分類: CISSP

-圖片來源：DO SON
為了準備測試數據以驗證後端API是否暗示被測系統（SUT）是一個數據驅動的系統，該系統處理和處理傳輸，靜止和使用中的各種數據，這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如，系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。

作為安全經理或CISO，您不必了解內在的技術知識，但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序，它為測試人員提供靈活的參數或參數，以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable，Inc.（NASDAQ：TENB）開發的專有漏洞掃描程序。”（Wikipedia）
. Metasploit框架是眾所周知的工具，用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目，“ Metasploit項目是一個計算機安全項目，它提供有關安全漏洞的信息，並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” （維基百科）
參考
. zzuf：透明的應用程序輸入模糊器
. zzuf –多用途模糊器
. 地圖
. Nessus
. Metasploit項目

資料來源： Wentz Wu QOTD-20210227

-電子發現參考模型

證人（Witnesses ）和證據（evidence）決定了司法結果。及時的電子發現行動將收集證據，而健全的數據治理將確定證據是否可以接受。
. 行政調查是指對員工所謂的不當行為的內部調查。（《法律內幕》）此事件可能需要多種形式的調查，例如民事，刑事和行政調查。
. 黑客組織可能會進行現場調查，觀察，垃圾箱潛水，尾隨航行等。遵守CPTED（通過環境設計預防犯罪）原則可能有助於設施和人身安全。

審判（Trial）
經過數週或數月的準備，檢察官已準備好完成其工作中最重要的部分：審判。審判是一個結構化的過程，將案件的事實提交陪審團，由陪審團決定被告是否有罪。
庭審過程中，檢察官使用證人和證據向陪審團證明被告犯罪。以律師為代表的被告人還使用證人和證據講述了他的故事。
在審判中，法官（審判的公正人）決定向陪審團提供哪些證據。法官類似於比賽中的裁判，他們不是在一側或另一側進行比賽，而是要確保整個過程都公平進行。
資料來源：美國司法部

發現（Discovery）
“發現”是一個法律術語，指的是查找和披露可能構成訴訟證據的任何信息的預審手段。及時的電子發現是指採取法律行動，要求對手生產和提交以電子格式存儲的信息。您的對手還可能進行電子發現以要求您提供證據。
“即使不經意間也未能公開證據是犯罪，如果可以證明該組織未能故意公開證據，則處罰會更高。” （本州馬里索夫）電子發現參考模型可幫助組織與電子發現要求保持一致。
以下是常見的發現手段：

1. 要求詢問質詢
2. 要求出示文件和物品
3. 入學要求
4. 存款
   發現 是 訴訟的預審階段，在這一階段中，每一方通過民事訴訟規則 ，通過從對方和其他方獲得證據的方式，通過包括請求訊問答复，請求詢問在內的發現設備 ，來調查案件的事實。 用於文件和物品的生產，要求入場和交存。
   資料來源： HG.org

為了獲得對手擁有的信息，或者即使在其他地方也可以從對手那裡獲得的信息，也很容易從對手那裡獲得，一方可以宣誓面談另一方，這稱為證言；提出書面問題，稱為審訊；要求出示文件或其他物理證據；要求另一方進行身體檢查；並要求另一方承認與訴訟有關的事實真相。
資料來源： Feinman，Jay M.。Law 101（p。120）。牛津大學出版社。Kindle版。

停止銷毀通知，認股權證和傳票（Cease Destruction Notice, Warrant, and Subpoena）
在法律領域，術語“發現”是查找和披露可能構成證據的任何信息的概念。發現可以用於收集刑事或民事訴訟的證據。例如，當一個組織收到來自監管機構/執法實體的授權書或傳票以披露與X有關的任何信息時，或者當該組織收到原告的通知，稱該組織正在被起訴X時，該組織必須依法進行，仔細檢查所有數據，找到與X有關的材料，然後將其交付給代理商/原告。即使不經意間也沒有公開證據是犯罪，如果可以證明該組織沒有故意公開證據，則處罰會更高。
電子調查的過程甚至在調查/訴訟開始之前就已經開始；一旦組織收到通知，表示正在調查或提起訴訟（即在收到逮捕令或傳票之前），則組織必須開始進行電子發現的準備工作。該通知稱為許多事項：停止銷毀通知，記錄保留通知，訴訟保留通知，合法保留，以及類似的字詞。通知組織後，它必須停止組織中的所有數據銷毀活動。這包括法規，內部政策或其他法律規定的所有數據銷毀要求。在美國，在起訴/訴訟期間，由國會決定的聯邦證據規則將取代所有其他指示，並且該組織無法銷毀任何數據。銷毀被視為證據的數據或被認為是證據的數據被稱為“誹謗”，也屬於犯罪行為。
資料來源：馬里索，本。如何通過INFOSEC考試：通過SSCP，CISSP，CCSP，CISA，CISM，Security +和CCSK的指南（第31-32頁）。調整不良的作品。Kindle版。

電子發現（Electronic discovery）
電子發現或“電子發現”是指發現以電子格式存儲的信息（通常稱為電子存儲信息或ESI）。

證據（Evidence）
“可接納性”的概念
可接受的證據應具有相關性，實質性和能力。
基本上，如果要在法庭上接納證據，則證據必須是相關的，重要的和有能力的。要被認為是相關的，它必須具有某種合理的趨勢來幫助證明或反對某些事實。它不必確定事實，但是至少它必須傾向於增加或減少某些事實的可能性。
一旦被認定為相關證據，事實發現者（法官或陪審團）將確定適當的權重以提供特定的證據。如果提供給定的證據來證明案件中有爭議的事實，則該證據被認為是重要的。如果證據符合某些傳統的可靠性概念，則被認為是“有能力的”。法院正在通過使與證據權重有關的問題逐步減少證據的勝任力規則。
資料來源：湯森路透

舉證責任(BURDEN OF PROOF)
說服力的標準不盡相同，從 大量的證據（只有足夠的證據來彌補這一平衡）到 無可置疑的證據（例如美國刑事法院）。
資料來源： 維基百科

參考
. 法律證據
. 調查類型
. 什麼是民事案件中的發現？
. 證據：“可接納性”的概念
. 美國律師»司法101
. 發現請求和懇求準備

資料來源： Wentz Wu QOTD-20210226

即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼，HTTP仍以明文形式傳輸編碼，並依靠HTTPS來實施安全性。
密碼（Cipher）和代碼(Codes)不同。從字面上看，代碼取決於代碼簿(codebook)的保密性，而不是取決於密鑰的混淆。Base64使用公共映射表。

哈希或消息身份驗證代碼（MAC）是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia：

參考
. 基本訪問認證
. Base64
. 代碼（密碼學）

資料來源： Wentz Wu QOTD-20210225

在這四個選項中，開發信息安全管理系統（ISMS）是最合適，最關鍵的。ISMS從管理承諾和政策開始，這些承諾和政策推動信息安全，以滿足利益相關者（或利益相關方）的保護需求和安全要求。它涵蓋了網絡訪問控制，IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的，但還不夠，也不是優先事項。
. 將安全性集成到IT流程中是必要的，但還不夠。無論CISO向哪個角色報告，他（她）都應確保安全功能支持業務，並將安全集成到“所有”組織流程中，而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派，否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務，而不僅僅是IT，安全或保證流程。首席執行官，首席運營官或委員會更合適。如下圖所示，CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。

資料來源： Wentz Wu QOTD-20210224

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是，這不是一個好主意，因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此，請使用本地實用程序生成密鑰對，例如OpenSSL，ssh_keygen，IIS管理器，MMC的證書管理單元（Microsoft管理控制台）。
僅將包含公共密鑰（不包含密鑰對）的證書籤名請求發送到CA（或專門用於註冊機構），因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中，但證書僅包含公鑰。例如，“ PKCS＃12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” （維基百科）

證書簽名請求（CSR）
在公鑰基礎結構（PKI）系統中，證書籤名請求（也是CSR或證明請求）是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰，標識信息（例如域名）和完整性保護（例如數字簽名）。
在創建CSR之前，申請人首先生成一個密鑰對，將私鑰保密。CSR包含標識申請人的信息（例如，在X.509證書的情況下為專有名稱），該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明，證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源：維基百科

X.509證書

-X.509證書格式

參考
. 證書籤名請求
. PKCS 12

資料來源： Wentz Wu QOTD-20210223

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

儘管夾層玻璃比鋼化玻璃更安全，但價格更高。儘管如此，法規要求仍可能會影響各國安全玻璃的安裝。而且，作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果，最初的問題是：“以下哪個是店面或購物櫥窗中最常用的安全玻璃？” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性？”

退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia：
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域，夾層玻璃通常用於外部店面，幕牆和窗戶。

-破碎的夾層安全玻璃，中間層暴露在圖片的頂部（來源：維基百科）

鋼化玻璃用於各種苛刻的應用中，包括乘用車窗戶，淋浴門，建築玻璃門和桌子，冰箱托盤（作為防彈玻璃的組成部分），潛水面罩以及各種類型的盤子和炊具。

-破碎的鋼化玻璃顯示出顆粒狀的形狀（來源：維基百科）

近年來，已經出現了既可以提供防火等級又可以提供安全等級的新材料，因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
. 安全玻璃
. 什麼是安全玻璃？
. 砸玻璃！比較層壓與回火
. 有線玻璃
. 夾絲玻璃，安全嗎？
. 傳統夾絲玻璃的危害
. 破碎玻璃
. 退火（玻璃）
. 退火與回火
. CM 113 –第30章
. 夾層安全玻璃

資料來源： Wentz Wu QOTD-20210222

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

知識產權具有所有者，否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權（IP）。” （WIPO）您的公司可能沒有製造參數作為知識產權的所有權，因為OEM客戶通常在合同中要求所有權。如果是這樣，您的公司可能會被要求承擔保護生產參數保密性的義務，而不是商業秘密權。因此，在主張知識產權之前，應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常，必須完成三個步驟，才能使某項信息成為商業秘密：
–保密：該信息必須具有足夠的機密性，即通常不為人所知或難以編譯的信息。請注意，與公司客戶有關的機密個人信息受隱私法保護，不受商業秘密法保護。
–具有商業價值：信息必須為所有者提供競爭優勢或某種經濟利益，因為它是秘密的-而不是因為其固有的優點。
–合理措施：所有者必須採取合理的安全措施來維護信息的保密性。
資料來源：WIPO

參考
. 獲取知識產權：商業秘密
. 常見問題：商業秘密基礎

資料來源： Wentz Wu QOTD-20210221

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

資料分類是評估資料的業務價值或其重要性和對利益相關者的意義，以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值，例如保密性，完整性，可用性，收入損失，購買成本，機會成本等。分類方案，最高機密，機密，機密是一項法規要求（執行命令） 12356）。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。

參考
. 外國所有權控製或影響：FOCI補充資料表
. CMMI：國防部的觀點
. 什麼是CMMI？優化開發流程的模型
. 了解和利用供應商的CMMI®努力：收購者指南（V1.3修訂版）

資料來源： Wentz Wu QOTD-20210220

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

關於資料治理中的安全性，適用於 歐盟的《通用數據保護條例》（GDPR） 和《 金融工具市場指令II》（MiFID II） ，以及US 31 USC 310，這是一項針對金融犯罪中的數據的法規。

在更大範圍內，《 美國多德-弗蘭克法案》 解決了保存記錄的透明度問題。在 美國首都的綜合分析和審查（CCAR） 的框架地址的資料質量和管理。在歐洲，MiFID II解決了資料收集過程，而巴塞爾協議III則包含了風險管理和資本充足性方面的資料治理規定。

在中國， 銀行和保險監督管理委員會（CBIRC） 於2018年5月發布了準則，其中包括針對金融公司的規定，分配建立資料治理系統，資料質量控制以及相關激勵和問責制的責任。在中國， 銀行和保險監督管理委員會（CBIRC）於2018年5月發布了準則，其中包括針對金融公司的規定，分配建立資料治理系統，資料質量控制以及相關激勵和問責制的責任。
儘管 針對風險資料匯總的MiFID II，Basel III和 BCBS 239規則來自歐洲，但它們確實會影響整個亞洲乃至全球的合規性。此外， 由國際會計準則理事會（IASB）創建 的 國際財務報告準則（IFRS ） 設置了可用於資料治理的分類和會計規則。任何形成其治理框架的公司都應了解這些規定。
因此，如果能夠很好地處理資料治理的特徵和規則，公司還可以部署 企業資料管理（EDM）和主資料管理（MDM） 系統，以執行資料治理中的規定。這些系統對資料進行清理，豐富和整理，以標準化資料定義方式，並生成元數據，該元數據以完整性，問責性和安全性幫助實施數據治理框架。
有了資料治理要素的知識，這既是公司本機工作的一部分，又是其合規要求的一部分，管理層將更有能力在市場上開展業務，並降低其運營和監管風險。
資料來源：GoldenSource

相關讀物
. 資料治理
. 什麼是資料治理？
. 什麼是資料治理，為什麼重要？
. 隱私，保密性和合規性資料治理指南
. 企業信息管理：資料治理的最佳實踐
. 如何創建資料治理計劃以控制您的資料資產
. 什麼是資料治理？管理資料資產的最佳實踐框架
. 資料治理的定義，挑戰和最佳實踐
. 什麼是資料治理（以及為什麼需要它）？
. 資料監管–為何，為什麼，如何，誰以及15種最佳做法

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

職位描述是職位設計的輸出之一，它考慮了“分工”的原則，需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一，因為它包含職位的職責和職責。
背景調查或安全檢查是在僱用之前進行的，通常對某些級別的員工或職位進行定期檢查。安全檢查是政府部門或機構的正式背景檢查程序；它支持基於標籤或網格的強制訪問控制（MAC）。此外，您的授權意味著根據需要知道的自由訪問控制（DAC）。

-職位描述內容（來源：Prachi M）
工作設計是將工作組織成執行特定工作所需的任務的過程。工作設計涉及將任務，職責和責任組織到一個工作單元中以實現某些目標的自覺努力。人力資源經理應該對組織內各個職位的設計和規格有濃厚的興趣。（拉傑古（K Rajguru））

-工作設計決策（來源：http : //www.whatishumanresource.com/job-design）
參考
. 工作設計
. 什麼是工作設計？
. 職位設計（WhatIsHumanreSource）
. 職位描述與職位規格

資料來源： Wentz Wu QOTD-20210219

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文