月份: 2021 年 7 月

-戰略層次
通常，CEO 負責制定公司戰略或大戰略，董事會的意見和高級管理團隊的支持。
CISO 不是製定企業戰略的主要角色，而是與企業戰略保持一致以創造價值並實現組織願景和使命的信息安全戰略。此外，他還必須定位安全職能（部門），確定其組織、角色和職責，將安全融入組織流程，支持產品和服務的持續交付（所謂的“業務連續性”），並保護信息資產以加強安全。信息安全管理系統 (ISMS) 可確保有效地制定和實施安全策略。
CISO 的匯報路線因組織而異，各有利弊，但 CISO 向 CFO 或其他高級官員匯報並非不可能。
. CISO 向 CIO 報告的安排可能會導致利益衝突。
. CISO 向 CFO 報告的安排可能會花費更多時間來交流技術內容。
. CISO 向審計職能報告的安排將對其獨立性產生不利影響。

參考
. 什麼是安全功能
. 信息安全職能和職責
. 管理安全功能：診斷版本 1 摘要
. 企業安全
. 組織中安全管理的角色
. 如何組織您的安全團隊：網絡安全角色和職責的演變
. 萬豪-數據洩露
. ICO 因未能保證客戶個人數據安全而對萬豪國際進行罰款
. 什麼是企業戰略？
. 誰負責制定公司的戰略計劃？
. 如何制定企業戰略（CEO 分享最佳技巧和工具）
. 多元化公司的戰略規劃
. 如何評估企業戰略

資料來源： Wentz Wu QOTD-202104015

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

微服務(Microservices)
微服務是一個低耦合的架構，可以通過以下方式實現重構一個單片應用，即，轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可伸縮或彈性容器或無服務器環境。

託管環境(Hosting Environment)
微服務可以通過兩種方式部署：容器化和無服務器。
容器化（Docker 主機或節點）(Containerization (Docker hosts or nodes))
容器化用於捆綁應用程序或應用程序的功能、所有依賴項及其在容器映像中的配置。此映像部署在主機操作系統上，捆綁的應用程序作為一個單元工作。
容器鏡像的概念允許我們在幾乎不做任何修改的情況下跨環境部署這些鏡像。通過這種方式，可以輕鬆快速地擴展微服務，因為新容器可以輕鬆部署用於短期目的。
Docker將用於向我們的微服務添加容器化。Docker 是一個開源項目，用於創建可以在雲端或本地的 docker 主機上運行的容器。

-來源：使用 ASP.NET Core 3.1 的微服務

無服務器(Serverless)（FaaS）
微服務具有“可擴展”的特點，但由於接口的細粒度，會導致微服務管理的高度複雜性。一個API網關或立面緩解這個問題。
無服務器減少了安裝和維護服務器作為託管環境的負擔。AWS Lambda是一種功能即服務 (FaaS) 產品，是無服務器計算中最著名的雲服務之一。

-資料來源：AWS 的無服務器微服務模式
參考
. Kubernetes 與 Docker：入門
. Node.js 中的無服務器：初學者指南
. Node.js 中的無服務器架構：開源應用的案例研究
. 無服務器和微服務：天作之合？
. 使用容器部署微服務
. 什麼是無服務器微服務？| 無服務器微服務解釋
. 適用於 AWS 的無服務器微服務模式
. 使用 ASP.NET Core 3.1 的微服務

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-可信路徑和可信通道
. 可信計算機系統(Trusted Computer System)
具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息（即機密、受控非機密信息 (CUI) 或非機密公共信息）的系統。(CNSSI 4009-2015)
. 可信計算庫 (TCB)( Trusted Computing Base)
計算機系統內保護機制的總和，包括硬件、固件和軟件，負責執行安全策略的組合。(CNSSI 4009-2015)
. 安全內核(Security Kernel)
實現參考監視器概念的可信計算基礎的安全內核硬件、固件和軟件元素。安全內核必須調解所有訪問，防止修改，並且可以驗證是否正確。(CNSSI 4009-2015)
. 可信路徑(Trusted Path)
一種機制，用戶（通過輸入設備）可以通過這種機制直接與信息系統的安全功能進行通信，並有必要的信心來支持系統安全策略。該機制只能由用戶或信息系統的安全功能激活，不可被不可信軟件模仿。(CNSSI 4009-2015)
. 可信通道(Trusted Channel)
端點已知且數據完整性在傳輸過程中受到保護的通道。根據所使用的通信協議，數據隱私可能在傳輸過程中受到保護。示例包括傳輸層安全 (TLS)、IP 安全 (IPSec) 和安全物理連接。(CNSSI 4009-2015)
. 可信平台模塊 (TPM)( Trusted Platform Module)
一種內置於某些計算機主板中的防篡改集成電路，可以執行加密操作（包括密鑰生成）並保護少量敏感信息，例如密碼和加密密鑰。(NIST SP 800-147)
. 可信恢復(Trusted Recovery)
確保在系統故障後不受影響地恢復的能力。(CNSSI 4009-2015) Common Criteria (CC) 定義了四種類型的可信恢復：手動恢復、自動恢復、沒有過度丟失的自動恢復和功能恢復。

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-ICT SCRM 支柱和可見性（來源：NIST SP 800-161）
僅當購買正版產品時，生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好，但在大多數組織中並不是強制性的。而且，仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險：

1. 插入假冒產品
2. 未經授權的生產
3. 篡改
4. 盜竊
5. 插入惡意軟件和硬件
6. 糟糕的製造和開發實踐
   這些 ICT 供應鏈風險可能包括假冒產品的插入、未經授權的生產、篡改、盜竊、惡意軟件和硬件的插入，以及ICT 供應鏈中不良的製造和開發實踐。這些風險與組織對他們獲得的技術如何開發、集成和部署以及用於確保完整性、安全性、彈性和彈性的流程、程序和實踐的可見性和理解降低有關。產品和服務的質量。
   來源：NIST SP 800-161

產品銷售和支持（Product Sales and Support****）
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。

-EOL 和 EOS：產品銷售和支持
參考
. 霍尼韋爾(Honeywell)
. 什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)？
. 產品生命週期和支持管理 – Evolis 公司政策
. EVOLIS 目錄產品：停產日期
. 思科產品生命週期終止政策

資料來源： Wentz Wu QOTD-202104014

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文