分類
CISSP

公開金鑰認證

公開金鑰認證(英語:Public key certificate),又稱數位憑證(digital certificate)或身分憑證(identity certificate)。是用於公開金鑰基礎建設的電子檔案,用來證明公開金鑰擁有者的身分。此檔案包含了公鑰資訊、擁有者身分資訊(主體)、以及數位憑證認證機構(發行者)對這份檔案的數位簽章,以保證這個檔案的整體內容正確無誤。擁有者憑著此檔案,可向電腦系統或其他使用者表明身分,從而對方獲得信任並授權存取或使用某些敏感的電腦服務。電腦系統或其他使用者可以透過一定的程序核實憑證上的內容,包括憑證有否過期、數位簽章是否有效,如果你信任簽發的機構,就可以信任憑證上的金鑰,憑公鑰加密與擁有者進行可靠的通訊。

簡而言之,認證機構用自己的私鑰對需要認證的人(或組織機構)的公鑰施加數位簽章並生成憑證,即憑證的本質就是對公鑰施加數位簽章。[1]

數位憑證的其中一個最主要好處是在認證擁有者身分期間,擁有者的敏感個人資料(如出生日期、身分證號碼等)並不會傳輸至索取資料者的電腦系統上。透過這種資料交換模式,擁有者既可證實自己的身分,亦不用過度披露個人資料,對保障電腦服務存取雙方皆有好處。

人們透過信任數位憑證認證機構的根憑證、及其使用公開金鑰加密作數位簽章核發的公開金鑰認證,形成信任鏈架構,已在TLS實作並在全球資訊網HTTPS、在電子郵件的SMTPS和STARTTLS廣泛應用。業界現行的標準是國際電信聯盟電信標準化部門制定的X.509[2],並由IETF發行的RFC 5280詳細述明。而在不少國家/地區,都已立法承認使用數位憑證所作的數位簽章擁有等同親筆簽章的法律效力(如歐洲聯盟[3][4]香港[5][6]台灣[7]美國加拿大)。

憑證種類[編輯]

根憑證(自簽憑證)、中介憑證和終端實體(TLS伺服器/客戶端)憑證的關係

自簽憑證[編輯]

在用於小範圍測試等目的的時候,使用者也可以自己生成數位憑證,但沒有任何可信賴的人簽章,這種自簽章憑證通常不會被廣泛信任,使用時可能會遇到電腦軟體的安全警告[8]

根憑證[編輯]

主條目:根憑證

根憑證獲得廣泛認可,通常已預先安裝在各種軟體(包括作業系統瀏覽器電子郵件軟體等),作為信任鏈的起點,來自於公認可靠的政府機關(如香港郵政[9]台灣網路資訊中心)、軟體公司(如Google[10]Let’s Encrypt)、憑證頒發機構公司(如VeriSign)等,與各大軟體商透過嚴謹的核認程序才在不同的軟體廣泛部署。由於部署程序複雜費時,需要行政人員的授權及機構法人身分的核認,一張根憑證有效期可能長達十年以上。在某些企業,也可能會在內部電腦自行安裝企業自簽的根憑證,以支援內部網路企業級軟體;但是這些憑證可能未被廣泛認可,只在企業內部適用。

中介憑證[編輯]

認證機構的一個重要任務就是為客戶簽發憑證,雖然廣泛認可的認證機構都已擁有根憑證,相對應的私鑰可用以簽署其他憑證,但因為金鑰管理和行政考慮,一般會先行簽發中介憑證,才為客戶作數位簽署。中介憑證的有效期會較根憑證為短,並可能對不同類別的客戶有不同的中介憑證作分工。

授權憑證[編輯]

主條目:授權憑證

授權憑證又稱屬性憑證,本身沒有公鑰,必須依附在一張有效的數位憑證上才有意義,其用處是賦予相關擁有人簽發終端實體憑證的權力;某些情況下,如果只在短期內授予憑證機構簽發權力,便可以不改變(縮短)該機構本身持有的憑證的有效期。這種情況,類似於某人持有長達十年期的護照,而只透過簽發短期入境簽證,來個別賦予護照持有人額外權力。

終端實體憑證[編輯]

其他不會用作簽發其他憑證的,都可稱為終端實體憑證,在實際的軟體中部署,以便建立加密通道時應用。

TLS伺服器憑證[編輯]

伺服器通常以域名形式在網際網路上提供服務,伺服器憑證上主體通用名稱就會是相應的域名,相關機構名稱則寫在組織單位一欄上。伺服器憑證(包括公鑰)和私鑰會安裝於伺服器(例如Apache),等待客戶端連接時協定加密細節。客戶端的軟體(如瀏覽器)會執行認證路徑驗證演算法以確保安全,如果未能肯定加密通道是否安全(例如憑證上的主體名稱不對應網站域名、伺服器使用了自簽憑證、或加密演算法不夠強),可能會警告使用者。

萬用字元憑證[編輯]

主條目:萬用字元憑證

如果伺服器憑證上主體的通用名稱(或主體別名)一欄以萬用字元前綴,則該憑證可以用於旗下的所有子域名,特別適合較具規模、或設有多個子網站的機構一次過申領,套用於多個伺服器上;即使未來建立新的子域名,也可以套用。但萬用字元不可用於擴展認證憑證上。

內容欄位[編輯]

一般遵從X.509格式規範的憑證,會有以下的內容,它們以欄位的方式表示[12]

  • 版本:現行通用版本是 V3
  • 序號:用以辨識每一張憑證,特別在復原憑證的時候有用
  • 主體:擁有此憑證的法人自然人身分或機器,包括:
    • 國家(C,Country)
    • 州/省(S,State)
    • 地域/城市(L,Location)
    • 組織/單位(O,Organization)
    • 通用名稱(CN,Common Name):在TLS應用上,此欄位一般是網域
  • 發行者:以數位簽章形式簽署此憑證的數位憑證認證機構
  • 有效期開始時間:此憑證的有效開始時間,在此前該憑證並未生效
  • 有效期結束時間:此憑證的有效結束時間,在此後該憑證作廢
  • 公開金鑰用途:指定憑證上公鑰的用途,例如數位簽章、伺服器驗證、使用者端驗證等
  • 公開金鑰
  • 公開金鑰指紋
  • 數位簽章
  • 主體別名:例如一個網站可能會有多個網域(www.wikipedia.org, zh.wikipedia.org, zh.m.wikipedia.org 都是維基百科)、一個組織可能會有多個網站(*.wikipedia.org, *.wikibooks.org, *.wikidata.org 都是維基媒體基金會旗下的網域),不同的網域可以一併使用同一張憑證,方便實作應用及管理

申領及使用[編輯]

向憑證機構申領簽發電子憑證的過程

數位憑證一般由數位憑證認證機構簽發,簡單的程序如下:

申領[編輯]

  1. 鮑伯在自己的機器上使用密碼學安全偽亂數生成器產生一對足夠強的密鑰,鮑伯的私鑰不會向任何人傳送。
  2. 鮑伯把他的公鑰,連同主體訊息、使用目的等組成憑證簽署請求,傳送給認證機構伊凡
  3. 伊凡(用另外一些管道)核實鮑伯的身分。
  4. 如果伊凡信任這個請求,他便使用鮑伯的公鑰和主體訊息,加上憑證有效期、用途等限制條件,組成憑證的基本資料。
  5. 伊凡用自己的私鑰對鮑勃的公鑰加上數位簽章並生成憑證。
  6. 伊凡把生成的憑證傳送給鮑伯(伊凡也可以透過憑證透明度公布他簽發了新的憑證)。

使用[編輯]

主條目:公開金鑰加密 § 加密過程

  1. 鮑伯可以隨便把憑證向外發布。
  2. 鮑伯與愛麗絲事先可能互不認識,但鮑伯與愛麗絲都信任伊凡,愛麗絲使用認證機構伊凡的公鑰驗證數位簽章,如果驗證成功,便可以信任鮑勃的公鑰是真正屬於鮑伯的。[1]
  3. 愛麗絲可以使用憑證上的鮑勃的公鑰加密明文,得到密文並傳送給鮑伯。
  4. 鮑伯可以可以用自己的私鑰把密文解密,得到明文。

資料來源:https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E8%AA%8D%E8%AD%89

分類
CISSP

資產分類準則(asset classification guideline)

https://ithelp.ithome.com.tw/upload/images/20210330/201321609rb1sAudz9.jpg
分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值,並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制(MAC)通常在政府部門中實施;很少或一些私營企業可以實施它。但是,在Windows Vista和更高版本中,Microsoft提供了強製完整性控制(MIC),這是一種強制實施完整性的MAC實現,其中,所有主題和對像都具有MIC標籤,如下圖所示。
https://ithelp.ithome.com.tw/upload/images/20210330/201321602KnXCPJEcN.jpg
-Windows 10中的強製完整性控制(來源:Windows Club
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於(組,類別,層,或水平)的標準,如法律或法規的要求,靈敏度,臨界,衝擊,或商業價值來確定其保護要求。一個分類方案指的是名為類標準,並用於分類程序“。(Wentz Wu,有效的CISSP:安全和風險管理)第12356號行政命令是機密性分類方案的一個很好的例子。

12356號行政命令
第1.1節分類級別。
(a)國家安全信息(以下稱“機密信息”)應分為以下三個級別之一:
(1)“最高機密”應應用於信息,未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
(2)“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
(3)“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。

參考
有效的CISSP:安全和風險管理
第12356號行政命令–國家安全信息
Windows 10中的強製完整性控制

資料來源: Wentz Wu QOTD-20210214

分類
CISSP

CISSP考試心得 – 卓建全 (Steven Cho)

卓建全 (Steven Cho), CISSP, CEH, CHFI, PMP
卓建全 (Steven Cho), CISSP, CEH, CHFI, PMP

“失敗不可怕,可怕是你不往前進”。
~Steven

邁向CISSP成功之路

2020/07/16 今天是我初步通過CISSP考試的一天。從2019年6月上Wentz Wu實體課程。他只跟我說“跟他的腳步一起邁進,考取CISSP只是時間的早晚”。

從一開始的蕃茄時鐘的讀書方式,想偷懶就吃維他命,規律的讀書計畫及有效讀唸書。在這段期間我遇到很多困難,但是在Wentz Wu鼓勵下一直往考取CISSP路前進。課程中遇到Sky & Ethen & Joy這些好同學讓我再學習CISSP路上豐富許多。

我本身是從Sybex OSG的書開始閱讀起,閱讀時要讀懂,不要讀心安(不是讀很多次就會過)。每章閱讀前需要先做後面的題目,做這些題目是了解自己哪些知識不足之處,這樣在進行閱讀時就自己不懂的地方可以加強。

閱讀完成第一次時,這樣已經對於CISSP中的知識有初步的了解,並且建議規劃好自己的讀書計畫,利用PDCA來Recheck自己的讀書計畫(建議閱讀時間要有250小時以上->我本身超過250小時)。

實體課程的部分建議要上課前要預習,下課後要複習老師上過的知識(與Sybex書籍及NIST相關重要指引互相配合閱讀)。5週的時間會相當的快,不過也會大量的吸收知識,切記與同學多多討論及老師問問題,這樣會讓自己更快進入狀況。

每天跟隨Wentz Wu的QOTD做題目,這些題目會讓你思考&了解更多相關的知識(做這些題目並不是要知道答案,要本身去思考每個答案的用意有不同的思考邏輯)。加上Wentz Wu出的書“The Effective CISSP”也是釐清風險管理的一本好書。

其實CISSP的考試都隨Exam Outline來考,隨時隨地要修正自己讀書的方向,要與Exam Outline對齊,並且跟隨Wentz QOTD題目來每天做題也是重點,作題時並不是做對答案而是要經過思考,對於選擇題的其他答案也要去了解。

我本身有做完Sybex OSG考題及ISC2 官方考題 2nd Edition(作題目建議要超過3000題以上)。作題目是讓自己去了解不同觀點的知識,而且自己本身也要了解相關的知識,最後上場前”讓自己成為一間企業的CISO來思考每個考題,你的決定會成就你的成功“。

考取CISSP是一條艱辛的路,但是沒有辛苦過哪來甜蜜的果實,

失敗不可怕,可怕是你不往前進”。
~Steven

文章的最後只想說一句話”跟隨Wentz Wu老師的腳步來走,取得CISSP證照只是時間早晚的問題“。最後感謝Wentz Wu帶領我成為CISSP,當然考取證照只是一開始,接下也要好好經營資安之路

每個人唸書的方式不同僅提供大家參考。

PS. 讓我深刻的一片文章”CISSP很難考嗎?

Steven在IT邦幫忙的中文部落格

IT邦幫忙

Steven於2020/07/21補充:

本身考取cissp提供以下幾點的方式提供大家參考:

書籍:

  1.  (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, the 8th Edition
  2. (ISC)2 CISSP Official Practice Tests, 2nd Edition
  3. The Effective CISSP: Security and Risk Management

網站

  1. Wentz QOTD
  2. 太陽花筆記
  3. Sybex官方學習指南附贈線上題庫

YouTube

  1. Destination Certification

課程

  1. 吳文智老師的CISSP課程

社群

  1. CISSP Exam Preparation – Study Notes and Theory
  2. Effective CISSP

考試重點

  1. CISSP考試大綱
  2. NIST的相關重要指引

Today, 2020/7/16 is the day I provisionally passed the CISSP exam. I started Wentz’s CISSP Exam Prep course last June. He told me, “follow me and don’t give up! You definitely will pass the CISSP exam sooner or later.”

I followed my plan regularly, studied effectively, and used the tomato clock to control the pace of study. If I was exhausted someday, I would browse or pretend to study CISSP books for minutes to fool my brain and impress myself that I kept studying every day. We call it “taking the vitamin for the day.”

I have encountered difficulties in these two years, but Wentz has been encouraging me to keep moving towards my goal to succeed in the CISSP exam. I also met Sky, Ethen & Joy in the course. They enrich my journey in CISSP.

I followed Wentz’s QOTDs (CISSP Question Of The Day). These questions provoke thinking, and you can learn more detailed knowledge (practicing these questions is not to know the answer but to think about the intention of each option and the answer by different thinking logic).

Wentz’s book, The Effective CISSP: Security and Risk Management, is a good one to clarify concepts of risk management.

Finally, thanks to Wentz Wu for guiding me to CISSP. It is only the beginning to pass the CISSP exam and about time for me to plan for my professional career in cybersecurity.

For those who are preparing for the CISSP exam, I would say:
“Failure is not terrible; the truly terrible is you stop moving.”

PS: I am deeply impressed by the post “Is the CISSP Exam Hard?

分類
專案管理

Agile 跟 Scrum 差在哪?導入敏捷,開發就會變快?敏捷式管理的常見誤解

Agile 跟 Scrum 兩個差別是什麼 ?

1. 導入敏捷就會開發很快嗎?

不會。就是這個翻譯沒翻好,員工真的會被「敏捷」這兩個字害死。

老闆最愛說:我們不是在敏捷嗎?應該可以做很快吧!(不是疑問而是肯定)

如果去把敏捷方針拿出來讀的話,沒有一個快字 。導入敏捷會讓你的團隊知道目前以及未來要幹嘛,可以更有彈性的去迎接臨時的改變、頻繁的交付,可以想像是所有人有規律的划船,無論前方有小波大浪大家不會驚慌失措。

2. 導入敏捷要全員都參與,不是產品經理或工程師在自嗨

很重要也是大家時常犯的致命錯誤,測試一直沒歸納到敏捷開發實行的一環。工作這幾年,真的時常覺得測試是產品做後把關的守門員,卻在產品改動或是各種 flow 制定把測試忘記,這樣產品的品質以及專案的估時都不會準確。

每日的晨會務必大家都要參與,並且快速同步,昨天做什麼(確定到一個任務而不是大範圍的,不然一個禮拜都聽到 RD 說在修 Bug, 也不知道目前 Bug 的情況)、今天預計做什麼以及遇到什麼問題,而主持會議的 scrum master 在會議上要知道大家進度,並且幫忙解決問題或是找到可以解決問題的人。

3. 敏捷只是一個精神,不是素描本拿來造抄

很多人開始敏捷一定從他的推廣者傑夫.薩瑟蘭的《Scrum:用一半的時間做兩倍的事》那本書開始讀起,讀完開始覺得人生好光明。但跟你打賭能夠真的跑起來得 10% 不到。

把大的東西拆小,小到可以可開發可測試可發佈。聽起來很容易,真的做起來工程師說不能這樣拆,設計師說又想改一些細節、測試跟你說沒有及時的 data 讓他測試怎麼辦…等等。如果你為了要達成「為了跑 scrum 而先去做把所有內外在環境設定好」的想法,不到一個月就會放棄。

先做再去優化吧!

把敏捷的精神不只投入到專案,也投入到你正在實行的敏捷。所以說每個 Sprint 結束的回顧會議是非常重要的。

敏捷就是快?什麼樣的公司可以跑敏捷? Agile 跟 Scrum 兩個差別是什麼 ?

相信看了幾十篇文章後,好像還是一知半解。Agile(敏捷)是一種精神,而 Scrum 是一實現 Agile 的一個方法,還有其他的方法,例如常常拿來跟 Scrum 做比較的 Kanban (看板);所以 Agile 跟 Scrum 是不同層級的東西。

1. 導入敏捷就會開發很快嗎?

不會。就是這個翻譯沒翻好,員工真的會被「敏捷」這兩個字害死。

老闆最愛說:我們不是在敏捷嗎?應該可以做很快吧!(不是疑問而是肯定)

如果去把敏捷方針拿出來讀的話,沒有一個快字 。導入敏捷會讓你的團隊知道目前以及未來要幹嘛,可以更有彈性的去迎接臨時的改變、頻繁的交付,可以想像是所有人有規律的划船,無論前方有小波大浪大家不會驚慌失措。沒受過財務訓練,要如何著手編列預算?2堂課,看數字、懂盈虧,掌握獲利!延伸閱讀

2. 導入敏捷要全員都參與,不是產品經理或工程師在自嗨

很重要也是大家時常犯的致命錯誤,測試一直沒歸納到敏捷開發實行的一環。工作這幾年,真的時常覺得測試是產品做後把關的守門員,卻在產品改動或是各種 flow 制定把測試忘記,這樣產品的品質以及專案的估時都不會準確。

每日的晨會務必大家都要參與,並且快速同步,昨天做什麼(確定到一個任務而不是大範圍的,不然一個禮拜都聽到 RD 說在修 Bug, 也不知道目前 Bug 的情況)、今天預計做什麼以及遇到什麼問題,而主持會議的 scrum master 在會議上要知道大家進度,並且幫忙解決問題或是找到可以解決問題的人。

3. 敏捷只是一個精神,不是素描本拿來造抄

很多人開始敏捷一定從他的推廣者傑夫.薩瑟蘭的《Scrum:用一半的時間做兩倍的事》那本書開始讀起,讀完開始覺得人生好光明。但跟你打賭能夠真的跑起來得 10% 不到。

把大的東西拆小,小到可以可開發可測試可發佈。聽起來很容易,真的做起來工程師說不能這樣拆,設計師說又想改一些細節、測試跟你說沒有及時的 data 讓他測試怎麼辦…等等。如果你為了要達成「為了跑 scrum 而先去做把所有內外在環境設定好」的想法,不到一個月就會放棄。

先做再去優化吧!

把敏捷的精神不只投入到專案,也投入到你正在實行的敏捷。所以說每個 Sprint 結束的回顧會議是非常重要的。

敏捷開發不只是專案管理法,而是整個組織的變革!拆解 7 大變革要素

所以敏捷不好嗎?

好,以實行到整個企業的話,前置作業很多,但至少要做到大家(從老闆到各個團隊的團員,甚至到跨團隊成員)都要有敏捷的知識(很重要),大家瞭解最簡可行產品 MVP(minimum viable product),有自動化測試(可以慢慢規劃),團員有顆開放適應改變的心…等等

我的心得是在一個產品的發布流程來說,其實有些是適合傳統瀑布的開發方法,比如穩定需求非常大的工業領域,並非一位的追求敏捷開發適應到所有的產業;但團隊內部每日工作是可以跑敏捷方法,小至個人的人生規劃。

資料來源:https://www.managertoday.com.tw/articles/view/62640

分類
CISSP

調查類型(Investigation Types)

一個調查是收集和用於特定目的的證據分析。
行政調查(Administrative Investigation)
. 行政調查是指對員工所謂的不當行為的內部調查。(法律內幕
. 行政調查由當地管理層,當地人事代表和/或員工關係進行,以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如,可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅,恐嚇或暴力行為
–違反大學政策,規則和/或行為標準,或
–違反法律。(北卡羅來納州立大學

民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件,涉及兩名個人公民,他們在與公民權利有關的問題上存在分歧。例如,如果一個人因家庭事故造成的損失提起訴訟,該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。(PI NOW
. 當發生民事事件時,無論是進行審判還是試圖在法院外和解,各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議,履行服務或履行其法律義務時,在兩方之間發生的爭端。(全球情報顧問

監管調查(Regulatory Investigation)
. 監管調查是指由政府,監管,執法,專業或法定機構針對您發起的正式聽證會,官方調查,檢查,詢問,法律訴訟或任何其他類似程序。(法律內幕

刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學,涉及對事實的研究,然後將這些事實用於刑事審判。(維基百科
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息(或證據)以達到以下目的的過程:
(1)確定是否犯罪。
(2)識別肇事者;
(3)逮捕肇事者;和
(4)提供的證據來支持一個信念在法庭上。(JRank

調查標準,準則和協議(Investigation Standards, Guidelines, and Protocols)

  1. 世衛組織–調查議定書
  2. CHS聯盟–調查指南
  3. 西澳大利亞州監察員–進行調查的準則
  4. 統一調查準則
  5. 澳大利亞政府調查標準(AGIS)
  6. 難民署調查資源手冊
  7. ISO / IEC 27043:2015 —信息技術—安全技術—事件調查的原理和過程
  8. ISO / IEC 27041:2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
  9. 事故和事故徵候調查(ISO 9001:2015,ISO 14001:2015和ISO 45001:2018)

參考
DOJ民事調查和DOJ刑事調查有什麼區別?
法律證據

資料來源: Wentz Wu網站

分類
CISSP

DH金鑰協議(key agreement)技術的概念說明

分類
CISSP

SOC Reports: What’s The Difference Between SOC 1, SOC 2, and SOC 3?

分類
CISM

5分鐘!了解「平衡計分卡」

1.平衡計分卡(Balanced Scorecard)的用途是什麼?公司為何需要?
平衡計分卡是一套管理機制,可將抽象的企業策略,轉化為一組明確的績效指標,用以衡量、管理策略的執行狀況。平衡計分卡不能為企業創造策略,但能幫組織有效執行策略。

大部分公司其實不缺策略,然而《策略核心組織》一書指出,真正被成功執行的策略卻不到10%;了解公司策略意涵的員工不超過5%;而多達85%的管理團隊,每月討論策略的時間不到1小時。有策略,卻始終缺乏執行力的企業,最需要平衡計分卡。

2.策略管理的工具很多,平衡計分卡有什麼特色?
企業向來以財務數字做為績效衡量的標準,但無論是業績目標或營收、投資報酬率等,都是反映過去行動所獲致的成果;簡單說,財務數字衡量的是「過去的績效」,是一種「落後指標」,而非創造未來績效的指引。

平衡計分卡的理念在於:在財務衡量(落後指標)之外,積極找出能夠創造未來財務成果的「績效驅動因素」(performance driver),也就是相較財務成果而言的「領先指標」,例如顧客滿意度、高效率的流程、員工能力、士氣等,讓「績效衡量制度」能與「策略」配合一致。

建立平衡計分卡的流程,有助於策略的「整合」與「聚焦」。經理人藉由闡述組織渴望達成的策略目標、辨別出目標的關鍵驅動因素,最後再利用量化指標,凝聚成員的精力、能力和知識,為長期的目標共同努力。

3.許多績效衡量制度也都包含財務以外的面向,平衡計分卡更完整嗎?
平衡計分卡是用「策略地圖」來描述企業策略,策略地圖中包括4個構面(perspective)——財務、顧客、內部流程、學習與成長——的策略目標。這些目標間必須有因果關係、環環相扣,以清楚描述策略,例如獲利提升必須源自顧客滿意;達成顧客滿意則需要改善流程;而流程又需要從員工學習扎根。

4構面的策略目標不但可以平衡企業內部(員工)與外部(顧客、股東)的需求、財務與非財務的需求,還能夠滿足短期與長期(學習成長)的需求,以及領先指標與落後指標的需求,是一套完整的策略管理體系。

4.平衡計分卡是如何讓策略執行的?
平衡計分卡的機制主要可分3部分:
1  集合資深主管,畫出策略地圖(Strategy Map)。策略地圖是透過一連串的因果關係來描述策略,讓組織成員了解自己的行動如何互相影響、導致最終成果。例如,提高員工技能→減少流程錯誤→顧客滿意度提高→市占率增加→營收成長。

2 找出與策略連結的關鍵績效指標(KPI,Key Performance Indicator),並設定目標值。例如,提高員工技能是策略目標之一,決定以「平均員工生產力」「職位適任率」為KPI,分別設定目標值。

3 找出行動方案,結合預算與獎酬制度,並定期回饋。確保組織有足夠的動機與資源,來達成策略目標,並定期檢討策略的假設是否正確、切實可行。例如,提高員工生產力這項KPI的「行動方案」是「重新制訂人才發展計畫」,再結合預算與獎酬設計,每月檢核,以確保達成。

5.所以常聽到的KPI和策略地圖,都是平衡計分卡的一部分?
是的。策略地圖就像企業策略的導覽地圖,讓組織成員知道自己身在何方,要往哪裡去。但有了地圖,還需要層層拆解策略,找出每個部門、甚至每個成員的KPI,才能衡量與管理。有了指標,就可根據它來找出行動方案,配合預算、激勵、策略回饋,有效達成目標。

資料來源:https://www.managertoday.com.tw/articles/view/2489

分類
CISSP

什麼是零信任(What is Zero Trust)?

零信任是一種網絡安全範式,用於支持可見性的細粒度,動態和以數據為中心的訪問控制。
(訪問控制基於需要了解和最小特權的原則,通過身份驗證,授權和計費來中介資源的使用。)
零信任網絡安全範例
下圖總結了我對“零信任”的研究,該研究綜合了各種來源,例如Jericho論壇,DoD GIG / Black Core,Forrester的零信任網絡,Google的BeyondCorp,CSA的SDP和NIST SP 800-207。
https://ithelp.ithome.com.tw/upload/images/20210326/20132160tXcIEIl6p4.jpg

零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任(信任是特權;它是獲得和給予的)
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查,記錄,監視和可見性

零信任架構(Zero Trust Architecture)
. 主題和數據,服務,設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點(策略管理員和策略引擎)
. 信任算法及其輸入(基於屬性和風險)
https://ithelp.ithome.com.tw/upload/images/20210326/20132160ODksWoUILN.jpg

約翰·金德瓦格(John Kindervag)和零信任(Zero Trust)
約翰·金德瓦格(John Kindervag)在2010年創造了零信任(Zero Trust),以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠,並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想,並總結出他的“零信任”的主要思想如下:
不要依賴網絡位置(粗粒度的邊界),而要使用集成的分段網關(NGFW,下一代防火牆)將數據和相關資源(他稱為MCAP或微核和邊界)分組為較小的部分。

零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”:

  1. 零信任的目標是使系統可信。
  2. 這是複雜,昂貴且費時的。
  3. 零信任與身份有關。
  4. 您可以在第3層進行零信任。
    除第一個神話外,我都同意,第一個神話將“信任”視為“固有授權”的同義詞。我們不會構建依賴於固有授權(即上面所謂的“信任”)的系統,但我寧願將信任定義為對安全性或信任度的信任。因此,我們確實希望消除固有的授權(盲目/破碎的信任),以使系統可信(安全和可信),即交付安全可靠的系統並提供保證。

參考
NIST SP 800-207
約翰·金德瓦格
零信任的真相(Palo Alto)
將安全性構建到網絡的DNA中:零信任網絡架構(Forrester)
國防部全球信息網格(GIG)建築願景
BeyondCorp –企業安全性的新方法(Google)
軟件定義的邊界(SDP)體系結構指南(CSA))
零信任架構和解決方案(Gartner)

資料來源:Wentz Wu 網站

分類
CISSP

惡意程式-伴侶病毒( malicious program-Companion virus)

https://ithelp.ithome.com.tw/upload/images/20210325/20132160oWCj90z0HE.png
-主引導記錄(MBR)和引導扇區(來源:Syed Fahad
. 該多態病毒沉思修改整個系統,這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼,加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件,而且主引導記錄(MBR)。
. 該隱形病毒通常攻擊的主引導記錄(MBR)或操作系統(OS)文件要引導儘早和主宰整個系統,包括操作系統,所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名,但與具有如果在一個命令行界面(CLI)未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。

參考
主引導記錄
正在啟動
開機自檢

資料來源: Wentz Wu QOTD-2021013