CISSP All-in-One(二十八)

交叉错误率

交叉错误率(CER,Cross Error Rate)是在生物识别和语音识别领域中常用的一个性能度量指标。它是用来衡量系统或算法在进行身份验证或识别时的性能的一种指标。

交叉错误率是通过比较两个重要的错误率来计算的:

  1. 假阳性率(False Acceptance Rate,FAR): FAR表示系统错误地接受了一个不合法的用户或输入。换句话说,它是将一个未经授权的实体误认为是合法用户的频率。
  2. 假阴性率(False Rejection Rate,FRR): FRR表示系统错误地拒绝了一个合法的用户或输入。它是将一个合法用户错误地拒绝的频率。

CER是通过找到FAR和FRR相等的点来计算的,即FAR与FRR相交的点。在CER处,假阳性率等于假阴性率。这个点对于衡量系统的性能非常重要,因为它表示系统在错误接受和错误拒绝之间取得了平衡。

一般来说,较低的CER值表示系统的性能较好,因为它表示系统能够在错误接受和错误拒绝之间取得更好的平衡。生物识别系统和语音识别系统通常使用CER来评估其准确性和可靠性,以确保在识别或验证用户时尽量减少错误。

基于角色的访问控制有什么好处

基于角色的访问控制(Role-Based Access Control,RBAC)是一种访问控制模型,它基于用户的角色和职责来管理对系统资源的访问权限。RBAC有许多好处,包括以下几点:

  1. 简化权限管理: RBAC将用户划分为不同的角色,每个角色具有一组相关的权限。这简化了权限管理,因为管理员只需为每个角色定义权限,而不必为每个用户单独分配权限。

  2. 提高安全性: 通过将权限与角色相关联,RBAC可以降低错误配置权限的风险。管理员只需确保角色的权限设置正确,而不必担心每个用户的权限。这有助于减少潜在的安全漏洞。

  3. 易于扩展: 当新用户加入系统或现有用户的职责发生变化时,RBAC模型容易进行扩展和维护。管理员只需分配或修改用户的角色,而不必重新分配每个用户的权限。

  4. 提高可审计性: RBAC模型使审计更容易进行,因为它可以跟踪哪个用户属于哪个角色,以及每个角色的权限。这有助于监控和检查系统的访问活动。

  5. 降低管理成本: RBAC降低了权限管理的复杂性,因此可以减少管理成本。管理员不必跟踪每个用户的权限,而只需维护角色的权限。

  6. 支持最小权限原则: RBAC模型鼓励实施最小权限原则,即用户只能获得他们工作所需的最低权限。这有助于减少潜在的滥用和错误操作。

  7. 提高灵活性: RBAC可以根据组织的需求和变化进行灵活配置。它可以适应不同规模和类型的组织,并根据需要进行自定义。

综上所述,基于角色的访问控制提供了一种有效的访问控制方法,有助于简化权限管理、提高安全性、降低管理成本,并支持最小权限原则。这使得它成为许多组织在实施访问控制策略时的首选方法。

X.500 标准

X.500 是国际电信联盟(ITU-T)制定的一组标准,用于定义和管理分布式目录服务。这些标准为分布式信息目录提供了一种标准化的方法,以便在不同的计算机和网络之间共享和查询信息。X.500标准旨在解决数据管理和查询的问题,特别是在大型组织和分布式系统中。

以下是X.500标准的一些关键方面:

  1. 目录服务: X.500标准定义了一种分布式目录服务,用于存储和管理组织内的信息。这些信息可以包括用户信息、组织信息、网络资源和其他相关数据。

  2. 层次结构: X.500目录采用了树状层次结构,类似于文件系统中的目录结构。每个目录条目都有一个唯一的标识符,称为Distinguished Name(DN),用于唯一标识该条目的位置。

  3. LDAP: Lightweight Directory Access Protocol(LDAP)是X.500的轻量级版本,它简化了对目录信息的访问。LDAP已经广泛采用,用于访问和查询目录服务,特别是在互联网和企业环境中。

  4. 命名规则: X.500定义了用于命名目录条目的规则,包括通用名(Common Name,CN)和组织单位(Organizational Unit,OU)等。

  5. 目录功能: X.500标准还定义了目录功能,包括增、删、改、查等操作,以便维护和查询目录中的信息。

  6. 安全性: X.500标准考虑了目录服务的安全性,包括身份验证、访问控制和数据保护。

  7. X.509证书: X.509是X.500标准的一部分,定义了用于公钥基础设施(PKI)的数字证书格式。

X.500标准是一种强大的目录服务标准,它为组织提供了一种统一的方法来管理和查询信息。虽然X.500本身在某些情况下可能变得复杂,但LDAP的出现使得目录服务更容易实现和使用,因此它在现代网络和企业环境中仍然具有重要意义。

[?/38]练习题测试结果

正确率 /38

  1. 生物识别设备最好的描述是?

D. 它们是最贵并且安全性最强的

  1. 对于密码的描述,正确的是?

C. 它们最便宜但是最不安全

  1. 挑战/应答协议怎么使用了token设备?

B. 一个验证服务生成挑战,一个智能token生成基于挑战的响应。

  1. 哪个访问控制方法是基于用户直接控制的?

D. Discretionary

  1. 哪个部分Kerboros验证机制不存在?

A.

  1. 如果公司有很高的流动率,用什么访问控制机制?

A. 基于角色的

[A]7. 成熟的验证的过程涉及?
“mutual authentication” 的翻译是 “双向身份验证”。双向身份验证的过程涉及?
A. 用户对系统进行身份验证,系统对用户进行身份验证。A user authenticating to a system and the system authenticating to the user.
D. 用户验证,接受ticket,然后验证服务

相互身份验证是指通信通道的两端相互验证身份,而不是仅一侧验证另一侧。相互身份验证也称为“双向身份验证”,因为该过程是双向的。

当有人使用拼车应用程序时,他们通常会检查车牌或车辆描述,以确保他们乘坐的是正确的汽车。在他们上车后,司机会询问乘客他们的姓名,以确认他们正在接正确的人。乘客和司机都在确认他们正在与预期的人互动——以确保司机在提供正确的服务,乘客在前往目的地的汽车中,且双方都可以确认他们是与经过拼车应用程序验证的人在一起。

什么是相互身份验证?

  1. 在DAC安全,谁有权限分配访问数据的权限?
    D. Owner 所有者

[A]9. 哪个可以被认为是单点登录设施的失败? which could be considered a single point of failure within a single sign-on implementation
在单点登录实施中,那个可能会被认为是一个单点故障?
A. 验证服务器
B. 用户的工作站
C. 登陆密码
D. RADIUS

In a single sign-on technology, all users are authenticating to one source. If that source goes down, authentication requests cannot be processed.
在单一登录技术中,所有用户都要对一个来源进行身份验证。如果该来源宕机,身份验证请求将无法处理。

单点故障(Single Point of Failure,缩写为SPOF)是指在一个系统或网络中存在的,可能导致整个系统或网络无法正常运行的关键组件或单一资源。如果发生单点故障,整个系统的可用性、可靠性和稳定性都可能受到影响。

单点故障可能是硬件设备、软件组件、网络连接、人员等,只要它们的失效都可能导致系统的部分或全部功能中断。为了减少单点故障的影响,通常会采取冗余设计、备份系统、负载均衡和容错机制等措施。

在计算机和网络领域,消除或减少单点故障是关键的设计目标,以确保系统的可用性和稳定性。

  1. 生物验证机制在访问控制中扮演什么角色?
    A. Authorization: 授权
    B. Authenticity: 真实性、真实性验证
    C. Authentication: 身份验证、认证
    D. Accountability: 责任制、问责制
    选C

[B]11. 怎么确定组织要实施自主访问控制,还是非自主访问控制模型?
A. 管理员
B. 安全策略
C. 文化
D. 安全等级

The security policy sets the tone for the whole security program. It dictates the level of risk that management and the company are willing to accept. This in turn dictates the type of controls and mechanisms to put in place to ensure this level of risk is not exceeded.

安全策略为整个安全计划定调,它决定了管理层和公司愿意接受的风险水平。而这进一步决定了要采取何种控制措施和机制,以确保不超过这个风险水平。

[C]12. 哪个最好的形容了基于角色的访问控制提供了公司减少Administrative的责任?
A.

An administrator does not need to revoke and reassign permissions to individual users as they change jobs. Instead, the administrator assigns permissions and rights to a role, and users are plugged into those roles.
管理员无需在用户更换工作时撤销和重新分配个别用户的权限。相反,管理员将权限和权利分配给角色,然后将用户加入这些角色。

[A]13. 哪个最好的形容了识别管理技术?以下哪个最好的解释了身份识别技术中的使用的目录?

A. 许多是等级制度并且有X.500标准
B. 许多有”flat architecture” 的翻译是 “扁平架构”,并且有X.400标准
C. 大多数已经不再使用 LDAP
D. 许多使用LDAP

  1. 哪个不属于用户配置user provisioning?
    排除A,C,D
    选B

  2. 哪个技术允许用户记住一个密码?
    D

  3. 哪个不是anomaly-based 基于异常的入侵保护系统IPS
    C

  4. 下图的内容意思是?
    A. 变化错误率
    B. 身份验证
    C. 授权率
    D. 验证错误率
    选B

[A]18. 图表解释了哪个概念?
A. 交叉错误率
C.

“crossover error rate” 的翻译是 “交叉错误率”。在统计学和机器学习中,交叉错误率是指在二分类问题中,错误分类的正类样本和错误分类的负类样本的比率,通常用于评估分类器的性能。交叉错误率越低,表示分类器的性能越好。

  1. 图标显示了它是怎么工作的?
    C. 一次性密码

[C]20. 哪个是正确的定义?
i. 暴力破解 实用工具循环可能字符,数字和符号来发现密码
ii. 字典攻击 文件中有上千个单词,比较用户的密码直到匹配
iii. 社会工程学 ?
iv. 彩虹表 一个攻击者使用一个表已经包含了hash格式
B. i,ii,iv

[C]21. George有责任配置公司的基于行为IDS. 以下哪一个可能不恰当?
false positive 假阳性,没攻击,报警说有攻击
false negative 假阴性, 有攻击,没识别
A. 如果阈值设置的太低,没有攻击会被认为是假阳性(没攻击,报警说有攻击)。如果阈值设置的太高,恶意的行为也不会被识别。
C. 如果阈值设置的太高,没有攻击也会被认为是有攻击。如果阈值设置的太低,恶意的行为也不会被识别。

阈值高 = 敏感 = 容易bug,误触
阈值低就相反

[B]22. Tom是一个零售公司的新的安全管理者,现在有IDM身份管理系统。IDM系统提供了中心化的访问控制。Tom发现 help-desk technicians技术支持人员花费太多时间在为内部员工重置密码上了。

对于汤姆的团队来说,以下哪种变更是最好实施的?

A. 从命名空间切换到可区分名称。

B. 从元目录切换到虚拟目录

C. 从 RADIUS 切换到 TACACS+。

D. 从集中式控制模型切换到自主访问控制模型。

选D

“Meta-directories” 和 “virtual directories” 都是与目录服务相关的概念,但它们在功能和应用上有一些区别。

  1. Meta-directories(元目录)
    元目录是一种集成多个分布式目录源的目录服务,它通过创建一个逻辑的、统一的视图来提供对分布在多个目录中的信息的访问。元目录不存储实际数据,而是在不同目录之间进行数据同步和映射,从而允许用户在一个集中的位置访问多个源的信息。元目录通常用于整合多个不同类型或不同供应商的目录,以提供一种统一的目录访问途径。

  2. Virtual directories(虚拟目录)
    虚拟目录是一种在不同数据源之间提供抽象的目录服务的方法。它通过创建一个虚拟视图,将多个数据源的内容组合在一起,而不涉及数据的实际移动或同步。虚拟目录通常用于提供一致的访问路径,使用户可以通过一个虚拟目录来访问多个不同数据源中的信息,而不必了解底层的数据结构和位置。

总之,元目录主要关注整合多个分布式目录源的信息,而虚拟目录关注于提供对多个数据源的统一、抽象的访问方式。

[C]23. Tom应该使用哪个组件?

B. LDAP目录服务

  1. Tom被告诉他必须减少技术支持的员工。那个技术可以帮助公司

A. 自主密码支持

[D]25. Lenny是一个新的安全管理者。公司的CEO想要参与者能够购买商品,通过Web商店。
CEO想要公司的参与者能够更容易地管理公司库存。CEO想要从整体方式理解网络流量。
他想要从Lenny这里知道应该使用哪一种技术,来预防恶意的流量。公司是一个高度受关注的组织,经常遭受0day攻击。
哪个是最好的身份管理技术,Lenny应该考虑实施来完成公司的要求?
C. 活动目录

[A]26. Lenny和内部软件开发者有一个会议,他们有责任建设一个基于Web系统的必备功能。
以下哪一个是Lenny需要和团队讨论的两个items最好的形容?
D.

  1. 考虑到CEO的想法,哪一个是Lenny建议公司实施的?
    A. 安全事件管理软件,入侵预防系统,和基于行为的入侵检测系统。
    B. 安全信息和事件管理软件,入侵检测系统,基于特征的保护
    C. 入侵预防系统,安全事件管理软件,和恶意软件防护
    D. 入侵预防系统, 安全事件管理软件,和”wardialing protection” 的翻译是 “拨号保护”。
    排除D,拨号保护
    排除B,基于特征的保护,因为不能防止0day
    选A

[C]28. Robbie是一个安全管理者,需要扩展远程访问功能。员工在世界上到处旅游,但仍然需要访问
合作的资产,在服务器和基于网络的设备中。同时,公司有VoIP技术两年了,它没有被集成到中心化访问控制措施。
现在网络管理者有分别的内部资源,外部实体,和VoIP终端系统。Robbie被要求看一些可疑的邮件
CIO的秘书收到的,她的老板要求她移除一些老的没有再使用过的模型。
以下哪一个是这种情况下最好的远程访问控制技术?
A. RADIUS
因为是需要远程拨号的

  1. 哪两个是Robbie最可能被问到识别和缓解的安全考虑?
    A. 社会工程学和钓鱼
    B. 战争拨号和?
    C. 钓鱼和战争拨号
    D. ?和钓鱼
    选C,因为电子邮件容易被钓鱼,VoIP容易被战争拨号

Tanya工作于公司的内部软件开发团队。在一个用户访问公司的中心化服务器,
用户必须输入一次性密码,这个是由挑战响应机制生成的。公司需要收紧访问控制,
减少用户每次访问的文件和访问量。公司正在向Tanya和她的团队寻找解决方案,来保护
数据。Tanya问单点登录技术是否能在内部用户中使用,但是没有公钥密钥基础设施的遇算。
[A]30. 哪个形容了现有的技术?
B. 同步tokens生成一次性密码

[B]31. 以下那个是最简单的,和最好的。当Tanya能够查看合适的数据保护。
A. 实施MAC强制访问控制

  1. 在这种情况下,哪一个是最好的单点登录技术?
    B

Harry正在”Overseeing a team” 意味着”监督一个团队”
[B]33. 哪个最好的形容了Harry团队需要设置的环境?
D

[C]34. 不会
[D]35. 不会

[11/20] CISSP认证考试指南第七版CISSP All in One-第五章1-20题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
1. D
[C]2. B
3. B
4. D
[A]5. D
6. A
[A]7. D
[D]8. A
9. A
10. C
11. B
[C]12. D
[A]13. D
[B]14. D
15. D
16. C
17. B
[A]18. C 什么是交叉错误率
[C]19. B
20. C