分類
CISSP

業務連續性委員會(Business Continuity Committee)

https://ithelp.ithome.com.tw/upload/images/20210811/20132160ef8V8yQhkl.jpg
-董事委員會
董事會認為必要時可設立任何委員會。有些委員會通常是法律或法規所要求的,例如審計委員會。但是,大多數董事會級別的委員會都是自願的,並基於業務需要。
審計委員會、薪酬委員會(又名薪酬委員會)和提名委員會(治理委員會)是常見的董事會級委員會,而業務連續性委員會則不是。根據董事會委員會的結構研究,幾乎沒有業務連續性委員會出現在董事會層面。此鏈接顯示了 Microsoft 的董事會委員會。
https://ithelp.ithome.com.tw/upload/images/20210811/20132160sUuBr54IWW.jpg
-共同的董事會級委員會

參考
微軟董事會委員會

資料來源: Wentz Wu QOTD-20210716

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

強制訪問控制(MAC)- 安全許可(Security clearance)

https://ithelp.ithome.com.tw/upload/images/20210810/20132160XBvfnr1mVF.jpg
-安全內核
一張圖片勝過千言萬語。訪問控制矩陣可以被視為授權數據(權利和許可)的邏輯“存儲庫”,由對象視角的訪問控制列表和主體視角的能力表組成。它反映了所有者在授權時的自由裁量權。然而,並非每個系統都實現了訪問控制矩陣的完整構造。例如,Microsoft 的打印機、共享文件夾和 NTFS 權限都是基於 ACL 的。
相反,強制訪問控制機制通常依賴於匹配的“標籤”,也就是基於格的。在被分類之後,資源或對像被標記以供識別並標記以在受信任的計算機系統中進行訪問控制。在正式的背景調查或調查之後,用戶或主體被授予安全許可。將安全許可轉化為可信計算系統中的標籤,以便匹配主體和客體的標籤進行授權。

安全調查(Security Clearance)
安全許可或許可是“由授權裁決辦公室作出的正式安全決定,即個人有權在需要知道的基礎上訪問特定級別的機密信息(絕密、機密或機密)。” (NIST 術語表

參考
許可
系統最高模式

資料來源: Wentz Wu QOTD-20210713

分類
CISSP

事務的數據持久性解決方案(the data persistence solution for transactions)

https://ithelp.ithome.com.tw/upload/images/20210809/20132160GEQirE8SpX.jpg****
-資料來源:https : //panoply.io/data-warehouse-guide/data-mart-vs-data-warehouse/

無SQL(NoSQL)
它意味著 NoSQL 支持多節點並行計算的鍵值存儲。鍵值、文檔、圖形存儲是一些最著名的 NoSQL 存儲。

不僅是 SQL(Not only SQL)
NoSQL(最初指“非 SQL”或“非關係”)資料庫提供了一種存儲和檢索資料的機制,該機制以關係資料庫中使用的表格關係以外的方式建模。
NoSQL 資料庫越來越多地用於大數據和實時 Web 應用程序。NoSQL 系統有時也被稱為“不僅僅是 SQL”,以強調它們可能支持類似 SQL 的查詢語言,或者在多語言持久架構中與 SQL 資料庫並存。
資料來源:維基百科

缺乏真正的 ACID 事務(Lack of True ACID Transaction)
大多數 NoSQL 存儲缺乏真正的 ACID 事務,儘管一些資料庫已將它們作為設計的核心。相反,大多數 NoSQL 資料庫提供了“最終一致性”的概念,其中資料庫更改“最終”(通常在幾毫秒內)傳播到所有節點,因此對資料的查詢可能不會立即返回更新的資料或可能導致讀取的資料不准確,一個稱為陳舊讀取的問題。此外,一些 NoSQL 系統可能會出現寫入丟失和其他形式的資料丟失。一些 NoSQL 系統提供了諸如預寫日誌之類的概念來避免資料丟失。對於跨多個資料庫的分佈式事務處理,資料一致性是一個更大的挑戰,對於 NoSQL 和關係資料庫來說都是困難的。
資料來源:維基百科

商業智能(Business Intelligence)
商業智能 (BI) 包括企業用於對商業信息進行資料分析的策略和技術。BI 技術提供業務運營的歷史、當前和預測視圖。商業智能技術的常見功能包括報告、在線分析處理、分析、資料挖掘、流程挖掘、複雜事件處理、業務績效管理、基準測試、文本挖掘、預測分析和規範分析。
資料來源:維基百科

資料倉庫(Data Warehouse)
在計算中,資料倉庫(DW 或 DWH),也稱為企業資料倉庫 (EDW),是用於報告和資料分析的系統,被認為是商業智能的核心組件。DW 是來自一個或多個不同來源的集成資料的中央存儲庫。它們將當前和歷史資料存儲在一個地方,用於為整個企業的員工創建分析報告。
資料來源:維基百科

資料超市(Data Mart)
資料超市是資料倉庫的一種簡單形式,專注於單個主題(或功能區域),因此它們從有限數量的來源(如銷售、財務或營銷)中提取資料。
資料來源:維基百科

OLAP 和 OLTP
OLAP

在線分析處理 (OLAP) 的特點是交易量相對較低。查詢通常非常複雜並且涉及聚合。OLAP 資料庫將聚合的歷史資料存儲在多維模式(通常是星型模式)中。
資料來源:維基百科

OLTP
在線事務處理(OLTP)的特點是有大量短的在線事務(INSERT、UPDATE、DELETE)。OLTP 系統強調在多訪問環境中非常快速的查詢處理和維護資料完整性。
資料來源:維基百科

關係型資料庫管理系統(RDBMS)
https://ithelp.ithome.com.tw/upload/images/20210809/20132160H38mwApkRK.jpg
https://ithelp.ithome.com.tw/upload/images/20210809/201321603kBklYxb0J.jpg

關係資料庫是一種基於資料關係模型的數字資料庫,由 EF Codd 在 1970 年提出。用於維護關係資料庫的軟件系統是關係資料庫管理系統 (RDBMS)。許多關係資料庫系統可以選擇使用標準 SQL(結構化查詢語言)來查詢和維護資料庫。為了使資料庫管理系統 (DBMS) 高效準確地運行,它必須使用 ACID 事務。
資料來源:維基百科

概括
. 問題的主要思想是關於“交易量巨大”。交易最重要的因素是完整性。事務必須滿足ACID原則的要求。
. 如果採用非ACID交易解決方案,則無法保證客戶的訂單可靠。它可能缺失且未實現。可以接受嗎?我不這麼認為。
. 資料倉庫或資料集市中的資料用於分析,通常是只讀的。
. 關係資料庫支持 ACID 事務。它通常被歸類為在線事務處理 (OLTP) 系統。
. 所有四個選項都提供容錯以避免單點故障。

資料來源: Wentz Wu QOTD-20191013

分類
CISSP

風險曝險(Risk exposure )

https://ithelp.ithome.com.tw/upload/images/20210808/20132160NJJerQkLvw.jpg
-什麼是風險?

ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙

  1. 風險給個人、項目或組織帶來的潛在損失
    [ISO/IEC 16085:2006 系統和軟件工程 — 生命週期過程 — 風險管理,3.10 ]
  2. 風險發生的可能性及其發生的後果程度的函數
    [ISO/IEC 16085:2006 系統和軟件工程——生命週期過程——風險管理,3.10]
  3. 概率乘以潛在損失的乘積對於風險因素
    注 1:風險暴露通常被定義為概率和後果大小的乘積,即預期值或預期暴露。

風險曝險是風險的度量。它考慮了風險的不確定性和影響部分。風險是指不確定性對目標的影響。不確定性和影響可以定量和定性測量。風險曝險也是如此。風險分析是確定風險暴露以優先考慮風險並為風險評估決策和風險處理提供信息的過程。

風險評估/分析(Risk Assessment/Analysis)
在 NIST 指南、CISSP 考試大綱和 CISSP 學習指南中,風險評鑑風險分析通常被視為同義詞。但是,在 ISO 31000 和 ISO 27005 等 ISO 標準中並非如此;風險分析是風險評估的一部分。
維護成本等風險會增加,系統可用性可能會受到影響,漏洞仍然存在且未修補的情況可能會發生。但是,我們需要進一步分析它們的可能性或可能性和影響,以確定風險曝險。因此,風險曝險是一個更普遍和更全面的概念,它提醒我們從更高的角度考慮風險的不確定性和影響部分。

NIST術語表(NIST Glossary)
暴露:風險的可能性和影響水平的組合。
固有風險:在管理層沒有採取任何直接或重點行動來改變其嚴重性的情況下,實體面臨的風險。
殘餘風險:採取安全措施後剩餘的風險部分。

參考
NIST術語表

資料來源: Wentz Wu QOTD-20210712

分類
CISSP

成熟度模型( A maturity model)

https://ithelp.ithome.com.tw/upload/images/20210807/20132160gjRS9tbIB8.jpg
-CMM 和 CMMI 成熟度水平比較
成熟度模型“可以”(而不是應該或必須)定義五個成熟度級別,因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五個級別。然而,能力成熟度模型並非總是如此。
例如,OWASP SAMM 僅定義了四個級別:
0 隱含的起點代表未實現的實踐活動
1 安全實踐的初步理解和臨時提供
2 提高安全實踐的效率和/或有效性
3 大規模全面掌握安全實踐
風險成熟度模型 (RMM) 目前仍在開發中。一些 RMM 可能定義了五個級別,但這不是必需的。

關鍵詞(Key Words)
本文檔中的關鍵詞“必須”、“不得”、“要求”、“應該”、“不應”、“應該”、“不應該”、“推薦”、“可以”和“可選”是按照RFC 2119 中的描述進行解釋。

專案/計劃管理(Project/Program Management)
https://ithelp.ithome.com.tw/upload/images/20210807/20132160aTRTZvziS3.jpg
-戰略投資組合

專案和計劃是暫時的努力;他們的產出被轉移到運營中,以持續創造和交付價值。一旦專案和計劃關閉,專案和計劃風險管理就可以停止。
風險管理有上下文。它可以發生在組織中的各種上下文或級別,例如資訊系統級別、業務流程級別、企業級別或專案/計畫級別。在大多數情況下,風險管理是持續不斷的努力。但是,在某些情況下,例如專案/計劃級別的風險管理,它可能是臨時的努力。
https://ithelp.ithome.com.tw/upload/images/20210807/20132160weg4ME6uwW.jpg
-專案生命週期(來源:PMBOK)
附件 A 中的ISO 27001要求 A.6.1.5 規定了專案管理中的資訊安全,要求控制“無論專案類型如何,都應在專案管理中解決資訊安全問題”。專案是“為創造獨特的產品、服務或成果而進行的臨時努力。另請參閱投資組合和計劃。” (PMI) 一旦專案結束,專案級別的風險管理活動就會消失。
NIST SP 800-53 R5是一個安全控制框架,其中計畫管理 (PM) 是控制系列之一。計畫包括“以協調方式管理的相關專案、子專案群和計畫活動,以獲得單獨管理無法獲得的收益”。(PMI)
https://ithelp.ithome.com.tw/upload/images/20210807/20132160rglwUDwRs8.jpg
-安全和隱私控制系列(來源:NIST SP 800-53 R5)

參考
在 RFC 中用於表示需求級別的關鍵詞
SAMM——軟體保障成熟度模型——OWASP
PMI 專案管理術語詞典

資料來源: Wentz Wu QOTD-20210711

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

風險評估(Risk Evaluation)

https://ithelp.ithome.com.tw/upload/images/20210806/2013216042dGzBIHSL.jpg
-ISO 31000

本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術,用於確定風險暴露作為風險評估過程的輸入。
風險優先排序是風險評估的核心任務之一。在此之前,應用風險接受標準來確定要處理哪些風險。一旦確定了要處理的風險,就會應用風險評估標準來確定這些風險的優先級。因此,風險評估是比定量風險分析和風險優先級更好的選擇,因為它更全面。

https://ithelp.ithome.com.tw/upload/images/20210806/201321609MAEkrpXum.jpg
-風險評估

資料來源: Wentz Wu QOTD-20210710

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

風險熱度地圖(Risk heat map)

https://ithelp.ithome.com.tw/upload/images/20210805/20132160EPi3Z5Tj7b.jpg
-ISO 31000

“風險評估/分析”是什麼意思?
請注意,在 CISSP 考試大綱、OSG 和 NIST 中,風險評估和風險分析被視為同義詞,通常表示為“風險評估/分析”。
識別、分析和評估H風險意味著使用 ISO 標准進行風險管理,例如 ISO 31000 或 ISO 27005,並且您正在進行風險評估。風險熱圖是表達風險評估結果的常用工具。
. 在估計影響時,可以在風險分析過程中使用資產估值,例如,單一損失預期(SLE)=資產價值(AV)x風險因子(EF)。
. 成本和收益分析通常在風險處理(而不是風險評估)過程中進行,以證明風險處理選項(ISO 術語)或風險應對策略(PMI 術語)的合理性。
. 風險暴露的確定是風險分析的結論。風險敞口是可能性、影響和其他因素的函數。

風險熱度地圖(Risk Heat Map)
https://ithelp.ithome.com.tw/upload/images/20210805/20132160nPRlhGvS5m.png
-來源:巴比克斯

風險熱度地圖(或風險熱圖)是網路風險數據的圖形表示,其中包含在矩陣中的各個值表示為表示含義的顏色。風險熱圖用於以易於理解、視覺吸引力和簡潔的格式呈現網路風險評估結果。
來源:巴比克斯

參考
風險熱度地圖——強大的可視化工具

資料來源:https://wentzwu.com/2021/07/09/cissp-practice-questions-20210709/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

安全評鑑(Security Assessment)

https://ithelp.ithome.com.tw/upload/images/20210804/201321603XEXm91l20.jpg
-ISO 31000

在 ISO 31000 中,風險評鑑包括三個步驟:風險識別、風險分析和風險評鑑;威脅是一種帶來負面影響的風險。在 NIST 的世界中,風險評鑑和風險分析是同義詞。但是,它們具有相同的性質,即風險處理和響應遵循風險評鑑。安全控制是特定的風險處理或緩解風險的響應。
脆弱性是威脅的一個因素。NIST 的通用風險模型具體定義了威脅因素:
https://ithelp.ithome.com.tw/upload/images/20210804/20132160mYjOqAR0cU.jpg
-NIST 通用風險模型 (NIST SP 800-30 R1)

安全評鑑(Security Assessment)
安全評鑑可以指安全控制評鑑(SCA)或資訊安全評鑑(ISA)。然而,它們有細微的差別。SCA 是 ISA 的一個子集。本題中的安全評鑑是指安全控制評鑑。
. 安全控制評鑑(SCA)的意思是“測試或評鑑的安全控制,以確定該控制是否正確執行,按預期方式操作的程度,並產生相對於所期望的結果滿足用於資訊系統或組織的安全性要求。” (NIST SP 800-53 R4)
. 一種資訊安全評鑑(ISA)是“確定實體被如何有效評鑑的過程中(例如,主機,系統,網絡,程序,人知的作為評鑑對象)滿足特定安全目標。” (NIST SP 800-115)

參考
安全評鑑

資料來源: Wentz Wu QOTD-20210708

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

實施入侵檢測系統以應對安全事件和基於生物識別的存取控制-縱深防禦(Defense-in-depth)

縱深防禦是一種“整合人員、技術和運營能力的資訊安全戰略,以在組織的多個層次和維度之間建立可變的屏障”。(NIST 術語表
. 人:提升安全意識
. 運營:幫助人力資源人員審查招聘流程
. 技術:實施入侵檢測系統以回應安全事件和基於生物識別的存取控制

基於風險的存取控制(Risk-based Access Control)
存取控制是指“授予或拒絕特定請求的過程:
1)獲取和使用資訊及相關資訊處理服務;和
2) 進入特定的物理設施(例如,聯邦建築物、軍事機構、邊境口岸)。(NIST 術語表
有兩類存取控制方法:傳統的和動態的。傳統的存取控制方法利用嚴格且預先確定的策略來確定存取決策。或者,動態存取控制方法不僅採用靜態策略,還採用動態和實時特性來做出存取決策。這些動態特徵可能涉及上下文、信任、歷史事件、位置、時間和安全風險。基於風險的存取控制模型是利用與每個存取請求相關的安全風險值作為判斷存取決策的標準的動態方法之一。
資料來源:MDPI

完全調解(Complete Mediation)
“完全調解的原則要求檢查對對象的所有存取,以確保它們被允許。” (CISA)

參考
縱深防禦
基於風險的存取控制模型:系統文獻綜述
完全調解

資料來源: Wentz Wu QOTD-20210707

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

企業專有資料進行分類的最佳角色- 資料管家(Data Steward)

專有資料和個人資料(或 PII)是資料治理的重要主題。由於個人資料通常對隱私敏感,因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如,NIST SP 800-53 R5 提供了安全控制和隱私控制;ISO 27001 (ISMS) 處理信息安全,而 ISO 27701 處理隱私信息。

專有資料角色
. 資料所有者(Data Owner):分類、授權和問責
. 資料管家(Data Steward):資料質量
. 資料保管人(Data Custodian):實施和日常工作

資料所有者對其“擁有”的資料負責,因此管理團隊的成員通常承擔此角色。但是,他可以將職責委派給任何人(例如,資料管家或資料保管人),但仍需對結果負責。

在 NIST 指南中,資料管理員通常等同於資料所有者(或由資料所有者委託),因為資料所有者並不真正擁有“個人資料”的所有權。他們似乎通過不使用有爭議的術語來迴避個人資料所有權的爭論。
在私營部門,資料角色可以更明確地實施。組織可以在資料治理計劃中添加更多角色以滿足他們的要求。資料角色不限於上述三種。此外,組織可以使用他們喜歡的任何角色名稱。

個人資料角色
. 資料主體(Data Subject)/主體(Principal)
. 資料控制器(Data Controller)
. 資料處理器(Data Processor)
在我看來,個人資料的所有權應該屬於資料主體。組織並不“擁有”它們,而只是控制和處理它們。資料控制者決定處理的目的和方式;資料處理者代表資料控制者並根據資料控制者確定的目的和方式處理個人資料。

參考
隱私

資料來源: Wentz Wu QOTD-20210706

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文