分類: Cissp-WentzWu

Security Marking > 給人看讀的標籤
Security labeling > 給資訊系統內部資料結構的安全屬性使用

Data marking(對某一特定資料所加註的標示符號，)也加強了數據的機密性。它適用於打印的報告或文檔（靜態數據）|| 安全標籤labeling 更適合數字數據。此外，標籤意味著實施強制訪問控制（MAC）

NIST對於marking及labeling有嚴格的區分(但很多資料來源把這二者幾乎視為同義):
marking: 給人看的標示, 如貼標籤, 寫字, 標示語言(<最高機密>007情報員的真實姓名為李先機)等
labeling: 專指主體(subject)登入後, 支援強制型存取控制(MAC)的系統用來代表這個主體機密等級的資料結構. 也就是主體在系統中, 都會被貼上一個機密等級的label(以便跟客體的label作比對)

CVE會具體指出特定廠商的特定產品有什麼弱點；CWE則是通用弱點，不會指出特定廠商或產品。
• CWE因為跟廠商及產品無關，所以通常在設計審查時會用到，以改善設計的安全性。例如：SQL injection就是一種CWE，因為不管是MySQL, PostgreSQL, MS-SQL, Oracle或DB2, 都可能遭受SQL injection攻擊。
• CVE通常是在系統上線後，實施弱點掃描及修補管理會用到； CVE的弱點評分是根據CVSS，弱點的修補可以透過SCAP來作自動化的大量部署。

存取控制(Access Control)只是安全控制措施(Security Controls)的一個大類。上課談的存取控制主要針對電腦系統上邏輯的存取控制，也就是主體(Subject)對客體(Object)的存取必須受到安全核心(Security Kernel)的3A管制。
• 3A就是指驗證身份(Authentication)、檢查授權(Authorization)及記錄行為(Accounting)。存取控制必須以識別(Identity)為基礎，因此Domain 5的口訣為I+3A。
• 主體是主動方，客體是被動方；主體對客體的存取動作分為簡單的讀取(Read)動作及其它的動作，如寫入(Write)。
安全核心的任務就是存取控制。安全核心的實作必須夠強壯，不能隨意就被入侵(Tamper Proof)、必須完整控制（不能作半套），且必須夠小（以免影響效能）。

若Alice要對合約進行數位簽章, 必須先了解什麼是數位簽章. 之後Bob收到Alice所送來的合約, 以及數位簽章才能驗證合約的不可否認性(即資料完整性, 傳送方的真實性, 以及技術/法律上的不可否認性.

1. 何謂數位簽章: 要進行數位簽章的那一方, 使用其私鑰, 將要簽章的文件之雜湊進行加密, 所產生的密文就叫數位簽章. (技術定義: 被私鑰加密的雜湊)
2. Alice要作數位簽章, 必須把合約, 以及新產生的數位簽章傳給Bob
3. Bob不只會數位簽章, 還會收到合約本身.
4. Bob收到合約及數位簽章後, 再使用Alice的公鑰將數位簽章解密(得到雜湊), 並重新計算合約的雜湊. 如果解密後的雜湊跟新計算的雜湊相同, 表示合約沒有被改, 傳送方身份為真(因為用Alice私鑰才能解密), 而且不可否認.

WI-FI的WPA/WPA2/WPA3 (WPA即wireless access point, 無線基地台)的規格, 分別規範了真實性(身份驗證如何作), 機密性及資料完整性等議題. 其中身份驗證可以用共享金鑰(PSK, Pre-Shared Key)的方式, 也可以用802.1X的方式. 為了方便溝通與推廣, PSK又稱為個人模式(Personal), 802.1X又稱為企業模式(Enterprise). 模式的英文, 有人用mode, 用人用profile. 即personal mode或personal profile.

治理就是管理, 它只是強調經營高層(董事會及高階主管)的管理作為. 皇帝只會用”朕”, 不會用”我”這個字. 只要是高階主管的管理作為, 就可以說是治理.

如果你是CISO, 那就可以說是在治理資安. 但本質就是在管理資安而已.

CISSP只是一個資格, 要知道治理的意義. 但不是取得CISSP就會當上CISO或成為經營高層的一員. 所以CISSP可能懂治理是什麼, 但可能沒有實權去治理資安.

經營高層如何治理資安?

1. 想東想西: 戰略管理

2. 出一張嘴: 政策指示

InfoSec Governance and Value Delivery

治理的目標就是創造價值, 實現組織的使命與願景. 白話文就是: 作生意賺錢, 永續經營, 善盡社會責任.

然後, 經營高層就要晝大餅(願景), 想辦法(戰略)帶大家(領導)往目標邁進, 以實現願景.

簡單說, 經營高層要把公司管好(治理好), 才能賺錢, 實現使命與願景.

經營高層如何管好(治理好)公司? 要有一套辦法(戰略), 要叫人家去作(政策)

這些都是同一回事, 也是很簡單的道理. 只是簡單的東西被複雜化而已.

工程是運用”知識”把一個東西從無到有把它作出來, 使用它, 維運它, 一直到到除役. 傳統的工程教科書, 偏重”工程知識,” 而對於工程的管理或專案管理著墨較少. 大部份都是在強調工程師要學習的知識, 如數學, 物理, 機械或電子等. 這二張圖是一本工程入門書的目錄.

跟大家分享的這幾張照片, 主要是要強調資訊系統的工程知識, 涵蓋了孔雀的八根毛, 每一個毛都是一個獨立的學科, 有專門的教科書. CISSP的Domain 3就是在唸這些東西. 但大家不用鑽那麼深, 每根毛都只要了解最入門而基本的東西即可.

除了工程的硬知識外, 還要學習如何管理工程專案.

“用知識把一個系統作出來”