带认证扫描），说明 DAST 可以登录后测更多功能。

8. 别混

DAST：运行中，从外部测应用。

SAST：不运行，看代码找问题。

Fuzzing：喂大量异常输入找崩溃或异常。

Penetration Test：人工或半自动模拟攻击验证利用。

Vulnerability Scan：更宽泛的漏洞扫描，可能包括主机、网络或应用。

最容易错的地方：DAST 不是“上线后就完事”。它能发现运行时问题，但看不到所有代码路径，也不能替代安全设计和代码审查。

记忆卡：Fuzzing / 模糊测试

Fuzzing 这张卡不要背成“随便乱测”。

小白先懂一句话：Fuzzing 是给程序喂大量异常、随机、畸形或边界输入，看它会不会崩溃、泄露错误、卡死或暴露漏洞。

1. 先懂一句话

Fuzzing = 模糊测试。

它的核心不是手工猜一个输入。

而是自动生成很多奇怪输入。

超长字符串。

空值。

特殊字符。

畸形文件。

乱序协议包。

极大数字。

看程序能不能稳稳处理。

如果程序崩溃，可能说明有边界检查、解析器、内存或错误处理问题。

2. 真正要背什么

这张卡真正要背 7 件事。

Fuzzing 用大量异常输入测试程序健壮性。
它常用于发现崩溃、内存错误、解析错误和安全漏洞。
它适合测试文件解析器、协议处理器、API 参数和输入边界。
Coverage-guided fuzzing（覆盖率引导模糊测试）会根据代码覆盖情况改进输入。
Fuzzing 发现异常后还要复现、定位和修复。
Fuzzing 可能消耗资源，要在受控环境中做。
Fuzzing 不等于普通功能测试，它故意喂坏输入。

3. 关键词拆解

Fuzzing：模糊测试。

Fuzzer：模糊测试工具。

Malformed Input：畸形输入。

Boundary Value：边界值。

Crash：崩溃。

Coverage-Guided Fuzzing：覆盖率引导模糊测试。

Corpus：语料库，初始测试样本集合。

4. 候选池

候选 1：给程序喂怪东西，看它会不会噎住。

保留。它能解释异常输入和崩溃。

候选 2：用户正常点页面。

淘汰。那更像功能测试或 DAST 的一部分。

候选 3：边界撞墙测试。

保留但不做主记法。它能记边界值。

讨论结论：主记法用“喂怪东西，看会不会噎住”。Fuzzing 的重点是异常输入压力。

5. 最终主记法

Fuzzing = 喂怪输入，看程序会不会噎住。

记完整句：小林网店的文件上传接口平时收正常图片，fuzzer 却喂超大文件、畸形头、空字段和奇怪字符，看程序会不会崩溃或暴露漏洞。

翻回知识点就是：Fuzzing 通过自动生成异常输入测试程序处理边界和错误情况的能力。

6. 小白故事

小林网店有一个上传发票的功能。

正常用户上传 PDF。

模糊测试工具不按常理来。

它上传一个 0 字节文件。

再上传一个超大文件。

再上传文件头被破坏的 PDF。

再上传扩展名和内容不一致的文件。

如果程序崩溃，说明解析或边界处理可能有问题。

安全团队再拿能复现崩溃的样本去定位代码。

7. 回到考题

题目说 fuzzing，先想大量异常输入。

题目说 malformed input（畸形输入）、random input（随机输入），先想 Fuzzing。

题目说 program crashes when given unexpected data（异常数据导致程序崩溃），常看 Fuzzing。

题目说 parser / protocol / file format testing（解析器 / 协议 / 文件格式测试），也常看 Fuzzing。

题目说 normal requirements verification（正常需求验证），那不是 Fuzzing 的重点。

8. 别混

Fuzzing：喂异常输入找崩溃和漏洞。

DAST：运行中从外部测应用。

SAST：看代码。

Unit Testing：单元测试，验证预期功能。

Penetration Testing：模拟攻击验证利用。

最容易错的地方：Fuzzing 不是乱玩。它是有目的地用大量异常输入撞边界，找程序处理不了的地方。

记忆卡：API Security / API 安全

API 安全这张卡不要背成“接口加 HTTPS 就行”。

小白先懂一句话：API 是系统给系统用的入口。API Security 要保证谁能调、能调什么、传什么、返回什么、频率多少、有没有被滥用。

1. 先懂一句话

API = Application Programming Interface（应用程序编程接口）。

它像系统之间的服务窗口。

手机 App 调 API。

前端网页调 API。

第三方合作方调 API。

内部微服务也调 API。

API 安全不是只加密传输。

还要认证、授权、输入验证、速率限制、日志、错误处理、版本管理和数据最小化。

2. 真正要背什么

这张卡真正要背 8 件事。

API 需要认证调用者身份。
API 需要授权到具体资源和动作。
API 输入也要验证。
API 响应不能返回过多数据。
Rate limiting（速率限制）能减少滥用和暴力请求。
API key、token 和 secret 要安全存储和轮换。
API 网关可以做认证、限流、日志和策略控制。
API 文档、版本和废弃接口也要管理。

3. 关键词拆解

API Security：API 安全。

API Gateway：API 网关。

Authentication：认证。

Authorization：授权。

Rate Limiting：速率限制。

Schema Validation：按结构验证请求。

Mass Assignment：批量赋值风险，用户传入不该修改的字段。

BOLA：Broken Object Level Authorization（对象级授权失效）。

4. 候选池

候选 1：系统之间的服务窗口要验人、验事、限量。

保留。它能覆盖认证、授权、限流。

候选 2：只要 HTTPS 就安全。

淘汰。HTTPS 只保护传输，不解决授权和业务滥用。

候选 3：接口别多给、别乱收。

保留。它能记输入和响应最小化。

讨论结论：主记法用“服务窗口要验人、验事、限量”。API 是入口，入口不只看有没有加密。

5. 最终主记法

API Security = 接口窗口要验人、验事、限量。

记完整句：小林网店订单 API 不能只因为请求带 token 就返回所有订单，还要确认这个用户只能看自己的订单，请求字段合规，调用频率正常，响应不要多给敏感数据。

翻回知识点就是：API Security 通过认证、授权、输入验证、限流、日志、密钥保护和网关控制来保护接口。

6. 小白故事

小林网店 App 调接口查看订单。

用户 A 正常请求自己的订单 1001。

攻击者把 URL 里的订单号改成 1002。

如果 API 只检查“你有没有登录”，却不检查“订单 1002 是不是你的”，攻击者就能看别人的订单。

这就是 API 授权问题。

再比如接口允许用户提交 JSON。

用户只该改昵称，却传入 isAdmin=true。

如果后端照单全收，就可能产生批量赋值风险。

API 安全就是把这些入口规则管严。

7. 回到考题

题目说 API security，先想接口认证、授权、输入验证和限流。

题目说 BOLA / object-level authorization（对象级授权），先想用户只能访问自己的对象。

题目说 rate limiting（速率限制），先想防滥用、暴力请求和 DoS。

题目说 API gateway，先想集中认证、策略、限流、日志。

题目说 excessive data exposure（过度数据暴露），先想 API 返回了不该返回的数据。

题目说 HTTPS，只说明传输加密，不等于 API 授权正确。

题目说 CORS（跨源资源共享），不要当成认证或授权。CORS 管浏览器是否允许跨源读取响应，不负责证明谁有权限。

8. 别混

API Security：保护接口入口和调用规则。

OAuth：授权框架，常用于 API 授权。

JWT：令牌格式，可能被 API 使用。

WAF：Web 应用防火墙，能帮忙但不能替代业务授权。

Input Validation：API 安全的一部分。

CORS：浏览器跨源读取控制，不等于 API 认证、授权或访问控制。

最容易错的地方：API 最常见的坑不是“有没有 HTTPS”，而是有没有正确检查调用者能不能访问这个资源、执行这个动作。

记忆卡：Session Management / 会话管理

会话管理这张卡不要背成“用户登录成功”。

小白先懂一句话：Session Management 是用户登录后，系统怎么记住这个用户、怎么保护会话、什么时候失效、怎么防止会话被偷或固定。

1. 先懂一句话

Session = 会话。

用户登录后，服务器不能每点一个页面都重新问密码。

所以系统会给用户一个会话标识。

这个标识像临时通行证。

浏览器之后每次请求都带上它。

如果攻击者偷到这张通行证，就可能冒充用户。

所以会话管理要管会话 ID 的生成、存储、传输、过期、注销、更新和撤销。

2. 真正要背什么

这张卡真正要背 8 件事。

会话标识必须随机、不可预测、足够长。
登录后要重新生成会话 ID，防止 session fixation（会话固定）。
会话要有超时机制。
注销后会话应失效。
敏感操作可要求重新认证。
会话令牌要通过 HTTPS 传输。
Cookie 属性能帮助保护浏览器里的会话。
服务端要能撤销或失效高风险会话。

3. 关键词拆解

Session Management：会话管理。

Session ID：会话标识。

Session Token：会话令牌。

Session Timeout：会话超时。

Idle Timeout：空闲超时。

Absolute Timeout：绝对超时。

Session Fixation：会话固定攻击。

Session Hijacking：会话劫持。

4. 候选池

候选 1：登录后的临时通行证。

保留。它能解释会话标识。

候选 2：密码越复杂，会话就安全。

淘汰。登录后通行证被偷，密码强也可能被冒用。

候选 3：进门后换新票，到点作废。

保留。它能记登录后重生 ID 和超时。

讨论结论：主记法用“登录后的临时通行证”。会话管理就是管这张通行证怎么发、怎么用、怎么过期。

5. 最终主记法

Session Management = 管好登录后的临时通行证。

记完整句：小林网店用户登录后拿到会话票，系统要保证票随机、登录后换新、只走 HTTPS、到点过期、退出作废，避免别人拿票冒充。

翻回知识点就是：Session Management 保护认证后的会话标识，防止会话劫持、会话固定和长期滥用。

6. 小白故事

小林登录网店后台。

服务器发给浏览器一个会话 ID。

之后小林每次点页面，浏览器都带着这个 ID。

如果攻击者提前给小林一个固定会话 ID，小林登录后系统还沿用它，攻击者就可能拿同一个 ID 进后台。

这叫 session fixation。

正确做法是登录成功后重新生成会话 ID。

如果小林退出，服务器要让这个 ID 作废。

如果长时间没操作，也要超时。

7. 回到考题

题目说 session management，先想登录后的会话标识怎么保护。

题目说 session hijacking（会话劫持），先想会话令牌被偷。

题目说 session fixation（会话固定），先想登录后没有重新生成会话 ID。

题目说 idle timeout / absolute timeout（空闲超时 / 绝对超时），先想会话过期控制。

题目说 logout should invalidate session（退出后失效），先想会话撤销。

8. 别混

Session Management：认证后会话怎么维护。

Authentication：登录时确认身份。

Cookie Security：浏览器里存会话令牌时的属性保护。

JWT：一种令牌格式。

OAuth：授权框架，不等于会话管理本身。

最容易错的地方：登录成功不是安全结束。很多攻击偷的不是密码，而是登录后的会话通行证。

Cookie 安全这张卡不要背成“Cookie 是缓存”。

小白先懂一句话：Cookie 常用来存会话标识。SameSite、HttpOnly、Secure 这些属性是在告诉浏览器：这张通行证什么时候能带、脚本能不能读、是不是只能走 HTTPS。

1. 先懂一句话

Cookie 是浏览器保存的一小段数据。

网站常用 Cookie 记住会话。

比如 session ID。

如果 Cookie 被偷，攻击者可能冒充用户。

Secure 属性要求 Cookie 只通过 HTTPS 发送。

HttpOnly 属性让 JavaScript 读不到 Cookie，降低 XSS 偷 Cookie 的风险。

SameSite 属性限制跨站请求自动带 Cookie，降低 CSRF 风险。

2. 真正要背什么

这张卡真正要背 7 件事。

Cookie 可能保存会话标识，所以要保护。
Secure 属性要求 Cookie 只走 HTTPS。
HttpOnly 防止客户端脚本读取 Cookie。
SameSite 限制跨站请求携带 Cookie。
SameSite 有 Strict、Lax、None 等模式。
SameSite=None 通常需要 Secure。
Cookie 属性是防护的一部分，不能替代认证授权和 CSRF token。

3. 关键词拆解

Cookie：浏览器保存并随请求发送的数据。

Secure：只通过 HTTPS 发送 Cookie。

HttpOnly：禁止 JavaScript 读取 Cookie。

SameSite：限制跨站请求携带 Cookie。

Strict：最严格，跨站通常不带。

Lax：较宽松，部分顶级导航可带。

None：允许跨站带，通常必须配 Secure。

4. 候选池

候选 1：Cookie 是浏览器里的临时通行证袋。

保留。它能解释为什么要保护。

候选 2：Secure 是加密 Cookie 内容。

淘汰。Secure 是只通过 HTTPS 发送，不是把 Cookie 自身加密。

候选 3：HttpOnly 让脚本摸不到票。

保留。它能记 XSS 偷 Cookie 风险。

讨论结论：主记法用“三个门规”：Secure 只走 HTTPS，HttpOnly 不让脚本读，SameSite 限制跨站带票。

5. 最终主记法

Secure = 只走 HTTPS。

HttpOnly = 脚本读不到。

SameSite = 跨站少带票。

记完整句：小林网店把会话 Cookie 当通行证，Secure 防止明文路上乱跑，HttpOnly 防止脚本偷看，SameSite 防止别的网站随便借浏览器带票发请求。

翻回知识点就是：Cookie 安全属性限制 Cookie 的传输、读取和跨站携带方式，降低会话泄露和 CSRF 风险。

6. 小白故事

小林登录后台后，浏览器保存一个会话 Cookie。

如果没有 Secure，浏览器可能在非 HTTPS 请求里带上它。

如果没有 HttpOnly，XSS 脚本可能读取它。

如果没有 SameSite，用户打开恶意网站时，浏览器可能把后台 Cookie 自动带到跨站请求里。

三个属性各管一件事。

Secure 管路。

HttpOnly 管脚本。

SameSite 管跨站。

7. 回到考题

题目说 Secure cookie，先想只通过 HTTPS 发送。

题目说 HttpOnly，先想 JavaScript 不能读取 Cookie。

题目说 SameSite，先想限制跨站请求带 Cookie，帮助防 CSRF。

题目说 XSS stealing cookies（XSS 偷 Cookie），HttpOnly 能降低风险。

题目说 CSRF，SameSite 有帮助，但 CSRF token 仍常是关键防护。

题目说 encrypt cookie，别把它和 Secure 属性混。

题目说 HttpOnly cannot prevent CSRF（HttpOnly 不能防 CSRF），这是对的，因为浏览器仍可能自动带 Cookie。

8. 别混

Secure：限制传输通道。

HttpOnly：限制脚本读取。

SameSite：限制跨站携带。

Session Management：整个会话生命周期。

CSRF Token：请求里的防伪令牌。

最容易错的地方：Secure 不是“这个 Cookie 内容被加密了”。它只是告诉浏览器只在 HTTPS 请求中发送。

记忆卡：JWT / Token Security / JWT 与令牌安全

JWT 这张卡不要背成“有 token 就安全”。

小白先懂一句话：JWT 是一种常见令牌格式，里面可以放声明。Token Security 要保护令牌不能被伪造、篡改、泄露、重放或长期滥用。

1. 先懂一句话

JWT = JSON Web Token。

它常长得像三段用点分开的字符串。

Header。

Payload。

Signature。

Payload 里可能有用户 ID、过期时间、issuer、audience、scope 等声明。

签名用于证明令牌没有被篡改。

但 JWT 通常只是编码和签名，不等于默认加密。

别人拿到未加密 JWT，可能能看到 payload 内容。

2. 真正要背什么

这张卡真正要背 8 件事。

JWT 是令牌格式，不是万能安全方案。
JWT 通常由 header、payload、signature 三部分组成。
签名验证令牌完整性和来源。
默认 JWT payload 不是加密保密内容。
要验证 exp（过期时间）、iss（签发者）、aud（受众）等声明。
令牌要短生命周期，必要时支持撤销或轮换。
密钥和签名算法要正确管理，不能接受 none 算法。
令牌泄露后，攻击者可能冒用直到过期或被撤销。

3. 关键词拆解

JWT：JSON Web Token。

Access Token：访问令牌，用来访问 API。

ID Token：身份令牌，常见于 OIDC，用来说明用户身份。

Refresh Token：刷新令牌，用来换新的访问令牌，生命周期更长，要更严保护。

Header：头部。

Payload：载荷 / 声明。

Signature：签名。

Claims：声明。

exp：Expiration Time（过期时间）。

iss：Issuer（签发者）。

aud：Audience（受众）。

JWS：签名的 JWT。

JWE：加密的 JWT。

4. 候选池

候选 1：三段式通行证。

保留。JWT 常是三段。

候选 2：签名等于加密。

淘汰。签名证明没改，不代表别人看不见。

候选 3：票要验签、验期、验对象。

保留。它能记验证声明。

讨论结论：主记法用“三段式通行证，验签验期验对象”。JWT 安全关键在验证和保护。

5. 最终主记法

JWT = 三段式通行证。

Token Security = 验签、验期、验对象，别泄露。

记完整句：小林网店 API 收到 JWT 后，不是看到 token 就放行，而是检查签名对不对、有没有过期、是不是自己签发、是不是发给这个 API、权限范围够不够。

翻回知识点就是：JWT / Token Security 关注令牌格式、签名验证、声明校验、生命周期、存储和泄露后的滥用风险。

6. 小白故事

小林网店移动 App 调 API 时带一个 JWT。

API 不能只把它解开看看用户名。

它要验证签名。

否则攻击者可能自己改 payload。

它要检查 exp。

否则过期票还能用。

它要检查 aud。

否则本来发给另一个服务的 token 被拿来调用订单 API。

它还要注意不要把敏感数据明文放进 payload。

因为普通 JWT 只是 Base64URL 编码，别人拿到后可能读出来。

7. 回到考题

题目说 JWT，先想三段 header、payload、signature。

题目说 token signature validation（令牌签名验证），先想防篡改。

题目说 exp / issuer / audience，先想声明校验。

题目说 do not put secrets in JWT payload（不要把秘密放 payload），先想 JWT 默认不保密。

题目说 algorithm none（none 算法），先想签名验证配置错误。

题目说 token replay（令牌重放），先想短期有效、TLS、撤销和绑定上下文。

题目说 access token / ID token / refresh token，要先分清用途：访问 API、表达身份、换新访问令牌。

8. 别混

JWT：令牌格式。

OAuth：授权框架。

Session Cookie：浏览器会话机制。

JWS：签名保护完整性。

JWE：加密保护机密性。

最容易错的地方：JWT 签名不是加密。签名证明“没被改”，不等于“没人能看”。

记忆卡：OAuth Scopes 深化 / OAuth 权限范围深化

OAuth Scope 这张卡不要背成“登录权限”。

小白先懂一句话：OAuth scope 是授权范围，告诉 API 这个 token 被允许做哪些事。它不是证明用户是谁的全部，也不是无限通行证。

1. 先懂一句话

OAuth 是授权框架。

Scope = 权限范围。

比如一个第三方应用想访问小林网店数据。

它可能只需要 read:orders（读订单）。

不应该拿到 write:orders（改订单）。

更不应该拿到 admin（管理员）。

Scope 就是在 token 里或授权记录里限制“能做什么”。

2. 真正要背什么

这张卡真正要背 7 件事。

OAuth scope 表示授权范围。
Scope 应该最小化，只给应用需要的权限。
API 必须检查 token 的 scope 是否足够。
Scope 不等于用户身份认证本身。
OIDC 更关注身份层，OAuth 更关注授权。
过宽 scope 会扩大令牌泄露后的损害。
用户同意页面常会显示应用请求的 scope。

3. 关键词拆解

OAuth：开放授权框架。

Scope：权限范围。

Access Token：访问令牌。

Authorization Server：授权服务器。

Resource Server：资源服务器 / API。

Consent：用户同意。

Least Privilege：最小权限。

OIDC：OpenID Connect，OAuth 之上的身份层。

4. 候选池

候选 1：通行证上写明能进哪几间房。

保留。它能解释 scope。

候选 2：拿到 token 就全能。

淘汰。API 还要检查 scope。

候选 3：只给要用的钥匙。

保留但不做主记法。它能记最小权限。

讨论结论：主记法用“通行证上写房间范围”。Scope 是范围，不是万能通行证。

5. 最终主记法

OAuth Scope = 通行证上写明能进哪几间房。

记完整句：小林网店给报表工具的 token 只写 read:orders，它就只能读订单；如果 API 没检查 scope，工具可能拿着票去改订单或看客户隐私。

翻回知识点就是：OAuth scope 限定访问令牌能访问的资源和动作，是最小权限授权的重要部分。

6. 小白故事

小林网店接入一个第三方物流插件。

插件只需要读取订单地址。

授权时它却请求读取客户资料、修改订单、退款和管理员权限。

这就 scope 过宽。

正确做法是只给它读取发货所需字段的范围。

API 收到 token 后，还要检查 scope。

如果 token 只有 read:shipping，就不能调用 refund 接口。

Scope 写在票上，API 要看票上的范围。

7. 回到考题

题目说 OAuth scope，先想访问令牌的授权范围。

题目说 least privilege for API access（API 访问最小权限），常看 scope。

题目说 token has read-only permission（只读权限），先想 scope 限制动作。

题目说 OIDC / ID token，偏身份认证；OAuth access token 和 scope 偏授权。

题目说 consent screen（同意页面），常显示请求的 scope。

8. 别混

OAuth：授权框架。

OIDC：身份认证层。

Scope：授权范围。

JWT：令牌格式，可能承载 scope。

RBAC：角色权限模型，不等于 OAuth scope。

最容易错的地方：Scope 不是“用户是谁”。它回答的是“这个 token 被允许做什么”。

记忆卡：Secrets Management / 密钥与秘密管理

Secrets Management 这张卡不要背成“把密码藏起来”。

小白先懂一句话：Secrets Management 是把 API key、数据库密码、私钥、令牌、证书私钥这些秘密集中、加密、授权、轮换、审计地管理，而不是散落在代码和配置里。

1. 先懂一句话

Secret = 秘密。

在系统里，secret 不只是人的密码。

还包括数据库连接密码、云访问密钥、API key、OAuth client secret、私钥、Webhook secret、加密密钥等。

如果这些东西写进代码、截图、日志或配置文件，被别人拿到，就能冒充系统访问资源。

Secrets Management 就是用专门机制管理它们。

2. 真正要背什么

这张卡真正要背 8 件事。

Secret 要集中安全存储，不要散落在代码里。
Secret 要加密保存和传输。
访问 secret 要认证、授权和审计。
Secret 要定期轮换，泄露后要立即撤销。
应用运行时按需取 secret，不要硬编码。
最小权限适用于 secret 访问。
日志和错误信息不能泄露 secret。
Secret 扫描可以发现代码库里的泄露。

3. 关键词拆解

Secrets Management：秘密管理。

API Key：API 密钥。

Database Password：数据库密码。

Private Key：私钥。

Vault：秘密保险库。

Rotation：轮换。

Revocation：撤销。

Least Privilege：最小权限。

4. 候选池

候选 1：系统秘密放保险柜。

保留。它能说明集中安全存储。

候选 2：写在代码里方便。

淘汰。代码会被复制、提交、泄露和长期保存。

候选 3：钥匙要能换锁。

保留。它能记轮换和撤销。

讨论结论：主记法用“秘密放保险柜，钥匙能轮换”。Secret 要受控，不要散落。

5. 最终主记法

Secrets Management = 系统秘密放保险柜。

记完整句：小林网店的数据库密码、云密钥和 API key 不写在代码里，而是放进秘密保险库，应用按权限取用，访问有日志，泄露后能快速轮换和撤销。

翻回知识点就是：Secrets Management 通过集中存储、加密、访问控制、审计、轮换和撤销来保护系统秘密。

6. 小白故事

小林网店有一个支付服务。

它需要调用支付平台 API。

开发者如果把 API key 写进代码，代码一旦上传到仓库或发给外包，密钥就可能泄露。

正确做法是把 API key 放进 secrets vault。

支付服务启动时，按自己的身份向 vault 取。

只有这个服务能取这个 key。

取用会被记录。

如果怀疑泄露，立刻撤销旧 key，发新 key。

这就是 secret 不是“藏在某个文件里”，而是被生命周期管理。

7. 回到考题

题目说 secrets management，先想集中保护 API key、密码、私钥和令牌。

题目说 vault，先想秘密保险库。

题目说 rotate secrets（轮换秘密），先想降低泄露后的长期风险。

题目说 hardcoded credentials（硬编码凭据），先想应该移到 secrets management。

题目说 logs contain API keys（日志含密钥），先想秘密泄露。

题目说 environment variables（环境变量），它通常比写死代码好，但不等于完整秘密管理；仍要考虑访问控制、审计、轮换和泄露风险。

8. 别混

Secrets Management：管理系统秘密。

Key Management：更偏加密密钥生命周期，和 secrets management 有重叠但不完全一样。

Password Manager：常给人管理密码。

Hardcoded Credentials：把秘密写死在代码里，是反例。

Encryption at Rest：静态加密，是 secret 保护的一部分，不是全部流程。

最容易错的地方：秘密不是“藏起来一次”就结束。它要能授权访问、记录、轮换、撤销和审计。

记忆卡：Hardcoded Credentials / 硬编码凭据

硬编码凭据这张卡不要背成“代码里有密码”就完了。

小白先懂一句话：Hardcoded Credentials 是把密码、API key、token、私钥直接写进源代码、脚本、镜像或配置模板里。问题是它们会跟着代码到处复制，很难轮换和控制。

1. 先懂一句话

Credential = 凭据。

Hardcoded = 写死。

硬编码凭据就是把秘密写死在程序里。

比如：

数据库密码写在代码文件。

云访问密钥写在脚本。

测试账号密码留在移动 App。

私钥打包进容器镜像。

这些凭据可能被提交到 Git、打包发布、被外包拿走、被攻击者反编译。

2. 真正要背什么

这张卡真正要背 7 件事。

硬编码凭据是严重安全风险。
代码库、构建产物、镜像和客户端 App 都可能泄露凭据。
硬编码凭据很难轮换。
静态分析和 secret scanning 能发现它。
应该使用 secrets vault、环境注入或安全配置管理。
一旦发现泄露，要撤销旧凭据并重新签发。
客户端代码里的秘密不能当真正秘密。

3. 关键词拆解

Hardcoded Credentials：硬编码凭据。

Embedded Secrets：嵌入式秘密。

API Key：API 密钥。

Access Key：访问密钥。

Secret Scanning：秘密扫描。

Credential Rotation：凭据轮换。

Source Repository：源代码仓库。

4. 候选池

候选 1：把钥匙刻在门上。

保留。它能说明凭据和代码一起暴露。

候选 2：写代码里最方便。

淘汰。方便但失控。

候选 3：钥匙跟着复印件到处跑。

保留但不做主记法。它能记传播风险。

讨论结论：主记法用“把钥匙刻在门上”。代码一分发，钥匙也跟着走。

5. 最终主记法

Hardcoded Credentials = 把钥匙刻在门上。

记完整句：小林网店开发者把数据库密码写进代码，代码上传仓库、打包镜像、发到测试环境，密码就跟着到处跑，攻击者看到代码就拿到钥匙。

翻回知识点就是：Hardcoded credentials 是把认证秘密写死在代码或构建产物中，导致泄露、轮换困难和未授权访问风险。

6. 小白故事

小林网店有个脚本每天导出报表。

开发者为了省事，把数据库账号和密码写在脚本开头。

后来脚本被提交到代码仓库。

一个外包开发拿到仓库副本。

又有人把仓库同步到错误的公开位置。

密码就泄露了。

安全团队不能只把代码删掉。

因为别人可能已经复制过。

必须撤销旧密码，换新密码，检查访问日志，并把脚本改为从 secrets vault 取凭据。

7. 回到考题

题目说 hardcoded credentials，先想密码或 key 写死在代码里。

题目说 source code contains API key（源码含 API key），先想硬编码凭据。

题目说 mobile app contains secret（移动 App 包含秘密），先想客户端秘密容易被提取。

题目说 secret scanning，先想发现仓库里的硬编码秘密。

题目说 best remediation，通常要撤销泄露凭据、轮换新凭据，并迁移到秘密管理方案。

题目说 Git history / build artifacts / container image（Git 历史 / 构建产物 / 容器镜像），说明删掉当前代码还不够，泄露凭据可能仍在历史和产物里。

8. 别混

Hardcoded Credentials：把凭据写死。

Default Password：默认密码，未修改也危险，但不是同一个概念。

Secrets Management：正确管理秘密。

Configuration File：配置文件也可能泄露秘密，尤其权限不当时。

Obfuscation：混淆不能把客户端秘密变成真正安全。

最容易错的地方：发现硬编码凭据后，不是只从代码里删掉。已经泄露的凭据要撤销和轮换。

记忆卡：Dependency / Software Composition Analysis / 依赖与软件组成分析

依赖分析这张卡不要背成“开源不安全”。

小白先懂一句话：现代软件大量使用第三方库。SCA 是检查你的软件用了哪些组件、版本、许可证和已知漏洞，避免把别人的漏洞一起打包进来。

1. 先懂一句话

Dependency = 依赖。

比如 Web 框架、日志库、加密库、图片处理库、npm 包、Python 包、容器基础镜像。

Software Composition Analysis / SCA = 软件组成分析。

Composition 是组成。

它问：这个软件由哪些第三方组件拼起来？

这些组件有没有已知 CVE？

许可证能不能用？

版本是不是过旧？

有没有传递依赖？

2. 真正要背什么

这张卡真正要背 8 件事。

第三方依赖会带来供应链风险。
SCA 识别软件使用的组件和版本。
SCA 可检查已知漏洞和许可证风险。
SBOM 是软件物料清单，列出软件组件。
传递依赖也要关注。
依赖要及时更新，但更新也要测试。
私有仓库、签名和完整性校验能降低供应链风险。
不是所有漏洞都同等优先，仍要看可利用性和资产重要性。

3. 关键词拆解

Dependency：依赖。

SCA：Software Composition Analysis（软件组成分析）。

SBOM：Software Bill of Materials（软件物料清单）。

Transitive Dependency：传递依赖，依赖的依赖。

CVE：公开漏洞编号。

License Risk：许可证风险。

Package Repository：软件包仓库。

Supply Chain Risk：供应链风险。

4. 候选池

候选 1：软件配料表。

保留。SBOM 和 SCA 很像看配料。

候选 2：自己没写就不用管。

淘汰。依赖进了你的产品，就成了你的风险。

候选 3：库的库也要看。

保留。它能记传递依赖。

讨论结论：主记法用“软件配料表”。看清软件用了哪些料，哪些料有漏洞或许可证问题。

5. 最终主记法

SCA = 查软件配料表。

Dependency Risk = 别人的库进了你的锅，也算你的风险。

记完整句：小林网店虽然自己没写图片处理库，但系统打包用了它；如果这个库有高危漏洞，SCA 会从软件配料表里把它标出来，提醒团队更新或缓解。

翻回知识点就是：Software Composition Analysis 识别第三方组件、版本、漏洞和许可证风险，支持软件供应链安全。

6. 小白故事

小林网店开发订单系统。

开发团队自己写的代码只占一部分。

剩下很多来自框架、数据库驱动、日志库、前端组件和容器基础镜像。

某天一个日志库曝出高危漏洞。

如果没有 SCA，团队不知道自己有没有用。

如果有 SCA，系统能列出用了哪个版本、在哪个服务里、是否可被利用、谁负责修。

这就像食品包装上的配料表。

不是自己种的材料，也要知道有没有问题。

7. 回到考题

题目说 SCA，先想第三方组件和依赖分析。

题目说 SBOM，先想软件物料清单。

题目说 transitive dependency（传递依赖），先想依赖的依赖也会带来风险。

题目说 vulnerable open-source component（有漏洞的开源组件），常看 SCA。

题目说 license compliance（许可证合规），也可能看 SCA。

题目说 update dependency，仍要测试，不能盲目升级生产。

8. 别混

SCA：分析第三方组件和依赖。

SAST：扫描自己代码。

DAST：测试运行中的应用。

SBOM：组件清单。

Patch Management：补丁和更新流程。

最容易错的地方：依赖漏洞不是“供应商的事”。只要组件进了你的软件和环境，它就会变成你的风险。

记忆卡：Cloud Security Shared Responsibility / 云安全共享责任

云安全共享责任这张卡不要背成“云商负责安全，公司不用管”。

小白先懂一句话：上云不是把安全责任丢给别人，而是把一栋楼拆成很多层，云服务商管一部分，公司自己还要管一部分。

1. 先懂一句话

Cloud Security Shared Responsibility = 云安全共享责任。

Cloud 是云。

Shared Responsibility 是共享责任。

它问的不是“谁比较厉害”，而是“这件事到底归谁管”。

云服务商通常负责机房、硬件、底层云平台。

公司通常仍要负责自己的数据、账号、权限、配置、密钥、日志和合规要求。

服务模型不同，责任边界也不同。

IaaS（基础设施即服务）里，公司管得最多。

PaaS（平台即服务）里，公司少管底层，多管应用和数据。

SaaS（软件即服务）里，公司不用管服务器，但仍要管账号、权限、数据和配置。

2. 真正要背什么

这张卡真正要背 5 件事。

上云以后责任不会消失，只会重新分界。
先看 IaaS / PaaS / SaaS，再判断责任归谁。
云商管底层，不代表公司不用管数据。
公司常管 IAM（身份与访问管理）、配置、密钥、日志、数据分类。
题目问 responsibility（责任）或 accountable（最终负责）时，先画边界，不要急着选工具。

3. 关键词拆解

Shared Responsibility Model：共享责任模型。

Cloud Provider / Cloud Service Provider：云服务提供商。

Customer：客户，也就是使用云服务的公司。

IAM / Identity and Access Management：身份与访问管理，管谁能登录、能做什么。

Data Ownership：数据所有权，客户自己的数据通常仍由客户负责。

Data Owner：数据所有者，对数据使用和保护结果通常仍要最终负责。

Accountability：最终问责，意思是出了事不能简单说“外包了就不关我事”。

Configuration：配置，很多云事故来自存储桶、权限、网络规则配错。

4. 候选池

候选 1：云上分工表。

保留。最适合小白，能马上想到“谁管哪一格”。

候选 2：云商全包。

淘汰。这正是考试陷阱。

候选 3：云商管地基，公司管钥匙和资料。

保留。地基是底层设施，钥匙是身份和权限，资料是数据。

讨论结论：主记法用“云上分工表”。看到云题先不要找工具，先把责任表画出来。

5. 最终主记法

Shared Responsibility = 云上分工表。

记完整句：小林网店把系统搬到云上，云商负责机房、电力、硬件和底层平台能不能跑；小林仍要负责员工账号怎么开、客户资料放哪里、权限怎么配、密钥谁保管、日志谁检查。

翻回知识点就是：云安全是共享责任。服务模型决定客户和云商各自负责的层次，但客户自己的数据、身份、配置和合规责任通常不会消失。

6. 小白故事

小林网店原来自己买服务器。

后来为了省事，把网站搬到云上。

小林第一反应是：服务器不是我家的了，安全是不是都归云商？

安全同事让他先画一张分工表。

机房有没有电、硬盘坏了谁换、底层云平台能不能用，这些多半归云商。

客户资料谁能下载、客服账号有没有离职停用、存储桶是不是公开、数据库密钥谁能拿到，这些仍然归小林网店。

所以云安全不是甩锅。

它更像把原来一整台机器拆成一层一层的责任。

哪一层在谁手里，谁就要把那一层管好。

7. 回到考题

题目说 shared responsibility model（共享责任模型），先想云商和客户分工。

题目说 customer responsibility（客户责任），先看数据、身份、访问权限、配置、密钥、日志。

题目说 provider responsibility（服务商责任），先看物理机房、底层硬件、云平台基础服务。

题目说 IaaS / PaaS / SaaS，先按模型划层，不要一句“云商负责”带过。

题目说 data breach caused by misconfigured storage bucket（存储桶配置错误导致泄露），通常先想客户配置责任。

题目说 data owner（数据所有者）或 accountable（最终问责），先想客户对自己的数据仍然要负责。

8. 别混

共享责任：回答谁负责。

CASB：帮助公司看见和控制云服务访问。

SLA：服务级别协议，写服务可用性、恢复承诺等合同指标。

Due Diligence：选择云商前做尽职调查。

最容易错的地方：云商负责底层，不等于公司可以不管数据。考试常把“用了云”写得像免责牌，真正要看这件事在哪一层发生。

共同责任也不是五五分。它是按服务模型和控制边界分工：谁能控制哪一层，谁就要把那一层管好。

记忆卡：IaaS / PaaS / SaaS 深化 / 云服务模型深化

IaaS、PaaS、SaaS 这张卡不要背成三个英文缩写。

小白先懂一句话：它们是在问“公司买到的是地基、厨房，还是做好的饭”。

1. 先懂一句话

IaaS = Infrastructure as a Service，基础设施即服务。

Infrastructure 是基础设施。

云商给虚拟机、网络、存储这些底层资源。

公司还要管操作系统、补丁、应用、数据和很多安全配置。

PaaS = Platform as a Service，平台即服务。

Platform 是平台。

云商把运行环境搭好，比如数据库平台、应用运行平台。

公司主要管应用代码、数据、访问权限和配置。

SaaS = Software as a Service，软件即服务。

Software 是软件。

公司直接用现成应用，比如云邮箱、CRM、在线办公。

公司不用管服务器和底层平台，但仍要管账号、权限、数据、配置和日志。

2. 真正要背什么

这张卡真正要背 4 件事。

IaaS：租地基，客户责任最多。
PaaS：租平台，客户主要管应用和数据。
SaaS：用现成软件，客户主要管账号、权限、数据和配置。
服务越“现成”，客户少管底层，但不会失去数据责任。

3. 关键词拆解

Virtual Machine / VM：虚拟机，IaaS 常见。

Operating System / OS：操作系统，IaaS 里通常客户要管。

Runtime：运行时环境，PaaS 里云商常帮你管一部分。

Application Code：应用代码，PaaS 里客户仍要管。

User Account：用户账号，SaaS 里客户仍要管。

Access Permission：访问权限，SaaS 里非常常考。

4. 候选池

候选 1：IaaS 租地基，PaaS 租厨房，SaaS 吃成品饭。

保留。层次清楚。

候选 2：IaaS 最大，SaaS 最小。

淘汰。太抽象，小白不知道“大”指什么。

候选 3：地基、灶台、成品。

保留但要补完整故事，否则容易只记词不懂责任。

讨论结论：主记法用“地基、厨房、成品饭”。它能把服务模型和客户责任一起记住。

5. 最终主记法

IaaS = 租地基。

PaaS = 租厨房。

SaaS = 吃成品饭。

记完整句：小林网店如果租 IaaS，就像只租到地基和水电，房子里的系统还要自己装；如果用 PaaS，就像厨房和炉灶已经搭好，自己负责菜谱和食材；如果用 SaaS，就像直接吃现成饭，但谁能进店、谁能看账本、客人资料怎么放，仍然要自己管。

翻回知识点就是：IaaS、PaaS、SaaS 是云服务模型。模型越靠近成品软件，客户越少管底层；但客户的数据、身份、权限和配置责任仍然存在。

6. 小白故事

小林网店要做一个客服系统。

第一种买法是租云服务器。

云商给他虚拟机、磁盘和网络。

小林自己装系统、打补丁、部署程序、管数据库。

这就是 IaaS。

第二种买法是租一个应用运行平台。

云商已经准备好运行环境和数据库服务。

小林主要上传代码、配置访问、保护数据。

这就是 PaaS。

第三种买法是直接买一套在线客服 SaaS。

软件本身已经能用。

但小林仍要决定哪些客服能看客户资料、离职员工账号什么时候停、日志要不要开。

这就是 SaaS。

7. 回到考题

题目说 customer installs OS patches（客户安装操作系统补丁），常看 IaaS。

题目说 customer provides application code（客户提供应用代码），常看 PaaS。

题目说 vendor provides a complete application（供应商提供完整应用），常看 SaaS。

题目说 customer cannot access underlying infrastructure（客户不能访问底层基础设施），常看 SaaS 或 Serverless（无服务器）。

题目问 responsibility（责任）时，不要只看名字，要看客户还能控制哪一层。

8. 别混

IaaS：客户管操作系统、应用、数据、很多网络和安全配置。

PaaS：客户管应用、数据、访问、配置，少管底层系统。

SaaS：客户管账号、权限、数据、配置，基本不管底层服务器。

CaaS：Container as a Service，容器即服务，偏容器运行环境。

FaaS：Function as a Service，函数即服务，偏 Serverless（无服务器）。

最容易错的地方：SaaS 不是“客户没有任何责任”。SaaS 里最常考的反而是账号、权限、数据和配置。

记忆卡：CSP / Cloud Service Provider / 云服务提供商

CSP 这张卡要先防混。

小白先懂一句话：这一批云安全里，CSP 是 Cloud Service Provider（云服务提供商），不是 Web 安全里的 Content Security Policy（内容安全策略）。

1. 先懂一句话

CSP = Cloud Service Provider，云服务提供商。

Provider 是提供者。

它是提供云服务的一方，比如提供 IaaS、PaaS、SaaS、云存储、云数据库、云函数、云身份服务。

考试考 CSP 时，常问的不是“云商叫什么”，而是公司选择云商前要查什么、合同里要写什么、云商中断会不会影响业务。

2. 真正要背什么

这张卡真正要背 5 件事。

CSP 是提供云服务的供应商。
选 CSP 不能只看价格，还要做 due diligence（尽职调查）。
要看 SLA（服务级别协议）、合规、审计报告、数据位置、退出方案。
CSP 自己的中断也可能让客户业务停摆。
合同不是全部，还要验证供应商控制是否真的存在。

3. 关键词拆解

Cloud Service Provider：云服务提供商。

SLA / Service-Level Agreement：服务级别协议，写可用性、恢复承诺、响应时间等。

SOC Report / System and Organization Controls Report：系统与组织控制报告，用来了解供应商控制情况。

Due Diligence：尽职调查，签约前确认供应商是否可靠。

TPRM / Third-Party Risk Management：第三方风险管理，评估外部供应商带来的风险。

SCRM / Supply Chain Risk Management：供应链风险管理，关注供应链环节带来的安全和连续性风险。

Data Location / Data Residency：数据位置 / 数据驻留，数据放在哪个地区或国家。

Exit Strategy：退出策略，换供应商或停止服务时怎么迁出数据。

4. 候选池

候选 1：CSP = 出售云铺位的人。

保留。能记住它是供应商，不是某个安全工具。

候选 2：CSP = 内容安全策略。

淘汰。这是另一个同缩写，在 Web 安全题里才常见。

候选 3：云商不是神仙，要查合同、证据和退路。

保留。能记住考试常问 due diligence 和 SLA。

讨论结论：主记法用“云商是房东，也要查证件”。云商提供场地和服务，但公司要查它靠不靠谱。

5. 最终主记法

CSP = 云商房东。

记完整句：小林网店把订单系统放到某云商那里，不能只问一个月多少钱，还要问服务坏了多久恢复、数据放在哪、审计报告能不能看、合同有没有 SLA、以后想搬走数据怎么拿回来。

翻回知识点就是：Cloud Service Provider 是云服务提供商。组织使用 CSP 前要做供应商风险评估、审查合同和控制证明，并考虑业务连续性和退出安排。

6. 小白故事

小林网店准备把客服系统搬到云上。

销售说这家云商便宜、界面好看、开通很快。

安全同事没有马上同意。

他拿出一张清单。

第一，云商出故障时承诺多久恢复。

第二，客户资料存在哪个地区。

第三，云商有没有审计报告证明自己有控制措施。

第四，服务合同有没有写清责任。

第五，将来不用这家云商时，数据能不能完整导出。

这不是挑剔。

因为云商如果中断，小林网店的业务也会中断。

云商如果管理不好，小林网店的数据也会受影响。

7. 回到考题

题目说 cloud service provider（云服务提供商），先想供应商风险和合同边界。

题目说 SLA，先想可用性、响应时间、恢复承诺。

题目说 SOC report，先想第三方审计报告。

题目说 due diligence before selecting provider（选择供应商前尽职调查），先想验证控制、合规、数据位置和业务连续性。

题目说 provider outage（供应商中断），先想外部依赖也会影响 BCP（业务连续性计划）。

题目说 customer data copied by CSP（云商复制了客户数据），仍要问 Data Owner（数据所有者）怎么确认残留、删除、合规和最终问责。

8. 别混

CSP / Cloud Service Provider：云服务提供商。

CSP / Content Security Policy：内容安全策略，用来限制浏览器能加载哪些脚本、样式、资源。

CASB：云访问安全代理，管用户访问云服务时的可见性和控制。

SLA：服务级别协议，不是供应商本身。

最容易错的地方：看到 CSP 要看题目上下文。云服务、供应商、IaaS、SaaS 语境下，多半是 Cloud Service Provider；浏览器、XSS、脚本加载语境下，多半是 Content Security Policy。

记忆卡：CASB 深化 / Cloud Access Security Broker / 云访问安全代理

CASB 这张卡不要背成“云防火墙”。

小白先懂一句话：CASB 是夹在公司用户和云服务之间的统一检查站，让公司看见谁在用哪些云服务，并把安全策略执行过去。

1. 先懂一句话

CASB = Cloud Access Security Broker，云访问安全代理。

Cloud Access 是访问云服务。

Security Broker 是安全代理或中间检查点。

它常用于公司员工访问 SaaS（软件即服务）、云盘、云邮箱、云应用时。

公司想知道谁在访问、传了什么数据、有没有异常、能不能统一执行 DLP（数据泄露防护）、MFA（多因素认证）、加密、阻断或审计。

2. 真正要背什么

这张卡真正要背 5 件事。

CASB 夹在用户和云服务之间。
它提供可见性：看见哪些云服务被用。
它执行控制：访问控制、策略执行、异常检测。
它保护数据：DLP、加密、阻止敏感数据外发。
它不是 SIEM（安全信息与事件管理），也不是普通防火墙。

3. 关键词拆解

Cloud Access：访问云服务。

Broker：中介、代理，站在两边之间转接和控制。

Visibility：可见性，看见云应用使用情况。

Shadow IT：影子 IT，员工私自使用未经批准的云服务。

DLP / Data Loss Prevention：数据泄露防护。

Forward Proxy：正向代理，常站在用户侧帮助控制用户往外访问。

Reverse Proxy：反向代理，常站在服务侧代表服务接收访问。

Policy Enforcement：策略执行，把公司规则真正落到访问路径上。

4. 候选池

候选 1：CASB 读成 ca si bi，记“卡四边”。

保留。四边可以记四件事：看见、控制、防泄露、查异常。

候选 2：云防火墙。

淘汰。它太粗，容易和 NGFW（下一代防火墙）混。

候选 3：云门口的保安台。

保留。能记住它在用户和云服务之间。

讨论结论：主记法用“卡四边的云门禁”。它不是单纯拦网络包，而是把云访问、云数据、云账号、云策略一起管起来。

5. 最终主记法

CASB = 卡四边的云门禁。

四边是：看得见、管得住、防外泄、查异常。

记完整句：小林网店员工用云盘、云邮箱、在线表格和客服 SaaS。CASB 像云门禁，能看见谁在用什么云服务，阻止客户资料被传到私人云盘，发现异常登录，并把公司安全策略执行到不同云应用里。

翻回知识点就是：CASB 提供跨云服务的可见性、访问控制、数据保护和威胁防护。

6. 小白故事

小林网店一开始只批准了公司云盘。

后来员工为了方便，又用了个人云盘、在线转换工具、外部协作文档。

客户名单可能被上传到公司看不见的地方。

普通防火墙只看到网络连接，不一定知道这是哪个 SaaS 应用、里面传了什么数据。

CASB 被放到用户和云服务之间。

它先把云服务使用情况照出来。

再按公司规则处理。

客户身份证号不能上传到个人云盘。

国外异常登录要加 MFA。

未经批准的云应用要阻断或告警。

这就是 CASB。

7. 回到考题

题目说 enforce security policy across cloud services（跨云服务执行安全策略），先想 CASB。

题目说 visibility into SaaS usage（看见 SaaS 使用情况），先想 CASB。

题目说 Shadow IT（影子 IT），先想 CASB 发现未经批准的云应用。

题目说 protect sensitive data in cloud apps（保护云应用里的敏感数据），CASB 可能结合 DLP。

题目只说 log correlation（日志关联分析），先看 SIEM。

题目只说 block network traffic（阻断网络流量），先看防火墙或代理。

8. 别混

CASB：用户和云服务之间的访问控制、可见性和策略执行。

DLP：防敏感数据泄露，可以是 CASB 的能力之一。

SIEM：集中收集日志、关联分析和告警。

NGFW：下一代防火墙，偏网络边界和应用识别。

IAM：身份与访问管理，管身份和权限，CASB 可以使用 IAM 信号。

Forward Proxy / Reverse Proxy：正向代理 / 反向代理，是代理部署方式；CASB 的核心定位仍是云访问可见性和策略执行。

最容易错的地方：CASB 不是“云里所有安全问题的答案”。只有题目强调云服务访问、SaaS 可见性、跨云策略、影子 IT、云数据外发时，才优先想它。

记忆卡：Cloud Data Protection / 云数据保护

云数据保护这张卡不要背成“开了加密就结束”。

小白先懂一句话：数据放到云上以后，先问这是什么数据、谁能看、在哪里存、用什么密钥保护、什么时候删。

1. 先懂一句话

Cloud Data Protection = 云数据保护。

Data 是数据。

Protection 是保护。

它不是单个工具，而是一整条线。

先分类，再控权，再加密，再管密钥，再看位置，再看备份和删除。

客户资料、支付信息、健康信息、合同、源代码、日志，都可能在云里。

数据一旦进入云存储、云数据库、SaaS 应用、备份桶、日志平台，就要知道它的生命周期。

2. 真正要背什么

这张卡真正要背 6 件事。

先做 data classification（数据分类），知道哪些数据敏感。
控制 access control（访问控制），谁能读、改、导出。
使用 encryption（加密），保护传输中和存储中的数据。
管好 key management（密钥管理），密钥不能随便交给所有人。
注意 data residency（数据驻留）和合规要求。
管生命周期：创建、使用、备份、共享、归档、删除。

3. 关键词拆解

Data Classification：数据分类，先给数据定敏感级别。

Data Segregation：数据隔离，让不同客户、不同环境、不同敏感级别的数据不要混在一起。

Data Remanence：数据残留，数据删除后底层介质或副本里可能还留有痕迹。

Data Disposal：数据处置 / 清理，按规则销毁、擦除或清理不再需要的数据。

Encryption at Rest：静态加密，数据存着时加密。

Encryption in Transit：传输中加密，数据传输时加密。

Data in Use：使用中数据，数据正在被处理时的状态。

KMS / Key Management Service：密钥管理服务。

Tokenization：令牌化，用替代值代替真实敏感数据。

DLP / Data Loss Prevention：数据泄露防护。

Data Residency：数据驻留，数据必须存放在哪些地区。

Data Sovereignty：数据主权，数据受所在国家或地区法律管辖。

Data Localization：数据本地化，要求数据保存在特定国家或地区内。

Retention：保留期限，数据要留多久。

4. 候选池

候选 1：云里先贴标签，再上锁，再管钥匙。

保留。能把分类、加密、密钥串起来。

候选 2：加密万能。

淘汰。加密不解决权限滥用、数据位置、误共享、生命周期问题。

候选 3：资料搬进云仓库，标签、门禁、钥匙、地址、清理单都要有。

保留。完整但稍长，适合故事。

讨论结论：主记法用“贴标签、设门禁、管钥匙、看地址、按时清理”。

5. 最终主记法

Cloud Data Protection = 标签、门禁、钥匙、地址、清理。

标签 = 数据分类。

门禁 = 访问控制。

钥匙 = 加密和密钥管理。

地址 = 数据驻留和合规。

清理 = 保留、归档、删除。

记完整句：小林网店把客户资料放到云数据库，先贴敏感标签，再限制谁能看，再用加密保护，再把密钥放进 KMS，还要确认数据存在哪个地区，最后按保留策略删除过期数据。

翻回知识点就是：云数据保护覆盖数据分类、访问控制、加密、密钥管理、位置合规和数据生命周期管理。

6. 小白故事

小林网店有一批客户资料。

里面有姓名、电话、地址、订单、付款记录。

如果直接丢进云盘，问题会很多。

客服能不能全部下载？

测试人员能不能拿真实数据？

备份会不会跨地区？

离职员工还有没有权限？

加密密钥是谁保管？

过期订单要不要删除？

安全同事没有只说“加密”。

他先把客户资料标成敏感数据。

再限制访问权限。

再开启传输加密和存储加密。

再把密钥交给受控的 KMS。

再确认数据所在地区满足合规要求。

最后写清楚多久归档、多久删除。

7. 回到考题

题目说 data classification（数据分类），先想识别敏感程度。

题目说 encryption at rest（静态加密），先想存储中的数据保护。

题目说 encryption in transit（传输中加密），先想网络传输保护。

题目说 KMS / customer-managed keys（客户管理密钥），先想谁控制密钥。

题目说 data segregation（数据隔离），先想多租户或不同环境的数据不能混。

题目说 data remanence（数据残留），先想删除后副本、磁盘、备份里还可能留下痕迹。

题目说 data disposal（数据处置 / 清理），先想云中数据最难验证是否真的擦干净。

题目说 data residency（数据驻留），先想数据存放地区和法规要求。

题目说 DLP，先想阻止敏感数据外发。

题目说 right to delete / retention（删除权 / 保留期限），先想生命周期管理。

8. 别混

加密：让没有密钥的人看不懂内容。

访问控制：决定谁能访问数据。

数据分类：先知道数据有多敏感。

KMS：管密钥，不等于自动把所有权限问题解决。

DLP：防数据外泄，不等于备份。

最容易错的地方：云数据保护不是“开启加密”四个字。题目可能考分类、权限、密钥、驻留、保留、删除中的任何一环。

记忆卡：Container Security / 容器安全

容器安全这张卡不要背成“Docker 就是小虚拟机”。

小白先懂一句话：容器是把应用和依赖打包成一个能跑的盒子，但它共享宿主机内核，所以镜像、权限、密钥、运行时隔离都要管。

1. 先懂一句话

Container = 容器。

它常把应用、依赖库、配置文件打包成 image（镜像）。

运行起来的实例叫 container（容器）。

容器比虚拟机轻，因为它通常共享宿主机操作系统内核。

正因为轻，也不能把它当成完整隔离的机器。

如果镜像有漏洞、容器权限太高、密钥写进镜像、容器能访问宿主机敏感目录，就会出事。

2. 真正要背什么

这张卡真正要背 6 件事。

镜像要来自可信 registry（镜像仓库）。
镜像要 scan（扫描）漏洞和恶意组件。
镜像越小越好，少放没用工具。
容器运行时少给 privilege（特权）和 root 权限。
secrets（秘密）不要写进镜像。
运行时要监控异常行为和网络访问。

3. 关键词拆解

Image：镜像，容器启动前的打包模板。

Container：容器，镜像运行后的实例。

Registry：镜像仓库，存放镜像的地方。

Runtime：运行时，负责把容器跑起来的组件。

Privileged Container：特权容器，权限很高，风险大。

Rootless：无 root 运行，降低权限风险。

Immutable Image：不可变镜像，镜像构建后不在运行时随便改，更新时重新构建和发布新镜像。

Secrets：秘密，比如密码、API key、证书私钥。

4. 候选池

候选 1：容器是打包盒，不是保险柜。

保留。能提醒小白容器不是天然安全。

候选 2：镜像干净、钥匙别塞盒里、运行少给权。

保留。三件考试常考点很清楚。

候选 3：容器等于虚拟机。

淘汰。会把共享内核和隔离边界讲错。

讨论结论：主记法用“打包盒三检查：盒子干净、钥匙不放盒里、跑起来少给权”。

5. 最终主记法

Container Security = 打包盒三检查。

盒子干净 = 镜像来源可信、漏洞扫描、最小化。

钥匙不放盒里 = secrets 不写进镜像。

跑起来少给权 = 不随便 root、不随便 privileged。

记完整句：小林网店把订单服务做成容器，不是把代码塞进盒子就完事；镜像要查漏洞，API key 不能写进镜像，容器运行时不能给过大权限，还要限制网络和文件访问。

翻回知识点就是：容器安全覆盖镜像安全、仓库安全、秘密管理、最小权限、运行时隔离和监控。

6. 小白故事

开发同事说：这个订单服务我已经打成容器了，放哪都能跑。

安全同事问了三句话。

第一，这个镜像从哪里来的？

如果基础镜像来自不可信来源，里面可能带漏洞。

第二，镜像里面有没有密码？

如果数据库密码写进镜像，镜像一分发，密码也跟着分发。

第三，容器跑起来是不是 root 或 privileged？

如果权限过大，容器里的漏洞可能碰到宿主机。

所以容器安全不是只会 Docker 命令。

它是在问：打包前干不干净，打包里有没有秘密，运行时有没有给太多权。

7. 回到考题

题目说 container image scanning（容器镜像扫描），先想查镜像漏洞和恶意组件。

题目说 trusted registry（可信镜像仓库），先想镜像来源。

题目说 secrets embedded in image（秘密写进镜像），先想密钥泄露。

题目说 privileged container（特权容器），先想权限过大。

题目说 host mount（挂载宿主机目录），先想容器可能影响宿主机。

题目说 least privilege（最小权限），容器运行时也适用。

题目说 immutable image（不可变镜像），先想不要在运行中的容器里手工改来改去，而是重新构建可信镜像。

8. 别混

容器：共享宿主机内核，轻量打包应用。

虚拟机：有自己的客体操作系统，隔离边界不同。

镜像：模板。

容器：运行实例。

Kubernetes：编排和管理大量容器的平台。

最容易错的地方：容器不是自动安全边界。考试如果问容器风险，常看镜像漏洞、硬编码秘密、特权容器、共享内核和宿主机访问。

记忆卡：Kubernetes Security / Kubernetes 安全

Kubernetes 安全这张卡不要一上来背组件名。

小白先懂一句话：Kubernetes 是管很多容器的调度台；安全要看谁能操作调度台、容器被放到哪里、服务之间能不能乱连、秘密怎么保存。

1. 先懂一句话

Kubernetes 常简称 K8s。

它是容器编排平台。

Orchestration 是编排，意思是把很多容器按规则部署、扩容、重启、联网。

Cluster 是集群。

Node 是节点，也就是跑容器的机器。

Pod 是 Kubernetes 里最小部署单位，一个 Pod 里可以有一个或多个容器。

API Server 是控制入口。

RBAC / Role-Based Access Control 是基于角色的访问控制。

2. 真正要背什么

这张卡真正要背 7 件事。

K8s 管的是容器集群，不是单个容器命令。
API Server 是关键入口，要强认证、强授权、少暴露。
RBAC 要最小权限。
Namespace（命名空间）方便分组，但不是完整安全边界。
Network Policy（网络策略）限制 Pod 之间通信。
Secrets（秘密）要保护，不能当普通配置随便放。
镜像、节点、运行时、日志和审计都要管。

3. 关键词拆解

Cluster：集群，一组节点。

Node：节点，运行工作负载的机器。

Pod：最小调度单位。

API Server：Kubernetes 控制入口。

RBAC：基于角色的访问控制。

Service Account：服务账号，Pod 或程序访问 Kubernetes API 时使用的身份。

Namespace：命名空间，用于分组和隔离管理对象。

Network Policy：网络策略，限制 Pod 通信。

etcd：Kubernetes 的关键数据存储，保存集群状态和配置，里面可能有敏感信息。

Admission Controller：准入控制，在资源创建前检查规则。

4. 候选池

候选 1：K8s 是容器总调度台。

保留。最容易让小白知道它不是一个普通容器。

候选 2：Pod、Node、Cluster 背单词。

淘汰。只背单词容易忘“为什么要安全”。

候选 3：调度台四个按钮：谁能按、放哪跑、能连谁、秘密在哪。

保留。正好对应 RBAC、调度/节点、网络策略、Secrets。

讨论结论：主记法用“容器总调度台四按钮”。

5. 最终主记法

Kubernetes Security = 总调度台四按钮。

谁能按 = API Server 认证授权和 RBAC。

放哪跑 = 节点、镜像、运行时安全。

能连谁 = Network Policy。

秘密在哪 = Secrets 和密钥保护。

记完整句：小林网店用 Kubernetes 管订单、支付、库存容器。安全同事先看谁能调用 API Server，再看 RBAC 权限是否太大，再看 Pod 之间是否能乱连，再看数据库密码是不是安全保存。

翻回知识点就是：Kubernetes 安全要覆盖控制平面、访问控制、网络隔离、秘密保护、镜像安全、节点安全和审计。

6. 小白故事

小林网店双十一流量很高。

开发团队用 Kubernetes 自动拉起更多订单服务容器。

表面看很方便。

但安全同事盯着调度台。

如果 API Server 暴露给不该访问的人，对方可能直接创建恶意 Pod。

如果 RBAC 权限太宽，一个普通服务账号可能改整个集群。

如果没有 Network Policy，订单服务可能随便连数据库、支付服务和后台管理接口。

如果 Secrets 没保护好，数据库密码可能被不该看的 Pod 拿到。

所以 K8s 安全不是“容器能跑起来”。

它是“谁能调度、调度到哪、服务能连谁、秘密怎么保”。

7. 回到考题

题目说 Kubernetes API Server，先想控制入口和认证授权。

题目说 RBAC，先想最小权限和角色绑定。

题目说 Namespace，先想分组管理，不要当成强隔离。

题目说 Network Policy，先想限制 Pod 到 Pod 的通信。

题目说 Admission Controller，先想资源创建前的策略检查。

题目说 Kubernetes Secrets，先想敏感信息存储和访问控制。

题目说 service account（服务账号），先想 Pod 用什么身份调用 API，权限不能给大。

题目说 etcd，先想集群状态账本，要限制访问、加密和备份保护。

8. 别混

Container Security：单个容器和镜像怎么安全。

Kubernetes Security：大量容器如何被调度、授权、联网和审计。

Namespace：分组，不等于完整安全边界。

RBAC：谁能操作 Kubernetes 资源。

Network Policy：Pod 之间能不能通信。

Kubernetes Secrets：K8s 里的秘密对象，不要默认当成保险库，仍要看加密、权限和访问路径。

最容易错的地方：K8s 出问题常不是“容器本身坏了”，而是控制台权限太大、网络默认太通、秘密暴露、镜像来源不可信。

记忆卡：Serverless Security / 无服务器安全

Serverless 这张卡不要背成“没有服务器，所以没有安全问题”。

小白先懂一句话：无服务器不是世界上没有服务器，而是云商把服务器管理藏起来了；公司仍要管函数代码、触发器、权限、输入、秘密和日志。

1. 先懂一句话

Serverless = 无服务器。

更准确地说，是客户不用管理服务器。

FaaS = Function as a Service，函数即服务。

公司把一段函数代码交给云平台。

云平台在事件发生时运行它，比如上传文件、收到订单、API 被调用、定时任务触发。

底层服务器、操作系统、扩缩容通常由云商管。

但函数代码写错、权限给太大、事件来源没验证、密钥乱放，仍然是客户风险。

2. 真正要背什么

这张卡真正要背 6 件事。

Serverless 不是没有服务器，是客户不管服务器。
云商通常管底层 OS（操作系统）、运行平台和扩缩容。
客户仍管函数代码、输入验证、业务逻辑。
客户要管 IAM 权限，函数权限不能过大。
客户要管 secrets（秘密）和环境变量。
客户要管触发器、日志、监控和依赖库。

3. 关键词拆解

Serverless：无服务器，客户不直接管理服务器。

FaaS / Function as a Service：函数即服务。

Event Trigger：事件触发器，决定函数什么时候运行。

Function Code：函数代码。

Execution Role：执行角色，函数运行时拥有哪些权限。

Cold Start：冷启动，函数首次启动可能较慢，偏性能概念。

4. 候选池

候选 1：无服务器 = 不管服务器，不是不管安全。

保留。正中考试陷阱。

候选 2：函数小纸条，权限别写成总钥匙。

保留。能记执行角色最小权限。

候选 3：服务器消失了。

淘汰。服务器没有消失，只是客户看不见和不管理。

讨论结论：主记法用“看不见服务器，仍要看函数、触发器、权限和秘密”。

5. 最终主记法

Serverless Security = 不管服务器，也要管函数。

记完整句：小林网店写了一个函数，客户上传退货照片就自动处理。云商负责底层服务器和扩缩容，但小林仍要检查上传文件是否合法、函数权限是不是只够读写指定存储桶、API key 有没有放进安全的秘密管理里、日志能不能追踪异常。

翻回知识点就是：Serverless 安全属于共享责任。供应商管更多底层，客户仍负责代码、配置、权限、输入、秘密、依赖和监控。

6. 小白故事

小林网店以前要自己维护一台图片处理服务器。

后来改成无服务器函数。

客户上传图片，函数自动压缩、打水印、存回云存储。

小林很高兴：服务器不用我管了。

安全同事提醒他：服务器不用你管，但函数还是你写的。

上传的文件是不是图片？

函数能不能读取整个云盘？

函数用的第三方库有没有漏洞？

环境变量里有没有明文密码？

失败日志有没有记录？

这些都不是云商替你写业务逻辑。

所以 Serverless 减少服务器运维，不减少代码和权限责任。

7. 回到考题

题目说 serverless provider does not expose OS（无服务器不暴露操作系统），通常 OS 配置归供应商。

题目说 function permissions / execution role（函数权限 / 执行角色），先想客户最小权限。

题目说 event trigger（事件触发器），先想谁能触发函数。

题目说 input validation（输入验证），函数代码仍要做。

题目说 secrets in environment variables（环境变量里的秘密），先想秘密管理和访问控制。

题目说 vulnerable dependency（有漏洞依赖），函数代码也受影响。

8. 别混

Serverless：不用管理服务器，但仍管函数。

PaaS：云商提供平台，客户管应用和数据。

SaaS：直接使用现成软件。

Container：自己打包应用运行环境。

最容易错的地方：Serverless 不是“客户没有安全责任”。它只是把服务器和操作系统责任更多交给云商，函数代码和权限仍归客户。

记忆卡：Virtualization Security / 虚拟化安全

虚拟化安全这张卡不要背成“虚拟机就是云”。

小白先懂一句话：虚拟化是在一台物理机器上跑多台虚拟机，中间负责分配资源和隔离的核心层叫 Hypervisor（虚拟机监控器）。

1. 先懂一句话

Virtualization = 虚拟化。

Virtual Machine / VM = 虚拟机。

Hypervisor = 虚拟机监控器。

它负责让多台虚拟机共享同一台物理服务器的 CPU、内存、磁盘和网络。

虚拟化安全要看三层。

第一层是物理主机。

第二层是 Hypervisor。

第三层是每台 VM 里的操作系统和应用。

如果 Hypervisor 或宿主机被攻破，影响可能比单台服务器更大，因为很多 VM 都靠它隔离。

2. 真正要背什么

这张卡真正要背 6 件事。

Hypervisor 是虚拟化的关键隔离层。
Type I Hypervisor 直接跑在硬件上，也叫 bare-metal（裸机型）。
Type II Hypervisor 跑在宿主操作系统上，也叫 hosted（托管型）。
VM 之间应该隔离。
宿主机和 Hypervisor 要补丁、加固、最小化管理访问。
快照、镜像、虚拟网络、管理接口也会带来风险。

3. 关键词拆解

Type I Hypervisor：一型虚拟机监控器，直接跑在硬件上。

Bare-Metal：裸机型，直接贴着硬件。

Type II Hypervisor：二型虚拟机监控器，跑在宿主 OS 上。

Hosted：托管型，依赖宿主操作系统。

Snapshot：快照，保存虚拟机某一时刻状态。

VM Sprawl：虚拟机蔓延，虚拟机越建越多没人管。

Virtual Network：虚拟网络，虚拟机之间的网络连接。

Guest OS Patching：客户机操作系统补丁。虚拟化不代表每台 VM 的操作系统自动不用维护。

4. 候选池

候选 1：Hypervisor 是楼层管理员。

保留。能记它管多台虚拟机的资源和隔离。

候选 2：Type I 贴地基，Type II 住在别人的房子里。

保留。能记 I 直接硬件，II 依赖宿主 OS。

候选 3：虚拟机天然安全。

淘汰。隔离要靠 Hypervisor 和配置实现。

讨论结论：主记法用“楼层管理员 + 贴地基/住别人房子”。

5. 最终主记法

Virtualization Security = 管好楼层管理员。

Type I = 贴地基，直接跑硬件。

Type II = 住别人房子，先有宿主 OS。

记完整句：小林网店一台物理服务器上跑订单 VM、客服 VM、测试 VM。Hypervisor 像楼层管理员，给每个房间分 CPU、内存和网络；管理员门禁如果坏了，房间之间可能互相影响。

翻回知识点就是：虚拟化安全重点在 Hypervisor、宿主机、虚拟机隔离、管理接口、补丁、快照和虚拟网络控制。

6. 小白故事

小林网店为了省硬件，把几台系统放到同一台物理服务器上。

订单系统是一台 VM。

客服系统是一台 VM。

测试环境也是一台 VM。

表面上它们像三台机器。

实际上下面共用同一套硬件。

Hypervisor 在中间分配资源。

如果测试 VM 的权限乱配，可能影响虚拟网络。

如果 Hypervisor 管理口暴露，攻击者可能控制多台 VM。

如果旧快照里有旧密码，恢复出来也可能带风险。

所以虚拟化安全不是只看 VM 里面装了什么。

还要看支撑这些 VM 的那一层有没有被保护好。

7. 回到考题

题目说 Type I / bare-metal hypervisor（一型 / 裸机型），先想直接跑在硬件上。

题目说 Type II / hosted hypervisor（二型 / 托管型），先想跑在宿主操作系统上。

题目说 VM isolation（虚拟机隔离），先想 Hypervisor 隔离边界。

题目说 hypervisor patching（虚拟机监控器补丁），先想高价值底层组件。

题目说 snapshot（快照），先想旧数据、旧配置、旧秘密可能回来。

题目说 management interface（管理接口），先想强认证、限制访问、日志审计。

题目说 virtualization simplifies OS patching（虚拟化简化操作系统补丁），要谨慎。每台 VM 里的 Guest OS（客户机操作系统）通常仍要维护和打补丁。

8. 别混

虚拟化：让一台物理机跑多台 VM。

云计算：用网络交付弹性计算、存储、平台或软件服务，常建立在虚拟化之上，但不是同一个词。

容器：共享宿主内核，更轻量。

Hypervisor：虚拟机监控器，虚拟化关键层。

最容易错的地方：Type I 和 Type II 不要按“高级/低级”背。考试更常问它们离硬件有多近：Type I 直接硬件，Type II 先依赖宿主 OS。

记忆卡：VM Escape / Hypervisor Security / 虚拟机逃逸与虚拟机监控器安全

VM Escape 这张卡不要只背“虚拟机逃跑”。

小白先懂一句话：它是指攻击者从一台虚拟机里突破隔离，碰到宿主机、Hypervisor，甚至影响其他虚拟机。

1. 先懂一句话

VM = Virtual Machine，虚拟机。

Escape = 逃逸。

VM Escape = 虚拟机逃逸。

Hypervisor Security = 虚拟机监控器安全。

正常情况下，一台 VM 应该像一个房间，不能直接摸到隔壁房间和楼层管理员。

VM Escape 就是房间里的攻击者找到墙缝，跑到走廊甚至管理员室。

这很严重，因为宿主机或 Hypervisor 一旦被碰到，其他 VM 也可能受影响。

2. 真正要背什么

这张卡真正要背 6 件事。

VM Escape 是突破虚拟机隔离边界。
目标可能是宿主机、Hypervisor 或其他 VM。
Hypervisor 是高价值攻击目标。
补丁、最小化管理接口、强隔离能降低风险。
不可信工作负载不要随便和敏感 VM 混跑。
监控异常虚拟机行为和管理层访问。

3. 关键词拆解

Guest OS：客体操作系统，虚拟机里面的系统。

Host：宿主机，承载虚拟化的物理或宿主系统。

Hypervisor：虚拟机监控器。

Isolation Boundary：隔离边界。

Management Plane：管理平面，管理虚拟化平台的控制入口。

Patch Management：补丁管理。

Host Hardening：宿主机加固，减少宿主层可被利用的服务、账号和配置弱点。

Guest Isolation：客户机隔离，让一台 VM 不能越界影响其他 VM。

Multi-Tenancy：多租户，多家公司或多个业务共享同一底层平台时尤其要隔离清楚。

4. 候选池

候选 1：房间破墙，摸到管理员室。

保留。能把 VM 到 Hypervisor 的危险说清楚。

候选 2：虚拟机中病毒。

淘汰。中病毒可能只在 VM 内部，不一定是逃逸。

候选 3：隔离墙不能有缝。

保留。能记隔离边界和补丁。

讨论结论：主记法用“房间破墙到管理员室”。小白能马上明白为什么它比普通单机漏洞更严重。

5. 最终主记法

VM Escape = 房间破墙到管理员室。

记完整句：小林网店把测试 VM 和生产 VM 放在同一虚拟化平台上。测试 VM 里跑了不可信程序，如果它利用 Hypervisor 漏洞逃出自己的房间，可能碰到宿主机和其他 VM，这就是 VM Escape。

翻回知识点就是：VM Escape 是虚拟机隔离失败。Hypervisor 安全要靠及时补丁、管理口保护、强隔离、最小权限、监控和工作负载分离。

6. 小白故事

测试团队下载了一个外部工具。

为了方便，他们在测试 VM 里运行。

正常情况下，即使工具有问题，也应该被关在测试 VM 里。

它不该摸到宿主机。

不该读生产 VM 的内存。

不该控制 Hypervisor。

但如果虚拟化平台有严重漏洞，攻击代码可能从测试 VM 跑出来。

它先碰到宿主层。

再可能影响其他 VM。

这就是 VM Escape 的可怕之处。

它不是“一个房间乱了”，而是“墙和管理员门都可能失效”。

7. 回到考题

题目说 VM escape，先想从 guest VM（客体虚拟机）突破到 host / hypervisor（宿主机 / 虚拟机监控器）。

题目说 hypervisor vulnerability（虚拟机监控器漏洞），先想影响多台 VM 的高风险底层漏洞。

题目说 isolate untrusted workloads（隔离不可信工作负载），先想不要和敏感生产 VM 混跑。

题目说 management plane exposed（管理平面暴露），先想虚拟化控制入口被攻击。

题目说 patch hypervisor，先想修补隔离层漏洞。

题目说 multi-tenancy（多租户）或 cloud breach 最大影响，先想 Hypervisor / host（虚拟机监控器 / 宿主机）是很多 VM 的共同底座。

题目只说 malware inside one VM（一台虚拟机内有恶意软件），不一定就是 VM Escape，除非它突破了虚拟化边界。

8. 别混

VM Escape：从虚拟机逃到宿主机或 Hypervisor。

VM Compromise：虚拟机自己被攻破，不一定逃逸。

Container Escape：从容器逃到宿主机，发生在容器隔离场景。

Hypervisor Compromise：虚拟机监控器本身被攻破，影响范围更大。

最容易错的地方：VM Escape 的关键词不是“虚拟机出问题”，而是“突破隔离边界”。只要还困在 VM 里，就不能随便叫逃逸。

记忆卡：Network Architecture Security / 网络架构安全

网络架构安全这张卡不要背成“买很多安全设备”。

小白先懂一句话：网络架构安全是在画路。先看数据从哪里来、到哪里去、经过哪些边界、哪一段该隔离、哪一段该加密、哪一段该监控。

1. 先懂一句话

Network Architecture Security = 网络架构安全。

Network 是网络。

Architecture 是架构，意思是整体结构和路径设计。

它不是单独一个设备。

它问的是：公司网络怎么分区，公网怎么进来，内部系统怎么隔离，远程用户怎么接入，云和本地怎么连，流量经过哪些检查点。

小白可以把它想成小林网店的楼层平面图。

顾客入口、前台、仓库、财务室、服务器房、外部快递通道，都不能随便打通。

2. 真正要背什么

这张卡真正要背 6 件事。

先画 traffic flow（流量路径），不要先背设备名。
分清 trust zone（信任区）：公网、DMZ、内网、管理网、云、远程用户。
用 segmentation（分段）限制横向移动。
用 firewall / proxy / WAF / IDS / IPS 等检查不同层的流量。
用 VPN / TLS / IPsec 保护不可信网络上的通信。
管理接口要单独保护，不能和普通业务流量混在一起。

3. 关键词拆解

Traffic Flow：流量路径，数据从哪里到哪里。

Trust Boundary：信任边界，从一个信任区跨到另一个信任区的分界线。

Segmentation：网络分段，把网络切成多个区域。

Microsegmentation：微分段，把分段做得更细，常用于数据中心、云、虚拟化环境，限制系统之间的横向移动。

North-South Traffic：南北向流量，常指外部和内部之间的进出流量。

East-West Traffic：东西向流量，常指内部系统之间的横向流量。

Spine-and-Leaf：脊叶架构，数据中心常见网络结构，重点是高带宽、低延迟、东西向流量更可控。

Management Network：管理网络，管理员登录设备和服务器的通道。

Defense in Depth：纵深防御，多层控制一起保护。

4. 候选池

候选 1：先画路，再放门。

保留。能提醒小白不要看到设备名就选。

候选 2：防火墙越多越安全。

淘汰。设备放错位置、规则写错、路径绕过去，都不安全。

候选 3：小林网店平面图。

保留。顾客、员工、仓库、财务、机房各走各的路，适合串故事。

讨论结论：主记法用“先画路，再放门”。网络题先找路径、边界和方向，再选设备或控制。

5. 最终主记法

Network Architecture Security = 先画路，再放门。

记完整句：小林网店做网络安全时，先画出顾客访问网站、员工访问后台、财务访问支付系统、管理员访问服务器的路线；路线清楚后，才决定哪里放 DMZ、哪里分 VLAN、哪里用防火墙、哪里走 VPN、哪里要日志和监控。

翻回知识点就是：网络架构安全关注流量路径、信任边界、网络分段、访问控制、加密通道和监控位置。

6. 小白故事

小林网店网站上线后，访问路径变复杂了。

顾客从互联网访问商品页面。

客服在办公室访问订单后台。

仓库扫码枪访问库存系统。

财务访问支付报表。

管理员远程登录服务器。

如果这些路全打通，一个客服电脑中毒后，可能一路摸到数据库和管理口。

安全同事没有先问“买哪台设备”。

他先把每条路画出来。

公网到网站是一条路。

网站到数据库是一条路。

员工到后台是一条路。

管理员到服务器是另一条更敏感的路。

然后他才决定哪些路要隔离，哪些路要认证，哪些路要加密，哪些路要记录日志。

7. 回到考题

题目说 network segmentation（网络分段），先想限制不同区域之间的访问。

题目说 trust boundary（信任边界），先想流量跨区时要控制。

题目说 east-west traffic（东西向流量），先想内部横向移动。

题目说 north-south traffic（南北向流量），先想外部和内部进出。

题目说 management network（管理网络），先想管理员通道要单独保护。

题目说 microsegmentation（微分段），先想把服务器、工作负载或应用之间的访问切得更细，减少横向移动。

题目说 SDN / datacenter / east-west traffic（软件定义网络 / 数据中心 / 东西向流量），可能在问更细的分段和流量控制。

题目堆防火墙、VPN、DMZ、代理时，先画源地址、目标地址、方向和层次。

8. 别混

网络架构：整体路径和分区设计。

防火墙：检查和控制经过它的流量。

DMZ：放对外服务的隔离区。

VLAN / Subnet：把网络切开。

VPN：在不可信网络上建立受保护通道。

最容易错的地方：网络题不是看到某个安全设备就选。路径不清，设备名再安全也可能守错门。

记忆卡：DMZ 深化 / Demilitarized Zone / 隔离区

DMZ 这张卡不要背成“一个很安全的地方”。

小白先懂一句话：DMZ 是夹在互联网和内网之间的缓冲区，专门放必须对外开放的服务，防止外部用户直接进入内网。

1. 先懂一句话

DMZ = Demilitarized Zone，隔离区。

Demilitarized 原意是非军事化。

在网络里，它像小林网店的前台接待区。

顾客可以到前台问商品，但不能直接进仓库和财务室。

公网用户要访问网站、邮件网关、DNS、反向代理等对外服务，这些服务可以放在 DMZ。

数据库、域控、财务系统、内部文件服务器，通常不应直接放在 DMZ 给公网碰。

2. 真正要背什么

这张卡真正要背 5 件事。

DMZ 放对外服务，不是放最敏感数据。
DMZ 的目标是隔离外网和内网。
外网到 DMZ 可以有限开放。
DMZ 到内网要更严格，只允许必要连接。
防火墙规则要按方向写：外网到 DMZ、DMZ 到内网、内网到 DMZ。

3. 关键词拆解

Demilitarized Zone / DMZ：隔离区。

Public-Facing Server：对外服务器，比如 Web 服务器、邮件网关、DNS。

Internal Network：内网，放内部用户和核心系统。

Screened Subnet：受屏蔽子网，DMZ 的常见实现方式之一。

Three-Legged Firewall：三接口防火墙，一只脚连互联网，一只脚连 DMZ，一只脚连内网。

Bastion Host：堡垒主机，暴露在较高风险区域、经过加固的主机。

Firewall Rule：防火墙规则，决定谁能访问谁、用什么端口和协议。

4. 候选池

候选 1：DMZ = 店铺前台。

保留。顾客能到前台，不能进后仓。

候选 2：DMZ = 最安全核心区。

淘汰。DMZ 反而更靠近外部风险。

候选 3：外面能敲门，里面要少开门。

保留。能记住外网到 DMZ 和 DMZ 到内网的方向差异。

讨论结论：主记法用“店铺前台”。DMZ 不是宝库，而是让外部必须接触的服务站在前面挡一层。

5. 最终主记法

DMZ = 店铺前台。

记完整句：小林网店把官网放在前台 DMZ，顾客可以访问官网；但订单数据库在内网仓库里，官网只通过必要端口向数据库请求数据，顾客不能直接碰数据库。

翻回知识点就是：DMZ 是公网和内网之间的隔离网络，用于承载对外服务，并限制攻击者从对外服务进一步进入内网。

6. 小白故事

小林网店刚开始把网站和数据库放在同一个内网。

顾客访问网站，网站直接连数据库。

安全同事说：这样前台和仓库连在一起，一旦前台被撬，仓库也危险。

于是他们把官网服务器放到 DMZ。

公网只能访问官网的 443 端口。

官网只能用必要端口访问后端服务。

数据库不直接暴露给公网。

如果官网被攻击，攻击者也还卡在前台区域。

他不能因为进了前台，就随便走进财务室和仓库。

这就是 DMZ 的意义。

7. 回到考题

题目说 public-facing web server（对外 Web 服务器），常放 DMZ。

题目说 avoid direct access to internal network（避免直接进入内网），先想 DMZ。

题目说 Internet users must access service（互联网用户必须访问服务），服务可能放 DMZ。

题目说 database server containing sensitive data（含敏感数据的数据库），通常不应直接放 DMZ。

题目说 firewall between Internet, DMZ, internal network，先看三段之间的方向和规则。

题目说 three-legged firewall（三接口防火墙），先想一个防火墙同时连接外网、DMZ 和内网三条腿。

题目说 external DNS / mail relay / VPN concentrator（外部 DNS / 邮件中继 / VPN 集中器），这些面向外部的服务常被放在 DMZ 或边界区域。

8. 别混

DMZ：隔离区，放对外服务。

Internal Network：内网，放内部系统和核心数据。

Extranet：外联网，给合作伙伴有限访问。

Bastion Host：加固主机，可以放在 DMZ，但不等于 DMZ 本身。

最容易错的地方：DMZ 不是“所有安全设备都放进去”。它的核心是让外部服务站在缓冲区，内网不要直接暴露。

记忆卡：VLAN / Subnet 深化 / 虚拟局域网与子网

VLAN 和 Subnet 这张卡不要背成“两个切网络的词差不多”。

小白先懂一句话：VLAN 更像在交换机上把同一栋楼的人分到不同门禁区；Subnet 更像给每个区域分不同地址段和路由边界。

1. 先懂一句话

VLAN = Virtual Local Area Network，虚拟局域网。

它常在二层网络里把交换机端口或设备分成不同广播域。

Subnet = Subnetwork，子网。

它常在三层 IP 网络里把地址划成不同网段。

VLAN 偏“交换机里的分区”。

Subnet 偏“IP 地址和路由的分区”。

现实里经常一个 VLAN 对应一个 Subnet，但它们不是同一个概念。

2. 真正要背什么

这张卡真正要背 6 件事。

VLAN 用于逻辑隔离同一物理网络中的设备。
Subnet 用于 IP 地址规划和路由分界。
分段可以减少广播范围和横向移动。
VLAN 之间通信通常需要路由或三层设备。
VLAN 不是强加密，也不是自动防所有攻击。
关键系统要单独分段，并配访问控制规则。

3. 关键词拆解

VLAN：虚拟局域网，逻辑划分二层网络。

Subnet：子网，IP 地址范围和路由边界。

Broadcast Domain：广播域，广播帧能到达的范围。

Inter-VLAN Routing：VLAN 间路由，让不同 VLAN 能按规则通信。

802.1Q Tagging：802.1Q 标记，在以太网帧里标出它属于哪个 VLAN。

Trunk Port：干道端口，用一条链路承载多个 VLAN 的流量。

Subnet Mask：子网掩码，说明 IP 地址哪部分是网络位、哪部分是主机位。

CIDR / Classless Inter-Domain Routing：无类别域间路由，用 /24、/16 这类写法表示网络前缀长度。

ACL / Access Control List：访问控制列表，控制哪些流量允许通过。

Network Segmentation：网络分段，把网络切成更小区域。

Lateral Movement：横向移动，攻击者在内部网络继续扩散。

4. 候选池

候选 1：VLAN 管房间，Subnet 管门牌号。

保留。房间像逻辑区域，门牌号像地址段。

候选 2：VLAN 等于安全。

淘汰。VLAN 只是分段手段，还要配 ACL、防火墙、认证和监控。

候选 3：切小街区，火别烧整座城。

保留。能记住分段限制横向移动。

讨论结论：主记法用“房间和门牌”。VLAN 先把人分房间，Subnet 给房间分地址，跨房间要走受控通道。

5. 最终主记法

VLAN = 分房间。

Subnet = 分门牌号。

记完整句：小林网店把客服电脑、仓库扫码枪、财务电脑、服务器分别放到不同 VLAN 和子网里；客服电脑即使中毒，也不能随便扫到财务系统和数据库。

翻回知识点就是：VLAN 和 Subnet 都支持网络分段。VLAN 偏二层逻辑隔离，Subnet 偏三层地址和路由边界，分段后还要用访问控制限制跨段流量。

6. 小白故事

小林网店办公室原来所有设备都在一个大网里。

客服电脑、打印机、仓库扫码枪、财务电脑、数据库服务器互相都能看见。

某台客服电脑中毒后，攻击者开始扫描整个网段。

安全同事把网络切开。

客服区一个 VLAN。

仓库区一个 VLAN。

财务区一个 VLAN。

服务器区一个 VLAN。

每个区域有自己的 IP 子网。

跨区域访问必须经过防火墙或三层网关。

客服可以访问订单系统，但不能直接访问财务数据库。

这就是分段的意义。

7. 回到考题

题目说 VLAN，先想二层逻辑分段和广播域。

题目说 subnet，先想 IP 地址段和路由边界。

题目说 reduce lateral movement（减少横向移动），先想分段、ACL、防火墙规则。

题目说 inter-VLAN routing（VLAN 间路由），先想跨 VLAN 通信要受控。

题目说 802.1Q / trunk port（802.1Q / 干道端口），先想一条链路承载多个 VLAN，并用标签区分。

题目说 subnet mask / CIDR（子网掩码 / 无类别域间路由），先想 IP 地址范围和网络前缀。

题目说 flat network（扁平网络），先想所有设备太容易互相碰到，风险高。

题目说 separate guest Wi-Fi from internal network（访客无线和内网隔离），可以想到 VLAN / 子网分离。

8. 别混

VLAN：二层逻辑分区。

Subnet：三层 IP 地址分区。

Firewall Rule：跨区访问控制规则。

VPN：远程或站点之间的加密通道。

NAC / 802.1X：接入前认证和授权。

最容易错的地方：VLAN 不是加密。它能分隔广播域和路径，但跨 VLAN 的路由、ACL、防火墙和设备安全仍然要配好。

另一个容易错的地方：一个 VLAN 内仍然可以有广播；VLAN 的重点是把广播域分开，不是让广播消失。

记忆卡：NAT / PAT 深化 / 网络地址转换与端口地址转换

NAT 和 PAT 这张卡不要背成“隐藏内网所以很安全”。

小白先懂一句话：NAT 是改地址，PAT 是很多内网设备共用一个公网地址时再用端口区分；它们主要解决地址转换，不是完整安全控制。

1. 先懂一句话

NAT = Network Address Translation，网络地址转换。

它把一个 IP 地址转换成另一个 IP 地址。

最常见画面：内网电脑用私有地址，出公网时被转换成公网地址。

PAT = Port Address Translation，端口地址转换。

它也叫 NAT overload。

很多内网设备共用一个公网 IP 时，用不同端口号区分每条连接。

2. 真正要背什么

这张卡真正要背 5 件事。

NAT 改 IP 地址。
PAT 改 IP 地址和端口，让多人共用一个公网 IP。
NAT 常用于私有地址访问公网。
NAT 会隐藏内部地址结构，但不是防火墙。
入站访问仍要靠防火墙规则、端口映射和访问控制。

3. 关键词拆解

Private IP Address：私有 IP 地址，比如内网地址。

Public IP Address：公网 IP 地址，可以在互联网上路由。

Source NAT / SNAT：源地址转换，常用于内网出公网。

Destination NAT / DNAT：目标地址转换，常用于公网访问内部服务映射。

Port Forwarding：端口转发，把公网端口映射到内部服务。

NAT Overload：PAT 的常见叫法，多个内部主机共享一个公网地址。

NAT Traversal：NAT 穿越，让某些协议在经过 NAT 时仍能建立连接，IPsec 场景里常见。

4. 候选池

候选 1：NAT 换门牌，PAT 换门牌还看分机号。

保留。IP 像门牌，端口像分机号。

候选 2：NAT 是防火墙。

淘汰。NAT 可能带来一定隐藏效果，但目的不是完整访问控制。

候选 3：前台总机转接内线。

保留。特别适合 PAT：一个总机号码，靠分机号找具体人。

讨论结论：主记法用“门牌和分机号”。NAT 改地址，PAT 再靠端口区分连接。

5. 最终主记法

NAT = 换门牌。

PAT = 换门牌 + 分机号。

记完整句：小林网店办公室里很多电脑都用内网地址，出公网时看起来像同一个公网地址；路由器靠端口号记住哪条连接属于哪台电脑，这就是 PAT。

翻回知识点就是：NAT / PAT 负责地址和端口转换。它们不是完整安全边界，不能替代防火墙、认证、加密和最小权限。

6. 小白故事

小林网店办公室有 50 台电脑。

如果每台都要一个公网地址，成本和管理都麻烦。

于是路由器让它们在内网用私有地址。

员工电脑访问外网时，路由器把源地址换成公司的公网地址。

这就是 NAT。

但 50 台电脑同时上网，外面看到的都是同一个公网地址。

路由器还要记端口号。

A 电脑的连接用一个端口，B 电脑的连接用另一个端口。

回应回来时，路由器按端口把流量送回正确电脑。

这就是 PAT。

7. 回到考题

题目说 translate private IP to public IP（私有地址转换成公网地址），先想 NAT。

题目说 many internal hosts share one public IP（多个内部主机共享一个公网 IP），先想 PAT。

题目说 port forwarding（端口转发），先想公网端口映射到内部服务。

题目说 NAT traversal（NAT 穿越），先想某些协议经过 NAT 时需要额外处理，尤其可能和 IPsec VPN 一起出现。

题目说 hide internal addressing（隐藏内部地址），NAT 可能做到，但不是强安全控制。

题目问 access control（访问控制），不要只答 NAT，要看防火墙、ACL、认证。

8. 别混

NAT：地址转换。

PAT：地址加端口转换。

Firewall：按规则允许或阻止流量。

Proxy：代表客户端或服务器发起连接，可看更高层内容。

VPN：加密隧道。

最容易错的地方：NAT 不是加密，也不是认证。它主要是改地址，不要把它当成完整安全方案。

记忆卡：Proxy / Forward Proxy / Reverse Proxy 深化 / 代理、正向代理与反向代理

代理这张卡不要背成“代理就是中间人”就停。

小白先懂一句话：代理是替一边去和另一边说话。正向代理替用户出去，反向代理替服务器接客。

1. 先懂一句话

Proxy = 代理。

Forward Proxy = 正向代理。

它站在用户这边，代表用户访问外部网站。

公司可以用它做上网控制、过滤、记录、缓存、身份检查。

Reverse Proxy = 反向代理。

它站在服务器这边，代表后端服务器接收外部请求。

公司可以用它做负载均衡、TLS 终止、隐藏后端服务器、统一入口、部分安全过滤。

2. 真正要背什么

这张卡真正要背 5 件事。

代理的核心是“代替一边发起或接收连接”。
正向代理看用户往外访问。
反向代理看外部用户访问内部服务。
代理可以做过滤、缓存、日志、认证、TLS 处理。
代理不是自动等于 WAF，也不是自动等于 VPN。

3. 关键词拆解

Client：客户端，用户浏览器或应用。

Server：服务器，提供服务的一方。

Forward Proxy：正向代理，用户侧代理。

Reverse Proxy：反向代理，服务侧代理。

Application-Level Proxy：应用层代理，能理解特定应用协议内容，比只看 IP 和端口更细。

Content Filtering：内容过滤，按 URL、类别、关键词、文件类型等规则控制访问。

Caching：缓存，把常用内容暂存，提高访问速度。

TLS Termination：TLS 终止，由代理解密 HTTPS 后再转发到后端。

Load Balancing：负载均衡，把请求分给多个后端。

4. 候选池

候选 1：正向代理陪用户出门。

保留。方向清楚。

候选 2：反向代理替服务器迎客。

保留。方向也清楚。

候选 3：代理就是 VPN。

淘汰。VPN 是加密通道，代理是应用或连接层的代办点。

讨论结论：主记法用“陪用户出门 / 替服务器迎客”。一看站在哪边，就能分正向和反向。

5. 最终主记法

Forward Proxy = 陪用户出门。

Reverse Proxy = 替服务器迎客。

记完整句：小林网店员工上网时，正向代理陪员工出去，检查能不能访问某些网站；顾客访问小林官网时，反向代理站在服务器门口接待，再把请求转给后端订单服务。

翻回知识点就是：代理位于通信路径中，代表客户端或服务器转发请求，可用于访问控制、过滤、缓存、负载均衡、日志和 TLS 处理。

6. 小白故事

客服电脑想访问外部网站。

公司不希望员工随便访问未知下载站。

于是让所有上网请求先经过正向代理。

正向代理像陪员工出门的门卫。

它看员工是谁，要去哪里，能不能去。

另一边，顾客访问小林官网。

顾客不直接碰后端订单服务器。

请求先到反向代理。

反向代理像站在店门口的接待员。

它检查请求、处理证书、分配到不同后端，有时还能挡掉明显异常流量。

7. 回到考题

题目说 users access Internet through a proxy（用户通过代理访问互联网），先想 Forward Proxy（正向代理）。

题目说 hide backend servers（隐藏后端服务器），先想 Reverse Proxy（反向代理）。

题目说 TLS termination（TLS 终止），反向代理或负载均衡器常见。

题目说 web filtering（上网过滤），正向代理常见。

题目说 application-level proxy（应用层代理），先想代理能看懂应用层协议内容。

题目说 blacklist external sites / URL inspection（黑名单外部网站 / URL 检查），先想正向代理或 Web 过滤。

题目说 caching（缓存），代理或 CDN 都可能做，要看位置。

题目说 VPN，先想加密隧道，不要和代理混。

8. 别混

Forward Proxy：客户端侧代理，陪用户访问外部。

Reverse Proxy：服务器侧代理，替服务器接收外部访问。

WAF：专门看 Web 应用攻击请求。

Load Balancer：负载均衡，把请求分给多台后端。

VPN：加密网络通道。

最容易错的地方：判断代理类型先看它站在哪边。站在用户旁边往外走，是正向；站在服务器门口迎客，是反向。

记忆卡：WAF 深化 / Web Application Firewall / Web 应用防火墙

WAF 这张卡不要背成“装了 WAF 就不用修代码”。

小白先懂一句话：WAF 站在 Web 应用前面，检查 HTTP/HTTPS 请求，挡一部分 Web 攻击；但真正的代码漏洞仍要修。

1. 先懂一句话

WAF = Web Application Firewall，Web 应用防火墙。

Web Application 是 Web 应用，比如商城、后台、登录页、搜索框。

Firewall 是防火墙。

普通网络防火墙更关注 IP、端口、协议、连接状态。

WAF 更关注 HTTP 请求里的 URL、参数、Cookie、Header、Body。

它常用于拦 SQL Injection（SQL 注入）、XSS（跨站脚本）、路径穿越、恶意请求模式。

2. 真正要背什么

这张卡真正要背 6 件事。

WAF 工作在 Web 应用前面。
WAF 看 HTTP/HTTPS 应用层内容。
WAF 可以缓解常见 Web 攻击。
WAF 不能替代安全编码和漏洞修复。
WAF 需要规则、调优和日志监控。
加密流量要想被 WAF 检查，通常要在某处解密或终止 TLS。

3. 关键词拆解

HTTP / HTTPS：Web 请求协议。

Application Layer：应用层，靠近业务请求内容。

Application-Layer Firewall：应用层防火墙，关注应用协议和请求内容。

SQL Injection：SQL 注入，把输入变成数据库命令。

XSS / Cross-Site Scripting：跨站脚本，把脚本送到用户浏览器执行。

False Positive：误报，把正常请求拦了。

False Negative：漏报，攻击请求没拦住。

TLS Termination：TLS 终止，解密后才能看明文请求内容。

Positive Security Model：正向安全模型，只允许符合预期的请求模式，默认拒绝不符合规则的请求。

4. 候选池

候选 1：WAF = 站在网页门口看表单。

保留。能记住它看 Web 请求内容。

候选 2：WAF = 修代码。

淘汰。WAF 是防护层，不是根因修复。

候选 3：前台安检看包裹，但仓库漏洞还要补。

保留。能记住缓解和修复的区别。

讨论结论：主记法用“网页门口看表单”。它能挡一部分污染请求，但不能让烂代码自动变好。

5. 最终主记法

WAF = 网页门口看表单。

记完整句：小林网店登录页和搜索框前面放了 WAF，WAF 会看请求参数里有没有 SQL 注入和 XSS 特征；但开发仍要用参数化查询、输出编码和输入验证修代码。

翻回知识点就是：WAF 是 Web 应用前的应用层防护控制，可检测和阻断部分恶意 HTTP/HTTPS 请求，但不能替代安全开发和漏洞修复。

6. 小白故事

小林网店搜索框曾经被人试 SQL 注入。

开发说：那我们装一个 WAF。

安全同事说：可以，但别把它当万能药。

WAF 像站在网页门口的安检员。

看到明显恶意参数，它可以拦。

看到异常路径，它可以告警。

看到已知攻击模式，它可以阻断。

但如果代码本身把用户输入直接拼进 SQL，根还在代码里。

WAF 可能漏掉变形攻击，也可能误拦正常请求。

所以 WAF 是加一层保护，不是把漏洞从代码里擦掉。

7. 回到考题

题目说 Web Application Firewall，先想应用层 Web 请求过滤。

题目说 protect against SQL injection / XSS at the edge（边缘防 SQL 注入 / XSS），可能看 WAF。

题目说 fix the root cause（修根因），不要只选 WAF，要看代码修复。

题目说 false positive / false negative，先想规则调优。

题目说 encrypted HTTPS traffic inspection（检查加密 HTTPS 流量），先想 TLS 终止或解密位置。

题目说 legacy web application temporary protection（老旧 Web 应用临时防护），WAF 可能作为缓解控制，但代码仍要修。

题目说 positive security model（正向安全模型），先想只放行符合预期的请求。

题目说 network firewall，通常偏 IP、端口、协议，不等于 WAF。

8. 别混

WAF：看 Web 应用层请求。

Network Firewall：看网络层 / 传输层规则和连接。

IDS / IPS：检测或阻断入侵行为，范围更广。

Secure Coding：从代码层修漏洞。

RASP：运行时应用自我保护，位置和机制不同。

最容易错的地方：WAF 是补一层门口安检，不是替你把应用代码写安全。

记忆卡：CDN / DDoS Protection / 内容分发网络与 DDoS 防护

CDN 和 DDoS 防护这张卡不要背成“CDN 就是防攻击”。

小白先懂一句话：CDN 把内容放到离用户更近的边缘节点，提高访问速度和分散流量；DDoS 防护专门处理大量恶意流量把服务打到不可用的问题。

1. 先懂一句话

CDN = Content Delivery Network，内容分发网络。

Content 是内容。

Delivery 是分发。

Network 是网络。

它把图片、脚本、视频、静态页面，甚至部分动态请求，放到全球或多地边缘节点。

DDoS = Distributed Denial of Service，分布式拒绝服务。

Distributed 是分布式。

Denial of Service 是拒绝服务。

很多攻击源同时发流量，让网站、网络、应用或上游带宽不可用。

2. 真正要背什么

这张卡真正要背 6 件事。

CDN 主要提升性能、缓存内容、分散访问压力。
CDN 可以帮助吸收一部分流量冲击，但不等于完整 DDoS 防护。
DDoS 主要破坏 availability（可用性）。
DDoS 防护常靠清洗中心、速率限制、Anycast、黑洞路由、上游协作。
应用层 DDoS 和网络层 DDoS 防法不完全一样。
关键服务要容量规划、冗余、监控和响应流程。

3. 关键词拆解

Edge Node：边缘节点，离用户近的 CDN 节点。

Caching：缓存，暂存内容减少回源压力。

Origin Server：源站，真正托管原始内容的服务器。

DDoS：分布式拒绝服务攻击。

Volumetric Attack：流量型攻击，用巨大流量压垮带宽。

SYN Flood：SYN 洪水，用大量半开连接消耗资源。

ICMP Flood：ICMP 洪水，用大量 ICMP 流量消耗带宽或处理能力。

Smurf Attack：Smurf 攻击，利用广播和伪造源地址放大 ICMP 流量。

Rate Limiting：速率限制，限制请求频率。

Scrubbing Center：流量清洗中心，把恶意流量过滤掉。

Anycast：同一个地址由多个地点响应，帮助分散流量。

4. 候选池

候选 1：CDN = 多个前置小仓库。

保留。内容放近一点，用户不用都挤源站。

候选 2：DDoS = 千万人堵门。

保留。能记可用性被打。

候选 3：CDN 等于 DDoS 防护。

淘汰。CDN 可能有帮助，但专门 DDoS 防护还要清洗、限速、上游配合。

讨论结论：主记法用“多仓库分流，堵门要清流”。CDN 分发内容，DDoS 防护处理恶意洪水。

5. 最终主记法

CDN = 多地小仓库。

DDoS Protection = 门口清洪水。

记完整句：小林网店把图片和静态页面放到 CDN 边缘节点，用户访问更快，源站压力更小；如果攻击者用大量流量堵住网站，还要启用 DDoS 清洗、速率限制和上游防护，保证服务可用。

翻回知识点就是：CDN 提供内容缓存和分发，DDoS 防护保护可用性，二者相关但不是同一个概念。

6. 小白故事

小林网店促销时，全国用户都来刷商品图。

如果所有图片都从一台源站发，源站很快扛不住。

于是他们用 CDN。

图片被放到多个边缘节点。

北京用户从附近节点拿图。

上海用户从附近节点拿图。

源站压力变小，访问也快。

后来有人发起 DDoS。

这不是普通用户多，而是大量异常流量堵门。

安全同事启用清洗中心，把明显恶意流量过滤掉。

再做速率限制和监控。

CDN 像多地仓库，DDoS 防护像洪水清理队。

7. 回到考题

题目说 cache content closer to users（把内容缓存到离用户更近），先想 CDN。

题目说 improve latency（降低延迟），CDN 常见。

题目说 origin server（源站），先想 CDN 背后的原始服务器。

题目说 distributed denial of service，先想可用性受损。

题目说 volumetric attack（流量型攻击），先想带宽和清洗。

题目说 SYN flood / ICMP flood / Smurf，先想 DoS / DDoS 类攻击，主要打可用性。

题目说 rate limiting（速率限制），可能是 DDoS 或滥用防护的一部分。

题目说 scrubbing center（清洗中心），先想 DDoS 防护。

8. 别混

CDN：内容分发、缓存、加速。

DDoS Protection：抵御大量恶意流量导致不可用。

WAF：过滤 Web 应用攻击请求。

Load Balancer：分配请求到后端服务器。

Anycast：把同一服务入口分散到多个地点响应。

最容易错的地方：CDN 可以缓解压力，但题目如果明确问“分布式拒绝服务攻击”，要看专门 DDoS 防护、清洗、限速和上游协作。

记忆卡：ZTNA / Zero Trust Network Access / 零信任网络访问

ZTNA 这张卡不要背成“新版 VPN”。

小白先懂一句话：ZTNA 不因为你在公司网络里就默认信任你，而是每次访问具体应用前，都要看身份、设备、上下文和权限。

1. 先懂一句话

ZTNA = Zero Trust Network Access，零信任网络访问。

Zero Trust 是零信任。

Network Access 是网络访问。

它的思路是：不要默认相信任何位置。

不管用户在办公室、家里、咖啡店，或者已经连上公司网络，都要先验证身份、设备状态、访问对象和风险。

ZTNA 通常给用户访问“某个应用”的权限，而不是把整个内网都打开。

2. 真正要背什么

这张卡真正要背 6 件事。

Never trust, always verify（永不默认信任，始终验证）。
访问按应用授权，不是给整张内网。
每次访问都结合身份、设备、位置、风险、MFA。
最小权限和持续评估是核心。
ZTNA 能减少传统 VPN 过度暴露内网的问题。
ZTNA 不是单个产品名字，而是一类访问控制思路和架构。

3. 关键词拆解

Zero Trust：零信任，不按网络位置默认相信。

Identity：身份，谁在访问。

Device Posture：设备状态，设备是否合规、打补丁、加密、受管。

Context：上下文，比如位置、时间、风险、行为。

Least Privilege：最小权限，只给完成任务所需权限。

Continuous Verification：持续验证，不是登录一次永远放行。

Application-Level Access：应用级访问，只开放具体应用。

Policy Engine：策略引擎，根据身份、设备、风险和资源请求做访问决策。

PDP / Policy Decision Point：策略决策点，负责判断能不能访问。

PEP / Policy Enforcement Point：策略执行点，负责把允许或拒绝真正执行到访问路径上。

Policy Administrator：策略管理员，把决策结果转成具体连接或授权动作。

4. 候选池

候选 1：ZTNA = 每扇门都查证。

保留。很适合记“不是进了园区就随便走”。

候选 2：ZTNA = VPN。

淘汰。ZTNA 可以替代部分 VPN 场景，但思路不同。

候选 3：员工进楼后，每个房间还刷卡。

保留。能记应用级访问和持续验证。

讨论结论：主记法用“每扇门都查证”。零信任不是不让人工作，而是不再把网络位置当成通行证。

5. 最终主记法

ZTNA = 每扇门都查证。

记完整句：小林网店客服在家办公，不是连上 VPN 后就能扫全内网；ZTNA 会确认他是谁、电脑是否合规、要访问哪个客服系统、权限是否足够，然后只放他进这个应用。

翻回知识点就是：ZTNA 基于零信任思想，为用户提供细粒度、上下文感知、最小权限的应用访问。

6. 小白故事

以前小林网店远程办公靠 VPN。

客服一连上 VPN，就像走进公司内网大楼。

如果客服电脑中毒，攻击者可能扫描更多内部系统。

后来改用 ZTNA。

客服访问订单后台时，系统先检查身份。

再检查是否用了 MFA。

再检查电脑是不是受管设备。

再看他是不是只需要客服后台。

通过后，只给他这一个应用入口。

他看不到财务数据库，也扫不到服务器网段。

这就是每扇门都查证。

7. 回到考题

题目说 zero trust，先想不按网络位置默认信任。

题目说 application-specific access（按应用授权），先想 ZTNA。

题目说 replace broad VPN access（替代过宽 VPN 访问），可能看 ZTNA。

题目说 device posture（设备状态），先想设备是否合规。

题目说 continuous verification（持续验证），先想零信任。

题目说 policy engine / PDP（策略引擎 / 策略决策点），先想访问决策在哪里做。

题目说 PEP / policy enforcement point（策略执行点），先想谁把放行或拒绝落到路径上。

题目说 least privilege remote access（最小权限远程访问），可能看 ZTNA。

8. 别混

ZTNA：按身份、设备、上下文给具体应用访问。

VPN：建立到网络的加密通道，可能暴露更大网络范围。

MFA：多因素认证，是 ZTNA 常用信号之一。

NAC：网络接入控制，偏接入网络前检查。

Just-in-Time Access：及时访问，按需临时给权限；和 ZTNA 都可能体现最小权限，但不是同一个词。

最容易错的地方：ZTNA 不是“更时髦的 VPN”四个字。它真正改变的是信任方式：不再因为位置在内网就默认放行。

记忆卡：Secure Remote Access / 安全远程访问

安全远程访问这张卡不要背成“有 VPN 就安全”。

小白先懂一句话：远程访问是在不可信网络上进公司系统，所以要先确认人、设备、通道、权限、日志和断开后的清理。

1. 先懂一句话

Secure Remote Access = 安全远程访问。

Remote Access 是远程访问。

它包括员工在家办公、外包人员访问系统、管理员远程维护服务器、分支机构访问总部。

常见技术包括 VPN、ZTNA、VDI、远程桌面网关、SSH、堡垒机、MFA、设备合规检查。

考试真正问的是：怎样让远程访问既能工作，又不把公司内网敞开。

2. 真正要背什么

这张卡真正要背 7 件事。

先认证人：强身份认证，最好 MFA。
再检查设备：是否受管、加密、打补丁、无高风险。
再保护通道：VPN、TLS、IPsec、SSH 等加密。
再限制权限：只给需要的系统和操作。
再记录日志：谁在何时访问了什么。
管理员远程访问要更严格，最好走堡垒机或 PAM。
Split Tunneling（分离隧道）要谨慎，可能让流量绕过公司监控。

3. 关键词拆解

VPN / Virtual Private Network：虚拟专用网络，在不可信网络上建立受保护通道。

Remote Access VPN：远程访问 VPN，单个远程用户连回公司。

Site-to-Site VPN：站点到站点 VPN，把两个网络之间建立受保护通道，比如分支机构连总部。

VPN Concentrator：VPN 集中器，集中处理大量 VPN 连接的设备或服务。

MFA / Multi-Factor Authentication：多因素认证。

Device Compliance：设备合规，检查设备状态是否符合要求。

VDI / Virtual Desktop Infrastructure：虚拟桌面基础设施，远程使用集中桌面环境。

Bastion Host / Jump Server：堡垒机 / 跳板机，管理员进入敏感系统的受控入口。

PAM / Privileged Access Management：特权访问管理。

Split Tunneling：分离隧道，一部分流量走 VPN，一部分直接走本地网络。

Full Tunnel：全隧道，远程用户所有流量都先走 VPN 回公司再出去。

IPsec / Internet Protocol Security：互联网协议安全，常用于三层 VPN 加密和认证。

Session Logging：会话日志，记录远程操作。

4. 候选池

候选 1：远程进门六检查：人、设备、通道、权限、日志、退出。

保留。清楚又完整。

候选 2：VPN 等于安全。

淘汰。VPN 只是通道，身份、设备、权限、日志都要管。

候选 3：外面打电话进仓库，先核身份再给钥匙。

保留。能记远程访问不能只看网络连通。

讨论结论：主记法用“远程进门六检查”。远程访问不是连上就完，而是全过程控制。

5. 最终主记法

Secure Remote Access = 人、设备、通道、权限、日志、退出。

记完整句：小林网店客服在家访问订单系统，先 MFA 确认本人，再检查电脑合规，再通过加密通道连接，只允许访问客服后台，所有操作写日志，离职或会话结束后及时收回权限。

翻回知识点就是：安全远程访问要结合强认证、设备检查、加密通道、最小权限、会话监控、特权访问控制和生命周期管理。

6. 小白故事

小林网店允许客服在家办公。

一开始大家只要知道 VPN 密码就能连。

安全同事觉得太危险。

如果密码泄露，外人也能进。

如果家用电脑中毒，恶意软件也可能跟进来。

如果客服连上后能访问整张内网，风险更大。

于是他们改流程。

登录要 MFA。

电脑要通过合规检查。

通道要加密。

权限只给客服系统。

管理员访问服务器要走堡垒机。

所有访问都要记录。

这样远程办公才不是把公司门开到每个人家里。

7. 回到考题

题目说 remote access，先想身份、设备、通道、权限。

题目说 VPN，先想加密通道，但还要 MFA 和访问控制。

题目说 split tunneling（分离隧道），先想部分流量绕过公司安全控制的风险。

题目说 full tunnel（全隧道），先想所有远程流量都回公司，控制更集中但可能增加带宽压力。

题目说 site-to-site VPN（站点到站点 VPN），先想分支机构网络和总部网络之间的通道，不是单个员工接入。

题目说 VPN concentrator in DMZ（VPN 集中器在 DMZ），先想远程访问入口放在边界区域，后续访问仍要受控。

题目说 administrator remote access（管理员远程访问），先想堡垒机、PAM、强审计。

题目说 unmanaged personal device（未受管个人设备），先想设备合规和风险。

题目说 session recording（会话录屏 / 记录），先想审计和追责。

8. 别混

VPN：加密通道。

ZTNA：按身份、设备、上下文给具体应用访问。

MFA：强认证。

PAM：特权访问管理。

Bastion Host：受控跳板入口。

Telnet：明文远程登录，安全远程管理题里通常不该选。

SSH：加密远程登录，比 Telnet 安全。

最容易错的地方：VPN 只回答“通道怎么保护”，不能单独回答“谁能进、进哪里、做了什么、什么时候撤权”。

记忆卡：Wireless Security Baseline / 无线安全基线

无线安全基线这张卡不要背成“Wi-Fi 密码设复杂一点”。

小白先懂一句话：无线是空气里的入口，信号会飘出办公室，所以要管认证方式、加密协议、访客隔离、假热点、覆盖范围和日志。

1. 先懂一句话

Wireless Security Baseline = 无线安全基线。

Wireless 是无线。

Baseline 是基线，意思是最低安全要求。

企业无线不是只设一个密码。

个人模式常见 PSK（预共享密钥）。

企业模式常见 802.1X / EAP / RADIUS，给每个用户做认证。

越重要的网络，越不能靠所有人共用一个 Wi-Fi 密码。

2. 真正要背什么

这张卡真正要背 7 件事。

禁用 WEP（有线等效保密），它太旧不安全。
优先使用 WPA2 / WPA3，企业场景优先企业认证模式。
企业无线常用 802.1X / EAP / RADIUS。
访客无线要和内网隔离。
管理员密码、默认 SSID、默认配置要改。
监控 rogue AP（恶意或未授权接入点）和 evil twin（仿冒热点）。
控制覆盖范围、日志和密钥轮换。

3. 关键词拆解

SSID：无线网络名称。

WEP / Wired Equivalent Privacy：有线等效保密，老旧不安全。

WPA2 / Wi-Fi Protected Access 2：Wi-Fi 保护访问 2。

WPA3 / Wi-Fi Protected Access 3：Wi-Fi 保护访问 3。

AES / Advanced Encryption Standard：高级加密标准，WPA2/WPA3 中常见的强加密算法。

CCMP / Counter Mode with CBC-MAC Protocol：WPA2 中常见的加密与完整性保护协议，通常和 AES 一起出现。

TKIP / Temporal Key Integrity Protocol：旧机制，和早期 WPA 相关，安全性不如 AES/CCMP。

SAE / Simultaneous Authentication of Equals：对等同步认证，WPA3-Personal 用来替代传统 PSK 握手方式。

PSK / Pre-Shared Key：预共享密钥，大家共用一把无线密码。

802.1X：端口级网络接入控制，有线和无线都可用。

EAP / Extensible Authentication Protocol：可扩展认证协议。

RADIUS：集中认证、授权、记账服务器常用协议。

Rogue AP：未授权接入点。

Evil Twin：仿冒热点，名字像真热点，用来骗用户连接。

Hidden SSID：隐藏无线名称，不广播 SSID，但不是强安全控制。

MAC Filtering：MAC 地址过滤，只允许指定网卡地址连接，但 MAC 地址可能被伪造。

4. 候选池

候选 1：无线是空气门，门会飘到墙外。

保留。能让小白理解为什么无线更要管覆盖和假热点。

候选 2：密码复杂就够。

淘汰。企业无线还要认证、隔离、日志、监控。

候选 3：访客走客门，员工刷工牌。

保留。能记访客隔离和企业认证。

讨论结论：主记法用“空气门三件事：员工刷工牌、访客走客门、假门要巡查”。

5. 最终主记法

Wireless Baseline = 空气门三件事。

员工刷工牌 = 企业无线用 802.1X / EAP / RADIUS。

访客走客门 = 访客网络隔离。

假门要巡查 = 发现 rogue AP 和 evil twin。

记完整句：小林网店办公室无线不能只靠一个共享密码；员工无线用企业认证，访客无线只上互联网不进内网，安全团队还要检查有没有人私接热点或仿冒公司 Wi-Fi。

翻回知识点就是：无线安全基线包括强加密、强认证、访客隔离、默认配置修改、未授权热点检测、覆盖控制和日志监控。

6. 小白故事

小林网店新办公室开了 Wi-Fi。

行政同事说：密码设成很长就行了。

安全同事说：无线不是网线。

网线插在哪，入口大概在哪。

无线信号会穿墙，隔壁咖啡店也可能扫到。

如果所有员工共用一个密码，离职员工知道密码也可能继续连。

如果有人私接一个小路由器，外人可能从未授权热点进来。

如果攻击者开一个名字很像的 Wi-Fi，员工可能连到假热点。

所以公司把员工无线改成 802.1X 企业认证。

访客无线单独隔离。

禁用旧协议。

定期巡查未授权接入点。

这才叫无线基线。

7. 回到考题

题目说 WEP，先想老旧不安全，避免使用。

题目说 enterprise wireless authentication（企业无线认证），先想 802.1X / EAP / RADIUS。

题目说 PSK（预共享密钥），先想大家共用密码，适合简单场景但企业风险更高。

题目说 WPA3，通常比 WPA2 新；题目问 most secure Wi-Fi（最安全 Wi-Fi）时常优先看 WPA3。

题目说 WPA2 + AES/CCMP，先想比 WEP、TKIP 更强。

题目说 hidden SSID（隐藏 SSID）或 MAC filtering（MAC 过滤），不要当成强安全控制。

题目说 guest Wi-Fi（访客无线），先想与内网隔离。

题目说 rogue AP（未授权接入点），先想有人私接或未知热点。

题目说 evil twin（仿冒热点），先想攻击者伪装成公司无线骗用户连接。

题目说 port-based network access control（基于端口的网络接入控制），802.1X 不只是无线，也可用于有线交换机端口。

8. 别混

WPA2 / WPA3：无线安全协议。

PSK：预共享密钥，大家共用一把钥匙。

802.1X：接入控制框架，不是无线专属。

EAP：认证方法框架。

RADIUS：认证、授权、记账服务器协议。

Rogue AP：未授权接入点。

Evil Twin：仿冒热点。

Hidden SSID：隐藏网络名，不是可靠安全措施。

MAC Filtering：MAC 地址过滤，容易被绕过，不是强认证。

最容易错的地方：无线安全不是只看密码长度。企业场景还要看每个用户怎么认证、访客怎么隔离、假热点怎么发现、旧协议有没有禁用。

记忆卡：Cryptography Architecture / 密码学架构

密码学架构这张卡不要背成“加密算法大全”。

小白先懂一句话：密码学不是见到安全就上加密，而是先问目标是什么：要让别人看不懂、要发现有没有被改、要证明是谁发的、要让对方不能抵赖，还是要确认对方证书可信。

1. 先懂一句话

Cryptography = 密码学。

Cryptology = 密码学总称，包含密码术和密码分析。

Cryptanalysis = 密码分析，研究如何分析或破解密码系统。

Cryptosystem = 密码系统，包含算法、密钥、协议和实现等整体。

Architecture = 架构，意思是把工具按用途放到正确位置。

密码学工具很多：encryption（加密）、hashing（哈希）、digital signature（数字签名）、certificate（证书）、key exchange（密钥交换）、HMAC（基于哈希的消息认证码）。

小白最容易错的地方是：把它们都当成“保护”。

其实它们保护的目标不同。

加密主要让别人看不懂内容。

哈希主要发现内容有没有变化。

数字签名证明是谁签的，也证明内容有没有被改，并帮助不可否认。

证书把身份和公钥绑在一起。

密钥交换让双方安全协商会话密钥。

HMAC 用共享密钥和哈希证明消息没被改、确实来自知道密钥的一方。

2. 真正要背什么

这张卡真正要背 6 件事。

先判断 security goal（安全目标），再选密码学工具。
Confidentiality（机密性）常看 encryption（加密）。
Integrity（完整性）常看 hashing（哈希）、HMAC、digital signature（数字签名）。
Authenticity（真实性）常看 MAC、HMAC、digital signature、certificate。
Nonrepudiation（不可否认性）常看 digital signature、timestamp（时间戳）、audit trail（审计跟踪）。
Trust（信任）常看 PKI、certificate chain、CRL、OCSP。

3. 关键词拆解

Plaintext：明文，原始可读内容。

Ciphertext：密文，加密后看不懂的内容。

Key：密钥，用来加密、解密、签名、验证或认证消息。

Encryption：加密，让未授权者看不懂。

Hash：哈希，生成固定长度摘要，检查内容有没有变化。

Digital Signature：数字签名，用私钥签、用公钥验。

Certificate：证书，把身份和公钥绑定起来。

Key Management：密钥管理，管密钥生成、保存、轮换、撤销和销毁。

IV / Initialization Vector：初始向量，让相同明文在合适模式下不要总产生相同密文。

Nonce：一次性随机数或只用一次的数，常用于防重放、构造唯一输入或配合加密模式。

4. 候选池

候选 1：密码学工具箱，先看要修哪种坏事。

保留。能提醒小白先看目标。

候选 2：加密最安全，什么都用加密。

淘汰。这是考试最常见陷阱。

候选 3：五个目标五把工具。

保留。保密、验改、证明来源、防抵赖、建信任，对应不同工具。

讨论结论：主记法用“先问目标，再拿工具”。密码学题不是算法名比赛，而是目标匹配题。

5. 最终主记法

Cryptography Architecture = 先问目标，再拿工具。

记完整句：小林网店发合同，如果怕别人偷看，用加密；如果怕合同金额被改，用哈希或签名；如果要证明合同确实由小林签出，用数字签名；如果浏览器要确认官网是真的，看证书链；如果双方要临时商量一把会话密钥，看密钥交换。

翻回知识点就是：密码学架构是把加密、哈希、签名、证书、密钥交换和密钥管理放到正确安全目标上。

6. 小白故事

小林网店要给供应商发一份合同。

他一开始说：加密一下就安全了。

安全同事让他慢慢说清楚担心什么。

如果担心路上被偷看，是机密性问题，用加密。

如果担心金额被改，是完整性问题，用哈希或数字签名。

如果供应商要确认合同真是小林发的，是真实性问题，用数字签名和证书。

如果小林签完以后不能说“这不是我签的”，是不可以抵赖的问题，用数字签名、时间戳和证据链。

如果浏览器要确认访问的是小林官网，不是假网站，要看证书和信任链。

同一个合同，目标不同，工具就不同。

7. 回到考题

题目问 confidentiality（机密性），先想 encryption（加密）。

题目问 integrity（完整性），先想 hash（哈希）、HMAC、digital signature（数字签名）。

题目问 authenticity（真实性），先想认证、证书、签名或 MAC。

题目问 nonrepudiation（不可否认性），先想 digital signature（数字签名）、时间戳、审计证据。

题目问 trust chain（信任链），先想 PKI、CA、证书链、CRL、OCSP。

题目只说 encryption（加密）时，不要自动选它，先看它是不是在问保密。

8. 别混

加密：让内容看不懂。

哈希：看内容有没有变，不负责隐藏内容。

数字签名：证明谁签的和内容有没有变。

证书：证明某个公钥属于某个身份。

密钥交换：协商会话密钥。

最容易错的地方：密码学工具都像“安全”，但考试问的是“解决哪类问题”。目标没看清，答案就会错位。

记忆卡：Symmetric vs Asymmetric Encryption 深化 / 对称与非对称加密对照

对称和非对称加密这张卡不要背成“一个快一个慢”就停。

小白先懂一句话：对称加密像两个人共用同一把保险箱钥匙，速度快但钥匙怎么安全交出去很麻烦；非对称加密像一个公开信箱和一把私人钥匙，适合交换密钥、签名和身份验证，但不适合直接加密大量数据。

1. 先懂一句话

Symmetric Encryption = 对称加密。

Symmetric 是对称。

同一把 shared secret key（共享秘密密钥）用于加密和解密。

Asymmetric Encryption = 非对称加密。

Asymmetric 是非对称。

它使用 public key（公钥）和 private key（私钥）一对密钥。

现实协议常把二者组合起来。

非对称先解决身份和密钥交换，对称再加密大量数据。

TLS 就是典型混合思路：先建立信任和会话密钥，再用快速的对称算法保护会话数据。

2. 真正要背什么

这张卡真正要背 6 件事。

对称加密快，适合 bulk encryption（大量数据加密）。
对称加密难点是 key distribution（密钥分发）。
非对称加密用公钥和私钥，速度较慢。
非对称适合 key exchange（密钥交换）、digital signature（数字签名）、身份验证。
数字信封常把二者组合：用对称加密数据，用非对称保护对称密钥。
公钥不是秘密，私钥必须保护好。

3. 关键词拆解

Shared Secret Key：共享秘密密钥，对称加密双方都知道。

Public Key：公钥，可以公开。

Private Key：私钥，必须保密。

Bulk Encryption：大量数据加密。

Key Distribution：密钥分发，把密钥安全交给对方。

Digital Envelope：数字信封，用对称密钥加密数据，再用收件人的公钥保护对称密钥。

AES / Advanced Encryption Standard：高级加密标准，常见对称算法。

RSA / ECC：常见非对称算法类别。

4. 候选池

候选 1：对称是同一把钥匙，非对称是信箱和私钥。

保留。画面清楚。

候选 2：对称旧，非对称新。

淘汰。不是新旧关系，是用途不同。

候选 3：非对称开场，对称跑全程。

保留。能记住混合加密。

讨论结论：主记法用“非对称开场，对称跑全程”。考试常考为什么两者一起用。

5. 最终主记法

Symmetric = 一把共享钥匙。

Asymmetric = 公钥信箱 + 私钥开箱。

记完整句：小林网店和银行通信时，不会用慢的非对称算法加密整场聊天；先用证书和非对称机制安全协商一把临时会话密钥，再用快速对称加密保护后续大量数据。

翻回知识点就是：对称加密适合高速保护大量数据，非对称加密适合解决密钥分发、身份验证和签名问题，现代协议常采用混合加密。

6. 小白故事

小林要给供应商寄一箱合同。

如果两人早就共用一把保险箱钥匙，把合同锁进去很快。

这就是对称加密。

问题是：这把钥匙第一次怎么安全交给供应商？

如果小林把钥匙也寄在普通快递里，路上被偷就完了。

非对称加密提供另一种办法。

供应商放出一个公开信箱，任何人都能往里投信，但只有供应商的私钥能打开。

小林可以用这个公开信箱安全交一把临时钥匙。

之后两人用临时钥匙快速加密大量合同内容。

这就是为什么真实世界常把两者组合起来。

7. 回到考题

题目说 same key encrypts and decrypts（同一把钥匙加解密），选 symmetric encryption（对称加密）。

题目说 public/private key pair（公钥/私钥对），选 asymmetric encryption（非对称加密）。

题目说 bulk data encryption（大量数据加密），常看 symmetric / AES。

题目说 key distribution problem（密钥分发问题），常看 asymmetric / key exchange。

题目说 digital envelope（数字信封），先想对称加密数据，非对称保护对称密钥。

题目说 digital signature（数字签名），不要选对称加密。

8. 别混

对称加密：快，适合大量数据，密钥分发难。

非对称加密：慢，适合密钥交换、签名、身份验证。

哈希：不是加密，不能解密回原文。

数字签名：不是为了隐藏内容，而是证明来源和完整性。

最容易错的地方：非对称不等于“更安全所以永远用它”。真实协议常用非对称解决开始的信任和密钥问题，再用对称加密跑大量数据。

记忆卡：Hashing 深化 / 哈希深化

哈希深化这张卡不要背成“把数据加密一下”。

小白先懂一句话：哈希像给文件按指纹。你不能从指纹还原人，但能用指纹判断这个人是不是变了样。

1. 先懂一句话

Hashing = 哈希。

Hash Function = 哈希函数。

Digest = 摘要。

它把任意长度的数据变成固定长度的摘要。

好的哈希有几个特点：同样输入得到同样输出；输入稍微变一点，输出就大变；正常情况下不能从摘要还原原文；很难找到两个不同输入得到同一个摘要。

哈希主要用于 integrity（完整性）检查。

它不提供 confidentiality（机密性）。

因为哈希不是为了隐藏内容，也没有解密步骤。

2. 真正要背什么

这张卡真正要背 6 件事。

哈希是单向摘要，不是加密。
哈希用于发现内容是否改变。
哈希不能证明是谁改的，除非和密钥或签名结合。
Salt（盐）用于密码存储，防止相同密码出现相同哈希，也增加预计算攻击成本。
MD5、SHA-1 已不适合强安全完整性场景。
SHA-256、SHA-3 等更常用于现代场景。

3. 关键词拆解

Hash Function：哈希函数。

Message Digest：消息摘要。

One-Way：单向，正常不能反推出原文。

Collision：碰撞，两个不同输入产生同一个哈希。

Preimage Resistance：抗原像，难以从哈希值找回原输入。

Salt：盐，存密码时加入随机值，防止相同密码哈希相同。

Rainbow Table：彩虹表，预先计算好的密码哈希表。

Checksum / CRC：校验和 / 循环冗余校验，主要发现传输或存储中的偶然错误，不等于强密码学哈希。

SHA / Secure Hash Algorithm：安全哈希算法系列。

MD5：老旧哈希算法，已不适合安全用途。

4. 候选池

候选 1：哈希 = 文件指纹。

保留。最直观。

候选 2：哈希 = 加密后不能解密。

淘汰。这样说会让小白以为它仍然是加密。

候选 3：指纹验变动，不藏内容。

保留。能防止机密性混淆。

讨论结论：主记法用“文件指纹”。哈希看有没有变，不负责藏起来。

5. 最终主记法

Hashing = 文件指纹。

记完整句：小林网店发布安装包时，同时发布 SHA-256 哈希值；用户下载后重新算一遍，如果哈希值不一样，说明安装包被改过或下载损坏。

翻回知识点就是：哈希生成固定长度摘要，用于完整性校验、密码存储辅助、证据校验等，但不提供保密性。

6. 小白故事

小林网店要把一个发票文件发给供应商。

供应商担心路上被改。

小林先对文件算一个哈希。

这个哈希像文件指纹。

文件只改一个字，指纹就会变。

供应商收到文件后再算一次。

如果两个哈希一样，说明文件大概率没变。

但供应商不能从哈希里看出发票内容。

哈希也不会把发票藏起来。

它只是在说：这个文件有没有和原来一样。

7. 回到考题

题目说 verify file integrity（验证文件完整性），先想 hash。

题目说 detect modification（发现被修改），先想 hash 或 digital signature。

题目说 store password securely（安全存储密码），先想 salted hash（加盐哈希），不是明文密码。

题目说 confidentiality（机密性），不要选普通哈希。

题目说 MD5 / SHA-1，注意它们老旧，不适合强安全场景。

题目说 rainbow table（彩虹表），先想 salt（盐）降低预计算攻击效果。

题目说 checksum / CRC（校验和 / 循环冗余校验），先想发现偶然错误，不要当成强安全完整性控制。

题目说 message digest（消息摘要），通常应对整个消息或文件计算摘要，不是只看开头一小段。

8. 别混

Hash：无密钥摘要，检查有没有变。

HMAC：哈希加共享密钥，证明消息来自知道密钥的一方。

Digital Signature：用私钥签，能支持不可否认。

Encryption：加密隐藏内容。

Checksum / CRC：偏错误检测，不是抗攻击的强哈希。

最容易错的地方：哈希不是加密。不能说“用哈希保护机密性”，只能说它帮助验证完整性。

记忆卡：Digital Signature 深化 / 数字签名深化

数字签名这张卡不要背成“把名字写到文件上”。

小白先懂一句话：数字签名是用私钥给文件盖一个只有自己能盖出的印章，别人用公钥检查印章，确认是谁签的、内容有没有被改。

1. 先懂一句话

Digital Signature = 数字签名。

它通常先对消息做 hash（哈希），再用 signer private key（签名者私钥）对摘要签名。

验证时，别人用 signer public key（签名者公钥）验证签名。

数字签名提供三类常考价值。

Integrity：完整性，内容被改签名会验证失败。

Authenticity：真实性，能证明签名来自对应私钥。

Nonrepudiation：不可否认性，签名者事后难以抵赖。

它不等于加密。

签名本身不是为了隐藏内容。

2. 真正要背什么

这张卡真正要背 6 件事。

私钥签名，公钥验签。
签名通常签的是哈希摘要，不是直接签大文件本体。
数字签名提供完整性、真实性、不可否认性。
数字签名不自动提供机密性。
私钥必须保护好，泄露后签名信任崩掉。
时间戳和证书状态能影响签名证据价值。

3. 关键词拆解

Signer：签名者。

Private Key：私钥，签名者保密。

Public Key：公钥，验证者使用。

Signature Verification：验签。

Nonrepudiation：不可否认性，事后不能轻易否认。

Timestamp：时间戳，证明某个签名在某个时间已经存在。

Code Signing：代码签名，用数字签名证明软件或更新包来自可信发布者，且发布后没有被改。

Certificate：证书，用来确认签名公钥属于谁。

4. 候选池

候选 1：私钥盖章，公钥验章。

保留。方向清楚。

候选 2：数字签名就是加密文件。

淘汰。签名重点不是保密。

候选 3：签名像合同印章，改一个字章就对不上。

保留。能记完整性和防抵赖。

讨论结论：主记法用“私钥盖章，公钥验章”。它能把签名方向和作用一次讲清。

5. 最终主记法

Digital Signature = 私钥盖章，公钥验章。

记完整句：小林用自己的私钥给电子合同盖数字章，供应商用小林证书里的公钥验章；如果合同金额被改，验章失败；如果验章成功，小林也很难说“不是我签的”。

翻回知识点就是：数字签名用非对称密钥提供完整性、来源真实性和不可否认性，但不负责隐藏内容。

6. 小白故事

小林给供应商发合同。

合同本身不一定要隐藏。

但供应商要确认三件事。

第一，合同是不是小林发的。

第二，金额有没有被改。

第三，小林以后能不能否认签过。

小林用私钥给合同摘要签名。

供应商用小林公钥验证。

如果合同内容被改，摘要变了，签名对不上。

如果签名对上，说明签名确实来自持有私钥的一方。

配合证书、时间戳和证据链，就能支持不可否认。

7. 回到考题

题目说 nonrepudiation（不可否认性），先想 digital signature。

题目说 code signing（代码签名），先想软件更新、驱动、脚本或安装包被发布者签名，用户验证来源和完整性。

题目说 prove sender identity（证明发送者身份），先想 digital signature 或 certificate。

题目说 detect message tampering（发现消息被篡改），数字签名可以做到。

题目说 confidentiality（机密性），不要只选数字签名。

题目说 sign with which key（用哪把钥匙签），答案是 private key（私钥）。

题目说 verify with which key（用哪把钥匙验），答案是 public key（公钥）。

8. 别混

数字签名：私钥签、公钥验，证明来源、完整性、防抵赖。

加密：让内容看不懂。

哈希：生成摘要，只能验变动，不证明是谁。

HMAC：共享密钥消息认证，不能像数字签名一样强不可否认。

最容易错的地方：数字签名不是“用公钥加密文件”。考试常故意把加密和签名混在一起。

记忆卡：Certificate Chain 深化 / 证书链深化

证书链这张卡不要背成“有证书就可信”。

小白先懂一句话：证书链是在问浏览器怎么一路查上去，确认这个网站证书最终能连到自己信任的根 CA。

1. 先懂一句话

Certificate = 证书。

Certificate Chain = 证书链。

Root CA = 根证书颁发机构。

Intermediate CA = 中间证书颁发机构。

End-Entity Certificate / Leaf Certificate = 终端实体证书 / 叶子证书，比如网站证书。

浏览器访问小林官网时，不是只看“有一张证书”。

它要看网站证书是不是由中间 CA 签发，中间 CA 是否能连到受信任 Root CA，域名是否匹配，证书有没有过期，有没有被吊销，签名是否有效。

2. 真正要背什么

这张卡真正要背 7 件事。

证书把 identity（身份）和 public key（公钥）绑定。
证书链从网站证书一路连到受信任 root CA（根 CA）。
Intermediate CA（中间 CA）减少根 CA 直接签发风险。
浏览器要检查域名、有效期、签名、用途和吊销状态。
CRL 和 OCSP 用于检查证书是否被吊销。
链断了或根不受信任，浏览器就不应信任。
自签名证书不是天然不安全，但默认不被公共信任链信任。

3. 关键词拆解

X.509 Certificate：X.509 证书格式。

Subject：证书主体，证书属于谁。

Issuer：签发者，谁签发了这张证书。

Root CA：根 CA，信任链顶端。

Intermediate CA：中间 CA，根和终端证书之间的签发者。

SAN / Subject Alternative Name：主体备用名称，现代证书常用来匹配域名。

CRL / Certificate Revocation List：证书吊销列表。

OCSP / Online Certificate Status Protocol：在线证书状态协议。

4. 候选池

候选 1：证书链 = 介绍信一层层盖章。

保留。能记谁给谁背书。

候选 2：有 HTTPS 就一定可信。

淘汰。还要看证书链、域名、过期、吊销。

候选 3：根 CA 是户口本祖宗页。

保留但不做主记法，容易偏。

讨论结论：主记法用“一层层介绍信”。网站证书不是自己说可信，而是链条一路背书到受信任根。

5. 最终主记法

Certificate Chain = 一层层介绍信。

记完整句：小林官网拿出网站证书，浏览器先看证书是不是给这个域名的，再看是谁签的，再看签发者能不能一路连到浏览器信任的根 CA，还要看有没有过期或吊销。

翻回知识点就是：证书链通过根 CA、中间 CA 和终端证书建立信任路径，验证身份和公钥绑定是否可信。

6. 小白故事

顾客打开小林网店。

浏览器看到网站递来一张证书。

它不会只听网站自己说“我是真的”。

它先看证书上的域名是不是小林官网。

再看这张证书是谁签的。

如果是中间 CA 签的，就继续看中间 CA 的证书是谁签的。

一路查到浏览器本来就信任的根 CA。

如果中间少了一张，链断了。

如果证书过期了，不能信。

如果证书被吊销了，也不能信。

证书链就是这条一层层查证的路。

7. 回到考题

题目说 certificate chain（证书链），先想从 leaf certificate（叶子证书）到 intermediate CA 再到 root CA。

题目说 CA proves a website is safe（CA 证明网站安全无恶意），要警惕。CA 主要证明身份和公钥绑定，不证明网站代码没有漏洞或没有恶意内容。

题目说 trust anchor（信任锚），先想 root CA。

题目说 certificate revoked（证书被吊销），先想 CRL 或 OCSP。

题目说 domain mismatch（域名不匹配），证书不可信。

题目说 expired certificate（证书过期），证书不可信。

题目说 self-signed certificate（自签名证书），先想默认不在公共信任链里，除非手动信任。

8. 别混

Certificate：单张证书。

Certificate Chain：证书之间的信任路径。

CA：签发证书的机构。

RA：审核申请者身份的机构。

CRL / OCSP：检查证书是否吊销。

最容易错的地方：证书存在不等于可信。要看证书链、域名、有效期、用途和撤销状态。

记忆卡：Key Exchange / Diffie-Hellman 深化 / 密钥交换与 DH 深化

密钥交换这张卡不要背成“Diffie-Hellman 是加密数据的算法”。

小白先懂一句话：密钥交换是在不安全的路上，让双方商量出一把后面用来对称加密的会话密钥。

1. 先懂一句话

Key Exchange = 密钥交换。

Diffie-Hellman / DH = 一种经典密钥交换方法。

ECDH = Elliptic Curve Diffie-Hellman，椭圆曲线 Diffie-Hellman。

密钥交换的目标不是直接加密整份数据。

它的目标是让双方在网络上协商出 shared session key（共享会话密钥）。

之后真正大量数据通常用对称加密保护。

重要提醒：普通 DH 本身不自动证明对方是谁。

如果没有身份认证，可能被 MITM（Man-in-the-Middle，中间人攻击）插进来。

所以真实协议会把 DH 和证书、签名或认证机制结合。

2. 真正要背什么

这张卡真正要背 6 件事。

DH 用于密钥协商，不是直接加密数据。
双方通过公开交换材料，计算出相同共享秘密。
ECDH 是基于椭圆曲线的 DH 变体。
Ephemeral DH / DHE / ECDHE 提供 forward secrecy（前向保密）。
DH 需要认证来防中间人攻击。
协商出的会话密钥通常用于对称加密。

3. 关键词拆解

Key Agreement：密钥协商，双方共同算出密钥。

Session Key：会话密钥，某次会话临时使用的密钥。

DH / Diffie-Hellman：密钥交换算法。

ECDH：椭圆曲线 DH。

DHE / ECDHE：临时 DH / 临时椭圆曲线 DH，常用于前向保密。

Forward Secrecy：前向保密，长期私钥以后泄露，也尽量不解开过去会话。

Discrete Logarithm：离散对数，DH 安全性背后的数学难题之一，小白只要知道它支撑“别人看见公开材料也难算出秘密”。

MITM / Man-in-the-Middle：中间人攻击。

4. 候选池

候选 1：公开调颜色，私下得到同一杯颜色。

保留。经典 DH 类比，但要写清“不是魔法”。

候选 2：DH 加密所有数据。

淘汰。DH 是协商密钥，不是批量加密。

候选 3：先握手定临时钥匙，再用钥匙锁聊天。

保留。更适合考试。

讨论结论：主记法用“握手定临时钥匙”。DH 是握手阶段的钥匙协商，不是后面搬货的锁。

5. 最终主记法

Diffie-Hellman = 握手定临时钥匙。

记完整句：小林浏览器和银行服务器先用 DH / ECDHE 在握手阶段协商出一把临时会话密钥，再用这把密钥进行快速对称加密；如果握手没有认证，中间人可能假装双方分别握手。

翻回知识点就是：DH 是密钥交换 / 密钥协商机制，常和认证、证书和对称加密组合使用。

6. 小白故事

小林在咖啡店打开银行网站。

网络是不可信的。

浏览器和服务器不能直接把会话密钥明晃晃发出去。

于是双方在握手阶段交换一些公开材料。

别人能看到这些材料。

但只有双方结合自己的秘密值，才能算出同一把会话密钥。

接下来真正的网页内容，用这把会话密钥快速加密。

如果使用 ECDHE，这把钥匙是临时的。

将来服务器长期私钥泄露，也不容易回头解开过去抓包内容。

这就是前向保密。

7. 回到考题

题目说 key exchange / key agreement（密钥交换 / 密钥协商），先想 DH / ECDH。

题目说 forward secrecy（前向保密），先想 DHE / ECDHE 这类临时密钥交换。

题目说 session key（会话密钥），先想协商后用于对称加密。

题目说 man-in-the-middle（中间人攻击），注意 DH 需要认证配合。

题目说 bulk encryption（大量数据加密），不要选 DH 本身，选对称加密。

题目说 RSA key transport 和 Diffie-Hellman，区别在于一个更像传递密钥，一个更像协商密钥。

8. 别混

DH / ECDH：密钥交换 / 密钥协商。

AES：对称加密，用于大量数据。

RSA：可用于非对称加密、签名、密钥传输等，视模式和协议而定。

Certificate：证明对方身份和公钥。

最容易错的地方：DH 不是“用来加密文件”。它是握手时定出后续加密要用的密钥。

记忆卡：HMAC 深化 / 基于哈希的消息认证码深化

HMAC 这张卡不要背成“哈希的高级版”。

小白先懂一句话：HMAC 是“哈希 + 共享秘密密钥”，用来证明消息没被改，而且确实来自知道这把密钥的人。

1. 先懂一句话

HMAC = Hash-Based Message Authentication Code，基于哈希的消息认证码。

Hash-Based 是基于哈希。

Message Authentication Code / MAC = 消息认证码。

普通哈希没有密钥。

任何人拿到文件都能算哈希。

HMAC 加入共享秘密密钥。

只有知道密钥的人才能算出正确 HMAC。

所以 HMAC 同时提供 integrity（完整性）和 authenticity（消息真实性）。

但因为双方共享同一把密钥，它通常不提供像数字签名那样强的 nonrepudiation（不可否认性）。

2. 真正要背什么

这张卡真正要背 5 件事。

HMAC = 哈希函数 + 共享密钥。
它验证消息有没有被改。
它验证消息来自知道共享密钥的一方。
它不负责隐藏消息内容。
它不提供强不可否认，因为双方都知道同一把密钥。

3. 关键词拆解

MAC / Message Authentication Code：消息认证码。

HMAC：基于哈希的消息认证码。

Shared Secret Key：共享秘密密钥。

Keyed Hash：带密钥哈希，意思是哈希计算中加入共享秘密密钥。

HOTP / HMAC-Based One-Time Password：基于 HMAC 的一次性口令。

Integrity：完整性。

Message Authentication：消息认证，确认消息来自知道密钥的一方。

Nonrepudiation：不可否认性，HMAC 通常不能强提供。

4. 候选池

候选 1：哈希指纹加暗号。

保留。指纹验改动，暗号证明知道密钥。

候选 2：HMAC 是数字签名。

淘汰。HMAC 用共享密钥，不是私钥签公钥验。

候选 3：两个人共用印章，所以不能证明只有一人盖章。

保留。能记不可否认性不足。

讨论结论：主记法用“指纹加暗号”。它比普通哈希多了共享密钥，但仍不是数字签名。

5. 最终主记法

HMAC = 哈希指纹 + 共享暗号。

记完整句：小林网店和支付平台约定一把共享密钥。每次发送订单通知时，消息和密钥一起算 HMAC；支付平台收到后也算一次，对得上就知道消息没被改，而且发送方知道这把密钥。

翻回知识点就是：HMAC 用共享密钥和哈希函数提供消息完整性和消息认证，但不提供强不可否认。

6. 小白故事

小林网店接入支付平台。

支付平台会回调通知：订单已付款。

如果攻击者伪造回调，小林可能误发货。

于是双方约定一把秘密密钥。

支付平台发通知时，把通知内容和密钥一起算出 HMAC。

小林收到后，用同一把密钥再算一遍。

如果结果一致，说明内容没有被改，而且发送者知道共享密钥。

但因为小林和支付平台都知道这把密钥，如果将来打官司，不能像数字签名那样证明“只有某一方能签”。

这就是 HMAC 和数字签名的区别。

7. 回到考题

题目说 message authentication code（消息认证码），先想 MAC / HMAC。

题目说 hash plus secret key（哈希加秘密密钥），选 HMAC。

题目说 keyed hash（带密钥哈希）或 HOTP（基于 HMAC 的一次性口令），也要想到 HMAC。

题目说 verify integrity and authenticity with shared key（用共享密钥验证完整性和真实性），选 HMAC。

题目说 nonrepudiation（不可否认性），不要优先选 HMAC，要看 digital signature。

题目说 confidentiality（机密性），HMAC 不负责隐藏内容。

8. 别混

Hash：无密钥摘要，只验改动。

HMAC：共享密钥 + 哈希，验改动和消息认证。

Digital Signature：私钥签、公钥验，可支持不可否认。

Encryption：隐藏内容。

MAC：缩写很容易混。密码学里常是 Message Authentication Code（消息认证码）；访问控制里可能是 Mandatory Access Control（强制访问控制）；网络里可能是 Media Access Control（媒体访问控制）。

最容易错的地方：HMAC 不是“更强的签名”。它是共享密钥世界里的消息认证，不是公私钥世界里的数字签名。

记忆卡：PKI Operations 深化 / 公钥基础设施运维深化

PKI 运维这张卡不要背成“CA 签证书”就结束。

小白先懂一句话：PKI 是一整套证书工厂和查验体系，从审核身份、签发证书、发布证书、查吊销，到续期、轮换、保护私钥，都要有人管。

1. 先懂一句话

PKI = Public Key Infrastructure，公钥基础设施。

Operations = 运维，意思是日常怎么运行和管理。

CA / Certificate Authority = 证书颁发机构。

RA / Registration Authority = 注册机构，帮助审核申请者身份。

CRL = Certificate Revocation List，证书吊销列表。

OCSP = Online Certificate Status Protocol，在线证书状态协议。

PKI 不是一张证书。

它是一套信任生产线。

2. 真正要背什么

这张卡真正要背 7 件事。

RA 负责身份审核，CA 负责签发证书。
证书要有生命周期：申请、签发、发布、使用、续期、吊销、过期。
私钥要保护，CA 私钥尤其关键。
CRL 和 OCSP 用于检查吊销状态。
CP（证书策略）说明规则和用途，CPS（认证业务声明）说明 CA 实际怎么操作。
HSM / Hardware Security Module 可用于保护高价值私钥。
证书过期、吊销、域名不匹配、链不完整都会破坏信任。

3. 关键词拆解

CA：证书颁发机构，签发证书。

RA：注册机构，审核身份。

CSR / Certificate Signing Request：证书签名请求，申请者把身份信息和公钥提交给 CA/RA 审核和签发。

CPS / Certification Practice Statement：认证业务声明，说明 CA 实际怎么运营和执行证书业务。

CP / Certificate Policy：证书策略，说明某类证书适合什么用途、规则和要求。

Repository：证书库或发布库，用来发布证书、CRL 等 PKI 信息。

HSM / Hardware Security Module：硬件安全模块，保护密钥。

Key Escrow：密钥托管，把密钥交给受控第三方或系统保管，常有争议和合规要求。

Certificate Renewal：证书续期。

Certificate Revocation：证书吊销。

4. 候选池

候选 1：PKI 是证书工厂。

保留。能记一整套流程，不只 CA。

候选 2：CA 签了就永远可信。

淘汰。证书可能过期、吊销、链断、私钥泄露。

候选 3：RA 查人，CA 盖章，OCSP 查有没有作废。

保留。三个角色清楚。

讨论结论：主记法用“证书工厂”。PKI 运维就是让证书从出生到退役都可控。

5. 最终主记法

PKI Operations = 证书工厂全流程。

记完整句：小林官网申请证书时，RA 先审核小林是不是这个域名的合法申请者，CA 再签发证书；证书上线后，浏览器可用 OCSP 查它是否被吊销；到期前要续期，私钥泄露时要立即吊销和换证。

翻回知识点就是：PKI 运维管理证书和密钥的完整生命周期，确保身份、公钥、吊销状态和信任链持续可靠。

6. 小白故事

小林网店要给官网办证书。

这不像自己打印一张“我是官网”的纸。

先要证明域名确实归小林控制。

RA 负责核验。

CA 负责签发证书。

证书上线后，顾客浏览器用它确认小林官网身份和公钥。

但证书不是一劳永逸。

私钥如果泄露，要吊销。

证书快过期，要续期。

CA 的私钥要用高强度保护。

吊销信息要能被浏览器查到。

这整条生产线和售后流程，就是 PKI Operations。

7. 回到考题

题目说 RA，先想身份审核。

题目说 CA，先想签发证书。

题目说 CRL / OCSP，先想检查证书是否被吊销。

题目说 CSR（证书签名请求），先想申请者提交公钥和身份信息，请 CA 签发证书。

题目说 repository / LDAP（证书库 / 目录服务），先想发布和查询证书、CRL 等 PKI 信息。

题目说 CRL contains what（CRL 里有什么），先想被吊销证书的 serial number（序列号）等信息。

题目说 who can revoke a certificate（谁能吊销证书），通常是签发该证书的 CA 或其授权流程处理，不是随便哪个 CA。

题目说 HSM，先想保护高价值密钥，尤其 CA 私钥。

题目说 certificate renewal（证书续期），先想证书生命周期。

题目说 private key compromise（私钥泄露），先想吊销证书、重新签发和更新信任。

8. 别混

PKI：整套公钥信任基础设施。

CA：签发证书。

RA：审核身份。

CRL / OCSP：查吊销状态。

Certificate Chain：信任路径。

IKE：Internet Key Exchange，常用于 IPsec 密钥协商，不是 PKI 组件本身。

最容易错的地方：PKI 不是“证书文件”。它包括身份审核、签发、密钥保护、吊销、续期、策略和审计。

记忆卡：Certificate Pinning / 证书固定

证书固定这张卡不要背成“把证书保存起来”。

小白先懂一句话：证书固定是应用提前记住它应该信任的证书或公钥，连接时如果看到不符合预期的证书，即使它看起来是 CA 签的，也拒绝。

1. 先懂一句话

Certificate Pinning = 证书固定。

Pinning 是固定、钉住。

它可以固定具体证书，也可以固定 public key（公钥）或 SPKI（Subject Public Key Info，主体公钥信息）。

普通证书验证是：只要证书链能连到受信任 CA，并且域名、有效期、用途、吊销等都通过，就信。

证书固定多加一层：这个服务器必须拿出我预期的证书或公钥。

如果攻击者拿到另一个 CA 误签的合法证书，也可能被 pinning 拦住。

2. 真正要背什么

这张卡真正要背 5 件事。

证书固定限制应用只信任特定证书或公钥。
它能降低 CA 被误签或中间人替换证书的风险。
它常见于移动 App 和高安全客户端。
固定错了或证书轮换没规划，会把自己用户锁在门外。
现代实现更常固定公钥 / SPKI，而不是死钉单张证书。

3. 关键词拆解

Pin：固定，钉住预期证书或公钥。

Public Key Pinning：公钥固定。

SPKI / Subject Public Key Info：主体公钥信息。

MITM / Man-in-the-Middle：中间人攻击。

Certificate Rotation：证书轮换。

Backup Pin：备用固定项，防止主证书更换时应用全线失败。

Trust Store：信任库，系统或浏览器内置的受信任 CA 集合。

Rogue Certificate / Mis-Issued Certificate：流氓证书 / 误签证书，证书看似由 CA 签发，但不该代表这个服务。

4. 候选池

候选 1：只认这把门钥匙。

保留。很直观。

候选 2：证书固定让证书永不过期。

淘汰。证书仍会过期，轮换更要规划。

候选 3：门卫不仅看证件真，还看是不是名单上的那张脸。

保留。能记比普通 CA 验证更严格。

讨论结论：主记法用“只认这把钥匙”。Pinning 不是替代证书链，而是在证书链之外再限定预期身份材料。

5. 最终主记法

Certificate Pinning = 只认这把钥匙。

记完整句：小林网店 App 连接 api.xiaolin.example 时，不只检查证书链有效，还检查服务器公钥是不是 App 里预先固定的那把；如果中间人换成另一张看似合法的证书，App 也会拒绝。

翻回知识点就是：证书固定通过限定预期证书或公钥，降低中间人和 CA 误签风险，但必须规划证书轮换和备用 pin。

6. 小白故事

小林网店做了一个手机 App。

App 每次都要连订单 API。

普通验证会问：这张证书是不是 CA 签的，域名对不对，过期没过期。

证书固定还会多问一句：这是不是我以前记住的那把公钥？

如果不是，就算证书链看起来能通过，App 也拒绝。

这样可以减少某些中间人攻击。

但小林不能随便换证书。

如果 App 只认旧证书，新证书上线后，老 App 可能全部连不上。

所以证书固定要配合轮换计划和备用 pin。

7. 回到考题

题目说 certificate pinning，先想客户端固定预期证书或公钥。

题目说 prevent MITM using rogue certificate（防止使用流氓证书的中间人），可能看 pinning。

题目说 mobile app trusts only specific server certificate（移动 App 只信指定证书），选 certificate pinning。

题目说 certificate rotation（证书轮换），注意 pinning 可能导致可用性问题。

题目说 CA trust chain，普通证书验证仍要做；pinning 是额外限制，不是完全替代。

题目里如果 pinning 出现在硬盘销毁、介质破坏语境，可能是物理“打钉”销毁；如果出现在证书、移动 App、TLS 语境，才是 Certificate Pinning（证书固定）。

8. 别混

Certificate Pinning：客户端固定证书或公钥。

Certificate Chain Validation：验证证书链是否可信。

HSTS：强制浏览器用 HTTPS，不是固定证书。

OCSP / CRL：查证书是否被吊销。

最容易错的地方：证书固定提高了抗替换能力，但也增加运维风险。换证书前不规划，可能自己把用户挡在门外。

记忆卡：Crypto Algorithm Selection / 密码算法选择

密码算法选择这张卡不要背成“哪个算法名字最眼熟”。

小白先懂一句话：选算法不是看名字酷不酷，而是看目标、强度、模式、密钥长度、合规要求、生命周期和实现是否安全。

1. 先懂一句话

Crypto Algorithm Selection = 密码算法选择。

Crypto 是密码学。

Algorithm 是算法。

Selection 是选择。

考试常给一堆算法名：AES、RSA、ECC、SHA-256、SHA-3、MD5、DES、3DES、RC4。

小白不要只靠熟悉感选。

先问它用于什么目标。

加密大量数据看对称算法。

签名和密钥交换看非对称算法。

完整性摘要看哈希算法。

消息认证看 HMAC 或 AEAD 模式。

再看算法是否老旧、密钥长度是否足够、模式是否安全、是否符合组织或法规要求。

2. 真正要背什么

这张卡真正要背 7 件事。

AES 常用于现代对称加密。
RSA、ECC 常用于非对称场景，但要看密钥长度和用途。
SHA-256、SHA-3 常用于现代哈希场景。
MD5、SHA-1、DES、RC4 已不适合安全新设计。
3DES 老旧且逐步淘汰，不适合新系统优先选择。
加密模式很重要，算法对但模式错也危险。
自己发明算法通常是错答案，优先用公开、经过审查、标准化的算法和库。

3. 关键词拆解

AES / Advanced Encryption Standard：高级加密标准，常见对称算法。

RSA：常见非对称算法，密钥长度要足够。

ECC / Elliptic Curve Cryptography：椭圆曲线密码学，较短密钥可达到较高强度。

SHA-256：SHA-2 家族中的常见哈希算法。

SHA-3：较新的安全哈希算法系列。

MD5：老旧哈希算法，不适合安全完整性。

DES：老旧对称算法，密钥太短。

RC4：老旧流密码，不适合现代安全使用。

AEAD / Authenticated Encryption with Associated Data：带认证的加密，同时提供保密性和完整性保护。

GCM / Galois/Counter Mode：常见认证加密模式，常和 AES 一起出现。

CCM / Counter with CBC-MAC：常见认证加密模式，常用于某些受限设备和无线场景。

Key Hierarchy：密钥层级，用主密钥、密钥加密密钥、数据加密密钥等分层管理，避免一把钥匙保护所有东西。

4. 候选池

候选 1：先看用途，再看年纪，再看钥匙长度。

保留。用途、是否老旧、强度三个关键点。

候选 2：记住最强算法永远选它。

淘汰。场景不同，算法用途不同。

候选 3：别自制锁，选公开验过的锁。

保留。能记不要自创密码算法。

讨论结论：主记法用“用途、年纪、钥匙长度、模式、标准”。选算法要看完整上下文。

5. 最终主记法

Crypto Algorithm Selection = 用途、年纪、钥匙、模式、标准。

用途 = 保密、哈希、签名、密钥交换各选各的。

年纪 = 老旧算法不要用于新系统。

钥匙 = 密钥长度要足够。

模式 = 工作模式和参数要安全。

标准 = 用公开审查和合规认可的算法库。

记完整句：小林网店要加密客户资料，优先看 AES 这类现代对称算法和安全模式；要验文件完整性，看 SHA-256 或 SHA-3；要签合同，看数字签名算法；看到 MD5、DES、RC4 这类老算法，要警惕不要用于新安全设计。

翻回知识点就是：密码算法选择要匹配安全目标、算法强度、密钥长度、模式、实现、合规和生命周期。

6. 小白故事

小林网店准备重做支付系统。

开发同事说：我找到一个很酷的加密算法，名字很少见。

安全同事马上摇头。

密码算法不是越神秘越安全。

真正可靠的做法是选公开、被审查、被标准接受的算法和成熟库。

客户资料要保密，选合适的现代对称加密。

文件要验完整性，选现代哈希。

合同要签名，选数字签名。

密钥要协商，选经过验证的密钥交换。

如果题目给 MD5、SHA-1、DES、RC4 这类老名字，要先想它们是否已经不适合安全用途。

7. 回到考题

题目说 encrypt large database（加密大型数据库），先想 AES 等对称加密。

题目说 secure hash for integrity（安全哈希完整性），先想 SHA-256 / SHA-3，避开 MD5 / SHA-1。

题目说 new system algorithm choice（新系统算法选择），不要选 DES、RC4、MD5。

题目说 custom encryption algorithm（自制加密算法），通常不是最佳实践。

题目说 authenticated encryption（认证加密），先想 AEAD 这类同时保护保密性和完整性的模式。

题目说 GCM / CCM，先想认证加密模式，不要只说“用了 AES 就够”。

题目说 one key protects all data（一把密钥保护所有数据），先想 key hierarchy（密钥层级）或密钥分离，而不是只换一个 HMAC。

题目说 SSL vs TLS，先想 SSL 老旧，TLS 是后续更现代的协议。

题目说 key length（密钥长度），先想强度随长度和算法类别变化，不同算法不能只比数字大小。

8. 别混

算法：AES、RSA、ECC、SHA 等。

模式：CBC、GCM 等使用算法的方式。

密钥长度：影响强度，但不能脱离算法类别比较。

实现：代码库和配置，错误实现会毁掉好算法。

合规：某些环境要求特定标准和批准算法。

Key Hierarchy：密钥层级，减少单把密钥失陷后的影响范围。

最容易错的地方：算法名字正确不等于方案安全。模式、随机数、密钥管理、证书验证和实现细节都可能把好算法用坏。

记忆卡：Malware Taxonomy 深化 / 恶意软件分类深化

恶意软件分类这张卡不要背成“坏程序都叫病毒”。

小白先懂一句话：恶意软件题先看行为链。它从哪里进来，靠什么扩散，怎么保持存在，伤到什么目标，最后你该先控制什么。

1. 先懂一句话

Malware = Malicious Software，恶意软件。

Taxonomy = 分类。

分类不是为了背名字好听。

分类是为了看清它正在做什么。

有的恶意软件靠用户点击进来。

有的会自己在网络里扩散。

有的伪装成正常程序。

有的加密文件要钱。

有的隐藏自己。

有的等到某个时间或事件才触发。

考试真正问的是：行为是什么，影响是什么，响应第一步是什么。

2. 真正要背什么

这张卡真正要背 7 件事。

Delivery（投递）：它怎么进来，比如邮件、附件、下载、漏洞利用。
Execution（执行）：它怎么开始运行。
Persistence（持久化）：它怎么留在系统里。
Propagation（传播）：它会不会自己扩散。
Privilege Escalation（权限提升）：它是否拿到更高权限。
Payload（载荷）：它真正做什么坏事，比如加密、删除、窃取。
Response（响应）：先隔离、保留证据、确认范围，再清除和恢复。

3. 关键词拆解

Malware：恶意软件。

Payload：载荷，恶意软件真正执行的破坏或窃取动作。

Persistence：持久化，让自己重启后还在。

Propagation：传播，扩散到其他文件、主机或网络。

Privilege Escalation：权限提升，从低权限变高权限。

Command and Control / C2：命令控制，攻击者远程下指令的通道。

Indicator of Compromise / IOC：失陷指标，说明可能已经被攻破的线索。

4. 候选池

候选 1：先看行为链，不看名字牌。

保留。最适合考试。

候选 2：所有恶意软件都是病毒。

淘汰。这是小白最常见误区。

候选 3：进来、运行、留下、扩散、干坏事。

保留。能把生命周期串起来。

讨论结论：主记法用“行为链”。题目给名字时，也要回到行为。

5. 最终主记法

Malware Taxonomy = 进来、运行、留下、扩散、干坏事。

记完整句：小林网店电脑中招时，不先喊“有病毒”，而是先问：它从邮件进来还是漏洞进来，是否已经执行，是否留了自启动，是否在内网扩散，最终是加密文件、偷数据还是连 C2。

翻回知识点就是：恶意软件分类要按入口、传播、持久化、权限、载荷、影响和响应顺序来判断。

6. 小白故事

小林客服电脑突然变慢。

桌面多了奇怪文件。

还不停连接外部地址。

小林想说：中了病毒。

安全同事让他先别急。

如果它只是伪装成客服插件诱导安装，可能是 Trojan（木马）。

如果它自己扫内网继续传播，可能是 Worm（蠕虫）。

如果它加密订单文件要钱，可能是 Ransomware（勒索软件）。

如果它隐藏进系统深处，可能是 Rootkit（根套件）。

名字不是第一步。

先看行为，才知道怎么响应。

7. 回到考题

题目说 self-replicating across network（通过网络自我复制），先想 Worm。

题目说 attached to host file（依附宿主文件），先想 Virus。

题目说 disguised as legitimate software（伪装成正常软件），先想 Trojan。

题目说 encrypts files and demands payment（加密文件并索要赎金），先想 Ransomware。

题目说 hides processes and files（隐藏进程和文件），先想 Rootkit。

题目问 first response（第一响应），通常先控制影响范围，不是立刻重装或付款。

8. 别混

Malware：恶意软件总称。

Virus：病毒，常依附宿主传播。

Worm：蠕虫，能自传播。

Trojan：木马，伪装欺骗用户运行。

Payload：真正执行的坏事。

最容易错的地方：考试不会只考名字。它会写行为，你要从行为反推类型和响应。

记忆卡：Virus / Worm / Trojan 深化 / 病毒、蠕虫与木马深化

病毒、蠕虫、木马这张卡不要背成“三个坏程序”。

小白先懂一句话：病毒靠宿主，蠕虫靠自己扩散，木马靠伪装骗人运行。

1. 先懂一句话

Virus = 病毒。

它通常需要 host file / host program（宿主文件 / 宿主程序）。

用户运行宿主，病毒才跟着运行和传播。

Worm = 蠕虫。

它可以 self-propagate（自我传播），常通过网络漏洞或弱配置自动扩散。

Trojan = Trojan Horse，木马。

它伪装成正常软件、插件、文档或工具，诱导用户运行。

木马的重点是欺骗，不一定自己传播。

2. 真正要背什么

这张卡真正要背 5 件事。

Virus 关键词是 attach / infect host（依附 / 感染宿主）。
Worm 关键词是 self-replicating / network propagation（自我复制 / 网络传播）。
Trojan 关键词是 disguise / social trick（伪装 / 欺骗）。
三者都可能安装后门、偷数据或下载其他恶意软件。
响应时先看扩散范围和入口，不要只看名字。

3. 关键词拆解

Host File：宿主文件，病毒依附的文件。

Macro Virus：宏病毒，利用文档宏传播或执行。

Self-Replication：自我复制。

Network Propagation：网络传播。

Trojan Horse：木马，伪装成有用或正常东西。

RAT / Remote Access Trojan：远程访问木马，让攻击者远程控制受害主机。

Polymorphic Virus：多态病毒，会改变自身特征来逃避特征码检测。

Memory-Resident Virus：内存驻留病毒，驻留在内存中影响后续程序或操作。

WORM Storage / Write Once Read Many Storage：一次写入多次读取存储，是存储技术，不是 Worm（蠕虫）恶意软件。

Dropper：投放器，用来释放或安装其他恶意载荷。

Downloader：下载器，先进入系统，再从外部下载真正载荷。

Backdoor：后门，绕过正常认证的入口。

EDR / Endpoint Detection and Response：端点检测与响应，关注终端上的进程、文件、内存、网络行为并支持响应。

EICAR Test File：EICAR 测试文件，用来测试反恶意软件是否能识别测试样本，不是真实攻击。

4. 候选池

候选 1：病毒搭车，蠕虫自己跑，木马戴假证。

保留。三种行为很清楚。

候选 2：病毒最严重，蠕虫其次，木马最轻。

淘汰。严重程度看载荷和范围，不看名字排序。

候选 3：看传播，不看外号。

保留。题目最常考传播方式。

讨论结论：主记法用“搭车、自己跑、戴假证”。它能把宿主、自动传播、伪装三个差异记住。

5. 最终主记法

Virus = 搭宿主车。

Worm = 自己在网络里跑。

Trojan = 戴假证骗你开门。

记完整句：小林电脑上的恶意代码如果藏在表格宏里，用户打开文件才运行，像病毒；如果它不等人点击，自己扫内网传播，像蠕虫；如果它伪装成快递插件诱导客服安装，像木马。

翻回知识点就是：病毒、蠕虫、木马主要按传播和欺骗方式区分，而不是按破坏程度区分。

6. 小白故事

小林网店收到三个告警。

第一个告警说：一个文档宏感染了很多共享文件。

这更像病毒，因为它依附宿主文件。

第二个告警说：一台电脑开始自动扫描内网，把自己复制到其他主机。

这更像蠕虫，因为它能自传播。

第三个告警说：客服下载了一个“订单导出助手”，运行后被安装后门。

这更像木马，因为它伪装成正常工具骗用户运行。

三者都危险。

但考试先看它怎么进来、怎么扩散。

7. 回到考题

题目说 requires user action / host program（需要用户动作 / 宿主程序），先想 Virus。

题目说 self-propagates without user action（无需用户动作自传播），先想 Worm。

题目说 disguised as useful software（伪装成有用软件），先想 Trojan。

题目说 macro in document（文档宏），可能看 Macro Virus。

题目说 RAT / Remote Access Trojan（远程访问木马），先想伪装安装后提供远程控制能力。

题目说 WORM storage（一次写入多次读取存储），不要误认成 Worm（蠕虫）。

题目说 polymorphic（多态），先想恶意代码改变自身特征以逃避检测。

题目说 dropper installs payload（投放器安装载荷），先想恶意软件投放链。

题目说 EDR（端点检测与响应），先想终端行为检测、隔离、调查和响应，不是单纯传统杀毒。

题目说 EICAR test file（EICAR 测试文件），先想测试反恶意软件能力，不是真正恶意攻击。

题目说 backdoor installed（安装后门），这是结果或载荷，不一定等于 Trojan 类型。

8. 别混

Virus：依附宿主。

Worm：自传播。

Trojan：伪装欺骗。

Backdoor：绕过正常认证的入口。

Payload：真正做的坏事。

最容易错的地方：木马不一定自动传播；蠕虫不一定需要用户点击；病毒不等于所有恶意软件。

记忆卡：Ransomware Response / 勒索软件响应

勒索软件响应这张卡不要背成“有备份就恢复”。

小白先懂一句话：勒索软件来了，第一目标是控制影响范围，别让加密继续扩散；然后保留证据、确认范围、检查备份是否干净，最后才恢复。

1. 先懂一句话

Ransomware = 勒索软件。

Ransom 是赎金。

它通常加密或锁定数据，然后索要付款。

现在很多勒索还会 double extortion（双重勒索）：先偷数据，再威胁公开。

Response = 响应。

响应不是立刻付款，也不是马上重装。

响应要按事件处理流程来：containment（遏制）、evidence preservation（保留证据）、scope assessment（确认范围）、eradication（清除）、recovery（恢复）、lessons learned（复盘改进）。

2. 真正要背什么

这张卡真正要背 7 件事。

先 isolate affected systems（隔离受影响系统）。
不要让加密继续扩散到共享盘、备份、其他服务器。
保留证据，通知事件响应、法务、管理层。
确认感染入口、影响范围、是否数据外泄。
检查备份是否 offline / immutable / tested（离线 / 不可变 / 已测试）。
清除根因后再恢复，避免恢复后再次被加密。
付款通常不是首选，且不能保证拿回数据或不被二次勒索。

3. 关键词拆解

Containment：遏制，先限制影响范围。

Isolation：隔离，比如断开网络、停共享、隔离主机。

Immutable Backup：不可变备份，备份在保留期内不能被改或删。

Backup Verification：备份验证，确认备份真的能恢复、恢复点可用、数据未被污染。

Offline Backup：离线备份，不持续连在生产网络上。

Double Extortion：双重勒索，加密数据并威胁泄露数据。

Decryptor：解密工具。

Incident Response Plan：事件响应计划。

4. 候选池

候选 1：先止血，再验备份。

保留。响应顺序清楚。

候选 2：马上付款最快。

淘汰。考试通常不把付款当最佳第一步。

候选 3：恢复前先确认伤口干净。

保留。避免恢复后再次中招。

讨论结论：主记法用“先止血，再验备份，再恢复”。勒索响应最怕顺序乱。

5. 最终主记法

Ransomware Response = 止血、取证、查范围、验备份、清根因、再恢复。

记完整句：小林网店文件被加密后，安全团队先隔离受感染电脑和共享盘，保留勒索提示和日志，确认哪些系统受影响，再检查离线或不可变备份，清除入口后才恢复业务。

翻回知识点就是：勒索软件响应以遏制扩散、保护证据、确认范围、可靠恢复和防止复发为核心。

6. 小白故事

小林早上发现订单共享盘里的文件后缀全变了。

屏幕上出现勒索提示。

客服急着说：赶紧从备份恢复。

安全同事拦住他。

如果勒索还在跑，恢复出来的文件也会继续被加密。

他们先隔离受影响主机。

断开共享盘写入。

保留勒索提示、样本和日志。

确认有没有数据被偷走。

再检查备份是不是干净、是不是能恢复到业务需要的时间点。

最后清除入口、修补漏洞、重置相关凭据，才恢复系统。

7. 回到考题

题目问 ransomware first step（勒索第一步），通常先想 isolate / contain（隔离 / 遏制）。

题目说 backups exist（有备份），继续问备份是否离线、不可变、测试过。

题目说 double extortion（双重勒索），先想数据外泄和通知义务。

题目说 recoverable data / backup verification（能否恢复 / 备份验证），先想备份是否干净、可用、符合 RPO/RTO。

题目说 restore from backup（从备份恢复），要先确认根因已清除。

题目说 pay ransom（支付赎金），通常不是最佳安全控制；它不保证解密成功，还可能带来法律、制裁和后续勒索风险。

题目说 RTO / RPO，恢复还要满足业务时间和数据丢失要求。

8. 别混

Containment：先控制扩散。

Eradication：清除恶意软件和根因。

Recovery：恢复业务。

Backup：恢复材料，不等于响应计划。

BCP / DRP：业务连续性和灾难恢复计划，勒索事件可能触发它们。

最容易错的地方：备份不是护身符。备份如果在线、也被加密、没测试过，恢复时仍可能失败。

记忆卡：Rootkit / Bootkit 深化 / 根套件与启动套件深化

Rootkit 和 Bootkit 这张卡不要背成“很厉害的病毒”。

小白先懂一句话：Rootkit 重点是隐藏控制痕迹，Bootkit 更早一步藏到启动过程里，让系统还没完全起来就被控制。

1. 先懂一句话

Rootkit = 根套件。

Root 是高权限。

Kit 是工具包。

Rootkit 的重点是 stealth（隐蔽）和 privileged control（高权限控制）。

它可能隐藏进程、文件、网络连接、驱动或恶意账号。

Bootkit = 启动套件。

Boot 是启动。

Bootkit 攻击 boot process（启动过程），比如 bootloader（引导加载器）或更低层启动组件。

它可能在操作系统安全工具启动前就先运行。

2. 真正要背什么

这张卡真正要背 6 件事。

Rootkit 重点是隐藏和维持高权限。
Bootkit 重点是更早介入启动流程。
它们难检测，因为可能欺骗系统里的安全工具。
响应时可能需要离线扫描、可信介质启动、重建系统。
仅删除可疑文件通常不够。
预防要靠最小权限、补丁、驱动签名、安全启动、完整性监控。

3. 关键词拆解

Stealth：隐蔽。

Kernel Mode：内核模式，高权限运行区域。

User Mode：用户模式，普通应用运行区域。

Bootloader：引导加载器，操作系统启动前的关键组件。

Secure Boot：安全启动，验证启动链组件是否可信。

Measured Boot：度量启动，记录启动组件哈希，帮助后续检查，但它本身不等于阻止未签名组件运行。

UEFI / Unified Extensible Firmware Interface：统一可扩展固件接口，现代系统启动固件接口。

TPM / Trusted Platform Module：可信平台模块，可安全保存度量值、密钥等安全材料。

Offline Scan：离线扫描，从可信介质启动后扫描磁盘。

Integrity Monitoring：完整性监控，检查关键文件或配置有没有变。

4. 候选池

候选 1：Rootkit 藏在系统深处，Bootkit 藏在开机路上。

保留。位置和特点清楚。

候选 2：Rootkit 就是后门。

淘汰。后门是入口，Rootkit 重点是隐藏控制痕迹。

候选 3：系统自己看自己，可能被它骗。

保留。能解释为什么难检测。

讨论结论：主记法用“藏在深处 / 藏在开机路上”。Rootkit 和 Bootkit 都是隐蔽控制问题。

5. 最终主记法

Rootkit = 藏在系统深处。

Bootkit = 藏在开机路上。

记完整句：小林服务器被 Rootkit 控制时，系统里的进程列表可能看不到恶意进程；如果是 Bootkit，恶意代码可能在操作系统加载前就启动，普通杀软更难发现。

翻回知识点就是：Rootkit / Bootkit 的关键是隐蔽、高权限和难以信任本机检测结果。

6. 小白故事

小林的服务器很奇怪。

外部一直有连接出去。

可管理员在系统里看进程，什么都没有。

看网络连接，也像很干净。

安全同事怀疑 Rootkit。

因为如果控制者已经钻进系统深处，系统命令本身可能被改过，展示给你的结果不可信。

他们从可信介质启动服务器，离线检查磁盘。

如果启动链也被动过，就要考虑 Bootkit。

这时只删一个可疑文件往往不够。

可能要重建系统，恢复可信基线。

7. 回到考题

题目说 hides processes / files / connections（隐藏进程 / 文件 / 连接），先想 Rootkit。

题目说 modifies bootloader / boot process（修改引导加载器 / 启动流程），先想 Bootkit。

题目说 antivirus cannot see it（安全工具看不到），先想隐蔽和高权限。

题目说 trusted media / offline scan（可信介质 / 离线扫描），常用于检测深层感染。

题目说 secure boot（安全启动），先想验证启动链。

题目说 measured boot（度量启动），先想记录启动过程哈希供检查，不要和阻止加载的 Secure Boot 混。

题目说 memory collection（内存采集），先想快速分析正在运行的深层恶意活动时要保留内存证据。

题目说 reconstitute from trusted source（从可信来源重建），Rootkit/Bootkit 场景常比只替换几个文件更可靠。

题目说 backdoor，先想绕过认证入口，不要自动等同 Rootkit。

8. 别混

Rootkit：隐藏控制痕迹。

Bootkit：攻击启动流程。

Backdoor：绕过正常认证的入口。

Trojan：伪装诱导运行。

最容易错的地方：Rootkit 的题眼不是“恶意软件很厉害”，而是“隐藏、提权、让本机检查结果不可信”。

记忆卡：Logic Bomb 深化 / 逻辑炸弹深化

逻辑炸弹这张卡不要背成“马上爆炸的病毒”。

小白先懂一句话：逻辑炸弹是平时藏着不动，等某个条件满足才触发的恶意逻辑。

1. 先懂一句话

Logic Bomb = 逻辑炸弹。

Logic 是条件逻辑。

Bomb 是触发后造成破坏。

它通常被写进脚本、程序、数据库作业、定时任务或管理工具里。

触发条件可能是日期、账号被删除、某个文件存在、工资未发、管理员离职、某个命令执行。

逻辑炸弹常和 insider threat（内部人威胁）一起考。

2. 真正要背什么

这张卡真正要背 5 件事。

Logic Bomb 等条件满足才触发。
它可以长期潜伏，不一定马上表现异常。
常见触发条件是时间、事件、账号状态、文件状态。
防护靠代码审查、变更管理、职责分离、最小权限、监控。
响应时要找触发条件和植入位置。

3. 关键词拆解

Trigger Condition：触发条件。

Time Bomb：时间炸弹，按时间触发的逻辑炸弹。

Insider Threat：内部人威胁。

Dormant State：休眠状态，恶意逻辑已经藏在系统里，但暂时没有动作。

Scheduled Task：计划任务。

Change Management：变更管理。

Code Review：代码审查。

Separation of Duties：职责分离，防止一人独自完成高风险操作。

Backdoor / Trapdoor：后门 / 陷门，绕过正常认证或流程的隐藏入口。

Pseudo Flaw：伪缺陷，故意放出来诱导攻击者或测试对方行为的假弱点。

TOC/TOU：检查时间和使用时间不一致造成的竞态问题，不是“等某天爆炸”的逻辑炸弹。

4. 候选池

候选 1：平时睡着，条件到点才动。

保留。能记潜伏和触发。

候选 2：逻辑炸弹就是 DDoS。

淘汰。DDoS 是拒绝服务攻击方式，逻辑炸弹是条件触发的恶意逻辑。

候选 3：离职账号被删，脚本开始删库。

保留。典型内部人场景。

讨论结论：主记法用“条件到点才动”。逻辑炸弹的核心是触发条件。

5. 最终主记法

Logic Bomb = 条件到点才动。

记完整句：小林网店有个离职开发把脚本藏进定时任务里，条件写成“如果我的账号被禁用，就删除某些配置”。平时看不出问题，离职当天条件满足才爆发。

翻回知识点就是：逻辑炸弹是等待特定条件触发的恶意代码，常通过变更管理、代码审查和职责分离来预防。

6. 小白故事

小林网店有个后台脚本，每天晚上运行。

表面看它只是清理临时文件。

后来某个管理员离职，账号被停用。

第二天系统配置突然被删。

调查发现脚本里藏了一句条件。

只要这个管理员账号不存在，就执行删除动作。

这不是普通病毒到处传播。

它也不是马上执行的破坏程序。

它是等条件满足才触发。

这就是 Logic Bomb。

7. 回到考题

题目说 triggers on a date（到某日期触发），先想 Logic Bomb / Time Bomb。

题目说 triggers when employee is terminated（员工被解雇时触发），先想 Logic Bomb。

题目说 malicious code dormant until condition（恶意代码休眠直到条件满足），先想 Logic Bomb。

题目说 insider planted code（内部人植入代码），可能看 Logic Bomb。

题目说 pseudo flaw（伪缺陷），先想“故意设置的假弱点”，不要选 Logic Bomb。

题目说 time-of-check to time-of-use / TOC/TOU，先想“检查后到使用前状态变了”，不要选 Logic Bomb。

题目说 backdoor / trapdoor，先想隐藏入口，不是条件触发破坏。

题目问 prevention（预防），先看代码审查、变更管理、职责分离、最小权限。

8. 别混

Logic Bomb：条件触发。

Virus：依附宿主传播。

Worm：自传播。

Ransomware：加密或锁定数据勒索。

Scheduled Task：计划任务本身不是恶意，藏了恶意条件才可能成为问题。

Backdoor：隐藏入口。

Pseudo Flaw：假弱点。

TOC/TOU：检查和使用之间被钻空子。

最容易错的地方：逻辑炸弹的关键词是“条件触发”，不是“破坏很大”。

记忆卡：Botnet / C2 深化 / 僵尸网络与命令控制深化

Botnet 和 C2 这张卡不要背成“很多电脑被黑”。

小白先懂一句话：Botnet 是一批被控制的设备，C2 是攻击者给这些设备下命令的通道。

1. 先懂一句话

Botnet = 僵尸网络。

Bot = 被控制的设备或程序。

Net = 网络。

Command and Control / C2 = 命令与控制。

攻击者不一定每台机器都手动操作。

他让被控设备定期联系 C2 服务器。

C2 再下发命令，比如发垃圾邮件、窃取数据、发起 DDoS、继续下载恶意载荷。

2. 真正要背什么

这张卡真正要背 6 件事。

Botnet 是被控设备集合。
C2 是攻击者指挥被控设备的通道。
Beaconing（信标通信）是被控设备定期联系 C2。
Botnet 可以用于 DDoS、垃圾邮件、凭据窃取、代理转发、挖矿、暴力破解和扫描。
防护要看 egress filtering（出站过滤）、DNS 监控、C2 阻断、主机清理。
Botnet 是资源，DDoS 是可能的攻击方式，不是同一个概念。

3. 关键词拆解

Bot：被控主机或程序。

Botnet：被控设备网络。

Botmaster / Bot Herder：僵尸网络操作者，负责控制或出租这些被控设备。

C2 / Command and Control：命令与控制。

Beaconing：信标通信，周期性联系控制端。

Sinkhole：接管或重定向恶意域名/流量，用于观察或削弱僵尸网络。

Egress Filtering：出站过滤，控制内部主机能连接哪些外部地址。

Domain Generation Algorithm / DGA：域名生成算法，恶意软件自动生成大量候选 C2 域名。

Mirai：典型 IoT 僵尸网络案例，常利用摄像头、路由器等弱口令设备。

IoT Devices：物联网设备，比如摄像头、路由器、智能设备，常因默认密码和补丁不足被拉进 Botnet。

Cryptomining：挖矿，利用被控设备算力赚钱。

Brute Force：暴力破解，用大量尝试猜账号密码。

4. 候选池

候选 1：Botnet 是被控队伍，C2 是指挥台。

保留。角色清楚。

候选 2：Botnet 就是 DDoS。

淘汰。Botnet 可以发起 DDoS，但也能做别的坏事。

候选 3：电脑定时回报，等命令。

保留。能记 beaconing。

讨论结论：主记法用“被控队伍 + 指挥台”。看见 C2 要想到命令通道。

5. 最终主记法

Botnet = 被控队伍。

C2 = 指挥台。

记完整句：小林网店一台电脑被恶意软件控制后，每隔几分钟访问奇怪域名汇报状态；攻击者通过 C2 下命令，让它参与 DDoS、发垃圾邮件、偷凭据、扫描别人、暴力猜密码或偷偷挖矿。

翻回知识点就是：Botnet 是大量受控设备，C2 是控制通道，防护要关注出站连接、异常 DNS、信标通信和主机清理。

6. 小白故事

小林安全系统发现一台客服电脑很奇怪。

它没有大量下载文件。

也没有马上加密磁盘。

但它每五分钟访问一个随机域名。

每次只发很小一段数据。

安全同事怀疑这是 beaconing。

也就是被控设备在向 C2 汇报：我还在线。

如果攻击者下命令，它可能下载新载荷，偷浏览器密码，或者加入 DDoS。

所以处理 Botnet 不只是杀一个进程。

还要找 C2 通道，阻断出站连接，确认还有哪些主机被控制。

7. 回到考题

题目说 botnet，先想一批被控制设备。

题目说 C2 / command and control，先想攻击者指挥通道。

题目说 beaconing（周期性外联），先想主机联系 C2。

题目说 DGA，先想恶意软件生成很多 C2 域名。

题目说 sinkhole，先想重定向恶意域名或流量来削弱和观察。

题目说 botmaster / bot herder，先想控制僵尸网络的人。

题目说 Mirai，先想 IoT 设备组成的僵尸网络。

题目说 compromised cameras / routers（被入侵摄像头 / 路由器），先想 IoT Botnet。

题目说 cryptomining / brute force / scanning（挖矿 / 暴力破解 / 扫描），也可能是 Botnet 的用途。

题目说 DDoS，可能由 Botnet 发起，但 DDoS 是攻击方式。

8. 别混

Botnet：被控设备集合。

C2：命令控制通道。

DDoS：拒绝服务攻击方式。

Backdoor：绕过正常认证的入口。

Beaconing：定期联系控制端。

Botmaster：控制者。

Mirai：IoT 僵尸网络典型案例。

最容易错的地方：Botnet 是“资源和控制结构”，DDoS 是“用这些资源打可用性”的一种结果。

记忆卡：Phishing / Spear Phishing / Whaling 深化 / 钓鱼、鱼叉式钓鱼与捕鲸深化

钓鱼这张卡不要背成“发假邮件”。

小白先懂一句话：钓鱼是骗你交出凭据、点恶意链接或执行错误操作；鱼叉式钓鱼是定向骗某个人或某类人；捕鲸是专门骗高管或高价值目标。

1. 先懂一句话

Phishing = 钓鱼。

它常用邮件、短信、网页、电话、聊天工具诱导用户行动。

Spear Phishing = 鱼叉式钓鱼。

Spear 是定向。

它会针对特定员工、部门或角色定制内容。

Whaling = 捕鲸。

它专门针对高管、财务负责人、董事、关键管理人员等高价值目标。

2. 真正要背什么

这张卡真正要背 6 件事。

Phishing 是广泛诱骗。
Spear Phishing 是定向诱骗。
Whaling 是针对高价值或高层目标。
目标常是凭据、转账、附件执行、OAuth 授权、敏感数据。
防护靠培训、MFA、邮件安全、域名防护、报告流程、带外验证。
钓鱼攻击打的是人和流程，不只是技术漏洞。

3. 关键词拆解

Credential Harvesting：凭据收集，骗用户输入账号密码。

Business Email Compromise / BEC：商务邮件入侵或商务邮件诈骗，常骗转账或改收款账户。

Vishing：语音钓鱼，通过电话骗。

Smishing：短信钓鱼，通过短信骗。

Pharming：域名或跳转路径被动了手脚，把用户带到假网站。

Lookalike Domain：相似域名，用像真域名的地址欺骗。

Malicious URL：恶意链接，点开后可能偷凭据、下载恶意软件或跳转到假登录页。

MFA Fatigue：多因素疲劳轰炸，反复推送 MFA 请求诱导用户同意。

4. 候选池

候选 1：撒网、点名、盯高层。

保留。对应 Phishing、Spear、Whaling。

候选 2：钓鱼一定有附件。

淘汰。也可能是链接、电话、二维码、OAuth 授权、转账请求。

候选 3：不是黑系统，是骗人开门。

保留。能记住社会工程属性。

讨论结论：主记法用“撒网、点名、盯高层”。先看目标范围。

5. 最终主记法

Phishing = 撒网。

Spear Phishing = 点名。

Whaling = 盯高层。

记完整句：小林网店全员收到“邮箱即将过期”的假邮件，是普通钓鱼；只有财务收到一封写着真实供应商名字和发票号的邮件，是鱼叉式钓鱼；CEO 收到假律师函要求紧急转账，是捕鲸。

翻回知识点就是：钓鱼按目标范围和定制程度区分，核心是诱导人执行不该做的动作。

6. 小白故事

小林网店某天收到三类邮件。

第一类发给全公司。

邮件说：请立即重置邮箱密码。

这像普通钓鱼，撒一张大网。

第二类只发给财务。

邮件写着真实供应商名字、合同编号和付款日期。

这像鱼叉式钓鱼，内容专门定制。

第三类发给老板。

邮件伪装成律师和投资人，要求秘密转账。

这像捕鲸，因为目标是高价值人物。

三类都不一定靠技术漏洞。

它们靠的是信任、紧急感和信息不对称。

7. 回到考题

题目说 generic email to many users（群发通用邮件），先想 Phishing。

题目说 targeted email using personal details（使用个人细节的定向邮件），先想 Spear Phishing。

题目说 executives / CEO / CFO（高管），先想 Whaling。

题目说 voice call（电话），先想 Vishing。

题目说 SMS text（短信），先想 Smishing。

题目说 invoice change / wire transfer（发票变更 / 电汇），可能看 BEC。

题目说 pharming，先想“用户可能输入了正确网址，但 DNS 或跳转被动手脚，最后到了假网站”。

题目说 malicious URL / fake login page（恶意链接 / 假登录页），先想凭据收集或钓鱼。

8. 别混

Phishing：广泛钓鱼。

Spear Phishing：定向钓鱼。

Whaling：高价值目标钓鱼。

Social Engineering：社会工程总称。

Pharming：把访问路径导向假网站。

Malware Attachment：恶意附件可能是钓鱼载荷，不等于钓鱼本身。

最容易错的地方：钓鱼不一定是邮件附件。只要诱导用户交凭据、点链接、授权或转账，都可能是钓鱼。

Pretexting 这张卡不要背成“说谎骗人”。

小白先懂一句话：Pretexting 是先编一个可信身份和场景，让受害者觉得“这件事合理”，再诱导他交信息、开门、改配置或转账。

1. 先懂一句话

Social Engineering = 社会工程。

它利用人的信任、害怕、忙乱、好心、服从权威等心理。

Pretexting = 借口攻击 / 预设情境攻击。

Pretext 是借口、背景故事。

攻击者不是直接说“把密码给我”。

他会先扮成审计员、IT 支持、快递、供应商、领导助理、银行客服。

然后用一个看似合理的故事让你配合。

2. 真正要背什么

这张卡真正要背 6 件事。

Pretexting 的核心是编造身份和场景。
它常配合 authority（权威）、urgency（紧急）、helpfulness（好心）。
目标可能是凭据、个人信息、门禁、转账、系统改动。
防护要靠带外验证、回拨官方号码、双人审批、培训。
不要只看话术，要看请求是否绕过流程。
社会工程攻击人和流程，不只攻击电脑。

3. 关键词拆解

Pretext：预设借口或背景故事。

Impersonation：冒充。

Authority：权威压力。

Urgency：紧急感。

Tailgating：尾随进入，跟着合法人员进门。

Piggybacking：搭便车进入，对方可能被你说服或主动帮你开门。

Quid Pro Quo：交换条件，用小好处换取信息或操作。

Baiting：诱饵攻击，用 U 盘、免费资料、奖品等诱导受害者上钩。

Dumpster Diving：翻垃圾，找纸质记录、便签、旧设备、快递单等信息。

Shoulder Surfing：肩窥，在旁边偷看密码、验证码、屏幕内容。

Out-of-Band Verification：带外验证，用另一条可信渠道确认。

4. 候选池

候选 1：先编故事，再让你破流程。

保留。最贴近 Pretexting。

候选 2：社会工程就是钓鱼邮件。

淘汰。钓鱼是社会工程的一种，不是全部。

候选 3：对方越急，越要走流程。

保留。能记防护。

讨论结论：主记法用“编故事破流程”。看见借口、冒充、紧急、绕流程，就要警惕。

5. 最终主记法

Pretexting = 编故事破流程。

记完整句：有人打电话给小林客服，自称新来的审计员，说今天必须导出客户名单。真正的风险不是他说得像不像，而是他要求客服绕过正常审批。

翻回知识点就是：Pretexting 通过伪造身份和背景故事诱导受害者违反安全流程。

6. 小白故事

小林客服接到一个电话。

对方说自己是总部 IT。

他能说出客服名字、部门、主管名字。

他说系统今晚升级，需要客服把验证码念给他。

客服差点照做。

安全培训里说过：真正 IT 不会电话要验证码。

客服挂断电话，用通讯录里的官方号码回拨确认。

对方身份是假的。

这就是 Pretexting。

攻击者先铺故事，让你觉得请求合理，再让你破流程。

7. 回到考题

题目说 invented scenario / fabricated identity（编造场景 / 伪造身份），先想 Pretexting。

题目说 attacker pretends to be help desk（冒充技术支持），先想 Social Engineering / Pretexting。

题目说 urgency / authority（紧急 / 权威），先想社会工程压力。

题目说 verify through known number（通过已知号码验证），先想带外验证。

题目说 tailgating（尾随），是社会工程物理进入方式。

题目说 piggybacking（搭便车进入），也是物理进入方式，但更强调被跟随者可能主动配合。

题目说 quid pro quo（交换条件），是用好处换信息或操作。

题目说 baiting（诱饵），先想用 U 盘、礼品、下载资源诱导用户自己执行危险动作。

题目说 dumpster diving（翻垃圾），先想从丢弃材料里找敏感信息。

题目说 shoulder surfing（肩窥），先想偷看屏幕、键盘、验证码。

8. 别混

Social Engineering：社会工程总称。

Pretexting：编造可信背景故事。

Phishing：常通过邮件、短信、网页诱导。

Tailgating：尾随进门。

Piggybacking：让别人带着进门。

Baiting：放诱饵让人主动上钩。

Dumpster Diving：从垃圾里找信息。

Shoulder Surfing：偷看屏幕或输入。

Impersonation：冒充身份。

最容易错的地方：社会工程不是“技术含量低所以不重要”。它经常绕过最贵的技术控制，直接让人破流程。

记忆卡：DoS vs DDoS 深化 / 拒绝服务与分布式拒绝服务深化

DoS 和 DDoS 这张卡不要背成“网站打不开”就结束。

小白先懂一句话：DoS 是让服务不可用，DDoS 是很多来源一起让服务不可用；它们主要打 Availability（可用性）。

1. 先懂一句话

DoS = Denial of Service，拒绝服务。

它让合法用户不能正常使用服务。

DDoS = Distributed Denial of Service，分布式拒绝服务。

Distributed 是分布式，说明攻击流量来自很多来源。

来源可能是 Botnet（僵尸网络）、被利用的反射服务器、开放服务、被感染设备。

DDoS 更难处理，因为不能只封一个源地址。

2. 真正要背什么

这张卡真正要背 6 件事。

DoS / DDoS 主要破坏可用性。
DoS 可以是单一来源或单一缺陷触发。
DDoS 来自很多来源，更难过滤。
常见类型有 volumetric（流量型）、protocol（协议型）、application-layer（应用层）。
缓解要靠容量、CDN、Anycast、清洗中心、速率限制、WAF、上游协作。
本地一台防火墙未必能扛住大流量 DDoS。

3. 关键词拆解

Availability：可用性。

Volumetric Attack：流量型攻击，打带宽。

Protocol Attack：协议型攻击，消耗协议栈或设备资源。

Application-Layer Attack：应用层攻击，用看似正常请求消耗应用资源。

SYN Flood：SYN 洪水。

Amplification Attack：放大攻击，借第三方服务把流量放大。

Smurf Attack：利用 ICMP 和广播地址放大流量的攻击。

Ping of Death：畸形或过大的 ping 包导致系统异常的经典 DoS 题眼。

Low Orbit Ion Cannon / LOIC：常见 DDoS 工具名，题目出现时多和拒绝服务有关。

Account Lockout Abuse：滥用账号锁定机制，反复输错密码让合法用户登录不了。

Scrubbing Center：清洗中心。

Rate Limiting：速率限制。

Anycast：任播，把入口分散到多个地点。

4. 候选池

候选 1：DoS 一处堵门，DDoS 多处堵门。

保留。区别清楚。

候选 2：DDoS 一定是入侵成功。

淘汰。DDoS 主要是让服务不可用，不一定进入系统。

候选 3：先保可用，再查来源。

保留。响应目标清楚。

讨论结论：主记法用“堵门”。重点是合法用户进不来。

5. 最终主记法

DoS = 单路堵门。

DDoS = 多路堵门。

记完整句：小林网店促销时，攻击流量从很多地方同时打来，官网还没被登录进去，客户却打不开页面；这主要伤害可用性，需要清洗、限速、CDN、Anycast 和上游协作。

翻回知识点就是：DoS / DDoS 的核心是让服务不可用，DDoS 因来源分散更难缓解。

6. 小白故事

小林网店大促当天，客户页面一直转圈。

数据库没被改。

客户资料也未必被偷。

但系统该用时用不了。

这就是可用性受损。

如果攻击只来自一个源，可以封禁和限速。

如果流量来自成千上万个被控设备，只靠本地防火墙很难扛。

安全团队把流量引到清洗中心。

CDN 分担静态内容。

上游运营商协助过滤异常流量。

应用层再做速率限制和挑战验证。

7. 回到考题

题目说 denial of service，先想可用性。

题目说 distributed / many sources（分布式 / 很多来源），先想 DDoS。

题目说 botnet launches attack（僵尸网络发起攻击），常见 DDoS。

题目说 SYN flood / amplification / ICMP flood，先想 DoS / DDoS 类型。

题目说 Smurf / Ping of Death / LOIC，先想 DoS / DDoS 经典题眼。

题目说 scrubbing center（清洗中心），先想 DDoS 缓解。

题目说 CDN / upstream ISP / provider mitigation（内容分发网络 / 上游运营商 / 服务商缓解），先想大流量 DDoS 需要外部协作。

题目说 WAF，可能缓解应用层攻击，但不是所有大流量 DDoS 的万能答案。

题目说 many failed logins lock out accounts（大量失败登录导致账号被锁），先想账号锁定机制被滥用造成可用性问题；它不一定是传统流量型 DDoS。

8. 别混

DoS：拒绝服务。

DDoS：分布式拒绝服务。

Botnet：被控设备资源。

Ransomware：加密或锁定数据勒索，也会影响可用性，但机制不同。

Brute Force：暴力猜密码，不等于 DDoS。

Account Lockout Abuse：借登录失败把别人锁在门外，结果也是不可用。

Application-Layer DDoS：请求看起来可能像正常访问，但数量和模式会拖垮应用。

最容易错的地方：DDoS 不是“黑进系统”。很多时候它只是让正常用户进不来。

记忆卡：Threat Intelligence Indicators / 威胁情报指标

威胁情报指标这张卡不要背成“看到安全新闻”。

小白先懂一句话：威胁情报指标是能帮助你发现、判断和追踪攻击的线索，比如恶意 IP、域名、文件哈希、攻击工具、行为模式。

1. 先懂一句话

Threat Intelligence = 威胁情报。

Indicator = 指标、线索。

IOC = Indicator of Compromise，失陷指标。

它说明系统可能已经被攻击或被控制。

TTP = Tactics, Techniques, and Procedures，战术、技术和过程。

它描述攻击者怎么做事，比单个 IP 更稳定。

威胁情报不是知道越多越好。

真正有用的是 actionable intelligence（可行动情报）：能帮助你检测、阻断、优先排序或调查。

2. 真正要背什么

这张卡真正要背 7 件事。

IOC 是具体线索，比如 IP、域名、URL、文件哈希、注册表项。
TTP 是攻击者行为方式，比如钓鱼、横向移动、凭据转储。
IOC 容易变化，TTP 通常更稳定。
情报要看 context（上下文）和 confidence（可信度）。
情报要能转成检测规则、阻断列表、狩猎查询或优先级。
STIX 用来表达情报内容，TAXII 用来交换情报内容。
误报和过期指标要管理，否则会制造噪声。

3. 关键词拆解

IOC / Indicator of Compromise：失陷指标。

IOA / Indicator of Attack：攻击指标，更偏正在发生的攻击行为。

Observable：可观察对象，比如一个 IP、域名、URL、文件哈希或注册表项；它是线索材料，不一定已经证明失陷。

TTP：战术、技术和过程。

Threat Feed：威胁情报源，持续提供恶意 IP、域名、哈希、TTP 等线索。

STIX / Structured Threat Information Expression：结构化威胁信息表达，偏“用什么格式描述情报”。

TAXII / Trusted Automated Exchange of Intelligence Information：可信自动化情报交换，偏“用什么协议交换情报”。

AIS / Automated Indicator Sharing：自动化指标共享，常和情报自动共享场景一起出现。

CAPEC / Common Attack Pattern Enumeration and Classification：常见攻击模式枚举与分类，偏“攻击模式库”。

YARA：常用于文件或恶意样本规则匹配。

Sigma：常用于日志检测规则表达。

Threat Hunting：威胁狩猎，主动带着假设到日志、端点和网络数据里找攻击线索。

Confidence：可信度。

Context：上下文。

4. 候选池

候选 1：IOC 是脚印，TTP 是走路方式。

保留。能区分具体线索和行为模式。

候选 2：威胁情报就是新闻。

淘汰。新闻不一定可行动。

候选 3：线索要能变成动作。

保留。能记 actionable。

讨论结论：主记法用“脚印和走路方式”。IOC 是具体痕迹，TTP 是更稳定的行为。

5. 最终主记法

IOC = 脚印。

TTP = 走路方式。

记完整句：小林网店发现某个恶意 IP 和文件哈希，这是 IOC；发现攻击者总是先发钓鱼邮件、再偷凭据、再横向移动，这是 TTP。IP 可能明天就换，但行为链更值得写进检测和演练。

翻回知识点就是：威胁情报指标要帮助检测、阻断、调查和排序，不能只停留在“听说过这个攻击”。

6. 小白故事

小林安全团队收到一份威胁情报。

里面列了几个恶意 IP、域名和文件哈希。

这些能马上放进 SIEM、EDR 或防火墙里查。

这就是 IOC。

但过几天，攻击者可能换域名、换 IP、重新打包文件。

团队又看情报里的行为描述。

攻击者先发假发票邮件。

再用宏下载载荷。

再连 C2。

再尝试横向移动。

这就是 TTP。

小林把 TTP 写成检测逻辑和演练场景。

这样即使脚印变了，走路方式还可能被发现。

7. 回到考题

题目说 malicious IP / domain / file hash（恶意 IP / 域名 / 文件哈希），先想 IOC。

题目说 tactics, techniques, procedures，先想 TTP。

题目说 actionable intelligence（可行动情报），先想能用于检测、阻断、调查或优先级。

题目说 STIX / TAXII，先想威胁情报表达和交换。

题目说 STIX，单独看是情报表达格式。

题目说 TAXII，单独看是情报交换协议。

题目说 CAPEC，先想攻击模式库，不是漏洞编号。

题目说 threat feed（威胁情报源），先想持续输入的外部或内部线索；它不是漏洞扫描器。

题目说 YARA，先想文件或恶意样本匹配规则。

题目说 Sigma，先想日志检测规则。

题目说 observable（可观察对象），先想单个线索材料，不要直接当成已确认入侵。

题目说 confidence / context（可信度 / 上下文），先想情报质量和适用性。

8. 别混

IOC：具体失陷线索。

IOA：攻击行为线索。

TTP：攻击者行为模式。

Vulnerability Feed：漏洞信息，不一定是你环境里的攻击指标。

Threat Feed：情报来源，不等于已经被你环境命中。

KPI / KRI：管理指标或风险指标，不是 IOC。

CAPEC：攻击模式库，不是 CVE 漏洞编号。

SIEM Alert：安全告警，可能由情报触发，但不是情报本身。

最容易错的地方：威胁情报不是收藏指标。指标要能落地到检测、阻断、调查或决策，否则只是噪声。

下一批待写

下一批建议继续写：Incident Response Lifecycle 深化、Preparation / Identification / Containment、Eradication / Recovery / Lessons Learned、Evidence Preservation、Chain of Custody、Forensic Imaging、Log Analysis for Incidents、Communication Plan、Tabletop Exercise、Post-Incident Review。