分類
CISM CISSP

常見的BIA術語(Common BIA Terminologies)

https://ithelp.ithome.com.tw/upload/images/20210419/20132160DoiccEIOEF.jpg

NIST SP 800-34的第一個版本使用術語最大允許中斷(Maximum Allowable Outage:MAO)來描述信息系統的停機時間閾值。為了進一步描述業務流程和信息系統的停機時間,使用了最大容許停機時間(Maximum Tolerable Downtime:MTD)和恢復時間目標( Recovery Time Objective:RTO)術語。
這裡的停機時間是指業務流程的中斷,而停機則強調信息系統的不可用性。諸如停機,中斷和中斷之類的術語可以互換使用,允許,可接受和可容忍的術語也可以互換使用。最大容許停機時間(Maximum Tolerable Downtime:MTD)也稱為最大容許中斷時間( Maximum Tolerable Period of Disruption:MTPD),最大容許中斷(Maximum Allowable Outage :MAO)也稱為最大容許中斷( Maximum Tolerable Outage :MTO)。
由於各種方法或方法可能會不同地定義這些術語並導致溝通不暢,因此本文中的圖演示了一種場景,該場景介紹了在業務影響分析中使用的通用語言。

可接受的中斷窗口(Acceptable Interruption Window:AIW)
可接受的中斷窗口(AIW)是“在損害企業業務目標的實現之前,系統不可用的最長時間。” (ISACA,2019年)
AIW也稱為最大容許停機時間(MTD)或最大容許中斷時間(MTPD)。但是,ISACA的定義強調“系統”,而MTD或MTPD是一個商業術語,著眼於業務流程或優先活動的中斷。

工作恢復時間(Work Recovery Time :WRT)
工作恢復時間(WRT)是“恢復和修復系統後,恢復丟失的數據,工作積壓和手動捕獲的工作所需的時間長度”
。(BRCCI,2019)
WRT通常與恢復點目標(RPO)有關。RPO越短;WRT越快。維修時間和WRT之和應小於恢復時間目標(RTO)。

恢復時間目標(Recovery Time Objective:RTO)
恢復時間目標(RTO)是“災難發生後恢復業務功能或資源所允許的時間。”
 (ISACA,2019年)
業務功能或資源的恢復意味著它既滿足ROP和服務交付目標(SDO),又受最大允許中斷(MTO)的約束;它會使用最新數據進行恢復,並在MTO的約束下以適當的服務水平運行。

恢復點目標(Recovery Point Objective:RPO)
恢復點目標(RPO)是“根據操作中斷情況下可接受的數據丟失來確定的“
。它指示恢復數據可接受的最早時間點。RPO有效地量化了發生中斷時允許的數據丟失量。” (ISACA,2019年)
RPO推動了恢復或備用站點和備份策略的設計。它還會影響工作恢復時間(WRT)。

服務交付目標(Service Delivery Objective :SDO)
服務交付目標(SDO)與業務需求直接相關,它是在備用模式下直到恢復正常情況之前要達到的服務水平。
(ISACA,2019年)
當系統在RTO和RPO中恢復時,它將以備用模式運行,在該模式下,系統應提供足夠的服務水平並滿足SDO。

最大容許中斷(Maximum Tolerable Outage :MTO)
最大容許中斷(MTO)是企業可以支持備用模式下的處理的最長時間。
(ISACA,2019年)
備用模式不適用於長期運行。MTO為業務連續性解決方案設定過渡到正常模式的時間段目標。

最大容許停機時間(Maximum Tolerable Downtime:MTD)
請參閱可接受的中斷窗口(AIW)。

參考
最低業務連續性目標:BIA的灰姑娘…

資料來源: Wentz Wu網站

分類
CISSP

Base64

即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼,HTTP仍以明文形式傳輸編碼,並依靠HTTPS來實施安全性。
密碼(Cipher)和代碼(Codes)不同。從字面上看,代碼取決於代碼簿(codebook)的保密性,而不是取決於密鑰的混淆。Base64使用公共映射表。

哈希或消息身份驗證代碼(MAC)是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia
https://ithelp.ithome.com.tw/upload/images/20210419/20132160VQrklWI9Bx.png

參考
基本訪問認證
Base64
代碼(密碼學)

資料來源: Wentz Wu QOTD-20210225

分類
CISSP

計算機應急響應小組

計算機應急響應小組(英語:Computer Emergency Response Team,縮寫CERT),又名計算機安全事件應急響應小組(英語:Computer Security Incident Response Team,縮寫CSIRT),是對一個固定範圍的客戶群內的安全事件進行處理、協調或提供支持的一個團隊 [1]

資料來源:https://zh.wikipedia.org/wiki/%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E5%B0%8F%E7%BB%84

分類
CISSP

作為CISO最關鍵的任務-開發資訊安全性管理系統

在這四個選項中,開發信息安全管理系統(ISMS)是最合適,最關鍵的。ISMS從管理承諾和政策開始,這些承諾和政策推動信息安全,以滿足利益相關者(或利益相關方)的保護需求和安全要求。它涵蓋了網絡訪問控制,IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的,但還不夠,也不是優先事項。
. 將安全性集成到IT流程中是必要的,但還不夠。無論CISO向哪個角色報告,他(她)都應確保安全功能支持業務,並將安全集成到“所有”組織流程中,而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派,否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務,而不僅僅是IT,安全或保證流程。首席執行官,首席運營官或委員會更合適。如下圖所示,CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。
https://ithelp.ithome.com.tw/upload/images/20210416/20132160lu9Pp3L3O4.jpg

資料來源: Wentz Wu QOTD-20210224

分類
CISSP

證書簽名請求(CSR)

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成密鑰對,例如OpenSSL,ssh_keygen,IIS管理器,MMC的證書管理單元(Microsoft管理控制台)。
僅將包含公共密鑰(不包含密鑰對)的證書籤名請求發送到CA(或專門用於註冊機構),因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中,但證書僅包含公鑰。例如,“ PKCS#12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” (維基百科

證書簽名請求(CSR)
在公鑰基礎結構(PKI)系統中,證書籤名請求(也是CSR或證明請求)是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。
在創建CSR之前,申請人首先生成一個密鑰對,將私鑰保密。CSR包含標識申請人的信息(例如,在X.509證書的情況下為專有名稱),該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明,證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源:維基百科

X.509證書
https://ithelp.ithome.com.tw/upload/images/20210415/20132160hFHsc8OUiP.jpg
-X.509證書格式

參考
證書籤名請求
PKCS 12

資料來源: Wentz Wu QOTD-20210223

分類
CISM CISSP Project Management

責任分配矩陣

責任分配矩陣[1] RAM),也被稱為RACI矩陣[2] 線性職責表[3] LRC),描述了通過各種參與角色在完成任務交付用於項目業務流程。RACI是首字母縮寫詞,它是從最常用的四個主要職責衍生而來的:負責負責諮詢告知[4] 用於澄清和定義跨職能或部門項目和流程中的角色和職責。[5] RACI模型有很多替代方案。

RACI模型中的主要責任角色[編輯]

角色區分[編輯]

角色和個人識別的人之間有一個區別:角色是一組相關任務的描述;角色是一組相關任務的描述。可能由很多人表演;一個人可以扮演許多角​​色。例如,一個組織可能有十個人可以擔任項目經理,儘管傳統上每個項目在任何時候都只有一個項目經理。能夠擔任項目經理的人也可能能夠擔任業務分析員測試員的角色。R =負責人(也是推薦人)那些完成任務的工作。[6]至少有一個角色是負責任的參與類型,儘管可以委派其他角色來協助所需的工作(另請參見下面的RASCI,以分別標識參與支持角色的人員)。A =負責(也是批准人最終批准人)一個人最終負責正確,徹底地完成可交付成果或任務,一個人確保滿足任務的先決條件,並將工作委託給負責人[6]換句話說,負責人必須簽字(批准)負責人提供的工作。這裡必須只有一個負責為每個任務或交付指定。[7]C =諮詢(有時是顧問律師)徵求意見的人,通常是主題專家;與之進行雙向交流。[6]I =知情的(也是被告)那些僅在完成任務或交付時就保持最新狀態的人員;與之只有一種單向的溝通。[6]

很多時候,這是角色負責的任務或交付也可能是負責完成它(在由具有角色的任務或交付的矩陣表示負責的,但沒有任何作用負責其完成,也就是說,它是隱含的)。除此例外之外,通常建議項目或流程中每個任務的每個角色最多只接受一種參與類型。在顯示了多個參與類型的情況下,這通常意味著參與尚未完全解決,這可能會妨礙此技術在闡明每個角色對每個任務的參與上的價值。

資料來源:https://en.wikipedia.org/wiki/Responsibility_assignment_matrix

分類
CISSP

安全玻璃(Safety Glass)

儘管夾層玻璃比鋼化玻璃更安全,但價格更高。儘管如此,法規要求仍可能會影響各國安全玻璃的安裝。而且,作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果,最初的問題是:“以下哪個是店面或購物櫥窗中最常用的安全玻璃?” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性?”

退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域,夾層玻璃通常用於外部店面,幕牆和窗戶。
https://ithelp.ithome.com.tw/upload/images/20210414/20132160rGETuXNa9B.jpg
-破碎的夾層安全玻璃,中間層暴露在圖片的頂部(來源:維基百科)

鋼化玻璃用於各種苛刻的應用中,包括乘用車窗戶,淋浴門,建築玻璃門和桌子,冰箱托盤(作為防彈玻璃的組成部分),潛水面罩以及各種類型的盤子和炊具。
https://ithelp.ithome.com.tw/upload/images/20210414/20132160ezGxVt3HZz.jpg
-破碎的鋼化玻璃顯示出顆粒狀的形狀(來源:維基百科)

近年來,已經出現了既可以提供防火等級又可以提供安全等級的新材料,因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
安全玻璃
什麼是安全玻璃?
砸玻璃!比較層壓與回火
有線玻璃
夾絲玻璃,安全嗎?
傳統夾絲玻璃的危害
破碎玻璃
退火(玻璃)
退火與回火
CM 113 –第30章
夾層安全玻璃

資料來源: Wentz Wu QOTD-20210222

分類
CISSP

智慧財產的角度-保護生產參數應該思考的最關鍵問題

知識產權具有所有者,否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權(IP)。” (WIPO)您的公司可能沒有製造參數作為知識產權的所有權,因為OEM客戶通常在合同中要求所有權。如果是這樣,您的公司可能會被要求承擔保護生產參數保密性的義務,而不是商業秘密權。因此,在主張知識產權之前,應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常,必須完成三個步驟,才能使某項信息成為商業秘密:
–保密:該信息必須具有足夠的機密性,即通常不為人所知或難以編譯的信息。請注意,與公司客戶有關的機密個人信息受隱私法保護,不受商業秘密法保護。
–具有商業價值:信息必須為所有者提供競爭優勢或某種經濟利益,因為它是秘密的-而不是因為其固有的優點。
–合理措施:所有者必須採取合理的安全措施來維護信息的保密性。
資料來源:WIPO

參考
獲取知識產權:商業秘密
常見問題:商業秘密基礎

資料來源: Wentz Wu QOTD-20210221

分類
CISSP

802.1X 概述與 EAP 類型

802.1X 概述

802.1X 是一種連接埠存取通訊協定,保護經由驗證的網路。因此,由於此類媒體的本質,這種驗證方法的類型在 Wi-Fi 網路環境中非常好用。如果有某個 Wi-Fi 使用者經由 802.1X 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。

802.1X 驗證有三項基本要件:

  1. 申請者在 Wi-Fi 工作站上執行的軟體用戶端
  2. 驗證者 Wi-Fi 存取點
  3. 驗證伺服器驗證資料庫,通常是一個 RADIUS 伺服器,例如 Cisco ACS*、Steel-Belted RADIUS* 或 Microsoft IAS*

申請者 (Wi-Fi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型實際上處理和定義身份驗證。作為驗證者的存取點只是一個代理者,讓申請者與驗證伺服器能夠進行通訊。

我應該使用哪些?

要實施哪一種 EAP 類型,或是到底要不要實施 802.1X,取決於公司需要的安全性等級,以及願意投入的管理間接成本和功能。希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。

可延伸驗證通訊協定 (EAP) 驗證類型

因為 Wi-Fi 區域網路 (WLAN) 的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全,所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多,其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。

  • EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 Wi-Fi 區域網路的實際配置上,因為有可能推斷出使用者的密碼。它只適合作為單向的驗證;Wi-Fi 用戶端與網路之間沒有相互驗證的機制。而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
  • EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言,這可能是非常累贅而麻煩的工作。
  • EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型,作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
  • EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。而不是使用憑證執行相互驗證。EAP-FAST 透過 PAC (受保護的存取憑據) 進行驗證,而 PAC 可透過驗證伺服器動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內,透過無線方式進行散佈。
  • GSM 用戶識別模組 (EAP-SIM) 的「可延伸驗證通訊協定方式」是驗證機制和作業階段金鑰分配。它使用全球行動通訊系統 (GSM) 訂用者身分模組 (SIM)。EAP-SIM 使用從用戶端介面卡和 RADIUS 伺服器衍生出的動態作業階段為基礎的 WEP 金鑰來加密資料。EAP-SIM 需要您輸入使用者驗證碼或 PIN,才能與用戶識別模組 (SIM) 卡通訊。SIM 卡是特別的智慧卡,用於 “全球行動通訊系統” (GSM) 數位行動網路。
  • EAP-AKA (適用 UMTS 驗證與金鑰協議的延伸驗證通訊協定方法) 是驗證與作業階段金鑰分配的 EAP 機制,使用全球行動通訊系統 (UMTS) 用戶識別模組 (USIM)。USIM 卡是使用行動網路的特殊智慧卡,使用網路來驗證指定的使用者。
  • LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet* WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
  • PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 Wi-Fi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS),PEAP 只使用伺服器端的憑證來驗證 Wi-Fi 區域網路用戶端,因此可以簡化安全 Wi-Fi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。

回顧以上討論與對照表,通常可以得出下列結論:

  • MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
  • TLS 雖然非常安全,但需要在每台 Wi-Fi 工作站上安裝用戶端憑證。PKI 基礎架構的維護,除了維護無線區域網路本身的需求外,還要額外的系統管理專業與時間。
  • TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。Funk Software* 是 TTLS 的主要提倡者,要求者和驗證伺服器軟體均收取費用。
  • LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco Wi-Fi 網路卡使用),但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。
  • 對於無法強制執行複雜密碼政策,也不想要部署憑證進行驗證的企業,如今可以選擇使用 EAP-FAST。
  • 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。

另一個選擇是 VPN

許多企業並不仰賴 Wi-Fi 區域網路進行驗證與隱私保護 (加密),而是執行 VPN。這個方法是在企業防火牆外面放置存取點,並且讓使用者經由「VPN 閘道」穿進來,就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。

資料來源:https://www.intel.com.tw/content/www/tw/zh/support/articles/000006999/wireless/legacy-intel-wireless-products.html

分類
CISSP

資料分類(Data classification)

資料分類是評估資料的業務價值或其重要性和對利益相關者的意義,以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值,例如保密性,完整性,可用性,收入損失,購買成本,機會成本等。分類方案,最高機密,機密,機密是一項法規要求(執行命令) 12356)。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。

參考
外國所有權控製或影響:FOCI補充資料表
CMMI:國防部的觀點
什麼是CMMI?優化開發流程的模型
了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)

資料來源: Wentz Wu QOTD-20210220