分類
CISSP

使用證書對代碼進行簽章,以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

https://ithelp.ithome.com.tw/upload/images/20210731/20132160fUlVpxDsEQ.png
-使用私鑰和公鑰對強大的程序集進行簽名和驗證
(來源:https://flylib.com/books/en/4.253.1.138/1/
數位簽章可確保不可否認性,其中還包括資料完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽名的對象的哈希值。
哈希(值)、摘要和指紋是同義詞。消化代碼實際上是對代碼進行散列,不需要公鑰。
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數位簽章的改寫。
只有代碼的指紋需要通過您的私鑰進行加密。簽名時不需要加密代碼。

參考
審查的前 5 名最受歡迎的 SSL 證書頒發機構
什麼是代碼簽名?
FIPS PUB 186-4
ClickOnce 和 Authenticode
ClickOnce 應用程序的代碼訪問安全
配置 ClickOnce 可信發布者

資料來源: Wentz Wu QOTD-20210705

分類
Information Security

簡單物件存取協定SOAP

SOAP(原為Simple Object Access Protocol首字母縮寫,即簡單物件存取協定)是交換資料的一種協定規範,使用在電腦網路Web服務(web service)中,交換帶結構的資訊。SOAP為了簡化網頁伺服器(Web Server)從XML資料庫中提取資料時,節省去格式化頁面時間,以及不同應用程式之間按照HTTP通信協定,遵從XML格式執行資料互換,使其抽象於語言實現、平台和硬體。此標準由IBMMicrosoftUserLandDevelopMentor在1998年共同提出,並得到IBM、蓮花(Lotus)、康柏(Compaq)等公司的支援,於2000年提交給全球資訊網聯盟World Wide Web Consortium,W3C),目前SOAP 1.1版是業界共同的標準,屬於第二代的XML協定(第一代具主要代表性的技術為XML-RPC以及WDDX)。

用一個簡單的例子來說明SOAP使用過程,一個SOAP訊息可以傳送到一個具有Web Service功能的Web站點,例如,一個含有房價資訊的資料庫,訊息的參數中標明這是一個查詢訊息,此站點將返回一個XML格式的資訊,其中包含了查詢結果(價格,位置,特點,或者其他資訊)。由於資料是用一種標準化的可分析的結構來傳遞的,所以可以直接被第三方站點所利用。

資料來源:https://zh.wikipedia.org/wiki/%E7%AE%80%E5%8D%95%E5%AF%B9%E8%B1%A1%E8%AE%BF%E9%97%AE%E5%8D%8F%E8%AE%AE

分類
CISSP

開發一個新的資訊系統,先應首先進行“識別系統處理的資料類型”

https://ithelp.ithome.com.tw/upload/images/20210729/20132160GxPs87PFSF.jpg
-NIST SDLC 和 RMF

對系統進行分類意味著識別其處理的資料類型,以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。
安全控制框架,例如 NIST SP 800-53 R5,通常提供安全控制集作為基線。組織可以使用安全控制基線作為初始範圍,並根據風險評估產生的安全需求和要求對其進行調整。
資訊系統所有者應準備一個授權包,其中包含安全和隱私計劃、安全和隱私評估報告以及行動計劃和里程碑(用於糾正措施和改進),並將其提交給適當的授權操作授權 (ATO) .

參考
NIST 風險管理框架

資料來源: Wentz Wu QOTD-20210704

分類
CISA

經濟合作暨發展組織

經濟合作暨發展組織(簡稱經合組織;英語:Organization for Economic Cooperation and Development,OECD)是全球37個市場經濟國家組成的政府間國際組織,總部設在法國巴黎米埃特堡(Château de la Muette)。

資料來源:https://zh.wikipedia.org/wiki/%E7%BB%8F%E6%B5%8E%E5%90%88%E4%BD%9C%E4%B8%8E%E5%8F%91%E5%B1%95%E7%BB%84%E7%BB%87

分類
CISSP

獲得資訊系統運行授權(authorization)而應首先開發的文件-安全和隱私計劃(Security and privacy plans)

https://ithelp.ithome.com.tw/upload/images/20210727/20132160GsIJwwIuoY.jpg
-NIST SDLC 和 RMF
資訊系統所有者應準備授權包並將其提交給適當的 授權操作(ATO)機構。授權包通常包含:

  1. 安全和隱私計劃(指導活動/任務)
  2. 安全和隱私評估報告(實施安全控制後)
  3. 糾正措施和改進的行動計劃和里程碑 (POA&M)
    授權包是最後一個工件。它基本上是上述三個文件的彙編。

參考
NIST SP 800-37,修訂版 2
NIST SP 800-18 修訂版 1

資料來源: Wentz Wu QOTD-20210702

分類
CISSP

硬體安全模組 (HSM) 的身份驗證最不相關-職責分離(SOD)

如今,“秘密”(secret)是認證的基礎。我們通常使用密碼(您知道的東西)、令牌中的加密密鑰(您擁有的東西)或帶有 PIN 的 1 對 1 生物特徵識別(您是的東西)進行身份驗證。
. 拆分知識、基於仲裁的身份驗證和 M of N 控制是控制對機密的訪問的常用方法。
. 職責分離 (SOD) 是一種在設計職位時控制流程或工作流程的措施。

參考
硬體安全模組
什麼是 N 中的 M?
N 中的 M,關於
分裂知識
可信路徑
職責分離 (SOD)

資料來源: Wentz Wu QOTD-20210701

分類
CISSP

硬體安全模組HSM

硬體安全模組(英語:Hardware security module,縮寫HSM)是一種用於保障和管理強認證系統所使用的數字金鑰,並同時提供相關密碼學操作的電腦硬體裝置。硬體安全模組一般通過擴充卡或外部裝置的形式直接連接到電腦或網路伺服器

設計[編輯]

HSM提供篡改留證(tamper evidence/proof)、篡改抵抗(tamper evidence)兩種方式的防篡改功能,前者設計使得篡改行為會留下痕跡,後者設計使得篡改行為會令HSM銷毀金鑰一類的受保護資訊。[1]每種HSM都會包括一個或多個安全協處理器,用於阻止篡改或匯流排探測。

許多HSM系統提供安全備份外部金鑰的機制。金鑰可以以封包形式備份並儲存在電腦磁碟或其他媒介上,或安全的可攜式裝置(如智慧卡或其他安全權杖)儲存於外部。[2]

由於HSM通常是公鑰基礎設施(PKI)或網上銀行一類關鍵基礎設施的一部分,一般會同時使用多個HSM以實現高可用性。一些HSM具備雙電源、無需停機更換配件(如冷卻風扇)等設計,以確保在資料中心等環境中的高可用性要求。

少數HSM可以讓使用者在其內部處理器上執行專門開發的模組。在一些場景下,這種設計相當實用,例如使用者可以在這種安全、受控的環境下執行一些特殊的演算法或者業務邏輯,哪怕攻擊者取得了電腦的完全控制權限,儲存在HSM(連接到電腦)中的程式也無法被提取或篡改。一般HSM允許使用者使用C.NETJava程式語言開發這種專用程式。值得注意的是,使用者自訂的程式與HSM本身的程式之間存在隔離,這使程式的存在不會影響到HSM本身的安全。

資料來源:https://zh.wikipedia.org/wiki/%E7%A1%AC%E4%BB%B6%E5%AE%89%E5%85%A8%E6%A8%A1%E5%9D%97

分類
CISSP

MTTF(Mean Time To Failure):平均故障壽命

MTTF(Mean Time To Failure):平均故障壽命(一次性):出廠到失效之間平均時間
MTBF(Mean Time Between Failures):平均故障間隔(多久壞一次)
MTTR(Mean Time To Repair):平均修復時間:產品由故障轉為工作狀態時,修理時間的平均值。

可用性維護

平均無故障時間 (MTTF) 和平均無故障時間 (MTBF) 交替使用的情況並不少見。但是,MTTF 適用於不可修復的項目,而 MTBF 適用於可修復的項目。

老化的 UPS 電池通常是更換而不是維修。因此,在這種情況下,MTTF 優於 MTBF。

平均無故障時間

平均無故障時間 (MTTF) 是一種維護指標,用於衡量不可修復資產在發生故障之前運行的平均時間。由於 MTTF 僅與無法或不應修復的資產和設備相關,因此 MTTF 也可被視為資產的平均壽命。

MTTF 和 MTBF

平均無故障時間聽起來很像平均無故障時間 (MTBF),但它們並不相同。

主要區別在於計算中使用的資產類型。MTTF 使用不可修復的資產,而 MTBF 處理可修復的資產——當它們發生故障時,它們可以輕鬆修復而無需花費太多。

來源:修復軟件

資料來源:https://wentzwu.com/2019/12/25/cissp-practice-questions-20191226/

分類
CISA

統計抽樣與非統計抽樣(Statistical and Nonstatistical Sampling)

統計抽樣與非統計抽樣兩種方法若運用得當,均可提供
足夠與適切之查核證據。依據一般公認審計準則進行查
核測試時,審計人員可以選用兩者之一,或是合併使用
之,而且兩種抽樣方式皆能滿足外勤準則第3條的要求,
能夠取得足夠且適切的證據以表示意見。但無論採用何
種抽樣方法,查核人員於設計與選取查核樣本,執行查
核程序及評估抽樣結果時,均須運用到專業判斷。

資料來源:http://www.wunan.com.tw/www2/download/2G27_3%E7%89%881%E5%88%B7_%E8%A9%A6%E9%96%B1_102.2.26.PDF

分類
CISSP

單元測試(Unit testing)

https://ithelp.ithome.com.tw/upload/images/20210725/201321603Yz7snaPPo.jpg
-示例單元測試
單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值,伴隨著敏捷方法提出的測試驅動開發(TDD)實踐,極限編程(XP)。也就是說,程序員首先編寫單元測試,以驅動生產代碼的開發。在生產代碼完成後編寫單元測試幾乎沒有價值。
單元測試被檢入本地代碼存儲庫並推送到中央代碼存儲庫服務器。編譯服務器上的所有代碼並在編譯成功時執行所有單元測試是集成測試的一部分。如果將服務器配置為在滿足某些條件時自動開始編譯,則稱為持續集成。每晚構建(例如,每天凌晨 3 點)或檢測到新簽入都是持續集成觸發器的好例子。
https://ithelp.ithome.com.tw/upload/images/20210725/20132160VwnhrVQiYl.jpg
-XP 實踐(來源:https : //twitter.com/CharlotteBRF)

資料來源: Wentz Wu QOTD-20210722