Choson資安大小事從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。
-安全核心
在自主訪問模型 (DAC) 中,數據所有者負責保護委託數據、對其進行分類,並根據需要知道和最小權限原則做出授權決策。
數據保管人負責執行數據所有者做出的授權決定。受信任的計算機系統將授權保存在稱為訪問控制矩陣 (ACM) 的數據結構中。Take-Grant保護模型是操縱ACM的理論之一。
可信計算機系統中的安全核心強制執行訪問控制(身份驗證、授權和記帳)。符合 TCSEC C 部門標準的可信計算機系統支持 DAC,而符合 B 部門標準的可信計算機系統支持 MAC。DAC 系統基於身份並依賴於 ACM。它不會引用對象的安全許可或對象的標籤。
資料來源: Wentz Wu QOTD-20211107
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
各位大學生好,優秀的各位未來都是要進入職場的精英,但是在職場上需有許多專業技能,
如果是想進入資訊產業或職位,建議先打好以下基礎:
此文章來至Wentzwu網站QOTD 20111106,文章如下:
-CIA 和 DAD(圖片來源:Thor Pedersen)
資產分類通常根據商業價值確定資產的重要性或優先級,可以從機密性、完整性、可用性、購買/歷史成本、收入損失、機會成本等方面進行評估。分類方案是關鍵工具對資產進行分類。在資產被正確分類後,安全控制的範圍和定制。
這個問題中提到的分類方案(機密性、私人性、敏感性和公共性)是以機密性為中心的,並且在私營部門中普遍使用。鑑於分類方案,洩露機密性的信息是主要關注點。
-分類方案
資料來源: Wentz Wu QOTD-20211106
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-Kerberos 操作(來源:Fulvio Ricciardi)
第一個 Kerberos 消息是 AS_REQ,如上圖所示。根據維基百科,“客戶端將用戶 ID 的明文消息發送到代表用戶請求服務的 AS(身份驗證服務器)。(注意:密鑰和密碼都不會發送到 AS。)”
Fulvio Ricciardi詳細解釋了 Kerberos 的工作原理。
參考
. Kerberos(協議)
. RFC 4120:Kerberos 網路身份驗證服務 (V5)
. Kerberos(Wireshark 捕獲文件)
. 加密類型
. Kerberos 版本 5 身份驗證協議的工作原理
資料來源: Wentz Wu QOTD-20211103
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-軟體運行環境
與 JavaScript、C# 和 Java 不同,C 語言提供編程結構來直接控制硬體並調用操作系統提供的服務。例如,“指針(pointer)”用於操作靜態或動態分配的內存。
使用 JavaScript、C# 和 Java 開發的應用程序是託管應用程序,並在運行時環境或沙箱中執行。例如,基於 .NET 框架的 C# 應用程序(編譯為 MSIL)、Java 虛擬機 (JVM) 中的 Java 應用程序以及瀏覽器或 Node.js 運行時中的 JavaScript。
託管應用程序中可能會發生緩衝區溢出。但是,它們通常由運行時或沙箱很好地管理。C 應用程序自己管理內存;它們更容易受到緩衝區溢出攻擊。
資料來源: Wentz Wu QOTD-20211102
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
安全框架(framework)的目的之一是根據安全要求指導控制措施(control)的選擇,以保護資訊系統。 關於安全框架,以下哪項是正確的? (Wentz QOTD)
A. 框架設定了組織要遵循的標準
B. 框架應盡可能詳盡
C. 框架可能導致強制性實踐
D. 各種框架不應同時採用
One of the security framework’s purposes is to guide the selection of controls based on security requirements to secure information systems. Which of the following is correct about security frameworks? (Wentz QOTD)
A. A framework sets the standard for organizations to follow
B. A framework should be as exhaustive as possible
C. A framework may lead to mandatory practices
D. Various frameworks should not be adopted simultaneously
老師的回覆:
A. A framework sets the standard for organizations to follow => framework是範本/懶人包, 不是標準
B. A framework should be as exhaustive as possible => 應儘量簡單, 易用, 不要太繁索
C. A framework may lead to mandatory practices => framework可能最後會導致/發展出強制性的實務作法
D. Various frameworks should not be adopted simultaneously => 一個組織實際上反而都是導入多個框架, 解決不同需求.
資料來源: Wentz Wu QOTD-20210922
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
感謝EthanSoo老師的教導,資安恩師 Wentz Wu給予機會來學習Scrum,也謝謝 Kaitlyn Peng & Joy Liao &Ray Lin的協助與指導,才能讓我成為Scrum的小白。
According to Bruce Schneier, there are four general types of cryptanalytic attacks, each of which assumes that the cryptanalyst has complete knowledge of the encryption algorithm. Which of the following emphasizes that the cryptanalyst’s job is to recover the plaintext of as many messages as possible, or better yet to deduce the key (or keys) used to encrypt the messages, in order to decrypt other messages encrypted with the same keys? (Wentz QOTD)
A. Ciphertext-only attack
B. Known-plaintext attack
C. Chosen-plaintext attack
D. Chosen-ciphertext attack
根據 Bruce Schneier 的說法,有四種一般類型的密碼分析攻擊,每一種都假設破密分析者完全了解加密算法。 以下哪項強調破碼分析員的工作是盡可能多地恢復消息的明文,或者更好地推斷用於加密消息的密鑰(或多個密鑰),以便解密使用相同密鑰加密的其他消息? (Wentz QOTD)
A. 只有密文攻擊
B. 已知明文攻擊
C. 選擇明文攻擊
D. 選擇密文攻擊
建議答案為A
根據密碼學大學Bruce Schneier的說法, 只有密文攻擊, 已知明文攻擊, 選擇明文攻擊, 及選擇密文攻擊等都可以用來破解Key(即deduce the key), 但有二個是比較特別的:
資料來源:https://wentzwu.com/2022/03/21/cissp-practice-questions-20220321/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
以下哪個是可路由協議? (Wentz QOTD)
A. SPX
B. NetBEUI
C. IPv4
D. BGP
我建議的答案是C. IPv4。
Routing跟routed,前者是主動,後者是被動。rip, ospf是routing protocol, 而ip是routed protocol.
資料來源:https://wentzwu.com/2021/09/26/cissp-practice-questions-20210926/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文