WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

相關連結

CISSP考試心得-Alex Yeh


AlexYeh心智圖(點我下載)

心智圖才是本篇精華,記得點選上方連結

AlexYeh 心智圖PDF版(點我下載)


關於我

葉柏毅 Alex

Linkedin:https://www.linkedin.com/in/alrex5401/


Structure

Architecture

Framework

Approach

Methodology


Domain 口訣

Domain 1. Security and Risk Management C、I、A+GRC(安全和風險管理)

Domain 2. Asset Security 盤點、分類、保護(資產安全)

Domain 3. Security Architecture and Engineering 時時都安全、處處都安全(安全架構和工程)

Domain 4. Communication and Network Security 處處都安全(通信及網路安全)

Domain 5. Identity and Access Management (IAM) I + 3A(身分識別及存取控制)

Domain 6. Security Assessment and Testing 查驗、訪談、測試(安全評鑑及測試)

Domain 7. Security Operations 日常維運、持續改善(安全維運)

Domain 8. Software Development Security 時時都安全、處處都安全(軟體開發安全)


美國法定目標(FISMA)/ 資通安全法

CIA

C機密性:資料不被偷

I完整性:資料不被竄改

A可用性:資料隨時可用

Integrity完整性

Data Integrity(資料完整性)

Authenticity(資料真偽;真實性)

Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到

FISMA

NIST

FIPS 199

NIST SP 800

資產Asset

資產Asset:有價值Value的東西,且值得保護

Assets 通常指資訊系統
* 資料
* 電腦系統
* 操作系統
* 軟體
* 網路
* 資料中心(機房)
* 人(最重要)
* 業務流程

資安目標

資安目標(定義):

透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標

進而支持組織的業務流程

將安全融入組織業務流程(人事/採購),產銷人發財

支持組織的「產品」及「服務」持續交付

為公司創造價值,實現公司的使命及願景

公司最高經營階層的管理作為就叫做治理.

管理是達成目標的一套有系統的方法; 最常用的方法是PDCA.

治理的目標是創造價值,

戰略(strategy)是達成治理目標的高階計畫, 高階主管必須透過下達政策(policy)指示來執行戰略.

治理:經營高層(董事會+高階主管)的管理作為。(治理目標:創造價值),經營高層的計畫書:戰略。戰略怎麼落實執行:政策

管理:達成目標的一套有系統的方法(PDCA)

達到目標的方法:

Plan

Do

Check

Act

目標Goals/Objectives:


Specific(明確的)

Measurable(可衡量的)

Achievable(可達成的)

Relevant(相關的)

Time-bound(有時限的)

治理目標:創造價值

經營高層的計畫書:戰略

戰略怎麼落實執行:政策

InfoSec Governance (CISM)

Governance Structure

CISO,如果與稽核單位報告,則稽核單位將會喪失獨立性

戰略發展

Strategic Development 戰略發展

未來目標與現在程度的落差進行Gap Analysis,就是Road MAP

需要Resources資源及遇到Constraints限制

戰略投資組合

戰略投資組合(Strategy Portfolio)

戰略(strategy)、投資組合(portfolio)、計畫(program)與專案(project)的關係

將戰略目標,拆分成各項投資組合,實現其戰略價值,進一步證明其投資報酬率(ROI)。

其投資組合由計畫(program)或專案(project)的執行結果達成其效果(效益、好處)。

部分大型計畫會拆分成專案,以各項專案輸出達成計畫之結果。

Values 價值

Outcomes and Benefits 結果與好處

Outputs 輸出

政策框架

政策框架(Policy Framework),都是強制性的
1. Policies 政策
1. Standards 標準
1. Procedures 程序
1. Guidelines 指引(option)

專案

業務企畫案(business case):將企劃/想法,透過成本效益分析後並透過高層立案後的專案。

立案 (Charter) (根據專案章程)
* 之前要做 成本效益分析 Cost/Benift
* 成本效益分析後的產出 Business Case
* 兩案併呈,候選案 (Alternative)
* 如果可以做、值得做,最後簽過才會立案
* 之後才會稱為專案

Accountability 扛責任

Responsibility 事情做好的責任

立案 (Charter)

候選案 (Alternative)

Scope Creep 範疇潛變:不受控的範圍變化
* 「範疇潛變」係在專案進行過程中發生未經授權或未加以控制的範疇變更。未走公司的標準變更管理程序。

變更管理Change Management:變更BaseLine
* Baseline:被核定的結果
* 被核定過東西就是baseline. 常見的基礎有: scope, schedule, cost/budget, controls, configruations....

變更管理的標的:baseline
* 重點:申請&核准

平衡計分卡 Balanced Scorecard(BSC)

風險

風險:影響目標達成的不確定因素

管理:達成目標的一套有系統的方法(PDCA)

風險管理目標:經營階層所能接受的殘餘風險

沒有目標的風險,應只是指危險,而非風險

風險管理:ISO 31000
* 風險評鑑 Risk Assessment
* 風險識別 Risk Identification(找風險)
* 目標(列表)
* 風險登錄表(Risk Register)
* 風險分析 Risk Analysis
* 不確定因素/機率
* 影響
* 風險曝險值Risk exposure
* 量化分析
* 質化分析
* 風險評估 Risk Evaluation
* 決定/判斷decisions是否進行風險處置
* 順位Priorities
* 風險處置 Risk Treatment(ATMA)
* Avoid避免: 放棄原本要做的事情
* Transfer 轉移:第三方風險轉移。如,買資安險。風險可以轉移,但責任不行。
* 保險
* 外包
* Mitigate緩解:處理不確定因素(降低發生可能性),或處理影響。
* Accept接受:考量成本效益分析,僅留在風險登錄表。

風險識別最重要的應注意事項為何?
* 確認目標(列表)
* 風險登錄表(Risk Register)

風險分析在分析什麼? 風險分析的結果是什麼? 有那二種主要的風險分析方法?
1. 分析不確定因素(機率)及影響
1. 分析結果是風險曝險值Risk exposure
1. 分析方法分「量化分析」及「質化分析」

何謂風險評估(evaluation)? 何謂風險評鑑(assessment)?
* 風險評估 Risk Evaluation:決定/判斷是否進行風險處置,並排處置順位
* 風險評鑑 Risk assessment:進行風險識別、風險分析及風險評估
風險處置(treatment)又稱風險回應(response), 若以威脅的角度來看, 其主要的方法或策略有那四種?
* Avoid避免
* Transfer 轉移
* Mitigate緩解
* Accept接受

Residual Risk 殘餘風險

Risk Appetite 風險胃納量

NIST的一般風險模型(generic risk model)有那些主要的元素?
* Source(Who)、Event(What)、Vulinerabiliy(利用何種弱點)、Impact(影響)
* 威脅情境(scenario):一個威脅來源(Threat Source)對應到一個威脅事件(Threat Event)的組合

Business Processes

Human Resources

員工召募的步驟

  1. 建立職責描述 Job Description
    * 職責分離 (seperation of duties)

    • 將關鍵敏感的資訊 分給幾個不同的管理員或高級操作員防阻串通的保護措施(如:開發及維運)
    • 工作職責 (job responsibilities)
    • 最小權限Least Privilege
    • 最小需知Need to Know
    • Assets Owner授權時,亦根據Need to know及Least Privilege進行授權
  2. 設定工作級別

  3. 篩選應聘者
    * 候選者的篩選基於職責描述所定義的敏感性和分類。現在許多公司做線上的背景調查還有社交網路審查已成為標準作法

    • 候選人篩選
    • 背景調查Background Check
    • 推薦信調查
    • 學歷驗證
    • 安全調查Security Clearance
  4. 入職和離職程序
    * 入職

    • 雇傭協議NDA
    • AUP
    • Provisioning
  5. 招募和培訓最合適該職位的人員
    * 培訓(資安意識(Awareness), 訓練(Training)及教育(Education)的對象與目標.)

    • 資安意識(Awareness):
      • 所有人
      • 政策宣導、提高資安意識
    • 訓練(Training):
      • 特定一群人
      • 達到對工作的要求或學會特定技能
    • 教育(Education):
      • 特定一群人
      • 有證書或學位認證
    • 崗位輪換 (job rotation)
    • 提供知識備份降低詐欺、數據更改、竊盜破壞與訊息濫用的風險
    • 強制休假
    • Privilege Creep Prevention
  6. 離職
    * 解雇過程維持控制和風險最小化離職面談,主要對於雇員的責任和限制進行審查應在通知被解雇時同時進用和刪除其系統的訪問權限

Procurement

Procurement and Supply Chain 採購和供應鏈

採購程序:

  1. 招標文件
    • RFP
  2. 說明會
  3. 投標

    • 建議書
    • 資格確認Background
      • FOCI(Foreign Ownership Control Influence)
      • 能力Capability:軟體開發能力、採購(外包)能力、服務能力

        • 丙方Auditor
        • 軟體開發:CMMI
        • 資安:ISMS
        • 資安:SOC(AICPA)

          • SOC1:財務認證
            • Type I:書審
            • Type II:書審+實地查核一段時間
          • SOC2:類似ISMS
            • Type I:書審
            • Type II:書審+實地查核一段時間
          • SOC3:精簡SOC2
            • Type I:書審
            • Type II:書審+實地查核一段時間
        • 信用卡PCIDSS

        • 產品:Common Criteria,CC
        • 雲端CSA/ STAR
  4. 評選

  5. 議價
  6. 簽約
  7. 履約
    • 合約
      • Service Level Agreement
        • Service Level Requirement
      • Security Requirement
      • Audit Right 稽核權
  8. 結案

Service Organization Control (SOC)

SOC 1、2 和 3 報告概述

服務組織控制 (SOC)
以下是微軟網站的摘錄:

企業越來越多地將數據存儲和應用程序訪問等基本功能外包給雲服務提供商 (CSP) 和其他服務組織。作為回應,美國註冊會計師協會 (AICPA)開發了服務組織控制 (SOC)框架,這是一種控制標準,用於保護在雲中存儲和處理的信息的機密性和隱私性。這與國際服務組織的報告標準《國際鑑證業務標準》(ISAE)一致。

基於 SOC 框架的服務審計分為兩類——SOC 1 和 SOC 2——適用於範圍內的 Microsoft 雲服務。

在一個SOC 1或SOC 2審計結束後,審計師呈現的意見在SOC 1類型2或SOC 2類型2報告,其中描述了電信運營商的系統,並評估其控制的CSP說明的公平性。它還評估 CSP 的控制是否設計適當、是否在指定日期運行以及在指定時間段內是否有效運行。

組織韌性規劃 Organizational Resilience Planning

Organizational Resilience Planning組織韌性規劃

Tier1:
* Crisis Communication Plan 危機溝通計劃
* Occupant Emergency Plan(OEP)乘員緊急計劃

Tier2:
* Continuity of Operations Plan(COOP)業務連續性計劃
* Business Continuity Plan(BCP)業務連續性計劃

Tier3:
* Disaster Recovery Plan(DRP)災難恢復計劃
* Cyber Incident Response Plan(CIRP)網絡事件響應計劃
* Information System Contingency Plan(ISCP)資訊系統應急計劃
* Critical Infrastructure Protection (CIP)Plan 關鍵基礎設施保護計劃

災難Disaster:建築物或相關設施(Data Center)出問題,且必須搬家到其他設施辦公。
* 災難重建的目標是維持CIA

Business Continuity 業務持續(ISO 22301):組織持續交付產品及服務的能力
* Business Continuity 業務持續目的:培養及維持組織持續交付產品及服務的能力

  1. 事情(Event)(中性)
  2. 事故(incident)(不好):等級高中低
  3. 中斷(Distraption):事故將產品及服務交付中斷
  4. 災難(Disaster):建築物或相關設施(Data Center)出問題,且必須搬家到其他設施辦公(設施等級的事故,造成必須搬家。)
    • 設施(Facitoty):資訊系統(IS)
      • Relocation搬家
    • Disaster Recovey (DR)
      • IS

事故回應:防止小事故變成大事故

重建:主要談資訊系統部分(CISSP)

BCM

Business Continuity 業務持續:組織持續交付產品及服務的能力

BCM
1. 內外部環境分析
2. 找出利害關係人及需求
3. 訂定範圍(清單)(BCM)
* 依據內外部環境分析及利害關係人(組織單位及產品、服務)
4. 業務衝擊分析BIA => 找出關鍵流程及關鍵資源
* MTD(Maximum tolerable downtime)最大容許停機時間:高階主管核定
* RTO (Recovery Time Objective,復原時間目標):
* RPO(Recovery Point Objective,復原點目標):
* BIA(Business Impact Analysis):依MTD決定
5. 風險評鑑
* 風險識別 Risk Identification(找風險)
* 目標(列表)
* 風險登錄表(Risk Register)
* 風險分析 Risk Analysis
* 不確定因素/機率
* 影響
* 風險曝險值Risk exposure
* 量化分析
* 質化分析
* 風險評估 Risk Evaluation
* 決定/判斷decisions是否進行風險處置
* 順位Priorities
6. 風險處置(ATMA )=> PLAN
1. 事前
* Recovery Site(RTO)
* Mirrored Site ,資料對拷
* RTO:0-30s
* RPO:zero
* Hot Site熱站點,與生產環境,只差最新一份資料
* RTO:30s-30m
* RPO:zero
* Warm Site溫站點,解決採購設備問題
* RTO:30m-72h
* RPO:>zero
* Cold Site冷站點,解決租賃地點問題
* RTO:>72h
* RPO:>zero
* 備份(RPO)
* Full Backup
* Differential Backup
* Incremental Backup
2. 事中
3. 事後
7. 測試及演練PLAN
1. Read-through or Tabletop:Table Test(Check List)桌面測試,文件審查
2. Walkthrough :Walking Test 穿行測試,角色扮演(ex.軍棋演練/討論敵軍可能的入侵情境)
3. Simulation:Simulation 模擬測試,直接演一演(ex.火災逃生演練)
4. Parallel:Parallel 平行測試,在不影響正式環境下,另外找一個環境進行中斷測試(ex.從AWS建置全新的環境及系統,進行中斷演練)
5. Full interruption:全中斷測試

事故回應

事故回應(IR)計畫
只要會影響產品及服務之風險或事故,皆需進行處置及回應(CISSP只從資安角度(尤其是網路))

incident Management
* Preparation準備階段:須先有計劃Plan
* Management buy-in:管理階層的同意(形成政策Policy)
* Policy
* 1️⃣Plan:計畫
* IR Team
* User Awareness:使用者意識

E-Discovery

取證磁盤控制器執行四個功能。其中之一,寫阻塞,攔截發送到設備的寫命令並防止它們修改設備上的數據。其他三個功能包括返回讀取操作請求的數據、從設備返回訪問重要信息以及從設備向取證主機報告錯誤。控制器不應阻止將讀取命令發送到設備,因為這些命令可能會返回關鍵信息。

Intrusion Detection

Intrusion Detection
* 網路
* IDS:只偵測、只聽、只判斷,不干涉入侵行為
* IPS:偵測、判斷,干涉入侵行為
* Related Topics
* AI
* SOAR
* 聯防:自動化發通報驅動其他設備
* SIEM
* UEBA(User and Entity Behavior Analytics)
* 情資Threat intelligence(Threat feeds, Threat Hunting(人工))
* Detection Approaches Detection
* Signature-Based Detection
* 比對已知樣態
* Anomaly-Based Detection
* 以異常為基礎
* 能偵測未知威脅
* 建立時訓練期(Training Period),形成Model(Profile)
* 以統計技術
* 大數據
* 資料採礦
* AI
* 機器學習
* 缺點:推論,有誤判(假警報)
* Alert
* positive 陽性
* True positive:發警報
* false positive :以人工判斷後為假警報
* negative 陰性
* True negative:未發警報
* false negative:有真實入侵,但未發Alert
* IDPS Deployment
* Host-Based IDS
* Agent
* Network-Based IDS
* Sensor
* Sensor Modes
* InLine
* Passive
* Passive Sensor Locations
* Spanning Port
* Network Tap
* IDS Load Balancer
* Network Bechavior Analysis(NBA)
* Wireless

符合性

Compliance 符合性

Organization Level 組織層面

Individual Level 個人級別

個資要求
* 告知收集的目的
* 收集的資料,需最小化
* 須經當事人同意,始得收集
* 為確保資料品質,當事人可進行更新
* 當事人若提出刪除要求,不得拒絕
* 資料控制者,對收集來的個資,需做好保護(含對資料處理者的要求及確保資料處理者做好保護)
* 法律責任無法卸責
* 若不慎洩漏,必須做到通報當事人的義務。
* 個資在分享階段,需注意到是否有跨境傳輸?以及有沒有相關保護措施,如以下
* 匿名化:去除可識別唯一性
* 擬名化:仍可使用對照表,還原可識別唯一性

Code of Ethics

保護社會、共同利益、必要的公眾信任和信心以及基礎設施。

以光榮、誠實、公正、負責任和合法的方式行事。

為原則提供勤奮和稱職的服務。(為你的雇主提供專業)

推進和保護職業。(促進並保護資安專業)

投訴者,須為受害者

需指出受害者身份

指出CISSP違反原則(第三條,雇主/第四條,同為CISSP)

資訊技術安全評估共同準則 (Common Criteria for IT Security Evaluation, ISO/IEC 15408),簡稱共同準則 (Common Criteria) 或 CC,是針對實現資/通訊產品所使用資訊技術的安全性所進行的安全技術認證。

Evaluation Assurance Level

EAL7,Formally Verified Design And Tested,學術水準

EAL6,Semi-formally Verified Design And Tested

EAL5,Semi-formally Designed And Tested

EAL4,Methodically Designed, Tested And Reviewed,經過設計

EAL3,Methodically Tested And Checked

EAL2,Structurally Tested,結構測試

EAL1,Functionally Independently Tested,依操作手冊所寫進行功能呈現

Evaluation Assurance Level

EAL7,Formally 正式(學術)(數學)

EAL6,Semi-formally半正式

EAL5,半Semi-formally ,半正式

EAL4,Methodically ,有設計

EAL3,Methodically,有條理

EAL2,Structurally ,有結構

EAL1,Functionally,有功能

Asset Security

盤點
分類

分類原則:主要根據Business Value
* Business Value
* Confidentiality
* Integrity
* Availability
* Compliance
* Purchase Cost
* Opportunity Cost
* Revenue loss

Military (依據Confidentiality機密性,Executive Order 12356)
* Top Secret:只要這機密資料外洩,會造成人命損失
* Secret
* Confidential
* Unclassified

保護

懶人包Security Frameworks(框架)

常見分類方式:

Security Safeguards(HIPAA)

* Administrative(Management)行政管理
* Technical(Logical)技術(邏輯)
* Physical 實體

Types of Access Control (ISC)2

Before
* Directive 指示
* Deterrent 威懾
* Preventive 預防
During
* Detective 偵測
* Corrective 糾正

After
* Recovery 復原

Others
* Compensating 補償

NIST RMF包含那幾個步驟?
1. Categorize Systems
2. Select Controls
3. Implement Controls
4. Assess Controls
5. Authorize Systems
6. Monitor Controls

何謂範圍(scope)

等同清單(list),可以條列

清單有寫的就是範圍內,沒寫就是範圍外

scope等同清單(list). 所以清單就是可以用1,2,3,4,5...條列式列舉的文件.

scoping就是列清單.安全控制的scoping, 就是決定要下多保安全控制措施, 把清單(scope)開出來

scope通常可以去參考一些框架(懶人包), 它們會建議一包安全控制給企業用, 企業可再根據自己的需求去修改(增加, 刪除或調整), 這個就叫客製(tailoring)

* Scope 範圍:受影響的範圍
* Scoping 決定範圍,決定基準或框架
* Tailoring (量身訂做) 由框架衍伸增加組織特性(所需)

NIST Risk Management Framework (RMF)
1. Categorize Systems:依據impact程度分高中低
2. Select Controls:依等級進行項次的控制
3. Implement Controls:進行控制
4. Assess Controls:評鑑有效性
5. Authorize Systems:授權系統上線
6. Monitor Controls:持續監控安全控制措施一直有效

I+3A

Authentication(驗證身份)重點:
1. 三個小步驟 (要帶到token/assertions及SAML/OIDC)
2. MFA
3. 身份驗證協定: 從歷史開始講
4. SSO: Integrated, Fedrated, Scripted

Authorization(檢查授權)重點:
1. Owner決定授權, Custodian(administrator)設權限
2. Need-to-know及Least Privilege
3. Access Control/Authorization mechanisms機制: DAC/MAC/RBAC/ABAC/Rule-based/Risk-based => 以及相關的學術理論

Accounting(紀錄行為(寫Log))重點:
1. 寫log (accounting)
2. 看log (auditing => audit trail)
3. 追究責任

Assets
* Inventory盤點
* 盤點後指定找到Asset Owners進行分類
* Classification分類
* 依Business Value業務價值,價值高中低,進行保護
* Protecton保護
* RMF
* AC

TCSEC 安全系統評估準則

Trusted Computer System Evaluation Criteria

(Orange Book)

Access Control(Security Kernel)
* DAC
* MAC

Anderson Report

不會被輕易破解, 要完全管制存取行為, 要夠小(不影響到效能)

TCSEC Evaluation Criteria

信任運算基礎Trusted Computing Base,TCB,這台電腦所有安全功能的總成(Security Perimeter安全邊界)
1. Access control (Security Kernel)
1. TR(Trusted Recovery)
1. TPM(加解密晶片)

PC(TCS)=TCB+非安全元件(如輸入元件)

Access
* Use使用

Subject主體

Object客體

Security Kernel安全核心:負責存取控制

在電腦系統中,負責管制主體及客體之間的存取行為

Security Kernel安全核心:在電腦系統中,負責管制主體及客體之間的存取行為

Security Kernel安全核心之安全要求:不會被輕易破解, 要完全管制存取行為, 要夠小(不影響到效能)

Security Kernel安全核心之運作,會在主體對客體進行存取行為時,驗證主體身份
(Authentication ),確認使用行為是否已被授權(Authorization ),並對於在客體的任何行為進行紀錄(Accounting )

Access control

Read:Simple property簡單屬性:管制讀取的動作

Wirte(Read以外的行為):Start property星屬性:管制讀取以外的動作

Referver Monitor參考監視器

監控程式對於位置(記憶體)的參考(使用)
* Security Kernel:實作Referver Monitor

當主體是人時候(美國軍方)
* 會被核定一個安全等級 security clearance
* 如Confidential
* 每個設備(Object)也會被Label一個security clearance(如Confidential、Secret、Top Secret)

Read:

A ---> (Control Flow)B

A ←(Data Flow)B

Write:


A ---> (Control Flow)B

A →(Data Flow)B

禁南下(高等級到低等級)政策:資料流動禁止高階往低階流。不能讀取高階資料,不能寫入低階資料,跟工作無關的不能讀。

洩密:

* 先判斷security clearance:層級(等級)不夠,但仍能讀取比自己高層級(等級)資料
* 再確認need-to-Know:同一層級,讀取非工作需求之資料(未授權)(need-to-Know)

防洩密:做到資料(Data Flow)禁南下

OASIS組織制定
* SAML
* XACML
* SPML

Identity and Access Management

Authentication身份驗證

        * JSON
            * {UserName:"Jack"}
{UserName:"Jack"
Age:40}


MFA多因子驗證

生物辨識

Identificatoin辨識

one-to-Many

Authentication身份驗證

one-to-one

DNA,精準度99.9%以上

指紋,不夠精準(僅能當MFA之一)

FRR,False Rejection Rate,Type I,錯誤拒絕率,FRR愈高,愈容易被誤判拒絕,變成使用者的不便利,要多試幾次。

FAR,False Acceptance Rate,Type II,錯誤接受率,FAR愈高,有安全隱憂

EER,Equal Error Rate:FAR = FRR

CER,Crossover Error Rate,集合FRR及FAR兩個曲線的交叉點

FRR:錯殺. FRR高會造成不方便, 但較安全.

FAR::錯放. FAR高會導致不安全, 但較方便.

ERR::採購比較不同機器用. 愈低愈好

threshold門檻值調整,FRR和FAR改變,但不改變曲線

生物識別選購考量:

價格、效能、準確度(FRR+FAR越低越好)、容易使用、使用者接受度


視網膜接受度,最低

指紋接受度,最高

Authentication身份驗證相關協定


SSO

SSO(Single Sign On)單一簽入
* 使用者登入一次(不是指一個帳號),即可跨系統存取資源(保留自己的帳號)
* 一次登入可以對應多個系統帳號(每個系統都有自己的帳號)
* 軟體特色
* 信任關係(聯盟(不同公司)),認該Token(盟主),盟主帳號對應各自系統帳號
* 缺點,如FB API修改(或系統異常),信任關係即失效
* 形式
* 整合型(微軟,一個使用者只有一個帳號)
* 聯盟式(聯合式身份(federated Identity))(使用者在每個系統都有自己的帳號,透過聯盟的關係,使用盟主的帳號即可跨系統登入)
* 老系統,可寫程式幫忙登入(讓使用者感覺只登入一次)
* 腳本
* logon script

無法SSO的話,可簡化登入程序
如,記憶密碼

Authorization授權

授權機制Authorization Mechanisms

Privileges 特權 = Permissions 權限 + Rights 權利

Security Models(BBCC)
* BLP,MAC,只控管機密性,禁南下
* Biba,MAC,只控管完整性,禁北上
* Chinese Wall,MAC,只控管機密性,防止利益衝突,以歷史為基礎;建立利害衝突群組,以時間或歷史為基準。。
* Clark-Wilson,交易相關,與AC無直接關係。

Security Models

Security Models(BBCC)
* Basic Concepts基本概念
* State Machine,狀態機,每個狀態都是安全的狀態
* 無限狀態
* 有限狀態
* information Flow,資料流
* Control Flow
* Data Flow
* Non-interference,不會互相干擾
* Confidentiality Models(Read)
* Bell-LaPadula Model(BLP)
* Labels for MAC
* Compartment for Need-to-Know,DAC
* 把所有主體及客體做分類
* 確保機密性
* 防止洩密:禁南下(高等級到低等級)政策:資料流動禁止高階往低階流。不能讀取高階資料,不能寫入低階資料。(No read up, No Write down)
* Bob 之Simple及Star都勾選的話,僅可在所屬等級進行存取
* 管制資料流動
* Simple 簡單屬性 (管制讀取)
* Star 星號屬性 (管制寫入)
* Brewer-Nash Model(Chinses Wall)
* Conflict of interests
* History-based Access Control(Time-based)
* 目的 : 確保系統機密性
* 設定利益衝突群組,根據歷史讀取紀錄,動態阻絕
* Integrity Models(Write)
* Biba Models
* 目的 : 確保完整性
* 禁北上政策 (No write up,no read down)
* Clark-Wilson Model
* 交易相關,與AC無直接關係
* 確保完整性
* Concpt of transaction,交易
* 多個異動資料庫動作,視為一個單元
* 全部成功
* 全部失敗Roll Back
* 職責分離SoD,寫入與職責是分開的
* Clark-Wilson transaction
* 用戶活動個體。
* 轉換過程(Transformation Procedure,TP) 可編程的抽像操作,如讀、寫和更改。
* 約束數據項(Constrained Data Item,CDI) 只能由TP操縱。
* 非約束數據項(Unconstrained Data Item,UDI) 用戶可以通過簡單的讀寫操作進行操縱。
* 完整性驗證過程(Integrity Verification Procedure,IVP) 檢查CDI與外部現實的一致性。
* Goguen-Meseguer Model
* Non-interference among domains
* Sutherland Model
* Covert Channel
* Lipner Model
* Steve Lipner, Microsoft
* BLP+Biba
* Authorization Models(Privileges)
* Take-Grant Model
* Graham-Denning Model
* Harrison-Ruzzo-Ullman Model

存取控制模型 (OSG)

Model 完整名稱 關鍵特徵 實現方式與解決 例子
DAC Discretionary Access Control 每個 Object 都有一個所有者,所有者可以授予或拒絕其他任何 Subject 的訪問 使用客體ACL Windows 系統的文件、資料夾權限
RBAC Role Based Access Control 使用 Role 或 Group 可消除特權潛變 Privilege Creep,強制執行 Least Privilige Windows OS 帳戶權限,WordPress 站台
ABAC Attribute Based Access Control 可包含多個屬性的規則,比RBAC更靈活 屬性可以是用戶、裝置的任何特徵 SD-WAN 軟體定義網路
MAC Mandatory Access Control 使用應用於 Subject 與 Object 的 Labels,又稱 Latice-based Model,且為 Implicit Deny 依賴 Classfication Labeles (也需 Need To Know) 軍方人員等級與可存取專案
Rule-based AC Rule-based Access Control Restriction(限制) 、 Filter(過濾器) 防火牆

Accounting會計

Accounting會計:寫LOG(問責),紀錄主體或客體的行為(不管有無通過驗證或授權)
* 寫Log(Accounting)
* 看Log(Auditing)
* Auditing
* Audit Trall
* 看跟當事者相關的軌跡
* 問責Accountability

安全評鑑Security Assessment

何謂安全評鑑?

安全評鑑大部份的情境是指security control assessment. 而secucurity control則是risk treatment的實際施作, 也就是安全評鑑其實是資訊風險處置的成果的評鑑. 這個已經是在風險評鑑之後了.

風險評鑑 => 風險處置(寫計晝書及實施安全控制措施) => 安全(控制措施)評鑑.

Security Assessment安全評鑑:確保Security Controls有效性,是否符合符合性事項

* 查驗
* 訪談
* 測試Testiting

測試Testiting

CWE,Common Weakness Enumeration:屬於設計階段風險審查。未針對特定廠商或型號。

CVE,Common Vulnerability and Exposure:屬已知弱點。針對特定廠商或型號。

CVSS,Common Vulnerability Scoring System:弱點評分系統

SCAP,Security Content Automation Protocol:自動化修補協議

NVD,National Vulnerability Database

弱點掃描:尋找已知漏洞威脅

滲透測試:利用漏洞進行入侵可行性測試

市面上常見產品如下:
1. 主機弱掃(作業程式之弱點掃描):Tenable(Nessus)、Tenable.IO、Rapid7
2. 網頁型弱掃(又稱黑箱掃描、黑箱測試):WhiteHat、Qualys、Webinspect、AppScan
3. 原始碼檢測(又稱白箱掃描、白箱測試):Checkmarx、Fortify
4. 滲透測試:基本上會結合主機弱掃+網頁型弱掃,透過人工執行確認漏洞可行性。

滲透測試

滲透測試主要步驟:
1. Information Gathering,資訊收集
1. Scanning and Reconnaissance,掃描和偵察
1. Fingerprinting and Enumeration,指紋和列舉
1. Vulnerability Assessment,脆弱性評估
1. Exploit Research and Verification,利用研究和驗證
1. Reporting,報告

Audit

第一方:安全評鑑一般屬自我評鑑

第二、三方:如由獨立單位(如稽核部門、客戶、外部認證單位等)進行則稱為稽核

工程

Security Engineering
* 工程(專案):是一套學問,運用知識把一套產品製作出來,維運他,從出生到死亡
* 運用專業知識,把系統做出來,使用他維運它直到除役為止。(生命週期)
* 安全工程是解決整個系統生命週期中的保護需求或安全要求的一門專業學科。

Engineering
* Functionality
* Quality,U PASS ME
* Usability,使用介面,用戶體驗
* Performance,效能(7秒回應時間)
* Availability,系統穩定度(可用性,Anytime、Anywhere,QC:5個9,99.999%,一年約可停6分鐘)
* Scalability,可擴展性(架構)(Elasticity彈性)
* Security,安全性
* Maintenance,容易維護
* Extensibility,容易擴充
* System Engineering Standards
* ISO 15288,單純工程要求
* NIST SP 800-160,強化ISO 15288之安全要求

SDLC

SDLC:System、Software、NIST SDLC(資訊系統開發)
* SDLC的S可以是software或system. NIST SDLC的S是指system. 而software只是system的一部份. 標的及範疇都不同.

Software
* 有品質的軟體 = 安全的軟體

軟體就是工程就是專案
* 在一定的時間和費用內,製作一定範圍的東西

軟體開發安全,從軟體生命週期,切
* 能夠動
* 有品質(具備安全性)

軟體開發的目的:開發有品質的軟體
* 具備安全性有品質(安全性)軟體:時時都安全(SDLC、狀態)、處處都安全(系統架構設計、元素)

Software Development Security 軟體開發安全
* The Context and Scope of Software Developmen,軟體開發的背景和範圍
* Software Developments as a Discopline of Engineering,軟體開發作為工程的差異
* Software as a Component of a System,軟體作為系統的組成部分
* Software "Development" Means "Make" or "Buy",軟體"開發"表示"製造"或"購買"
* Enforcing Security Anytime & Anywhere,隨時隨地加強安全
* Anytime:Software Development Life Cycle(SDLC),隨時:軟體開發生命週期(SDLC)
* Anywhere:Sofeware Architecture and Environments,任何地方:軟體建築和環境
* Maturity Models,成熟度模型
* Capability Maturity Model Integration(CMM),能力成熟度模型整合(CMM)
* Software Assurance Maturity Model(SAMM),軟體保證成熟度模型(SAMM)
* 軟體成熟度
* 軟體開發能力
* 取得(採購)能力acquirement
* 服務交付能力Service deliver

CMMI/SAMM成熟度等級:
1. 土法煉鋼
1. 各自為政,(有專案經理,但各自為政(各PM的經驗不一))
1. 統一方法,(公司立定統一一套辦法)(Managed 常見)
1. 量化管理
1. 最佳化(持續改善)

NIST System Development Life Cycle,SDLC
* initiation,啟動
* Development/Acquisition,開發Make/收購Buy
* Implementation/Assessment,實施/評估
* Operations and Maintenance,運營和維護
* Disposal,處置

軟體SDLC

Software Development Life Cycle,SDLC

Planning Phase

敏捷軟件開發宣言

    敏捷軟件開發宣言
    Manifesto for Agile Software Development(以人為本,重視風險,創造價值)(思維Mindset)
        1. Individuals and interactions over processes and tools
            * 重視個人和互動,勝於流程和工具。
            * 個人以及流程和工具之間的互動
        2. Working software over comprehensive documentation
            * 可用的軟體,勝過於很詳細的文件
            * 工作軟件綜合文檔
        3. Customer collaboration over contract negotiation
            * 與客戶的協作,更勝於合約的協議
            * 合同談判中的客戶協作
        4. Responding to change over follwing a plan
            * 回應變動(風險),更勝於照計畫書執行
            * 響應遵循計劃的變更

    12大敏捷原則
        1. 我們的首要任務是通過早期和持續交付有價值的軟件來滿足客戶。
        2. 歡迎不斷變化的要求,甚至是開發後期。敏捷流程利用變化來實現客戶的競爭優勢。
        3. 經常提供工作軟件,從幾周到幾個月,優先考慮更短的時間尺度。
        4. 業務人員和開發人員必須在整個項目中每天一起工作。
        5. 圍繞有動力的個人建立項目。為他們提供所需的環境和支持,並相信他們能夠完成工作。
        6. 向開發團隊內部和內部傳達信息的最有效和最有效的方法是面對面交談。
        7. 工作軟件是進步的主要衡量標準。
        8. 敏捷過程促進可持續發展。贊助商,開發者和用戶應該能夠無限期地保持穩定的步伐。
        9. 持續關注技術卓越和良好的設計可提高靈活性。
        10. 簡單性 – 最大化未完成工作量的藝術 – 至關重要。
        11. 最好的架構,要求和設計來自自組織團隊。
        12. 團隊定期反思如何變得更有效,然後相應地調整和調整其行為。

Analysis Phase

Design Phase

解決利害關係人的問題或需求

設計,是一個紙上談兵的解決方案(書面)

設計圖:資料流程圖

* Software Security Design Principles,軟體安全設計原則
* Core,核心
* Confidentiality,機密性
* Integrity,完整性
* Availability,可用性
* Authentication,認證
* Authorization,授權
* Accountability,問責
* Design,設計
* Least Privilege,最小權限
* Fail Safe,故障安全
* Open Design,開放設計
* Leveraging Existing Components,利用現有元件
* Separation of Duties,職責分離
* Economy of Mechanism,經濟機制
* Least Common Mechanism,最不常見的機制
* Eliminate Single Point of Failure,消除單一故障點
* Defense in Depth,深度防禦
* Complete Mediation,完全調解
* Psychological Acceptability,心裡可接受性

威脅塑模Threat Modeling

軟體架構 Layer 與 Tier (三層式架構)

RDBMS

資料庫正規化

專家系統 Expert Systems

SOA

RESTful Architecture

微服務Microservices Architecture微服務

Development Phase

物件導向程式設計(OOP)

Testing Phase

軟體測試口訣(順序)

  1. 單元測試
  2. code review
  3. 整合測試
  4. 應用程式介面測試、API測試
  5. 模糊測試
  6. 回歸測試
  7. 系統測試(安全測試、效能測試、壓力測試)
  8. 驗收測試(UAT)
  9. 安裝測試
  10. 合成交易Synthetic Transactions,寫腳本進行監控

Maintenance Phase

RMF & NIST SDLC

NIST System Development Life Cycle,SDLC
* initiation,啟動
* RMF-Categorize Systems:依據impact程度分高中低
* BIA
* PIA
* Development/Acquisition,開發Make/收購Buy
* RMF-Select Controls:依等級進行項次的控制
* RMF-Implement Controls:進行控制
* Implementation/Assessment,實施/評估
* RMF-Assess Controls:評鑑有效性
* Verificaton,內驗,內部驗證正確性
* 認證(Accreditation)
* 指主管機關對某實驗室或驗證機構給予正式認可(授權),證明其有能力執行某特定工作。例如:SGS的食品服務部是經過衛生福利部TFDA認證。
* RMF-Authorize Systems:授權系統上線
* Validation,外確,外部確認有效性
* 驗證(Certification)
* 由中立之第三者確認某一項產品、過程或服務,能否符合規定要求達到一定標準。
* Operations and Maintenance,運營和維護
* Review 操作準備狀態
* RMF-Monitoring Control:持續監測
* 變更管理
* Disposal,除役
* 資訊/資訊系統,最後會進入到除役階段,除了進行硬體設備資源再利用/報廢,或是法律要求的保存,也需對資訊系統所處理的資訊,進行資料消毒 Sanitization,避免資料殘餘 Data Remanence 。
* 資料殘留
* 資料保存政策
* 資料消毒 Sanitization
* Clear 擦除,人員/實驗室可恢復
* Purge. 清除,廠商提供的工具,需送實驗室才能救回
* Destroy. 銷毀,物理性破壞,如碎化

Authorization Decisions:授權決定
* Authorization To Use
* Authorization To Operate,ATO,上線授權
* Common Control Authorization

工程補充

ISO 15288
* Life Cycle Stages
* Concept
* Development
* Production
* Utilization
* Support
* Retirement
* Agreement Processes
* 採購
* Acquisition
* Supply
* Organizational Project-Enabling Processes
* 組織管理專案(整合資源)
* Life Cycle Model Management
* Infrastructure Management
* Portfolio Management
* Human Resource Management
* Quality Management
* Knowledge Management
* Technical Management Processes
* 專案管理
* Project Planning
* Project Assessment and Control
* Decision Management
* Risk Management
* Configuration Management
* information Management
* Measurement
* Quality Assurance
* Technical Processes
* 專業技術
* Business or Mission Analysis
* Stakeholder Needs and Requirement Definition
* System Requirement Definition
* Architecture Definition
* Design Definition
* System Analysis
* Implementation
* Integration
* Verification
* Transition
* Validation
* Operation
* Maintenance
* Disposal

Security Design Principles安全設計原則
- 威脅建模
- 最小許可權
- 深度防禦
- 預設安全設定
- 失效安全
- 職責分離 (SoD)
- 保持簡單
- 零信任
- 通過設計保護隱私
- 信任但要確認
- 共同責任

Security Design Principles安全設計原則
* Saltzer and Schroeder
* Economy of Mechanism
* Fail Safe Defaults
* Complete Mediation
* Open Design
* Separation of Privilege
* Least Privilege
* Least Common Mechanism
* Psychological Acceptability
* Work Factor
* Compromise Recording
* ISO 19249
* Architectural Principles
* Domain Separation
* Layering
* Encapsulatoin
* Redundancy
* Virtualization
* Design Principles
* Least Privilege
* Attack Surface Minimizatoin
* Centralized Parameter Validation
* Centralized General Security Services
* Preparing for Error and Exception Handling
* NIST
* Security Architecture And Design
* Clear Abstractions
* Hierarchical Trust
* Least Common Mechanism
* Inverse Modification Threshold
* Modularity and Layering
* Hierarchical Protection
* Partially Ordered Dependencies
* Minimized Security Elements
* Efficiently Mediated Access
* Least Privilege
* Minimized Sharing
* Perdicate Permission
* Reduced Complexity
* Self-Reliant Trustworthiness
* Secure Evolvability
* Secure Distributed Composition
* Trusted Components
* Trusted Communication Channels
* Security Capability and Intrinsic Behaviors
* Continuous Protection
* Secure Failure and Recovery
* Secure Metadata Management
* Economic Security
* Self-Analysis
* Performance Security
* Accountability and Traceability
* Human Factored Security
* Secure Defaults
* Acceptable Security
* Life Cycle Security
* Repeatable and Documented Procedures
* Secure System Modification
* Procedural Rigor
* Sufficient Documentation

Malicious Software(Malware)

Identifying Common Vulnerabilities

Cloud Computing

Cloud Computing:運算資源服務化
* Essential Characteristics基本特徵(NIST SP 800-145)
* On-demand self-service:隨選自助服務
* Broad network access:寬頻連接
* Resource pooling:資源池
* Rapid elasticity:快速彈性
* Measured Service:可量測
* ISO 17888
* Multi-Tenancy:多租戶

Service Models
* Software as a Service(SaaS):使用軟體(服務),直接使用系統,一般使用者
* 雲端的共享責任:Data
* Platform as a Service(PaaS):程式平台,程式上傳,即可使用,程式設計師
* 雲端的共享責任:Application
* Infastructure as a Service(IaaS):VM,自己裝作業系統,系統工程師
* 雲端的共享責任:OS

Deployment Modes
* Private Cloud:自己人使用
* Public Cloud:公眾使用
* Community Cloud:特定利害關係人一起使用
* Hybrid Cloud:上述情況混用

Cloud Computing Role
* Cloud Carrier
* Cloud Service Provider,CSP
* Cloud Broker
* Cloud Consumer
* Cloud Auditor

Microservices,微服務
* Containerization,容器
* Serverless,無伺服器
Embedded systems
* Industrial Control Systems(ICS)
* Internet of Things(IoT)
High-Performance Computing(HPC)Systems

各種系統架構.
* 基於客戶端的系統
* 基於服務器的系統
* 數據庫系統
* 密碼系統
* 工業控制系統 (ICS)
* 基於雲端的系統(例如,軟件即服務(SaaS)、基礎架構即服務(IaaS)、平台即服務(PaaS))
* 應用系統
* 物聯網(IoT)
* 微服務
* 運算資源服務化
* 無服務器
* 嵌入式系統
* 計算(HPC)系統
* 邊界計算系統
* 虛擬化系統

Zero Trust零信任

Zero Trust零信任:
* A Cybersecurity Paradigm for Access Control 2.0
* Data-Centric, Fine-grained, Dynamic, and Transparent.
* 訪問控制 2.0 的網絡安全範式
* 以資料為中心、更細部(ABAC)、動態和透明。
* ABAC
* XACML
* Risk-based

傳統上:
* 因內網比較安全,所以就自動信任(繼承)
* inherit繼承

零信任:
* 去邊界化(De-perimeterization)
* 保護資源(資訊),資安

Zero Trust Model
* CSA Software Defined Perimeter(SDP),2013
* NIST Zero Trust Architecture
* NIST SP 800-207, Aug 2020

Zero Trust:Access Control 2.0
* Security Principles
* Need-to-Know
* Least Privilege
* No inherent Trust
* Give up "Trust, but verify"
* Perimeterless
* Microsegmentation(微分段)
* Software-Defined Network(SDN)
* Continuous Verification
* Verify and never trust
* Network Access Control(802.1X)
* Mutual-Authentication
* Data-Centric
* Applications, Services, Devices, and Networks
* Pepople and Workflows
* Fine-grained
* Criteria-based vs Score-based(NIST)
* Attribute-based vs Risk-based(ISC2)
* Dynamic
* Port knocking
* Single Packet Authorization(SPA)
* Subject, Object, and Environment(ABAC)
* Transparent(Visibility)
* Logging (Accounting)and Recording
* Monitoring and Inspection

密碼學

Cyptology目標:
* 機密性:資料不被偷
* 完整性:資料不被串改,資料完整性
* 真實性:傳送來源的真實性
* 不可否認性:傳送雙方的不可否認性
* ~~可用性:~~

布林代數

Cryptography:
* Cyptography(防守)
* Encryption(加密): for Confidentiality機密性
* Component元件
* Plaintext明文
* Cipher加密器;Algorithm(演算法)
* Text-based(字母表,以文字為基礎)
* Substitution Cipher(取代型加密器)
* 凱薩
* ROT-3(位移三位)
* BAD = EDG
* 金鑰:3
* Cipher:位移
* Transposition Cipher(換位型加密器,Permutation Cipher排列加密器)
* 打亂文字位置
* 成員不變,位置改變
* 現代密碼學
* 先取代
* 換位
* 反覆上述步驟,作為一輪,在做很多輪
* Binary-based
* Symmetric 對稱式,同強度128bits,快
* Symmetric Demands,對稱式金鑰數量
* n(n-1)/2
* 10個人要面對其他九個人,同一組人除2
* 金鑰管理問題,數量多
* Block Cipher區塊型
* 切塊,
* DES,Data Encryption Standard(Lucifer),Cipher:Lucifer
* DES-EEE3,三把金鑰
* DES-EDE3,D解密,但金鑰不同
* DES-EEE2,K1=K3,兩把金鑰
* DES-EDE2

                    * AES,Advanced Encryption Standard(Rijndael),Cipher:Rijndael
                    * CBC-MAC,最後一次的金鑰使用,雙方約定好的Shared Key(K2)進行加密
                        ![](../assets/cissp/img52.png)
                    * RC6
                * Mode:不改變Cipher加密器的狀況下,事前事後都動手腳
                    * Electronic Codebook(ECB)
                        * 固定樣態,容易破解,缺點:同樣明文會加密成同樣密文
                        * 因無加料,所以速度快
                    * Cipher Block Chaining(CBC)
                        * 加料:initialization Vector(IV)初始向量,動態亂數產生,進行XOR運算
                        * 第一次的密文(Cipher Block )當作第二次的IV,Chaining
                        ![](../assets/cissp/img53.png)
                    * Cipher Feedback(CFB)
                    * Output Feedback(OFB)
                    * Counter(CTR)
                * Stream Cipher串流型
                    * 不切塊,
                    * 適用狀況
                        * 運算能力不足
                        * 行動裝置
                        * 資料形式源源不絕
                    * RC4(RSA發明)
                    * TKIP

            * Asymmetric 非對稱式,同強度2048bits,慢
                * Asymmetric Demands,非對稱式金鑰數量
                    * n*2
                * Public Key Encryptoion
                * Key Pair兩把金鑰
                    * 只能用對應的公鑰及私鑰解密,事先產生公鑰後,傳輸公鑰給人
                    * Public公鑰:隨便給,給別人加密用(用別人的公鑰加密)
                    * Private私鑰:保管好,給自己簽章用(用自己的私鑰簽章)
                * 加密演算法
                    * Prime Factorization質因數分解
                        * RSA(主流)
                    * Discreate Logarithm離散數學
                        * Diffie-Hellman,DH
                            * Key Agreement金鑰協議
                                * 非事先產生
                                * 雙方協議後產生
                                * 金鑰未在網路傳輸
                        * EIGmal Cryptograply,REC,密文為明文的兩倍
                        * Elliptic-Curve Cryptograply,ECC,短小精幹(比RSA更短、快)
    * Key金鑰(啟動器);Securt Key(密鑰)
        * 加密Encryption及解密Decryption
            * 同一把Key:對稱式加密(與非對稱式加密互補,搭配使用)
            * 不同把Key:非對稱式加密(與對稱式加密互補,搭配使用)
        * 隨機、亂碼
            ![](../assets/cissp/img54.png)
        * Key Exchange
            * out-of-band
            * Public Key Encryptoion
                * Key Pair兩把金鑰
                    * Public公鑰:隨便給,給別人加密用(用別人的公鑰加密)
                    * Private私鑰:保管好,給自己簽章用(用自己的私鑰簽章)
            * Diffie-Hellman,DH
                * Key Agreement金鑰協議
                    * 非事先產生
                    * 雙方協議後產生
                    * 金鑰未在網路傳輸

            ![](../assets/cissp/img55.png)

    * Ciphertext:密文
        * 好的加密器(難破解),達成Hash的效果(唯一值)
            * 金鑰(Securt Key)任何變更,密文完全改變,Confusion混淆
            * 明文(Plaintext)任何變動,密文完全不一樣,Diffusion擴散
            * Cipher Operation
                * Confusion(S-Box or Substitution Cipher),混淆能力
                * Diffusion(P-Box or Transpostion Cipher or Permutation Cipher),擴散能力
                    ![](../assets/cissp/img56.png)

其他加密補充

網路工程

OSI 七層

Layer 名稱 關鍵 資安關注議題
7 Application 應用程式 FTP 明文傳送、DNS cache poisoning、流氓 DHCP
6 Presentation 編碼 / 壓縮 / 加解密 Brute Force、Meet in the middle (2DES)、Frequency Analysis、Birthday Attack、彩虹表
5 Session 全雙工/半雙工/單工 Access Token 劫持 (中間人、XSS 跨站攻擊-違反同源政策)
4 Transport 保證送達、不保證送達 UDP : Fraggle attack ; TCP : SYN Flood Attack 、 聖誕樹攻擊
3 Network Layer (定址)Addressing 、(選徑)Routing Ping of Death 、 Smurf Attack 、TTL fingerprinting / footprinting 、淚珠攻擊 、 流氓路由器
2 Data Link Layer Media Access Control(MAC) 、 Logic Link Control(LLC) ARP cache poisoning、MAC flooding
1 Physical 線材、接頭、訊號、傳輸方式 訊號衰減、干擾、竊聽、破壞

OSI與TCP/IP
* Layer 7 Application Layer:服務應用
* TCP/IP Layer:Application
* Protocol Data Unit,PDU:Data / Message
* Layer 6 Presentation Layer:編碼及加密
* TCP/IP Layer:Application
* Protocol Data Unit,PDU:Data / Message
* Layer 5 Session Layer:認證及授權的生命週期
* TCP/IP Layer:Application
* Protocol Data Unit,PDU:Data / Message
* Layer 4 Transport Layer:服務端口
* TCP/IP Layer:Transport
* Protocol Data Unit,PDU:Segment
* Layer 3 Network Layer:定址和路由
* TCP/IP Layer:Internet
* Protocol Data Unit,PDU:Packet
* Layer 2 Data Link Layer:相鄰兩點設備連結的控制
* TCP/IP Layer:Link
* Protocol Data Unit,PDU:Frame
* Layer 1 Physical Layer:物理設備的標準及特性:如MAC/網路卡/網路線
* TCP/IP Layer:Link
* Protocol Data Unit,PDU:Bit

TCP/IP 架構,元素、元素與元素之間的關係

OSI

Firewall

IPsec(非協定而是框架或標準)

Wireless

Data Center Security Concerns

位址管理 Site Management 周邊安全 Perimeter Security 建築安全 Facility Security
選址Site Selection Gates and Fences 大門和圍欄
- Barriers障礙
- Fences圍欄
- Gates大門
- Walls牆
Walls(Access Abuse)牆壁(存取濫用)
- Masquerading偽造證件
- Piggybacking熟人夾帶
- Tailgating尾隨
透過環境設計來犯罪防治(透過大環境特性)
- 天然
- 刻意營造
-- 圓環:不讓車直接衝向大門
Lighting照明
- Types of light system光系統類型
-- Continuous lighting連續照明
-- Stand-by lighting備用照明
-- Movable lighting移動偵測照明
-- Emergency lighting緊急照明
- Type of light光的類型
-- Fluirescent lights螢光燈
-- Mercury vapor lights水星蒸汽燈
-- Sodium vapor lights鈉蒸汽燈
-- Quartz lamps石英燈
-- Infrared illuminators紅外照明器
Doors
- Mantraps陷阱
-- 兩段式刷卡
-- 門後有門

- Turnstiles旋轉門
-- 一次只能進出一位
Escort and Visitor Control 護送和訪客控制 周邊入侵偵測Perimeter Intrusion Detection Keys鑰匙
- Locks 鎖
- Safes保險箱
- Vaults金庫
Awareness Training 意識訓練 CCTV Windows窗戶
- Type of Glass
-- Tempered Glass鋼化玻璃:鋼化擋風玻璃不會破碎成大而鋒利的碎片
-- Laminated Glass膠合玻璃:一層塑料,上面有一層玻璃,下面有一層玻璃,就像三明治一樣。這就是製造夾層玻璃以防止破裂的方式。中間的塑料部分使它更堅固。
-- Bullet-Proof Glass防彈玻璃:承受子彈等高速金屬片的衝擊
-- Wired Glass夾絲玻璃:玻璃的頂部和底部之間確實有電線。如果你敲它,整個東西都不會破碎
Emergency Response 緊急應變 Alarms Wiring接線
-- Wiretapping電話竊聽
-- Eavesdropping隔牆竊聽
-- Sniffing嗅探
-- Man-in-the-Middle中間人
HVAC空調:冷熱通道
Ceilings 天花板and Flooring地板
- 挑高天花板
- 高架地板
Power Supplies電力
- Power Loss
-- Fault瞬斷:故障Fault,瞬間斷電
-- Blackout停很久:斷電 Blockout,長時間斷電
- Power Degradation
- Sag or Dip低壓:衰變Sag,瞬間低壓
-- Brownout停電:電壓過低 Brownout,長時間低壓
- Power Excess
-- Spike突波:穗 Spike 瞬間高壓
-- Surge長時間突波:浪湧Surge長時間高壓
Water and Gas Lines水和瓦斯管線
Fire Decterction and Suppression
- Fire
-- Decterction
-- Fixed-temperature
-- detection systems,固定溫度檢測系統
-- Rate-of rise detection systems,溫度上升率檢測系統
-- Flame-actuated detection systems,火焰驅動檢測系統
-- Smoke-actuated detection systems,煙霧驅動檢測系統

- Fire Suppression

-- Fire Extinguishers,滅火器

--- Class A:灰,一般易燃物
--- Class B:氣體,油類
--- Class C:電子設備
--- Class D:金屬
---Class K:廚房
-- Water Suppression Systems,水抑制系統

--- Wet systems:Dry Pipe濕管,管內有水,透過感應器噴水
--- Dry system:Wet Pipe干管,管內有高壓氣體,透過止迴筏止水
-- Deluge system,雨淋系統:由火災自動報警系統/傳動管控制,自動開啟灑水
--- Pre-action sytem:提前動作,與干管類似,前方有連接頭,溶解才噴水。

---- computer facility適用

--- Gas Discharge System,氣體排放系統

--- CO2, Halon or FM-200
--- Hazardous to people,對人體有害

常用名詞解釋