分類: CISSP

-示例 XACML 實現
XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X，又名 EAP over LAN，是一種基於 EAP 的網路存取控制標準。HTTP Basic Authentication 是一種純文本的身份驗證方案；但是，它可以受到 TLS/SSL 的保護。

XACML 代表“可擴展存取控制標記語言”。該標准定義了一種聲明性的細粒度、基於屬性的存取控制策略語言、一種體系結構和一個處理模型，描述瞭如何根據策略中定義的規則來評估存取請求。
作為已發布的標準規範，XACML 的目標之一是促進多個供應商的存取控制實現之間的通用術語和互操作性。XACML 主要是基於屬性的存取控制系統 (ABAC)，也稱為基於策略的存取控制 (PBAC) 系統，其中與用戶或操作或資源相關聯的屬性（數據位）被輸入到決定是否給定用戶可以以特定方式存取給定資源。基於角色的存取控制 (RBAC) 也可以在 XACML 中實現，作為 ABAC 的專門化。
XACML 模型支持並鼓勵將執行 (PEP) 與決策 (PDP) 與授權的管理/定義 (PAP) 分離。當訪問決策在應用程序中硬編碼（或基於本地機器用戶 ID 和存取控制列表 (ACL)）時，當管理策略發生變化時很難更新決策標準，並且很難實現對應用程序的可見性或審計授權到位。當客戶端與存取決策分離時，授權策略可以即時更新並立即影響所有客戶端。
資料來源：維基百科

資料來源： Wentz Wu QOTD-20211010

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

PKI 證書編碼(PKI Certificate Encoding)
X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是，通常有兩種編碼模式用於將數字證書存儲在文件中：
可分辨編碼規則 (Distinguished Encoding Rules:DER) – 最常見，因為架構處理大多數數據對象。DER 編碼的證書是二進製文件，不能被文本編輯器讀取，但可以被 Web 瀏覽器和許多客戶端應用程序處理。
隱私增強郵件 (Privacy Enhanced Mail:PEM) – 一種加密的電子郵件編碼模式，可用於將 DER 編碼的證書轉換為文本文件。
資料來源：Sectigo

參考
. 什麼是 X.509 證書及其工作原理？
. SSL 證書文件擴展名說明：PEM、PKCS7、DER 和 PKCS#12
. 數字證書

資料來源：Wentz Wu QOTD-20211009

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

在部署基於容器的應用程序時，我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施，集成和測試已完成，並且已授予操作授權 (ATO)。使用編排器有效地部署基於容器的應用程序依賴於良好的配置管理。
當您使用容器編排工具時，例如 Kubernetes 或 Docker Swarm（稍後會詳細介紹），您通常會在 YAML 或 JSON 文件中描述應用程序的配置，具體取決於編排工具。
這些配置文件（例如 docker-compose.yml）是您告訴編排工具在哪裡收集容器鏡像（例如，從 Docker Hub）、如何在容器之間建立網絡、如何掛載存儲卷以及在哪裡收集容器鏡像的地方。存儲該容器的日誌。
通常，團隊將對這些配置文件進行分支和版本控制，以便他們可以在不同的開發和測試環境中部署相同的應用程序，然後再將它們部署到生產集群。
資料來源：艾薩克·埃爾德里奇(Isaac Eldridge)

基礎設施即代碼 (Infrastructure as Code :IaC)
不可變的基礎設施是可編程的，可以實現自動化。基礎設施即代碼 (IaC) 是現代基礎設施的關鍵屬性之一，其中應用程序可以以編程方式提供、配置和利用基礎設施來運行自己。
資料來源：新堆棧(thenewstack)

參考
. 什麼是容器編排？
. 什麼是容器編排？(虛擬機)
. 什麼是容器編排？(IBM)

資料來源： Wentz Wu QOTD-20211008
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-層與層（Layer vs Tier）
前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策，這通常發生在客戶端。但是，攻擊者可能不會從表示層發起 SQL 注入，而是直接將帶有註入代碼的輸入提交到服務器端並繞過用戶界面。
輸入驗證應在客戶端和服務器端應用。參數化的 SQL 查詢可以在業務邏輯層或數據訪問層實現；這兩層都位於服務器端。
安全意識和培訓不是技術控制。

資料來源： Wentz Wu QOTD-20211006

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

在一個電信行業的技術詞彙，它是指為了向用戶提供（新）服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。
「服務開通」常常出現在有關虛擬化、編配、效用計算、雲計算和開放式配置的概念和項目的上下文中。例如，結構化信息標準促進組織（Organization for the Advancement of Structured Information Standards，簡稱OASIS）開通服務技術委員會（Provisioning Services Technical Committee，簡稱PSTC），為交換用戶、資源和服務開通信息定義了一個基於可擴展標記語言（Extensible Markup Language，簡稱XML）的框架，例如，用於「在機構內部或之間管理身份信息和系統資源的服務開通和分配」的服務開通標記語言（Service Provisioning Markup Language，簡稱SPML）：維基百科

參考
. 服務開通

資料來源： Wentz Wu QOTD-20210929

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-資料和系統所有者
將“資料所有者“（data owner）和“資料控制者”（data controller）一視同仁的情況並不少見。然而，事實並非如此。資料控制者專門用於個人資料和隱私的上下文中，而資料所有者通常意味著組織擁有資料的所有權，並且資料所有者負責保護他所委託的資料。
這個問題都是關於個人資料資料資料的保護，引用了 GDPR 中的文字，所以“資料資料控制者”比“資料所有者”更合適。可以直接或間接識別的人意味著資料主體。
Art. 4 GDPR 定義“個人資料”是指與已識別或可識別的自然人（“數據主體”）相關的任何信息；可識別的自然人是可以直接或間接識別的自然人，特別是通過參考諸如姓名、識別號、位置資料、在線標識符或特定於身體、生理、該自然人的基因、精神、經濟、文化或社會身份；
Art. 24 GDPR 控制者的責任：考慮到處理的性質、範圍、背景和目的以及自然人權利和自由的不同可能性和嚴重程度的風險，控制者應實施適當的技術和組織措施，以確保並且能夠證明處理是按照本條例進行的。 這些措施應在必要時進行審查和更新。
資料來源：GDPR

參考
. Art. 4 GDPR 定義

資料來源： Wentz Wu QOTD-20210928

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-計算機架構
CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出（立即尋址）、從寄存器讀取（寄存器尋址）或從主存儲器加載（直接、間接、基址+偏移）。
一條指令可以通過以下方式指示 CPU 將值加載到寄存器中：

1. 提供值所在的內存地址（直接尋址），
2. 提供指向值所在的另一個內存地址的內存地址（間接尋址），或
3. 提供內存地址作為基址（起點）和值所在的偏移量（距離）（基址+偏移量尋址）。
   
   -運算符和操作數
   
   -進程的內存佈局

參考
. 尋址方式
. 尋址模式和指令周期

資料來源： Wentz Wu QOTD-20210920

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-VPN 和 EAP

-EAP 協議比較

803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證，而 RAIDUS 是身份驗證器（RADIUS 客戶端）和身份驗證服務器（RADIUS 服務器）之間使用的協議。在 802.1X 的設置中不使用 Kerberos。
EAP-TLS 和 PEAP 都可以使用。但是，EAP-TLS 要求在客戶端和 AP 上都安裝證書以支持相互身份驗證。它提供了更高的安全性，但會增加證書管理的開銷。PEAP 重溫開銷；它只需要 AP 安裝證書。

資料來源： Wentz Wu QOTD-20210919

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-數位簽章
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。
. 使用 SHA 生成合約的消息驗證碼，確保數據來源的真實性。
. Bob 的公鑰加密的合約摘要不是 Alice 的數字簽名。
. 使用 Diffie-Hellman 同意的密鑰生成合同摘要的密文是一種干擾。Diffie-Hellman 用於密鑰協商/交換而不是加密。
數位簽章可確保不可否認性、數據完整性和真實性。從技術上講，數位簽章只不過是由主體的私鑰簽章的對象的哈希值。

-FISMA的完整性

-FISMA CIA

FIPS 186-4 批准了三種技術：DSA、RSA DSA 和 ECDSA，如下圖所示：

不可否認性(Non-repudiation)

. 不可否認性具有技術和法律意義。 技術不可否認 可以通過數位簽章實現，而 法律不可否認 是具有法律約束力的。
. 具有法律約束力的數位簽章是電子簽章的一種形式。但是，並非所有數位簽章都具有法律約束力。

參考
. 不可否認性
. CISSP 實踐問題 – 20210320
. CISSP 實踐問題 – 20210705

資料來源： Wentz Wu QOTD-20210917

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-治理結構

-波特的價值鏈
職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成，以支持運營和交付價值。
組織級別的安全功能可由任何級別的員工執行，具體取決於相關組織的規模、規模和安全意識。大公司可以設立由CISO或經理領導的專門部門負責資訊安全，而資源較少的小公司可以簡單地指派一名IT工程師或任何員工來處理資訊安全事務。
審計職能通常由董事會下屬的審計委員會指導。它是一個獨立的組織單位，可確保合規性並提供保障。審計功能不包括或管理安全功能以保持其獨立性和客觀性。
安全職能應確保資訊安全的有效性，遵守法律、法規、行業標準、合同、組織政策、道德規範等要求；它通常與審計職能分開。

參考
. 工作人員和線路
. 直線和員工組織
. 正式組織 – 直線組織
. 行組織：含義、類型、優點和缺點
. 內部審計職能
. 構建未來的內部審計職能
. AS 2605：考慮內部審計職能
. 審計部
. 什麼是安全功能
. 安全功能
. 資訊安全職能和職責

資料來源： Wentz Wu QOTD-20210911

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文