「是有錢的沒技術的公司比較安全還是有技術沒錢的公司比較安全？」

我們小組的答案是，有錢的就是大爺，沒技術的可以外包啊。
好矛盾欸，在 CISSP 守則的第四條，物盡其用，能用技術解的就不要買啊。

幫老闆節省荷包是一件非常重要的事情。

雖然，他不一定會感謝你。

不過，如果你傷害老闆的荷包。

他可能會傷害你。

為了不被老闆傷害…
我們就從存取控管(Access Control)開始！

對人的政策(Personal Issues)

Domain 7.Security Operation (273)

• 職務分離(Separation of duties)
  預防性控制，管錢不管帳，管帳不管錢，職責分離，防止舞弊。
  想想運鈔車，絕對不會只有一個人開車… 車開了就跑路了怎麼辦 XDDDD

• 職務輪調(Job Rotation)
  偵測性控制，防止舞弊或避免異常交易，並且有機會透過不同角色改善流程。

• 強制休假(Manadatory Vacations)
  偵測性控制，目的是稽核，識別詐欺活動。

• 最小權限(Least privilege)
  預防性控制，不是人人權限都開 administrator，僅開放該職務的功能，

• 僅知原則(Need To Know)
  預防性控制，不是你能知道的，不會讓你知道。

訪問控制模型的過程可以由三個通用訪問框架定義：

自由訪問控制（DAC）

Discretionary Access Control
透過訪問控制矩陣和對象級權限模式對對象進行細粒度的訪問控制。

• 訪問控制矩陣模型(Access Control Matrix model)：標識的主題和對象，並且指定了應用於每個主題/對象組合的權限。這種模型可用於快速總結主體對各種系統對象的權限。

強制訪問控制（MAC）

Mandatory Access Control
透過為對象和主體分配安全級別來控制資訊洩露、限制跨安全級別的訪問，以及將所有分類和訪問控制合併到系統中。

格子模型(Lattice model)：有成對的元素限制最小的值上限和最大的下限值

非自主訪問控制（NDAC）

Non Discretionary Access Control
= 基於角色的訪問控制(Role-based access control)

適合高流動率(High Employee Turnover)組織企業，因為是依角色可以訪問資源可以由資料所有者控制。
訪問控制決策基於作業功能，先前由策略定義和管理，每個角色（作業功能）將具有自己的訪問功能，與角色關聯的對象將繼承分配給該角色的權限。
對於用戶組也是如此，允許管理員通過將用戶分配到組和組到角色來簡化訪問控制策略。

對物的政策

• 主體界定
  是母公司、子公司、還是單一部門？

• 資產分級
  依現有資訊資產做分級，是重要的客戶交易資料還是只是廠商僅供參考的報價資料？
  針對越重要的項目設定更嚴密的保護措施。

• 風險控管
  評估這些資產項目會遇到什麼樣的風險？
  該使用定性或定量去判定風險等級？

• 訂定對策
  有什麼樣的防禦措施？
  以定性或是定量確認是否要有緊急應對措施。

• 維護政策
  以適當的方式維護相關政策，可能改流程、花人力、花時間、技術解或可能直接外包了…

實作的部份，通常都會需要有部份營運成本…
若是老闆不簽字，那將會以全人工的方式維護、監控、預防…
或根本接受風險，畢竟不是所有人都會機會被隕石打中啊(？)

話說，我真的遇過友善客戶開放機房自由行的…

• 版控流程(Change Management Process)
  控管改善流程的記錄，以供後續稽核及管理人員參考。
  明天將這個部份再完整補上吧 XDDD

對事的政策

• Acesss Control Monitoring

  • IDS (網路型 NIDS & 主機型 HIDS)

    • 已知特徵值(Signature based)
    • 以學習模式定義異常行為(Anomaly based)
    • 進階專家系統自行定義規則(Rule based)

  • Honeypot

  • Network snfiffer

= = = =．= = = =．= = = =．= = = =．= = = =

超級小氣的老公居然說鐵人賽沒寫完之前不能上床 QAQ
就先這樣後續再補完好了 QAQ