分類: CISSP

-防火牆接口和區域
防火牆通常以兩種方式調解網絡流量：基於上下文和基於區域。傳統的基於上下文的方法也稱為基於上下文的訪問控制 (CBAC)。

基於區域的防火牆(Zone-based Firewalls)
防火牆包含幾個網絡接口，可以配置或分配給區域。安全區域或簡稱區域是共享相同安全要求的防火牆接口的集合。區域之間的流量由防火牆策略控制。有關更多信息，請參閱防火牆接口、區域和層。

區域對(Zone Pairs)
區域對可以定義為一個方向上兩個區域的配對。然後將防火牆流量策略應用於區域對。防火牆流量策略在區域之間單向應用。雙向流量需要兩個區域對。但是，如果使用狀態檢查，則不需要第二個區域對，因為由於檢查而允許回复流量。
資料來源：OmniSecu

基於上下文的防火牆(Context-based Firewalls)
所述的ACL提供流量過濾和保護，直到傳輸層，同時在另一方面，CBAC提供高達應用層相同的功能。在 CBAC 配置的幫助下，路由器可以充當防火牆。
資料來源：GeeksForGeeks

基於上下文的訪問控制 (CBAC) 根據應用層協議會話信息智能過濾 TCP 和 UDP 數據包，可用於 Intranet、Extranet 和 Internet。
資料來源：黑羊網絡(BlackSheepNetworks)

Cisco IOS® 防火牆功能集的基於上下文的訪問控制 (CBAC) 功能會主動檢查防火牆後面的活動。CBAC 通過使用訪問列表（與 Cisco IOS 使用訪問列表的方式相同）指定需要允許進入的流量以及需要釋放的流量。但是，CBAC 訪問列表包括 ip inspect 語句，允許檢查協議以確保在協議進入防火牆後面的系統之前它沒有被篡改。
資料來源：思科

DNS 區域(DNS Zones)
DNS 命名空間是按層次結構或樹組織的 DNS 域名的邏輯結構。DNS 區域是 DNS 命名空間的一部分的管理結構。DNS 區域文件是區域的存儲庫。
主 DNS 服務器託管一個可寫區域，該區域可以傳輸到一個或多個輔助 DNS 服務器。輔助 DNS 服務器上的副本或副本通常是只讀的。但是，副本可以是可寫的，例如 Microsoft AD 集成的 DNS；這取決於供應商的實施。
主 DNS 服務器和輔助 DNS 服務器之間的區域傳輸使用 TCP 端口 53。它可以定期或基於通知進行。為了安全起見，主 DNS 服務器可能會維護一個輔助 DNS 服務器的白名單。
DNS 客戶端也稱為 DNS 解析器，它使用 UDP 端口 53 向 DNS 服務器發送遞歸 DNS 查詢。然後 DNS 服務器發出多個非遞歸或迭代查詢來解決來自 DNS 客戶端的查詢。

-DNS 命名空間和區域

參考
. 域名系統(維基百科）
. DNS區域傳輸
. DNSSEC – 它是什麼以及為什麼重要？
. 基於區域的防火牆基礎知識
. 網絡安全區
. 使用區域（紅帽）
. 區域對
. 基於上下文的訪問控制
. 基於上下文的訪問控制 (CBAC)
. Cisco IOS 防火牆功能集和基於上下文的訪問控制
. 基於上下文的訪問控制 (LDAPWiki)

資料來源：Wentz Wu QOTD-20210810

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-DNSSEC 資源記錄（來源：InfoBlox）
DNSSEC使用數字簽名確保DNS 數據的完整性，而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR)：
. DS（委託簽名者）
. DNSKEY（DNS 公鑰）
. RRSIG（資源記錄簽名）

DS（委託簽名者）
DS RR 包含子區域 KSK 的哈希值，可用作某些具有安全意識的解析器中的信任錨，並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示，父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值，而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源：InfoBlox

DNSKEY（DNS 公鑰）
當權威名稱服務器對區域進行數字簽名時，它通常會生成兩個密鑰對，一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。（RRset 是一組具有相同所有者、類別和類型的資源記錄。）它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名，包括它自己的記錄，並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此，一個區域通常有兩個 DNSKEY 記錄；保存 ZSK 對公鑰的 DNSKEY 記錄，以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源：InfoBlox

R RSIG（資源記錄簽名）
一個簽名區域有多個 RRset，每個記錄類型和所有者名稱一個。（所有者是RRset 的域名。）當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時，每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此，簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源：InfoBlox

參考
. DNSSEC – 回顧
. DNSSEC – 它是什麼以及為什麼重要？
. 域名系統安全擴展
. DNSSEC 的工作原理
. DNSSEC：它的工作原理和主要考慮因素
. RFC 4033：DNS 安全介紹和要求
. RFC 4034：DNS 安全擴展的資源記錄
. RFC 4035：DNS 安全擴展的協議修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 資源記錄

資料來源： Wentz Wu QOTD-20210809

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統，而不適用於特定的軟體組件。此外，它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準，它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。（維基百科）
CMMI 是一種基於過程的模型，用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求，這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)

參考
. 批准的保護配置文件
. 認證產品
. Windows 10：內部版本 10.0.15063（也稱為版本 1703）

資料來源： Wentz Wu QOTD-20210808

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-軟體運行環境

與共享資源隔離（Isolation from Sharing Resources）
隔離是“將多個軟體實例分開的能力，以便每個實例只能看到並影響自己。”
資料來源：NIST SP 800-190
進程使用各種資源，例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程，使其不會影響其他進程，需要控制對記憶體和其他資源的存取。

-計算機架構

界限（Bounds）
這裡的界限意味著強加給進程的記憶體界限，不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。

-進程的記憶體佈局

容器化(Containerization)
容器化是應用程序虛擬化，其中容器中的進程與大多數資源隔離，但仍共享相同的操作系統內核。

-虛擬機和容器部署（來源：NIST SP 800-190）

-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機（VM）上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。

-虛擬機器監視器（來源：TechPlayOn）

搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是，它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看，它可以在某種程度上被視為線程級隔離。

-上下文切換（來源：hcldoc）

參考
. 什麼是雲中的管理程序？
. 上下文切換

資料來源： Wentz Wu QOTD-20210803

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-保護環（來源：維基百科）

保護環：指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels and OS modes)
大多數現代操作系統以兩種模式運行程序：內核模式和用戶模式。內核模式通常運行在特權級別 0，而用戶模式運行在特權級別 3。保護環傳達了操作系統如何利用指令集的 CPU 特權級別的想法。
x86指令集中的特權級別控制當前在處理器上運行的程序對內存區域、I/O 端口和特殊指令等資源的訪問。有 4 個特權級別，從 0 是最高特權，到 3 是最低特權。大多數現代操作系統對內核/執行程序使用級別 0，對應用程序使用級別 3。任何可用於級別 n 的資源也可用於級別 0 到 n，因此權限級別是環。當較低特權的進程嘗試訪問較高特權的進程時，會向操作系統報告一般保護錯誤異常。
資料來源：維基百科

異常處理(Exception Handling)

-異常處理（來源：https : //minnie.tuhs.org/）
操作系統 (OS) 內核通常處理來自進程的系統調用、來自 CPU 的異常以及來自外圍設備的中斷。在用戶模式下運行的應用程序或進程可能會遇到錯誤或故障，導致在內核模式下運行的操作系統內核捕獲到 CPU 級別的異常。如果發生故障，操作系統內核將拋出異常或向應用程序發送信號。以下屏幕截圖是演示應用程序正確處理異常的代碼片段。但是，如果應用程序不處理異常，操作系統將終止它。

-除以零

參考
. 保護環
. 操作系統中的特權和非特權指令
. CIS 3207 – 操作系統：CPU 模式
. 編寫 Hello World Windows 驅動程序 (KMDF)
. 如何使用 C++ 以 SYSTEM 身份運行程序？
. 除以零預防：陷阱、異常和可移植性
. 用戶和內核模式、系統調用、I/O、異常

資料來源： Wentz Wu QOTD-20210802

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-虛擬機和容器部署（來源：NIST SP 800-190）

虛擬機器監視器（Hypervisor）
容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機，無需虛擬機管理程序管理的虛擬機。虛擬機器監視器又名虛擬機監視器/管理器 (VMM)，是“管理主機上的來賓操作系統並控制來賓操作系統和物理硬件之間的指令流的虛擬化組件。” ( NIST SP 800-125 )

隔離（Isolation）
虛擬機提供比容器更高級別的隔離。應用程序部署在共享相同主機操作系統內核的容器中，而部署在虛擬機上的應用程序被高度隔離，因此它們必須通過網絡進行通信。但是，容器中的應用程序比虛擬機中的應用程序具有更好的性能。
-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

操作系統系列特定（OS-family Specific）
使用容器，多個應用程序共享同一個操作系統內核實例，但彼此隔離。操作系統內核是所謂的主機操作系統的一部分。主機操作系統位於容器下方，並為它們提供操作系統功能。容器是特定於操作系統系列的；Linux 主機只能運行為 Linux 構建的容器，Windows 主機只能運行 Windows 容器。此外，為一個操作系統系列構建的容器應該在該系列的任何最新操作系統上運行。
來源：NIST SP 800-190（應用程序容器安全指南）

軟體開發方法（Software Development Methodologies）

-容器技術架構（來源：NIST SP 800-190）

容器技術的引入可能會破壞組織內現有的文化和軟體開發方法。傳統的開發實踐、修補技術和系統升級過程可能無法直接應用於容器化環境，員工願意適應新模式很重要。應鼓勵員工採用本指南中介紹的在容器內安全構建和運行應用程序的推薦做法，並且組織應願意重新考慮現有程序以利用容器。應向參與軟體開發生命週期的任何人提供涵蓋技術和操作方法的教育和培訓。

-來源：NIST SP 800-190（應用程序容器安全指南）

參考
. Windows Containers 可以託管在 linux 上嗎？

資料來源： Wentz Wu QOTD-20210717

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文智

系統工程

跨學科的方法，管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源：ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護；也就是說，工程在軟件中的應用。

來源：ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源：

工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文茲

系統工程

跨學科的方法，管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源：ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護；也就是說，工程在軟件中的應用。

來源：ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源：https://wentzwu.com/2020/12/30/what-is-engineering/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-流行的 F/LOSS 許可證之間的兼容性關係（來源：Carlo Daffara）
在評估開源組件時，通常會忽略測試覆蓋率。相反，下載量或口碑起著至關重要的作用。儘管開源項目通常帶有單元測試，但測試覆蓋率指標並不是標準。

知識產權(Intellectual property)
開源軟體不屬於公共領域。它仍然由版權所有者許可。
開源軟體 (Open-source software : OSS ) 是 根據許可發布的計算機軟體，在該許可下 ， 版權所有 者授予用戶使用、研究、更改和 分發軟體 及其 源代碼的權利， 以用於任何目的。
資料來源：維基百科

費用(Costs)
它也不是免費軟體，儘管大多數開源軟體都可以免費獲得。一些供應商許可軟體並開放源代碼並允許客戶修改它們。有些人將此稱為可用源或共享源，可以將其廣泛視為開源的一部分。

後門（Back Doors）
開源軟體通常被認為比專有軟體更安全，但它並非沒有風險。例如，中國黑客以帶有 RedXOR 後門的 Linux 系統為目標，或者華為（中國製造商）嘗試向 Linux 插入後門/漏洞。

公共領域（The Public Domain）
“公共領域”一詞是指不受版權、商標或專利法等知識產權法保護的創意材料。公眾擁有這些作品，而不是個人作者或藝術家。任何人都可以在未經許可的情況下使用公共領域的作品，但沒有人可以擁有它。
資料來源：斯坦福

參考
. 歡迎來到公共領域
. 與商業模式相關的開源許可證選擇

資料來源： Wentz Wu QOTD-20210731

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

及時生產 (JIT) 一詞出現在豐田生產系統中。JIT 是一種庫存管理策略，可根據需要或按需訂購庫存。在安全方面，許多活動可以及時進行——例如，身份提供、證書註冊、授權、權限提升等。
促進身份驗證以便用戶可以登錄一次並跨系統訪問資源是單點登錄 (SSO) 的描述。它與及時生產的概念無關。

參考
. AWS 即時預置
. AWS 即時註冊
. 什麼是即時 (JIT) 供應？
. SAML SSO 與即時 (JIT) 供應之間的區別
. 什麼是即時 (JIT) 特權訪問？
. 什麼是即時特權訪問？
. 及時生產 – 豐田生產系統指南
. 及時生產 (JIT) 庫存管理

資料來源： Wentz Wu QOTD-20210728

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文