Security+考点概念笔记
前言:
最近有几个小伙伴也想考s+,因为这个证书考试费比较便宜,因此虽然这个证书我觉得刷题就可以过了,但是我也把我备考的时候所碰到的一些概念都整理了一下,如果备考的时候遇到相同的概念或者碰到和我相同的问题都可以参考一下
S+考题部分概念总结:
1、SRTP:
SRTP,即安全实时传输协议,其是在实时传输协议(Real-time Transport Protocol)基础上所定义的一个协议,旨在为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保证和重放保护。
2、访问控制:
DAC:自主访问控制(Discretionary Access Control)是这样的一种控制方式,由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。
ABAC是一种为解决行业分布式应用可信关系访问控制模型,它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。
RBAC:基于角色访问控制
MAC:强制访问控制
3、Twofish:
Twofish是之前Blowfish算法的加密算法,它曾是NIST替换DES算法的高级加密标准(AES)算法的候选算法。(NIST最终选择了Rijndael算法)
同Blowfish一样,Twofish使用分组加密机制。
4、迪菲-赫尔曼密钥交换:
迪菲-赫尔曼密钥交换(英语:Diffie–Hellman key exchange,缩写为D-H) 是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。
5、SLA(服务级别协议):
服务级别协议是指提供服务的企业与客户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。
6、PGP加密特点:
1.兼容性 2.机密性 3.数字签名 4.信赖网络
7、SAML(安全断言标记语言)
常用于跨多个组织的联合身份管理
一个基于XML的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者和服务提供者之间交换。
最重要的需求是网页浏览器单点登录(SSO)。单点登录在内部网层面比较常见,(例如使用Cookie),但将其扩展到内部网之外则一直存在问题,并使得不可互操作的专有技术激增。(另一种近日解决浏览器单点登录问题的方法是OpenID Connect协议)
8、前向安全或前向保密
有时也被称为完美前向安全,是密码学中通讯协议的安全属性,指的是长期使用的主密钥泄漏不会导致过去的会话密钥泄漏。前向安全能够保护过去进行的通讯不受密码或密钥在未来暴露的威胁。如果系统具有前向安全性,就可以保证在主密钥泄露时历史通讯的安全,即使系统遭到主动攻击也是如此。
9、TLS协议(安全传输层协议)
优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制
10、TACACS+:
在计算机网络中,TACACS+ (Terminal Access Controller Access-Control System Plus)是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议。TACACS+提供了独立的认证、授权和记账服务。
11、ADFS(活动目录联合)
ADFS将活动目录拓展到Internet。要理解这一点,可以考虑一般活动目录设施的工作原理。当用户通过活动目录认证时,域控制器检查用户的证书。证明是合法用户后,用户就可以随意访问Windows网络的任何授权资源,而无需在每次访问不同服务器时重新认证。
12、VT-x
是intel运用Virtualization虚拟化技术中的一个指令集
13、PSK
是预共享密钥,是用于验证 L2TP/IPSec 连接的 Unicode 字符串。可以配置“路由和远程访问”来验证支持预共享密钥的 VPN 连接。许多操作系统都支持使用预共享密钥,包括 Windows Server 2003 家族和 Windows XP。也可以配置运行 Windows Server 2003 家族版的“路由和远程访问”的服务器,使用预共享密钥验证来自其他路由器的连接。
14、PEAP:
受保护的可扩展的身份验证协议 (PEAP) 是可扩展的身份验证协议 (EAP) 家族的一个新成员。PEAP 使用传输级别安全性 (TLS) 在正在验证的 PEAP 客户端(例如无线计算机)和 PEAP 身份验证器(例如 Internet 验证服务 (IAS) 或远程验证拨号用户服务 (RADIUS) 服务器)之间创建加密通道。PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性。
EAP本身仅仅是一个认证框架。
PEAP(受保护的可扩展身份验证协议)完全封装了EAP,并且旨在在TLS(传输层安全性)隧道中工作,该隧道可能已加密但已通过身份验证。创建PEAP背后的主要动机是帮助纠正EAP中发现的缺陷,因为该协议假定通信通道受到保护。结果,当能够明显地发现EAP消息时,它们不提供协议最初编写时所假定的保护。
PEAP,EAP-TTLS和EAP-TLS保护SSL / TLS会话中的内部EAP身份验证。
PEAP
能够对 IAS 或 RADIUS 服务器进行身份验证的无线客户端。
–所有无线用户将具有唯一的凭据。
–认证不需要用户证书。
–必须使用公司的AAA基础结构。
–本地主机不应存储身份验证令牌
PEAP在用户提供凭据之前支持无线客户端和身份验证服务器的相互身份验证。无线网络还必须支持使用用户名和密码的身份验证。允许TLS对无线客户端进行加密认证。
15、ARP (地址解析协议)
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
ARP-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
16、Openid Connect
OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。
17、小tips
Mttr:平均修复时间
Mttf:平均失效时间(言简意赅:多久要换一次新的)
SPOF单点故障
MTBF:平均故障时间
18、小tips
在CBC模式下,SSL v3.0处理填充字节的方式存在缺陷
19、PBKDF2
应用一个伪随机函数以导出密钥。导出密钥的长度本质上是没有限制的
20、HMAC
是一种利用密码学中的散列函数来进行消息认证的一种机制,所能提供的消息认证包括两方面内容:
①消息完整性认证:能够证明消息内容在传送过程没有被修改。
②信源身份认证:因为通信双方共享了认证的密钥,接收方能够认证发送该数据的信源与所宣称的一致,即能够可靠地确认接收的消息与发送的一致。
21、小tips
用ChrootDirectory限制SFTP登录的用户只能访问指定目录
22、小tips
CASB使您全面了解整个云堆栈以及IT团队所需的自动化工具
PaaS是(Platform as a Service)的缩写,是指平台即服务。把服务器平台作为一种服务提供的商业模式,通过网络进行程序提供的服务称之为SaaS(Software as a Service),而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS(Platform as a Service)。
SaaS,是Software-as-a-Service的缩写名称,意思为软件即服务,即通过网络提供软件服务。
SaaS平台供应商将应用软件统一部署在自己的服务器上,客户可以根据工作实际需求,通过互联网向厂商定购所需的应用软件服务,按定购的服务多少和时间长短向厂商支付费用,并通过互联网获得Saas平台供应商提供的服务。
IaaS(Infrastructure as a Service),即基础设施即服务。指把IT基础设施作为一种服务通过网络对外提供,并根据用户对资源的实际使用量或占用量进行计费的一种服务模式。
BaaS(后端即服务:Backend as a Service)公司为移动应用开发者提供整合云后端的边界服务
23、小tips
服务水平协议(Service Level Agreement,SLA)是在一定开销(通常这个开销是驱动提供服务质量的主要因素)下,为了保障服务的性能和可靠性,服务提供商与用户间或者服务提供商之间定义的一种双方认可的协定。
业务流程分析(Business Process Analysis,简称BPA)
24、小tips
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。另一种更老的方法是证书注销列表(CRL)已经被在线证书状态协议取代了很多年了。
25、MDM
一般指移动设备管理。移动设备管理,又称MDM
26、RADIUS
通常先验证设备的802.1x
27、NTLM
是NT LAN Manager的缩写,这也说明了协议的来源。NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议。上述协议中, 用户密码是由用户注册的口令通过Hash函数得到的,只有用户和域控制器才知道密码。
28、沙盒
通常严格控制其中的程序所能访问的资源
29、个人验证信息
(PII,personally identifiable information)是有关一个人的任何数据,这些数据能帮助识别这个人,如姓名、指纹或其他生物特征资料、电子邮件地址、电话号码或社会安全号码。
30、小tips
在具有IPSec传输模式下的ESP和AH情况下,都会公开IP标头。IP标头未在IPSec隧道模式下公开。
31、SPIM
是有时用来指代IM(即时消息)上的垃圾邮件的术语。也称为垃圾邮件,即时垃圾邮件或IM营销。无论名称是什么,它都包含通过某种形式的即时消息服务传输的不需要的消息,其中可以包括短消息服务(SMS)
Spam 垃圾邮件
32、FM-200
国际公认理想的洁净气体自动灭火系统
33、SRTP
即安全实时传输协议(Secure Real-time Transport Protocol),其是在实时传输协议(Real-time Transport Protocol)基础上所定义的一个协议,旨在为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保证和重放保护。
SRTP可用于实现语音加密
34、AES
高级加密标准算法从很多方面解决了令人担忧的问题。实际上,攻击数据加密标准的那些手段对于高级加密标准算法本身并没有效果。如果采用真正的128位加密技术甚至256位加密技术,蛮力攻击要取得成功需要耗费相当长的时间。
35、IEEE802.1X
是IEEE(美国电气电子工程师学会)802委员会制定的LAN标准中的一个,是一种应用于LAN交换机和无线LAN接入点的用户认证技术。
36、VDI:虚拟桌面基础架构
虚拟桌面基础架构是一种理想选择。虚拟桌面基础架构可以根据用户数量来抽象操作系统,VGCS使用了注销时销毁(DoL)模式。
37、地理围栏技术
地理围栏(Geo-fencing)是LBS的一种新应用,就是用一个虚拟的栅栏围出一个虚拟地理边界。当手机进入、离开某个特定地理区域,或在该区域内活动时,手机可以接收自动通知和警告。有了地理围栏技术,位置社交网站就可以帮助用户在进入某一地区时自动登记。
38、小tips
增量备份是在一次全备份或上一次增量备份后,以后每次zhi的备份只需备份与前一次相比增加或者被修改的文件。
差异备份是复制上次全备份以来所有变更数据的一种备份。
39、小tips
WPS到baiWireless AP用的是802.11协议,不过802.11后来又有了好几个更新的版本,如802.11b和802.11a。
Wi-Fi联盟正在设法使无线网络的安全性更容易实现,许多芯片都将支持Wi-Fi联盟的Wi-Fi保护设置(WPS),这是一种使用PIN码或按键设置网络安全性 的方法,使得目前各种混乱的专有方案至此终于有了统一的可能。
WPS规范是用软件实现的,因此芯片和系统制造商可以将此应用程序与驱动程序捆绑在一起。以前的旧系统也可以下载新的应用程序。
理论上这一过程似乎比较简单明了。当用户打开WPS设备时,网络会要求用户输入一个8位数的PIN码,或按一个按键。一旦成功进入,网络名字和加密数据就会发送给PC、照相机或电话机。今年晚些时候Wi-Fi联盟将增加对近场通信和USB闪存驱动的支持。
40、小tips
EULA:最终用户许可协议
AUP:可接受使用政策
NDA:保密协议
41、SCADA
一般指SCADA系统。SCADA(Supervisory Control And Data Acquisition)系统,即数据采集与监视控制系统。
42、RTOS
一般指实时操作系统。实时操作系统(RTOS)是指当外界事件或数据产生时,能够接受并以足够快的速度予以处理,其处理的结果又能在规定的时间之内来控制生产过程或对处理系统做出快速响应,调度一切可利用的资源完成实时任务,并控制所有实时任务协调一致运行的操作系统。
S/MMIE TLS SFTP使用PKI生成的证书;同时对传输中的所有专有数据进行加密和签名。
43、TOTP算法
(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。
44、小tips
PGP加密由一系列散列、数据压缩、对称密钥加密,以及公钥加密的算法组合而成。每个步骤支持几种算法,可以选择一个使用。每个公钥均绑定唯一的用户名和/或者E-mail地址。
AES用于保护静态数据
45、小tips
PFX证书同时包含公钥和私钥的信息
CER证书只包含公钥信息
46、DHCP
监听防止乱接路由。
47、bcrypt
是一个跨平台的文件加密工具。由它加密的文件可在所有支持的操作系统和处理器上进行转移。它的口令必须是8至56个字符,并将在内部被转化为448位的密钥。
48、小tips
组策略:组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。
GPO:组策略的设置结果是保存,在GPO中的(在 Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。
您创建的组策略设置包含在组策略对象中,后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联)。
GPO中包含用于特定用户或计算机的策略信息和配置。可以将其看成是组策略工具所生成的文档,它在原理上同.txt或.doc这类文档没有什么差别。
49、DHE
是不对称函数,每次运行时都会生成一个新的单独密钥
50、Diffie-Hellman:
一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分。Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密。双方确定要用的密钥后,要使用其他对称密钥操作加密算法实现加密和解密消息。
51、TwoFish(双鱼算法)
是对称加密 对文件服务器的多个敏感目录中的文件进行加密
52、NTLM:
问询/应答身份验证协议
53、强制网络门户
(captive portal)是一个Web页面,它是使用公共访问网络的用户在被授予访问权限前必须访问和交互的页面。
54、SCP(Secure Copy):
SCP就是Secure copy,是用来进行远程文件复制的
55、SPIM
是有时用来指代IM(即时消息)上的垃圾邮件的术语。也称为垃圾邮件,即时垃圾邮件或IM营销。无论名称是什么,它都包含通过某种形式的即时消息服务传输的不需要的消息,其中可以包括短消息服务(SMS)
56、OS hardening:
操作系统强化
57、小tips
网络管理员的任务是更新所有内部站点,而不会产生额外费用。
---使用由公司CA 签名的证书
58、小tips
在HMAC规划之初,就有以下设计目标:
1·不必修改而直接套用已知的散列函数,并且很容易得到软件上执行速度较快的散列函数及其代码。
2·若找到或需要更快或更安全的散列函数,能够容易地代替原来嵌入的散列函数。
3·应保持散列函数的原来性能,不能因为嵌入在HMAC中而过分降低其性能。
4·对密钥的使用和处理比较简单。
5·如果已知嵌入的散列函数强度,则完全可以推断出认证机制抵抗密码分析的强度
因此HMAC提供完整性保护,但不提供机密性保护
59、OCSP在线查询机制
只能检测证书的注销状态,没有其他功能,例如不能检查证书的有效期,也不返回用户一个完全的证书。
60、DNS安全扩展(DNSSEC)
除其他外,提供了使用资源记录签名(RRSIG)的响应的加密真实性,以及使用Next-Secure(NSEC)和Hashed-NSEC记录(NSEC3)的经过身份验证的拒绝存在
61、CSR
是Certificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。
62、虚拟化
用于在单个主机计算机的内存中托管一个或多个操作系统,并允许多个操作系统在同一硬件上同时运行,从而降低了成本。虚拟化提供了快速,轻松地备份整个虚拟系统的灵活性,并在发生错误时快速恢复虚拟系统。
此外,虚拟系统的恶意代码泄露很少影响主机系统,从而可以进行更安全的测试和实验。
63、fail-safe
是指设备失效时不会造成对人员或其他设备的威胁,fail-secure是指设备失效时不会将资料或是存取权落入坏人之手。
64、小tips
Bluejacking是通过蓝牙向支持蓝牙的设备(例如手机,PDA或膝上型计算机)发送未经请求的消息,将通常在名称字段中包含消息的vCard发送给另一个蓝牙-通过OBEX协议启用的设备
Bluesnarfing 允许黑客利用 Bluetooth 无线技术,在没有提示手机用户已连接至设备的情况下,访问存储在启用 Bluetooth 的手机上的数据。
65、BCP: Business Continuity Plan
应标识关键系统和组件
中文:业务持续性计划
BCP是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程,它包括对支持关键功能的人力、物理和关键功能所需的最小级别服务水平的连续性保证。
66、SAM
提供扩展的站点验证
67、小tips
使用tracert命令可以用于确定IP数据包访问目标时所选择的路径
68、CCM和GCM
是AES模式下提供身份验证的
69、HA
是Highly Available缩写,是双机集群系统简称,指高可用性集群,是保证业务连续性的有效解决方案,一般有两个或两个以上的节点,且分为活动节点及备用节点。
70、HVAC
是Heating, Ventilation and Air Conditioning 的英文缩写,就是供热通风与空气调节。
71、小tips
仅Kerberos可以执行相互身份验证和委托。
72、LDAP
轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛldæp/)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。
73、WPS
并不是一项新增的安全性能,只是使现有的安全技术更容易配置。对于一般用户,WPS提供了一个相当简便的加密方法。通过该功能,不仅可将都具有WPS功能的Wi-Fi设备和无线路由器进行快速互联,还会随机产生一个8位数字的字符串作为个人识别号码(PIN)进行加密操作。省去了客户端需要连入无线网络时,必须手动添加网络名称(SSID)及输入冗长的无线加密密码的繁琐过程
74、SNMP
一般指简单网络管理协议。简单网络管理协议(SNMP) 是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
75、NetBIOS
是许多早期windows网络中使用的名称解析系统。Nbtstat(NETBIOS over TCP/IP statistics)工具用于查看在TCP/IP协议之上运行NetBIOS服务的统计数据,并可以查看本地远程计算机上的NetBIOS名称列表
76、地址解析协议
即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
77、LDAP协议
实现0.基于TCP/IP的应用层协议 默认端口389 加密端口636
78、OpenSSL
使用PEM文件格式存储证书和密钥。PEM实质上是Base64编码的二进制内容,再加上开始和结束行
79、对象标识符(Object Identifier,OID)
是与对象相关联的用来无歧义地标识对象的全局唯一的值,可保证对象在通信威信息处理中正确地定位和管理。通俗地讲,OID就是网络通信中对象的身份证。
80、offboarding
是指在身份和访问管理系统中对已离开组织的员工的认证信息进行删除的过程。
81、CSR
一般指企业社会责任。企业社会责任(Corporate social responsibility,简称CSR)是指企业在创造利润、对股东和员工承担法律责任的同时,还要承担对消费者、社区和环境的责任
82、Radius
认证端口UDP:1812
计费端口UDP:1813
83、PAP:
密码认证协议
部分s+拖图题英译中:
1、Mantrap:陷阱房间
2、popup blocker:弹出式窗口拦截器
3、Proximity reader:读卡器
4、Cable locks:电缆锁
5、Sniffer:嗅探器
6、Phishing 网络钓鱼
7、Pharming 域欺骗
8、Vishing 语音钓鱼
9、Whaling 捕鲸
10、Spoofing 网络诈骗
11、Hoax 骗局
