Choson資安大小事

-計算機架構

作為解決方案最重要的工件，架構是一個對象（解決方案）從各種觀點或角度的概念、邏輯和物理表示，它確定了它的構建塊、關係、交互、邊界、接口、環境和上下文以及指導解決方案在其整個生命週期中的演變。
~ 吳文智

定義
. 系統或解決方案的一組相關的物理和邏輯表示（即視圖）。該體系結構在不同抽象級別和不同範圍內傳達有關係統/解決方案元素、互連、關係和行為的信息。（來源：NIST SP 800-160 第 1 卷）
. 與描述對象相關的一組設計人工製品或描述性表示，以便它可以按要求（質量）生產並在其使用壽命（變更）期間保持不變（來源：Zachman：1996，ISO/TR 20514:2005)
. 體現在其組件中的系統的基本組織、它們之間的關係以及與環境的關係，以及指導其設計和演變的原則（來源：ISO/IEC 15288:2008）
. 一套系統的概念和規則，描述了整個系統中實體之間的相互關係，獨立於硬體和軟體環境
注 1：架構是通過一系列可能處於不同級別的通用性的觀點來描述的/ specificity、abstraction/concept、totality/component等等。另請參見下文中的“通信視點”、“功能視點”、“組織視點”和“物理視點”定義。（來源：ISO/TR 26999:2012）
. 系統在其環境中的基本概念或屬性，體現在其元素、關係以及其設計和演變的原則中 (ISO/IEC/IEEE 42010:2011)
. 項目或元素的結構表示，允許識別構建塊、它們的邊界和接口，並包括對這些構建塊的需求分配（來源：ISO 26262-1:2018）
. 系統的概念結構
注 1：一個系統可能由幾個相互作用的子系統組成，每個子系統都有自己的體系結構。（來源：ISO/IEC TR 29108:2013）
. 邏輯結構和與組織和業務環境的相互關係所依據的一組原則
注 1：軟體架構是軟體設計活動的結果。（來源：ISO/TR18307:2001）
. 系統中硬體和軟體元素的特定配置（來源：IEC 61508-4）

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-側信道攻擊

側信道攻擊(Side-channel attack)
只需在設備或系統附近放置天線、磁探頭或其他傳感器，即可利用側信道。這允許攻擊者測量功耗、電壓波動或其他側信道，例如溫度或聲音。側信道攻擊可用於從智能卡等設備中提取密鑰。在現實世界中，這允許攻擊者加載或重置餘額並提取或重置設備 PIN。(半工程)
通過從物理密碼系統洩漏信息而啟用的攻擊。可以在側信道攻擊中利用的特徵包括時間、功耗以及電磁和聲發射。
來源：NIST 術語表
在 計算機安全中， 旁道攻擊 是基於從 計算機系統的實施中獲得的信息的任何攻擊 ，而不是實施算法本身的弱點（例如 密碼分析 和 軟體錯誤）。時間信息、功耗、 電磁 洩漏甚至 聲音 都可以提供額外的信息來源，可以加以利用。
資料來源：維基百科

內容可尋址內存 (CAM) 表溢出攻擊(Content addressable memory (CAM) table overflow attack)
當 CAM 表溢出時，交換集線器可能會降級為集線器以通過向所有端口發送幀來保持可用性。這會導致中間人惡意嗅探。
CAM 表溢出攻擊是針對網絡交換機執行的惡意行為，其中大量虛假 MAC 地址被發送到交換機。這種數據洪流導致交換機轉儲其 CAM 數據庫表中的有效地址，以試圖為虛假信息騰出空間。在這之後，交換機的默認行為是向所有端口廣播正常的私有消息。
資料來源：CbtNuggets

竊聽攻擊(Wiretapping Attack)
竊聽是對電話、電報、蜂窩、 傳真 或基於互聯網的通信進行的秘密電子監控 。
竊聽是通過在有問題的線路上放置一個非正式地稱為錯誤的監視設備或通過其他通信技術中的內置機制來實現的。
執法官員可以利用現場監控或錄音。數據包嗅探器——用於捕獲在網絡上傳輸的數據的程序——是一種常用的現代竊聽工具。各種其他工具，例如竊聽木馬，用於不同的應用程序。
資料來源：TechTarget

背負式攻擊(Piggyback attack)
一個 背馱式攻擊 是一種活化形式 竊聽 當攻擊者獲得通過活動的間隔訪問系統中的其他用戶的合法連接。它也被稱為“線間攻擊”或“背負式進入竊聽”。
在安全方面，捎帶指的是當某人與另一個被授權進入限制區域的人一起標記時，該術語 在此上下文中適用於 計算機網路。
資料來源：維基百科

參考
. 了解側信道攻擊
. ARP 和 CAM 表
. 背負式攻擊
. 保護圖片存檔和通信系統 (PACS)：醫療保健行業的網絡安全

資料來源： Wentz Wu QOTD-20210811

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-防火牆接口和區域
防火牆通常以兩種方式調解網絡流量：基於上下文和基於區域。傳統的基於上下文的方法也稱為基於上下文的訪問控制 (CBAC)。

基於區域的防火牆(Zone-based Firewalls)
防火牆包含幾個網絡接口，可以配置或分配給區域。安全區域或簡稱區域是共享相同安全要求的防火牆接口的集合。區域之間的流量由防火牆策略控制。有關更多信息，請參閱防火牆接口、區域和層。

區域對(Zone Pairs)
區域對可以定義為一個方向上兩個區域的配對。然後將防火牆流量策略應用於區域對。防火牆流量策略在區域之間單向應用。雙向流量需要兩個區域對。但是，如果使用狀態檢查，則不需要第二個區域對，因為由於檢查而允許回复流量。
資料來源：OmniSecu

基於上下文的防火牆(Context-based Firewalls)
所述的ACL提供流量過濾和保護，直到傳輸層，同時在另一方面，CBAC提供高達應用層相同的功能。在 CBAC 配置的幫助下，路由器可以充當防火牆。
資料來源：GeeksForGeeks

基於上下文的訪問控制 (CBAC) 根據應用層協議會話信息智能過濾 TCP 和 UDP 數據包，可用於 Intranet、Extranet 和 Internet。
資料來源：黑羊網絡(BlackSheepNetworks)

Cisco IOS® 防火牆功能集的基於上下文的訪問控制 (CBAC) 功能會主動檢查防火牆後面的活動。CBAC 通過使用訪問列表（與 Cisco IOS 使用訪問列表的方式相同）指定需要允許進入的流量以及需要釋放的流量。但是，CBAC 訪問列表包括 ip inspect 語句，允許檢查協議以確保在協議進入防火牆後面的系統之前它沒有被篡改。
資料來源：思科

DNS 區域(DNS Zones)
DNS 命名空間是按層次結構或樹組織的 DNS 域名的邏輯結構。DNS 區域是 DNS 命名空間的一部分的管理結構。DNS 區域文件是區域的存儲庫。
主 DNS 服務器託管一個可寫區域，該區域可以傳輸到一個或多個輔助 DNS 服務器。輔助 DNS 服務器上的副本或副本通常是只讀的。但是，副本可以是可寫的，例如 Microsoft AD 集成的 DNS；這取決於供應商的實施。
主 DNS 服務器和輔助 DNS 服務器之間的區域傳輸使用 TCP 端口 53。它可以定期或基於通知進行。為了安全起見，主 DNS 服務器可能會維護一個輔助 DNS 服務器的白名單。
DNS 客戶端也稱為 DNS 解析器，它使用 UDP 端口 53 向 DNS 服務器發送遞歸 DNS 查詢。然後 DNS 服務器發出多個非遞歸或迭代查詢來解決來自 DNS 客戶端的查詢。

-DNS 命名空間和區域

參考
. 域名系統(維基百科）
. DNS區域傳輸
. DNSSEC – 它是什麼以及為什麼重要？
. 基於區域的防火牆基礎知識
. 網絡安全區
. 使用區域（紅帽）
. 區域對
. 基於上下文的訪問控制
. 基於上下文的訪問控制 (CBAC)
. Cisco IOS 防火牆功能集和基於上下文的訪問控制
. 基於上下文的訪問控制 (LDAPWiki)

資料來源：Wentz Wu QOTD-20210810

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-DNSSEC 資源記錄（來源：InfoBlox）
DNSSEC使用數字簽名確保DNS 數據的完整性，而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR)：
. DS（委託簽名者）
. DNSKEY（DNS 公鑰）
. RRSIG（資源記錄簽名）

DS（委託簽名者）
DS RR 包含子區域 KSK 的哈希值，可用作某些具有安全意識的解析器中的信任錨，並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示，父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值，而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源：InfoBlox

DNSKEY（DNS 公鑰）
當權威名稱服務器對區域進行數字簽名時，它通常會生成兩個密鑰對，一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。（RRset 是一組具有相同所有者、類別和類型的資源記錄。）它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名，包括它自己的記錄，並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此，一個區域通常有兩個 DNSKEY 記錄；保存 ZSK 對公鑰的 DNSKEY 記錄，以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源：InfoBlox

R RSIG（資源記錄簽名）
一個簽名區域有多個 RRset，每個記錄類型和所有者名稱一個。（所有者是RRset 的域名。）當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時，每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此，簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源：InfoBlox

參考
. DNSSEC – 回顧
. DNSSEC – 它是什麼以及為什麼重要？
. 域名系統安全擴展
. DNSSEC 的工作原理
. DNSSEC：它的工作原理和主要考慮因素
. RFC 4033：DNS 安全介紹和要求
. RFC 4034：DNS 安全擴展的資源記錄
. RFC 4035：DNS 安全擴展的協議修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 資源記錄

資料來源： Wentz Wu QOTD-20210809

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統，而不適用於特定的軟體組件。此外，它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準，它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。（維基百科）
CMMI 是一種基於過程的模型，用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求，這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)

參考
. 批准的保護配置文件
. 認證產品
. Windows 10：內部版本 10.0.15063（也稱為版本 1703）

資料來源： Wentz Wu QOTD-20210808

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-軟體運行環境

與共享資源隔離（Isolation from Sharing Resources）
隔離是“將多個軟體實例分開的能力，以便每個實例只能看到並影響自己。”
資料來源：NIST SP 800-190
進程使用各種資源，例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程，使其不會影響其他進程，需要控制對記憶體和其他資源的存取。

-計算機架構

界限（Bounds）
這裡的界限意味著強加給進程的記憶體界限，不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。

-進程的記憶體佈局

容器化(Containerization)
容器化是應用程序虛擬化，其中容器中的進程與大多數資源隔離，但仍共享相同的操作系統內核。

-虛擬機和容器部署（來源：NIST SP 800-190）

-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機（VM）上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。

-虛擬機器監視器（來源：TechPlayOn）

搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是，它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看，它可以在某種程度上被視為線程級隔離。

-上下文切換（來源：hcldoc）

參考
. 什麼是雲中的管理程序？
. 上下文切換

資料來源： Wentz Wu QOTD-20210803

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-保護環（來源：維基百科）

保護環：指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels and OS modes)
大多數現代操作系統以兩種模式運行程序：內核模式和用戶模式。內核模式通常運行在特權級別 0，而用戶模式運行在特權級別 3。保護環傳達了操作系統如何利用指令集的 CPU 特權級別的想法。
x86指令集中的特權級別控制當前在處理器上運行的程序對內存區域、I/O 端口和特殊指令等資源的訪問。有 4 個特權級別，從 0 是最高特權，到 3 是最低特權。大多數現代操作系統對內核/執行程序使用級別 0，對應用程序使用級別 3。任何可用於級別 n 的資源也可用於級別 0 到 n，因此權限級別是環。當較低特權的進程嘗試訪問較高特權的進程時，會向操作系統報告一般保護錯誤異常。
資料來源：維基百科

異常處理(Exception Handling)

-異常處理（來源：https : //minnie.tuhs.org/）
操作系統 (OS) 內核通常處理來自進程的系統調用、來自 CPU 的異常以及來自外圍設備的中斷。在用戶模式下運行的應用程序或進程可能會遇到錯誤或故障，導致在內核模式下運行的操作系統內核捕獲到 CPU 級別的異常。如果發生故障，操作系統內核將拋出異常或向應用程序發送信號。以下屏幕截圖是演示應用程序正確處理異常的代碼片段。但是，如果應用程序不處理異常，操作系統將終止它。

-除以零

參考
. 保護環
. 操作系統中的特權和非特權指令
. CIS 3207 – 操作系統：CPU 模式
. 編寫 Hello World Windows 驅動程序 (KMDF)
. 如何使用 C++ 以 SYSTEM 身份運行程序？
. 除以零預防：陷阱、異常和可移植性
. 用戶和內核模式、系統調用、I/O、異常

資料來源： Wentz Wu QOTD-20210802

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-虛擬機和容器部署（來源：NIST SP 800-190）

虛擬機器監視器（Hypervisor）
容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機，無需虛擬機管理程序管理的虛擬機。虛擬機器監視器又名虛擬機監視器/管理器 (VMM)，是“管理主機上的來賓操作系統並控制來賓操作系統和物理硬件之間的指令流的虛擬化組件。” ( NIST SP 800-125 )

隔離（Isolation）
虛擬機提供比容器更高級別的隔離。應用程序部署在共享相同主機操作系統內核的容器中，而部署在虛擬機上的應用程序被高度隔離，因此它們必須通過網絡進行通信。但是，容器中的應用程序比虛擬機中的應用程序具有更好的性能。
-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

操作系統系列特定（OS-family Specific）
使用容器，多個應用程序共享同一個操作系統內核實例，但彼此隔離。操作系統內核是所謂的主機操作系統的一部分。主機操作系統位於容器下方，並為它們提供操作系統功能。容器是特定於操作系統系列的；Linux 主機只能運行為 Linux 構建的容器，Windows 主機只能運行 Windows 容器。此外，為一個操作系統系列構建的容器應該在該系列的任何最新操作系統上運行。
來源：NIST SP 800-190（應用程序容器安全指南）

軟體開發方法（Software Development Methodologies）

-容器技術架構（來源：NIST SP 800-190）

容器技術的引入可能會破壞組織內現有的文化和軟體開發方法。傳統的開發實踐、修補技術和系統升級過程可能無法直接應用於容器化環境，員工願意適應新模式很重要。應鼓勵員工採用本指南中介紹的在容器內安全構建和運行應用程序的推薦做法，並且組織應願意重新考慮現有程序以利用容器。應向參與軟體開發生命週期的任何人提供涵蓋技術和操作方法的教育和培訓。

-來源：NIST SP 800-190（應用程序容器安全指南）

參考
. Windows Containers 可以託管在 linux 上嗎？

資料來源： Wentz Wu QOTD-20210717

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文智

系統工程

跨學科的方法，管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源：ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護；也就是說，工程在軟件中的應用。

來源：ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源：

工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文茲

系統工程

跨學科的方法，管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源：ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護；也就是說，工程在軟件中的應用。

來源：ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源：https://wentzwu.com/2020/12/30/what-is-engineering/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文