分類: Cissp-WentzWu

WUSON是一個CISSP課程的品牌，也是一個註冊商標，但很少人知道WUSON。即使聽過WUSON，對它的印象也多半僅止於Google搜尋常出現、是一個教CISSP的補習班，或者是一個摘金率很高的補習班。但其實WUSON不是補習班，而是一個私塾班。我們自詡不只是在教考試，而是志在發展與建立一套能讓國際採用的資安觀念架構(WISE Model)、分享學習方法與知識、傳播良善的價值觀、建立專家網絡與互助共好的平台，並為發展台灣所需的資安種子人員/安全冠軍(Security Champions)而努力！期待能為我們的產業、社會、國家，乃至國際社會作出貢獻！

CISSP也不只是一個考試，而是一個資安的專家資格及榮譽的象徵！ISC2是目前維持證照制度最用心的單位，是一隻真的會咬人的老虎！過去中國、韓國及台灣等亞洲地區的考生，普遍都有收集考古題或洩題的陋習，這完全違背美國（其實是普世）對於誠實正直(integrity)及榮譽(honor)的價值觀！昨天ISC2暫時取消簡體中文的考試，如果不是系統失誤，就是簡體中文的考區出現了異常，因此採取了斷然的措施。這就是ISC2的鐵腕風格，這樣的斷然措施不是第一次，我相信也不會是最後一次。

WUSON的CISSP課程每班【最多】只有九位同學！為了達到最佳的學習效果，建議即將開課的同學：

課前預習：第一天上課前先把資安定義背起來（最好是整個資安起手式都記起來）。 每次上課前都先把WUSON的講義先翻閱過（看看有那些主題、圖片或不懂的英文單字即可。
課中學習：把重點放在課程的＂觀念架構＂及聽懂上課的主要觀念及掌握讀書方法即可，不用急著抄筆記。
課後複習：準時完成課後評鑑及適度的複習。
跟上腳步：開課後週一至週五每天晚上會進行daily scrum及sprint review，請大家保持【持續而穩定】的學習節奏。
互助共好：與同學及教練盡可能保持良好互動，讓在WUSON學習資安及準備考試的過程，也能成為一個創造機會與延續友誼的善緣！
光榮考試：資安即國安！資安人員在未來是連結國家安全的重要力量之一，誠實正直(integrity)格外重要！ 因此，請大家務必要遵循ISC2的道德守則，尤其是與考生最相關的考試規定，千萬不要收集考古題、討論上場考試所遇到的真實題目。
台灣需要1500位CISSP！想要改變環境，需要從我們自己作起！
讓我們一起從WUSON啟程！一起努力！一起成功喔！

資料來源：https://wentzwu.medium.com/wuson%E7%9A%84cissp%E8%AA%B2%E7%A8%8B%E8%88%87%E5%83%B9%E5%80%BC%E8%A7%80-f5904fb7ce0a

PS:經作者同意轉載

我將網路安全概念以及以下定義組織到思維導圖中：

“資訊安全是一門通過安全控制保護資產免受威脅的學科，以實現機密性、完整性和可用性 (CIA)、支持業務、創造價值並實現組織使命和願景。”

定義和思維導圖統稱為WISE模型。希望它對您的 CISSP 之旅有所幫助！

附言。我交替使用“資訊安全”和“網絡錄安全”，儘管總統網路安全政策、CISM 和許多其他來源可能會以不同的方式對待它們。我所說的“資訊安全”是廣義的資產安全。

資料來源：https://wentzwu.com/2023/08/14/wise-model-mind-map-v2-7-2/

PS:經過作者同意轉意此文章

PS:此資料經由作者同意刊登

安全框架(framework)的目的之一是根據安全要求指導控制措施(control)的選擇，以保護資訊系統。 關於安全框架，以下哪項是正確的？ (Wentz QOTD)
A. 框架設定了組織要遵循的標準
B. 框架應盡可能詳盡
C. 框架可能導致強制性實踐
D. 各種框架不應同時採用

One of the security framework’s purposes is to guide the selection of controls based on security requirements to secure information systems. Which of the following is correct about security frameworks? (Wentz QOTD)
A. A framework sets the standard for organizations to follow
B. A framework should be as exhaustive as possible
C. A framework may lead to mandatory practices
D. Various frameworks should not be adopted simultaneously

老師的回覆：

A. A framework sets the standard for organizations to follow => framework是範本/懶人包, 不是標準
B. A framework should be as exhaustive as possible => 應儘量簡單, 易用, 不要太繁索
C. A framework may lead to mandatory practices => framework可能最後會導致/發展出強制性的實務作法
D. Various frameworks should not be adopted simultaneously => 一個組織實際上反而都是導入多個框架, 解決不同需求.

資料來源： Wentz Wu QOTD-20210922

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

According to Bruce Schneier, there are four general types of cryptanalytic attacks, each of which assumes that the cryptanalyst has complete knowledge of the encryption algorithm. Which of the following emphasizes that the cryptanalyst’s job is to recover the plaintext of as many messages as possible, or better yet to deduce the key (or keys) used to encrypt the messages, in order to decrypt other messages encrypted with the same keys? (Wentz QOTD)
A. Ciphertext-only attack
B. Known-plaintext attack
C. Chosen-plaintext attack
D. Chosen-ciphertext attack

根據 Bruce Schneier 的說法，有四種一般類型的密碼分析攻擊，每一種都假設破密分析者完全了解加密算法。 以下哪項強調破碼分析員的工作是盡可能多地恢復消息的明文，或者更好地推斷用於加密消息的密鑰（或多個密鑰），以便解密使用相同密鑰加密的其他消息? (Wentz QOTD)
A. 只有密文攻擊
B. 已知明文攻擊
C. 選擇明文攻擊
D. 選擇密文攻擊

建議答案為A

根據密碼學大學Bruce Schneier的說法, 只有密文攻擊, 已知明文攻擊, 選擇明文攻擊, 及選擇密文攻擊等都可以用來破解Key(即deduce the key), 但有二個是比較特別的:

1. 只有密文攻擊: 雖然可用來破解key, 但它主要是還原明文為主.
2. 選擇密文攻擊: 破解key, 但主要是針對非對稱式加密

資料來源：https://wentzwu.com/2022/03/21/cissp-practice-questions-20220321/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文