分類
CISSP

(ISC)² 道德規範(Code of Ethics Canons)

https://ithelp.ithome.com.tw/upload/images/20210630/20132160MknpMFrl31.jpg
-道德在新的 CISSP 考試大綱中名列前茅

道德規範(Code of Ethics Canons)
. 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
. 以光榮、誠實、公正、負責任和合法的方式行事。
. 為校長(principals)提供勤勉和稱職的服務。
. 推進和保護職業。

道德投訴程序(Ethics Complaint Procedures)
以下摘自(ISC)² 道德規範:
. 該倫理委員會是由董事會成立聽到所有的道德投訴和提出建議董事會。
. 委員會將只考慮具體說明我們的 (ISC)² 道德準則中已被違反的投訴。
. 雖然任何公眾都可以投訴Canons I 或 II的違規行為,但只有負責人(與證書持有者有雇主/承包商關係的人)可以投訴Canons III 的違規行為,並且只有其他專業人士(那些獲得認證或獲得專業執照並遵守道德準則)可能會投訴違反佳能 IV 的行為。
. 僅接受聲稱因所指控的行為而受傷的人的投訴。
. 所有投訴必須以書面形式提出。投訴必須採用宣誓書的形式。委員會不會考慮任何其他形式的指控。
. 如果表面證據確鑿,道德委員會將審查並向董事會提出建議。

參考
(ISC)² 道德準則
(ISC)² 活動行為準則
你有足夠的道德成為 CISSP 嗎?
網絡安全倫理簡介
事件響應和安全團隊的道德規範
共同利益
什麼是同行評審團?
為您的組織製定道德準則
Surna Inc. 商業行為與道德準則
3 信息安全專業人員的道德困境
網絡安全倫理的嚴峻挑戰

資料來源: Wentz Wu QOTD-202104013

分類
CISSP

EAP-TLS身份驗證協議最能支持零信任原則

https://ithelp.ithome.com.tw/upload/images/20210629/201321606LSh4quZTe.jpg
-零信任網路安全範式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行相互身份驗證,並在三者中呈現最高的安全級別。EAP-TTLS 和 PEAP 支持相互認證,無需在客戶端安裝證書以減輕系統管理開銷。由於零信任強調驗證和細粒度訪問控制,因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更適合。

EAP 傳輸層安全 (EAP Transport Layer Security :EAP-TLS)
EAP 傳輸層安全 (EAP-TLS) 在 RFC 5216 中定義,是使用傳輸層安全 (TLS) 協議的 IETF 開放標準,並在無線供應商中得到很好的支持。EAP-TLS 是原始的標準無線局域網 EAP 身份驗證協議。
EAP-TLS 仍然被認為是最安全的 EAP 標準之一,儘管 TLS 僅在用戶了解有關虛假憑據的潛在警告時才提供強大的安全性,並且得到所有無線 LAN 硬件和軟件製造商的普遍支持。直到 2005 年 4 月,EAP-TLS 是唯一需要認證 WPA 或 WPA2 徽標的 EAP 類型供應商。
客戶端證書的要求,無論它多麼不受歡迎,都賦予了 EAP-TLS 其身份驗證強度,並說明了經典的便利性與安全性的權衡。使用客戶端證書,破解密碼不足以入侵啟用 EAP-TLS 的系統,因為入侵者仍然需要擁有客戶端證書;實際上,甚至不需要密碼,因為它僅用於加密客戶端證書以進行存儲。最高的安全性是客戶端證書的“私鑰”存放在智能卡中。
資料來源:維基百科

EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security:EAP-TTLS)
EAP 隧道傳輸層安全 (EAP-TTLS) 是一種擴展 TLS 的 EAP 協議。它由 Funk Software 和 Certicom 共同開發,並得到了跨平台的廣泛支持。
客戶端可以但不必通過 CA 簽署的 PKI 證書向服務器進行身份驗證。這極大地簡化了設置過程,因為並非每個客戶端都需要證書。
資料來源:維基百科

受保護的可擴展身份驗證協議 (Protected Extensible Authentication Protocol:PEAP)
受保護的可擴展身份驗證協議,也稱為受保護的 EAP 或簡稱為 PEAP,是一種將 EAP 封裝在潛在加密和身份驗證的傳輸層安全 (TLS) 隧道中的協議。目的是糾正 EAP 中的缺陷;EAP 假設了一個受保護的通信通道,例如由物理安全提供的通道,因此沒有提供保護 EAP 對話的設施。
資料來源:維基百科

輕量級可擴展身份驗證協議 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在無線網路中使用的基於 EAP 的身份驗證協議。它支持相互認證並在遺留的破解 WEP 中工作。

NIST:零信任原則(Tenets of Zero Trust)

  1. 所有數據源和計算服務都被視為資源。
  2. 無論網路位置如何,所有通信都是安全的。
  3. 按會話授予對單個企業資源的訪問權限。
  4. 對資源的訪問由動態策略決定——包括客戶端身份、應用程序/服務和請求資產的可觀察狀態——並且可能包括其他行為和環境屬性。
  5. 企業監控和衡量所有自有資產和相關資產的完整性和安全狀況。
  6. 所有資源認證和授權都是動態的,並且在允許訪問之前嚴格執行。
  7. 企業盡可能多地收集有關資產、網路基礎設施和通信的當前狀態的信息,並使用這些信息來改善其安全狀況。

NIST:網路的零信任視圖(A Zero Trust View of a Network)

  1. 整個企業專用網路不被視為隱式信任區域。
  2. 網路上的設備可能不由企業擁有或配置。
  3. 沒有資源是天生可信的。
  4. 並非所有企業資源都位於企業擁有的基礎架構上。
  5. 遠程企業主體和資產無法完全信任其本地網路連接。
  6. 在企業和非企業基礎設施之間移動的資產和工作流應該具有一致的安全策略和狀態。

參考
WPA2-企業認證協議比較
了解更新的 WPA 和 WPA2 標準
轉向 WPA/WPA2-企業 Wi-Fi 加密
802.1X 概述和 EAP 類型
思科LEAP
資料來源: Wentz Wu QOTD-202104012

分類
CISSP

不是使用專用的、標準化的設備清理命令的清除方法:消磁(Degaussing)

清理方法(The sanitization method),清除(purge),將使數據恢復不可行,但介質是可重複使用的。消磁(Degaussing)會使媒體永久無法使用。

消磁,也稱為消磁,意思是“通過施加反向磁化場將磁通量降低到虛擬零。對任何當前一代的硬盤(包括但不限於 IDE、EIDE、ATA、SCSI 和 Jaz)消磁將導致驅動器永久無法使用,因為這些驅動器將磁道位置信息存儲在硬盤驅動器上。”
來源:NIST SP 800-88 R1

ATA 清理命令旨在清除數據;它們應用特定於媒體的技術來繞過典型讀寫命令中固有的抽象。以下是 ATA 清理 I/O 命令:
. CRYPTO SCRAMBLE EXT(D. 更改用於用戶數據的內部加密密鑰)
. OVERWRITE EXT(C. 用常數值覆蓋內部媒體)
. BLOCK ERASE EXT(A.使用塊擦除方法)
https://ithelp.ithome.com.tw/upload/images/20210628/20132160iIJiXhMs6F.jpg
-ATA 消毒操作
參考
CISSP 實踐問題 – 20200209
數據殘留和清理

資料來源: Wentz Wu QOTD-202104011

分類
Project Management

工具技術組 PMBOK 第 6 版(Tools Techniques Group PMBOK 6th Edition)

PMBOK 第 6 版根據其目的對工具和技術進行分組。組名描述了需要做的事情的意圖。組中的工具和技術代表了實現意圖的不同方法。

項目管理工具和技術組

PMBOK 第 6 版有七組 132 種不同的項目管理工具。以下列表根據它們的組列舉了這些工具的細分。

  • 09 –數據收集工具
  • 27 – 數據分析技術
  • 15 –數據表示工具和技術
  • 02 – 決策技巧
  • 02 – 溝通技巧
  • 17 – 人際關係和團隊技能
  • 60 – 未分組的工具和技術

數據收集工具

數據收集工具和技術用於從各種來源收集數據和信息。以下列表列舉了九種數據收集工具。

  • 基準測試
  • 頭腦風暴
  • 檢查表
  • 清單
  • 專門小組
  • 採訪
  • 市場調查
  • 問題和調查
  • 統計抽樣

數據分析技術

數據分析工具和技術用於組織、評估和評估數據和信息。有27種數據分析工具。以下段落列舉了重要的數據分析技術。

  • 質量成本
  • 成本效益分析
  • 決策樹分析
  • 掙值分析
  • 自製或外購分析
  • 過程分析
  • 回歸分析
  • 風險概率和影響評估
  • 根本原因分析
  • SWOT分析
  • 趨勢分析
  • 方差分析
  • 假設情景分析

另請閱讀:七種基本質量工具 PMP 考試指南

數據表示工具和技術

數據表示工具和技術以可視化格式表示數據和信息。有 15 種數據表示工具。以下列表列舉了一些重要的數據表示工具。

  • 親和圖
  • 因果圖
  • 控製圖
  • 流程圖
  • 直方圖
  • 思維導圖
  • 概率和影響矩陣
  • 散點圖
  • 利益相關者參與評估矩陣
  • 利益相關者映射/代表。

另請閱讀: 質量控制數據表示工具

決策技巧

決策技術用於從不同的備選方案中選擇行動方案。以下是兩種決策技術。

  • 多準則決策分析
  • 表決

溝通技巧

溝通技巧是用於在不同項目利益相關者之間傳遞信息的工具。以下是兩種溝通技巧。

  • 反饋
  • 演示文稿

人際關係和團隊技能

人際關係和團隊技能包括用於領導項目團隊的 17 種不同技術。以下列表列出了一些重要的人際交往能力。

  • 積極傾聽
  • 衝突管理
  • 文化意識
  • 做決定
  • 情商
  • 便利化
  • 影響
  • 領導
  • 動機
  • 談判
  • 名義組技術
  • 政治意識

未分組的工具和技術

該組包含 60 種不同工具的詳盡列表。以下列表描述了該類別中一些最重要的項目管理技術。

資料來源:https://milestonetask.com/tools-techniques/#.YNlAGRMzbMI

分類
CISSP

美國的吹哨人保護

吹哨人(whistleblower)是指揭露某個私人或公共組織中任何被認為非法的、違反道德的和不正當的行為或信息的人。《吹哨人保護法》(Whistleblower Protection Act)在1989年被寫入美國聯邦法律。

吹哨人保護的相關法律法規保障某些特定情況下雇員和承包商的言論自由。如果員工或申請人有理由相信信息披露證明違反了任何法律、規則或條例,或嚴重管理不善,嚴重浪費資金,濫用職權,或對公共衛生或安全構成實質性和具體的危險,吹哨人將受到保護,免遭報復。

資料來源:https://zh.wikipedia.org/wiki/%E7%BE%8E%E5%9B%BD%E7%9A%84%E5%90%B9%E5%93%A8%E4%BA%BA%E4%BF%9D%E6%8A%A4

分類
CISSP

DevOps

DevOpsDevelopment和Operations的組合詞)是一種重視「軟體開發人員(Dev)」和「IT運維技術人員(Ops)」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程,來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門,在這種環境下如何採用新的開發方法(例如敏捷軟體開發),是一個重要的課題。按照從前的工作方式,開發和部署,不需要IT支援或者QA深入的跨部門的支援;而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署,它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。

資料來源:https://zh.wikipedia.org/wiki/DevOps

分類
CISSP

橢圓曲線數字簽名算法 (Elliptic Curve Digital Signature Algorithm:ECDSA)

橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。
本標准定義了數字簽名生成方法,可用於保護二進制數據(通常稱為消息),以及驗證和確認這些數字簽名。批准了三種技術。
(1)本標準規定了數字簽名算法(DSA)。該規範包括域參數的生成、公鑰和私鑰對的生成以及數字簽名的生成和驗證的標準。
(2) RSA數字簽名算法在美國國家標準 (ANS) X9.31 和公鑰密碼學標準 (PKCS) #1 中指定。FIPS 186-4 批准使用這些標準中的一個或兩個的實現,並指定附加要求。
(3)橢圓曲線數字簽名算法 (ECDSA)在 ANS X9.62 中指定。FIPS 186-4 批准使用 ECDSA 並指定附加要求。此處提供了供聯邦政府使用的推薦橢圓曲線。
ECDSA 密鑰對由私鑰d 和與特定 ECDSA 域參數集相關聯的公鑰Q 組成;d、Q 和域參數在數學上相互關聯。私鑰通常使用一段時間(即cryptoperiod);只要使用關聯私鑰生成的數字簽名需要驗證(即,公鑰可以在關聯私鑰的加密期之後繼續使用),就可以繼續使用公鑰。有關進一步指導,請參閱 SP 800-57。
ECDSA 密鑰只能用於 ECDSA 數字簽名的生成和驗證。
來源:FIPS 186-4

使用密鑰對的非對稱加密(Asymmetric Encryption Using Key Pairs)
非對稱加密中使用的密鑰對中的私鑰或公鑰只是一個二進制位序列。給定一個公鑰,你永遠不知道它屬於誰。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。因此,單獨的公鑰不能用於身份驗證和不可否認性。

IPsec 和不可否認性(IPsec and Non-repudiation)
. 不可否認包從技術角度來看是遠離的不可抵賴性的消息從法律的角度。
. 在早期,Cisco 和 RFC 1826 聲明 IPsec 支持不可否認性。但是,隨後的 RFC(RFC 2403 和 RFC 4302)顛覆了這一點:

RFC 1826 不可否認性(RFC 1826 for Non-repudiation)
認證頭是一種為 IP 數據報提供強完整性和認證的機制。它還可能提供不可否認性,具體取決於使用哪種加密算法以及如何執行密鑰。例如,使用非對稱數字簽名算法(如 RSA)可以提供不可否認性。( RFC 1826 )
但是,RFC 2403 和 RFC 4302 顛覆了 AH 提供不可否認性的說法。

用於身份驗證的 RFC 2402(RFC 2402 for Authentication)
IP 認證頭 (AH) 用於為 IP 數據報提供無連接完整性和 數據源認證(以下簡稱“認證”),並提供防止重放的保護。 (RFC 2402 )

RFC 4302 完整性(RFC 4302 for Integrity)
IP 認證頭 (AH) 用於 為 IP 數據報(以下簡稱“完整性”)提供無連接完整性和 數據源認證,並提供防止重放的保護。( RFC 4302 )
有關詳細信息,請參閱IPsec 和不可否認性

參考
酒店評分
RSA(密碼系統)
不可否認性
IPsec 和不可否認性

資料來源: Wentz Wu QOTD-20210409

分類
CISSP

金鑰管理(生命週期)

分類
CISSP

數字證書(Digital Certificate)

證書申請和回應

證書籤名請求

在公鑰基礎結構(PKI)系統中,證書籤名請求(也稱為CSR或證書請求)是從申請人發送到證書頒發機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。CSR最常見的格式是PKCS10規範;另一種是由某些Web瀏覽器生成的簽名的公鑰和挑戰” SPKAC格式。

資料來源:維基百科

使用OpenSSL生成CSR

$ sudo apt install openssl [Debian / Ubuntu]
$ openssl req -new -newkey rsa
2048 -nodes -keyout server.key -out server.csr

上傳證書籤名請求

X.509證書

安裝證書

TLS / SSL

參考

資料來源: Wentz Wu網站

分類
CISSP

公開金鑰基礎建設(PKI)

公開金鑰基礎建設(英語:Public Key Infrastructure,縮寫PKI),又稱公開金鑰基礎架構公鑰基礎建設公鑰基礎設施公開密碼匙基礎建設公鑰基礎架構,是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及復原數位憑證

密碼學上,公開金鑰基礎建設藉著數位憑證認證機構(CA)將使用者的個人身分跟公開金鑰鏈結在一起。對每個憑證中心使用者的身分必須是唯一的。鏈結關係通過註冊和發布過程建立,取決於擔保級別,鏈結關係可能由CA的各種軟體或在人為監督下完成。PKI的確定鏈結關係的這一角色稱為註冊管理中心(Registration Authority,RA)。RA確保公開金鑰和個人身分鏈結,可以防抵賴。在微軟的公開金鑰基礎建設之下,註冊管理中心(RA)又被叫做從屬數字憑證認證機構(Subordinate CA)。[1]

可信賴的第三者(Trusted third party,TTP)也常被用來指憑證中心。PKI有時被錯誤地拿來代表公開金鑰密碼學或公開金鑰演算法。

資料來源:https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD