D2-04 7–10 分钟 重要程度:中

数据保护加密:存储与传输

D2 不要求深入密码学细节,但要知道哪些控制保护静态数据、哪些保护传输中数据。

一、必须记住

  • AES 是常见对称加密算法,可用于保护机密到绝密数据。
  • BitLocker 与 EFS 可用于 Windows 静态数据保护。
  • TLS 替代 SSL,用于保护传输中的数据。
  • IPsec 可搭配 L2TP 用于 VPN。
  • IPsec AH 提供认证和完整性,ESP 提供保密性。
  • SSH 可替代 Telnet 进行安全远程管理。

二、核心概念

静态数据加密

AES、BitLocker、EFS 等控制可保护存储介质上的数据,降低设备遗失或介质被盗时的泄露风险。

传输加密

TLS、IPsec、SSH、SFTP、SCP 等用于保护网络传输中的数据,防止嗅探和中间人风险。

IPsec AH 与 ESP

AH 提供身份认证和完整性,但不提供保密性;ESP 提供保密性,并可提供认证和完整性。

三、CISSP 判断规则

  • 问 Web 传输保护,优先 TLS。
  • 问远程管理替代 Telnet,优先 SSH。
  • 问 IPsec 保密性,优先 ESP。
  • 问 Windows 全盘加密,优先 BitLocker。

四、常见陷阱

  • SSL 已过时且存在安全问题,优先 TLS。
  • Telnet 明文传输,不推荐。
  • AH 不提供保密性,不要把 AH 当成加密。

五、英文关键字

AES (高级加密标准) TLS (传输层安全协议) SSL (安全套接层) IPsec (IP 安全协议) L2TP (第二层隧道协议) AH (认证头) ESP (封装安全载荷) SSH (安全外壳协议) BitLocker (Windows 全盘加密) EFS (加密文件系统)

小测验

1. 保护 Web 传输中的数据,现代场景应优先使用?

TLS 替代 SSL,用于保护传输中的数据。

2. IPsec 中提供保密性的主要协议是?

ESP 提供保密性;AH 主要提供认证和完整性。

3. 安全远程管理服务器应优先使用?

SSH 加密远程管理流量,Telnet 明文传输。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成