分類
CISSP

證書簽名請求(CSR)

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成密鑰對,例如OpenSSL,ssh_keygen,IIS管理器,MMC的證書管理單元(Microsoft管理控制台)。
僅將包含公共密鑰(不包含密鑰對)的證書籤名請求發送到CA(或專門用於註冊機構),因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中,但證書僅包含公鑰。例如,“ PKCS#12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” (維基百科

證書簽名請求(CSR)
在公鑰基礎結構(PKI)系統中,證書籤名請求(也是CSR或證明請求)是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。
在創建CSR之前,申請人首先生成一個密鑰對,將私鑰保密。CSR包含標識申請人的信息(例如,在X.509證書的情況下為專有名稱),該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明,證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源:維基百科

X.509證書
https://ithelp.ithome.com.tw/upload/images/20210415/20132160hFHsc8OUiP.jpg
-X.509證書格式

參考
證書籤名請求
PKCS 12

資料來源: Wentz Wu QOTD-20210223

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

安全玻璃(Safety Glass)

儘管夾層玻璃比鋼化玻璃更安全,但價格更高。儘管如此,法規要求仍可能會影響各國安全玻璃的安裝。而且,作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果,最初的問題是:“以下哪個是店面或購物櫥窗中最常用的安全玻璃?” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性?”

退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域,夾層玻璃通常用於外部店面,幕牆和窗戶。
https://ithelp.ithome.com.tw/upload/images/20210414/20132160rGETuXNa9B.jpg
-破碎的夾層安全玻璃,中間層暴露在圖片的頂部(來源:維基百科)

鋼化玻璃用於各種苛刻的應用中,包括乘用車窗戶,淋浴門,建築玻璃門和桌子,冰箱托盤(作為防彈玻璃的組成部分),潛水面罩以及各種類型的盤子和炊具。
https://ithelp.ithome.com.tw/upload/images/20210414/20132160ezGxVt3HZz.jpg
-破碎的鋼化玻璃顯示出顆粒狀的形狀(來源:維基百科)

近年來,已經出現了既可以提供防火等級又可以提供安全等級的新材料,因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
安全玻璃
什麼是安全玻璃?
砸玻璃!比較層壓與回火
有線玻璃
夾絲玻璃,安全嗎?
傳統夾絲玻璃的危害
破碎玻璃
退火(玻璃)
退火與回火
CM 113 –第30章
夾層安全玻璃

資料來源: Wentz Wu QOTD-20210222

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

智慧財產的角度-保護生產參數應該思考的最關鍵問題

知識產權具有所有者,否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權(IP)。” (WIPO)您的公司可能沒有製造參數作為知識產權的所有權,因為OEM客戶通常在合同中要求所有權。如果是這樣,您的公司可能會被要求承擔保護生產參數保密性的義務,而不是商業秘密權。因此,在主張知識產權之前,應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常,必須完成三個步驟,才能使某項信息成為商業秘密:
–保密:該信息必須具有足夠的機密性,即通常不為人所知或難以編譯的信息。請注意,與公司客戶有關的機密個人信息受隱私法保護,不受商業秘密法保護。
–具有商業價值:信息必須為所有者提供競爭優勢或某種經濟利益,因為它是秘密的-而不是因為其固有的優點。
–合理措施:所有者必須採取合理的安全措施來維護信息的保密性。
資料來源:WIPO

參考
獲取知識產權:商業秘密
常見問題:商業秘密基礎

資料來源: Wentz Wu QOTD-20210221

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

資料分類(Data classification)

資料分類是評估資料的業務價值或其重要性和對利益相關者的意義,以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值,例如保密性,完整性,可用性,收入損失,購買成本,機會成本等。分類方案,最高機密,機密,機密是一項法規要求(執行命令) 12356)。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。

參考
外國所有權控製或影響:FOCI補充資料表
CMMI:國防部的觀點
什麼是CMMI?優化開發流程的模型
了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)

資料來源: Wentz Wu QOTD-20210220

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

資料治理法規(Data Governance for Regulation)

關於資料治理中的安全性,適用於 歐盟的《通用數據保護條例》(GDPR) 和《 金融工具市場指令II》(MiFID II) ,以及US 31 USC 310,這是一項針對金融犯罪中的數據的法規。

在更大範圍內,《 美國多德-弗蘭克法案》 解決了保存記錄的透明度問題。在 美國首都的綜合分析和審查(CCAR) 的框架地址的資料質量和管理。在歐洲,MiFID II解決了資料收集過程,而巴塞爾協議III則包含了風險管理和資本充足性方面的資料治理規定。

在中國, 銀行和保險監督管理委員會(CBIRC) 於2018年5月發布了準則,其中包括針對金融公司的規定,分配建立資料治理系統,資料質量控制以及相關激勵和問責制的責任。在中國, 銀行和保險監督管理委員會(CBIRC)於2018年5月發布了準則,其中包括針對金融公司的規定,分配建立資料治理系統,資料質量控制以及相關激勵和問責制的責任。
儘管 針對風險資料匯總的MiFID II,Basel III和 BCBS 239規則來自歐洲,但它們確實會影響整個亞洲乃至全球的合規性。此外, 由國際會計準則理事會(IASB)創建 的 國際財務報告準則(IFRS ) 設置了可用於資料治理的分類和會計規則。任何形成其治理框架的公司都應了解這些規定。
因此,如果能夠很好地處理資料治理的特徵和規則,公司還可以部署 企業資料管理(EDM)和主資料管理(MDM) 系統,以執行資料治理中的規定。這些系統對資料進行清理,豐富和整理,以標準化資料定義方式,並生成元數據,該元數據以完整性,問責性和安全性幫助實施數據治理框架。
有了資料治理要素的知識,這既是公司本機工作的一部分,又是其合規要求的一部分,管理層將更有能力在市場上開展業務,並降低其運營和監管風險。
資料來源:GoldenSource

相關讀物
資料治理
什麼是資料治理?
什麼是資料治理,為什麼重要?
隱私,保密性和合規性資料治理指南
企業信息管理:資料治理的最佳實踐
如何創建資料治理計劃以控制您的資料資產
什麼是資料治理?管理資料資產的最佳實踐框架
資料治理的定義,挑戰和最佳實踐
什麼是資料治理(以及為什麼需要它)?
資料監管–為何,為什麼,如何,誰以及15種最佳做法

資料來源: Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

職位描述 (job description)

職位描述是職位設計的輸出之一,它考慮了“分工”的原則,需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一,因為它包含職位的職責和職責。
背景調查或安全檢查是在僱用之前進行的,通常對某些級別的員工或職位進行定期檢查。安全檢查是政府部門或機構的正式背景檢查程序;它支持基於標籤或網格的強制訪問控制(MAC)。此外,您的授權意味著根據需要知道的自由訪問控制(DAC)。
https://ithelp.ithome.com.tw/upload/images/20210408/20132160Bt54Y2qWLj.png
-職位描述內容(來源:Prachi M
工作設計是將工作組織成執行特定工作所需的任務的過程。工作設計涉及將任務,職責和責任組織到一個工作單元中以實現某些目標的自覺努力。人力資源經理應該對組織內各個職位的設計和規格有濃厚的興趣。(拉傑古(K Rajguru)
https://ithelp.ithome.com.tw/upload/images/20210408/201321609jt35NRka0.png
-工作設計決策(來源:http : //www.whatishumanresource.com/job-design
參考
工作設計
什麼是工作設計?
職位設計(WhatIsHumanreSource)
職位描述與職位規格

資料來源: Wentz Wu QOTD-20210219

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

XSS&CSRF&Replay

跨站請求偽造(Cross-Site Request Forgery:CSRF)
跨站請求偽造(CSRF)是一個很好的選擇。傳統的CSRF攻擊會發生以下先決條件:

  1. 受害用戶已登錄到系統(例如,在線銀行)。
  2. 受害用戶單擊帶有偽造或操縱參數的惡意超鏈接。
  3. 受害系統接受作為HTTP GET請求發送的URL。
    以下是緩解CSRF攻擊的技巧:
  4. 系統不應接受通過GET進行的交易請求。而是應通過POST,PUT或DELETE完成事務。RESTful API通過以下方式使用HTTP動詞/方法:GET用於查詢,POST用於插入,PUT用於修改,DELETE用於刪除。
  5. CSRF攻擊也可以通過iframe內的HTTP形式觸發。因此,應執行同源政策。現代Web瀏覽器默認情況下啟用同源策略。
  6. 攻擊者可以從攻擊工具發送CSRF攻擊。減輕這種風險的最終方法是以每種HTTP形式實現存儲在隱藏輸入中的身份驗證代碼。Microsoft ASP.NET MVC很好地支持此功能。

重播(Replay)
重播可能由中間人,惡意用戶或無意行為觸發。重播消息可能會或可能不會被操縱。該問題並不建議緩解重放攻擊。
參考
跨站點腳本(XSS)
跨站請求偽造(CSRF)
防止ASP.NET MVC應用程序中的跨站點請求偽造(CSRF)攻擊
財務導向的Web應用程序中的常見安全問題
同源政策
同源策略:現代瀏覽器中的評估
現代瀏覽器中的原始策略執行
同源政策的權威指南
靜默提交POST表單(CSRF)的示例

資料來源: Wentz Wu QOTD-20200520

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

ISO 15408&SAMM&CMMI&FOCI

通用標準(ISO 15408)指定了評估IT產品而不是供應商資格的標準。
https://ithelp.ithome.com.tw/upload/images/20210407/20132160HwyDgDvRjY.jpg
-通用標準評估

FOCI(外國所有權,控制權和影響力)
FOCI(外國所有權,控制權和影響力)是常見的法規要求,例如32 CFR§2004.344.30.30。在加拿大的外國所有權,控制權或影響力。CFR是美國聯邦法規(Code of Federal Regulations)的首字母縮寫。

CMMI(能力成熟度模型集成)
作為收單方,您可以通過有效地使用從供應商的CMMI-DEV的開發計劃中獲得的信息,從供應商的CMMI-DEV的使用中受益,並避免與不切實際的期望相關的陷阱。(Osiecki)
“ CMMI可以使用兩種不同的方法進行評估:分階段和連續。分階段方法得出的評估結果是五個成熟度級別之一。連續方法產生四個能力級別之一。” (維基百科)
https://ithelp.ithome.com.tw/upload/images/20210407/20132160phiwvapyI8.jpg
-CMM和CMMI成熟度級別比較

OWASP SAMM(軟件保障成熟度模型)
鑑於ISACA收購了CMMI Institute,並且材料擁有版權,因此OWASP的SAMM(軟件保證成熟度模型)是一個開放項目。
https://ithelp.ithome.com.tw/upload/images/20210407/20132160NOb6gvyxcr.png
-SAMM模型結構

參考
外國所有權控製或影響FOCI補充數據表
CMMI:國防部的觀點
什麼是CMMI?優化開發流程的模型
了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)

資料來源: Wentz Wu QOTD-20210218

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

NIST風險管理框架(RMF)-系統分類

根據機密性,應將要求國家安全資訊的第12356號行政命令分類為“最高機密”,“機密”或“機密”只是對數據進行分類的一種方法。
計算機,軟體,網路等是資產。可以根據不同的標准或觀點對它們進行分類或分類。該問題介紹了FIPS 199所要求的方式。一般而言,可以根據“業務價值”對資產進行分類或分類。Wentz Wu的書 《有效的CISSP:安全和風險管理》中有詳細資訊。
https://ithelp.ithome.com.tw/upload/images/20210406/20132160ZJ1qZfKexO.jpg
-分類系統
如果您在NIST SP 800-60 V2 R1中查找有問題的資訊類型,則表明航空運輸的安全類別為“低”。但是,您可以證明評估的合理性並修改建議值。在這篇文章中,此航空運輸的可用性等級為“中等”僅用於演示目的。

NIST RMF中的“分類系統”步驟需要兩個文檔:FIPS 199和NIST SP 800-60。
. FIPS 199定義了確定資訊系統的安全類別及其處理的資訊類型的標準和過程。
.資訊類型的高水位標記(high water mark)確定了有關機密性,完整性和可用性的系統安全類別。
就機密性而言,“公共”和“機密”是常見的數據分類方案。這不是FIPS 199和RMF中採用的方式。“災難性”是用於評估潛在影響的因素。
https://ithelp.ithome.com.tw/upload/images/20210406/20132160qtHxRuao1y.png
-NIST RMF–風險管理框架(NIST SP 800-12 R1)

https://ithelp.ithome.com.tw/upload/images/20210406/20132160Ke9ou1BJiv.jpg
-安全目標的潛在影響定義(來源:FIPS 199)

https://ithelp.ithome.com.tw/upload/images/20210406/20132160uUFW2qKQgl.jpg
-任務資訊的安全分類(來源:NIST SP 800-60 V2 R1)

資料來源: Wentz Wu QOTD-20210217

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

NIST通用風險模型(The NIST Generic Risk Model)

https://ithelp.ithome.com.tw/upload/images/20210404/20132160lfYmILJSgf.jpg
-具有關鍵風險因素的通用風險模型(NIST SP 800-30 R1)

關鍵風險因素(Key Risk Factors)
風險(Risk)
風險是威脅事件發生的可能性(likelihood)以及事件發生時潛在不利影響(impact)的函數。

可能性(LIKEIHOOD)
在評估可能性,組織檢查的漏洞是威脅事件可以利用,也是使命/業務功能的敏感性,為其中沒有安全控件或安全控制的可行的實現存在的事件(例如,由於函數依賴,尤其是外部依賴性)。

影響(IMPACT)
威脅事件的影響程度是指由於未經授權披露信息,未經授權修改信息,未經授權破壞信息,或丟失信息或信息系統可用性而可能導致的危害程度。

風險模型(Risk Model)
風險模型(Risk Model)在識別威脅事件的詳細程度和復雜程度上有所不同。當威脅事件被高度明確地識別後,就可以對威脅情景進行建模,開發和分析。

威脅(Threat)
任何情況或事件(circumstance or event)都可能通過信息系統通過未經授權的訪問,破壞,披露,修改信息等對信息系統,組織資產,個人,其他組織或國家產生不利影響的 組織活動(包括使命,職能,形像或聲譽)和/或拒絕服務。威脅事件(Threat events )是由威脅來源(threat sources.)引起的。

威脅來源(Threat Source)
旨在有意利用漏洞或可能偶然觸發漏洞的情況和方法的意圖和方法。威脅代理(threat agent.)的同義詞。

威脅演員(THREAT ACTOR)
構成威脅的個人或團體。

威脅事件(Threat Event)
可能導致不良後果或影響的事件或情況。

脆弱性(Vulnerability)
應用程序,系統,設備或服務的錯誤,缺陷,弱點或暴露,可能導致機密性,完整性或可用性失敗
NIST特殊出版物800-39提供了有關風險管理層次結構中所有三個級別的漏洞以及如果威脅利用此類漏洞可能發生的潛在不利影響的指南。

威脅場景(THREAT SCENARIO)
通常,風險是一系列威脅事件的結果,每個威脅事件都利用一個或多個漏洞。組織定義威脅情景,以描述由威脅源引起的事件如何造成或造成傷害。威脅情景的開發在分析上很有用,因為除非並且直到利用了其他漏洞,否則某些漏洞可能不會受到利用。
威脅情景講述了一個故事,因此對於風險交流和分析都非常有用。

預處置條件(Predisposing Condition)
預處置條件是組織,任務或業務流程,企業體系結構,信息系統或運營環境中存在的條件,該條件會影響(即增加或減少)威脅事件一旦引發就導致不利後果的可能性。對組織運營和資產,個人,其他組織或國家產生影響。
預處置的概念也與術語易感性或暴露有關。如果威脅無法利用漏洞來造成不利影響,則組織不會受到風險(或承受風險)的影響。例如,不使用數據庫管理系統的組織不容易受到SQL注入的威脅,因此不容易受到這種風險的影響。
資料來源
NIST CSRC詞彙表
. NIST SP 800-30 R1

需要知道(Need-to-know)
授權的官方信息持有人做出的決定,即預期的接收者需要訪問特定的官方信息才能執行公務。

最低特權(Least privilege)
一種安全原則,將授權人員的訪問權限(例如,程序執行權限,文件修改權限)限制為執行其工作所需的最低限度。

職責分離(Separation of Duty :SOD)
一種安全原則,將關鍵職能劃分給不同的工作人員,以確保沒有人擁有足夠的信息或訪問特權來進行破壞性欺詐。

雙重控制(Dual control)
使用兩個或多個單獨的實體(通常是個人)共同運行以保護敏感功能或信息的過程。沒有一個實體能夠訪問或使用這些材料,例如,加密密鑰。

拆分知識(Split knowledge)
將加密密鑰分為n個密鑰組件的過程,每個組件都不提供原始密鑰的知識。隨後可以組合這些組件以重新創建原始的加密密鑰。如果需要了解k個(其中k小於或等於n個)組成部分的知識來構造原始密鑰,則任何k – 1個密鑰組成部分的知識都不會提供有關原始密鑰的信息,但可能會提供其長度。注意,在本建議書中,拆分知識並不旨在涵蓋關鍵份額,例如門限或多方簽名中使用的份額。

取證(Forensics)
以保持數據完整性的方式收集、保留和分析計算機相關數據以用於調查目的的做法。

資料來源: Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文