CISSP(九)

安全漏洞和对策

Jargon:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
保护环
进程状态
存储器组件
内存寻址
发射安全
输入和输出设备的安全风险
固件的用途
javascript的安全问题
大规模并行数据系统
定义ICS
分布式系统
区块链
智能设备
物联网IOT
工业物联网
专用设备
SOA面向服务架构
微服务
IaC
虚拟机逃逸
虚拟化网络
SDx
VDI和VMI
SDV
SDDC
XaaS
容器化
无服务架构
嵌入式系统
微控制器
静态系统
可联网设备
HPC系统
RTOS
边缘计算
雾计算
进程隔离
硬件分隔
系统安全策略
隐蔽通道
rootkit
增量攻击

ICS(工业控制系统)

ICS(工业控制系统)是一种用于监控和控制工业过程的计算机系统。根据其应用和功能,ICS可以分为以下三种主要类型:

  1. SCADA(Supervisory Control and Data Acquisition)系统: SCADA系统用于监控和控制远程的工业过程。它通常由一个中央站点(主站)和多个远程站点(子站)组成。主站通过远程通信网络与子站进行数据交换,收集和监视现场设备和过程的数据,并通过控制命令远程控制这些设备。SCADA系统广泛应用于电力、水务、交通、石油和天然气等工业领域。

  2. DCS(Distributed Control System)系统: DCS系统也是一种用于控制工业过程的计算机系统,但相比于SCADA系统,DCS系统更加分布式。DCS系统在整个工业过程中分布有多个控制节点,每个节点负责控制一个或多个设备。这些节点之间通过通信网络进行数据交换和协调,从而实现对整个过程的分布式控制。

  3. PLC(Programmable Logic Controller)系统: PLC系统是一种专用的工业控制计算机,用于实时控制工业过程中的机械和电气设备。PLC系统根据预先编写的程序逻辑执行各种控制任务,如开关控制、运动控制、传感器信号处理等。PLC系统通常应用于小型工业过程和自动化系统。

这三种类型的ICS系统在工业自动化中发挥着重要的作用,它们可以实现对复杂工业过程的监控和控制,提高生产效率和安全性,并优化资源的利用。然而,由于ICS系统与互联网和其他网络相连,也面临着网络安全威胁,因此保护ICS系统的安全性也成为重要的挑战。

SCADA


SCADA(Supervisory Control and Data Acquisition)系统是一种用于监控和控制工业过程的计算机系统。它是一种实时数据采集和远程监控系统,用于收集、传输、显示和分析来自工业过程中的传感器、控制器和其他设备的数据。

SCADA系统通常由以下几个主要组件组成:

  1. 远程终端单元(RTU): RTU是一种硬件设备,安装在现场设备或控制器上,用于采集传感器数据和执行控制命令。它可以将实时数据传输给SCADA系统,并接收来自SCADA系统的控制指令。

  2. 监控主站: 监控主站是SCADA系统的核心组件,通常是位于中央控制室的计算机。它用于显示和监视来自各个RTU的数据,并提供操作员界面,让操作员可以远程监控和控制工业过程。

  3. 通信网络: SCADA系统使用通信网络将监控主站与远程终端单元连接起来。这些网络可以是有线网络(如以太网、串行通信)或无线网络(如无线传感器网络或无线通信)。

  4. 人机界面(HMI): HMI是SCADA系统的用户界面,它允许操作员通过图形化界面来查看实时数据、报警信息和历史趋势,以及发送控制命令。

  5. 数据库: SCADA系统通常会将采集的数据存储在数据库中,以便后续分析、报告和历史数据查询。

SCADA系统广泛应用于各种工业领域,如电力、水务、石油和天然气、交通、制造等。它能够提高工业过程的自动化程度和操作效率,并帮助监测设备状态、预测故障,从而实现更安全、可靠和高效的工业控制和数据采集。

安全共担责任

机构的所有人员都担负着一定的安全责任。
机构有责任为利益相关人做出良好安全决策,以维系机构的持续发展。
当与第三方(尤其是云提供商)合作时,每个实体都要了解自己在执行业务操作和维护安全方面所应承担的那部分共担责任。
当发现新漏洞和新威胁时,我们应该负责地把情况披露给相关供应商或信息共享中心,即便这不是我门的职责。

网格计算解决方案有什么风险

网格计算是一种分布式计算模型,它将多个计算资源(如计算机、存储设备和网络等)组合成一个虚拟的计算资源池,以实现高性能的计算和数据处理。虽然网格计算提供了许多优势和潜在的解决方案,但也存在一些风险和挑战,包括:

  1. 安全风险: 网格计算涉及多个计算资源之间的共享和交互,这可能导致安全漏洞和风险。例如,恶意用户可能利用网格计算环境中的漏洞进行未经授权的访问和攻击,从而威胁计算资源和数据的安全性。

  2. 数据隐私: 在网格计算中,数据通常会在多个计算节点之间传输和存储。这可能导致敏感数据的泄露或未经授权的访问,特别是在数据传输过程中可能会面临数据泄露的风险。

  3. 性能不稳定: 网格计算环境中的计算资源和网络连接可能是异构的,这可能导致性能不稳定。如果一个节点出现故障或网络连接不稳定,可能会影响整个网格计算任务的执行效率。

  4. 数据完整性: 在网格计算中,数据可能在多个节点上进行处理和存储。这可能导致数据的一致性和完整性问题,特别是在数据传输和处理过程中可能会发生数据丢失或错误。

  5. 管理复杂性: 网格计算系统通常涉及多个管理域和参与者,这可能导致系统管理的复杂性增加。不同组织和机构之间可能存在协调和合作问题,导致系统管理和维护困难。

  6. 资源利用效率: 网格计算环境中的计算资源可能在不同的时间和地点被多个用户使用。这可能导致资源利用效率不高,一些计算资源可能处于空闲状态,而另一些计算资源可能因为资源竞争而无法得到充分利用。

为了解决这些风险和挑战,网格计算系统需要采取相应的安全措施,包括访问控制、数据加密和身份认证等,以保障系统的安全性和数据隐私。此外,管理者还需要合理规划和配置资源,以提高资源的利用效率,并确保系统的稳定性和性能。在实施网格计算解决方案时,综合考虑这些风险并采取相应措施,将有助于最大程度地发挥网格计算的优势并降低潜在的风险。

微服务

微服务(Microservices)是一种软件架构风格,它将一个大型复杂的应用程序拆分成一组小型、独立的服务,这些服务都可以独立部署、扩展和管理。每个微服务专注于执行一个特定的业务功能,并通过轻量级的通信机制(通常是HTTP或消息队列)来与其他服务进行通信。

微服务架构的主要特点包括:

  1. 单一职责: 每个微服务专注于执行一个明确定义的业务功能,具有单一职责,这样可以使得每个微服务的代码相对简单和易于维护。

  2. 独立部署: 每个微服务都可以独立部署,这意味着对一个服务的更改不会影响其他服务。这样可以加快开发和部署的速度,同时减少出错的风险。

  3. 弹性扩展: 微服务允许对不同的服务进行独立的扩展,可以根据需求增加或减少某个服务的实例数量,从而更好地应对负载变化。

  4. 独立技术栈: 不同的微服务可以使用不同的编程语言、框架和技术栈,因为它们之间通过标准化的接口进行通信,互不影响。

  5. 容错性: 一个微服务的失败不会影响其他服务的正常运行,因为它们之间是松散耦合的。

  6. 团队自治: 微服务架构鼓励团队的自治,每个团队负责开发、测试和部署一个或多个微服务,从而加快开发的速度和灵活性。

微服务架构适用于大型、复杂的应用程序,特别是需要频繁更新和快速迭代的场景。它可以帮助组织实现更好的敏捷性、可伸缩性和可靠性。然而,微服务架构也带来了一些挑战,如服务间通信的复杂性、服务发现和治理、数据一致性等问题,需要仔细考虑和处理。

雾计算


雾计算(Fog Computing)是一种分布式计算模型,它扩展了云计算的概念,旨在更好地支持边缘设备和边缘网络。雾计算将计算、存储和网络资源推向物联网设备和边缘节点,以便在离用户或物联网设备更近的地方进行数据处理和分析,从而减少数据传输延迟和网络带宽占用。

与传统的云计算相比,雾计算更专注于边缘计算。在雾计算中,计算任务可以在用户设备、路由器、交换机或其他边缘节点上执行,而不必将所有数据传输到远程的云服务器进行处理。这样可以减少云和终端之间的数据往返,提高数据处理的实时性和效率。

雾计算的主要特点包括:

  1. 低延迟: 由于计算任务在边缘节点上执行,与传输数据到云服务器相比,雾计算可以实现更低的延迟,从而支持实时的数据处理和响应。

  2. 离线支持: 雾计算允许在断开互联网连接的情况下执行计算任务,这在一些离线应用或边缘环境中非常有用。

  3. 数据安全: 对于一些对数据安全要求较高的应用,雾计算可以在边缘节点上进行本地数据处理,减少数据传输和暴露的风险。

  4. 节约带宽: 由于边缘计算可以在本地进行,不需要将所有数据传输到云服务器,因此可以节约网络带宽和成本。

  5. 可扩展性: 雾计算支持在边缘节点上部署多个计算任务,并且可以根据需求进行灵活的扩展。

雾计算在许多领域都有应用,包括物联网、智能交通、工业自动化等。它为边缘设备和边缘网络提供了更强大的计算和数据处理能力,使得边缘计算能够更好地满足实时性、低延迟和数据隐私等要求。同时,雾计算也与云计算形成互补,共同构建了一个综合的计算模型。

边缘计算

边缘计算(Edge Computing)是一种分布式计算模型,它将计算和数据处理推向网络边缘,即接近数据源和终端设备的位置。在边缘计算中,计算任务和数据处理在离用户或物联网设备更近的地方进行,而不是将所有数据传输到远程的云服务器进行处理。

边缘计算的主要特点包括:

  1. 低延迟: 由于计算任务在离用户或设备更近的边缘节点上执行,边缘计算可以实现更低的延迟,从而支持实时的数据处理和响应。

  2. 数据本地化: 边缘计算允许在边缘节点上进行本地数据处理,减少数据传输,节约网络带宽,同时保护数据隐私。

  3. 离线支持: 边缘计算允许在断开互联网连接的情况下执行计算任务,这在一些离线应用或边缘环境中非常有用。

  4. 节约带宽: 由于边缘计算可以在本地进行,不需要将所有数据传输到云服务器,因此可以节约网络带宽和成本。

  5. 可扩展性: 边缘计算支持在边缘节点上部署多个计算任务,并且可以根据需求进行灵活的扩展。

边缘计算与云计算形成互补,共同构建了一个综合的计算模型。在边缘计算和云计算的结合中,边缘计算负责处理实时的数据和低延迟的任务,而云计算则负责处理大规模的数据存储和分析,以及对更复杂的计算任务的支持。

边缘计算在许多领域都有应用,特别是在物联网、智能交通、工业自动化等领域。它为边缘设备和边缘网络提供了更强大的计算和数据处理能力,使得边缘计算能够更好地满足实时性、低延迟和数据隐私等要求。同时,边缘计算也有助于减轻云服务器的负担,降低了云端数据中心的压力。

SOA


面向服务架构(Service-Oriented Architecture,SOA)是一种软件架构风格,它将应用程序拆分成一系列独立的、可重用的服务单元。这些服务单元通过标准化的接口进行通信,相互之间通过服务调用来实现业务功能的共享和交互。

SOA的主要特点包括:

  1. 服务: SOA将应用程序划分为服务,每个服务代表一个特定的业务功能或任务。每个服务是独立的,可以单独开发、部署和维护。

  2. 松散耦合: SOA通过标准化的接口来实现服务之间的通信,这种松散耦合的设计使得服务可以独立演化,不会因为一个服务的变化而影响其他服务。

  3. 可重用性: SOA鼓励将一些通用的业务功能封装成可重用的服务,这样其他应用程序可以调用这些服务,提高了开发效率和代码重用性。

  4. 互操作性: SOA使用标准化的通信协议和数据格式,使得不同的应用程序可以跨平台和跨语言进行通信,实现了更好的互操作性。

  5. 服务治理: SOA引入了服务治理的概念,用于管理和监控服务的生命周期,包括服务的注册、发现、安全性、可用性等。

  6. 可编程性: SOA的服务可以通过编程的方式进行组合和集成,实现更复杂的业务流程。

SOA可以帮助企业实现业务功能的模块化,提高系统的灵活性和可维护性,同时促进不同系统之间的集成和协作。它在大型企业应用和分布式系统中得到广泛应用,尤其在面对复杂的业务需求和多样化的技术栈时,SOA能够有效地组织和管理系统的各个组成部分,提供了更高的灵活性和可伸缩性。

瘦客户机

瘦客户机(Thin Client)是一种计算机客户端,它相对于传统的厚客户机(Thick Client)来说,具有较少的本地计算和处理能力。瘦客户机通常依赖于中央服务器或云端进行数据处理和应用执行,而本地仅负责显示和输入输出功能。

主要特点和优势:

  1. 资源节约: 瘦客户机本身硬件配置较低,不需要高性能的处理器和大量存储空间,因此成本较低,节省了硬件资源。

  2. 易于维护: 由于瘦客户机的软件和应用主要集中在中央服务器或云端进行管理,因此对于系统更新、软件部署和安全补丁的维护更为简单和集中化。

  3. 数据安全: 瘦客户机不存储重要数据和应用程序,因此在丢失或损坏时不会导致敏感信息泄露,数据相对安全。

  4. 易于部署: 新的客户端可以快速部署,只需简单设置网络连接和配置,不需要复杂的软件安装。

  5. 适合虚拟化: 瘦客户机通常与虚拟化技术结合使用,可以通过虚拟桌面基础设施(VDI)或远程桌面服务(RDS)实现大规模的客户端部署和管理。

  6. 低能耗: 瘦客户机消耗的能量较少,有利于节能和环保。

瘦客户机的主要局限在于对网络连接的依赖,对于较慢或不稳定的网络,可能会影响用户体验和应用性能。因此,在采用瘦客户机时,需要确保网络稳定和带宽充足。

总的来说,瘦客户机是一种有效的客户端架构,适用于特定的应用场景,特别是在企业和教育领域,可以提供更简化和集中化的客户端管理和维护。

虚拟机蔓延

虚拟机蔓延(Virtual Machine Sprawl)是指在虚拟化环境中出现过多未经充分管理和控制的虚拟机实例的现象。当虚拟机数量不断增加,且没有有效的管理策略时,虚拟机蔓延可能会发生。

虚拟机蔓延可能导致以下问题:

  1. 资源浪费: 过多的虚拟机实例会占用宝贵的计算资源(如CPU、内存和存储),导致资源浪费。一些虚拟机可能处于空闲状态或仅占用很少的资源,但仍在消耗硬件资源。

  2. 性能下降: 过多的虚拟机实例在共享的硬件资源上进行竞争,可能导致性能下降。过度虚拟化可能使宿主机的资源不足,从而影响虚拟机的性能。

  3. 管理困难: 管理大量的虚拟机实例可能变得复杂和混乱。缺乏有效的管理策略可能导致资源分配不当,无法及时发现和解决问题。

  4. 安全风险: 过多的虚拟机可能导致管理和监控的混乱,从而增加了安全风险。一些虚拟机可能未及时更新,存在漏洞,成为安全漏洞的潜在入口。

为避免虚拟机蔓延,可以采取以下措施:

  1. 合理规划: 在虚拟化环境中制定合理的规划和策略,确保创建虚拟机的决策是经过审慎考虑的,避免不必要的虚拟机实例。

  2. 自动化管理: 使用自动化工具来监控、管理和维护虚拟机实例,确保资源分配合理,及时发现空闲或不活跃的虚拟机。

  3. 资源优化: 确保虚拟机实例使用适当的资源,并对不需要的虚拟机进行回收或关闭。

  4. 定期审查: 定期审查虚拟机环境,识别不再使用或过时的虚拟机,并进行适当的清理和维护。

通过有效的管理和控制,可以避免虚拟机蔓延问题,确保虚拟化环境的高效和稳定运行。

云计算

云计算(Cloud Computing)是一种基于互联网的计算模型,它允许用户通过网络访问共享的计算资源,包括计算能力、存储空间、网络带宽和应用程序等,而无需拥有这些资源的实际物理设备。

在云计算模型下,用户可以通过互联网连接到云服务提供商的数据中心,利用其提供的虚拟化资源来运行应用程序、存储数据和处理各种计算任务。云计算提供了按需使用和弹性扩展的能力,用户可以根据实际需求动态调整计算资源的规模,实现资源的灵活管理和分配。

主要的云计算服务模型包括:

  1. 基础设施即服务(Infrastructure as a Service,IaaS): 提供虚拟化的计算资源(如虚拟机、存储和网络),用户可以在这些基础设施上部署和管理自己的操作系统和应用程序。

  2. 平台即服务(Platform as a Service,PaaS): 提供用于开发、运行和管理应用程序的平台和工具,用户可以专注于开发应用逻辑,而无需担心底层基础设施的管理。

  3. 软件即服务(Software as a Service,SaaS): 提供已经部署和运行的应用程序,用户通过互联网直接访问和使用这些应用程序,而无需安装和维护。

云计算的优势包括:

  1. 资源共享和成本节约: 用户可以按需使用云服务,避免了购买昂贵的硬件设备和软件许可证,节约了成本。

  2. 弹性扩展: 云计算允许根据实际需求动态调整计算资源,实现快速的弹性扩展和收缩。

  3. 高可用性和容错性: 云服务提供商通常部署多个数据中心,确保服务的高可用性和容错性。

  4. 灵活性和便捷性: 用户可以通过互联网随时随地访问云服务,使得工作和协作更加灵活和便捷。

云计算在各个领域得到广泛应用,包括企业应用、移动应用、大数据处理、物联网等,它为用户提供了更加灵活、高效和便捷的计算资源和服务。

无服务器架构

无服务器架构(Serverless Architecture),也称为函数即服务(Function as a Service,FaaS),是一种新兴的云计算架构模式。在无服务器架构中,开发者不需要关心服务器的管理和维护,而是将应用程序的逻辑部分以函数的形式部署到云端的无服务器平台上,由云服务提供商自动管理和扩展底层的计算资源。

主要特点和优势:

  1. 无需管理服务器: 开发者不需要关心服务器的配置、维护和扩展,将更多的精力集中在应用程序的开发和逻辑上。

  2. 按需付费: 无服务器架构采用按需计费的模式,只有在函数被调用时才会产生费用,避免了闲置资源的浪费。

  3. 快速启动和响应: 无服务器平台通常会在函数被调用时自动创建和启动所需的计算资源,因此具有较快的启动和响应时间。

  4. 弹性扩展: 无服务器架构可以根据实际的请求量动态扩展计算资源,使应用程序能够应对高并发的需求。

  5. 分布式架构: 函数作为独立的服务单元部署,可以实现更好的松耦合和模块化。

无服务器架构适用于一些短暂且独立的任务,例如数据处理、图像处理、后台服务等。它在处理事件驱动的任务、微服务架构和轻量级应用上表现优秀。然而,对于长时间运行的后台服务和需要大量持续计算的应用,可能会因为冷启动延迟等问题导致性能下降。

无服务器架构的典型应用场景包括网站后端逻辑、数据处理、物联网应用、实时事件处理等。主流的无服务器平台包括AWS Lambda、Azure Functions、Google Cloud Functions等。

物联网设备

Arduino 几块钱
Raspberry Pi 几百块钱
FPGA 几千块钱,也有便宜的

Arduino

Arduino是一种开源的硬件和软件平台,旨在简化电子原型设计和交互式项目的开发。它由意大利的Massimo Banzi等人于2005年开发,并于2005年首次发布。

Arduino平台包括硬件和软件两部分:

  1. Arduino硬件: Arduino硬件是一种基于微控制器的开发板,它具有输入输出引脚、模拟输入输出引脚、电源接口等。Arduino板上集成了一个Atmel AVR微控制器(如ATmega328P),它是一个小型的计算机,可以用于运行用户编写的程序,控制外部电子元件,执行各种任务。

  2. Arduino软件: Arduino软件是用于编写、编译和上传代码到Arduino硬件的集成开发环境(IDE)。开发者可以使用Arduino IDE编写C/C++类似的编程语言,编写控制硬件的程序,并将程序上传到Arduino板上运行。

Arduino的优点在于其简单易用、开源的特性,使得许多人无需深厚的电子或编程背景就能开始制作电子原型和交互式项目。它已经广泛应用于物联网、机器人、传感器系统、艺术装置和学习教育等领域。

由于Arduino的开放性,用户可以自由地对硬件和软件进行修改和定制,也可以参与到开源社区中分享和获取各种项目和资源。这使得Arduino成为了一个受欢迎的工具,不仅为专业开发者,也为爱好者和学生提供了学习和创造的平台。

Raspberry Pi

Raspberry Pi是一种单板计算机(Single Board Computer,SBC)的品牌,由英国的Raspberry Pi基金会开发。它是一款小型、低成本的计算机,旨在促进计算机科学的教育和推广,并为爱好者和创客提供一个灵活的平台。

Raspberry Pi的主要特点包括:

  1. 低成本: Raspberry Pi的价格相对较低,使得更多人能够负担得起,尤其对学生和教育机构而言是一种经济实惠的计算机。

  2. 小巧便携: Raspberry Pi的尺寸通常较小,外形类似一块信用卡大小的单板,便于携带和移动。

  3. 丰富的接口: Raspberry Pi具有多个通用输入输出(GPIO)引脚,可以连接各种传感器、执行器和其他外部设备。

  4. 高度可扩展: 用户可以根据自己的需求添加和扩展各种硬件模块和扩展板,使得Raspberry Pi的应用范围更加广泛。

  5. 运行Linux系统: Raspberry Pi通常运行Linux操作系统,如Raspberry Pi OS(前身为Raspbian),用户可以在上面运行各种软件和编程语言。

  6. 广泛的应用: Raspberry Pi广泛应用于教育、物联网、嵌入式系统、媒体中心、游戏机、网络服务器等领域。

由于其开放性和丰富的社区支持,Raspberry Pi成为了一个受欢迎的计算机平台,为学生、教育机构和创客提供了一个理想的工具,用于学习编程、开发电子原型和实现各种创意项目。

RTOS

RTOS是实时操作系统(Real-Time Operating System)的缩写。它是一种专门设计用于实时应用程序的操作系统,其最主要的特点是能够满足对时间敏感的任务在规定的时间内进行响应和完成。

与通用操作系统(如Windows、Linux等)不同,RTOS主要用于嵌入式系统和实时系统,其中需要对任务的执行时间进行严格控制,确保任务在预定的时间范围内完成,从而保证系统的稳定性和可靠性。在实时操作系统中,任务的优先级和调度是非常重要的,确保高优先级的任务优先得到执行。

RTOS的特点包括:

  1. 实时性: RTOS能够在确定的时间内响应和完成任务,对于实时应用非常关键。

  2. 多任务支持: RTOS支持同时运行多个任务,能够快速切换和调度任务。

  3. 任务调度: RTOS通过任务调度算法来确定哪个任务具有最高的优先级,从而决定执行哪个任务。

  4. 中断处理: RTOS能够处理硬件中断和软件中断,确保在中断发生时可以迅速响应。

  5. 低延迟: RTOS通常具有较低的任务切换延迟,使得实时任务可以快速响应。

  6. 资源管理: RTOS提供资源管理机制,确保多个任务可以安全地共享系统资源。

RTOS广泛应用于许多领域,包括工业控制、汽车电子、航空航天、医疗设备、消费电子等,这些领域对于系统的实时性和可靠性要求较高。常见的RTOS有FreeRTOS、VxWorks、μC/OS、RTOS-32等。

FPGA


FPGA的全称是“Field-Programmable Gate Array”,即现场可编程门阵列。它是一种集成电路芯片,可以通过编程在硬件级别上实现不同的逻辑功能,使得用户可以根据需要对其进行配置和重新配置。

FPGA具有以下特点:

  1. 灵活性: FPGA可以根据用户的需求配置不同的逻辑功能和电路结构,使得其功能在硬件级别上可编程。

  2. 可重构性: 用户可以根据需要对FPGA进行重新编程,从而更改其功能,实现灵活性的重配置。

  3. 并行性: FPGA的结构使得其可以同时执行多个任务,实现高度的并行计算。

  4. 高性能: FPGA的并行性和可定制性使得它在特定应用场景下具有高性能和低延迟的特点。

  5. 低功耗: FPGA的灵活性可以使得其针对特定任务进行优化,从而降低功耗。

FPGA在许多领域都有广泛的应用,包括数字信号处理、通信、计算加速、嵌入式系统、网络设备、军事和航天领域等。由于其可编程性和高性能特点,FPGA被广泛应用于加速算法、处理海量数据、实现硬件加速等方面。但相较于其他专用集成电路(ASIC),FPGA的资源利用率可能相对较低,成本也较高。因此,在选择使用FPGA时,需要根据具体应用场景和需求来平衡其优势和限制。

[8/20] 练习题测试结果

正确率 8/20

[13/20] 《CISSP官方学习指南第八版》第9章练习题

  1. A,C,D,F

许多 PC 机操作系统提供了支持在单处理器系统上同时执行多个应用程序的功能。以
下哪个词是描述这种功能的?
A.多状态
B. 多线程
C. 多任务处理
D. 多重处理

  1. B 正确答案C
    多任务处理是指同时处理多个任务。多数情况下,多任务处理由操作系统模拟进行(通过多程序设计或伪同时执行实现),即便处理器不支持,也是如此。

多核(选项中没有列出)也可以实现同时执行,但是在一个或多个 CPU 上的多个执行核上实现的。

多状态系统是指可以在各种安全级别(或分类、风险级别等)上运行的系统。

多线程允许多个并发任务(即线程)在一个进程中执行。在多重处理环境中,多处理器计算系统(即有多个 CPU 的系统)利用多个处理器的能力来完成多线程应用程序的执行。

  1. C
  1. A 什么是网格计算解决方案
  1. B
  2. D
  3. C

你供职的机构正在考虑部署分布式计算环境(DCE) ,以支持以流行电影系列角色为原
型的大型多人在线角色扮演游戏(]V[MORPG)o DCE 允许恶意软件传播,而且会给对手的旋转
和横向移动带来方便,它的主要问题是什么?
A. 未经授权的用户访问
B. 身份欺骗
C. 组件互联性
D. 不充分的身份认证

  1. D 正确答案C
    分布式计算环境(DCE) 的主要安全问题是组件的互联性。这种配置也允许错误或
    恶总软仵传播。如果对手入侵了一个组件, DCE 会使他们有能力通过旋转和横向移动入侵组
    件集中的其他组件。其他选项不正确。未经授权的用户访问、身份欺骗和不充分的身份认证
    是大多数系统普遍存在的潜在弱点,并不是 DCE 解决方案所独有的。不过,这些问题可以
    通过适当的设计、编码和测试直接解决。但组件的互联性是 DCE 的固有特性,如果不抛弃
    DCE 设计概念本身,就无法去除它。

为了降低成本,你的老板想让大楼的暖通空调系统和照明控制实现自动化。他指示你
使用商业现货物联网设备以确保低成本运行。当你把物联网设备用千专用环境中时,应该采
取什么最佳措施来降低风险?
A. 使用公共 IP 地址
B. 设备不用时切断电源
C. 保持设备即时更新
D. 咀止物联网设备访问互联网

  1. D 正确答案C
    减少这些选项带来的物联网风险的最佳方法是保持设备即时更新。使用公共 IP
    址时会把物联网设备暴露在来自互联网的攻击之下。切断设备电源并不是有用的防御措施,
    物联网的好处在于它们始终在运行之中,随时可供调用,或者在被触发时或按预先的安排采
    取行动。阻断对互联网的访问会阻止物联网设备本身获得更新,会阻止通过移动设备应用程
    序对它们的控制,同时会阻断它们与任何相关云服务的通信。
  1. D
  2. B
  3. B
  4. C

____是一种云计算概念,其中,代码由客户负责管理,而平台(即支待性硬件和
软件)或服务器由云服务提供商(CSP) 负责管理。现实中始终都有一台服务器在运行代码,但
这种执行模型允许软件设计师/架构师/程序员/开发人员专注千其代码的逻辑,而不必理会特
定服务器的参数或限制。
.微服务
B. 无服务器架构
C. 基础设施即代码
D. 分布式系统

  1. C 正确答案B
    无服务器架构是一种云计算概念,其中代码由客户管理,平台(即支持性硬件和软件)或服务器由云服务提供商(CSP) 管理。现实中始终都有一台服务器在运行代码,但是这
    种执行模型允许软件设计师/架构师/程序员/开发人员专注于他们的代码逻辑,而不必理会特定服务器的参数或限制。这种枝型也叫功能即服务(Faas) 。微服务只是 Web 应用程序的一个
    元素、特性、能力,可以被其他 Web 应用程序调用或使用。基础设置即代码(IaC)是认知和处理硬件管理的方式的一种改变。以往把硬件配置看作一种手动的、直接操作的、一对一的管
    理麻烦,而如今,硬件配置被视为另一组元素的集合,要像在 DevSecOps(安全、开发和运维)模式下管理软件和代码那样对它们实施管理。分布式系统或分布式计算环境(DCB)是一组协
    同工作以支持资源或提供服务的单个系统的集合。 DCE 往往被用户视作一个实体,而非诸多单个服务器或组件。

你被安排完成设计和落实一项新安全策略的任务,以应对新近安装的嵌入式系统带
来的新威胁。什么是标准 PC 机中不常见的嵌入式系统安全风险?
A.软件缺陷
B. 互联网访问
C. 物理世界的机制控制
D. 功耗

  1. D 正确答案C
    。由于嵌入式系统往往控制着物理世界中的某个机制,一个安全漏洞可能会对人和
    财产(又叫信息物理融合)造成损害。这通常不是真正意义上的标准 PC 机。功耗、互联网访问和软件缺陷是嵌入式系统和标准 PC 机面临的安全风险。
  1. A

你正在开发一款可以快速处理数据的新产品,以便以最小时延触发现实世界的调整。
目前的计划是将代码嵌入 ROM 芯片,以优化任务关键性操作。哪种解决方案最适合这一
场景?

A. 容器化应用程序
B. 一款 Arduino 产品
C. DCS
D. RTOS

  1. B 正确答案D
    。本题场景描述的是一种要求有实时操作系统(RTOS)解决方案的产品,因为它提
    到需要最小化时延和延迟、把代码存储在 ROM 中和优化任务关键性操作。容器化应用程序
    不适用于这种情况,由丁虚拟化基咄设施的原因,容器化应用可能无法进行近实时操作,而
    且容器化应用程序通常是以文件的形式保存在主机里而非 ROM 芯片上的。 Arduino 是一种微
    控制器,但通常不够强健,不足以充当近实时机制;它把代码存储在闪存芯片上,具有有限
    的菲于 丑的指令集,不适用于任务关键性操作。分布式控制系统(DCS)可用来管理小规模
    工业流程,但是它没有被设计成近实时解决方案。 DCS 不存储在 ROM 中,但它们可以用于
    管理任务关键性操作。
  1. A
    本题场景是边缘计算的一个例子。在边缘计算中,智能和处理包含在每个设备中。
    因此,数据不必发送给主处理实体,每个设备可以在本地处理自己的数据。边缘计算架构在
    离位千或靠近网络边缘的数据源更近的地方进行计算。

雾计算依靠传感器、物联网设备乃至
边缘计算设备收集数据,然后把数据传回中央位置进行处理。瘦客户机是具有较低或中等功
能的计算机或虚拟接口,用千远程访问和控制大型机、虚拟机或虚拟桌面基础设施(VDI) 。

基础设施即代码(IaC)体现了人们认知和处理硬件管理的方式的一种改变。以往把硬件配置看作
一种手动的、直接操作的、一对一的管理麻烦,而如今,硬件配置被视为另一组元素的集合,
要像在 DevSecOps(安全、开发和运维)模式下管理软件和代码那样对它们实施管理。

  1. B

首席信息安全官(CISO)要求你就公司的移动设备安全战略提出更新方案。公司的主要问题是个人信息与业务数据混杂在一起,以及指派设备安全、管理、更新和维修责任的流
程过千复杂。以下哪一项是解决这些问题的最佳选项?
A. 自带设备(BYOD)
B. 公司拥有,个人使用(COPE)
C. 自选设备(CYOD)
D. 公司拥有

  1. B 正确答案D
    就本题涉及的场景而言,最佳选项是公司拥有。公司拥有移动设备安全战略是指
    由公司来购买能够支持安全策略合规的移动设备。这些设备只可用千公司业务用途,用户不
    得在上面做任何私事。这一选项往往要求员工携带第二台设备以用千个人目的。公司拥有移
    动设备安全战略为公司明确规定了监督设备使用的责任。其他三个选项依然允许数据公私混
    杂,而且在概念或策略上安全责任分工不明、含混不清。自带设备(BYOD)策略允许员工携
    带自己的个人移动设备上班,且允许他们用这些设备通过公司网络连接业务资源和 或互联
    网。公司拥有,个人使用(COPE) 的概念是指机构买来设备供员工使用。每个用户随后都可以
    自定义设备,将其用千工作和个人活动。自选设备(CYOD) 的概念为用户提供了一个得到批
    准的设备列表,用户可以从中挑选自己将要使用的设备。

page 399/888