Choson資安大小事

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而，FISMA和FIPS 199明確而準確地區分了兩者。

以下幻燈片是 FIPS 199 中有關安全目標的摘錄，該摘錄與 FISMA 一致：

-CIA作為安全目標

完整性
以下是 FISMA 中有關完整性的摘錄：
‘防止不當的資訊修改或破壞，包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道：「可用性損失是資訊或資訊系統訪問或使用中斷。

數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法，而’破壞’是一種可以’破壞’介質的技術（例如破壞性技術）。然而，破壞性技術通常可以’摧毀’媒體，但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義，但它們可能在各種上下文中提及不同的東西。

資料來源： Wentz Wu QOTD-20210302

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

零信任
零信任是一種用於訪問控制的網絡安全範例，具有以數據為中心，細粒度，動態且具有可見性的特徵。
. 取消邊界刪除會刪除物理網絡邊界。
. XACML提供細粒度的訪問控制，例如基於風險或基於屬性的訪問控制。
. 完全調解強制執行每個請求的驗證，無論請求來自內部還是外部網絡。
零信任概念的演變
零信任的概念可以追溯到早在2003年的Jericho論壇中就討論的反邊界化概念。反邊界化提倡了消除對物理網絡分段的依賴以確保網絡安全的想法。通常認為，受防火牆保護的內部網絡比外部網絡更安全，因此內部網絡中實施的安全控制較少。但是，去周邊化並不意味著根本就不存在周邊。它可以減少對物理邊界的依賴，但是虛擬，軟件或細粒度的邏輯邊界都可以發揮作用。例如，國防信息系統局（DISA）於2007年左右推出的全球信息網格（GIG）黑芯網絡計劃引入了軟件定義的邊界（SDP）。
Forrest的John Kindervag在2010年創造了“零信任”一詞，很好地融合了這些想法。然後，雲安全聯盟（CSA）會基於GIG SDP促進和擴大對零信任的認識和採用。Google和許多大型科技公司和組織也開始了他們的零信任計劃。
由於2015年人事管理辦公室數據洩露，零信任引起了美國國會的注意。NIST隨後開始草擬零信任架構指南SP 800-207，該指南於2020年8月最終確定。

-零信任概念的演變

-零信任網絡安全範例

零信任作為訪問控制2.0

-零信任作為訪問控制2.0

-訪問控制

-以數據為中心的訪問控制

-細粒度，動態和可見性

參考
. 零信任即訪問控制2.0
. InfoSec台灣2020
. 什麼是零信任？
. 零信任架構（ZTA）

資料來源： Wentz Wu QOTD-20210228

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-圖片來源：DO SON
為了準備測試數據以驗證後端API是否暗示被測系統（SUT）是一個數據驅動的系統，該系統處理和處理傳輸，靜止和使用中的各種數據，這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如，系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。

作為安全經理或CISO，您不必了解內在的技術知識，但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序，它為測試人員提供靈活的參數或參數，以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable，Inc.（NASDAQ：TENB）開發的專有漏洞掃描程序。”（Wikipedia）
. Metasploit框架是眾所周知的工具，用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目，“ Metasploit項目是一個計算機安全項目，它提供有關安全漏洞的信息，並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” （維基百科）
參考
. zzuf：透明的應用程序輸入模糊器
. zzuf –多用途模糊器
. 地圖
. Nessus
. Metasploit項目

資料來源： Wentz Wu QOTD-20210227

-電子發現參考模型

證人（Witnesses ）和證據（evidence）決定了司法結果。及時的電子發現行動將收集證據，而健全的數據治理將確定證據是否可以接受。
. 行政調查是指對員工所謂的不當行為的內部調查。（《法律內幕》）此事件可能需要多種形式的調查，例如民事，刑事和行政調查。
. 黑客組織可能會進行現場調查，觀察，垃圾箱潛水，尾隨航行等。遵守CPTED（通過環境設計預防犯罪）原則可能有助於設施和人身安全。

審判（Trial）
經過數週或數月的準備，檢察官已準備好完成其工作中最重要的部分：審判。審判是一個結構化的過程，將案件的事實提交陪審團，由陪審團決定被告是否有罪。
庭審過程中，檢察官使用證人和證據向陪審團證明被告犯罪。以律師為代表的被告人還使用證人和證據講述了他的故事。
在審判中，法官（審判的公正人）決定向陪審團提供哪些證據。法官類似於比賽中的裁判，他們不是在一側或另一側進行比賽，而是要確保整個過程都公平進行。
資料來源：美國司法部

發現（Discovery）
“發現”是一個法律術語，指的是查找和披露可能構成訴訟證據的任何信息的預審手段。及時的電子發現是指採取法律行動，要求對手生產和提交以電子格式存儲的信息。您的對手還可能進行電子發現以要求您提供證據。
“即使不經意間也未能公開證據是犯罪，如果可以證明該組織未能故意公開證據，則處罰會更高。” （本州馬里索夫）電子發現參考模型可幫助組織與電子發現要求保持一致。
以下是常見的發現手段：

1. 要求詢問質詢
2. 要求出示文件和物品
3. 入學要求
4. 存款
   發現 是 訴訟的預審階段，在這一階段中，每一方通過民事訴訟規則 ，通過從對方和其他方獲得證據的方式，通過包括請求訊問答复，請求詢問在內的發現設備 ，來調查案件的事實。 用於文件和物品的生產，要求入場和交存。
   資料來源： HG.org

為了獲得對手擁有的信息，或者即使在其他地方也可以從對手那裡獲得的信息，也很容易從對手那裡獲得，一方可以宣誓面談另一方，這稱為證言；提出書面問題，稱為審訊；要求出示文件或其他物理證據；要求另一方進行身體檢查；並要求另一方承認與訴訟有關的事實真相。
資料來源： Feinman，Jay M.。Law 101（p。120）。牛津大學出版社。Kindle版。

停止銷毀通知，認股權證和傳票（Cease Destruction Notice, Warrant, and Subpoena）
在法律領域，術語“發現”是查找和披露可能構成證據的任何信息的概念。發現可以用於收集刑事或民事訴訟的證據。例如，當一個組織收到來自監管機構/執法實體的授權書或傳票以披露與X有關的任何信息時，或者當該組織收到原告的通知，稱該組織正在被起訴X時，該組織必須依法進行，仔細檢查所有數據，找到與X有關的材料，然後將其交付給代理商/原告。即使不經意間也沒有公開證據是犯罪，如果可以證明該組織沒有故意公開證據，則處罰會更高。
電子調查的過程甚至在調查/訴訟開始之前就已經開始；一旦組織收到通知，表示正在調查或提起訴訟（即在收到逮捕令或傳票之前），則組織必須開始進行電子發現的準備工作。該通知稱為許多事項：停止銷毀通知，記錄保留通知，訴訟保留通知，合法保留，以及類似的字詞。通知組織後，它必須停止組織中的所有數據銷毀活動。這包括法規，內部政策或其他法律規定的所有數據銷毀要求。在美國，在起訴/訴訟期間，由國會決定的聯邦證據規則將取代所有其他指示，並且該組織無法銷毀任何數據。銷毀被視為證據的數據或被認為是證據的數據被稱為“誹謗”，也屬於犯罪行為。
資料來源：馬里索，本。如何通過INFOSEC考試：通過SSCP，CISSP，CCSP，CISA，CISM，Security +和CCSK的指南（第31-32頁）。調整不良的作品。Kindle版。

電子發現（Electronic discovery）
電子發現或“電子發現”是指發現以電子格式存儲的信息（通常稱為電子存儲信息或ESI）。

證據（Evidence）
“可接納性”的概念
可接受的證據應具有相關性，實質性和能力。
基本上，如果要在法庭上接納證據，則證據必須是相關的，重要的和有能力的。要被認為是相關的，它必須具有某種合理的趨勢來幫助證明或反對某些事實。它不必確定事實，但是至少它必須傾向於增加或減少某些事實的可能性。
一旦被認定為相關證據，事實發現者（法官或陪審團）將確定適當的權重以提供特定的證據。如果提供給定的證據來證明案件中有爭議的事實，則該證據被認為是重要的。如果證據符合某些傳統的可靠性概念，則被認為是“有能力的”。法院正在通過使與證據權重有關的問題逐步減少證據的勝任力規則。
資料來源：湯森路透

舉證責任(BURDEN OF PROOF)
說服力的標準不盡相同，從 大量的證據（只有足夠的證據來彌補這一平衡）到 無可置疑的證據（例如美國刑事法院）。
資料來源： 維基百科

參考
. 法律證據
. 調查類型
. 什麼是民事案件中的發現？
. 證據：“可接納性”的概念
. 美國律師»司法101
. 發現請求和懇求準備

資料來源： Wentz Wu QOTD-20210226

即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼，HTTP仍以明文形式傳輸編碼，並依靠HTTPS來實施安全性。
密碼（Cipher）和代碼(Codes)不同。從字面上看，代碼取決於代碼簿(codebook)的保密性，而不是取決於密鑰的混淆。Base64使用公共映射表。

哈希或消息身份驗證代碼（MAC）是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia：

參考
. 基本訪問認證
. Base64
. 代碼（密碼學）

資料來源： Wentz Wu QOTD-20210225

在這四個選項中，開發信息安全管理系統（ISMS）是最合適，最關鍵的。ISMS從管理承諾和政策開始，這些承諾和政策推動信息安全，以滿足利益相關者（或利益相關方）的保護需求和安全要求。它涵蓋了網絡訪問控制，IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的，但還不夠，也不是優先事項。
. 將安全性集成到IT流程中是必要的，但還不夠。無論CISO向哪個角色報告，他（她）都應確保安全功能支持業務，並將安全集成到“所有”組織流程中，而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派，否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務，而不僅僅是IT，安全或保證流程。首席執行官，首席運營官或委員會更合適。如下圖所示，CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。

資料來源： Wentz Wu QOTD-20210224

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是，這不是一個好主意，因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此，請使用本地實用程序生成密鑰對，例如OpenSSL，ssh_keygen，IIS管理器，MMC的證書管理單元（Microsoft管理控制台）。
僅將包含公共密鑰（不包含密鑰對）的證書籤名請求發送到CA（或專門用於註冊機構），因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中，但證書僅包含公鑰。例如，“ PKCS＃12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” （維基百科）

證書簽名請求（CSR）
在公鑰基礎結構（PKI）系統中，證書籤名請求（也是CSR或證明請求）是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰，標識信息（例如域名）和完整性保護（例如數字簽名）。
在創建CSR之前，申請人首先生成一個密鑰對，將私鑰保密。CSR包含標識申請人的信息（例如，在X.509證書的情況下為專有名稱），該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明，證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源：維基百科

X.509證書

-X.509證書格式

參考
. 證書籤名請求
. PKCS 12

資料來源： Wentz Wu QOTD-20210223

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

儘管夾層玻璃比鋼化玻璃更安全，但價格更高。儘管如此，法規要求仍可能會影響各國安全玻璃的安裝。而且，作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果，最初的問題是：“以下哪個是店面或購物櫥窗中最常用的安全玻璃？” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性？”

退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia：
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域，夾層玻璃通常用於外部店面，幕牆和窗戶。

-破碎的夾層安全玻璃，中間層暴露在圖片的頂部（來源：維基百科）

鋼化玻璃用於各種苛刻的應用中，包括乘用車窗戶，淋浴門，建築玻璃門和桌子，冰箱托盤（作為防彈玻璃的組成部分），潛水面罩以及各種類型的盤子和炊具。

-破碎的鋼化玻璃顯示出顆粒狀的形狀（來源：維基百科）

近年來，已經出現了既可以提供防火等級又可以提供安全等級的新材料，因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
. 安全玻璃
. 什麼是安全玻璃？
. 砸玻璃！比較層壓與回火
. 有線玻璃
. 夾絲玻璃，安全嗎？
. 傳統夾絲玻璃的危害
. 破碎玻璃
. 退火（玻璃）
. 退火與回火
. CM 113 –第30章
. 夾層安全玻璃

資料來源： Wentz Wu QOTD-20210222

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

知識產權具有所有者，否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權（IP）。” （WIPO）您的公司可能沒有製造參數作為知識產權的所有權，因為OEM客戶通常在合同中要求所有權。如果是這樣，您的公司可能會被要求承擔保護生產參數保密性的義務，而不是商業秘密權。因此，在主張知識產權之前，應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常，必須完成三個步驟，才能使某項信息成為商業秘密：
–保密：該信息必須具有足夠的機密性，即通常不為人所知或難以編譯的信息。請注意，與公司客戶有關的機密個人信息受隱私法保護，不受商業秘密法保護。
–具有商業價值：信息必須為所有者提供競爭優勢或某種經濟利益，因為它是秘密的-而不是因為其固有的優點。
–合理措施：所有者必須採取合理的安全措施來維護信息的保密性。
資料來源：WIPO

參考
. 獲取知識產權：商業秘密
. 常見問題：商業秘密基礎

資料來源： Wentz Wu QOTD-20210221

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

資料分類是評估資料的業務價值或其重要性和對利益相關者的意義，以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值，例如保密性，完整性，可用性，收入損失，購買成本，機會成本等。分類方案，最高機密，機密，機密是一項法規要求（執行命令） 12356）。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。

參考
. 外國所有權控製或影響：FOCI補充資料表
. CMMI：國防部的觀點
. 什麼是CMMI？優化開發流程的模型
. 了解和利用供應商的CMMI®努力：收購者指南（V1.3修訂版）

資料來源： Wentz Wu QOTD-20210220

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文