分類
CISSP

遵守政策的管理制度

https://ithelp.ithome.com.tw/upload/images/20210814/20132160IilCUAvtXl.jpg
-政策框架
最高管理層要求加強資訊安全並通過政策表達他們的保護要求。有效的資訊安全涉及人員、流程和技術(PPT)等綜合考慮。處理數字數據的資訊系統只是資訊安全的基本要素。
資訊系統可能需要支持基於訪問控制矩陣的自由訪問控制 (DAC) 和基於格、狀態機和資訊流等形式模型的強制訪問控制 (MAC)。然而,這樣的技術解決方案是不夠的或無效的。
管理體係是“組織的一組相互關聯或相互作用的要素,用於製定政策和目標以及實現這些目標的過程”。(ISO 22886:2020) 制定相關政策、標準、程序或指南,並與相關最高管理層的政策保持一致。管理體系提供了一個整體視圖,集成了人員、流程和技術(PPT),並為資訊安全的實施提供了框架。
https://ithelp.ithome.com.tw/upload/images/20210814/20132160Q2fYDpzR8D.jpg
-ISO通用管理模型

資料來源: Wentz Wu QOTD-20210718

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

聲明(claim)

https://ithelp.ithome.com.tw/upload/images/20210813/201321609JL0jxK0GZ.jpg
-身份和存取管理
典型的身份驗證過程包括三個步驟:

  1. 主體向身份提供者 (IdP) 表明其身份。
  2. IdP 根據目錄驗證用戶名和密碼。
  3. 如果主題得到驗證,IdP 會發出一個令牌。

基於聲明(或基於斷言)的身份驗證意味著您的網站接受來自外部身份提供商 (IdP) 的令牌,而不是根據服務器上的目錄對用戶名和密碼進行身份驗證。聲明或斷言通常打包在由發行人 IdP 簽名的令牌中。您作為客戶的網站依賴於 IdP 發布的聲明。
基於明文的身份驗證很常見。用戶名和密碼可以以 HTML 形式或通過 HTTP 基本身份驗證方案提交。儘管密碼本身未加密,但它通常受 TLS/SSL 會話保護。
一些 JavaScript 庫可以將密碼加密為密文並將其發佈到後端服務器,即使我們在使用 TLS/SSL 時不必這樣做。
HTTP Digest 方案實現了質詢和響應。“有效的響應包含用戶名、密碼、給定的
nonce 值、HTTP 方法和請求的 URI的校驗和(默認為 MD5 校驗和)。” (RFC 2617)

參考
HTTP 身份驗證:基本和摘要式存取身份驗證

資料來源: Wentz Wu QOTD-20210717

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

基於 SAML 的聯合身份管理 (FIM) 以支持單點登錄 (SSO)

https://ithelp.ithome.com.tw/upload/images/20210812/20132160TGnH605U5B.jpg
來源:安全斷言標記語言 (SAML) V2.0 技術概述
如上圖所示:
. 一個用戶可以在每個域中擁有一個身份,也可以在多個域之間擁有多個身份。例如,John Doe 在三個系統中註冊了三個帳戶,如下所示:
. 在airline.example.com 中的JohnDoe
. JDOE在cars.example.co.uk
. 約翰在hotels.example.ca
. 聯合身份是域之間共享的假名,用於隱藏用戶的身份。例如,化名azqu3H7和f78q9c0 均 指用戶 John Doe。
. azqu3H7是airline.example.com 和cars.example.co.uk 之間約定的化名。
. f78q9c0 是airline.example.com 和hotels.example.ca 之間約定的化名。
. 依賴方根據 SAML 中表達的斷言授權訪問請求。
. SAML 提供了一種標準方法來呈現跨系統和安全域工作的斷言。
. SAML 斷言是供依賴方或服務提供商做出授權決定的輸入。授權可以基於 XACML。
. SSO 依賴於服務提供商 (SP) 對身份提供商 (IdP) 的信任。

OASIS 安全斷言標記語言 (SAML) 標准定義了一個基於 XML 的框架,用於在在線業務合作夥伴之間描述和交換安全信息。此安全信息以可移植SAML 斷言的形式表示,跨安全網域邊界工作的應用程序可以信任這些斷言。OASIS SAML 標准定義了用於請求、創建、通信和使用這些 SAML 斷言的精確語法和規則。

聯合身份(Federated identity)
. 用戶通常在與其交互的每個合作夥伴的安全域內擁有單獨的本地用戶身份。
. 身份聯合為這些合作夥伴服務提供了一種方式來商定並建立一個通用的共享名稱標識符來引用用戶,以便跨組織邊界共享有關用戶的信息。
. 當合作夥伴就如何引用用戶建立了這樣的協議時,就稱該用戶具有聯合身份。

單點登錄(Single Sign-On)
SAML 通過提供獨立於供應商的標準語法和協議來解決多域 SSO (MDSSO) 問題,用於將用戶信息從一個 Web 服務器傳輸到另一個獨立於服務器 DNS 域的服務器。
來源:安全斷言標記語言 (SAML) V2.0 技術概述

參考
安全斷言標記語言 (SAML) V2.0 技術概述

資料來源: Wentz Wu QOTD-20200806

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

業務連續性委員會(Business Continuity Committee)

https://ithelp.ithome.com.tw/upload/images/20210811/20132160ef8V8yQhkl.jpg
-董事委員會
董事會認為必要時可設立任何委員會。有些委員會通常是法律或法規所要求的,例如審計委員會。但是,大多數董事會級別的委員會都是自願的,並基於業務需要。
審計委員會、薪酬委員會(又名薪酬委員會)和提名委員會(治理委員會)是常見的董事會級委員會,而業務連續性委員會則不是。根據董事會委員會的結構研究,幾乎沒有業務連續性委員會出現在董事會層面。此鏈接顯示了 Microsoft 的董事會委員會。
https://ithelp.ithome.com.tw/upload/images/20210811/20132160sUuBr54IWW.jpg
-共同的董事會級委員會

參考
微軟董事會委員會

資料來源: Wentz Wu QOTD-20210716

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

強制訪問控制(MAC)- 安全許可(Security clearance)

https://ithelp.ithome.com.tw/upload/images/20210810/20132160XBvfnr1mVF.jpg
-安全內核
一張圖片勝過千言萬語。訪問控制矩陣可以被視為授權數據(權利和許可)的邏輯“存儲庫”,由對象視角的訪問控制列表和主體視角的能力表組成。它反映了所有者在授權時的自由裁量權。然而,並非每個系統都實現了訪問控制矩陣的完整構造。例如,Microsoft 的打印機、共享文件夾和 NTFS 權限都是基於 ACL 的。
相反,強制訪問控制機制通常依賴於匹配的“標籤”,也就是基於格的。在被分類之後,資源或對像被標記以供識別並標記以在受信任的計算機系統中進行訪問控制。在正式的背景調查或調查之後,用戶或主體被授予安全許可。將安全許可轉化為可信計算系統中的標籤,以便匹配主體和客體的標籤進行授權。

安全調查(Security Clearance)
安全許可或許可是“由授權裁決辦公室作出的正式安全決定,即個人有權在需要知道的基礎上訪問特定級別的機密信息(絕密、機密或機密)。” (NIST 術語表

參考
許可
系統最高模式

資料來源: Wentz Wu QOTD-20210713

分類
CISSP

事務的數據持久性解決方案(the data persistence solution for transactions)

https://ithelp.ithome.com.tw/upload/images/20210809/20132160GEQirE8SpX.jpg****
-資料來源:https : //panoply.io/data-warehouse-guide/data-mart-vs-data-warehouse/

無SQL(NoSQL)
它意味著 NoSQL 支持多節點並行計算的鍵值存儲。鍵值、文檔、圖形存儲是一些最著名的 NoSQL 存儲。

不僅是 SQL(Not only SQL)
NoSQL(最初指“非 SQL”或“非關係”)資料庫提供了一種存儲和檢索資料的機制,該機制以關係資料庫中使用的表格關係以外的方式建模。
NoSQL 資料庫越來越多地用於大數據和實時 Web 應用程序。NoSQL 系統有時也被稱為“不僅僅是 SQL”,以強調它們可能支持類似 SQL 的查詢語言,或者在多語言持久架構中與 SQL 資料庫並存。
資料來源:維基百科

缺乏真正的 ACID 事務(Lack of True ACID Transaction)
大多數 NoSQL 存儲缺乏真正的 ACID 事務,儘管一些資料庫已將它們作為設計的核心。相反,大多數 NoSQL 資料庫提供了“最終一致性”的概念,其中資料庫更改“最終”(通常在幾毫秒內)傳播到所有節點,因此對資料的查詢可能不會立即返回更新的資料或可能導致讀取的資料不准確,一個稱為陳舊讀取的問題。此外,一些 NoSQL 系統可能會出現寫入丟失和其他形式的資料丟失。一些 NoSQL 系統提供了諸如預寫日誌之類的概念來避免資料丟失。對於跨多個資料庫的分佈式事務處理,資料一致性是一個更大的挑戰,對於 NoSQL 和關係資料庫來說都是困難的。
資料來源:維基百科

商業智能(Business Intelligence)
商業智能 (BI) 包括企業用於對商業信息進行資料分析的策略和技術。BI 技術提供業務運營的歷史、當前和預測視圖。商業智能技術的常見功能包括報告、在線分析處理、分析、資料挖掘、流程挖掘、複雜事件處理、業務績效管理、基準測試、文本挖掘、預測分析和規範分析。
資料來源:維基百科

資料倉庫(Data Warehouse)
在計算中,資料倉庫(DW 或 DWH),也稱為企業資料倉庫 (EDW),是用於報告和資料分析的系統,被認為是商業智能的核心組件。DW 是來自一個或多個不同來源的集成資料的中央存儲庫。它們將當前和歷史資料存儲在一個地方,用於為整個企業的員工創建分析報告。
資料來源:維基百科

資料超市(Data Mart)
資料超市是資料倉庫的一種簡單形式,專注於單個主題(或功能區域),因此它們從有限數量的來源(如銷售、財務或營銷)中提取資料。
資料來源:維基百科

OLAP 和 OLTP
OLAP

在線分析處理 (OLAP) 的特點是交易量相對較低。查詢通常非常複雜並且涉及聚合。OLAP 資料庫將聚合的歷史資料存儲在多維模式(通常是星型模式)中。
資料來源:維基百科

OLTP
在線事務處理(OLTP)的特點是有大量短的在線事務(INSERT、UPDATE、DELETE)。OLTP 系統強調在多訪問環境中非常快速的查詢處理和維護資料完整性。
資料來源:維基百科

關係型資料庫管理系統(RDBMS)
https://ithelp.ithome.com.tw/upload/images/20210809/20132160H38mwApkRK.jpg
https://ithelp.ithome.com.tw/upload/images/20210809/201321603kBklYxb0J.jpg

關係資料庫是一種基於資料關係模型的數字資料庫,由 EF Codd 在 1970 年提出。用於維護關係資料庫的軟件系統是關係資料庫管理系統 (RDBMS)。許多關係資料庫系統可以選擇使用標準 SQL(結構化查詢語言)來查詢和維護資料庫。為了使資料庫管理系統 (DBMS) 高效準確地運行,它必須使用 ACID 事務。
資料來源:維基百科

概括
. 問題的主要思想是關於“交易量巨大”。交易最重要的因素是完整性。事務必須滿足ACID原則的要求。
. 如果採用非ACID交易解決方案,則無法保證客戶的訂單可靠。它可能缺失且未實現。可以接受嗎?我不這麼認為。
. 資料倉庫或資料集市中的資料用於分析,通常是只讀的。
. 關係資料庫支持 ACID 事務。它通常被歸類為在線事務處理 (OLTP) 系統。
. 所有四個選項都提供容錯以避免單點故障。

資料來源: Wentz Wu QOTD-20191013

分類
CISSP

風險曝險(Risk exposure )

https://ithelp.ithome.com.tw/upload/images/20210808/20132160NJJerQkLvw.jpg
-什麼是風險?

ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙

  1. 風險給個人、項目或組織帶來的潛在損失
    [ISO/IEC 16085:2006 系統和軟件工程 — 生命週期過程 — 風險管理,3.10 ]
  2. 風險發生的可能性及其發生的後果程度的函數
    [ISO/IEC 16085:2006 系統和軟件工程——生命週期過程——風險管理,3.10]
  3. 概率乘以潛在損失的乘積對於風險因素
    注 1:風險暴露通常被定義為概率和後果大小的乘積,即預期值或預期暴露。

風險曝險是風險的度量。它考慮了風險的不確定性和影響部分。風險是指不確定性對目標的影響。不確定性和影響可以定量和定性測量。風險曝險也是如此。風險分析是確定風險暴露以優先考慮風險並為風險評估決策和風險處理提供信息的過程。

風險評估/分析(Risk Assessment/Analysis)
在 NIST 指南、CISSP 考試大綱和 CISSP 學習指南中,風險評鑑風險分析通常被視為同義詞。但是,在 ISO 31000 和 ISO 27005 等 ISO 標準中並非如此;風險分析是風險評估的一部分。
維護成本等風險會增加,系統可用性可能會受到影響,漏洞仍然存在且未修補的情況可能會發生。但是,我們需要進一步分析它們的可能性或可能性和影響,以確定風險曝險。因此,風險曝險是一個更普遍和更全面的概念,它提醒我們從更高的角度考慮風險的不確定性和影響部分。

NIST術語表(NIST Glossary)
暴露:風險的可能性和影響水平的組合。
固有風險:在管理層沒有採取任何直接或重點行動來改變其嚴重性的情況下,實體面臨的風險。
殘餘風險:採取安全措施後剩餘的風險部分。

參考
NIST術語表

資料來源: Wentz Wu QOTD-20210712

分類
CISSP

成熟度模型( A maturity model)

https://ithelp.ithome.com.tw/upload/images/20210807/20132160gjRS9tbIB8.jpg
-CMM 和 CMMI 成熟度水平比較
成熟度模型“可以”(而不是應該或必須)定義五個成熟度級別,因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五個級別。然而,能力成熟度模型並非總是如此。
例如,OWASP SAMM 僅定義了四個級別:
0 隱含的起點代表未實現的實踐活動
1 安全實踐的初步理解和臨時提供
2 提高安全實踐的效率和/或有效性
3 大規模全面掌握安全實踐
風險成熟度模型 (RMM) 目前仍在開發中。一些 RMM 可能定義了五個級別,但這不是必需的。

關鍵詞(Key Words)
本文檔中的關鍵詞“必須”、“不得”、“要求”、“應該”、“不應”、“應該”、“不應該”、“推薦”、“可以”和“可選”是按照RFC 2119 中的描述進行解釋。

專案/計劃管理(Project/Program Management)
https://ithelp.ithome.com.tw/upload/images/20210807/20132160aTRTZvziS3.jpg
-戰略投資組合

專案和計劃是暫時的努力;他們的產出被轉移到運營中,以持續創造和交付價值。一旦專案和計劃關閉,專案和計劃風險管理就可以停止。
風險管理有上下文。它可以發生在組織中的各種上下文或級別,例如資訊系統級別、業務流程級別、企業級別或專案/計畫級別。在大多數情況下,風險管理是持續不斷的努力。但是,在某些情況下,例如專案/計劃級別的風險管理,它可能是臨時的努力。
https://ithelp.ithome.com.tw/upload/images/20210807/20132160weg4ME6uwW.jpg
-專案生命週期(來源:PMBOK)
附件 A 中的ISO 27001要求 A.6.1.5 規定了專案管理中的資訊安全,要求控制“無論專案類型如何,都應在專案管理中解決資訊安全問題”。專案是“為創造獨特的產品、服務或成果而進行的臨時努力。另請參閱投資組合和計劃。” (PMI) 一旦專案結束,專案級別的風險管理活動就會消失。
NIST SP 800-53 R5是一個安全控制框架,其中計畫管理 (PM) 是控制系列之一。計畫包括“以協調方式管理的相關專案、子專案群和計畫活動,以獲得單獨管理無法獲得的收益”。(PMI)
https://ithelp.ithome.com.tw/upload/images/20210807/20132160rglwUDwRs8.jpg
-安全和隱私控制系列(來源:NIST SP 800-53 R5)

參考
在 RFC 中用於表示需求級別的關鍵詞
SAMM——軟體保障成熟度模型——OWASP
PMI 專案管理術語詞典

資料來源: Wentz Wu QOTD-20210711

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

風險評估(Risk Evaluation)

https://ithelp.ithome.com.tw/upload/images/20210806/2013216042dGzBIHSL.jpg
-ISO 31000

本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術,用於確定風險暴露作為風險評估過程的輸入。
風險優先排序是風險評估的核心任務之一。在此之前,應用風險接受標準來確定要處理哪些風險。一旦確定了要處理的風險,就會應用風險評估標準來確定這些風險的優先級。因此,風險評估是比定量風險分析和風險優先級更好的選擇,因為它更全面。

https://ithelp.ithome.com.tw/upload/images/20210806/201321609MAEkrpXum.jpg
-風險評估

資料來源: Wentz Wu QOTD-20210710

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

風險熱度地圖(Risk heat map)

https://ithelp.ithome.com.tw/upload/images/20210805/20132160EPi3Z5Tj7b.jpg
-ISO 31000

“風險評估/分析”是什麼意思?
請注意,在 CISSP 考試大綱、OSG 和 NIST 中,風險評估和風險分析被視為同義詞,通常表示為“風險評估/分析”。
識別、分析和評估H風險意味著使用 ISO 標准進行風險管理,例如 ISO 31000 或 ISO 27005,並且您正在進行風險評估。風險熱圖是表達風險評估結果的常用工具。
. 在估計影響時,可以在風險分析過程中使用資產估值,例如,單一損失預期(SLE)=資產價值(AV)x風險因子(EF)。
. 成本和收益分析通常在風險處理(而不是風險評估)過程中進行,以證明風險處理選項(ISO 術語)或風險應對策略(PMI 術語)的合理性。
. 風險暴露的確定是風險分析的結論。風險敞口是可能性、影響和其他因素的函數。

風險熱度地圖(Risk Heat Map)
https://ithelp.ithome.com.tw/upload/images/20210805/20132160nPRlhGvS5m.png
-來源:巴比克斯

風險熱度地圖(或風險熱圖)是網路風險數據的圖形表示,其中包含在矩陣中的各個值表示為表示含義的顏色。風險熱圖用於以易於理解、視覺吸引力和簡潔的格式呈現網路風險評估結果。
來源:巴比克斯

參考
風險熱度地圖——強大的可視化工具

資料來源:https://wentzwu.com/2021/07/09/cissp-practice-questions-20210709/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文