今天我們要來做一個總回顧,複習並總結一下我們在「資訊系統安全」所學到的東西,以及它們的應用價值。這系列文章涵蓋了 CISSP 的八大領域,並在主題安排與設計上強化了實用性。又因為加入安總個人這幾年來的所見所聞,輔以幽默活潑的寫作風格,整體呈現高度原創性,請各位小心服用。
究竟這系列文章值多少價值?且聽安總裁娓娓道來,以下是我們的價值論述。
自物聯網的市場估值翻倍與應用時機逐漸成熟,許多原本處於封閉環境的資訊系統,現在開始連上網路。一進入到未來犯罪的時代,連上網就變得不太安全,有資訊安全的風險。本系列文便是由於這個起因而提筆撰寫。所以對物聯網的同仁們有很大助益及啟發。
本領域談到了「流程」的概念,是諸位邁向品質大門的必經之路,在這系列中各位會得到很好的啟發,以及風險管理的系統性方法論。同時,我們企圖在本領域啟發各位「選對人」的重要性,一件事會成功,最關鍵的因素是「人」。如果您是第一次聽到「循環經濟」的話,您將會對「環境風險」有新的認識。
[Day 02] 安全與風險管理 (Security Governance)
[Day 03] 安全與風險管理 (Personnel Security & Risk Management)
[Day 04] 安全與風險管理 (Business Continuity Planning)
[Day 05] 安全與風險管理 (Laws, Regulations, and Compliance)
[Day 06] 資產安全 (Security of Assets)
本領域很實際的從機密資料的保密需求出發,如果您只需要「文檔機密性」,則使用 AES 對稱性演算法就好囉;如果您還需要保證「文檔鑑別性」,那就要用到 RSA 演算法囉。其實,在進入實作之前,本系列讓您知道了「建模 (Modeling)」的重要性,建模是為了「衡量」可行性與品質,我們一連舉了安全模型、存取控制模型、多線程模型來說明建模的重要性。最後在關鍵基礎建設安全章節,我們把討論層次拉到了電力電子學的領域,以工業配線機櫃安全、乾淨電源與精密空調為例,來保證「金融數據中心」之資訊系統安全性。
[Day 07] 安全工程 (Cryptography for Confidentiality)
[Day 08] 安全工程 (Cryptography for Authentication)
[Day 09] 安全工程 (Cryptographic Applications)
[Day 10] 安全工程 (Security Models and Architecture Design)
[Day 11] 安全工程 (Memory and Process Security)
[Day 12] 安全工程 (Critical Infrastructure Protection)
這個領域很實際的呼應了網管系管的共鳴,提供有線網路與無線網路之安全對策,以及 ARP 與 DNS 快取攻擊與經典解決之方。最後本系列安總忽然失心瘋,寫出了一篇不得了的文章:「人工智慧的最高境界」,就是與己和、與人和、與天地萬物和。
[Day 13] 通訊與網路安全 (Secure Network Components)
[Day 14] 通訊與網路安全 (Network Attacks)
[Day 15] 通訊與網路安全 (Intrusion Detection System)
本領域介紹了許多基本功夫,像是單一簽入 (Single Sign-On)、開放授權 (OAuth 2.0) 等。同時開始導入了虛擬故事,為了闡述背後的哲理,讓看倌們皆拍手叫好。我最重要是想讓各位知道,成功靠的不是幸運,而是狂熱的紀律 (Fanatic Discipline)、務實的創意 (Empirical Creativity)、有生產力的恐懼 (Productive Paranoia)。
[Day 16] 識別與存取管理 (Managing Identity and Authentication)
[Day 17] 識別與存取管理 (Controlling and Monitoring Access)
安全測試是本系列的重頭戲,所以安總花了較多的篇幅來為各位打好基礎,從一開始提供一個 Overview「安全評估與測試計畫-查檢表」,後面進到細項展開:漏洞評估計畫、滲透測試計畫、軟體測試計畫、稽核計畫、安全工作執行管理,實是融合了前輩們幾十年的工作經驗精華,值得一看!最後一篇「Security Managements Tasks」更是將劇情推到最高峰,暢談每日、每月、每年,乃至整個人生的執行容器,實是吾人無壓工作的絕世秘寶。
[Day 18] 安全評估與測試 (Security Testing Fundamentals)
[Day 19] 安全評估與測試 (Security Testing Report)
[Day 20] 安全評估與測試 (Security Testing Knowledge Management)
[Day 21] 安全評估與測試 (Security Testing Methodology)
[Day 22] 安全評估與測試 (Security Testing Automation)
[Day 23] 安全評估與測試 (Vulnerability Assessment)
[Day 24] 安全評估與測試 (Security Managements Tasks)
本領域談營運,前面的領域談開發,本章的價值是點出「營運」和「開發」在動機與目標上存在本質矛盾,安全「營運」也是如此。本系列提供了這二者之間的方法性橋樑,類比於近日火紅的 DevOps 開發法,有異曲同工之妙。
[Day 25] 安全營運 (Managing Security Operations)
[Day 26] 安全營運 (Preventing Incidents and Disaster Recovery)
[Day 27] 安全營運 (Computer Crime and Ethics)
導入安全性需求至軟體開發流程中的藝術,一直是許多軟體領導渴求的智慧。本領域將無私揭露一些可行的想法及執行步驟,「無痛」地與原團隊之開發程序結合,同時將資料庫的實作,引領向資料庫群集的結構,為了未來的人工智慧鋪路。
[Day 28] 軟體開發安全 (Secure Software Development Life Cycle)
[Day 29] 軟體開發安全 (Database Security Technique)
杜總裁對我的影響很深,他說讀一本書的方法,是與自己過往的經驗相互激盪、應用,產生新的知識網絡與架構,才是真正的讀懂一本書。從不會到會,到熟練,然後精,最後通。就像張三丰教張無忌拳法,剛開始一招一式、拳腳劃一;然而時至今日,無忌已將整套拳法了然於心。張師問曰:「還記得幾成?」答曰:「全忘了」,方達到「形期無形」之境界。
《打造將才基因》
iThome鐵人賽
看影片追技術