CISSP認證教材OSG第9版有增加或者改動的知識點，CISSP認證的教材新版知識點可能會在考試中出現，因此我們為大家進行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D4-網絡和通信安全

1、網絡流量分析(Analyzing Network Traffic)(p505)

網絡通信分析通常是網絡管理的基本功能。它可用于追蹤惡意通信、檢測錯誤或解決傳輸問 題。協議分析器是一種用于檢查網絡流量內容的工具。協議分析器也可以稱為嗅探器、網絡 評估器、網絡分析器、流量監視器或數據包捕獲實用程序。

2、DNS 嫁接、DNS 查詢欺騙(DNS Pharming、DNS Query Spoofing)(p512)

另一種與 DNS 中毒(DNS poisoning)或 DNS 欺騙(DNS spoofing)密切相關的攻擊是 DNS 嫁接。嫁接是將有效網站的 URL 或 IP 地址惡意重定向到虛假網站。嫁接通常通過修改系統 上的本地主機文件或通過中毒或欺騙 DNS 解析來發生。 當黑客能夠竊聽客戶端對 DNS 服務器的查詢時，就會發生 DNS 查詢欺騙攻擊。然后攻擊者 發回帶有虛假信息的回復。為了使此操作成功，虛假回復必須包含從查詢中克隆的正確 QID。

3、分離解析 DNS 系統、DNS 沉洞(split-DNS system、DNS sinkhole)(p514)

分類解析 DNS 是部署一個 DNS 服務器給公共使用，以及再部署單獨的一個 DNS 服務器給 內部使用。DNS 沉洞是一種虛擬遙測系統的例子，這種技術用于防御 DNS 欺騙，DNS 沉洞 試圖對自惡意軟件(例如機器人)的 DNS 查詢提供錯誤響應，以防止訪問命令和控制系統。

4、域劫持(完善)：域名搶注、同形異義攻擊、URL 劫持(Domain Hijacking：Typosquatting、 Homograph Attack、URL Hijacking)(p515)

域名搶注是一種用于在用戶錯誤輸入預期域名或 IP 地址時被利用的做法，用于域名搶注的 變體包括常見的拼寫錯誤(例如 http://googel.com)、打字錯誤(例如 http://gooogle.com) 等。 同形異義詞攻擊。這些攻擊利用字符集的相似性來注冊肉眼看來合法的假冒國際域名 (IDN)。 例 如 ， 拉 丁 語 中 的 l (即小寫 L ) 看 起 來 像 Palochka Cyrillic 字 母 。 因 此 ， http://apple.com 和 http://paypal.com 的域名可能看起來像拉丁字符一樣有效，但實際上可 能包含西里爾字符，這些字符在解析時會將定向到與預期不同的站點。 URL 劫持是指顯示看起來像知名產品、服務或網站的鏈接或廣告的做法，但在點擊時會將用 戶重定向到其他位置、服務或產品。這可以通過發布站點和頁面并利用搜索引擎優化 (SEO) 來實現，或者通過使用廣告軟件將合法廣告和鏈接替換為導致替代或惡意位置的廣告和鏈 接。

5、微隔離(Microsegmentation)(p526)

微分段通過內部分段防火墻 (ISFW)、子網、VLAN 或其他虛擬網絡解決方案，將內部網絡劃 分為多個子區域。區域之間的任何和所有通信都被過濾，可能需要進行身份驗證，通常需要 會話加密，并且可能受到允許列表和阻止列表控制。微分段是實現零信任的關鍵要素。

6、無線信道：2.4GHz、5GHz、6GHz(Wireless Channels：2.4GHz、5GHz、6GHz)(529)

在無線信號的指定頻率內對該頻率的細分，稱為信道。將信道視為同一條高速公路上的車道。 2.4 GHz 信道寬 22MHz，相距 5MHz，而 5 GHz 信道寬 20MHz，相距 20MHz。因此，相鄰 的 5 GHz 信道不會相互干擾。6 GHz 頻譜范圍比 5 GHz 頻譜支持多達七個 160 MHz 寬的信 道。

7、Wi-Fi Protected Access 3 (WPA3)(p532)

Wi-Fi Protected Access 3(WPA3)于 2018 年 1 月定稿。WPA3-ENT 使用 192 位 AES CCMP 加 密，而 WPA3-PER 保持在 128 位 AES CCMP。WPA3-PER 用同步驗證 (SAE) 替換了預共享 密鑰驗證。一些 802.11ac/Wi-Fi 5 設備最先支持或采用 WPA3。同時身份驗證 (SAE) 仍然 使用密碼，但它不再加密并通過連接發送該密碼來執行身份驗證。相反，SAE 執行稱為 Dragonfly Key Exchange 的零知識證明過程，它本身是 Diffie-Hellman 的衍生物。該過程使 用預先設置的密碼以及客戶端和 AP 的 MAC 地址進行認證和會話密鑰交換。 WPA3 還實現了 IEEE 802.11w-2009 管理幀保護，以便大多數網絡管理操作具有機密性、 完整性、源身份驗證和重放保護。

8、Wifi Disassociation、Jamming(p541)

Wifi 解除關聯(Wifi Disassociation)是多種無線幀管理中的一種。當客戶端連接到同一 ESSID 網絡覆蓋區域中的另一個 WAP 時，解除關聯幀用于斷開客戶端與一個 WAP 的連接。如果 被惡意使用，客戶端將失去無線鏈接。可以使用解除身份驗證數據包執行類似的攻擊。此數 據包通常在客戶端啟動 WAP 身份驗證后立即使用，但未能提供正確的憑據。但是，如果在 連接會話期間的任何時間發送，客戶端會立即斷開連接，就好像其身份認證失敗一樣。 Wifi 干擾(Wifi Disassociation)是通過降低有效信噪比來故意阻止或干擾通信的無線電信號 傳輸。

9、LiFi、衛星通信、窄帶無線、ZigBee(LiFi (light fidelity) 、Satellite communications、 Narrow-band wireless、Zigbee)(p543)

LiFi(light fidelity)可見光無線通信，這是一種使用光進行無線通信的技術。它用于在設備 之間傳輸數據和位置信息。它使用可見光、紅外線和紫外線光譜來支持數字傳輸。它的理論 傳輸速率為 100 Gbps。 衛星通信主要基于在地面位置和軌道人造衛星之間傳輸無線電波。衛星用于支持電話、電視、 廣播、互聯網和軍事通信。 窄帶無線被 SCADA 系統廣泛用于在電纜或傳統無線無效或不合適的距離或地理空間上進行 通信。Zigbee 是一種基于藍牙的物聯網設備通信概念。Zigbee 具有低功耗和低吞吐率，并 且需要靠近設備。Zigbee 通信使用 128 位對稱加密算法進行加密。

10、蜂窩網絡：5G(Cellular Network：2G, 3G, 4G, and 5G)(p544)

通過蜂窩網絡提供的服務通常用代號表示，例如 2G、3G、4G 和 5G。5G 是最新的移動服 務技術，可用于某些手機、平板電腦和其他設備。許多 ICS、IoT 和專業設備可能具有嵌入 式 5G 的功能。5G 使用比以前的蜂窩技術更高的頻率，這允許更高的傳輸速度(高達 10Gbps)，但距離更短。

11、Jumpbox、傳感器、收集器、聚合器、片上系統(jumpbox、Sensor、Collector、Aggregator、 A system on a chip (SoC))(p548)

Jumpbox：Jump 服務器或 jumpbox 是一種遠程訪問系統，其部署目的是使訪問特定系統或 網絡更容易或更安全。 傳感器(Sensor)：傳感器收集信息，然后將其傳輸回中央系統進行存儲和分析。 收集器(Collector)：安全收集器是將數據收集到日志或記錄文件中的任何系統。收集器的 功能類似于審計、日志記錄和監控的功能。 聚合器(Aggregator)：聚合器是一種多路復用器。 片上系統 (A system on a chip (SoC)：SoC 是一種集成電路 (IC) 或芯片，它將計算機的所有 元素集成到單個芯片中。

12、端點檢測和響應(EDR) (Endpoint detection and response)(p558)

端點檢測和響應 (EDR) 是一種安全機制，是傳統反惡意軟件產品、IDS 和防火墻解決方案的 演變。EDR 旨在檢測、記錄、評估和響應可疑活動和事件，這些活動和事件可能由有問題的 軟件或有效、無效用戶引起。EDR 的一些相關概念包括托管檢測和響應 (MDR)、端點保護 平臺 (EPP) 和擴展檢測和響應 (XDR)。

13、EAP 衍生品：LEAP、PEAP、EAP-SIM、EAP-FAST、EAP-MD5、EAP-POTP、EAP-TLS、 EAP-TTLS(EAP Derivatives)(p583)

LEAP：輕量級可擴展身份驗證協議(Lightweight Extensible Authentication Protocol)是 Cisco 專有的 WPA TKIP 替代方案。在 802.11i/WPA2 被批準為標準之前，開發它是為了解決 TKIP 中的缺陷。 PEAP：受保護的可擴展身份驗證協議(Protected Extensible Authentication Protocol)將 EAP 封裝在 TLS 隧道中。 EAP-SIM：用戶身份模塊 (EAP-Subscriber Identity Module) 是一種通過全球移動通信系統 (GSM) 網絡對移動設備進行身份驗證的方法。 EAP-FAST：通過安全隧道的靈活身份驗證 (Flexible Authentication via Secure Tunneling) 是 Cisco 提議用于取代 LEAP 的協議，由于 WPA2 的發展，LEAP 現在已經過時。 EAP-MD5：是最早的 EAP 方法之一。它使用 MD5 散列密碼，現在已棄用。 EAP-POTP：EAP 保護的一次性密碼 (EAP Protected One-Time Password) 支持在多因素身 份驗證中使用 OTP 令牌(包括硬件設備和軟件解決方案)以用于單向和相互身份認證。 EAP-TLS：EAP 傳輸層安全 (EAP Transport Layer Security) 是一個開放的 IETF 標準，它是用 于保護身份認證流量的 TLS 協議實現。當客戶端和服務器都擁有數字證書(即相互證書身份 認證)時，EAP-TLS 最有效。 EAP-TTLS：EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security) 是 EAP-TLS 的擴 展，可在身份認證之前在端點之間創建類似 VPN 的隧道。這確保即使是客戶端的用戶名也 不會以明文形式傳輸。

14、Vishing (p588)

VoIP 允許攻擊者偽造他們的來電顯示，以掩蓋他們的身份或建立一個借口來欺騙受害者。 這種類型的攻擊被稱為 Vishing，它代表基于語音的網絡釣魚。

15、拆分隧道 vs. 完整隧道(Split Tunnel vs. Full Tunnel)(p607)

拆分隧道是一種 VPN 配置，它允許連接 VPN 的客戶端系統(即遠程節點)同時通過 VPN 和 Internet 直接訪問組織網絡。完整隧道是一種 VPN 配置，其中所有客戶端的流量都通過 VPN 鏈接發送到組織網絡，然后任何以 Internet 為目標的流量都從組織網絡的代理或防火墻接口 路由到 Internet。

16、第三方連接(Third-Party Connectivity)(618)

幾乎所有企業都越來越關注第三方連接。IT 環境之間的任何連接都應在實際部署(無論是物 理的還是虛擬的)之前詳細規劃。通常，此過程以 MOU 開始，以 ISA 結束。諒解備忘錄 MOU(A memorandum of understanding ) 或協議備忘錄 MOA(memorandum of agreement) 是兩個實體之間協議或一致意圖、意愿或目的的表達。互連安全協議 ISA(interconnection security agreement)是對兩個組織的 IT 基礎設施之間鏈接的安全立場、風險和技術要求的 正式聲明。

關注中培偉業，了解更多CISSP相關信息。