月份: 2021 年 12 月

分類
CISSP

中央處理單元 (CPU) 的立即尋址(Immediate addressing)模式中,指令本身指定了的運算元

https://ithelp.ithome.com.tw/upload/images/20211227/20132160TeTH9twhFm.jpg
-計算機架構
CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器讀取(寄存器尋址)或從主存儲器加載(直接、間接、基址+偏移)。
一條指令可以通過以下方式指示 CPU 將值加載到寄存器中:

  1. 提供值所在的內存地址(直接尋址),
  2. 提供指向值所在的另一個內存地址的內存地址(間接尋址),或
  3. 提供內存地址作為基址(起點)和值所在的偏移量(距離)(基址+偏移量尋址)。
    https://ithelp.ithome.com.tw/upload/images/20211227/20132160qomsXgESwO.jpg
    -運算符和操作數
    https://ithelp.ithome.com.tw/upload/images/20211227/20132160XJaF9ZIuSF.jpg
    -進程的內存佈局

參考
尋址方式
尋址模式和指令周期

資料來源: Wentz Wu QOTD-20210920

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

使用 802.1X 實施網路存取控制中,讓請求者(supplicant)向身份驗證者(authenticator)進行身份驗證且具有最少的系統管理負擔(overhead)的是PEAP協議

https://ithelp.ithome.com.tw/upload/images/20211221/20132160Yd5QGlc3gG.jpg
-VPN 和 EAP
https://ithelp.ithome.com.tw/upload/images/20211221/20132160ktwaFIoa9X.jpg
-EAP 協議比較

803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(RADIUS 客戶端)和身份驗證服務器(RADIUS 服務器)之間使用的協議。在 802.1X 的設置中不使用 Kerberos。
EAP-TLS 和 PEAP 都可以使用。但是,EAP-TLS 要求在客戶端和 AP 上都安裝證書以支持相互身份驗證。它提供了更高的安全性,但會增加證書管理的開銷。PEAP 重溫開銷;它只需要 AP 安裝證書。

資料來源: Wentz Wu QOTD-20210919

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

數位簽章(digital signature)

https://ithelp.ithome.com.tw/upload/images/20211217/20132160H4mVybcNFs.jpg
-數位簽章
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。
. 使用 SHA 生成合約的消息驗證碼,確保數據來源的真實性。
. Bob 的公鑰加密的合約摘要不是 Alice 的數字簽名。
. 使用 Diffie-Hellman 同意的密鑰生成合同摘要的密文是一種干擾。Diffie-Hellman 用於密鑰協商/交換而不是加密。
數位簽章可確保不可否認性、數據完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽章的對象的哈希值。
https://ithelp.ithome.com.tw/upload/images/20211217/20132160lJfSz9ompu.jpg
-FISMA的完整性
https://ithelp.ithome.com.tw/upload/images/20211217/20132160iuJgYdCA35.jpg
-FISMA CIA

FIPS 186-4 批准了三種技術:DSA、RSA DSA 和 ECDSA,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20211217/20132160RLQDNtKKAj.jpg

不可否認性(Non-repudiation)
https://ithelp.ithome.com.tw/upload/images/20211217/20132160Ltsrq2Yzr8.jpg
. 不可否認性具有技術和法律意義。 技術不可否認 可以通過數位簽章實現,而 法律不可否認 是具有法律約束力的。
. 具有法律約束力的數位簽章是電子簽章的一種形式。但是,並非所有數位簽章都具有法律約束力。

參考
不可否認性
CISSP 實踐問題 – 20210320
CISSP 實踐問題 – 20210705

資料來源: Wentz Wu QOTD-20210917

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

安全功能(security function)

https://ithelp.ithome.com.tw/upload/images/20211213/20132160JmnTS9IiUS.png
-治理結構
https://ithelp.ithome.com.tw/upload/images/20211213/20132160kftUnOFGDT.jpg
-波特的價值鏈
職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成,以支持運營和交付價值。
組織級別的安全功能可由任何級別的員工執行,具體取決於相關組織的規模、規模和安全意識。大公司可以設立由CISO或經理領導的專門部門負責資訊安全,而資源較少的小公司可以簡單地指派一名IT工程師或任何員工來處理資訊安全事務。
審計職能通常由董事會下屬的審計委員會指導。它是一個獨立的組織單位,可確保合規性並提供保障。審計功能不包括或管理安全功能以保持其獨立性和客觀性。
安全職能應確保資訊安全的有效性,遵守法律、法規、行業標準、合同、組織政策、道德規範等要求;它通常與審計職能分開。

參考
工作人員和線路
直線和員工組織
正式組織 – 直線組織
行組織:含義、類型、優點和缺點
內部審計職能
構建未來的內部審計職能
AS 2605:考慮內部審計職能
審計部
什麼是安全功能
安全功能
資訊安全職能和職責

資料來源: Wentz Wu QOTD-20210911

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

滲透測試-列舉可用的服務和資源

https://ithelp.ithome.com.tw/upload/images/20211206/20132160n80a1W6HiT.jpg
-滲透測試方法
使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序,而是一種常見的做法。

參考
CEH 黑客方法

資料來源: Wentz Wu QOTD-20210911

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

實施零信任架構以防止橫向移動,XACML最不可能進行身份驗證

https://ithelp.ithome.com.tw/upload/images/20211201/20132160Y2ag06gT1I.jpg
-示例 XACML 實現
XACML 旨在支持授權,而不是身份驗證。
XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、架構和處理模型,描述瞭如何根據策略中定義的規則評估訪問請求。
-資料來源:維基百科

縮寫 學期 描述
PAP 政策管理點 管理訪問授權策略的點
PDP 政策決策點 在發布訪問決定之前根據授權策略評估訪問請求的點
PEP 政策執行點 攔截用戶對資源的訪問請求,向PDP發出決策請求以獲得訪問決策
(即對資源的訪問被批准或拒絕),並根據收到的決策採取行動的點
PIP 政策信息點 充當屬性值來源的系統實體(即資源、主題、環境)
PRP 策略檢索點 XACML 訪問授權策略的存儲點,通常是數據庫或文件系統。
-資料來源:維基百科

端口敲門和單包授權 (Port Knocking and Single Packet Authorization
:SPA)
802.1X是為認證而設計的,用於網絡訪問控制,而端口敲門是傳輸層的一種認證機制。連接嘗試的正確順序可以被視為身份驗證的秘密。只有當端口敲門序列正確時,防火牆才會動態地允許連接。
在 計算機聯網, 端口碰撞 是從外部打開方法 的端口 上的 防火牆 通過產生一組預先指定關閉的端口的連接嘗試。一旦接收到正確的連接嘗試序列,防火牆規則就會動態修改以允許發送連接嘗試的主機通過特定端口進行連接。存在一種稱為單包授權 (SPA) 的變體 ,其中只需要一次“敲門”,由加密 包組成 。
資料來源:維基百科

PKI 和 802.1X
公鑰基礎設施 (PKI) 和 802.1X 通常用於在 VPN、LAN 或無線網絡環境中進行身份驗證。
https://ithelp.ithome.com.tw/upload/images/20211201/201321607or5cYGhuB.jpg
-VPN 和 EAP

參考
敲端口

資料來源: Wentz Wu QOTD-20210910

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文