-面向服務的架構 (SOA)
面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA，而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中，這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。

面向服務的架構 (SOA)
服務是一個自包含的松耦合邏輯。在 SOA 中，傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務；服務消費者根據註冊中心查找或發現感興趣的服務以消費（綁定和調用）這些服務。
-SOA 的查找-綁定-執行範式（來源：Qusay H. Mahmoud）
“幾年前，IBM、微軟和 SAP 曾經託管公共 UDDI 服務器，但現在已經停產了。”

~ user159088 on stackoverflow

-SOA 元模型，The Linthicum Group，2007

微服務
微服務：微服務是一個基本元素，它源於將應用程序的組件架構分解為鬆散耦合的模式，這些模式由自包含的服務組成，這些服務使用標准通信協議和一組定義良好的 API 相互通信，獨立於任何供應商、產品或技術。
微服務是圍繞能力構建的，而不是服務，構建在 SOA 之上，並使用敏捷技術實現。微服務通常部署在應用程序容器內。
資料來源：NIST SP 800-180（草案）

容器編排

-Mesos、Swarm 和 Kubernetes（來源：Nane Kratzke）

-Kubernetes 架構（來源：Dorothy Norris）

參考
. SOA宣言
. 面向服務的架構
. 是否有任何公共 UDDI 註冊中心可用？
. UDDI 註冊中心：可由啟用總線的 Web 服務引用的 Web 服務目錄
. 模式：微服務架構
. 2019年容器編排
. 使用 Kubernetes、Docker Swarm 和 Mesos 進行 Neo4j 容器編排
. Kubernetes vs. Mesos——架構師的視角
. Apache Mesos PNG 4
. SOA 與微服務：有什麼區別？
. 企業服務總線
. 企業應用集成
. 面向服務的架構 (SOA) 和 Web 服務：企業應用程序集成 (EAI) 之路
. 面向服務架構的 Web 服務方法

資料來源： Wentz Wu網站

-NIST 通用風險模型 (NIST SP 800-30 R1)
NIST 通用風險模型描述了威脅源如何發起利用漏洞導致不利影響的威脅事件（例如，TTP、策略、技術和程序）。垃圾郵件發送者、恐怖分子和機器人網絡運營商是威脅來源，而網絡釣魚則是威脅事件。
風險與威脅

-什麼是風險？

資料來源： Wentz Wu QOTD-20210818

驗證及確認（Verification and validation）兩者是獨立的過程，若兩者一起使用，可以用來檢查產品、服務或系統滿足需求和規格並且符合其原來預期的目的^[1]。這些是品質管理系統（例如ISO 9000）的關鍵組件。有時會在「驗證及確認」前面加上「獨立」（independent）一詞，表示驗證及確認是由公正的第三方執行的。「獨立驗證及確認」可以簡稱為「IV&V」。

在實務上，在質量管理方面，驗證及確認的定義可以不一致。有時甚至可以交換使用^[2][3][4]。

電氣電子工程師學會（IEEE）採用的標準PMBOK指南中在第 4 版中的定義如下 ^[5]：

• 「確認（Validation）：保證產品、服務或系統滿足客戶和其他已識別的利益相關者的需求。它通常涉及外部客戶的接受度和適應性。與驗證形成對比。」
• 「驗證（Verification）：評估產品、服務或系統是否符合規定、需求、規格或其他附加條件。多半是組織內部的流程。與確認形成對比。」

資料來源：https://zh.wikipedia.org/wiki/%E9%A9%97%E8%AD%89%E5%8F%8A%E7%A2%BA%E8%AA%8D

-CVSS 指標組（來源：FIRST）
通用漏洞評分系統 (CVSS) 標准定義了三個指標組：基本、時間和環境指標組。基本指標組是強制性的，而時間和環境指標組是可選的。
基本指標組有兩個指標集，可利用性指標和影響指標，用於評估風險。風險包括兩個關鍵因素：不確定性（可能性或可能性）和影響（影響）。針對風險可能性或可能性的漏洞可利用性標準。如果一個風險的可能性很大，但對安全目標（機密性、完整性和可用性）沒有影響，那麼它就無關緊要或不是風險。

-CVSS 度量和方程（來源：FIRST）

參考
. 通用漏洞評分系統 v3.1：規範文檔
. 常見漏洞評分系統計算器

資料來源： Wentz Wu QOTD-20210817

– 資安的定義: 手段、標的與目標

– 三階目標與風險管理: 1-2-3-4

– 安全控制措施的種類

– 戰略管理: 組成、形成與執行(政策框架與專案管理

– 將安全融入組織的各個業務流程: 人事與採購 (甲、乙、丙方及保證制度)

– 業務持續管理: 七步驟

– 資產安全: 盤點、分類、保護

– NIST RMF

– 資料治理: 企業自有資料與個資、智財、資料生命週期與狀態、資料清洗與殘留

– 存取控制概念: 主體、客體、安全核心及3A

– 隨意型存取控制(DAC)

– 安全評鑑、稽核與變更管理概念

– 日常維運及持續改善概念

– 工程的定義

– 意識、教育與訓練

-網路安全挑戰
虛擬可擴展局域網 (Virtual eXtensible Local Area Network :VXLAN)
虛擬可擴展 LAN (VXLAN) 是一種網路虛擬化技術，旨在解決與大型雲計算部署相關的可擴展性問題。VXLAN 規範最初由 VMware、Arista Networks 和 Cisco 創建。（維基百科）
它是一個軟體定義的覆蓋網路，它使用類似 VLAN 的封裝技術將 OSI 第 2 層以太網幀封裝在第 4 層 UDP 數據報中，使用 4789 作為 IANA 分配的默認目標 UDP 端口號。最常見的應用之一是連接docker 容器的覆蓋網路。

-Docker 覆蓋網路（來源：nigelpoulton）

軟體定義網路 (Software Defined Networks：SDN)
軟體定義網路 (SDN) 技術是一種網路管理方法，它支持動態的、以編程方式高效的網路配置，以提高網路性能和監控，使其更像雲計算，而不是傳統的網路管理。SDN 試圖通過將網路數據包的轉發過程（數據平面）與路由過程（控制平面）分離，將網路智能集中在一個網路組件中。控制平面由一個或多個控制器組成，這些控制器被認為是整合了整個智能的 SDN 網路的大腦。
資料來源：維基百科

-SDN架構
軟體定義的邊界 (Software Defined Perimeter：SDP)
軟體定義邊界 (SDP)，也稱為“黑雲”，是一種計算機安全方法，它從 2007 年左右在全球信息網格 (GIG) 黑色核心網路計劃下國防信息系統局 (DISA) 所做的工作演變而來.
軟體定義邊界 (SDP) 框架由雲安全聯盟 (CSA) 開發，用於根據身份控制對資源的訪問。軟體定義邊界中的連接基於需要知道的模型，在該模型中，在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。
軟體定義的邊界通過使應用程序所有者能夠部署邊界來解決這些問題，這些邊界保留了傳統模型對外部不可見和不可訪問的價值，但可以部署在任何地方——在互聯網上、在雲中、在託管中心、在私人公司網路，或跨越部分或所有這些位置。
資料來源：維基百科

-SDP架構

參考
. 微分段
. 什麼是微分段？
. 微分段與網路分段的區別
. 微分段：網路安全的下一次演變
. 2021 年最佳零信任安全解決方案
. 什麼是微分段？（帕洛阿爾托）
. 什麼是微分段？(VMware)
. 什麼是 VMware 虛擬化環境中的工作負載管理
. 軟體定義邊界中的微分段
. SD-WAN、SDP、ZTNA……它們真的有那麼不同嗎？
. 安全智庫：SDN、容器、加密和SDP的安全作用
. 軟體定義的邊界：SDP 的架構視圖
. 利用微分段構建全面的數據中心安全架構
. 使用 NSX-T 3.0 為 VLAN 微分段準備集群

資料來源： Wentz Wu QOTD-20210815

一個軟件定義的邊界（SDP），也被稱為“黑色的雲”，是一種方法的計算機安全，不同於在做的工作發展國防信息系統局（DISA）的下全球信息柵格（GIG）黑色核心網絡計劃2007 年左右。^[1] 軟件定義邊界 (SDP) 框架由雲安全聯盟(CSA)開發，用於根據身份控制對資源的訪問。軟件定義邊界中的連接基於需要知道的模型，在該模型中，在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。^[2]應用程序基礎設施實際上是“黑色的”（DoD 術語，表示無法檢測到基礎設施），沒有可見的DNS信息或IP 地址。^{[可疑 –討論]} 這些系統的發明者聲稱，軟件定義的邊界可以緩解最常見的基於網絡的攻擊，包括：服務器掃描、拒絕服務、 SQL 注入、操作系統和應用程序漏洞利用、中間人middle、 pass-the-hash、 pass-the-ticket和其他未經授權用戶的攻擊。^[3]

資料來源：https://en.wikipedia.org/wiki/Software-defined_perimeter

-計算機架構

作為解決方案最重要的工件，架構是一個對象（解決方案）從各種觀點或角度的概念、邏輯和物理表示，它確定了它的構建塊、關係、交互、邊界、接口、環境和上下文以及指導解決方案在其整個生命週期中的演變。
~ 吳文智

定義
. 系統或解決方案的一組相關的物理和邏輯表示（即視圖）。該體系結構在不同抽象級別和不同範圍內傳達有關係統/解決方案元素、互連、關係和行為的信息。（來源：NIST SP 800-160 第 1 卷）
. 與描述對象相關的一組設計人工製品或描述性表示，以便它可以按要求（質量）生產並在其使用壽命（變更）期間保持不變（來源：Zachman：1996，ISO/TR 20514:2005)
. 體現在其組件中的系統的基本組織、它們之間的關係以及與環境的關係，以及指導其設計和演變的原則（來源：ISO/IEC 15288:2008）
. 一套系統的概念和規則，描述了整個系統中實體之間的相互關係，獨立於硬體和軟體環境
注 1：架構是通過一系列可能處於不同級別的通用性的觀點來描述的/ specificity、abstraction/concept、totality/component等等。另請參見下文中的“通信視點”、“功能視點”、“組織視點”和“物理視點”定義。（來源：ISO/TR 26999:2012）
. 系統在其環境中的基本概念或屬性，體現在其元素、關係以及其設計和演變的原則中 (ISO/IEC/IEEE 42010:2011)
. 項目或元素的結構表示，允許識別構建塊、它們的邊界和接口，並包括對這些構建塊的需求分配（來源：ISO 26262-1:2018）
. 系統的概念結構
注 1：一個系統可能由幾個相互作用的子系統組成，每個子系統都有自己的體系結構。（來源：ISO/IEC TR 29108:2013）
. 邏輯結構和與組織和業務環境的相互關係所依據的一組原則
注 1：軟體架構是軟體設計活動的結果。（來源：ISO/TR18307:2001）
. 系統中硬體和軟體元素的特定配置（來源：IEC 61508-4）

資料來源： Wentz Wu網站

RMM 解釋

風險管理基準和進展

風險成熟度模型 (RMM) 概述了構成可持續、可重複和成熟的企業風險管理 (ERM) 計劃的關鍵指標和活動。通過風險成熟度自我評估，組織可以衡量其當前風險管理實踐與 RMM 指標的一致性。完成後，每個組織都會獲得其計劃的成熟度評分，從最早階段和最低風險成熟度級別 Ad-Hoc（1 級）開始，並進展到最高級的風險成熟度級別領導（5 級） . 下面將概述 RMM 風險成熟度評估的每個組成部分、每個組成部分的評分方式以及評估的結果。

七大屬性

風險成熟度模型 (RMM) 確定了有效企業風險管理的七個關鍵屬性。這些屬性涵蓋 ERM 計劃的規劃和治理，以及評估的執行以及風險信息的匯總和分析。

最佳實踐 ERM 計劃的七個屬性或組成部分如下：

• 採用基於 ERM 的流程該屬性衡量組織的風險文化，並考慮執行或董事會級別對企業風險管理的支持程度。
• ERM 流程管理該屬性衡量組織在其文化和業務決策中採用 ERM 方法的程度，以及風險管理計劃遵循最佳實踐步驟以識別、評估、評估、減輕和監控風險的程度。
• 風險偏好管理此屬性評估圍繞風險回報權衡、風險問責制、定義風險容忍度以及組織是否有效縮小潛在風險與實際風險之間的差距的意識水平。
• 根本原因紀律此屬性評估組織根據來源或根本原因識別風險的程度，以及它們產生的症狀和結果。關注風險的根本原因並相應地對其進行分類將加強響應和緩解工作。
• 發現風險此屬性衡量風險評估的質量和覆蓋範圍。它檢查收集風險信息的方法、風險評估過程，以及是否可以從風險信息中發現企業範圍的趨勢和相關性。
• 績效管理該屬性決定了組織執行其願景和戰略的程度。它通過基於風險的流程評估規劃、溝通和衡量核心企業目標的強度，以及進展偏離預期的程度。
• 業務彈性和可持續性該屬性評估業務連續性、運營規劃和其他可持續性活動採用基於風險的方法的程度。

能力驅動因素和指標

每個屬性都包括一組能力驅動因素，其中概述了實現每個驅動因素所涉及的關鍵準備指標（或活動）。這些驅動因素/指標對涵蓋整個風險管理流程，包括管理、外展、數據收集和匯總以及風險信息分析。以下是構成 RMM 風險成熟度評估的 25 個能力驅動因素和指標配對的樣本：

執行 ERM 支持

• 風險優先級和進展是否向董事會或高級領導層報告？
• 新計劃（即項目、運營變更、供應商入職等）是否需要進行風險評估？
• 在員工績效評估中是否考慮了風險管理教育和理解？

信息分類

• 是否有用於識別風險的標準化流程或分類模型？
• 業務領域是否確定組織目標並跟踪實現進度？
• 風險是通過根本原因還是源頭來識別的？

業務流程定義和風險所有權

• 業務領域是否識別與流程相關的風險？
• 流程所有者是否在定期規劃和戰略制定中管理他們的風險、威脅和機會？
• 所有的風險、威脅和機遇是否都及時傳達並採取了行動？

評分方法

對於以下三個評估維度中的每一個，所有能力驅動因素都按照 1-10 的等級進行評分：

• 效力衡量關鍵風險管理活動的頻率和有效性。（即評估是臨時的還是每年完成？是否至少每季度審查一次高風險？）
• 主動性衡量風險管理的性質，無論是主動還是被動。（即組織是否等到不利事件發生以降低風險或是否計劃了未來的情景？）
• 覆蓋範圍衡量組織內風險管理的廣度和深度。（即職責是否跨越組織的所有部門和所有垂直級別？）

完成後，將為每個驅動程序提供成熟度評分以及整個風險管理計劃的整體成熟度評分。評分基於 5 級量表，1 級表示最低風險成熟度，5 級表示最高成熟度。通過每個因素的成熟度評分，組織可以優先考慮時間和資源來改進其風險管理流程中最薄弱的領域，同時保留最強大的實踐。

基於經過驗證的最佳實踐活動，實施 RMM 指標的組織能夠創造並體驗有效風險管理的好處。LogicManager 幫助組織彌合差距並完善其風險管理計劃，提供了許多資源和幫助方法。

如何進行 RMM 風險成熟度評估

通常，組織在完成 RMM 的風險管理成熟度評估時會採取兩條路線：一個人代表 ERM 計劃（風險管理計劃和實踐的核心人員）完成評估，或者由幾個人進行評估並彙總分數來自參與 ERM 計劃不同領域的多個評估員。

RMM 有兩個版本：標準版本旨在供組織中希望全面了解其 ERM 成熟度的領導者採用。第二個版本，即前線的 RMM，旨在供員工直接執行為組織提供動力的日常運營和流程。標準 RMM 和前線 RMM 之間的區別在於能力驅動因素（前者將被問及關於更高級別企業關注的問題，而後者將檢查與它們更密切相關的領域）。雖然根據每個 ERM 計劃的結構，一種方法可能比另一種更適合，但兩者都會產生有意義的成熟度分數和報告，以便在改進 ERM 計劃時加以利用。

要進行免費的在線 RMM 評估，請訪問此鏈接！完成後，評估會提供一份個性化的分數報告，包括您的報告與成功因素指南之間的比較。這有助於您識別差距並確定其優先級，並製定行動計劃以推進您的風險管理計劃。評估不需要任何經驗，大約需要 30 分鐘才能完成，並通過易於使用的在線評估嚮導完成。單擊此處進行 RMM 評估！

如果您對 RMM 評估有任何疑問或想召開會議討論您的結果，請發送電子郵件至communications@logicmanager.com。

• 有關風險成熟度模型 (RMM) 的更多信息，請訪問RMM 資源中心。
• 如需有關有效企業風險管理實踐的進一步指導，請訪問免費的ERM 資源與知識中心。

資料來源：https://www.riskmaturitymodel.org/risk-maturity-model-rmm-for-erm/

-側信道攻擊

側信道攻擊(Side-channel attack)
只需在設備或系統附近放置天線、磁探頭或其他傳感器，即可利用側信道。這允許攻擊者測量功耗、電壓波動或其他側信道，例如溫度或聲音。側信道攻擊可用於從智能卡等設備中提取密鑰。在現實世界中，這允許攻擊者加載或重置餘額並提取或重置設備 PIN。(半工程)
通過從物理密碼系統洩漏信息而啟用的攻擊。可以在側信道攻擊中利用的特徵包括時間、功耗以及電磁和聲發射。
來源：NIST 術語表
在 計算機安全中， 旁道攻擊 是基於從 計算機系統的實施中獲得的信息的任何攻擊 ，而不是實施算法本身的弱點（例如 密碼分析 和 軟體錯誤）。時間信息、功耗、 電磁 洩漏甚至 聲音 都可以提供額外的信息來源，可以加以利用。
資料來源：維基百科

內容可尋址內存 (CAM) 表溢出攻擊(Content addressable memory (CAM) table overflow attack)
當 CAM 表溢出時，交換集線器可能會降級為集線器以通過向所有端口發送幀來保持可用性。這會導致中間人惡意嗅探。
CAM 表溢出攻擊是針對網絡交換機執行的惡意行為，其中大量虛假 MAC 地址被發送到交換機。這種數據洪流導致交換機轉儲其 CAM 數據庫表中的有效地址，以試圖為虛假信息騰出空間。在這之後，交換機的默認行為是向所有端口廣播正常的私有消息。
資料來源：CbtNuggets

竊聽攻擊(Wiretapping Attack)
竊聽是對電話、電報、蜂窩、 傳真 或基於互聯網的通信進行的秘密電子監控 。
竊聽是通過在有問題的線路上放置一個非正式地稱為錯誤的監視設備或通過其他通信技術中的內置機制來實現的。
執法官員可以利用現場監控或錄音。數據包嗅探器——用於捕獲在網絡上傳輸的數據的程序——是一種常用的現代竊聽工具。各種其他工具，例如竊聽木馬，用於不同的應用程序。
資料來源：TechTarget

背負式攻擊(Piggyback attack)
一個 背馱式攻擊 是一種活化形式 竊聽 當攻擊者獲得通過活動的間隔訪問系統中的其他用戶的合法連接。它也被稱為“線間攻擊”或“背負式進入竊聽”。
在安全方面，捎帶指的是當某人與另一個被授權進入限制區域的人一起標記時，該術語 在此上下文中適用於 計算機網路。
資料來源：維基百科

參考
. 了解側信道攻擊
. ARP 和 CAM 表
. 背負式攻擊
. 保護圖片存檔和通信系統 (PACS)：醫療保健行業的網絡安全

資料來源： Wentz Wu QOTD-20210811

密碼學中，區塊密碼的工作模式（mode of operation）允許使用同一個區塊密碼密鑰對多於一塊的資料進行加密，並保證其安全性。^[1][2] 區塊密碼自身只能加密長度等於密碼區塊長度的單塊資料，若要加密變長資料，則資料必須先被劃分為一些單獨的密碼塊。通常而言，最後一塊資料也需要使用合適填充方式將資料擴充到符合密碼塊大小的長度。一種工作模式描述了加密每一資料塊的過程，並常常使用基於一個通常稱為初始化向量的附加輸入值以進行隨機化，以保證安全^[1]。

工作模式主要用來進行加密和認證。^[1][3] 對加密模式的研究曾經包含資料的完整性保護，即在某些資料被修改後的情況下密碼的誤差傳播特性。後來的研究則將完整性保護作為另一個完全不同的，與加密無關的密碼學目標。部分現代的工作模式用有效的方法將加密和認證結合起來，稱為認證加密模式。^[2]

雖然工作模式通常應用於對稱加密^[2]，它亦可以應用於公鑰加密，例如在原理上對RSA進行處理，但在實用中，公鑰密碼學通常不用於加密較長的資訊，而是使用結合對稱加密和公鑰加密的混合加密方案^[1]。

資料來源：https://zh.wikipedia.org/wiki/%E5%88%86%E7%BB%84%E5%AF%86%E7%A0%81%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F

-防火牆接口和區域
防火牆通常以兩種方式調解網絡流量：基於上下文和基於區域。傳統的基於上下文的方法也稱為基於上下文的訪問控制 (CBAC)。

基於區域的防火牆(Zone-based Firewalls)
防火牆包含幾個網絡接口，可以配置或分配給區域。安全區域或簡稱區域是共享相同安全要求的防火牆接口的集合。區域之間的流量由防火牆策略控制。有關更多信息，請參閱防火牆接口、區域和層。

區域對(Zone Pairs)
區域對可以定義為一個方向上兩個區域的配對。然後將防火牆流量策略應用於區域對。防火牆流量策略在區域之間單向應用。雙向流量需要兩個區域對。但是，如果使用狀態檢查，則不需要第二個區域對，因為由於檢查而允許回复流量。
資料來源：OmniSecu

基於上下文的防火牆(Context-based Firewalls)
所述的ACL提供流量過濾和保護，直到傳輸層，同時在另一方面，CBAC提供高達應用層相同的功能。在 CBAC 配置的幫助下，路由器可以充當防火牆。
資料來源：GeeksForGeeks

基於上下文的訪問控制 (CBAC) 根據應用層協議會話信息智能過濾 TCP 和 UDP 數據包，可用於 Intranet、Extranet 和 Internet。
資料來源：黑羊網絡(BlackSheepNetworks)

Cisco IOS® 防火牆功能集的基於上下文的訪問控制 (CBAC) 功能會主動檢查防火牆後面的活動。CBAC 通過使用訪問列表（與 Cisco IOS 使用訪問列表的方式相同）指定需要允許進入的流量以及需要釋放的流量。但是，CBAC 訪問列表包括 ip inspect 語句，允許檢查協議以確保在協議進入防火牆後面的系統之前它沒有被篡改。
資料來源：思科

DNS 區域(DNS Zones)
DNS 命名空間是按層次結構或樹組織的 DNS 域名的邏輯結構。DNS 區域是 DNS 命名空間的一部分的管理結構。DNS 區域文件是區域的存儲庫。
主 DNS 服務器託管一個可寫區域，該區域可以傳輸到一個或多個輔助 DNS 服務器。輔助 DNS 服務器上的副本或副本通常是只讀的。但是，副本可以是可寫的，例如 Microsoft AD 集成的 DNS；這取決於供應商的實施。
主 DNS 服務器和輔助 DNS 服務器之間的區域傳輸使用 TCP 端口 53。它可以定期或基於通知進行。為了安全起見，主 DNS 服務器可能會維護一個輔助 DNS 服務器的白名單。
DNS 客戶端也稱為 DNS 解析器，它使用 UDP 端口 53 向 DNS 服務器發送遞歸 DNS 查詢。然後 DNS 服務器發出多個非遞歸或迭代查詢來解決來自 DNS 客戶端的查詢。

-DNS 命名空間和區域

參考
. 域名系統(維基百科）
. DNS區域傳輸
. DNSSEC – 它是什麼以及為什麼重要？
. 基於區域的防火牆基礎知識
. 網絡安全區
. 使用區域（紅帽）
. 區域對
. 基於上下文的訪問控制
. 基於上下文的訪問控制 (CBAC)
. Cisco IOS 防火牆功能集和基於上下文的訪問控制
. 基於上下文的訪問控制 (LDAPWiki)

資料來源：Wentz Wu QOTD-20210810

-DNSSEC 資源記錄（來源：InfoBlox）
DNSSEC使用數字簽名確保DNS 數據的完整性，而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR)：
. DS（委託簽名者）
. DNSKEY（DNS 公鑰）
. RRSIG（資源記錄簽名）

DS（委託簽名者）
DS RR 包含子區域 KSK 的哈希值，可用作某些具有安全意識的解析器中的信任錨，並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示，父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值，而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源：InfoBlox

DNSKEY（DNS 公鑰）
當權威名稱服務器對區域進行數字簽名時，它通常會生成兩個密鑰對，一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。（RRset 是一組具有相同所有者、類別和類型的資源記錄。）它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名，包括它自己的記錄，並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此，一個區域通常有兩個 DNSKEY 記錄；保存 ZSK 對公鑰的 DNSKEY 記錄，以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源：InfoBlox

R RSIG（資源記錄簽名）
一個簽名區域有多個 RRset，每個記錄類型和所有者名稱一個。（所有者是RRset 的域名。）當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時，每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此，簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源：InfoBlox

參考
. DNSSEC – 回顧
. DNSSEC – 它是什麼以及為什麼重要？
. 域名系統安全擴展
. DNSSEC 的工作原理
. DNSSEC：它的工作原理和主要考慮因素
. RFC 4033：DNS 安全介紹和要求
. RFC 4034：DNS 安全擴展的資源記錄
. RFC 4035：DNS 安全擴展的協議修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 資源記錄

資料來源： Wentz Wu QOTD-20210809

-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統，而不適用於特定的軟體組件。此外，它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準，它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。（維基百科）
CMMI 是一種基於過程的模型，用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求，這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)

參考
. 批准的保護配置文件
. 認證產品
. Windows 10：內部版本 10.0.15063（也稱為版本 1703）

資料來源： Wentz Wu QOTD-20210808

DevOps（Development和Operations的組合詞）是一種重視「軟體開發人員（Dev）」和「IT運維技術人員（Ops）」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程，來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門，在這種環境下如何採用新的開發方法（例如敏捷軟體開發），是一個重要的課題。按照從前的工作方式，開發和部署，不需要IT支援或者QA深入的跨部門的支援；而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署，它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。^[5]

資料來源：https://zh.wikipedia.org/wiki/DevOps

OpenFlow，一種網路通訊協定，屬於數據鏈路層，能夠控制網路交換器或路由器的轉發平面（forwarding plane），藉此改變網路封包所走的網路路徑。

OpenFlow（OF）被認為是第一個軟體定義網路（SDN）標準之一。它最初在SDN環境中定義了通信協定，使SDN控制器能夠與物理和虛擬的交換機和路由器等網路裝置的轉發平面直接進行互動，從而更好地適應不斷變化的業務需求。

SDN中的SDN控制器是SDN網路的「大腦」，它將資訊傳遞給交換機/路由器的「下方」（通過南向API）和「上方」（通過北向API）的應用和業務邏輯。最近，隨著組織部署更多的SDN網路，SDN控制器的任務是使用通用應用程式介面（如OpenFlow和開放式虛擬交換機資料庫（OVSDB））在SDN控制器域之間進行聯合。

要在OF環境中工作，任何想要與SDN控制器通信的裝置都必須支援OpenFlow協定。通過這個介面，SDN控制器將更改推播到交換機/路由器流量表，使網路管理員能夠對流量進行分割區，控制流量以獲得最佳效能，並開始測試新組態和應用。

資料來源：https://zh.wikipedia.org/wiki/OpenFlow

軟體定義網路（英語：software-defined networking，縮寫作 SDN）是一種新型網路架構。它利用OpenFlow協定將路由器的控制平面（control plane）從資料平面（data plane）中分離，改以軟體方式實作，從而使得將分散在各個網路裝置上的控制平面進行集中化管理成為可能 ，該架構可使網路管理員在不更動硬體裝置的前提下，以中央控制方式用程式重新規劃網路，為控制網路流量提供了新方案，也為核心網路和應用創新提供了良好平台。SDN可以按使用領域分為：SD-WAN, SD-LAN, SD-DC, SDN將人工智慧引入到網路系統里來，將是未來幾年最熱門的網路前沿技術之一。^[1]

Facebook與Google都在他們的資料中心中使用OpenFlow協定，並成立了開放網路基金會來推動這個技術。^[2][3]

資料來源：https://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E5%AE%9A%E7%BE%A9%E7%B6%B2%E8%B7%AF

-軟體運行環境

與共享資源隔離（Isolation from Sharing Resources）
隔離是“將多個軟體實例分開的能力，以便每個實例只能看到並影響自己。”
資料來源：NIST SP 800-190
進程使用各種資源，例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程，使其不會影響其他進程，需要控制對記憶體和其他資源的存取。

-計算機架構

界限（Bounds）
這裡的界限意味著強加給進程的記憶體界限，不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。

-進程的記憶體佈局

容器化(Containerization)
容器化是應用程序虛擬化，其中容器中的進程與大多數資源隔離，但仍共享相同的操作系統內核。

-虛擬機和容器部署（來源：NIST SP 800-190）

-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機（VM）上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。

-虛擬機器監視器（來源：TechPlayOn）

搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是，它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看，它可以在某種程度上被視為線程級隔離。

-上下文切換（來源：hcldoc）

參考
. 什麼是雲中的管理程序？
. 上下文切換

資料來源： Wentz Wu QOTD-20210803

-保護環（來源：維基百科）

保護環：指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels and OS modes)
大多數現代操作系統以兩種模式運行程序：內核模式和用戶模式。內核模式通常運行在特權級別 0，而用戶模式運行在特權級別 3。保護環傳達了操作系統如何利用指令集的 CPU 特權級別的想法。
x86指令集中的特權級別控制當前在處理器上運行的程序對內存區域、I/O 端口和特殊指令等資源的訪問。有 4 個特權級別，從 0 是最高特權，到 3 是最低特權。大多數現代操作系統對內核/執行程序使用級別 0，對應用程序使用級別 3。任何可用於級別 n 的資源也可用於級別 0 到 n，因此權限級別是環。當較低特權的進程嘗試訪問較高特權的進程時，會向操作系統報告一般保護錯誤異常。
資料來源：維基百科

異常處理(Exception Handling)

-異常處理（來源：https : //minnie.tuhs.org/）
操作系統 (OS) 內核通常處理來自進程的系統調用、來自 CPU 的異常以及來自外圍設備的中斷。在用戶模式下運行的應用程序或進程可能會遇到錯誤或故障，導致在內核模式下運行的操作系統內核捕獲到 CPU 級別的異常。如果發生故障，操作系統內核將拋出異常或向應用程序發送信號。以下屏幕截圖是演示應用程序正確處理異常的代碼片段。但是，如果應用程序不處理異常，操作系統將終止它。

-除以零

參考
. 保護環
. 操作系統中的特權和非特權指令
. CIS 3207 – 操作系統：CPU 模式
. 編寫 Hello World Windows 驅動程序 (KMDF)
. 如何使用 C++ 以 SYSTEM 身份運行程序？
. 除以零預防：陷阱、異常和可移植性
. 用戶和內核模式、系統調用、I/O、異常

資料來源： Wentz Wu QOTD-20210802

資料來源：https://wentzwu.com/2021/06/15/cissp-practice-questions-20210615/

-虛擬機和容器部署（來源：NIST SP 800-190）

虛擬機器監視器（Hypervisor）
容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機，無需虛擬機管理程序管理的虛擬機。虛擬機器監視器又名虛擬機監視器/管理器 (VMM)，是“管理主機上的來賓操作系統並控制來賓操作系統和物理硬件之間的指令流的虛擬化組件。” ( NIST SP 800-125 )

隔離（Isolation）
虛擬機提供比容器更高級別的隔離。應用程序部署在共享相同主機操作系統內核的容器中，而部署在虛擬機上的應用程序被高度隔離，因此它們必須通過網絡進行通信。但是，容器中的應用程序比虛擬機中的應用程序具有更好的性能。
-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

操作系統系列特定（OS-family Specific）
使用容器，多個應用程序共享同一個操作系統內核實例，但彼此隔離。操作系統內核是所謂的主機操作系統的一部分。主機操作系統位於容器下方，並為它們提供操作系統功能。容器是特定於操作系統系列的；Linux 主機只能運行為 Linux 構建的容器，Windows 主機只能運行 Windows 容器。此外，為一個操作系統系列構建的容器應該在該系列的任何最新操作系統上運行。
來源：NIST SP 800-190（應用程序容器安全指南）

軟體開發方法（Software Development Methodologies）

-容器技術架構（來源：NIST SP 800-190）

容器技術的引入可能會破壞組織內現有的文化和軟體開發方法。傳統的開發實踐、修補技術和系統升級過程可能無法直接應用於容器化環境，員工願意適應新模式很重要。應鼓勵員工採用本指南中介紹的在容器內安全構建和運行應用程序的推薦做法，並且組織應願意重新考慮現有程序以利用容器。應向參與軟體開發生命週期的任何人提供涵蓋技術和操作方法的教育和培訓。

-來源：NIST SP 800-190（應用程序容器安全指南）

參考
. Windows Containers 可以託管在 linux 上嗎？

資料來源： Wentz Wu QOTD-20210717

工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文智

系統工程

跨學科的方法，管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源：ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護；也就是說，工程在軟件中的應用。

來源：ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源：

工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文茲

系統工程

跨學科的方法，管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源：ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護；也就是說，工程在軟件中的應用。

來源：ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源：https://wentzwu.com/2020/12/30/what-is-engineering/

-流行的 F/LOSS 許可證之間的兼容性關係（來源：Carlo Daffara）
在評估開源組件時，通常會忽略測試覆蓋率。相反，下載量或口碑起著至關重要的作用。儘管開源項目通常帶有單元測試，但測試覆蓋率指標並不是標準。

知識產權(Intellectual property)
開源軟體不屬於公共領域。它仍然由版權所有者許可。
開源軟體 (Open-source software : OSS ) 是 根據許可發布的計算機軟體，在該許可下 ， 版權所有 者授予用戶使用、研究、更改和 分發軟體 及其 源代碼的權利， 以用於任何目的。
資料來源：維基百科

費用(Costs)
它也不是免費軟體，儘管大多數開源軟體都可以免費獲得。一些供應商許可軟體並開放源代碼並允許客戶修改它們。有些人將此稱為可用源或共享源，可以將其廣泛視為開源的一部分。

後門（Back Doors）
開源軟體通常被認為比專有軟體更安全，但它並非沒有風險。例如，中國黑客以帶有 RedXOR 後門的 Linux 系統為目標，或者華為（中國製造商）嘗試向 Linux 插入後門/漏洞。

公共領域（The Public Domain）
“公共領域”一詞是指不受版權、商標或專利法等知識產權法保護的創意材料。公眾擁有這些作品，而不是個人作者或藝術家。任何人都可以在未經許可的情況下使用公共領域的作品，但沒有人可以擁有它。
資料來源：斯坦福

參考
. 歡迎來到公共領域
. 與商業模式相關的開源許可證選擇

資料來源： Wentz Wu QOTD-20210731

及時生產 (JIT) 一詞出現在豐田生產系統中。JIT 是一種庫存管理策略，可根據需要或按需訂購庫存。在安全方面，許多活動可以及時進行——例如，身份提供、證書註冊、授權、權限提升等。
促進身份驗證以便用戶可以登錄一次並跨系統訪問資源是單點登錄 (SSO) 的描述。它與及時生產的概念無關。

參考
. AWS 即時預置
. AWS 即時註冊
. 什麼是即時 (JIT) 供應？
. SAML SSO 與即時 (JIT) 供應之間的區別
. 什麼是即時 (JIT) 特權訪問？
. 什麼是即時特權訪問？
. 及時生產 – 豐田生產系統指南
. 及時生產 (JIT) 庫存管理

資料來源： Wentz Wu QOTD-20210728

-零假設和替代假設（來源：PrepNuggets）
原假設和替代假設(Null and Alternative Hypotheses)
零假設是假設與正常狀態為零或沒有偏差。由於證明假設很困難，我們通常會找到反對原假設的證據並接受替代假設，而不是直接證明替代假設為真。因此，原假設和備擇假設可以寫成如下：
. 替代假設：樣本指紋與模型庫中的模板不匹配
. 零假設：樣本指紋與模型庫中的模板匹配

錯誤接受率 (FAR) 和錯誤拒絕率 (FRR) 等與生物識別相關的術語是常用的，並且對於通信非常有效。人們或書籍將 FAR/FRR 與型一和 型二錯誤（用於統計假設）或假陽性/陰性（用於二元分類）相關聯的情況並不少見。我寫這個問題是為了強調當我們談論 I/II 類錯誤時零假設的重要性。

型一和 型二錯誤（Type I and Type II Errors）
在統計學中，我們通常不會只提出一個需要足夠證據來證明的假設。相反，我們接受備擇假設，因為我們拒絕了基於具有預定義顯著性水平（例如，5%）的反對原假設的證據。
統計假設檢驗的決定是是否拒絕零假設。但是，有些決定可能是錯誤的，可分為以下幾類：
. 第一類錯誤：我們拒絕原假設，這是真的。（拒絕正常情況）
. 第二類錯誤：我們未能拒絕原假設，這是錯誤的。（接受異常情況）

假陽性和假陰性（False Positive and False Negative）
當談到機器學習中的二元分類時，模型被訓練為基於一小部分樣本數據的二元分類器，通過標籤對實例/案例進行分類（例如，0/1、垃圾郵件/非垃圾郵件、武器/無武器） .
在實現基於異常檢測的系統中，它可以使用 Imposter/No Imposter 進行分類，如下所示：
. “冒名頂替者”是正面類的標籤。
. “無冒名頂替者”是負類的標籤。

誤報意味著識別/檢測到冒名頂替者，但決定是錯誤的。假陰性意味著沒有識別/檢測到冒名頂替者，而且該決定是錯誤的。人們通常會將假陽性與 I 類錯誤聯繫起來，將假陰性與 II 類錯誤聯繫起來，即使它們在使用不同技術的上下文中使用。Li 的論文很好地將統計假設檢驗與機器學習二元分類進行了比較。

-假設檢驗和二元分類（來源：ScienceDirect）

參考
. 統計假設檢驗與機器學習二元分類：區別和指南
. 統計學中的假設檢驗簡介 – 假設檢驗統計問題和示例
. 假設檢驗簡介
. 機器學習中的 4 種分類任務
. 分類：真與假和正與負

資料來源： Wentz Wu QOTD-20210727

-Stride、VAST、Trike 等：哪種威脅建模方法適合您的組織？

風險敞口是根據可能性、後果和其他風險因素用貨幣價值、分數或尺度值評估的潛在損失的量度。風險暴露通常被簡化為後果的概率和幅度的乘積；即預期價值或預期暴露。例如，假設有 50% 的風險可能導致 1,000,000 美元的財務損失，則風險敞口為 500,000 美元。
DREAD 是損害、可再現性、可利用性、受影響用戶和可發現性的首字母縮寫詞。首字母縮略詞的每個字母代表可能性或影響。它們被一起考慮以評估風險敞口。
STRIDE 是一種風險分類工具，具有預定義的類別：欺騙、篡改、否認、信息披露、拒絕服務特權提升。它不分析威脅的可能性或影響。

-威脅建模（來源：CSSLP CBK）

參考
. Stride、VAST、Trike 等：哪種威脅建模方法適合您的組織？

資料來源： Wentz Wu QOTD-20210726

您應該生成公鑰和私鑰的密鑰對，並將私鑰保密。CSR 包含有關主題的信息、公鑰、由私鑰簽名以避免欺騙 CSR 的簽名以及其他信息。“CSR 最常見的格式是 PKCS #10 規範；另一個是由某些 Web 瀏覽器生成的簽名公鑰和質詢 SPKAC 格式。” （維基百科）
證書籤名請求 (CSR) 完全由您自己創建並提交給註冊機構 (RA)。RA 不可能在您的 CSR 上添加時間戳。

-openssl req -text -in file.csr（來源：Hallo zusammen）

參考
. 證書籤名請求
. 如何查看和解碼 CSR
. 證書籤名請求 (CSR) 示例

資料來源： Wentz Wu QOTD-20210725

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而，FISMA和FIPS 199明確而準確地區分了兩者。

以下投影片是 FIPS 199 中有關安全目標的摘錄，該摘錄與 FISMA 一致：

-CIA作為安全目標

完整性(Integrity)
以下是 FISMA 中有關完整性的摘錄：
‘防止不當的資訊修改或銷毀，包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性(Availability)
可用性是關於’確保及時性和可靠地存取和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199寫道：可用性損失是資訊或資訊系統存取或使用中斷。

數據消毒方法（Data Sanitization Methods）
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法，而’破壞’是一種可以’破壞’介質的技術（例如破壞性技術）。然而，破壞性技術通常可以’摧毀’媒體，但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義，但它們可能在各種上下文中提及不同的東西。

資料來源： Wentz Wu QOTD-20210302

一個網路通過傳輸介質連接兩個或多個節點，共享資源；它有兩種架構視圖：物理視圖和邏輯視圖。網路的邏輯部分在物理層之上工作。邏輯網路由網路層協議表示，例如IP。使用 32 位 IP 地址和子網路遮罩的 IP 協議編號（地址）節點和網路。執行相同協議的所有網路都是同構的。IP 網路和 IPX 網路的混合是異構的。路由器通常連接均相邏輯網路。閘道器在該上下文中是指連接同構網路的設備，其典型地需要協議轉換。一個防火牆旨在過濾數據包或篩選消息。下一代防火牆強調的只是它處理越來越多的新興需求並提供更多解決方案的想法。

閘道器（Gateway）
在 ISO OSI 參考模型的經典教科書中，閘道器通常是指應用協議轉換的第 7 層閘道器或應用程序閘道器。然而，現在人們傾向於從字面上使用術語閘道器。例如，默認閘道器可能是指 NAT 設備、路由器或防火牆；電路級閘道器是指工作在會話層的防火牆。

信號和中繼器（Signal and Repeater）
物理網路是邏輯網路的底層基礎設施。主要的物理元素是傳輸介質和承載數據的信號。信號在媒體上傳播的時間長短各不相同；無論使用哪種媒體，信號總是會衰減。模擬信號由放大器放大，而數字信號由中繼器重複，以便它們在減弱之前可以傳播得更遠。

拓撲和橋接器（Topology and Bridge）
節點通過傳輸介質（有線或無線）連接，並形成形狀或拓撲。線性總線、圓環、分層樹和網狀網路是常見的拓撲結構。橋接器連接不同的形狀或拓撲的兩個或多個網路。

數據鏈路層：MAC 和 LLC（Data Link Layer: MAC and LLC）
網路上任何形狀/拓撲的節點都可以相互通信，就像它們中的任何一對通過電纜直接連接一樣。事實上，這些節點共享相同的媒體。換句話說，它們在邏輯上而不是在物理上是相連的。我們將網路上任意一對節點之間的通信稱為邏輯鏈路。由共享媒體連接的節點的規則稱為媒體存取控制（MAC）；網路上任意一對節點之間的錯誤和流量控制稱為邏輯鏈路控制 (LLC)。MAC 和 LLC 被共同視為 ISO OSI 參考模型中數據鏈路層的主要關注點。

參考
.中繼器、橋接器、路由器和閘道器：比較研究
.詳細講解中繼器、集線器、橋接器、路由器、閘道器、交換機。
.下一代防火牆

資料來源： Wentz Wu QOTD-20210720

-外部和內部分析
存在為客戶服務的組織；他們的需要和要求很重要。組織在開始戰略計劃之前進行外部和內部分析或背景和組織分析。同時識別和分析利益相關者或利益相關方。
建立一個部門來負責安全功能是一種組織變革。法律和法規要求或客戶的需求和要求這種情況並不少見。安全功能的位置、角色和職責可能與 IT 功能重疊。例如，防火牆、端點安全、安全運營中心和服務台可能會使用共享資源，模糊了安全運營和 IT 運營的界限。
安全和隱私安全控制的選擇很重要，但它不像上面提到的其他因素那麼重要，因為可以在安全部門成立後考慮控制。此外，控制可以應用於各種級別，例如資訊系統級別、設施級別、業務流程級別或組織級別。控制是風險緩解策略的一部分。它們在風險評估後實施。因此，它更像是一個風險管理問題，而不是建立安全部門時的問題。

資料來源： Wentz Wu QOTD-20210719

綜合監控（也稱為主動監控或主動監控）是一種監控技術，它通過使用交易的模擬或腳本記錄來完成。創建行為腳本（或路徑）以模擬客戶或最終用戶在站點、應用程序或其他軟件（甚至硬件）上採取的操作或路徑。然後以指定的時間間隔持續監視這些路徑的性能，例如：功能、可用性和響應時間度量。

資料來源：https://en.wikipedia.org/wiki/Synthetic_monitoring

-政策框架
最高管理層要求加強資訊安全並通過政策表達他們的保護要求。有效的資訊安全涉及人員、流程和技術（PPT）等綜合考慮。處理數字數據的資訊系統只是資訊安全的基本要素。
資訊系統可能需要支持基於訪問控制矩陣的自由訪問控制 (DAC) 和基於格、狀態機和資訊流等形式模型的強制訪問控制 (MAC)。然而，這樣的技術解決方案是不夠的或無效的。
管理體係是“組織的一組相互關聯或相互作用的要素，用於製定政策和目標以及實現這些目標的過程”。(ISO 22886:2020) 制定相關政策、標準、程序或指南，並與相關最高管理層的政策保持一致。管理體系提供了一個整體視圖，集成了人員、流程和技術（PPT），並為資訊安全的實施提供了框架。

-ISO通用管理模型

資料來源： Wentz Wu QOTD-20210718

-身份和存取管理
典型的身份驗證過程包括三個步驟：

1. 主體向身份提供者 (IdP) 表明其身份。
2. IdP 根據目錄驗證用戶名和密碼。
3. 如果主題得到驗證，IdP 會發出一個令牌。

基於聲明（或基於斷言）的身份驗證意味著您的網站接受來自外部身份提供商 (IdP) 的令牌，而不是根據服務器上的目錄對用戶名和密碼進行身份驗證。聲明或斷言通常打包在由發行人 IdP 簽名的令牌中。您作為客戶的網站依賴於 IdP 發布的聲明。
基於明文的身份驗證很常見。用戶名和密碼可以以 HTML 形式或通過 HTTP 基本身份驗證方案提交。儘管密碼本身未加密，但它通常受 TLS/SSL 會話保護。
一些 JavaScript 庫可以將密碼加密為密文並將其發佈到後端服務器，即使我們在使用 TLS/SSL 時不必這樣做。
HTTP Digest 方案實現了質詢和響應。“有效的響應包含用戶名、密碼、給定的
nonce 值、HTTP 方法和請求的 URI的校驗和（默認為 MD5 校驗和）。” (RFC 2617)

參考
. HTTP 身份驗證：基本和摘要式存取身份驗證

資料來源： Wentz Wu QOTD-20210717

斷言(assertion)或宣稱(claim)是身份驗證的結果, 由identity provider以SAML或OIDC的協定呈現及送出, 不是XACML.

在一個聯盟系統中, 通常會有使用者(resource owner), 使用者用的程式(client), 網站服務(relying party)及身份提供者(IdP).

聯盟代表各個”獨立”的系統, 透過協議, 承認盟主系統的帳號, 並對應到自己系統帳號的一個機制. SAML及OIDC就是標準化這個聯盟機制的重要協定.

來源：安全斷言標記語言 (SAML) V2.0 技術概述
如上圖所示：
. 一個用戶可以在每個域中擁有一個身份，也可以在多個域之間擁有多個身份。例如，John Doe 在三個系統中註冊了三個帳戶，如下所示：
. 在airline.example.com 中的JohnDoe
. JDOE在cars.example.co.uk
. 約翰在hotels.example.ca
. 聯合身份是域之間共享的假名，用於隱藏用戶的身份。例如，化名azqu3H7和f78q9c0 均 指用戶 John Doe。
. azqu3H7是airline.example.com 和cars.example.co.uk 之間約定的化名。
. f78q9c0 是airline.example.com 和hotels.example.ca 之間約定的化名。
. 依賴方根據 SAML 中表達的斷言授權訪問請求。
. SAML 提供了一種標準方法來呈現跨系統和安全域工作的斷言。
. SAML 斷言是供依賴方或服務提供商做出授權決定的輸入。授權可以基於 XACML。
. SSO 依賴於服務提供商 (SP) 對身份提供商 (IdP) 的信任。

OASIS 安全斷言標記語言 (SAML) 標准定義了一個基於 XML 的框架，用於在在線業務合作夥伴之間描述和交換安全信息。此安全信息以可移植SAML 斷言的形式表示，跨安全網域邊界工作的應用程序可以信任這些斷言。OASIS SAML 標准定義了用於請求、創建、通信和使用這些 SAML 斷言的精確語法和規則。

聯合身份（Federated identity）
. 用戶通常在與其交互的每個合作夥伴的安全域內擁有單獨的本地用戶身份。
. 身份聯合為這些合作夥伴服務提供了一種方式來商定並建立一個通用的共享名稱標識符來引用用戶，以便跨組織邊界共享有關用戶的信息。
. 當合作夥伴就如何引用用戶建立了這樣的協議時，就稱該用戶具有聯合身份。

單點登錄（Single Sign-On）
SAML 通過提供獨立於供應商的標準語法和協議來解決多域 SSO (MDSSO) 問題，用於將用戶信息從一個 Web 服務器傳輸到另一個獨立於服務器 DNS 域的服務器。
來源：安全斷言標記語言 (SAML) V2.0 技術概述

參考
. 安全斷言標記語言 (SAML) V2.0 技術概述

資料來源： Wentz Wu QOTD-20200806

資訊安全

安全是指保護某個東西免於受到危險或威脅的過程以及所達到的狀態。

資訊安全是一門透過安全管制措施，保護資訊資產免於受到危害，以實現機密性、完整性和可用性的安全目標、進而支持組織的業務流程，並創造價值以實現使命和願景的學問。

Information Security

Security refers to the process of and the state reached by protecting something from danger or threat.

Information security is a discipline of protecting information assets from threats through security controls to achieve the security objectives of confidentiality, integrity, and availability, support business processes, and create value to fulfill the organizational mission and vision.

Banner Grabbing是一種用於獲取有關網絡上的計算機系統及其開放端口上運行的服務的信息的技術。管理員可以使用它來清點其網絡上的系統和服務。但是，入侵者可以使用橫幅抓取來查找運行具有已知漏洞的應用程序和操作系統版本的網絡主機。

用於橫幅抓取的服務端口的一些示例是超文本傳輸協議 ( HTTP )、文件傳輸協議 ( FTP ) 和簡單郵件傳輸協議 ( SMTP )使用的端口；端口分別為 80、21 和 25。通常用於執行橫幅抓取的工具是Telnet、Nmap和Netcat。

例如，可以使用Netcat建立到目標 Web 服務器的連接，然後發送 HTTP 請求。響應通常包含有關在主機上運行的服務的信息：

[root@prober]# nc www.targethost.com 80 
HEAD / HTTP/1.1 

HTTP/1.1 200 OK
日期：2009 年 5 月 11 日星期一 22:10:40 EST
服務器：Apache/2.0.46 (Unix) (Red Hat/ Linux)
上次修改時間：2009 年 4 月 16 日星期四 11:20:14 PST 
ETag：“1986-69b-123a4bc6”
接受範圍：字節
內容長度：1110
連接：關閉
內容類型：文本/html

管理員可以使用此信息來編目此系統，或者入侵者可以使用此信息來縮小適用漏洞的列表。

為了防止這種情況，網絡管理員應該限制對其網絡上服務的訪問，並關閉在網絡主機上運行的未使用或不必要的服務。

Shodan是一個搜索引擎，用於從端口掃描 Internet 中獲取橫幅。

資料來源：https://en.wikipedia.org/wiki/Banner_grabbing

-董事委員會
董事會認為必要時可設立任何委員會。有些委員會通常是法律或法規所要求的，例如審計委員會。但是，大多數董事會級別的委員會都是自願的，並基於業務需要。
審計委員會、薪酬委員會（又名薪酬委員會）和提名委員會（治理委員會）是常見的董事會級委員會，而業務連續性委員會則不是。根據董事會委員會的結構研究，幾乎沒有業務連續性委員會出現在董事會層面。此鏈接顯示了 Microsoft 的董事會委員會。

-共同的董事會級委員會

參考
. 微軟董事會委員會

資料來源： Wentz Wu QOTD-20210716

-安全內核
一張圖片勝過千言萬語。訪問控制矩陣可以被視為授權數據（權利和許可）的邏輯“存儲庫”，由對象視角的訪問控制列表和主體視角的能力表組成。它反映了所有者在授權時的自由裁量權。然而，並非每個系統都實現了訪問控制矩陣的完整構造。例如，Microsoft 的打印機、共享文件夾和 NTFS 權限都是基於 ACL 的。
相反，強制訪問控制機制通常依賴於匹配的“標籤”，也就是基於格的。在被分類之後，資源或對像被標記以供識別並標記以在受信任的計算機系統中進行訪問控制。在正式的背景調查或調查之後，用戶或主體被授予安全許可。將安全許可轉化為可信計算系統中的標籤，以便匹配主體和客體的標籤進行授權。

安全調查(Security Clearance)
安全許可或許可是“由授權裁決辦公室作出的正式安全決定，即個人有權在需要知道的基礎上訪問特定級別的機密信息（絕密、機密或機密）。” （NIST 術語表）

參考
. 許可
. 系統最高模式

資料來源： Wentz Wu QOTD-20210713

-什麼是風險？

ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙

1. 風險給個人、項目或組織帶來的潛在損失
   [ISO/IEC 16085:2006 系統和軟件工程 — 生命週期過程 — 風險管理，3.10 ]
2. 風險發生的可能性及其發生的後果程度的函數
   [ISO/IEC 16085:2006 系統和軟件工程——生命週期過程——風險管理，3.10]
3. 概率乘以潛在損失的乘積對於風險因素
   注 1：風險暴露通常被定義為概率和後果大小的乘積，即預期值或預期暴露。

風險曝險是風險的度量。它考慮了風險的不確定性和影響部分。風險是指不確定性對目標的影響。不確定性和影響可以定量和定性測量。風險曝險也是如此。風險分析是確定風險暴露以優先考慮風險並為風險評估決策和風險處理提供信息的過程。

風險評估/分析（Risk Assessment/Analysis）
在 NIST 指南、CISSP 考試大綱和 CISSP 學習指南中，風險評鑑和風險分析通常被視為同義詞。但是，在 ISO 31000 和 ISO 27005 等 ISO 標準中並非如此；風險分析是風險評估的一部分。
維護成本等風險會增加，系統可用性可能會受到影響，漏洞仍然存在且未修補的情況可能會發生。但是，我們需要進一步分析它們的可能性或可能性和影響，以確定風險曝險。因此，風險曝險是一個更普遍和更全面的概念，它提醒我們從更高的角度考慮風險的不確定性和影響部分。

NIST術語表（NIST Glossary）
暴露：風險的可能性和影響水平的組合。
固有風險：在管理層沒有採取任何直接或重點行動來改變其嚴重性的情況下，實體面臨的風險。
殘餘風險：採取安全措施後剩餘的風險部分。

參考
. NIST術語表

資料來源： Wentz Wu QOTD-20210712

-CMM 和 CMMI 成熟度水平比較
成熟度模型“可以”（而不是應該或必須）定義五個成熟度級別，因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五個級別。然而，能力成熟度模型並非總是如此。
例如，OWASP SAMM 僅定義了四個級別：
0 隱含的起點代表未實現的實踐活動
1 安全實踐的初步理解和臨時提供
2 提高安全實踐的效率和/或有效性
3 大規模全面掌握安全實踐
風險成熟度模型 (RMM) 目前仍在開發中。一些 RMM 可能定義了五個級別，但這不是必需的。

關鍵詞（Key Words）
本文檔中的關鍵詞“必須”、“不得”、“要求”、“應該”、“不應”、“應該”、“不應該”、“推薦”、“可以”和“可選”是按照RFC 2119 中的描述進行解釋。

專案/計劃管理（Project/Program Management）

-戰略投資組合

專案和計劃是暫時的努力；他們的產出被轉移到運營中，以持續創造和交付價值。一旦專案和計劃關閉，專案和計劃風險管理就可以停止。
風險管理有上下文。它可以發生在組織中的各種上下文或級別，例如資訊系統級別、業務流程級別、企業級別或專案/計畫級別。在大多數情況下，風險管理是持續不斷的努力。但是，在某些情況下，例如專案/計劃級別的風險管理，它可能是臨時的努力。

-專案生命週期（來源：PMBOK）
附件 A 中的ISO 27001要求 A.6.1.5 規定了專案管理中的資訊安全，要求控制“無論專案類型如何，都應在專案管理中解決資訊安全問題”。專案是“為創造獨特的產品、服務或成果而進行的臨時努力。另請參閱投資組合和計劃。” (PMI) 一旦專案結束，專案級別的風險管理活動就會消失。
NIST SP 800-53 R5是一個安全控制框架，其中計畫管理 (PM) 是控制系列之一。計畫包括“以協調方式管理的相關專案、子專案群和計畫活動，以獲得單獨管理無法獲得的收益”。(PMI)

-安全和隱私控制系列（來源：NIST SP 800-53 R5）

參考
. 在 RFC 中用於表示需求級別的關鍵詞
. SAMM——軟體保障成熟度模型——OWASP
. PMI 專案管理術語詞典

資料來源： Wentz Wu QOTD-20210711

-ISO 31000

本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術，用於確定風險暴露作為風險評估過程的輸入。
風險優先排序是風險評估的核心任務之一。在此之前，應用風險接受標準來確定要處理哪些風險。一旦確定了要處理的風險，就會應用風險評估標準來確定這些風險的優先級。因此，風險評估是比定量風險分析和風險優先級更好的選擇，因為它更全面。

-風險評估

資料來源： Wentz Wu QOTD-20210710

微服務架構——面向服務架構(SOA) 結構風格的一種變體——將應用程序安排為一組鬆散耦合的服務。在微服務架構中，服務是細粒度的，協議是輕量級的。

介紹

微服務沒有單一的定義。隨著時間的推移，業界已經形成了一種共識。經常引用的一些定義特徵包括：

• 微服務架構中的服務通常是通過網絡進行通信以使用與技術無關的協議（例如 HTTP）來實現目標的進程。^{[1] [2] [3]}
• 服務是圍繞業務能力組織的。^[4]
• 服務可以使用不同的編程語言、數據庫、硬件和軟件環境來實現，這取決於什麼最適合。^[5]
• 服務規模小，支持消息傳遞，受上下文限制，自主開發，可獨立部署，^[6] [5]分散，並通過自動化流程構建和發布。^[6]

微服務不是單體應用程序中的一層（例如，Web 控制器或後端換前端）。^[7]相反，它是具有清晰接口的獨立業務功能，並且可以通過其自己的內部組件實現分層架構。從戰略的角度來看，微服務架構本質上遵循了“做一件事，把它做好”的Unix哲學。^[8] Martin Fowler將基於微服務的架構描述為具有以下屬性：^[1]

• 適合持續交付軟件開發過程。對應用程序的一小部分進行更改只需要重建和重新部署一個或少數服務。^[9]
• 遵循細粒度 接口（可獨立部署的服務）、業務驅動開發（例如領域驅動設計）等原則。^[10]

雲原生應用程序、無服務器計算和使用輕量級容器部署的應用程序通常採用微服務架構。根據 Fowler 的說法，由於服務數量眾多（與單體應用程序實現相比），分散式持續交付和具有整體服務監控的DevOps是有效開發、維護和運行此類應用程序所必需的。^[11]遵循這種方法的結果（和理由）是可以單獨擴展各個微服務。在單體方法中，支持三個功能的應用程序必須整體擴展，即使這些功能中只有一個有資源限制。^[12]使用微服務，只需要對支持資源受限功能的微服務進行橫向擴展，從而提供資源和成本優化的好處。^[13]

資料來源：https://en.wikipedia.org/wiki/Microservices

在軟件開發中，檢查時間到使用時間（TOCTOU、TOCTTOU或TOC/TOU）是一類由涉及檢查系統一部分狀態的競爭條件引起的軟件錯誤（例如安全憑證）以及該檢查結果的使用。

防止 TOCTOU [編輯]

儘管概念很簡單，但 TOCTOU 競爭條件很難避免和消除。一種通用技術是使用異常處理而不是檢查，在 EAFP 的哲學下——“請求寬恕比許可更容易”而不是 LBYL——“跳之前先看看”——在這種情況下沒有檢查和失敗在使用時通過異常檢測到要保持的假設。

文件鎖定是防止單個文件競爭條件的常用技術，但它沒有擴展到文件系統命名空間和其他元數據，鎖定也不適用於網絡文件系統，並且不能防止 TOCTOU 競爭條件。

資料來源：https://en.wikipedia.org/wiki/Time-of-check_to_time-of-use

競爭危害（race hazard）又名競態條件、競爭條件（race condition），它旨在描述一個系統或者進程的輸出依賴於不受控制的事件出現順序或者出現時機。此詞源自於兩個訊號試著彼此競爭，來影響誰先輸出。

舉例來說，如果電腦中的兩個行程同時試圖修改一個共享記憶體的內容，在沒有並行控制的情況下，最後的結果依賴於兩個行程的執行順序與時機。而且如果發生了並行存取衝突，則最後的結果是不正確的。

競爭危害常見於不良設計的電子系統，尤其是邏輯電路。但它們在軟體中也比較常見，尤其是有採用多執行緒技術的軟體。

實例[編輯]

1. 計算機記憶體或者磁碟裝置裡，如果同時發出大量數據指令的時候，競爭危害可能發生。計算機嘗試覆蓋相同或者舊的數據，而此時舊的數據仍在被讀取。結果可能是下面的一個或者多個情況：機器當機、出現非法操作並結束程式、錯誤的讀取舊數據、或者錯誤的寫入新數據。
2. 網路上，競爭危害會在：多使用者同時試圖存取同一個可用訊息通道時，產生。在系統同意存取前沒有計算機能得到訊息通道被佔用的提醒。統計上說這種情況通常發生在極端長延遲時間的網路裡，譬如地球同步衛星。解決之道是使用者預先產生優先級列表。然而駭客可以利用這種競爭危害取得非法存取網路的權利。
3. 數位電路，由於邏輯部件輸出對輸入有一個回應延遲，因此可能在輸出上出現一個不希望有的脈衝訊號。被稱為Electronics glitch。使用卡諾圖以發現並消除這類問題。

資料來源：https://zh.wikipedia.org/wiki/%E7%AB%B6%E7%88%AD%E5%8D%B1%E5%AE%B3

-ISO 31000

“風險評估/分析”是什麼意思？
請注意，在 CISSP 考試大綱、OSG 和 NIST 中，風險評估和風險分析被視為同義詞，通常表示為“風險評估/分析”。
識別、分析和評估Ｈ風險意味著使用 ISO 標准進行風險管理，例如 ISO 31000 或 ISO 27005，並且您正在進行風險評估。風險熱圖是表達風險評估結果的常用工具。
. 在估計影響時，可以在風險分析過程中使用資產估值，例如，單一損失預期（SLE）=資產價值（AV）x風險因子（EF）。
. 成本和收益分析通常在風險處理（而不是風險評估）過程中進行，以證明風險處理選項（ISO 術語）或風險應對策略（PMI 術語）的合理性。
. 風險暴露的確定是風險分析的結論。風險敞口是可能性、影響和其他因素的函數。

風險熱度地圖（Risk Heat Map）

-來源：巴比克斯

風險熱度地圖（或風險熱圖）是網路風險數據的圖形表示，其中包含在矩陣中的各個值表示為表示含義的顏色。風險熱圖用於以易於理解、視覺吸引力和簡潔的格式呈現網路風險評估結果。
來源：巴比克斯

參考
. 風險熱度地圖——強大的可視化工具

資料來源：https://wentzwu.com/2021/07/09/cissp-practice-questions-20210709/

-ISO 31000

在 ISO 31000 中，風險評鑑包括三個步驟：風險識別、風險分析和風險評鑑；威脅是一種帶來負面影響的風險。在 NIST 的世界中，風險評鑑和風險分析是同義詞。但是，它們具有相同的性質，即風險處理和響應遵循風險評鑑。安全控制是特定的風險處理或緩解風險的響應。
脆弱性是威脅的一個因素。NIST 的通用風險模型具體定義了威脅因素：

-NIST 通用風險模型 (NIST SP 800-30 R1)

安全評鑑(Security Assessment)
安全評鑑可以指安全控制評鑑（SCA）或資訊安全評鑑（ISA）。然而，它們有細微的差別。SCA 是 ISA 的一個子集。本題中的安全評鑑是指安全控制評鑑。
. 安全控制評鑑（SCA）的意思是“測試或評鑑的安全控制，以確定該控制是否正確執行，按預期方式操作的程度，並產生相對於所期望的結果滿足用於資訊系統或組織的安全性要求。” (NIST SP 800-53 R4)
. 一種資訊安全評鑑（ISA）是“確定實體被如何有效評鑑的過程中（例如，主機，系統，網絡，程序，人知的作為評鑑對象）滿足特定安全目標。” (NIST SP 800-115)

參考
. 安全評鑑

資料來源： Wentz Wu QOTD-20210708

縱深防禦是一種“整合人員、技術和運營能力的資訊安全戰略，以在組織的多個層次和維度之間建立可變的屏障”。（NIST 術語表）
. 人：提升安全意識
. 運營：幫助人力資源人員審查招聘流程
. 技術：實施入侵檢測系統以回應安全事件和基於生物識別的存取控制

基於風險的存取控制（Risk-based Access Control）
存取控制是指“授予或拒絕特定請求的過程：
1）獲取和使用資訊及相關資訊處理服務；和
2) 進入特定的物理設施（例如，聯邦建築物、軍事機構、邊境口岸）。（NIST 術語表）
有兩類存取控制方法：傳統的和動態的。傳統的存取控制方法利用嚴格且預先確定的策略來確定存取決策。或者，動態存取控制方法不僅採用靜態策略，還採用動態和實時特性來做出存取決策。這些動態特徵可能涉及上下文、信任、歷史事件、位置、時間和安全風險。基於風險的存取控制模型是利用與每個存取請求相關的安全風險值作為判斷存取決策的標準的動態方法之一。
資料來源：MDPI

完全調解（Complete Mediation）
“完全調解的原則要求檢查對對象的所有存取，以確保它們被允許。” (CISA)

參考
. 縱深防禦
. 基於風險的存取控制模型：系統文獻綜述
. 完全調解

資料來源： Wentz Wu QOTD-20210707

容器化是在同一台主機的應用程式虛擬化的技術，對於軟體的SDLC帶來相當程度的影響。容器化不需要VM或hypervisor, 它主要是讓應用程式可彼此被隔離(isolation), 但共用同一套作業系統的核心。因為共用核心，所以隔離的程度沒有VM 高，也因此有相對較多的安全議題產生。雖然容器化不是特定廠商的技術，但針對linux製作的image, 只能在linux上跑。

專有資料和個人資料（或 PII）是資料治理的重要主題。由於個人資料通常對隱私敏感，因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如，NIST SP 800-53 R5 提供了安全控制和隱私控制；ISO 27001 (ISMS) 處理信息安全，而 ISO 27701 處理隱私信息。

專有資料角色
. 資料所有者（Data Owner）：分類、授權和問責
. 資料管家(Data Steward)：資料質量
. 資料保管人(Data Custodian)：實施和日常工作

資料所有者對其“擁有”的資料負責，因此管理團隊的成員通常承擔此角色。但是，他可以將職責委派給任何人（例如，資料管家或資料保管人），但仍需對結果負責。

在 NIST 指南中，資料管理員通常等同於資料所有者（或由資料所有者委託），因為資料所有者並不真正擁有“個人資料”的所有權。他們似乎通過不使用有爭議的術語來迴避個人資料所有權的爭論。
在私營部門，資料角色可以更明確地實施。組織可以在資料治理計劃中添加更多角色以滿足他們的要求。資料角色不限於上述三種。此外，組織可以使用他們喜歡的任何角色名稱。

個人資料角色
. 資料主體(Data Subject)/主體(Principal)
. 資料控制器(Data Controller)
. 資料處理器(Data Processor)
在我看來，個人資料的所有權應該屬於資料主體。組織並不“擁有”它們，而只是控制和處理它們。資料控制者決定處理的目的和方式；資料處理者代表資料控制者並根據資料控制者確定的目的和方式處理個人資料。

參考
. 隱私

資料來源： Wentz Wu QOTD-20210706

-使用私鑰和公鑰對強大的程序集進行簽名和驗證
（來源：https://flylib.com/books/en/4.253.1.138/1/）
數位簽章可確保不可否認性，其中還包括資料完整性和真實性。從技術上講，數位簽章只不過是由主體的私鑰簽名的對象的哈希值。
哈希（值）、摘要和指紋是同義詞。消化代碼實際上是對代碼進行散列，不需要公鑰。
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數位簽章的改寫。
只有代碼的指紋需要通過您的私鑰進行加密。簽名時不需要加密代碼。

參考
. 審查的前 5 名最受歡迎的 SSL 證書頒發機構
. 什麼是代碼簽名？
. FIPS PUB 186-4
. ClickOnce 和 Authenticode
. ClickOnce 應用程序的代碼訪問安全
. 配置 ClickOnce 可信發布者

資料來源： Wentz Wu QOTD-20210705

-NIST SDLC 和 RMF

對系統進行分類意味著識別其處理的資料類型，以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。
安全控制框架，例如 NIST SP 800-53 R5，通常提供安全控制集作為基線。組織可以使用安全控制基線作為初始範圍，並根據風險評估產生的安全需求和要求對其進行調整。
資訊系統所有者應準備一個授權包，其中包含安全和隱私計劃、安全和隱私評估報告以及行動計劃和里程碑（用於糾正措施和改進），並將其提交給適當的授權操作授權 (ATO) .

參考
. NIST 風險管理框架

資料來源： Wentz Wu QOTD-20210704

-NIST SDLC 和 RMF
資訊系統所有者應準備授權包並將其提交給適當的 授權操作（ATO）機構。授權包通常包含：

1. 安全和隱私計劃（指導活動/任務）
2. 安全和隱私評估報告（實施安全控制後）
3. 糾正措施和改進的行動計劃和里程碑 (POA&M)
   授權包是最後一個工件。它基本上是上述三個文件的彙編。

參考
. NIST SP 800-37，修訂版 2
. NIST SP 800-18 修訂版 1

資料來源： Wentz Wu QOTD-20210702

如今，“秘密”（secret）是認證的基礎。我們通常使用密碼（您知道的東西）、令牌中的加密密鑰（您擁有的東西）或帶有 PIN 的 1 對 1 生物特徵識別（您是的東西）進行身份驗證。
. 拆分知識、基於仲裁的身份驗證和 M of N 控制是控制對機密的訪問的常用方法。
. 職責分離 (SOD) 是一種在設計職位時控制流程或工作流程的措施。

參考
. 硬體安全模組
. 什麼是 N 中的 M？
. N 中的 M，關於
. 分裂知識
. 可信路徑
. 職責分離 (SOD)

資料來源： Wentz Wu QOTD-20210701

硬體安全模組（英語：Hardware security module，縮寫HSM）是一種用於保障和管理強認證系統所使用的數字金鑰，並同時提供相關密碼學操作的電腦硬體裝置。硬體安全模組一般通過擴充卡或外部裝置的形式直接連接到電腦或網路伺服器。

設計[編輯]

HSM提供篡改留證（tamper evidence/proof）、篡改抵抗（tamper evidence）兩種方式的防篡改功能，前者設計使得篡改行為會留下痕跡，後者設計使得篡改行為會令HSM銷毀金鑰一類的受保護資訊。^[1]每種HSM都會包括一個或多個安全協處理器，用於阻止篡改或匯流排探測。

許多HSM系統提供安全備份外部金鑰的機制。金鑰可以以封包形式備份並儲存在電腦磁碟或其他媒介上，或安全的可攜式裝置（如智慧卡或其他安全權杖）儲存於外部。^[2]

由於HSM通常是公鑰基礎設施（PKI）或網上銀行一類關鍵基礎設施的一部分，一般會同時使用多個HSM以實現高可用性。一些HSM具備雙電源、無需停機更換配件（如冷卻風扇）等設計，以確保在資料中心等環境中的高可用性要求。

少數HSM可以讓使用者在其內部處理器上執行專門開發的模組。在一些場景下，這種設計相當實用，例如使用者可以在這種安全、受控的環境下執行一些特殊的演算法或者業務邏輯，哪怕攻擊者取得了電腦的完全控制權限，儲存在HSM（連接到電腦）中的程式也無法被提取或篡改。一般HSM允許使用者使用C、.NET、Java等程式語言開發這種專用程式。值得注意的是，使用者自訂的程式與HSM本身的程式之間存在隔離，這使程式的存在不會影響到HSM本身的安全。

資料來源：https://zh.wikipedia.org/wiki/%E7%A1%AC%E4%BB%B6%E5%AE%89%E5%85%A8%E6%A8%A1%E5%9D%97

MTTF（Mean Time To Failure）:平均故障壽命（一次性）：出廠到失效之間平均時間
MTBF(Mean Time Between Failures):平均故障間隔（多久壞一次）
MTTR(Mean Time To Repair)：平均修復時間：產品由故障轉為工作狀態時，修理時間的平均值。

平均無故障時間 (MTTF) 和平均無故障時間 (MTBF) 交替使用的情況並不少見。但是，MTTF 適用於不可修復的項目，而 MTBF 適用於可修復的項目。

老化的 UPS 電池通常是更換而不是維修。因此，在這種情況下，MTTF 優於 MTBF。

平均無故障時間

平均無故障時間 (MTTF) 是一種維護指標，用於衡量不可修復資產在發生故障之前運行的平均時間。由於 MTTF 僅與無法或不應修復的資產和設備相關，因此 MTTF 也可被視為資產的平均壽命。

MTTF 和 MTBF

平均無故障時間聽起來很像平均無故障時間 (MTBF)，但它們並不相同。

主要區別在於計算中使用的資產類型。MTTF 使用不可修復的資產，而 MTBF 處理可修復的資產——當它們發生故障時，它們可以輕鬆修復而無需花費太多。

來源：修復軟件

資料來源：https://wentzwu.com/2019/12/25/cissp-practice-questions-20191226/

-示例單元測試
單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值，伴隨著敏捷方法提出的測試驅動開發（TDD）實踐，極限編程（XP）。也就是說，程序員首先編寫單元測試，以驅動生產代碼的開發。在生產代碼完成後編寫單元測試幾乎沒有價值。
單元測試被檢入本地代碼存儲庫並推送到中央代碼存儲庫服務器。編譯服務器上的所有代碼並在編譯成功時執行所有單元測試是集成測試的一部分。如果將服務器配置為在滿足某些條件時自動開始編譯，則稱為持續集成。每晚構建（例如，每天凌晨 3 點）或檢測到新簽入都是持續集成觸發器的好例子。

-XP 實踐（來源：https : //twitter.com/CharlotteBRF）

資料來源： Wentz Wu QOTD-20210722

-密碼學
這兩種DES（數據加密標準）和AES（高級加密標準）是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer，而當前標準 AES 通過開放選擇指定 Rijndael。通常將 DES 和 AES 稱為密碼本身。例如，AES 和 Rijndael 的不同之處在於，“Rijndael 本身指定的塊和密鑰大小可以是 32 位的任意倍數，最小為 128 位，最大為 256 位。” 但是，AES 指定了 128 位的“固定塊大小”，但密鑰大小有 128、192 或 256 位三種選擇。（維基百科）

DES 和 AES 是分組密碼。塊是一組位。塊是塊密碼的基本處理單元。DES 將數據分成 64 位塊，而 AES 以 128 位塊處理數據。但是，密鑰可能不等於數據塊。DES 密鑰大小名義上是 64 位（8 字節），但一個字節的每一位都是所謂的用於錯誤控制的奇偶校驗位。因此，有效密鑰長度為 56 位（64-8=56）。DES 塊大小比其後繼 AES 小得多，AES 使用 128 位塊。

因為分組密碼使用固定大小的塊，明文不能總是分成整個塊或塊大小的倍數。“ Padding ”是將數據加入明文中以便將其劃分為完整塊的過程。位置（開始、中間或結束）、單位（位或字節）和模式（全為零或全為 1）是填充問題。ANSI X9.23、PKCS#5、PKCS#7、ISO/IEC 7816-4 等是處理填充數據模式的標準。
ECB 模式中的 AES 可能不涉及初始化向量 (IV)。分組密碼可以在各種操作模式下工作。最著名的電子代碼簿 (ECB) 不涉及啟動向量，但可能會生成重複的模式。

DES 於 1970 年代初由 IBM 開發，基於 Horst Feistel 的早期設計。它於 1976 年被批准為美國加密標準。三重 DES (3DES/TDES) 是 DES 在 1990 年代被破壞後的一種解決方法。3DES 使用相同的 DES 算法三次以增加工作因子。3DES 需要三個密鑰（每個 DES 操作一個）；但是，第一次使用的密鑰可以在第三次處理時使用。名義上，3DES 使用三個密鑰，但實際上它可以使用兩個密鑰（第一次和第三次使用相同的密鑰）。DES3-EEE 意味著使用三個不同的密鑰應用 DES 加密三次。

參考
. 分組密碼
. 高級加密標準
. 數據加密標準
. 三重DES
. 奇偶校驗位（維基百科）
. 填充（密碼學）
. 初始化向量
. java中AES-256加密需要多大的初始化向量？
. RSA 中的典型塊大小是多少？

資料來源： Wentz Wu QOTD-20210629

哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些，例如維基百科，可能會在哈希語中使用聚類。在 CISSP 中，聚類特別指密碼使用兩個不同的秘密密鑰生成相同密碼的情況。因此，更具體地說，哈希碰撞或金鑰叢集。

服務器欺騙是一種干擾因素，它結合了兩個概念：服務器群和欺騙攻擊。 Pharming 是一種網絡攻擊，旨在將網站的流量重定向到另一個虛假網站。 Pharming 可以通過更改受害者計算機上的主機文件或利用 DNS 服務器軟件中的漏洞來進行。 DNS 服務器是負責將 Internet 名稱解析為其真實 IP 地址的計算機。受損的 DNS 服務器有時被稱為“中毒”。 Pharming 需要不受保護地訪問目標計算機，例如更改客戶的家用計算機，而不是公司業務服務器。資料來源：維基百科

衝突檢測也可用於網絡通信環境中，並與帶有衝突檢測的載波偵聽多路訪問 (CSMA/CD) 相關，“一種媒體訪問控制 (MAC) 方法，最顯著地用於早期的局域網以太網技術。它使用載波偵聽來推遲傳輸，直到沒有其他站正在傳輸。這與衝突檢測結合使用，其中發送站在發送幀時通過檢測來自其他站的傳輸來檢測衝突。當檢測到這種衝突情況時，該站停止發送該幀，發送一個阻塞信號，然後等待一個隨機時間間隔，然後再嘗試重新發送該幀。” （維基百科）

參考
. 金鑰叢集和碰撞
. 哈希表

資料來源： Wentz Wu QOTD-20210628

模糊測試 （fuzz testing, fuzzing）是一種軟體測試技術。其核心思想是將自動或半自動生成的亂數據輸入到一個程式中，並監視程式異常，如崩潰，斷言（assertion）失敗，以發現可能的程式錯誤，比如記憶體流失。模糊測試常常用於檢測軟體或電腦系統的安全漏洞。

模糊測試最早由威斯康星大學的Barton Miller於1988年提出。^[1][2]他們的工作不僅使用隨機無結構的測試資料，還系統的利用了一系列的工具去分析不同平台上的各種軟體，並對測試發現的錯誤進行了系統的分析。此外，他們還公開了原始碼，測試流程以及原始結果資料。

模糊測試工具主要分為兩類，變異測試（mutation-based）以及生成測試（generation-based）。模糊測試可以被用作白盒，灰盒或黑箱測試。^[3]檔案格式與網路協定是最常見的測試目標，但任何程式輸入都可以作為測試物件。常見的輸入有環境變數，滑鼠和鍵盤事件以及API呼叫序列。甚至一些通常不被考慮成輸入的物件也可以被測試，比如資料庫中的資料或共享記憶體。

對於安全相關的測試，那些跨越可信邊界的資料是最令人感興趣的。比如，模糊測試那些處理任意使用者上傳的檔案的代碼比測試解析伺服器設定檔的代碼更重要。因為伺服器設定檔往往只能被有一定權限的使用者修改。

資料來源：https://zh.wikipedia.org/wiki/%E6%A8%A1%E7%B3%8A%E6%B5%8B%E8%AF%95

-來源：(ISC)² 社區
在基於生物識別的系統中，靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低，生物識別系統犯的錯誤就越少。
更改（降低或提高）CER 或 EER 意味著更換（未配置）生物識別系統/機器。CER 或 EER 不能由客戶“配置”。客戶可以根據自己的安全需要調整或配置“靈敏度”或“閾值”來改變FAR/FRR。
. 降低靈敏度/閾值意味著接受更少的匹配生物特徵模式、增加 FAR 和降低 FRR，以及更多便利。
. 提高靈敏度/閾值意味著需要更多匹配的生物識別模式，增加 FRR 並降低 FAR，從而提高安全性。

資料來源： Wentz Wu QOTD-20210624

. “斷言”（ Assertion）是 SAML（安全斷言標記語言）中使用的術語，相當於 OIDC（OpenID Connect）中的“聲明”。OIDC 將 ID Token（用於身份驗證）與 Access Token（用於授權）區分開來。OAuth2 中使用的存取令牌是“承載”令牌。擁有存取令牌作為不記名令牌的任何一方都可以存取相關資源。
. XACML 用於授權，它基於 XML，非常適合 SAML。
. 存取令牌和不記名令牌通常可以互換使用。但是，存取令牌字面上表示存取控製或授權的概念。不記名令牌是令牌的一種，它強調令牌的匿名性。

RFC 6750，OAuth 2.0 Bearer Token Usage，是一個規範，“描述瞭如何在 HTTP 請求中使用不記名令牌來存取 OAuth 2.0 受保護的資源。擁有不記名令牌（“持有者”）的任何一方都可以使用它來存取相關資源（無需證明擁有加密密鑰）。為了防止濫用，需要保護不記名代幣在存儲和運輸過程中不被洩露。”
但是，它也使用術語“存取令牌”描述了客戶端和資源服務器之間的通信，如下圖所示：

參考
. 刷新令牌：何時使用它們以及它們如何與 JWT 交互

資料來源： Wentz Wu QOTD-20210623

-VPN 和 EAP
在 802.1X 中，請求者與身份驗證者通信，身份驗證者將身份驗證消息轉發到身份驗證服務器。請求者不直接向身份驗證服務器進行身份驗證。
一般而言，網絡訪問服務器（NAS）是指提供遠程訪問服務的服務器，例如撥號、VPN 等。VPN 服務器可以看作是一種類型的 NAS。

-EAP 協議比較

-可擴展身份驗證協議 (EAP)

資料來源： Wentz Wu QOTD-20210625

ACID，是指資料庫管理系統（DBMS）在寫入或更新資料的過程中，為保證事務（transaction）是正確可靠的，所必須具備的四個特性：原子性（atomicity，或稱不可分割性）、一致性（consistency）、隔離性（isolation，又稱獨立性）、持久性（durability）。

在資料庫系統中，一個事務是指：由一系列資料庫操作組成的一個完整的邏輯過程。例如銀行轉帳，從原帳戶扣除金額，以及向目標帳戶添加金額，這兩個資料庫操作的總和，構成一個完整的邏輯過程，不可拆分。這個過程被稱為一個事務，具有ACID特性。ACID的概念在ISO/IEC 10026-1:1992文件的第四段內有所說明。

四大特性[編輯]

• Atomicity（原子性）：一個事務（transaction）中的所有操作，或者全部完成，或者全部不完成，不會結束在中間某個環節。事務在執行過程中發生錯誤，會被回滾（Rollback）到事務開始前的狀態，就像這個事務從來沒有執行過一樣。即，事務不可分割、不可約簡。^[1]
• 一致性（Consistency）：在事務開始之前和事務結束以後，資料庫的完整性沒有被破壞。這表示寫入的資料必須完全符合所有的預設約束、觸發器、級聯回滾等。^[1]
• 事務隔離（Isolation）：資料庫允許多個並發事務同時對其數據進行讀寫和修改的能力，隔離性可以防止多個事務並發執行時由於交叉執行而導致數據的不一致。事務隔離分為不同級別，包括未提交讀（Read uncommitted）、提交讀（read committed）、可重複讀（repeatable read）和串行化（Serializable）。^[1]
• Durability（持久性）：事務處理結束後，對數據的修改就是永久的，即便系統故障也不會丟失。^[1]

資ㄌㄧㄠ

7類雙絞線（英語：Category 7 cable）是ISO/IEC 11801 Class F一般稱為CAT-7線。此標準定義4對各別遮蔽的雙絞線包覆在一個遮蔽內，是在萬兆乙太網路和其它向下相容CAT-6A／CAT-6的網路上所使用到的傳輸線材標準。設計能提供大於100米的10Gbps萬兆乙太網傳輸，可使用常用的8P8C的連結器插頭。使用GG45或TERA的連結器插頭作傳輸時，傳輸頻寬寬度可達到600MHz，為CAT-5e的6倍、CAT-6的2.4倍。

Class F_A

Class F_A （全稱：Class F Augmented），可稱為CAT-7a線，增強了雙絞線的傳輸能力，傳輸頻寬可高達1000 MHz。能分別於50米內和15米內，提供40Gbps四萬兆乙太網和100Gbps十萬兆乙太網傳輸。^[1][2]正式名稱為 ISO 11801 Amendment 1 (2008) 和 ISO 11801 Amendment 2 (2010)，目前未被TIA/EIA承認。

資料來源：https://zh.wikipedia.org/wiki/CAT-7

數據丟失防護軟件檢測潛在的數據洩露/數據過濾傳輸，並通過監視、^[1]在使用（端點操作）、運動（網絡流量）和靜止（數據存儲）時檢測和阻止敏感數據來防止它們. ^[2]

術語“數據丟失”和“數據洩漏”是相關的，通常可以互換使用。^[3]如果包含敏感信息的媒體丟失並隨後被未經授權的一方獲取，則數據丟失事件變成數據洩漏事件。然而，數據洩漏是可能的，而不會丟失源端的數據。與數據洩漏預防相關的其他術語是信息洩漏檢測和預防 (ILDP)、信息洩漏預防 (ILP)、內容監控和過濾 (CMF)、信息保護和控制 (IPC) 和擠壓預防系統 (EPS)，而不是入侵防禦系統。

類別[編輯]

處理數據洩露事件所採用的技術手段可以分為：標準安全措施、高級/智能安全措施、訪問控制和加密以及指定的DLP系統，儘管目前只有後一類被認為是DLP。^[4]

標準措施[編輯]

標準安全措施，例如防火牆、入侵檢測系統(IDS) 和防病毒軟件，是保護計算機免受外部和內部攻擊的常用產品。例如，防火牆的使用可防止外部人員訪問內部網絡，入侵檢測系統可檢測外部人員的入侵企圖。內部攻擊可以通過檢測發送機密信息的特洛伊木馬的防病毒掃描以及使用在客戶端 – 服務器架構中運行且客戶端設備上不存儲個人或敏感數據的瘦客戶端來避免。

高級措施[編輯]

先進的安全措施採用機器學習和時間推理算法來檢測對數據的異常訪問（例如，數據庫或信息檢索系統）或異常的電子郵件交換，用於檢測具有惡意意圖的授權人員和基於活動的驗證（例如，識別擊鍵動態）的蜜罐) 和用戶活動監控，用於檢測異常數據訪問。

指定係統[編輯]

指定的系統主要是由有權訪問敏感信息的人員有意或無意地檢測和防止未經授權的複製或發送敏感數據的嘗試。為了將某些信息歸類為敏感信息，它們使用了諸如精確數據匹配、結構化數據指紋識別、統計方法、規則和正則表達式匹配、已發布詞典、概念定義、關鍵字和上下文信息（例如數據來源）等機制。^[5]

類型[編輯]

網絡[編輯]

網絡（動態數據）技術通常安裝在周邊附近的網絡出口點。它分析網絡流量以檢測違反信息安全策略發送的敏感數據。多個安全控制點可以報告要由中央管理服務器分析的活動。^[3]

端點[編輯]

端點（使用中的數據）系統在內部最終用戶工作站或服務器上運行。與基於網絡的系統一樣，基於端點的技術可以處理內部和外部通信。因此，它可用於控制用戶組或用戶類型（例如“中國牆”）之間的信息流。他們還可以控制電子郵件和即時消息在他們到達公司檔案之前的通信，這樣被阻止的通信（即從未發送過的通信，因此不受保留規則的約束）在隨後的法律發現情況中不會被識別。端點系統的優勢在於它們可以監視和控制對物理設備（例如具有數據存儲功能的移動設備）的訪問，並且在某些情況下可以在信息加密之前訪問信息。端點系統還可以訪問提供上下文分類所需的信息；例如來源或作者生成的內容。一些基於端點的系統提供應用程序控制來阻止機密信息的嘗試傳輸並提供即時的用戶反饋。它們必須安裝在網絡中的每個工作站上（通常通過DLP Agent），不能在移動設備（例如手機和 PDA）上使用，也不能在實際無法安裝的地方使用（例如在網吧的工作站上）。

數據識別[編輯]

DLP 包括用於識別機密或敏感信息的技術。有時與發現混淆，數據識別是組織使用 DLP 技術確定要查找的內容的過程。

數據分為結構化或非結構化。結構化數據位於電子表格等文件中的固定字段中，而非結構化數據是指文本文檔、PDF 文件和視頻中的自由格式文本或媒體。^[6]估計所有數據的 80% 是非結構化的，20% 是結構化的。^[7]

數據丟失保護 (DLP) [編輯]

有時，數據分發者會無意或有意地將敏感數據提供給一個或多個第三方，或以授權方式自行使用。稍後，某些數據在未經授權的地方（例如，在網絡上或在用戶的膝上型電腦上）被發現。然後分銷商必須調查損失的來源。

靜止數據[編輯]

“靜止數據”特指不移動的信息，即存在於數據庫或文件共享中的信息。企業和政府機構非常關注此信息，因為數據在存儲中未使用的時間越長，未經授權的個人就越有可能檢索到這些信息。保護此類數據涉及訪問控制、數據加密和數據保留策略等方法。^[3]

使用中的數據[編輯]

“使用中的數據”是指用戶當前正在與之交互的數據。保護使用中數據的 DLP 系統可以監控和標記未經授權的活動。^[3]這些活動包括涉及敏感數據的屏幕捕獲、複製/粘貼、打印和傳真操作。通過通信渠道傳輸敏感數據可能是有意或無意的嘗試。

運動中的數據[編輯]

“移動中的數據”是通過網絡傳輸到端點的數據。網絡可以是內部的，也可以是外部的。保護動態數據的 DLP 系統監控通過各種通信渠道在網絡上傳輸的敏感數據。^[3]

資料來源：https://en.wikipedia.org/wiki/Data_loss_prevention_software

-SAMM 概述（來源：https : //owaspsamm.org）
軟體保障成熟度模型（SAMM）是一個 OWASP 專案，一個規範模型和一個開放框架，使用簡單、定義完整且可衡量。SAMM 2.0 包含五個業務功能（治理、設計、實施、驗證和操作），它們主要遵循邏輯順序或映射到通用軟體開發生命週期。每個業務功能都有通過兩個流連接的三個安全實踐，將它們組織成一個層次結構以進行性能測量。換句話說，每個安全實踐的活動屬於流 A 或流 B。安全實踐的成熟度級別，作為軟體保證目標，可以分為三個級別。

[Stream B] 確定教育和指導的安全擁護者，成熟度級別 1
“確定安全冠軍”是安全實踐、教育和指導的 Stream B 活動，處於成熟度級別 1。它帶來了安全在開發組織中的基本嵌入的好處。以下摘自OWASP SAMM v2.0 – 核心模型文檔：
. 實施一個計劃，其中每個軟體開發團隊都有一名成員被視為“安全冠軍”，他是資訊安全和開發人員之間的聯絡人。
. 根據團隊的規模和結構，“安全冠軍”可能是軟體開發人員、測試人員或產品經理。
. “安全冠軍”每周有固定的小時數用於資訊安全相關活動。他們定期參加簡報會，以提高對不同安全學科的認識和專業知識。
. “安全冠軍”接受了額外的培訓，以幫助培養這些軟體安全主題專家的角色。出於文化原因，您可能需要自定義創建和支持“安全冠軍”的方式。
. 該職位的目標是提高應用程序安全和合規性的有效性和效率，並加強各個團隊與資訊安全之間的關係。為實現這些目標，“安全冠軍”協助研究、驗證和確定與安全和合規性相關的軟體缺陷的優先級。他們參與所有風險評估、威脅評估和架構審查，通過使應用程序架構更具彈性並減少攻擊威脅面來幫助確定修復安全缺陷的機會。
. 除了協助資訊安全之外，“安全冠軍”還為專案團隊定期審查所有與安全相關的問題，以便每個人都了解問題以及任何當前和未來的補救工作。通過讓整個開發團隊參與進來，這些評論被用來幫助集思廣益解決更複雜的問題。
評估問題
您是否為每個開發團隊確定了一名安全冠軍？
– 否
– 是，對於某些團隊
– 是，對於至少一半的團隊
– 是，對於大多數或所有團隊

質量標準
– 安全冠軍接受適當的培訓
– 應用程序安全和開發團隊會定期收到安全冠軍的簡報安全計劃和修復的總體狀態
——安全冠軍在添加到應用程序積壓之前審查外部測試的結果

[Stream A] 定制安全培訓、教育和指導@成熟度級別 2
安全冠軍就 SDLC 各個階段的安全主題進行培訓。他們接受與開發人員和測試人員相同的培訓，但也了解威脅建模和安全設計，以及可以集成到構建環境中的安全工具和技術。

[Stream B] 建立安全社區，教育和指導@成熟度級別 3
圍繞角色和職責形成社區，並使來自不同團隊和業務部門的開發人員和工程師能夠自由交流並從彼此的專業知識中受益。鼓勵參與，建立一個計劃來提升那些幫助最多的人成為思想領袖，並讓管理層認可他們。除了提高應用程序安全性之外，該平台還可以根據他們的專業知識和幫助他人的意願幫助確定安全軟體卓越中心的未來成員或“安全冠軍”。

[Stream B] 標準化和擴展威脅建模，威脅評估@成熟度級別 2
培訓您的架構師、安全擁護者和其他利益相關者如何進行實際威脅建模。威脅建模需要理解、清晰的劇本和模板、特定於組織的示例和經驗，這些都很難實現自動化。

[Stream B] 建立滲透測試流程，Security Testing @ Maturity Level 2
滲透測試案例包括用於檢查業務邏輯健全性的特定於應用程序的測試，以及用於檢查設計和實現的常見漏洞測試。一旦指定，精通安全的質量保證或開發人員就可以執行安全測試用例。中央軟體安全組監控專案團隊安全測試用例的首次執行，以協助和指導團隊安全冠軍。

[Stream B] 建立持續的、可擴展的安全驗證，安全測試@成熟度級別 3
安全冠軍和中央安全軟體小組在開發過程中不斷審查自動和手動安全測試的結果，將這些結果作為開發團隊安全意識培訓的一部分。整合整體劇本中的經驗教訓，以改進作為組織發展一部分的安全測試。如果有未解決的發現仍然是發布的可接受風險，利益相關者和開發經理應共同製定解決這些問題的具體時間表。

參考
. OWASP SAMM 2.0
資料來源： Wentz Wu QOTD-202107014

Authentication Procedure

1. Identification: a subject confesses its identity.
2. Validation: the authentication server (AS) validates the identity against a directory.
3. Assertion: the AS asserts the identity through identity/access tokens.

認證程序
身份證明：對象承認其身份。
驗證：身份驗證服務器 (AS) 根據目錄驗證身份。
斷言：AS 通過身份/訪問令牌斷言身份。

OAuth 2.0 指定了存取資源的存取令牌，但它沒有提供提供身份信息（ID Token）的標準方法，這就是 OpenID Connect（ODIC）出現的原因。
. （身份、認證）+ OAuth 2.0 = OpenID Connect
. OIDC 是第三代OpenID 技術，它與 OAuth 2.0 對齊並從 XML 切換到 JSON。
. OIDC 通過ID 令牌處理身份和身份驗證，而 OAuth 2.0 通過存取/承載令牌處理授權。
. 由於 OIDC 建立在 OAuth 2.0 之上，因此OpenID 提供程序與OAuth 2.0 授權服務器基本相同。

身份令牌(ID Token)

-理解 ID Token 由 Takahiko Kawasaki

不記名令牌（Bearer Token）
擁有不記名令牌（“持有者”）的任何一方都可以使用它來存取相關資源（無需證明擁有加密密鑰）。為了防止濫用，需要保護不記名代幣在存儲和運輸過程中不被洩露。
來源：RFC 6750
Microsoft.AspNetCore.Authentication.JwtBearer是一個軟體組件，用於處理 .NET 5.0 中的承載令牌。

OpenID Connect (OIDC) 和 OAuth 2.0
OpenID Connect 是一種基於 OAuth 2.0 系列規範的可互操作的身份驗證協議。它使用簡單的 REST/JSON 消息流，其設計目標是“讓簡單的事情變得簡單，讓複雜的事情成為可能”。與之前的任何身份協議相比，開發人員集成起來非常容易。
OpenID Connect 使開發人員無需擁有和管理密碼文件即可跨網站和應用程序驗證其用戶。對於應用程序構建器，它為以下問題提供了一個安全的可驗證答案：“當前使用與我連接的瀏覽器或本機應用程序的人的身份是什麼？”
OpenID Connect 允許所有類型的客戶端（包括基於瀏覽器的 JavaScript 和本機移動應用程序）啟動登錄流程並接收有關登錄用戶身份的可驗證斷言。
（身份、認證）+ OAuth 2.0 = OpenID Connect
來源：OpenID Connect 常見問題和問答

OpenID 的早期版本（Earlier Versions of OpenID）
OpenID Connect 是第三代 OpenID 技術。第一個是最初的 OpenID，這是一個有遠見的工具，從未獲得太多商業採用，但讓行業領導者思考什麼是可能的。OpenID 2.0考慮得更周全，提供了出色的安全性，並且在正確實施時運行良好。然而，它受到一些設計限制——其中最重要的是依賴方可以是網頁而不是本機應用程序；它還依賴於XML，導致一些採用問題。
OpenID Connect 的目標是對開發人員更加友好，同時擴展可以使用的用例集。它已經在這方面取得了成功；有大規模運行的生產部署。任何有足夠經驗通過 HTTP 發送和接收 JSON 消息的程序員（現在大多數是這樣）應該能夠使用標準的加密簽名驗證庫從頭開始實現 OpenID Connect。幸運的是，大多數甚至不必走那麼遠，因為有很好的商業和開源庫來處理身份驗證機制。
來源：OpenID Connect 常見問題和問答

OAuth 2.0 抽象協議流程（OAuth 2.0 Abstract Protocol Flow）

OAuth 2.0 Abstract Protocol Flow

OIDC 協議流程（OIDC Protocol Flow）
OpenID Connect協議，在抽象的，遵循下列步驟。

1. RP（客戶端）向 OpenID 提供者（OP）發送請求。
2. OP 對最終用戶進行身份驗證並獲得授權。
3. OP 使用 ID 令牌和通常的存取令牌進行響應。
4. RP 可以向 UserInfo Endpoint 發送帶有存取令牌的請求。
5. UserInfo 端點返回有關最終用戶的聲明。

這些步驟如下圖所示：

OIDC Protocol Flow
參考
. RFC 6749：OAuth 2.0 授權框架
. RFC 6750：OAuth 2.0 授權框架：不記名令牌的使用
. OAuth 2.0
. 歡迎使用 OpenID Connect
. OpenID Connect 常見問題和問答
. OAuth 2.0 / OpenID Connect 說明
. 了解 ID 令牌
. 將標識提供程序存取令牌傳遞到 Azure Active Directory B2C 中的應用程序
. AccessToken Vs ID Token Vs Refresh Token – 什麼？為什麼？什麼時候？

資料來源： Wentz Wu QOTD-20210622

-RESTful HTTP 方法
HTTP 方法/動詞 GET 通常用於檢索數據，這會影響機密性。

HTTP 方法

-Semantics of HTTP methods (Source: RFC 7231)

RESTful 風格架構
2000 年，Roy Fielding 在他的博士論文中引入並定義了表徵狀態轉移這一術語。Fielding 的論文解釋了 REST 原則，這些原則從 1994 年開始被稱為“HTTP 對像模型”，並用於設計 HTTP 1.1 和統一資源標識符 (URI) 標準。該術語旨在讓人聯想到精心設計的 Web 應用程序的行為方式：它是一個 Web 資源網絡（虛擬狀態機），用戶通過選擇資源標識符（例如http://www）在應用程序中前進.example.com/articles/21和資源操作，例如 GET 或 POST（應用程序狀態轉換），導致下一個資源的表示（下一個應用程序狀態）被傳輸給最終用戶供他們使用。
資料來源：維基百科

參考
. FRC 7231：超文本傳輸協議 (HTTP/1.1)：語義和內容
. 為 RESTful 服務使用 HTTP 方法
. HTTP 請求方法

資料來源： Wentz Wu QOTD-20210621

. RC4 在 WEP 中用於強制保密。然而，“在 2001 年 8 月，Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了 WEP[14] 的密碼分析，它利用了 WEP 中使用 RC4 密碼和 IV 的方式，導致被動攻擊可以恢復 RC4 密鑰後竊聽網絡。” （維基百科）
. WPA3 使用 HMAC 來確保真實性；不可否認性由數字簽名強制執行。
. WPA 使用 TKIP，使用 RC4 作為底層密碼，以確保機密性。
. WPA2 在 CCM 模式下使用 AES，一種分組密碼（CBC-MAC 計數器）。

參考
. Wi-Fi 保護訪問
. 有線等效保密
. CCMP（密碼學）
. 分組密碼操作模式
. Wi-Fi Alliance® Wi-Fi® 安全路線圖和 WPA3™ 更新
. WPA3 和增強型開放：下一代 WI-FI 安全
. WPA3 解釋

資料來源： Wentz Wu QOTD-202104021

有線等效加密（英語：Wired Equivalent Privacy，縮寫：WEP），又稱無線加密協定（英語：Wireless Encryption Protocol，縮寫：WEP），是個保護無線網路資料安全的體制。因為無線網路是用無線電把訊息傳播出去，它特別容易被竊聽。WEP的設計是要提供和傳統有線的區域網路相當的機密性，而依此命名的。不過密碼分析學家已經找出有線等效加密幾個弱點，因此在2003年被實現大部分IEEE 802.11i標準的Wi-Fi Protected Access淘汰，又在2004年由實現完整IEEE 802.11i標準的WPA2所取代。有線等效加密雖然有些弱點，亦足以嚇阻非專業人士的窺探。

資料來源：https://zh.wikipedia.org/wiki/%E6%9C%89%E7%B7%9A%E7%AD%89%E6%95%88%E5%8A%A0%E5%AF%86

概述

本文檔解釋了 SAMM 安全實踐如何為敏捷工作以在軟件開發過程中持續構建足夠的安全性。它以最佳實踐和陷阱的形式構建。

為什麼是 SAMM 敏捷指南

該軟件保證成熟度模型（SAMM）是如何建立和發展安全發展過程中OWASP旗艦項目。它與開發方法無關，這就是為什麼沒有明確涵蓋敏捷的原因。儘管如此，業界似乎強烈需要有關如何在敏捷環境中進行安全軟件開發的指導。您如何將所有必要的活動壓縮到衝刺中，例如需求選擇、威脅建模、驗證？你如何處理故事、虐待故事和完成的定義？您如何讓安全團隊和開發人員合作，而不僅僅是設置質量門？

SAMM敏捷指南的三個主要原因：

1. 它提供了有關敏捷活動（略有）不同的細節。
2. 此外，它還提供了有關如何在敏捷中實施活動的更多詳細信息（例如，如何使代碼審查漸進式），以及要注意哪些陷阱。在進行軟件安全時，在實踐中會犯很多錯誤，尤其是在敏捷情況下。
3. 它可以防止 SAMM 被視為“瀑布過多”。

資料來源：https://owaspsamm.org/guidance/agile/

-SAMM 概述（來源：https : //owaspsamm.org）
文化有不同的背景或層次，例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全意識和文化的好人選；然而，安全冠軍在軟體開發中是更合適的角色。

安全冠軍和 OWASP SAMM(Security Champion and OWASP SAMM)
安全冠軍是軟體安全主題專家，他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員，例如軟體開發人員、測試人員或產品經理，作為安全擁護者，有助於將安全嵌入到開發組織中。
. 安全冠軍接受適當的培訓。
. 應用程序安全和開發團隊會定期收到安全冠軍關於安全計劃和修復整體狀態的簡報。
. 安全冠軍在添加到應用程序積壓之前審查外部測試的結果。

高級管理人員(Senior Management)
高級管理人員是攻擊的高優先級目標。為高級管理層制定安全意識計劃至關重要。他們必須以身作則，理解和遵守安全政策，絕不應該被發現說壞話或自相矛盾的政策。

安全文化(Security Culture)
. 文化本質上是“一組用語言表達的共同理解”或“意義的共享模式”或“與組織結構和控制系統相互作用以產生行為規範的共享價值觀和信念”。如果可以證明文化會影響安全結果，那麼文化在安全環境中就會引起人們的興趣。( IEEE )
. 資訊安全文化指導組織在資訊安全方面的工作，以保護資訊資產和影響員工的安全行為。( IEEE )

參考
. SAMM 敏捷指南
. OWASP聚寶盆
. IT 安全培訓和意識計劃的遊戲化
. 從上到下發展安全文化的 6 種方法
. 國際民航組織 AVSEC2018
. 安全文化
. 嵌入資訊安全文化 新出現的問題和挑戰
. 如何建立安全文化

資料來源： Wentz Wu QOTD-202104019

“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是，HTTPS 下的原始密碼更常用，例如 Google 和 Facebook。以下原因解釋了為什麼原始密碼更可行，因為信息安全應該與業務需求保持一致：
. 在瀏覽器中，散列密碼是通過自定義 JavaScript 模塊計算的；如果客戶關閉 JavaScript 功能或防病毒軟件干擾操作，則無法正常工作。這將對市場份額、客戶滿意度和客戶服務成本產生負面影響。
. 如果攻擊者可以破壞 HTTPS 連接，發送原始密碼或散列密碼沒有任何區別，因為他可以竊取訪問令牌並劫持會話。剩餘風險幾乎相同。
. 此外，發送散列密碼意味著用戶的密碼必須被散列或加鹽，並且變得不可逆轉。但是，有些網站可能需要支持“找回密碼”功能，對密碼進行加密，客戶可以查詢自己忘記的密碼。

鹽密碼(Salted Password)
加鹽密碼是指根據原始密碼和鹽的串聯計算得出的哈希值，鹽是“作為輔助輸入合併到單向或加密函數中的隨機變量，用於派生密碼驗證數據”。(ISO/IEC 11770-4:2017) 加鹽通常在服務器端生成並且對客戶端保密，因此客戶端不可能提交加鹽密碼。

電子簽名(Digital Signature)
數字簽名在技術上是可行的，但對於電子商務網站要求客戶安裝數字證書進行身份驗證來說實際上是不可行的。
參考
. 為什麼客戶端對密碼的散列如此不常見？
. 為什麼幾乎沒有網頁在提交之前在客戶端散列密碼（並在服務器上再次散列它們），以“防止”密碼重用？
. 你（可能）做錯了登錄系統

資料來源： Wentz Wu QOTD-202104018

-治理結構(Governance Structure)

稽核委員會(Audit Committee)
稽核委員會是組織董事會的一個委員會，負責監督財務報告流程、選擇獨立稽核師以及接收內部和外部稽核結果。
美國上市公司在證券交易所上市需要一個合格的（參見下面的“組成”段）稽核委員會……隨著薩班斯 – 奧克斯利法案的通過，稽核委員會的作用繼續發展. 許多稽核委員會還監督監管合規和風險管理活動。
資料來源：維基百科

執行委員會(Executive Committee)
執行委員會的組織和授權代表整個董事會，因為董事會成員，尤其是大型董事會，親自聚集以做出決策並採取一些必要的行動並不總是可行的。
執行委員會是一個常設委員會，常作為指導運作委員會和組成的高層管理人員和董事會人員，例如:首席執行官，以及管理人員和董事的一個子集，以代表的基板時的整個董事會不能開會。
資料來源：有效的 CISSP：安全和風險管理

參考
. 治理委員會
. 治理委員會 (ACFID)
. 公司治理委員會和章程
. 治理委員會：非營利董事會的新趨勢

資料來源： Wentz Wu QOTD-202104017

由於管理是實現一個或多個目標的系統方法，我根據維基百科和NIST CSRC 術語表中的定義定義漏洞管理，並將它們擴展如下：
漏洞管理是識別、分類、優先排序、修復和驗證資訊系統、系統安全程序、內部控製或實施中的漏洞以降低風險的周期性實踐。

維基百科
漏洞管理是“識別、分類、確定優先級、修復和緩解”軟件漏洞的循環實踐。（維基百科）

NIST CSRC術語表
狹義上，漏洞可能是指那些被列入常見漏洞和暴露 (CVE) 的漏洞。
例如，漏洞管理是“一種識別設備上的漏洞 [常見漏洞和暴露 (CVE)] 的 ISCM 功能，這些漏洞可能被攻擊者用來破壞設備，並將其用作將破壞擴展到網絡的平台。” （NIST CSRC術語表）
從更廣泛的意義上講，漏洞是“資訊系統、系統安全程序、內部控製或實施中可能被威脅源利用或觸發的弱點”。（NIST CSRC術語表）
內部安全控制是資訊系統內的硬體、分位或軟體功能，將資源訪問權限限制為僅授權主體。[NIST CSRC術語表)]

資料來源：Wentz Wu網站

-戰略層次
通常，CEO 負責制定公司戰略或大戰略，董事會的意見和高級管理團隊的支持。
CISO 不是製定企業戰略的主要角色，而是與企業戰略保持一致以創造價值並實現組織願景和使命的信息安全戰略。此外，他還必須定位安全職能（部門），確定其組織、角色和職責，將安全融入組織流程，支持產品和服務的持續交付（所謂的“業務連續性”），並保護信息資產以加強安全。信息安全管理系統 (ISMS) 可確保有效地制定和實施安全策略。
CISO 的匯報路線因組織而異，各有利弊，但 CISO 向 CFO 或其他高級官員匯報並非不可能。
. CISO 向 CIO 報告的安排可能會導致利益衝突。
. CISO 向 CFO 報告的安排可能會花費更多時間來交流技術內容。
. CISO 向審計職能報告的安排將對其獨立性產生不利影響。

參考
. 什麼是安全功能
. 信息安全職能和職責
. 管理安全功能：診斷版本 1 摘要
. 企業安全
. 組織中安全管理的角色
. 如何組織您的安全團隊：網絡安全角色和職責的演變
. 萬豪-數據洩露
. ICO 因未能保證客戶個人數據安全而對萬豪國際進行罰款
. 什麼是企業戰略？
. 誰負責制定公司的戰略計劃？
. 如何制定企業戰略（CEO 分享最佳技巧和工具）
. 多元化公司的戰略規劃
. 如何評估企業戰略

資料來源： Wentz Wu QOTD-202104015

微服務(Microservices)
微服務是一個低耦合的架構，可以通過以下方式實現重構一個單片應用，即，轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可伸縮或彈性容器或無服務器環境。

託管環境(Hosting Environment)
微服務可以通過兩種方式部署：容器化和無服務器。
容器化（Docker 主機或節點）(Containerization (Docker hosts or nodes))
容器化用於捆綁應用程序或應用程序的功能、所有依賴項及其在容器映像中的配置。此映像部署在主機操作系統上，捆綁的應用程序作為一個單元工作。
容器鏡像的概念允許我們在幾乎不做任何修改的情況下跨環境部署這些鏡像。通過這種方式，可以輕鬆快速地擴展微服務，因為新容器可以輕鬆部署用於短期目的。
Docker將用於向我們的微服務添加容器化。Docker 是一個開源項目，用於創建可以在雲端或本地的 docker 主機上運行的容器。

-來源：使用 ASP.NET Core 3.1 的微服務

無服務器(Serverless)（FaaS）
微服務具有“可擴展”的特點，但由於接口的細粒度，會導致微服務管理的高度複雜性。一個API網關或立面緩解這個問題。
無服務器減少了安裝和維護服務器作為託管環境的負擔。AWS Lambda是一種功能即服務 (FaaS) 產品，是無服務器計算中最著名的雲服務之一。

-資料來源：AWS 的無服務器微服務模式
參考
. Kubernetes 與 Docker：入門
. Node.js 中的無服務器：初學者指南
. Node.js 中的無服務器架構：開源應用的案例研究
. 無服務器和微服務：天作之合？
. 使用容器部署微服務
. 什麼是無服務器微服務？| 無服務器微服務解釋
. 適用於 AWS 的無服務器微服務模式
. 使用 ASP.NET Core 3.1 的微服務

資料來源： Wentz Wu網站

-可信路徑和可信通道
. 可信計算機系統(Trusted Computer System)
具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息（即機密、受控非機密信息 (CUI) 或非機密公共信息）的系統。(CNSSI 4009-2015)
. 可信計算庫 (TCB)( Trusted Computing Base)
計算機系統內保護機制的總和，包括硬件、固件和軟件，負責執行安全策略的組合。(CNSSI 4009-2015)
. 安全內核(Security Kernel)
實現參考監視器概念的可信計算基礎的安全內核硬件、固件和軟件元素。安全內核必須調解所有訪問，防止修改，並且可以驗證是否正確。(CNSSI 4009-2015)
. 可信路徑(Trusted Path)
一種機制，用戶（通過輸入設備）可以通過這種機制直接與信息系統的安全功能進行通信，並有必要的信心來支持系統安全策略。該機制只能由用戶或信息系統的安全功能激活，不可被不可信軟件模仿。(CNSSI 4009-2015)
. 可信通道(Trusted Channel)
端點已知且數據完整性在傳輸過程中受到保護的通道。根據所使用的通信協議，數據隱私可能在傳輸過程中受到保護。示例包括傳輸層安全 (TLS)、IP 安全 (IPSec) 和安全物理連接。(CNSSI 4009-2015)
. 可信平台模塊 (TPM)( Trusted Platform Module)
一種內置於某些計算機主板中的防篡改集成電路，可以執行加密操作（包括密鑰生成）並保護少量敏感信息，例如密碼和加密密鑰。(NIST SP 800-147)
. 可信恢復(Trusted Recovery)
確保在系統故障後不受影響地恢復的能力。(CNSSI 4009-2015) Common Criteria (CC) 定義了四種類型的可信恢復：手動恢復、自動恢復、沒有過度丟失的自動恢復和功能恢復。

資料來源： Wentz Wu 網站

-ICT SCRM 支柱和可見性（來源：NIST SP 800-161）
僅當購買正版產品時，生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好，但在大多數組織中並不是強制性的。而且，仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險：

1. 插入假冒產品
2. 未經授權的生產
3. 篡改
4. 盜竊
5. 插入惡意軟件和硬件
6. 糟糕的製造和開發實踐
   這些 ICT 供應鏈風險可能包括假冒產品的插入、未經授權的生產、篡改、盜竊、惡意軟件和硬件的插入，以及ICT 供應鏈中不良的製造和開發實踐。這些風險與組織對他們獲得的技術如何開發、集成和部署以及用於確保完整性、安全性、彈性和彈性的流程、程序和實踐的可見性和理解降低有關。產品和服務的質量。
   來源：NIST SP 800-161

產品銷售和支持（Product Sales and Support****）
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。

-EOL 和 EOS：產品銷售和支持
參考
. 霍尼韋爾(Honeywell)
. 什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)？
. 產品生命週期和支持管理 – Evolis 公司政策
. EVOLIS 目錄產品：停產日期
. 思科產品生命週期終止政策

資料來源： Wentz Wu QOTD-202104014

-道德在新的 CISSP 考試大綱中名列前茅

道德規範(Code of Ethics Canons)
. 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
. 以光榮、誠實、公正、負責任和合法的方式行事。
. 為校長(principals)提供勤勉和稱職的服務。
. 推進和保護職業。

道德投訴程序(Ethics Complaint Procedures)
以下摘自(ISC)² 道德規範：
. 該倫理委員會是由董事會成立聽到所有的道德投訴和提出建議董事會。
. 委員會將只考慮具體說明我們的 (ISC)² 道德準則中已被違反的投訴。
. 雖然任何公眾都可以投訴Canons I 或 II的違規行為，但只有負責人（與證書持有者有雇主/承包商關係的人）可以投訴Canons III 的違規行為，並且只有其他專業人士（那些獲得認證或獲得專業執照並遵守道德準則）可能會投訴違反佳能 IV 的行為。
. 僅接受聲稱因所指控的行為而受傷的人的投訴。
. 所有投訴必須以書面形式提出。投訴必須採用宣誓書的形式。委員會不會考慮任何其他形式的指控。
. 如果表面證據確鑿，道德委員會將審查並向董事會提出建議。

參考
. (ISC)² 道德準則
. (ISC)² 活動行為準則
. 你有足夠的道德成為 CISSP 嗎？
. 網絡安全倫理簡介
. 事件響應和安全團隊的道德規範
. 共同利益
. 什麼是同行評審團？
. 為您的組織製定道德準則
. Surna Inc. 商業行為與道德準則
. 3 信息安全專業人員的道德困境
. 網絡安全倫理的嚴峻挑戰

資料來源： Wentz Wu QOTD-202104013

-零信任網路安全範式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行相互身份驗證，並在三者中呈現最高的安全級別。EAP-TTLS 和 PEAP 支持相互認證，無需在客戶端安裝證書以減輕系統管理開銷。由於零信任強調驗證和細粒度訪問控制，因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更適合。

EAP 傳輸層安全 (EAP Transport Layer Security ：EAP-TLS)
EAP 傳輸層安全 (EAP-TLS) 在 RFC 5216 中定義，是使用傳輸層安全 (TLS) 協議的 IETF 開放標準，並在無線供應商中得到很好的支持。EAP-TLS 是原始的標準無線局域網 EAP 身份驗證協議。
EAP-TLS 仍然被認為是最安全的 EAP 標準之一，儘管 TLS 僅在用戶了解有關虛假憑據的潛在警告時才提供強大的安全性，並且得到所有無線 LAN 硬件和軟件製造商的普遍支持。直到 2005 年 4 月，EAP-TLS 是唯一需要認證 WPA 或 WPA2 徽標的 EAP 類型供應商。
客戶端證書的要求，無論它多麼不受歡迎，都賦予了 EAP-TLS 其身份驗證強度，並說明了經典的便利性與安全性的權衡。使用客戶端證書，破解密碼不足以入侵啟用 EAP-TLS 的系統，因為入侵者仍然需要擁有客戶端證書；實際上，甚至不需要密碼，因為它僅用於加密客戶端證書以進行存儲。最高的安全性是客戶端證書的“私鑰”存放在智能卡中。
資料來源：維基百科

EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security：EAP-TTLS)
EAP 隧道傳輸層安全 (EAP-TTLS) 是一種擴展 TLS 的 EAP 協議。它由 Funk Software 和 Certicom 共同開發，並得到了跨平台的廣泛支持。
客戶端可以但不必通過 CA 簽署的 PKI 證書向服務器進行身份驗證。這極大地簡化了設置過程，因為並非每個客戶端都需要證書。
資料來源：維基百科

受保護的可擴展身份驗證協議 (Protected Extensible Authentication Protocol:PEAP)
受保護的可擴展身份驗證協議，也稱為受保護的 EAP 或簡稱為 PEAP，是一種將 EAP 封裝在潛在加密和身份驗證的傳輸層安全 (TLS) 隧道中的協議。目的是糾正 EAP 中的缺陷；EAP 假設了一個受保護的通信通道，例如由物理安全提供的通道，因此沒有提供保護 EAP 對話的設施。
資料來源：維基百科

輕量級可擴展身份驗證協議 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在無線網路中使用的基於 EAP 的身份驗證協議。它支持相互認證並在遺留的破解 WEP 中工作。

NIST：零信任原則(Tenets of Zero Trust)

1. 所有數據源和計算服務都被視為資源。
2. 無論網路位置如何，所有通信都是安全的。
3. 按會話授予對單個企業資源的訪問權限。
4. 對資源的訪問由動態策略決定——包括客戶端身份、應用程序/服務和請求資產的可觀察狀態——並且可能包括其他行為和環境屬性。
5. 企業監控和衡量所有自有資產和相關資產的完整性和安全狀況。
6. 所有資源認證和授權都是動態的，並且在允許訪問之前嚴格執行。
7. 企業盡可能多地收集有關資產、網路基礎設施和通信的當前狀態的信息，並使用這些信息來改善其安全狀況。

NIST：網路的零信任視圖(A Zero Trust View of a Network)

1. 整個企業專用網路不被視為隱式信任區域。
2. 網路上的設備可能不由企業擁有或配置。
3. 沒有資源是天生可信的。
4. 並非所有企業資源都位於企業擁有的基礎架構上。
5. 遠程企業主體和資產無法完全信任其本地網路連接。
6. 在企業和非企業基礎設施之間移動的資產和工作流應該具有一致的安全策略和狀態。

參考
. WPA2-企業認證協議比較
. 了解更新的 WPA 和 WPA2 標準
. 轉向 WPA/WPA2-企業 Wi-Fi 加密
. 802.1X 概述和 EAP 類型
. 思科LEAP
資料來源： Wentz Wu QOTD-202104012

清理方法(The sanitization method)，清除(purge)，將使數據恢復不可行，但介質是可重複使用的。消磁(Degaussing)會使媒體永久無法使用。

消磁，也稱為消磁，意思是“通過施加反向磁化場將磁通量降低到虛擬零。對任何當前一代的硬盤（包括但不限於 IDE、EIDE、ATA、SCSI 和 Jaz）消磁將導致驅動器永久無法使用，因為這些驅動器將磁道位置信息存儲在硬盤驅動器上。”
來源：NIST SP 800-88 R1

ATA 清理命令旨在清除數據；它們應用特定於媒體的技術來繞過典型讀寫命令中固有的抽象。以下是 ATA 清理 I/O 命令：
. CRYPTO SCRAMBLE EXT（D. 更改用於用戶數據的內部加密密鑰）
. OVERWRITE EXT（C. 用常數值覆蓋內部媒體）
. BLOCK ERASE EXT（A.使用塊擦除方法）

-ATA 消毒操作
參考
. CISSP 實踐問題 – 20200209
. 數據殘留和清理

資料來源： Wentz Wu QOTD-202104011

吹哨人（whistleblower）是指揭露某個私人或公共組織中任何被認為非法的、違反道德的和不正當的行為或信息的人。《吹哨人保護法》（Whistleblower Protection Act）在1989年被寫入美國聯邦法律。

吹哨人保護的相關法律法規保障某些特定情況下雇員和承包商的言論自由。如果員工或申請人有理由相信信息披露證明違反了任何法律、規則或條例，或嚴重管理不善，嚴重浪費資金，濫用職權，或對公共衛生或安全構成實質性和具體的危險，吹哨人將受到保護，免遭報復。

資料來源：https://zh.wikipedia.org/wiki/%E7%BE%8E%E5%9B%BD%E7%9A%84%E5%90%B9%E5%93%A8%E4%BA%BA%E4%BF%9D%E6%8A%A4

DevOps（Development和Operations的組合詞）是一種重視「軟體開發人員（Dev）」和「IT運維技術人員（Ops）」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程，來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門，在這種環境下如何採用新的開發方法（例如敏捷軟體開發），是一個重要的課題。按照從前的工作方式，開發和部署，不需要IT支援或者QA深入的跨部門的支援；而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署，它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。

資料來源：https://zh.wikipedia.org/wiki/DevOps

橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。
本標准定義了數字簽名生成方法，可用於保護二進制數據（通常稱為消息），以及驗證和確認這些數字簽名。批准了三種技術。
(1)本標準規定了數字簽名算法（DSA）。該規範包括域參數的生成、公鑰和私鑰對的生成以及數字簽名的生成和驗證的標準。
(2) RSA數字簽名算法在美國國家標準 (ANS) X9.31 和公鑰密碼學標準 (PKCS) #1 中指定。FIPS 186-4 批准使用這些標準中的一個或兩個的實現，並指定附加要求。
(3)橢圓曲線數字簽名算法 (ECDSA)在 ANS X9.62 中指定。FIPS 186-4 批准使用 ECDSA 並指定附加要求。此處提供了供聯邦政府使用的推薦橢圓曲線。
ECDSA 密鑰對由私鑰d 和與特定 ECDSA 域參數集相關聯的公鑰Q 組成；d、Q 和域參數在數學上相互關聯。私鑰通常使用一段時間（即cryptoperiod）；只要使用關聯私鑰生成的數字簽名需要驗證（即，公鑰可以在關聯私鑰的加密期之後繼續使用），就可以繼續使用公鑰。有關進一步指導，請參閱 SP 800-57。
ECDSA 密鑰只能用於 ECDSA 數字簽名的生成和驗證。
來源：FIPS 186-4

使用密鑰對的非對稱加密(Asymmetric Encryption Using Key Pairs)
非對稱加密中使用的密鑰對中的私鑰或公鑰只是一個二進制位序列。給定一個公鑰，你永遠不知道它屬於誰。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。因此，單獨的公鑰不能用於身份驗證和不可否認性。

IPsec 和不可否認性(IPsec and Non-repudiation)
. 不可否認包從技術角度來看是遠離的不可抵賴性的消息從法律的角度。
. 在早期，Cisco 和 RFC 1826 聲明 IPsec 支持不可否認性。但是，隨後的 RFC（RFC 2403 和 RFC 4302）顛覆了這一點：

RFC 1826 不可否認性(RFC 1826 for Non-repudiation)
認證頭是一種為 IP 數據報提供強完整性和認證的機制。它還可能提供不可否認性，具體取決於使用哪種加密算法以及如何執行密鑰。例如，使用非對稱數字簽名算法（如 RSA）可以提供不可否認性。( RFC 1826 )
但是，RFC 2403 和 RFC 4302 顛覆了 AH 提供不可否認性的說法。

用於身份驗證的 RFC 2402(RFC 2402 for Authentication)
IP 認證頭 (AH) 用於為 IP 數據報提供無連接完整性和 數據源認證（以下簡稱“認證”），並提供防止重放的保護。 (RFC 2402 )

RFC 4302 完整性(RFC 4302 for Integrity)
IP 認證頭 (AH) 用於 為 IP 數據報（以下簡稱“完整性”）提供無連接完整性和 數據源認證，並提供防止重放的保護。( RFC 4302 )
有關詳細信息，請參閱IPsec 和不可否認性。

參考
. 酒店評分
. RSA（密碼系統）
. 不可否認性
. IPsec 和不可否認性

資料來源： Wentz Wu QOTD-20210409

證書申請和回應

證書籤名請求

在公鑰基礎結構（PKI）系統中，證書籤名請求（也稱為CSR或證書請求）是從申請人發送到證書頒發機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰，標識信息（例如域名）和完整性保護（例如數字簽名）。CSR最常見的格式是PKCS＃10規範；另一種是由某些Web瀏覽器生成的“簽名的公鑰和挑戰” SPKAC格式。

資料來源：維基百科

使用OpenSSL生成CSR

$ sudo apt install openssl [在Debian / Ubuntu上]
$ openssl req -new -newkey rsa：2048 -nodes -keyout server.key -out server.csr

上傳證書籤名請求

X.509證書

安裝證書

TLS / SSL

參考

• PKCS＃10：認證請求語法規範版本1.7
• Internet X.509證書請求消息格式
• PKI技術標準
• SSL證書格式
• X.509和PKCS＃7證書有什麼區別？
• SSL證書文件擴展名說明：PEM，PKCS7，DER和PKCS＃12
• .P7B（PKCS＃7）.PFX / .P12（PKCS＃12）.PEM，.DER，.CRT，.CER證書有什麼區別？
• 網絡安全
• 信任鏈
• HTTPS流量的服務級別監視
• SSL基礎知識：什麼是證書籤名請求（CSR）？
• 產生企業社會責任
• CSR解碼器和證書解碼器
• 如何使用OpenSSL解碼證書籤名請求（CSR）文件
• 如何為Nginx生成CSR（OpenSSL）
• 如何在Linux中生成CSR（證書籤名請求）
• x509證書–非對稱加密和數字簽名
• 如何使用X.509證書和SSL進行安全通信
• 什麼是X.509證書？
• 如何在IIS10上安裝SSL證書

資料來源： Wentz Wu網站

公開金鑰基礎建設（英語：Public Key Infrastructure，縮寫：PKI），又稱公開金鑰基礎架構、公鑰基礎建設、公鑰基礎設施、公開密碼匙基礎建設或公鑰基礎架構，是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構，其目的在於創造、管理、分配、使用、儲存以及復原數位憑證。

密碼學上，公開金鑰基礎建設藉著數位憑證認證機構（CA）將使用者的個人身分跟公開金鑰鏈結在一起。對每個憑證中心使用者的身分必須是唯一的。鏈結關係通過註冊和發布過程建立，取決於擔保級別，鏈結關係可能由CA的各種軟體或在人為監督下完成。PKI的確定鏈結關係的這一角色稱為註冊管理中心（Registration Authority，RA）。RA確保公開金鑰和個人身分鏈結，可以防抵賴。在微軟的公開金鑰基礎建設之下，註冊管理中心（RA）又被叫做從屬數字憑證認證機構（Subordinate CA）。^[1]

可信賴的第三者（Trusted third party，TTP）也常被用來指憑證中心。PKI有時被錯誤地拿來代表公開金鑰密碼學或公開金鑰演算法。

資料來源：https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES），又稱Rijndael加密法（荷蘭語發音：[ˈrɛindaːl]，音似英文的「Rhine doll」），是美國聯邦政府採用的一種區塊加密標準。這個標準用來替代原先的DES，已經被多方分析且廣為全世界所使用。經過五年的甄選流程，進階加密標準由美國國家標準與技術研究院（NIST）於2001年11月26日發布於FIPS PUB 197，並在2002年5月26日成為有效的標準。現在，進階加密標準已然成為對稱金鑰加密中最流行的演算法之一。

資料來源：https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

 在凡事走向數位化的年代，透過『電子簽名』我們可以在實體的紙本文件轉變成數位電子文件的過程中，根據文件的重要程度、屬性及應用的不同，使用『電子簽名』來證明電子文件的效力。那麼『數位簽章Digital Sign』又是甚麼呢?其與『電子簽名Electronic Sign』之間的差異為何？


一. 電子簽名

    電子簽名出現的背景，始因於網路的普及化，網路打破時間及空間限制，電商網站遍地開花，為求更高的曝光度及提供客戶更便利的服務，企業也進而將經營模式由實體銷售拓展到線上經營。越來越多的商務活動逐漸在網路世界展開，各式交易、互動都朝著無紙化的方向進行，此時能為我們在網路上的行為做認證，具有保障及認定資格的電子簽名就佔了舉足輕重的地位。電子簽名在雙方有合約文件，需要表訂雙方約定、權益，要具有能確認身分且不得任意竄改之特性時，尤其重要，而在2001年台灣也通過了《電子簽章法》讓在網路上的簽署行為也有了法律的保障。



二. 電子簽名的等級?1. 電子簽名 (Electronic Signature)  
在電子文件上產出一個簡單的簽名圖檔，時間戳記也只是讀取本機端的時間，並無任何認證與防竄改技術。

2. 電子簽名+軌跡紀錄 (Biometric Signature)
只是將簽名圖檔放在文件上非常容易仿造，於是出現了加入X 、 Y向量值、筆觸壓力、書寫速度等能代表軌跡的數據，進而證實電子簽名的真實性。

3. 數位簽章(Digital Signature)

• 防竄改，利用公私鑰交換的非對稱加密技術來實現，當文件遭到竄改時會看見非常明顯的警告。
• 身份認證，透過公正第三方數位憑證頒發機構(CA)來驗證個人/企業/機關身份後，得到核發的的數位憑證，它就像是電子身分證，能作為身份依據。
• 長期驗證LTV (Long Time Validation)，正式文件根據不同行業別都要保存至少八到十五年，有LTV的數位簽章可以使電子文件具有長期保存的效力。
• AATL (Adobe Approved Trust List)，屬於Adobe信任清單內的CA可在Adobe軟體上看到被信任的數位簽章，不會像自簽憑證跳出不信任警告。

4. 數位簽章+軌跡紀錄 (Biometric Digital Signature)
利用擁有公鑰基礎建設的數位簽核服務，對文件簽核負予最高完整效力的電子簽名，內含數位憑證與軌跡數據。  

5. 許多人因不理解電子簽名(Electronic Signature)與數位簽章(Digital Signature)其中差異，故會混著使用，但明白後會發現是兩種截然不同的行為。

使用簽名的等級取決於文件的類型與對期望的真實性級別，兩者雖兼具法律效力，但以安全性作為考量的話，數位簽章會是更好的選擇。

資料來源：https://www.digielk.com/news_detail.php?uid=4

使命與願景(Mission and Vision)
. 一個組織不是無緣無故存在的。它是為目的而建立的，並肩負著使命。它由領導者創造的願景激勵人們按照目標進行活動，並根據指標和指標進行衡量，以創造價值、實現（戰略）目標並實現願景和使命。
. 業務是指創造價值的活動的集合。它由組織的內部和外部環境驅動，這些環境施加了條件和約束以及表達期望、需求和要求的利益相關者。

治理與管理(Governance and Management)
治理是指由最高管理層或最高管理層進行的整體活動，對業務成果、組織的生存和發展以及願景和使命的實現負責。政策是最高管理層意圖的表達。
管理是實現目標或目的的系統方法。PDCA 循環是最著名的管理方法之一。

資訊安全(Information Security)
資訊安全是一門通過保障措施保護資訊資產免受威脅的學科，以實現機密性、完整性和可用性（第 3 層）或 CIA 的目標，支持業務（第 2 層）並創造和交付價值（第 1 層） .
. 資訊安全治理是最高管理層的一門學科，以 1) 承擔保護組織資訊資產的責任，2) 指導資訊安全的實施以實現機密性、完整性和可用性的安全目標，以及 3) 遵守法律和強制性的和其他需求。
. 資訊安全管理是PDCA循環，實施資訊安全戰略，實現戰略目標，落實資訊安全政策。

資料來源： Wentz Wu 網站

-容器技術架構
容器映像是由開發人員創建和註冊的包，其中包含在容器中運行所需的所有文件，通常按層組織。映像通常包括層，例如最小操作系統核心（又名基礎層）、應用程序框架和自定義代碼。
儘管主機可以直接聯繫註冊中心獲取鏡像並將其部署到容器中，但協調器（例如Kubernetes（K8S）、Docker Swarm、Mesos等）可以自動執行部署過程，從註冊中心拉取鏡像，並將其部署到容器中，並管理容器運行時。

不變性和彈性(Immutability and Elasticity)
正如寵物中的雞、牛、雞和昆蟲類比，部署容器是為了彈性，具有自動“橫向擴展”和“縱向擴展”的能力。
我們很好地照顧我們的寵物，但殺死和吃掉像牛和雞這樣的動物而不會後悔。虛擬機和容器是可以隨時銷毀、替換和添加的工作負載。不變性和無狀態是容器實現彈性的兩個關鍵屬性。

不變性意味著“隨時間不變或無法改變”。(Google) 我們可以將容器視為只讀的；更新容器的唯一方法是用新容器替換它。無狀態意味著容器不會在其本地存儲中保留數據；但是，遠程存儲庫用於跨容器持久化和共享狀態。
大多數應用程序容器技術都實現了不變性的概念。換句話說，容器本身應該作為已部署但未更改的無狀態實體運行。當正在運行的容器需要升級或更改其內容時，它會被簡單地銷毀並替換為具有更新的新容器。
資料來源： NIST SP 800-192

覆蓋網絡(Overlay Networks)
覆蓋網絡通常用於隔離節點之間的流量。相反，可能會導致非容器感知防禦工具難以監控流量。

對容器進行分段和分組(Segmenting and Grouping Containers)
在某些情況下，適合將具有相同用途、敏感性和威脅態勢的容器分組在單個主機上。儘管如此，它並不適用於所有不具有相同安全要求的容器。
僅將具有相同用途、敏感性和威脅態勢的容器分組到單個主機操作系統內核上，以實現額外的縱深防禦。
按用途、敏感性和威脅態勢分割容器提供了額外的縱深防禦。這種分段可以通過使用多個物理服務器來提供，但現代虛擬機管理程序也提供了足夠強大的隔離來有效地降低這些風險。
資料來源： NIST SP 800-192

NIST 應用程序容器安全指南(NIST Application Container Security Guide)
NIST 建議組織應遵循以下建議，以幫助確保其容器技術實施和使用的安全性：

1. 定制組織的運營文化和技術流程，以支持容器使開發、運行和支持應用程序成為可能的新方式。
2. 使用特定於容器的主機操作系統而不是通用操作系統來減少攻擊面。
3. 僅在單個主機操作系統內核上將具有相同目的、敏感性和威脅態勢的容器分組，以實現額外的縱深防禦。
4. 為鏡像採用特定於容器的漏洞管理工具和流程，以防止受到損害。
5. 考慮使用基於硬件的對策為可信計算提供基礎。
6. 使用容器感知運行時防禦工具。

參考
. 什麼是容器安全？
. NIST SP 800-192（應用容器安全指南）
. 容器安全指南——你需要知道的一切
. 寵物和牛的類比展示了無服務器如何融入軟件基礎設施領域
. 寵物與牛的歷史以及如何正確使用類比
. 彈性
. 自動化彈性

資料來源： Wentz Wu QOTD-20210408

零信任的概念早在 2003 年就出現了，當時去邊界化、移除物理網絡位置盛行。許多組織開始實施類似的概念。NIST 於 2020 年 8 月發布了專刊 800-207，統一了各種觀點，介紹了零信任概念和環境，並提出了零信任架構。
從不信任，始終驗證。零信任的基本概念是不依賴物理位置來隱式授權訪問（信任）。每次訪問都必須經過身份驗證、明確授權和記錄；數據流需要加密和記錄。應實施細粒度的動態機制來支持訪問控制。因此，我得出的結論是，零信任是一種用於訪問控製或訪問控制 2.0 的新網絡安全範式，具有以數據為中心、細粒度、動態和可見性的特點。
. 記帳和記錄網絡流量提供了可見性。
. 零信任與位置無關。使用 IPSec 加密 LAN 上的流量，就像 WAN 中發生的那樣。
. 端口敲門在端口級別應用身份驗證並支持動態策略。此外，我們還在應用程序級別使用網絡訪問控制（例如，802.1X）和用戶身份驗證。從不信任，始終驗證。
. 多層防火牆意味著安全性由物理網絡位置實施，例如外部、DMZ 和內部網絡。它不是零信任風格，它以數據或資產為中心，並使用邏輯邊界或軟件定義的邊界。

-零信任概念的演變

-零信任網絡安全範式

參考
. 零信任創建者談論實施、誤解、戰略
. 敲端口

資料來源： Wentz Wu QOTD-20210407
My Blog: https://choson.lifenet.com.tw/

常見的隧道協議
以下是常見的隧道協議：
. GRE（協議 47）：通用路由封裝
. SSTP（TCP 端口 443）：安全套接字隧道協議
. IPSec（協議 50/ESP和 51/AH）：互聯網協議安全
. L2TP（協議 115）：第 2 層隧道協議
. VXLAN（UDP 端口 4789）：虛擬可擴展局域網
封裝安全負載 (ESP)
封裝安全負載 (ESP)，IP 協議編號 50，是 IPsec 協議套件的成員。它可以在主機到主機傳輸模式以及站點到站點隧道模式中實現：
. 在傳輸模式下，只對IP數據包的有效載荷進行加密或認證，通常在使用其他隧道協議（如GRE、L2TP）先封裝IP數據包時使用，然後使用ESP保護隧道數據包。（Juniper）
. 在隧道模式下，整個 IP 數據包都經過加密和認證。

第2層轉發協議 (L2F)
L2F 或第 2 層轉發是 Cisco Systems, Inc. 開發的隧道協議，用於在 Internet 上建立虛擬專用網絡連接。L2F 本身不提供加密或機密性；它依賴於被隧道傳輸的協議來提供隱私。L2F 專門設計用於隧道點對點協議 (PPP)流量。
資料來源：維基百科

點對點隧道協議 (PPTP)
由於許多眾所周知的安全問題，主要由Microsoft支持的點對點隧道協議 (PPTP)是一種過時的用於實現虛擬專用網絡 (VPN) 的方法。
. PPTP 使用 TCP 控制通道和通用路由封裝隧道來封裝點對點協議 (PPP)數據包。
. PPTP 規範不描述加密，Microsoft 點對點加密 (MPPE)支持加密。

VXLAN 問題陳述
目前的VLAN數量有限，為4094，無法滿足數據中心或云計算的需求，具有基於租戶隔離網絡的共同特點。例如，Azure 或 AWS 的客戶遠多於 4094。

VXLAN (RFC 7348) 旨在解決以下問題：

1. 生成樹和 VLAN 範圍施加的限制
2. 多租戶環境
3. ToR（架頂式）交換機的表尺寸不足
   VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP，以支持主幹交換機和葉交換機之間的通信。Leaf-Spine架構採用葉子交換機和骨幹交換機組成的兩層網絡拓撲結構。

底層網絡 或所謂的 物理網絡 ，傳統協議在其中發揮作用。底層網絡是物理基礎設施，在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。

• 底層協議：BGP、OSPF、IS-IS、EIGRP

一個 覆蓋網絡 是一個 虛擬的網絡 ，其路由在底層網絡基礎設施之上，路由決定將發生在軟件的幫助。

• 覆蓋協議：VXLAN、NVGRE、GRE、OTV、OMP、mVPN

覆蓋網絡是一種使用軟件創建網絡抽象層的方法，可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層，通常提供新的應用程序或安全優勢。
來源：Underlay Network 和 Overlay Network

參考
. 隧道協議
. 第 2 層轉發協議 (L2F)
. 通用路由封裝 (GRE)
. 點對點隧道協議
. 虛擬可擴展局域網 (VXLAN)
. VPN隧道解釋
. 什麼是 VPN 隧道？
. 什麼是 VPN 隧道及其工作原理
. 什麼是 IKEv2？
. 互聯網協議安全 (IPsec)

資料來源： Wentz Wu QOTD-20210405

混淆矩陣中的敏感性是評估 IDS 性能的常用方法。
. 一旦 IDS 發送警報，就應該對其進行調查和驗證，並且工作量會增加。減少誤報的數量減少了調查工作量。
. 然而，減少誤報警報可能會增加誤報案例，導致更多的零日漏洞利用，利用組織獲利害關西人未知的漏洞進行攻擊。
. “一般來說，提高入侵檢測系統的靈敏度會導致更高的誤報率，而降低靈敏度會降低誤報率。” ( Chapple ) 降低這裡的“敏感度”可能是指配置 IDS 以降低檢測的積極性和響應性並發送更少的警報。然而，IDS 系統的敏感度究竟是多少？二元分類中靈敏度的操作定義是TP/(TP+FN)。降低靈敏度意味著 FN（假陰性）增加。
. 選項 D 在二元分類器中有意義，如下圖所示。IDS的檢測閾值是影響靈敏度的實現參數，實現方式各不相同。基於異常的 IDS 可以採用二元或多標籤分類器/算法來對事件進行分類，例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。由於存在各種類型的基於異常的 IDS，因此在每種算法中可能會或可能不會使用閾值。此外，在不同算法中提高閾值可能會以不同方式影響靈敏度。

-二元分類模型的分數分佈（來源：亞馬遜）

S-IDS 和 A-IDS
入侵檢測系統按檢測方法可分為基於簽名（S-IDS）和基於異常（A-IDS）。S-IDS擅長檢測已知攻擊，而 A-IDS 擅長未知攻擊。異常，又名異常值、新奇、噪音、偏差和異常，是指“偏離標準、正常或預期的東西”。（谷歌）
下圖很好地總結了異常檢測方法。但是，請注意它有一個錯字（簽名IDS應該是“S-IDS”），大多數CISSP學習指南將基於知識的IDS（K-IDS）視為與簽名IDS（S-IDS）相同。

-Laszka、Aron & Abbas、Waseem & Sastry、S & Vorobeychik、Yevgeniy & Koutsoukos、Xenofon。(2016)。入侵檢測系統的最佳閾值。10.1145/2898375.2898399。

分類(Classification)
如果事件或流量是使用二元分類器的攻擊，則 IDS 可以使用模型（分類器）來確定事件或流量，或者使用多標籤分類器對其進行分類，例如正常、可疑或攻擊。在分類過程中可以使用作為模型參數的閾值。
將預測概率或評分轉換為類別標籤的決策由稱為“決策閾值”、“判別閾值”或簡稱為“閾值”的參數控制。對於在 0 或 1 之間的範圍內的標準化預測概率或分數，閾值的默認值為 0.5。（Brownlee）

ROC曲線(ROC Curve)
ROC 曲線（接收器操作特性曲線）是顯示分類模型在所有分類閾值下的性能的圖表。該曲線繪製了兩個參數：真陽性率和假陽性率。（谷歌）

-資料來源：谷歌

混淆矩陣(Confusion Matrix)
混淆矩陣是一種評估 IDS 使用的模型性能的工具。它包含有關使用二元或多標籤分類器進行的實際和預測分類的信息，例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。

-混淆矩陣（圖片來源：數據科學和機器學習）

-混淆矩陣和決策樹（圖片來源：Judy Shamoun-Baranes）

參考
. 準確率和召回率
. 敏感性和特異性
. 精確召回
. 入侵檢測系統的最佳閾值
. 入侵檢測系統 – IDS 性能調優 (YouTube)
. 網絡入侵檢測系統：機器學習和深度學習方法的系統研究
. 大數據環境下使用機器學習算法的入侵檢測模型
. 機器學習中的分類算法：它們是如何工作的
. 7種分類算法
. 統計異常檢測
. 異常檢測
. 靈敏度、特異性、準確性、相關置信區間和 ROC 分析與實用 SAS® 實施
. 評估和調整入侵檢測系統
. 什麼是入侵檢測系統？最新類型和工具
. 不平衡分類的評估指標之旅
. 不平衡分類的閾值移動簡介
. 多標籤分類的閾值選擇研究
. 分類：閾值（谷歌）
. 多標籤分類
. 多類分類（亞馬遜）
. 二元分類（亞馬遜）
. 在 scikit-learn 中微調分類器
. 機器學習：神經網絡

資料來源： Wentz Wu QOTD-20210406

虛擬局域網擴展（Virtual Extensible LAN, VXLAN）是一種網路虛擬化技術，它試圖改善大雲計算部署相關的可擴展性問題。它採用類似VLAN封裝技術封裝基於MAC含括第 4 層的UDP封包的 OSI 第2層 乙太網影格 ，使用 4789 作為預設分配的 IANA 目的地 UDP 埠號。^[1]

VXLAN 是努力覆蓋封裝協定的演變，它提高了可擴展性達 1600 萬個邏輯網路，並允許透過IP網路鄰接第 2 層。使用 HER (Head-End Replication)的 多播 或 單播 是用來淹沒 BUM (broadcast, unknown destination address, multicast) 流量

VXLAN 規格一開始是由 VMware、Arista Networks 和 Cisco 建立的 ^[2][3]，其他的 VXLAN 技術擁護者包括Huawei、Broadcom、Citrix、Pica8、Cumulus Networks、Dell、Mellanox、^[4] OpenBSD、^[5] Red Hat^[6] 和 Juniper Networks。

VXLAN 正式由 IETF 記錄在 RFC 7348 內。Open vSwitch 支援VXLAN覆蓋網路。

VXLAN的作用

VXLAN可以為網路提供以下作用：

• 突破 VLAN的最多 4096 個終端的數量限制，以滿足大規模雲計算資料中心的需求。目前因為現在虛擬化技術的發展，在資料中心裏的伺服器都類比成虛擬機 (VM)，而且 VM 一般都會需要分割成組，達成二層隔離，目前大多是透過 VLAN 技術實現的。但 VLAN 技術的缺陷是 VLAN Header 預留的長度只有12 bit，最多只能支援4096個，無法滿足日益增長的需求。目前 VXLAN 的報文 Header 內有 24 bit，可以支援 2的24次方的 VNI 個數。(VXLAN中透過 VNI 來識別，相當於VLAN ID)
• 解決 STP在大型網路裝置頻寬浪費和收斂效能變慢的缺陷。在資料中心一旦啟動 STP，將導致鏈路頻寬的浪費。此外，當拓撲增加到二百台網路裝置時，收斂效能會顯變慢。
• 解決 ToR (Top of Rack) 交換機 MAC表耗盡問題。二層網路出現後，不僅要記錄資料中心二層裝置的 MAC 位址，還得記錄其他資料中心二層範圍內的位址，這包括了海量的虛擬機器的 MAC 位址，這增加了 TOR MAC表的需求。但目前的交換機晶片遠遠無法滿足此一需求。

資料來源：https://zh.wikipedia.org/wiki/%E8%99%9B%E6%93%AC%E5%B1%80%E5%9F%9F%E7%B6%B2%E6%93%B4%E5%B1%95

Basic concepts

One of the primary concepts in access control is to understand the subject and the object.

A subject may be a person, a process, or a technology component that either seeks access or controls the access. For example, an employee trying to access his business email account is a subject. Similarly, the system that verifies the credentials such as username and password is also termed as a subject.

An object can be a file, data, physical equipment, or premises which need controlled access. For example, the email stored in the mailbox is an object that a subject is trying to access.

Controlling access to an object by a subject is the core requirement of an access control process and its associated mechanisms. In a nutshell, a subject either seeks or controls access to an object.

基本概念
訪問控制的主要概念之一是理解主體和客體。主體可以是尋求訪問或控制訪問的人、過程或技術組件。例如，試圖訪問其企業電子郵件帳戶的員工就是一個主題。同樣，驗證用戶名和密碼等憑據的系統也稱為主體。對象可以是需要受控訪問的文件、數據、物理設備或場所。例如，存儲在郵箱中的電子郵件是主題試圖訪問的對象。控制主體對對象的訪問是訪問控製過程及其相關機制的核心要求。簡而言之，主體尋求或控制對客體的訪問。

An access control mechanism can be classified broadly into the following two types:

1. If access to an object is controlled based on certain contextual parameters, such as location, time, sequence of responses, access history, and so on, then it is known as a context-dependent access control. In this type of control, the value of the asset being accessed is not a primary consideration. Providing the username and password combination followed by a challenge and response mechanism such as CAPTCHA, filtering the access based on MAC adresses in wireless connections, or a firewall filtering the data based on packet analysis are all examples of context-dependent access control mechanisms.Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA) is a challenge-response test to ensure that the input to an access control system is supplied by humans and not by machines. This mechanism is predominantly used by web sites to prevent Web Robots(WebBots) to access the controlled section of the web site by brute force methods

訪問控制機制可以大致分為以下兩種類型：
如果對對象的訪問是基於某些上下文參數（例如位置、時間、響應順序、訪問歷史等）來控制的，那麼它被稱為上下文相關的訪問控制。在這種類型的控制中，被訪問資產的價值不是主要考慮因素。提供用戶名和密碼組合，然後是驗證碼等質詢和響應機制，根據無線連接中的 MAC 地址過濾訪問，或基於數據包分析過濾數據的防火牆都是上下文相關訪問控制機制的示例。完全自動化的公共圖靈測試來區分計算機和人類 (CAPTCHA) 是一種挑戰-響應測試，以確保訪問控制系統的輸入由人類而非機器提供。該機制主要由網站使用，以防止網絡機器人（WebBots）通過蠻力方法訪問網站的受控部分

2.If the access is provided based on the attributes or content of an object,then it is known as a content-dependent access control. In this type of control, the value and attributes of the content that is being accessed determines the control requirements. For example, hiding or showing menus in an application, views in databases, and access to confidential information are all content-dependent.

如果訪問是基於對象的屬性或內容提供的，則稱為內容相關訪問控制。在這種類型的控制中，被訪問的內容的值和屬性決定了控制要求。例如，隱藏或顯示應用程序中的菜單、數據庫中的視圖以及對機密信息的訪問都取決於內容。

資料來源：https://hub.packtpub.com/cissp-security-measures-access-control/

資料庫的資料給不給看, 或給多少資料看, 都是一種存取控制. Context這個字, 可以解釋成subject及object以外的東西, 都是context. (ABAC以屬性為基礎的存取控制就是這樣的觀點, 依subject, object, 及context/environment的屬性來授權).
除了控制資料要揭露多少以外(content-dependent), 也可以由環境來控制(存取的時間, 位置等).

-圖片來源：TelecomWorld 101
ISO OSI 參考模型的數據鏈路層從 IEEE 的角度可以分為兩個子層：邏輯鏈路控制（LLC）和媒體訪問控制（MAC）。

邏輯鏈路控制 (LLC)
LLC處理以下問題：
. 流量控制：例如，滑動窗口
. 錯誤控制
. 錯誤檢測：例如，循環冗餘校驗 (CRC)
. 糾錯：例如，重傳

媒體訪問控制 (MAC)
以下是三種眾所周知的媒體訪問機制：
. 令牌傳遞
. CSMA/CD
. CSMA/SA

參考
. IEEE802.2 – 邏輯鏈路控制層 (LLC)
. 數據鏈路層的錯誤檢測和糾正
. 數據鏈路層的流量控制

資料來源： Wentz Wu QOTD-20210404

一次性密碼(one-time pad)和一次性密碼(one-time passoword )的首字母縮寫詞都是 OTP。然而，它們是不同的，根本沒有關係。一次性密碼是一種對稱密碼，需要一個隨機密鑰，而一次性密碼是動態生成的密碼，僅對一個且僅特定的登錄會話有效。
. RSA 數字簽名算法生成強制不可否認性的數字簽名。
. 基於時間的一次性密碼 (Time-based One-Time Password :TOTP) 是一種一次性密碼，它依賴於時間作為生成算法的輸入參數之一。
. 基於散列的消息認證碼 (Hash-based Message Authentication Codes :HMAC) 依靠散列函數和共享密鑰來計算消息認證碼以驗證真實性。

參考
. 一次性密碼 (one-time pad :OTP)
. 一次性密碼(one-time passoword)

資料來源： Wentz Wu QOTD-20210403

強制存取控制是訪問控制策略或要求；這不是一個正式的模型。相反，它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符號和語言制定了嚴格的模型。
. **有限狀態機(Finite state machine)**是一種常見的形式模型。
. **信息流模型(information flow model)**並不是真正的模型，而是泛指能夠控制信息流的形式模型。無干擾模型(non-interference model)也是如此。但是，大多數學習指南將它們視為“模型”。這個問題遵循這個觀點。
EAL 7 產品意味著它以正式設計為後盾。

-通用標準 EAL

參考
. 模型
. 形式方法
. 可信計算機系統評估標準
. 貝爾-拉帕杜拉模型
. 認證產品清單 – 統計

資料來源： Wentz Wu QOTD-20210402

-進程的記憶體佈局
**緩衝區（Buffer）**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小，它就會溢出。它通常會導致異常受特權提升或返回到堆棧中的代碼地址。如果正確安排輸入驗證和異常處理程序，可以有效地緩解緩衝區溢出。
**記憶體洩漏（Memory leak）**是一個常見的應用程序問題。應用程序或進程在由操作系統加載和啟動時被分配了有限的記憶體大小，也就是堆。該進程可能會請求記憶體段，但不會將它們返回給操作系統。可用內存最終用完了。性能越來越差，可能會導致進程崩潰。現代運行時框架，例如 .NET、JVM，提供垃圾收集或引用計數器來解決這個問題。

資料來源： Wentz Wu 網站

摘要

“At your disposal”原來不是任你處置？Disposable income 跟丟棄又有什麼關係？這篇整理了常見幾個Dispose衍生用字與用法，像是「謀事在人，成事在天」也跟Dispose有關係！

James 的部門來了新的外籍同事，在交付工作事項之後，外籍同事對他說：“I am at your disposal.”

James 嚇了一跳，disposal 不是抛棄嗎？自己一直很和善，並沒有要抛棄這位新同事啊！

原來這是句禮貌話，和抛棄完全無關。

I am at your disposal.

（Ｘ）我任你棄置。

（Ｏ）我很樂意提供任何協助。

這麼說就好像是說：“Just let me know if you need my help.” 只是更正式一些。

在解釋 at your disposal 前，先看看 dispose 這個字。

Dispose

Dispose 是 dis 和 pose 兩個字的組合。【dis →分離 + pose→位置】，讓一個東西離開它本來位置的意思。

它有解決掉、佈置，進一步延伸就是「使人傾向於做某件事」…的意思。來看幾個例句：

I want to dispose of these old books. 我想處理掉這些舊書。（很容易漏掉of）

Man proposes, God disposes. 謀事在人，成事在天。

The good pay disposed him to take the job. 高薪促使他接受了這份工作。

Disposable income

Dispose 的形容詞 disposable，最常見的用法是「可丟棄的」，像免洗筷，就是 disposable chopsticks。但不要以為disposable income 是可丟棄的收入，那就搞不清這是什麼意思。這裡的 disposable 意思是「可任意處理的」。

（Ｘ）可丟棄的收入

（Ｏ）可支配的收入

Disposal

Disposal 是清除、處理、抛棄。所以廢棄物處理叫做 garbage disposal。

The sanitation department is in charge of garbage disposal. 環境衛生部門負責處理垃圾。

前面提過 dispose 也是佈置，它的名詞 disposal 也一樣，可以當「佈置」。

They spent quite some time on the disposal of furniture in their new restaurant. 他們在新餐廳的傢俱佈置上花了相當多的時間。

Disposal還可以延伸為「處置權」，at someone’s disposal 就是用這層意思。

用法大家可能不熟悉，來多看幾個例句：

A huge supply of books is at your disposal in the library. 圖書館裡有大量的圖書任你學習使用。

I don’t have a car at my disposal. 我剛好沒有可用的車。

資料來源：https://www.businessweekly.com.tw/careers/blog/3003725

“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成，其中每兩個元素都有一個唯一的上界（也稱為最小上界或連接）和唯一的下界（也稱為最大下界或相遇）。” （維基百科）
安全格通常用於控制安全級別/類別或隔間之間的信息流。分類和標記是基於格的訪問控制的兩個主要特徵。
基於晶格的訪問控制(Lattice-based Access Control)
Ravi S. Sandhu 在這篇名為 Lattice-Based Access Control Models 的論文中回顧了三種基於格的訪問控制模型（Bell-LaPadula、Biba 和 Chinese Wall），該論文展示瞭如何在格框架中執行 Chinese Wall 策略，並表示：
開發了基於晶格的訪問控制模型來處理計算機系統中的信息流。信息流顯然是保密的核心。正如我們將看到的，它在某種程度上也適用於完整性。它與可用性的關係充其量是微不足道的。因此，這些模型主要關注機密性並且可以處理完整性的某些方面。

貝爾-拉帕杜拉模型(Bell-LaPadula Model)

-貝爾-拉帕杜拉模型

比巴模型(Biba Model)

-比巴模型

布魯爾和納什模型(Brewer and Nash model)
Brewer 和 Nash 模型將數據集分類為利益衝突類並標記它們以根據主體的訪問歷史（也稱為基於歷史）動態應用訪問控制。

-布魯爾和納什模型（中國牆）

克拉克-威爾遜模型(Clark-Wilson Model)
Clark-Wilson 模型有兩個特點：格式良好的交易和職責分離。它依靠“程序”來強制執行完整性，而不是為了保密而控制信息流。
David D. Clark 和 David R. Wilson 在他們的論文《商業和軍事計算機安全政策的比較》中說：
本文提出了一種基於商業數據處理實踐的數據完整性策略，並將該策略所需的機制與強制執行信息安全點陣模型所需的機制進行了比較。我們認為格模型
不足以表徵完整性策略，需要不同的機制來控制披露和提供完整性……
首先，通過這些完整性控制，數據項不一定與特定的安全級別相關聯，而是與一組允許對其進行操作的程序相關聯。其次，用戶沒有被授予讀取或寫入某些數據項的權限，但可以對某些數據項執行某些程序……

-Clark-Wilson 誠信模型（圖片來源：Ronald Paans）
參考
. 可信計算機系統評估標準
. 貝爾-拉帕杜拉模型

資料來源： Wentz Wu QOTD-20210401