CISSP 技术名词库
缩写库解决“字母怎么记”。这里解决“这个技术到底在现实里干什么”。先看它是什么角色,再看题目问的是身份、通信、加密、攻击、恢复还是架构。
先知道它在现实里扮演什么角色,不急着背英文全称。
它通常是为了解决身份、通信、数据、恢复、合规或监控里的一个麻烦。
把术语放回公司、网络、系统、用户和事故场景里。
题干出现登录、传输、加密、扫描、恢复、隔离,方向完全不同。
不要看到“安全”就全选加密,也不要看到“恢复”就全选备份。
英文名和缩写是标签,不是入口;先懂场景,再记标签。
没有匹配到内容,换一个关键词试试。
身份与认证
Kerberos authentication protocol,基于票据的认证协议
Kerberos 的核心不是反复传密码,而是先拿票,再拿票去访问服务。
如果每访问一个系统都把密码发过去,密码暴露机会会变多。Kerberos 用票据减少密码在网络中出现的次数。
员工早上登录公司电脑,先向认证中心证明自己。之后访问文件服务器、打印服务、内部系统时,系统看票据,不要求他一遍遍输入密码。
题目出现 ticket(票据)、KDC、TGT、TGS、single sign-on(单点登录)或 Windows 域认证,先想到 Kerberos。
不要把 Kerberos 当成加密算法。它会用加密保护票据,但它本质是认证协议。
身份与认证
Microsoft directory service,微软目录服务
Active Directory 像企业账号和电脑的总通讯录加管理台。
公司有很多员工、电脑、组、权限和策略,不能每台机器各管各的。AD 把这些身份和策略集中起来。
新员工入职,管理员在 AD 里建账号、放进部门组、套上组策略。员工用同一个域账号登录电脑和内部系统。
题目出现 Windows domain(Windows 域)、Group Policy(组策略)、domain controller(域控制器),先想到 Active Directory。
AD 是目录服务平台,不等于 LDAP。LDAP 是访问目录的一种协议,AD 可以支持 LDAP。
身份与认证
目录服务
目录服务负责存放和查询身份、组、设备、组织结构等信息。
系统需要知道用户是谁、属于哪个组、有哪些属性。目录服务让这些信息有一个可查询的位置。
邮件系统、VPN、文件服务器都去同一个目录里查用户和组,而不是每个系统维护一份名单。
题目问集中查询用户、组、设备、组织单位,或问 LDAP/AD 的基础作用,先想到目录服务。
目录服务不是文件目录。这里的目录是身份和资源信息的目录。
身份与认证
身份联合
Federation 是不同组织或系统之间互相信任身份结果。
用户不可能在每个外部系统都建一套账号。身份联合让一个可信身份提供方替用户证明身份。
你用公司账号登录第三方 SaaS。SaaS 不直接保存你的公司密码,而是相信公司身份系统给出的登录结果。
题目出现 identity provider(身份提供方)、service provider(服务提供方)、SAML、跨组织 SSO,想到 Federation。
Federation 不是简单同步密码。它强调信任关系和身份断言。
身份与认证
令牌
Token 是系统发给客户端的一张临时凭证,用来证明刚才已经通过某种检查。
系统不想每个请求都重新输入密码,所以登录后发一个令牌。后续请求带上令牌,服务器就知道这是同一位已认证用户。
你登录网站后,页面不断请求接口。接口不是每次问密码,而是检查请求里带的访问令牌。
题目出现 access token(访问令牌)、bearer token(持有者令牌)、JWT,先判断它在问会话或授权凭证。
Token 不等于密码。令牌通常有有效期和范围,泄露后也很危险。
身份与认证
会话
Session 是一次登录后,服务器和用户之间保持的连续状态。
HTTP 本身每个请求都是分开的。Session 让网站知道这些请求都来自同一个已登录用户。
你登录购物网站后,切换页面、加入购物车、提交订单,系统都记得这是同一个人。
题目出现 session timeout(会话超时)、session hijacking(会话劫持)、cookie 绑定会话,想到 Session。
Session 是状态,Cookie 常用来保存会话标识。Cookie 不是会话本身。
身份与认证
浏览器 Cookie
Cookie 是浏览器替网站保存的一小段数据,常用来保存会话标识。
网站需要在多次请求之间认出同一个浏览器。Cookie 让浏览器自动把相关标识带回网站。
你登录一次后刷新页面仍然在线,是因为浏览器带回了 Cookie,服务器据此找到你的会话。
题目出现 HttpOnly、Secure、SameSite、session cookie、cookie theft(Cookie 窃取),想到 Cookie 安全设置。
Cookie 可以被用来做会话,但也可能保存偏好设置。不要一看到 Cookie 就只想到密码。
网络与无线
以太网
Ethernet 是局域网里最常见的有线网络技术。
办公室电脑、交换机和网线需要一套共同规则来传帧。以太网就是这套底层规则之一。
电脑插上网线接到交换机,局域网里按 MAC 地址转发数据帧,这就是常见以太网场景。
题目问 LAN、MAC address、frame、switching,可能落在以太网语境。
Ethernet 不是 Internet。Ethernet 多指局域网接入技术,Internet 是全球互联网络。
网络与无线
路由器
Router 管不同网络之间怎么走,核心看 IP 路由。
一个网络要访问另一个网络,需要有人决定下一跳。路由器根据路由表把包送往目标方向。
办公室电脑访问云服务器,数据包离开本地网段后,由路由器一跳一跳送出去。
题目问 Layer 3(三层)、IP forwarding(IP 转发)、routing table(路由表),想到 Router。
Router 主要看 IP 网络,Switch 主要在二层看 MAC 转发。
网络与无线
交换机
Switch 管同一个局域网里设备之间怎么转发,核心看 MAC 地址。
局域网里很多设备同时通信,交换机学习 MAC 地址,把帧送到正确端口,减少乱广播。
财务电脑访问同楼层文件服务器,交换机根据 MAC 表把以太网帧转到对应端口。
题目问 Layer 2(二层)、MAC address table、VLAN、broadcast domain(广播域),想到 Switch。
普通交换机不是防火墙。它能隔离 VLAN,但不等于完整安全策略控制。
网络与无线
网关
Gateway 是网络出入口,设备不知道更远的路时先把包交给它。
电脑只知道本地网段,访问外部地址需要默认网关帮忙转发。
你的电脑访问外网时,先把数据包交给默认网关,再由它转到外部网络。
题目问 default gateway(默认网关)、跨网段访问、网络出口,想到 Gateway。
Gateway 是角色,不一定是一台单独设备。路由器、防火墙都可能承担网关角色。
网络与无线
防火墙
Firewall 按规则决定哪些流量能过、哪些流量要挡。
网络边界不能让所有流量随便进出。防火墙用源、目的、端口、协议、应用等条件控制访问。
公司只允许外部访问网站 443 端口,不允许直接访问数据库端口,规则就写在防火墙上。
题目问 filtering(过滤)、allow/deny rules(允许/拒绝规则)、network boundary(网络边界),想到 Firewall。
防火墙不是万能杀毒。它管流量通不通,不一定能看懂所有业务风险。
网络与无线
代理
Proxy 是替客户端去访问目标的中间人。
公司可能想控制员工访问网站、记录访问日志、缓存内容或隐藏内部地址,于是让流量先走代理。
员工浏览外部网站时,请求先到公司代理服务器,代理再替员工访问外部网站。
题目问 web filtering(网页过滤)、forward proxy(正向代理)、cache(缓存)、用户访问控制,想到 Proxy。
正向代理替客户端访问外部;反向代理替服务器接收外部请求。
网络与无线
反向代理
Reverse Proxy 站在服务器前面,替后端服务器接待外部用户。
网站后端可能有多台服务器,不能直接暴露给外部。反向代理统一入口、分发请求、做 TLS 终止或基础防护。
用户访问网站域名,先打到反向代理,再由它把请求转给真正的应用服务器。
题目问 protecting backend servers(保护后端服务器)、TLS termination、load distribution(分发请求),想到 Reverse Proxy。
反向代理面对外部用户保护服务器;正向代理面对内部用户控制他们访问外部。
网络与无线
负载均衡器
Load Balancer 把请求分给多台后端,避免一台机器扛全部压力。
一个服务可能需要多台服务器共同承载。负载均衡器按策略分发请求,提高性能和可用性。
网店大促时,用户请求被分到多台应用服务器。某台服务器坏了,负载均衡器停止把新请求发给它。
题目问 high availability(高可用)、scaling(扩展)、health check(健康检查)、traffic distribution(流量分发),想到 Load Balancer。
负载均衡不是备份。它解决流量分发和可用性,不保存业务数据副本。
网络与无线
Demilitarized Zone,隔离区/非军事区
DMZ 是放公开服务的缓冲区,别让外网直接碰内网核心系统。
网站、邮件网关、VPN 入口等服务必须被外部访问,但它们被攻破后不该直接通向内网。DMZ 就是中间隔离带。
公司官网服务器放在 DMZ,数据库和财务系统留在内网。攻击者打下官网,也不能直接进入财务库。
题目问 public-facing server(对外服务器)、隔离外网和内网、screened subnet,想到 DMZ。
DMZ 不是备份区,也不是随便放服务器的地方。它是边界隔离设计。
网络与无线
子网
Subnet 是把一个网络地址空间切成更小的网络块。
公司不希望所有设备都挤在一个大网络里。子网能帮助规划地址、控制广播范围和做访问控制。
财务、研发、访客 Wi-Fi 分在不同子网,路由和防火墙再控制它们之间能不能互访。
题目问 network segmentation(网络分段)、IP range(地址范围)、broadcast scope(广播范围),想到 Subnet。
Subnet 是 IP 层地址划分;VLAN 是二层逻辑隔离。两者常一起用,但不是同一个概念。
网络与无线
Classless Inter-Domain Routing,无类别域间路由
CIDR 用斜杠写网络大小,比如 /24 表示网络前 24 位固定。
传统 A/B/C 类地址不够灵活。CIDR 让网络可以按实际大小分配和汇总。
管理员写 192.168.10.0/24,表示这一段网络通常有 256 个地址范围。
题目出现 slash notation(斜杠表示法)、/24、/16、subnet mask(子网掩码),想到 CIDR。
CIDR 不是加密,也不是协议端口。它是 IP 地址和路由表示方法。
网络与无线
远程登录协议
Telnet 能远程登录,但传统 Telnet 明文传输,很不安全。
早期网络环境里远程管理需要简单协议。后来安全要求提高,Telnet 因明文密码和内容被 SSH 取代。
管理员用 Telnet 连设备,用户名和密码在网络上可能被抓到。安全场景下应该换 SSH。
题目问 insecure remote administration(不安全远程管理)、明文登录、23 端口,想到 Telnet。
Telnet 和 SSH 都能远程管理,但 SSH 加密,Telnet 明文。
网络与无线
Secure Shell,安全远程登录
SSH 是安全远程管理服务器和网络设备的常用方式。
管理员远程登录时会输入命令和凭证,不能明文暴露在网络上。SSH 用加密通道保护这些内容。
运维人员从办公室登录 Linux 服务器执行维护命令,使用 SSH,而不是 Telnet。
题目问 secure remote administration(安全远程管理)、22 端口、替代 Telnet,想到 SSH。
SSH 是安全通道和远程 shell,不等于 VPN。VPN 通常保护更广的网络访问。
网络与无线
低功耗短距离无线网络技术
Zigbee 常用于物联网小设备,保护数据流量时常考 AES。
传感器、智能灯、门锁这类设备电量小、数据少,需要低功耗无线通信。Zigbee 就是这类场景的通信技术。
智能楼宇里,温度传感器和灯控设备用 Zigbee 通信。题目问它用什么安全机制保护传输数据,常见答案是 AES 加密。
题目问 Zigbee network traffic secured in transit(Zigbee 流量传输中保护),在选项里看到 AES encryption(AES 加密)优先选 AES。
不要选 ROT13,它只是简单替换玩具;不要把 3DES、Blowfish 当成 Zigbee 的常见考试答案。
网络与无线
蓝牙
Bluetooth 是近距离个人设备通信,常见于耳机、键盘、手机和传感器。
很多设备不适合插线,也不需要 Wi-Fi 那么大的覆盖范围。蓝牙解决短距离、低功耗连接。
手机连蓝牙耳机,电脑连蓝牙键盘。安全题会关心配对、可发现模式、弱 PIN 和窃听风险。
题目出现 pairing(配对)、discoverable mode(可发现模式)、short range wireless(短距离无线),想到 Bluetooth。
Bluetooth 不是 Zigbee。Zigbee 更常见于物联网传感网络,Bluetooth 更常见于个人设备连接。
网络与无线
无线局域网
Wi-Fi 让设备无线接入局域网,安全重点是认证、加密和隔离。
用户需要不插网线也能上网,但无线信号会飞到空气里。Wi-Fi 安全必须考虑谁能连、数据怎么保护、访客怎么隔离。
公司员工连企业 Wi-Fi,访客连访客 Wi-Fi。两边可能用不同认证方式和不同网络隔离。
题目问 wireless LAN(无线局域网)、WPA2/WPA3、企业无线认证、访客网络隔离,想到 Wi-Fi。
Wi-Fi 是接入网络方式;WPA2/WPA3 是保护 Wi-Fi 的安全机制。
网络与无线
无线热点
Hotspot 是一个能让设备接入网络的无线接入点或共享网络。
用户在机场、咖啡店、手机共享网络时,需要临时接入。热点方便,但也容易被假热点和中间人攻击利用。
攻击者开一个名字像酒店 Wi-Fi 的热点,用户连上后流量被监控或引导到假登录页。
题目问 rogue access point(恶意接入点)、evil twin(邪恶双胞胎)、公共 Wi-Fi 风险,想到 Hotspot 安全。
Hotspot 不是加密协议。它只是接入点或共享网络场景。
网络与无线
Wi-Fi Protected Access 2
WPA2 是常见无线安全方案,考试里经常和 AES/CCMP 一起出现。
WEP 太弱,WPA 只是过渡。WPA2 提供更成熟的无线保护机制。
企业或家庭 Wi-Fi 使用 WPA2,客户端连接时完成认证,之后无线数据被加密保护。
题目问 WPA2 使用什么强加密机制,看到 AES 或 CCMP 时要敏感。
WPA2 不是 AES 本身。WPA2 是无线安全标准,AES/CCMP 是里面常见的保护机制。
网络与无线
Wi-Fi Protected Access 3
WPA3 是更新一代 Wi-Fi 安全,强调更强认证和抗离线猜密码。
无线攻击者可能抓握手包后离线猜密码。WPA3 改进认证方式,降低这类风险。
新路由器启用 WPA3-Personal,用户仍输入 Wi-Fi 密码,但底层认证比老方案更强。
题目问 SAE、最新无线安全、增强个人网络认证,想到 WPA3。
不要把 WPA3 当成普通加密算法。它是无线安全标准。
密码与证书
对称加密
对称加密是一把密钥两头用:同一类秘密负责加密和解密。
大量数据加密需要速度快。对称加密效率高,适合保护文件、磁盘和通信中的大量内容。
两边先安全协商出一个会话密钥,然后用这个密钥快速加密后续大流量数据。
题目问 fast encryption(快速加密)、bulk data(大量数据)、shared secret(共享密钥),想到对称加密。
对称加密快,但密钥分发是难点。非对称加密常用来解决密钥交换和签名问题。
密码与证书
非对称加密
非对称加密是一对钥匙:公钥给别人,私钥自己保管。
陌生双方一开始没有共享密钥,需要一种方式安全建立信任、交换密钥或做签名。公私钥体系解决这个问题。
浏览器访问 HTTPS 网站,先用证书和公钥建立信任,再协商后续通信要用的会话密钥。
题目问 public/private key(公私钥)、digital signature(数字签名)、key exchange(密钥交换),想到非对称加密。
非对称加密通常比对称慢,不适合直接加密大量业务数据。
密码与证书
哈希
哈希把内容压成摘要,用来检查有没有变,不是用来还原原文。
系统常常只需要判断数据是否被改过,不需要加密再解密。哈希能快速给出内容指纹。
下载软件后比对哈希值,如果文件被篡改,算出来的摘要会不一样。
题目问 integrity(完整性)、message digest(消息摘要)、one-way function(单向函数),想到哈希。
哈希不是加密。加密能解密回原文,哈希正常不能还原。
密码与证书
盐值
Salt 是给密码哈希前加的一段随机值,让相同密码不长得一样。
很多人会用相同密码。如果直接哈希,相同密码会产生相同摘要。加盐可以让攻击者更难批量查表。
两个用户都用同一个弱密码,但系统给每个人加不同 salt,数据库里保存的哈希结果也不同。
题目问 password storage(密码保存)、rainbow table(彩虹表)、unique random value(唯一随机值),想到 Salt。
Salt 不是密码,也不是加密密钥。它通常可以和哈希一起保存,重点是让预计算攻击失效。
密码与证书
数字签名
数字签名用私钥签,别人用公钥验,证明来源和内容没有被改。
收件人需要知道消息是不是那个人发的,以及中途有没有被改。数字签名提供完整性、真实性和不可否认性支持。
软件厂商发布安装包时给文件签名。用户系统验证签名,确认文件来自厂商且没被篡改。
题目问 nonrepudiation(不可否认)、authenticity(真实性)、integrity(完整性),常想到数字签名。
签名不是为了保密。签名证明谁签的和内容没变;加密才主要保护别人看不懂。
密码与证书
数字证书
证书把身份和公钥绑在一起,并由可信机构签名背书。
看到一个公钥时,你需要知道它到底属于谁。证书让 CA 帮忙证明这个绑定关系。
浏览器访问银行网站,网站发来证书。浏览器检查证书链、域名、有效期和撤销状态,再决定是否信任。
题目问 public key binding(公钥绑定身份)、CA、certificate chain(证书链)、X.509,想到 Certificate。
证书不是私钥。证书通常可以公开,私钥必须保护。
密码与证书
证书固定/证书钉扎
Certificate Pinning 是客户端只接受预期证书或公钥,减少被假证书骗走的风险。
如果攻击者弄到错误签发的证书,普通验证可能被绕过。钉扎让客户端记住应该信哪个证书或公钥。
手机 App 内置某服务的公钥指纹。即使攻击者拿到另一个看似有效的证书,App 也拒绝连接。
题目问防止伪造证书、中间人攻击、移动 App 固定服务器证书,想到 Certificate Pinning。
证书钉扎不是证书撤销。撤销是证书失效检查,钉扎是限制信任对象。
密码与证书
密钥托管
Key Escrow 是把密钥副本交给受控第三方或内部机制保管,以便特殊情况下恢复。
如果员工离职、设备损坏或司法合规要求访问加密数据,组织可能需要可控恢复路径。
公司对磁盘加密密钥做托管。员工忘记密码时,安全流程批准后可以恢复访问数据。
题目问 recovery of encrypted data(恢复加密数据)、escrow agent(托管方)、law enforcement access(执法访问),想到 Key Escrow。
密钥托管会增加治理和滥用风险,不是所有隐私场景都适合。
密码与证书
密钥轮换
Key Rotation 是定期或在风险事件后更换密钥。
密钥用太久,暴露概率和影响范围都会变大。轮换能缩短单把密钥的有效风险窗口。
云平台每 90 天自动轮换服务密钥,旧密钥逐步失效,新密钥继续保护数据。
题目问定期更换密钥、密钥泄露后的处置、crypto period(密码周期),想到 Key Rotation。
轮换不是撤销。撤销是让某个凭证失效,轮换是用新密钥替换旧密钥。
密码与证书
流密码
流密码像一边流水一边加密,按位或按字节处理数据流。
有些通信场景需要连续、低延迟处理数据,不想等一整块数据凑齐。
实时通信流可以边到边加密,密钥流和明文组合得到密文。
题目问 stream(流)、bit/byte at a time(逐位/逐字节)、RC4 这类老例子,想到 Stream Cipher。
流密码和分组密码工作方式不同。分组密码把数据按固定大小块处理。
密码与证书
分组密码
分组密码把数据切成固定大小块,再按模式加密。
很多现代对称加密算法以固定块为单位工作,需要不同模式处理长消息和重复块问题。
AES 是分组密码。加密长文件时,需要 CBC、CTR、GCM 等模式来处理多个数据块。
题目问 block size(分组大小)、CBC/ECB/CTR/GCM、AES,想到 Block Cipher。
分组密码算法和分组模式不是一回事。AES 是算法,GCM/CBC 是工作模式。
攻击与恶意软件
社会工程
社会工程不是先打机器,而是先骗过人。
人会信任熟人、权威、紧急情况和好处。攻击者利用心理弱点绕过技术控制。
攻击者冒充 IT 支持,说账号异常需要验证码。用户一紧张把验证码交出去,技术防线就被绕开了。
题目问 manipulation(操纵)、pretext(借口)、骗取凭证、冒充客服或老板,想到 Social Engineering。
社会工程可以通过邮件、电话、短信、现场尾随发生,不只等于钓鱼邮件。
攻击与恶意软件
钓鱼攻击
Phishing 用假消息骗用户点链接、交密码或下载恶意文件。
攻击者不一定能攻破系统,但可以让用户自己把门打开。
用户收到一封像银行发来的邮件,点进假登录页输入账号密码,凭证就被攻击者拿走。
题目出现 fake email(假邮件)、credential harvesting(收集凭证)、malicious link(恶意链接),想到 Phishing。
普通 phishing 面向很多人;spear phishing 针对特定人或组织。
攻击与恶意软件
鱼叉式钓鱼
Spear Phishing 是定向钓鱼,内容会针对某个人或某个组织定制。
越像真的,越容易骗过人。攻击者会先收集目标资料,再写看起来很合理的消息。
财务收到一封看起来像项目经理发来的邮件,里面提到真实项目名和供应商,要求打开附件。
题目问 targeted phishing(定向钓鱼)、personalized email(个性化邮件)、针对某员工,想到 Spear Phishing。
Whaling 是 spear phishing 的特殊形式,目标是高管或重要人物。
攻击与恶意软件
捕鲸攻击
Whaling 是针对高管、大客户或关键人物的定向钓鱼。
高层账号权限高、影响大,骗到一次可能直接造成大额转账或敏感信息泄露。
攻击者伪装成律师事务所给 CEO 发文件,诱导输入邮箱密码。
题目出现 CEO、CFO、executive(高管)、high-value target(高价值目标),想到 Whaling。
Whaling 不是普通群发钓鱼,它强调目标身份重要。
攻击与恶意软件
语音钓鱼
Vishing 用电话或语音骗用户交出信息或做动作。
电话里的紧迫感和真人声音容易让人放松警惕。
攻击者打电话冒充银行风控,说账户异常,要求用户报验证码。
题目出现 phone call(电话)、voice(语音)、冒充客服索要信息,想到 Vishing。
Smishing 是短信钓鱼,Vishing 是语音或电话钓鱼。
攻击与恶意软件
短信钓鱼
Smishing 用短信骗用户点链接或提交信息。
短信短、急、像通知,用户容易直接点链接。
用户收到快递异常短信,点链接进入假页面输入身份证和银行卡信息。
题目出现 SMS、text message(短信)、手机短链接,想到 Smishing。
Smishing 不是邮件钓鱼。载体是短信或类似移动消息。
攻击与恶意软件
尾随进入
Tailgating 是跟着有权限的人混进受控区域。
门禁系统只管刷卡动作,但人可能出于礼貌帮别人开门。攻击者利用这种习惯绕过物理门禁。
员工刷卡进机房,后面的人抱着箱子说忘带卡,员工顺手把门撑住让他进来。
题目问 physical access(物理访问)、跟随进入、anti-passback、mantrap,想到 Tailgating。
Tailgating 是物理社工,不是网络流量跟踪。
攻击与恶意软件
肩窥
Shoulder Surfing 是偷看别人输入或屏幕上的敏感信息。
密码、验证码、门禁 PIN 可能不用技术攻击,只要站在旁边看就能得到。
用户在咖啡店输入公司 VPN 密码,旁边的人假装看手机,其实在看键盘。
题目问 someone observes password/PIN(有人观察密码或 PIN)、privacy screen(防窥屏),想到 Shoulder Surfing。
肩窥不一定需要摄像头,肉眼观察也算。
攻击与恶意软件
翻垃圾
Dumpster Diving 是从废弃材料里找敏感信息。
纸质文件、标签、旧硬盘、便签和打印废纸可能泄露账号、架构和客户信息。
攻击者从公司垃圾桶里翻到网络拓扑打印件和写着临时密码的便签。
题目问 shredding(碎纸)、secure disposal(安全销毁)、垃圾中泄露信息,想到 Dumpster Diving。
它是物理和流程问题,不是恶意软件。
攻击与恶意软件
病毒
Virus 需要附着在宿主文件或程序上,通常靠用户运行传播。
病毒借别的文件生存和复制,像把恶意代码藏进正常文件里。
用户打开被感染的文档或程序,病毒代码执行,再感染更多文件。
题目问 attaches to host file(附着宿主文件)、needs user action(需要用户动作),想到 Virus。
Worm 可以自己传播,Virus 通常需要宿主和触发执行。
攻击与恶意软件
蠕虫
Worm 能自我复制并通过网络传播,不一定需要用户手动打开文件。
蠕虫利用漏洞或弱配置自动扩散,速度可能很快。
一台服务器被感染后,蠕虫扫描内网其他机器,自动尝试同样漏洞继续感染。
题目问 self-propagating(自传播)、network spread(网络扩散),想到 Worm。
不要和 Virus 混。病毒依附宿主文件,蠕虫强调自动传播。
攻击与恶意软件
木马
Trojan 伪装成有用程序,骗用户自己安装或运行。
攻击者让恶意软件看起来像破解工具、发票、游戏插件或正常应用,降低用户戒心。
用户下载一个所谓免费软件,安装后表面能用,背后却开后门偷数据。
题目问 disguised as legitimate software(伪装成正常软件)、user installs it(用户安装),想到 Trojan。
Trojan 不靠自我复制作为核心特征,核心是伪装和欺骗。
攻击与恶意软件
勒索软件
Ransomware 加密或锁住数据,再要求受害者付赎金。
数据对组织很重要。攻击者通过让数据不可用来逼迫付款。
公司文件服务器里的文件突然都被加密,屏幕显示付款说明和倒计时。
题目问 encrypted files(文件被加密)、ransom note(赎金说明)、业务中断,想到 Ransomware。
勒索软件造成的核心影响常常是可用性被破坏,不只是机密性。
攻击与恶意软件
Rootkit,隐藏型恶意工具
Rootkit 的重点是隐藏自己并维持高权限控制。
攻击者拿到系统后,不想被管理员发现。Rootkit 会隐藏进程、文件、网络连接或内核修改。
服务器看起来正常,但系统命令被篡改,看不到攻击者的后门进程。
题目问 stealth(隐蔽)、kernel-level(内核级)、hide process/files(隐藏进程或文件),想到 Rootkit。
Rootkit 不一定是最初入侵方式,它常用于入侵后的隐藏和持久化。
攻击与恶意软件
后门
Backdoor 是绕过正常认证或流程进入系统的隐藏通道。
攻击者想以后还能回来,就会留一个不走正常门禁的入口。
系统表面漏洞修好了,但攻击者留下隐藏账号或恶意服务,之后还能远程登录。
题目问 unauthorized access path(未授权访问路径)、hidden access(隐藏入口)、persistence(持久化),想到 Backdoor。
后门是入口或机制,不一定等于某一种恶意软件类型。
攻击与恶意软件
僵尸网络
Botnet 是一群被控制的受害设备,听攻击者指挥一起行动。
一台机器攻击力有限,很多被控设备合起来可以发垃圾邮件、挖矿或发动 DDoS。
成千上万台被感染的摄像头同时向一个网站发请求,把网站压垮。
题目问 command and control(命令控制)、DDoS、many compromised hosts(大量受控主机),想到 Botnet。
Botnet 是被控设备群,不是单个病毒名。
攻击与恶意软件
逻辑炸弹
Logic Bomb 是等某个条件触发才执行恶意动作。
攻击者或内部人员想让破坏在特定时间、日期或事件发生后才爆发。
离职员工埋下代码:如果自己的账号被停用,就自动删除某些文件。
题目问 triggered by event/date(由事件或日期触发)、delayed malicious action(延迟恶意动作),想到 Logic Bomb。
逻辑炸弹强调触发条件,不等于所有恶意软件。
攻击与恶意软件
间谍软件
Spyware 偷偷收集用户活动和信息。
攻击者想长期观察用户行为、浏览记录、账号信息或敏感数据。
用户电脑被安装监控软件,浏览历史和输入内容被上传到攻击者服务器。
题目问 secretly monitors user(秘密监控用户)、collects information(收集信息),想到 Spyware。
Spyware 重点是监控和收集,不一定直接加密文件勒索。
攻击与恶意软件
键盘记录器
Keylogger 记录用户按键,常用来偷密码和验证码。
即使通信加密,用户在本机输入时仍可能被恶意程序记录。
用户登录网银时,键盘记录器把账号、密码和部分验证码输入记录下来。
题目问 captures keystrokes(捕获按键)、credential theft(凭证窃取),想到 Keylogger。
Keylogger 可以是软件,也可以是硬件小设备。
开发与测试
缓冲区溢出
Buffer Overflow 是程序把数据写过了预留空间,可能覆盖内存并执行攻击代码。
程序如果不检查输入长度,攻击者可以送入超长数据,破坏程序内存结构。
一个旧服务接收用户名时只准备 64 字节,攻击者发送超长字符串,导致程序崩溃或跳到恶意代码。
题目问 unchecked input length(未检查长度)、memory corruption(内存破坏)、stack overflow,想到 Buffer Overflow。
它是内存安全问题,不是网络拥塞。
开发与测试
SQL 注入
SQL Injection 是把用户输入拼进数据库语句,结果让攻击者改写查询逻辑。
程序如果把输入当成 SQL 代码的一部分,攻击者就能插入自己的条件、读取数据或绕过登录。
登录框输入 `' OR '1'='1`,如果后台直接拼 SQL,数据库可能把条件当真,放过攻击者。
题目问 database query manipulation(操纵数据库查询)、input not sanitized(输入未清理)、prepared statement(预编译语句),想到 SQL Injection。
SQL 注入不是数据库坏了,而是应用把输入处理错了。
开发与测试
Cross-Site Scripting,跨站脚本
XSS 是把脚本塞进网页,让别人的浏览器执行。
网站如果把用户输入原样显示到页面,攻击者就能让恶意脚本进入其他用户浏览器。
评论区没有过滤脚本,攻击者发一段 JavaScript。其他用户打开页面时,浏览器执行脚本并泄露 Cookie。
题目问 malicious script in browser(浏览器执行恶意脚本)、output encoding(输出编码)、steal cookie,想到 XSS。
XSS 攻击的是用户浏览器上下文,SQL 注入攻击的是数据库查询。
开发与测试
Cross-Site Request Forgery,跨站请求伪造
CSRF 是诱导已登录用户的浏览器偷偷向网站发请求。
浏览器会自动带上 Cookie。攻击者利用这一点,让网站以为请求是用户主动发的。
用户已登录网银,又打开恶意页面。恶意页面偷偷提交转账请求,网银看到 Cookie 以为是本人操作。
题目问 anti-CSRF token、forged request(伪造请求)、利用已登录会话,想到 CSRF。
CSRF 不一定偷 Cookie,它常常是借用户已有 Cookie 去做动作。
开发与测试
输入验证
Input Validation 是先检查用户输入是不是符合预期,再让程序处理。
很多攻击都从输入开始。长度、格式、类型、范围不检查,程序就可能被注入、溢出或绕过逻辑。
年龄字段只允许数字和合理范围,邮箱字段必须符合格式,文件上传限制类型和大小。
题目问防 SQL 注入、缓冲区溢出、异常输入,常见基础答案是输入验证。
输入验证不是输出编码。输入验证管进来的数据,输出编码管显示到页面时怎么安全呈现。
开发与测试
参数化查询
Parameterized Query 把 SQL 结构和用户输入分开,防止输入变成代码。
SQL 注入的根源是把用户输入拼成 SQL。参数化查询让数据库把输入当数据,不当命令。
后台写 `WHERE name = ?`,用户输入只填到参数位置,不会改变 SQL 语句结构。
题目问 best defense against SQL injection(防 SQL 注入最佳办法),优先想到参数化查询或预编译语句。
只过滤单引号不如参数化查询可靠。过滤容易漏,参数化从结构上分离。
开发与测试
模糊测试
Fuzzing 是给程序喂大量奇怪输入,看它会不会崩或暴露漏洞。
开发者想不到所有异常输入。模糊测试用自动化方式探索程序边界。
测试工具不断向图片解析器送畸形图片文件,看程序是否崩溃或出现内存错误。
题目问 random/malformed input(随机或畸形输入)、发现未知漏洞、自动化测试,想到 Fuzzing。
Fuzzing 不是普通功能测试。它更关注异常输入和健壮性。
开发与测试
威胁建模
Threat Modeling 是在设计阶段先想攻击者会怎么打。
系统上线后再补安全代价很高。威胁建模让团队提前找出资产、入口、信任边界和攻击路径。
开发支付系统前,团队画数据流图,标出外部入口、数据库、第三方接口,再分析可能威胁。
题目问 design phase security(设计阶段安全)、STRIDE、data flow diagram(数据流图),想到 Threat Modeling。
威胁建模不是渗透测试。它更早,发生在设计和架构阶段。
开发与测试
攻击面
Attack Surface 是攻击者能接触和尝试利用的所有入口。
入口越多,出错和被打的机会越多。减少攻击面就是关掉不必要端口、接口、功能和权限。
一台服务器开放了管理端口、测试接口、旧 API 和默认账号,攻击面就很大。
题目问 minimize exposed services(减少暴露服务)、disable unnecessary features(关闭不必要功能),想到减少攻击面。
攻击面不是漏洞本身。攻击面是能被接触的入口集合,漏洞是入口里的缺陷。
开发与测试
安全编码
Secure Coding 是开发时按安全规则写代码,减少常见漏洞。
很多漏洞不是设备问题,而是代码处理输入、权限、错误、日志、密钥时写错了。
团队使用代码规范、代码审查、静态扫描和安全库,避免把密码写进代码或拼接 SQL。
题目问减少应用漏洞、开发人员培训、代码审查和安全标准,想到 Secure Coding。
安全编码不是上线后的 WAF。WAF 是外部防护,安全编码是从源头减少漏洞。
运营与架构
补丁
Patch 是厂商或团队发布的修复包,用来修漏洞、错误或兼容问题。
软件发现漏洞后,如果不更新,攻击者可以利用公开漏洞打进来。
厂商发布高危漏洞补丁,运维先在测试环境验证,再按变更流程推到生产系统。
题目问 vulnerability remediation(漏洞修复)、patch management(补丁管理)、test before deployment(上线前测试),想到 Patch。
补丁不是备份。补丁修软件问题,备份用于数据恢复。
运营与架构
漏洞/脆弱性
Vulnerability 是系统里的弱点,可能被威胁利用。
风险不是凭空来的。威胁要造成影响,通常需要利用某个漏洞或薄弱点。
服务器没打补丁、密码太弱、数据库对外暴露,这些都是可能被利用的漏洞或弱点。
题目问 weakness(弱点)、missing patch(缺补丁)、misconfiguration(错误配置),想到 Vulnerability。
威胁是可能造成伤害的人或事件;漏洞是能被它利用的弱点;风险是利用后造成影响的可能性。
运营与架构
利用代码/利用行为
Exploit 是利用漏洞达成攻击效果的方法或代码。
漏洞只是弱点,攻击者还需要具体办法去触发它。Exploit 就是把弱点变成实际入侵或破坏。
某 Web 服务有远程代码执行漏洞,攻击者用 exploit 发送特殊请求,在服务器上执行命令。
题目问利用已知漏洞、proof of concept(概念验证)、remote code execution(远程代码执行),想到 Exploit。
Exploit 不是漏洞本身。漏洞是缺陷,exploit 是利用缺陷的动作或工具。
运营与架构
零信任
Zero Trust 的基本想法是不要因为人在内网就默认可信。
传统边界安全假设内网可信,但账号被盗、设备被感染、云和远程办公让边界变模糊。零信任要求持续验证和最小权限。
员工在办公室也要按身份、设备状态、位置、风险评分访问系统,而不是连上内网就全通。
题目问 never trust, always verify(永不默认信任,始终验证)、continuous verification(持续验证)、least privilege,想到 Zero Trust。
零信任不是一种单独产品。它是一套架构原则和访问控制思路。
运营与架构
最小权限
Least Privilege 是只给完成工作需要的最低权限。
权限越多,误操作和被盗后的破坏越大。最小权限把影响范围压小。
客服能查订单状态,但不能导出全量客户数据库,也不能改服务器配置。
题目问 only necessary access(只给必要访问)、limit permissions(限制权限),想到 Least Privilege。
最小权限管能做什么动作;知需原则更偏能知道什么信息。
运营与架构
职责分离
Separation of Duties 是把关键流程拆给不同人,避免一个人从头到尾操控。
如果一个人既能申请、审批、执行、复核,舞弊和错误就更难发现。
采购人员不能同时创建供应商、审批付款和放款。至少要有另一个人审核。
题目问 fraud prevention(防舞弊)、two-person control(双人控制)、conflict of interest(利益冲突),想到 Separation of Duties。
职责分离不是最小权限。最小权限限制权限大小,职责分离限制同一个人不能同时拥有冲突职责。
运营与架构
纵深防御
Defense in Depth 是多层防线,不把安全赌在一个控制上。
任何单个控制都可能失效。多层控制让攻击者即使绕过一层,也会被下一层挡住或发现。
系统同时有网络分段、MFA、最小权限、日志监控、备份和响应流程。
题目问 layered controls(分层控制)、multiple safeguards(多个保护措施),想到 Defense in Depth。
纵深防御不是堆工具。层与层要覆盖不同风险点,能互相补位。
运营与架构
堡垒主机
Bastion Host 是暴露在高风险位置、被重点加固的主机。
有些主机必须接触外部或承担跳转入口,就要特别减少服务、加固配置、强化监控。
管理员不能直接 SSH 到内网服务器,先登录堡垒主机,再从堡垒主机进入受控环境。
题目问 hardened host(加固主机)、public-facing but locked down(暴露但强加固)、管理入口,想到 Bastion Host。
堡垒主机可以承担跳板作用,但它强调被加固和受监控。
运营与架构
跳板机
Jump Server 是管理员进入内网或敏感区前必须经过的中转点。
直接开放所有服务器管理口很危险。跳板机集中认证、授权、审计和会话记录。
管理员先登录跳板机,系统记录他的命令和会话,再允许他连接数据库服务器。
题目问 centralized admin access(集中管理访问)、session recording(会话记录)、进入受限网络,想到 Jump Server。
跳板机强调中转和审计;堡垒主机强调高风险位置的加固。实际中二者常重叠。
运营与架构
蜜罐
Honeypot 是故意布置的诱饵系统,用来观察攻击者。
真实系统不能随便拿来被打。蜜罐提供一个受控目标,帮助发现攻击行为、工具和来源。
安全团队放一个看似脆弱的服务器,攻击者一访问,团队就能记录行为和样本。
题目问 decoy system(诱饵系统)、detect attacker behavior(观察攻击者行为)、research,想到 Honeypot。
蜜罐不是主要生产系统,也不是备份。它的价值是诱捕和观察。
运营与架构
蜜网
Honeynet 是多个蜜罐组成的诱饵网络。
单个蜜罐能观察有限行为。蜜网能模拟更真实的网络环境,看攻击者横向移动和工具链。
安全团队搭了几台假 Web、假数据库、假文件服务器,让攻击者以为进入了真实内网。
题目问 network of honeypots(蜜罐网络)、研究横向移动,想到 Honeynet。
Honeynet 是诱饵环境,不是生产网络分段方案。
运营与架构
备份
Backup 是提前复制数据,以便坏了、删了、被加密后能恢复。
硬盘会坏,人会误删,勒索软件会加密文件。没有备份,恢复就只能靠运气。
每天晚上把数据库备份到隔离存储,并定期测试恢复,确认真能把数据拉回来。
题目问 restore data(恢复数据)、ransomware recovery(勒索恢复)、backup testing(备份测试),想到 Backup。
备份不是业务连续性计划的全部。备份只是恢复材料,还要有恢复流程、人员、优先级和演练。
运营与架构
热站
Hot Site 是几乎准备好的备用环境,主站坏了能很快接管。
关键业务不能停太久,所以备用机房要提前有设备、软件、网络和较新的数据。
主机房火灾后,流量切到热站。用户可能短暂受影响,但核心系统很快恢复服务。
题目问 fastest recovery(最快恢复)、fully equipped alternate site(设备齐全备用站点),想到 Hot Site。
热站恢复快但成本高。不要和冷站混,冷站只有基础设施,恢复慢得多。
运营与架构
温站
Warm Site 是准备了一部分设备和环境,但出事后还要补系统、数据或配置。
组织想比冷站恢复快,又不想承担热站那样高的成本,于是折中准备一部分资源。
备用地点有机柜、网络和部分服务器,但灾难后还要恢复数据、补配置、启动服务。
题目问 partially equipped alternate site(部分配备备用站点)、恢复速度和成本折中,想到 Warm Site。
温站不是随时接管。它比冷站快,比热站慢。
运营与架构
冷站
Cold Site 主要只有场地、电力、网络等基础条件,恢复最慢但便宜。
有些业务能忍受较长恢复时间,组织就不提前放完整设备和数据,以降低成本。
灾难发生后,团队把服务器运到冷站,安装系统、恢复数据、配置网络,整个过程可能很久。
题目问 cheapest alternate site(最便宜备用站点)、facility only(只有场地基础设施)、slowest recovery,想到 Cold Site。
冷站不是备份。它只是备用地点,数据和系统还要另外恢复。
运营与架构
Redundant Array of Independent Disks,独立磁盘冗余阵列
RAID 把多块硬盘组合起来提高性能或冗余,但它不是备份。
单块盘坏了会影响系统。RAID 能让某些磁盘故障时系统继续运行,或提高读写性能。
RAID 1 镜像让一块盘坏了还有另一块可用,但如果用户误删文件,两块盘可能一起同步删除。
题目问 disk redundancy(磁盘冗余)、RAID 0/1/5/6/10、是否替代备份,想到 RAID。
RAID 解决磁盘故障可用性,不解决误删、勒索、火灾、长期历史恢复,所以不能替代备份。
安全模型
Bell-LaPadula confidentiality model,机密性模型
Bell-LaPadula 主要保护机密性,核心是不让低级别读高级别,不让高级别写到低级别。
军事和政府场景很在意秘密信息不能向低级别泄露。这个模型围绕信息向下泄露的问题设计。
绝密用户可以读绝密资料,但不能把绝密内容写到普通级别文件里,避免秘密流下去。
题目出现 no read up(不能向上读)、no write down(不能向下写)、confidentiality(机密性),想到 Bell-LaPadula。
Bell-LaPadula 管机密性,不是完整性模型。完整性常考 Biba。
安全模型
Biba integrity model,完整性模型
Biba 主要保护完整性,防止低可信数据污染高可信数据。
有些系统更怕数据被低质量来源污染。Biba 关注信息可信度往哪里流。
高完整性系统不能随便读取低完整性来源的数据,也不能让低完整性用户改高完整性记录。
题目出现 integrity(完整性)、no read down(不能向下读)、no write up(不能向上写),想到 Biba。
Biba 和 Bell-LaPadula 方向容易反。记住:Bell-LaPadula 保密,Biba 保完整。
安全模型
Clark-Wilson integrity model,商业完整性模型
Clark-Wilson 用受控交易和职责分离保护商业数据完整性。
商业系统怕的是账被乱改、流程被绕过。它强调用户不能直接改关键数据,要通过受控程序和审计流程。
出纳不能直接改总账,只能通过授权交易程序提交,系统记录审计日志,并由不同角色复核。
题目出现 well-formed transaction(良构交易)、separation of duties(职责分离)、commercial integrity(商业完整性),想到 Clark-Wilson。
Clark-Wilson 不是单纯机密性模型。它更贴近银行、财务、商业流程完整性。
安全模型
Chinese Wall model,中国墙模型
Brewer-Nash 防止利益冲突,访问过一边客户资料后,就不能再访问竞争方资料。
咨询、审计、法律等行业可能同时服务竞争客户。模型防止同一个人利用一方信息帮助另一方。
顾问看过 A 银行并购资料后,系统就不允许他再访问竞争银行 B 的相关敏感资料。
题目出现 conflict of interest(利益冲突)、consulting firm(咨询公司)、Chinese Wall,想到 Brewer-Nash。
它不是防火墙。Chinese Wall 是访问控制模型,不是网络设备。
安全模型
引用监视器
Reference Monitor 是每次访问都必须经过的安全检查概念。
如果访问请求能绕过检查,访问控制就没有意义。引用监视器要求检查不可绕过、足够小、可验证。
用户要读文件时,系统内核里的访问控制机制先检查权限,检查通过才允许读。
题目问 complete mediation(完全中介)、tamperproof(防篡改)、verifiable(可验证),想到 Reference Monitor。
Reference Monitor 是理论概念;Security Kernel 是实现这个概念的核心机制。
安全模型
TCB,可信计算基
TCB 是系统里必须可信的一组硬件、软件和控制机制。
安全不是所有代码都同等重要。真正支撑安全策略执行的那部分必须被重点保护和验证。
操作系统内核、访问控制机制、认证组件和相关硬件共同支撑系统安全边界。
题目问 security perimeter(安全边界)、trusted components(可信组件)、系统中执行安全策略的部分,想到 TCB。
TCB 不是一个具体产品。它是系统中可信组件的集合。
安全模型
通用准则
Common Criteria 是安全产品评估标准,用来说明产品按什么目标、经过多深评估。
采购安全产品时,组织需要一种可比较的评估语言。Common Criteria 用保护轮廓和 EAL 等概念表达。
某防火墙声称通过 Common Criteria 评估,报告说明评估范围、保护目标和保证级别。
题目出现 Protection Profile(保护轮廓)、Security Target(安全目标)、EAL,想到 Common Criteria。
EAL 高不代表产品在所有场景绝对更安全,只代表评估保证深度不同。
安全模型
EAL,评估保证级别
EAL 表示 Common Criteria 下评估做得有多深。
安全产品评估不只是看功能,还要看设计、测试、文档和验证深度。EAL 给出保证级别。
两个产品都说支持访问控制,但一个只做基础测试,另一个经过更严格设计审查和验证,EAL 可能不同。
题目问 EAL1 到 EAL7、assurance(保证)、Common Criteria 评估深度,想到 Evaluation Assurance Level。
EAL 不是风险等级,也不是机密等级。它是评估保证深度。