安全框架(framework)的目的之一是根據安全要求指導控制措施(control)的選擇,以保護資訊系統。 關於安全框架,以下哪項是正確的? (Wentz QOTD) A. 框架設定了組織要遵循的標準 B. 框架應盡可能詳盡 C. 框架可能導致強制性實踐 D. 各種框架不應同時採用
One of the security framework’s purposes is to guide the selection of controls based on security requirements to secure information systems. Which of the following is correct about security frameworks? (Wentz QOTD) A. A framework sets the standard for organizations to follow B. A framework should be as exhaustive as possible C. A framework may lead to mandatory practices D. Various frameworks should not be adopted simultaneously
老師的回覆:
A. A framework sets the standard for organizations to follow => framework是範本/懶人包, 不是標準 B. A framework should be as exhaustive as possible => 應儘量簡單, 易用, 不要太繁索 C. A framework may lead to mandatory practices => framework可能最後會導致/發展出強制性的實務作法 D. Various frameworks should not be adopted simultaneously => 一個組織實際上反而都是導入多個框架, 解決不同需求.
According to Bruce Schneier, there are four general types of cryptanalytic attacks, each of which assumes that the cryptanalyst has complete knowledge of the encryption algorithm. Which of the following emphasizes that the cryptanalyst’s job is to recover the plaintext of as many messages as possible, or better yet to deduce the key (or keys) used to encrypt the messages, in order to decrypt other messages encrypted with the same keys? (Wentz QOTD) A. Ciphertext-only attack B. Known-plaintext attack C. Chosen-plaintext attack D. Chosen-ciphertext attack
根據 Bruce Schneier 的說法,有四種一般類型的密碼分析攻擊,每一種都假設破密分析者完全了解加密算法。 以下哪項強調破碼分析員的工作是盡可能多地恢復消息的明文,或者更好地推斷用於加密消息的密鑰(或多個密鑰),以便解密使用相同密鑰加密的其他消息? (Wentz QOTD) A. 只有密文攻擊 B. 已知明文攻擊 C. 選擇明文攻擊 D. 選擇密文攻擊
建議答案為A
根據密碼學大學Bruce Schneier的說法, 只有密文攻擊, 已知明文攻擊, 選擇明文攻擊, 及選擇密文攻擊等都可以用來破解Key(即deduce the key), 但有二個是比較特別的:
事件(event)的發生有一定的條件與前提,以及因果關係(cause and effect)。好的事情發生,我們會探討成功因素(success factors);面對壞的事情,我們會追究根本原因(root cause)。然而,實務世界很難找到一組成功因素(充分, sufficient)可獲致必然成功的結果。也就是說,分析成功的個案、探究關鍵成功因素(CSF, critical success factor),並且仿效成功個案可以增加成功的機會,但並不一定能獲得同樣的成功。相反的,有些事情則是可預期的必然結果。例如,取得CISSP資格的一定要(必要, necessary)通過CISSP考試;換句話說,沒有CISSP資格的人,我們可以確信他一定沒有通過CISSP考試。
實體與帳號
根據Google字典,實體(entity)是實際存在且可以維一識別的獨立個體 (a thing with distinct and independent existence)。一個實體的特質(quality)、特性(property)、特徵(characteristic)或特色(feature)等的描述稱為屬性(attribute)。用來唯一識別一個實體的屬性則稱為身份(Identity)。台灣是一個政治實體(在政治上實際存在的個體),但我們有許多不同的身份,例如:國名叫中華民國、參加奧運會則是叫中華台北、在WTO則叫作臺澎金馬個別關稅領域。台灣的正名運動,就是讓我們有一個一致、明確、可唯一識別的國家身份。在資訊或資安領域,所有軟硬體相關的東西(其至是使用者),都可以抽象地稱之為實體;UEBA (User and Entity Behavior Analysis)就是針對使用者與使用者以外的所有實體(東西)來進行分析,以察覺及偵測異常並強化安全性。帳號(account)則是為了方便管理實體的技術手段。
工程(engineering)的本質是作東西(acquire and develop),當作解決方案(solution)來解決利害關係人(stakeholder)的問題(problem)及滿足他們的需求(expectations, needs, and requirements);也就是運用專業知識把一個東西從無到有作出來,讓它上線、使用它、維運它,一直到它除役的整個生命週期都必須考慮到利害關係人的需求。系統安全工程特別強調發展一套系統必須在整個系統發展生命週期(SDLC, system development life cycle)的每一個階段的每一個活動,都必須考慮到利害關係人的安全需求(安全性)。一個系統的發展不可能一開始就鉅細靡遺,而是從主要的元素及其關係(架構)開始設計。所謂的設計(design)是指書面的解決方案。因此,一個安全的系統必須從生命週期(life cycle)及架構(architecture)的角度來思考安全性,也就是時間都安全、處處都安全的概念。
何謂科學? Science is a systematic enterprise that builds and organizes knowledge in the form of testable explanations and predictions about the universe. Source: Wikipedia
在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。 「服務開通」常常出現在有關虛擬化、編配、效用計算、雲計算和開放式配置的概念和項目的上下文中。例如,結構化信息標準促進組織(Organization for the Advancement of Structured Information Standards,簡稱OASIS)開通服務技術委員會(Provisioning Services Technical Committee,簡稱PSTC),為交換用戶、資源和服務開通信息定義了一個基於可擴展標記語言(Extensible Markup Language,簡稱XML)的框架,例如,用於「在機構內部或之間管理身份信息和系統資源的服務開通和分配」的服務開通標記語言(Service Provisioning Markup Language,簡稱SPML):維基百科
用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。 HTTPS 強制保密,但 POST 方法沒有。使用 POST 方法的 HTTP 請求以明文形式傳輸。 API 有一個漏洞,可以在設計階段通過威脅建模儘早識別。 RESTful API RESTful API 通常可以通過基本 URI 訪問,使用標準 HTTP 方法並返回媒體類型。HTTP 請求 GET https://api.WentzWu.com/user/ {username}/{password} 看起來像一個 RESTful API 請求。但是,我們不知道 API 如何返回結果,也不能斷定它是 RESTful。
以下是維基百科關於 RESTful API 的總結: 表現層狀態轉換(REST) 是一種軟體架構風格,旨在指導萬維網架構的設計和開發。REST 已被整個軟件行業採用,並且是一套被廣泛接受的用於創建無狀態、可靠的 Web API 的指南。 遵守 REST 架構約束的 Web 服務 API 稱為 RESTful API。基於 HTTP 的 RESTful API 的定義有以下幾個方面: –基本 URI,例如http://api.example.com/; –標準 HTTP 方法(例如,GET、POST、PUT 和 DELETE); –定義狀態轉換數據元素的媒體類型(例如,Atom、微格式、application/vnd.collection+json、[13]:91-99 等)。當前表示告訴客戶端如何編寫轉換到所有下一個可用應用程序狀態的請求。這可以像 URI 一樣簡單,也可以像 Java 小程序一樣複雜。
-API 閘道器和服務網格(來源:Liran Katz) 實施 API 閘道器以促進跨境通信;他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端的入站請求路由到適當的服務;內部 API 閘道器促進了各種服務網格範圍之間的通信。服務網格促進特定範圍內的服務到服務通信。 API 閘道器架構可以是整體式的,也可以是分佈式的。 在整體式API 閘道器架構中,通常只有一個 API 閘道器部署在企業網路的邊緣(例如,非軍事區 (DMZ)),並在企業級為 API 提供所有服務。 在分佈式API閘道器架構中,有多個微閘道器實例,部署在更靠近微服務API的地方。微閘道器通常是低的覆蓋區,其可以被用來定義和執行自定義策略,因此適合用於基於微服務的應用程序,必須通過特定的服務的安全策略來保護可腳本API閘道器。 微閘道器通常作為使用 Node.js 等開發平台的獨立容器實現。它不同於服務網格架構的 sidecar 代理,後者是在 API 端點本身實現的。 來源:來源:NIST SP 800-204
-面向服務的架構 (SOA) 面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA,而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中,這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。
面向服務的架構 (SOA) 服務是一個自包含的松耦合邏輯。在 SOA 中,傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務;服務消費者根據註冊中心查找或發現感興趣的服務以消費(綁定和調用)這些服務。 -SOA 的查找-綁定-執行範式(來源:Qusay H. Mahmoud) “幾年前,IBM、微軟和 SAP 曾經託管公共 UDDI 服務器,但現在已經停產了。” ~ user159088 on stackoverflow -SOA 元模型,The Linthicum Group,2007
微服務 微服務:微服務是一個基本元素,它源於將應用程序的組件架構分解為鬆散耦合的模式,這些模式由自包含的服務組成,這些服務使用標准通信協議和一組定義良好的 API 相互通信,獨立於任何供應商、產品或技術。 微服務是圍繞能力構建的,而不是服務,構建在 SOA 之上,並使用敏捷技術實現。微服務通常部署在應用程序容器內。 資料來源:NIST SP 800-180(草案)
DNS 區域(DNS Zones) DNS 命名空間是按層次結構或樹組織的 DNS 域名的邏輯結構。DNS 區域是 DNS 命名空間的一部分的管理結構。DNS 區域文件是區域的存儲庫。 主 DNS 服務器託管一個可寫區域,該區域可以傳輸到一個或多個輔助 DNS 服務器。輔助 DNS 服務器上的副本或副本通常是只讀的。但是,副本可以是可寫的,例如 Microsoft AD 集成的 DNS;這取決於供應商的實施。 主 DNS 服務器和輔助 DNS 服務器之間的區域傳輸使用 TCP 端口 53。它可以定期或基於通知進行。為了安全起見,主 DNS 服務器可能會維護一個輔助 DNS 服務器的白名單。 DNS 客戶端也稱為 DNS 解析器,它使用 UDP 端口 53 向 DNS 服務器發送遞歸 DNS 查詢。然後 DNS 服務器發出多個非遞歸或迭代查詢來解決來自 DNS 客戶端的查詢。 -DNS 命名空間和區域
第二類虛擬機器監視器(Type II hypervisor) 一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機(VM)上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。 -虛擬機器監視器(來源:TechPlayOn)
搶占式多任務處理(Preemptive Multitasking) 搶占式多任務處理不是一種隔離機制。但是,它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看,它可以在某種程度上被視為線程級隔離。 -上下文切換(來源:hcldoc)
-零假設和替代假設(來源:PrepNuggets) 原假設和替代假設(Null and Alternative Hypotheses) 零假設是假設與正常狀態為零或沒有偏差。由於證明假設很困難,我們通常會找到反對原假設的證據並接受替代假設,而不是直接證明替代假設為真。因此,原假設和備擇假設可以寫成如下: . 替代假設:樣本指紋與模型庫中的模板不匹配 . 零假設:樣本指紋與模型庫中的模板匹配
型一和 型二錯誤(Type I and Type II Errors) 在統計學中,我們通常不會只提出一個需要足夠證據來證明的假設。相反,我們接受備擇假設,因為我們拒絕了基於具有預定義顯著性水平(例如,5%)的反對原假設的證據。 統計假設檢驗的決定是是否拒絕零假設。但是,有些決定可能是錯誤的,可分為以下幾類: . 第一類錯誤:我們拒絕原假設,這是真的。(拒絕正常情況) . 第二類錯誤:我們未能拒絕原假設,這是錯誤的。(接受異常情況)
誤報意味著識別/檢測到冒名頂替者,但決定是錯誤的。假陰性意味著沒有識別/檢測到冒名頂替者,而且該決定是錯誤的。人們通常會將假陽性與 I 類錯誤聯繫起來,將假陰性與 II 類錯誤聯繫起來,即使它們在使用不同技術的上下文中使用。Li 的論文很好地將統計假設檢驗與機器學習二元分類進行了比較。 -假設檢驗和二元分類(來源:ScienceDirect)
一個網路通過傳輸介質連接兩個或多個節點,共享資源;它有兩種架構視圖:物理視圖和邏輯視圖。網路的邏輯部分在物理層之上工作。邏輯網路由網路層協議表示,例如IP。使用 32 位 IP 地址和子網路遮罩的 IP 協議編號(地址)節點和網路。執行相同協議的所有網路都是同構的。IP 網路和 IPX 網路的混合是異構的。路由器通常連接均相邏輯網路。閘道器在該上下文中是指連接同構網路的設備,其典型地需要協議轉換。一個防火牆旨在過濾數據包或篩選消息。下一代防火牆強調的只是它處理越來越多的新興需求並提供更多解決方案的想法。
閘道器(Gateway) 在 ISO OSI 參考模型的經典教科書中,閘道器通常是指應用協議轉換的第 7 層閘道器或應用程序閘道器。然而,現在人們傾向於從字面上使用術語閘道器。例如,默認閘道器可能是指 NAT 設備、路由器或防火牆;電路級閘道器是指工作在會話層的防火牆。
信號和中繼器(Signal and Repeater) 物理網路是邏輯網路的底層基礎設施。主要的物理元素是傳輸介質和承載數據的信號。信號在媒體上傳播的時間長短各不相同;無論使用哪種媒體,信號總是會衰減。模擬信號由放大器放大,而數字信號由中繼器重複,以便它們在減弱之前可以傳播得更遠。
拓撲和橋接器(Topology and Bridge) 節點通過傳輸介質(有線或無線)連接,並形成形狀或拓撲。線性總線、圓環、分層樹和網狀網路是常見的拓撲結構。橋接器連接不同的形狀或拓撲的兩個或多個網路。
數據鏈路層:MAC 和 LLC(Data Link Layer: MAC and LLC) 網路上任何形狀/拓撲的節點都可以相互通信,就像它們中的任何一對通過電纜直接連接一樣。事實上,這些節點共享相同的媒體。換句話說,它們在邏輯上而不是在物理上是相連的。我們將網路上任意一對節點之間的通信稱為邏輯鏈路。由共享媒體連接的節點的規則稱為媒體存取控制(MAC);網路上任意一對節點之間的錯誤和流量控制稱為邏輯鏈路控制 (LLC)。MAC 和 LLC 被共同視為 ISO OSI 參考模型中數據鏈路層的主要關注點。
-外部和內部分析 存在為客戶服務的組織;他們的需要和要求很重要。組織在開始戰略計劃之前進行外部和內部分析或背景和組織分析。同時識別和分析利益相關者或利益相關方。 建立一個部門來負責安全功能是一種組織變革。法律和法規要求或客戶的需求和要求這種情況並不少見。安全功能的位置、角色和職責可能與 IT 功能重疊。例如,防火牆、端點安全、安全運營中心和服務台可能會使用共享資源,模糊了安全運營和 IT 運營的界限。 安全和隱私安全控制的選擇很重要,但它不像上面提到的其他因素那麼重要,因為可以在安全部門成立後考慮控制。此外,控制可以應用於各種級別,例如資訊系統級別、設施級別、業務流程級別或組織級別。控制是風險緩解策略的一部分。它們在風險評估後實施。因此,它更像是一個風險管理問題,而不是建立安全部門時的問題。
MTTF(Mean Time To Failure):平均故障壽命(一次性):出廠到失效之間平均時間 MTBF(Mean Time Between Failures):平均故障間隔(多久壞一次) MTTR(Mean Time To Repair):平均修復時間:產品由故障轉為工作狀態時,修理時間的平均值。
DES 於 1970 年代初由 IBM 開發,基於 Horst Feistel 的早期設計。它於 1976 年被批准為美國加密標準。三重 DES (3DES/TDES) 是 DES 在 1990 年代被破壞後的一種解決方法。3DES 使用相同的 DES 算法三次以增加工作因子。3DES 需要三個密鑰(每個 DES 操作一個);但是,第一次使用的密鑰可以在第三次處理時使用。名義上,3DES 使用三個密鑰,但實際上它可以使用兩個密鑰(第一次和第三次使用相同的密鑰)。DES3-EEE 意味著使用三個不同的密鑰應用 DES 加密三次。
服務器欺騙是一種干擾因素,它結合了兩個概念:服務器群和欺騙攻擊。 Pharming 是一種網絡攻擊,旨在將網站的流量重定向到另一個虛假網站。 Pharming 可以通過更改受害者計算機上的主機文件或利用 DNS 服務器軟件中的漏洞來進行。 DNS 服務器是負責將 Internet 名稱解析為其真實 IP 地址的計算機。受損的 DNS 服務器有時被稱為“中毒”。 Pharming 需要不受保護地訪問目標計算機,例如更改客戶的家用計算機,而不是公司業務服務器。資料來源:維基百科
不變性和彈性(Immutability and Elasticity) 正如寵物中的雞、牛、雞和昆蟲類比,部署容器是為了彈性,具有自動“橫向擴展”和“縱向擴展”的能力。 我們很好地照顧我們的寵物,但殺死和吃掉像牛和雞這樣的動物而不會後悔。虛擬機和容器是可以隨時銷毀、替換和添加的工作負載。不變性和無狀態是容器實現彈性的兩個關鍵屬性。
“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成,其中每兩個元素都有一個唯一的上界(也稱為最小上界或連接)和唯一的下界(也稱為最大下界或相遇)。” (維基百科) 安全格通常用於控制安全級別/類別或隔間之間的信息流。分類和標記是基於格的訪問控制的兩個主要特徵。 基於晶格的訪問控制(Lattice-based Access Control) Ravi S. Sandhu 在這篇名為 Lattice-Based Access Control Models 的論文中回顧了三種基於格的訪問控制模型(Bell-LaPadula、Biba 和 Chinese Wall),該論文展示瞭如何在格框架中執行 Chinese Wall 策略,並表示: 開發了基於晶格的訪問控制模型來處理計算機系統中的信息流。信息流顯然是保密的核心。正如我們將看到的,它在某種程度上也適用於完整性。它與可用性的關係充其量是微不足道的。因此,這些模型主要關注機密性並且可以處理完整性的某些方面。
貝爾-拉帕杜拉模型(Bell-LaPadula Model) -貝爾-拉帕杜拉模型
比巴模型(Biba Model) -比巴模型
布魯爾和納什模型(Brewer and Nash model) Brewer 和 Nash 模型將數據集分類為利益衝突類並標記它們以根據主體的訪問歷史(也稱為基於歷史)動態應用訪問控制。 -布魯爾和納什模型(中國牆)
克拉克-威爾遜模型(Clark-Wilson Model) Clark-Wilson 模型有兩個特點:格式良好的交易和職責分離。它依靠“程序”來強制執行完整性,而不是為了保密而控制信息流。 David D. Clark 和 David R. Wilson 在他們的論文《商業和軍事計算機安全政策的比較》中說: 本文提出了一種基於商業數據處理實踐的數據完整性策略,並將該策略所需的機制與強制執行信息安全點陣模型所需的機制進行了比較。我們認為格模型 不足以表徵完整性策略,需要不同的機制來控制披露和提供完整性…… 首先,通過這些完整性控制,數據項不一定與特定的安全級別相關聯,而是與一組允許對其進行操作的程序相關聯。其次,用戶沒有被授予讀取或寫入某些數據項的權限,但可以對某些數據項執行某些程序…… -Clark-Wilson 誠信模型(圖片來源:Ronald Paans) 參考 . 可信計算機系統評估標準 . 貝爾-拉帕杜拉模型
什麼是保證?(What is Assurance?) 對於安全工程,“保證”被定義為系統安全需求得到滿足的置信度。…通過審查通過開發、部署和操作期間的評估過程和活動以及通過使用 IT 系統獲得的經驗獲得的保證證據,可以實現信心。任何可以通過產生證明 IT 系統屬性的正確性、有效性和質量的證據來減少不確定性的活動,都有助於確定安全保證。 資料來源:哈里斯·哈米多維奇
身份驗證和機密性(Authentication and Confidentiality) SED通過鎖定驅動器和加密數據來增強安全性。開機時需要使用身份驗證密鑰(AK)來解鎖驅動器(解密DEK),然後數據加密密鑰(DEK)解密數據。SED不會將DEK存儲在可信平台模塊(TPM)中,該平台通常以母板或芯片集組件的形式實現。
信任但要驗證(Trust But Verify) 1987年12月8日,羅納德·裡根(Ronald Reagan)總統在INF條約上簽字後,“信任但核實”一詞被翻譯成俄語,並廣為人知。有些人將其與“零信任”相同,但其他人則不同。有人認為今天還不夠,應該用“驗證,驗證,驗證”或“零信任”代替。IMO,信任但驗證與零信任相同。
-圖片來源:DO SON 為了準備測試數據以驗證後端API是否暗示被測系統(SUT)是一個數據驅動的系統,該系統處理和處理傳輸,靜止和使用中的各種數據,這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如,系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。
