作者: stevencho

-資料和系統所有者
將“資料所有者“（data owner）和“資料控制者”（data controller）一視同仁的情況並不少見。然而，事實並非如此。資料控制者專門用於個人資料和隱私的上下文中，而資料所有者通常意味著組織擁有資料的所有權，並且資料所有者負責保護他所委託的資料。
這個問題都是關於個人資料資料資料的保護，引用了 GDPR 中的文字，所以“資料資料控制者”比“資料所有者”更合適。可以直接或間接識別的人意味著資料主體。
Art. 4 GDPR 定義“個人資料”是指與已識別或可識別的自然人（“數據主體”）相關的任何信息；可識別的自然人是可以直接或間接識別的自然人，特別是通過參考諸如姓名、識別號、位置資料、在線標識符或特定於身體、生理、該自然人的基因、精神、經濟、文化或社會身份；
Art. 24 GDPR 控制者的責任：考慮到處理的性質、範圍、背景和目的以及自然人權利和自由的不同可能性和嚴重程度的風險，控制者應實施適當的技術和組織措施，以確保並且能夠證明處理是按照本條例進行的。 這些措施應在必要時進行審查和更新。
資料來源：GDPR

參考
. Art. 4 GDPR 定義

資料來源： Wentz Wu QOTD-20210928

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-計算機架構
CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出（立即尋址）、從寄存器讀取（寄存器尋址）或從主存儲器加載（直接、間接、基址+偏移）。
一條指令可以通過以下方式指示 CPU 將值加載到寄存器中：

1. 提供值所在的內存地址（直接尋址），
2. 提供指向值所在的另一個內存地址的內存地址（間接尋址），或
3. 提供內存地址作為基址（起點）和值所在的偏移量（距離）（基址+偏移量尋址）。
   
   -運算符和操作數
   
   -進程的內存佈局

參考
. 尋址方式
. 尋址模式和指令周期

資料來源： Wentz Wu QOTD-20210920

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-VPN 和 EAP

-EAP 協議比較

803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證，而 RAIDUS 是身份驗證器（RADIUS 客戶端）和身份驗證服務器（RADIUS 服務器）之間使用的協議。在 802.1X 的設置中不使用 Kerberos。
EAP-TLS 和 PEAP 都可以使用。但是，EAP-TLS 要求在客戶端和 AP 上都安裝證書以支持相互身份驗證。它提供了更高的安全性，但會增加證書管理的開銷。PEAP 重溫開銷；它只需要 AP 安裝證書。

資料來源： Wentz Wu QOTD-20210919

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-數位簽章
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。
. 使用 SHA 生成合約的消息驗證碼，確保數據來源的真實性。
. Bob 的公鑰加密的合約摘要不是 Alice 的數字簽名。
. 使用 Diffie-Hellman 同意的密鑰生成合同摘要的密文是一種干擾。Diffie-Hellman 用於密鑰協商/交換而不是加密。
數位簽章可確保不可否認性、數據完整性和真實性。從技術上講，數位簽章只不過是由主體的私鑰簽章的對象的哈希值。

-FISMA的完整性

-FISMA CIA

FIPS 186-4 批准了三種技術：DSA、RSA DSA 和 ECDSA，如下圖所示：

不可否認性(Non-repudiation)

. 不可否認性具有技術和法律意義。 技術不可否認 可以通過數位簽章實現，而 法律不可否認 是具有法律約束力的。
. 具有法律約束力的數位簽章是電子簽章的一種形式。但是，並非所有數位簽章都具有法律約束力。

參考
. 不可否認性
. CISSP 實踐問題 – 20210320
. CISSP 實踐問題 – 20210705

資料來源： Wentz Wu QOTD-20210917

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-治理結構

-波特的價值鏈
職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成，以支持運營和交付價值。
組織級別的安全功能可由任何級別的員工執行，具體取決於相關組織的規模、規模和安全意識。大公司可以設立由CISO或經理領導的專門部門負責資訊安全，而資源較少的小公司可以簡單地指派一名IT工程師或任何員工來處理資訊安全事務。
審計職能通常由董事會下屬的審計委員會指導。它是一個獨立的組織單位，可確保合規性並提供保障。審計功能不包括或管理安全功能以保持其獨立性和客觀性。
安全職能應確保資訊安全的有效性，遵守法律、法規、行業標準、合同、組織政策、道德規範等要求；它通常與審計職能分開。

參考
. 工作人員和線路
. 直線和員工組織
. 正式組織 – 直線組織
. 行組織：含義、類型、優點和缺點
. 內部審計職能
. 構建未來的內部審計職能
. AS 2605：考慮內部審計職能
. 審計部
. 什麼是安全功能
. 安全功能
. 資訊安全職能和職責

資料來源： Wentz Wu QOTD-20210911

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-滲透測試方法
使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序，而是一種常見的做法。

參考
. CEH 黑客方法

資料來源： Wentz Wu QOTD-20210911

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-示例 XACML 實現
XACML 旨在支持授權，而不是身份驗證。
XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、架構和處理模型，描述瞭如何根據策略中定義的規則評估訪問請求。
-資料來源：維基百科

縮寫 學期 描述
PAP 政策管理點 管理訪問授權策略的點
PDP 政策決策點 在發布訪問決定之前根據授權策略評估訪問請求的點
PEP 政策執行點 攔截用戶對資源的訪問請求，向PDP發出決策請求以獲得訪問決策
（即對資源的訪問被批准或拒絕），並根據收到的決策採取行動的點
PIP 政策信息點 充當屬性值來源的系統實體（即資源、主題、環境）
PRP 策略檢索點 XACML 訪問授權策略的存儲點，通常是數據庫或文件系統。
-資料來源：維基百科

端口敲門和單包授權 (Port Knocking and Single Packet Authorization
:SPA)
802.1X是為認證而設計的，用於網絡訪問控制，而端口敲門是傳輸層的一種認證機制。連接嘗試的正確順序可以被視為身份驗證的秘密。只有當端口敲門序列正確時，防火牆才會動態地允許連接。
在 計算機聯網， 端口碰撞 是從外部打開方法 的端口 上的 防火牆 通過產生一組預先指定關閉的端口的連接嘗試。一旦接收到正確的連接嘗試序列，防火牆規則就會動態修改以允許發送連接嘗試的主機通過特定端口進行連接。存在一種稱為單包授權 (SPA) 的變體 ，其中只需要一次“敲門”，由加密 包組成 。
資料來源：維基百科

PKI 和 802.1X
公鑰基礎設施 (PKI) 和 802.1X 通常用於在 VPN、LAN 或無線網絡環境中進行身份驗證。

-VPN 和 EAP

參考
. 敲端口

資料來源： Wentz Wu QOTD-20210910

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌，以便它可以訪問 API 服務器。
HTTPS 強制保密，但 POST 方法沒有。使用 POST 方法的 HTTP 請求以明文形式傳輸。
API 有一個漏洞，可以在設計階段通過威脅建模儘早識別。
RESTful API
RESTful API 通常可以通過基本 URI 訪問，使用標準 HTTP 方法並返回媒體類型。HTTP 請求 GET https://api.WentzWu.com/user/ {username}/{password} 看起來像一個 RESTful API 請求。但是，我們不知道 API 如何返回結果，也不能斷定它是 RESTful。

以下是維基百科關於 RESTful API 的總結：
表現層狀態轉換(REST) 是一種軟體架構風格，旨在指導萬維網架構的設計和開發。REST 已被整個軟件行業採用，並且是一套被廣泛接受的用於創建無狀態、可靠的 Web API 的指南。
遵守 REST 架構約束的 Web 服務 API 稱為 RESTful API。基於 HTTP 的 RESTful API 的定義有以下幾個方面：
–基本 URI，例如http://api.example.com/；
–標準 HTTP 方法（例如，GET、POST、PUT 和 DELETE）；
–定義狀態轉換數據元素的媒體類型（例如，Atom、微格式、application/vnd.collection+json、[13]:91-99 等）。當前表示告訴客戶端如何編寫轉換到所有下一個可用應用程序狀態的請求。這可以像 URI 一樣簡單，也可以像 Java 小程序一樣複雜。

參考
. 表象狀態轉移
. 一個不好的例子：裸奔的帳密就在你我身邊

資料來源： Wentz Wu QOTD-20210909

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-NIST SDLC 和 RMF
NIST RMF 的第一步，Categorize System，通過評估系統處理的資訊類型的高水位來確定係統的影響級別，以便根據系統特定的要求選擇和定製或修改一組基線控制，作為風險評估的結果。
資訊安全政策是關鍵和高水平的。它沒有直接定制安全控制的詳細或特定要求。

資料來源： Wentz Wu QOTD-20210908

(ISC)² 道德準則僅適用於 (ISC)² 會員。垃圾郵件發送者的身份不明或匿名，這些垃圾郵件發送者不請自來，吹捧代理考生在 CISSP 考試中作弊。換句話說，他們不一定是 (ISC)² 成員。作為 CISSP，只有在您確定垃圾郵件發送者是 (ISC)² 成員的情況下，您才能向 (ISC)² 提交投訴，說明違反了道德規範的規範。

所有獲得 (ISC)² 認證的信息安全專業人員都承認，此類認證是一項必須獲得和維護的特權。為了支持這一原則，所有 (ISC)² 成員都必須承諾完全支持本道德準則（“準則”）。(ISC)² 成員故意或故意違反本準則的任何條款將受到同行評審小組的製裁，這可能會導致認證被撤銷。(ISC)² 會員有義務在發現 (ISC)² 會員違反本準則的任何行為後遵守道德投訴程序。不這樣做可能會被視為違反Canon IV 的準則。
資料來源： (ISC)²

參考
. (ISC)² 道德準則
. Hack-Back：邁向網絡自衛的法律框架
. 回擊利弊：反擊前您需要了解的內容

資料來源： Wentz Wu QOTD-20210907