周末就是要... 綜合複習

2022 iThome 鐵人賽

DAY 16

Security

備考 CISSP 敗部復活雜草談系列第 16 篇

14th鐵人賽 cissp

家誠

2022-10-01 23:12:01

796 瀏覽

分享至

今天又是一個綜合複習的日子，就來個快速式的重點複習

DAC
- 隨意型存取控制
- 隨owner的意思授予權限
  - 資料管家依據owner的意思將權限授予並記錄在本地端的ACM中
MAC
- 強制型存取控制
- 關鍵字：標籤 (classfication)
  - 對分類標籤來授權
- 所以人員安全核定等級跟資料機密等級內容是相同的，這樣才有辦法對的上
CIA 哪個元素最重要
- 依據組織評定
洩密的意思是指?
- 高階的資料流到低階去
哪些法規在CISSP 中被提及?
- NIST SP 800-53，FISMA
- ISO 22301，BCM
- ISO 31000，通用風險模型
- ISO 27002，隱私
- ISO 15408， CC
- NIST SP 160 vol.1 ，安全工程
- ISO 15288，工程
- FIPS-140-3，密碼學
- ISO 27001 附錄A，安全控制
- TCSEC
  - CC的前身
  - [歐洲版] ITSEC
合約重點:
- 安全要求
  - SLR
  - 甲方
- 安全協議
  - SLA
  - 乙方
- 甲方開出安全需求（SLR），之後甲乙雙方再針對安全要求協議出的安全內容（SLA）
  - SLA 及服務協議要分開簽，這樣業務部門方便運作
- 帳號管理在做啥?
  - 新增、刪除、修改、查詢
    - 又稱CRUD
- AD帳號庫透過LDAP來進行帳號管理，用X.500來表示位置
MTBF
- between (介於兩者之間)
- 用於可修復的設備
MTTF
- 平均故障時間
- 用於不可修復的設備
網路工程: 不用刻意去強調時時都安全只要考慮處處都安全的角度去念就好了 (強調網路架構)
- 兩個角度
  - 學術理論 ISO OSI 7 layer
    - X.500 那時期會follow 這協定因為太笨重就不愛用了現在已經看不到了最後的剩餘價值在學校內變成聖經在理論上是比較漂亮的
    - 哪個協定是哪一層考試可能會考但沒那麼重要
      - 業界標準: TCP IP (業界最強勢) [一組通訊協定]
      - TCPIP 只是班長副班長代表而已，上一層服務會去運用下一層服務
        
        底層的服務會把上層的服務封裝起來 (收到的會把上層的做解封裝)
        
        念啥? IT人員本來就會念的
        
        網路要會動先會架網路
        
        在談網路安全
  - 從架構念基本上怎麼運作在討論如何做網路安全 * 每一層怎麼運動再加上安全

OSI 七層口訣

Away
Pizza
Sauage
Throw
NOT
Do
Please
media: RG58 同軸電纜 (早期網路) ，雙絞線 (網路電話兩條一對) , 乙太網路八條四對用到哪幾條? 12 36 (send / receive)
- 雙絞線有包鋁箔抗干擾 STP: 有包 , UTP: 沒有包
  - UTP 分等級 CAT 1 2 3 4 5 5e
  - CAT: 第幾類電話是第一類第二類早期網路要用第三類傳統電話線直接用網路線用UDP
  - RJ45 , RJ: register jack 45號接頭 RJ11 電話接頭
  - 雙絞線為何要絞起來捲起來可以抗近端串音
  - 衰減就是打到一段距離就會消失

100BASE TX 可以跑多遠? 用雙絞線應該是跑一百公尺

repeater 是數位用的 , 衰減可以透過這個強波器做物理訊號放大
switch 都具備repeater 功能
光纖單模跟多模 OWG有的線材
OSI 實體層線材
- UTP
- STP
- 無線電磁波的頻譜 media 搞定後有線無線
  - 傳輸媒介上打訊號
    - 類比訊號
      - 連續型的訊號
      - 可以重疊
    - 數位訊號
      - 間歇型的
      - 重疊稱為碰撞，不能重疊
透過編碼
- 調變
- 解調變
傳輸模式
- 基頻傳輸
  - 串聯的概念，跑數位訊號
寬頻傳輸
- 在一個頻帶內並聯的概念
- 可以合唱
無線傳輸
- 頻譜高到低 (GAMA 到Radio)
- 頻道1跟2 有重疊的現象
- 頻道1、6、11，沒有重疊的現象
  - WiFi APP中常用的頻道
衛星通訊
- 太空中用雷射在通訊
同步衛星，打很高才有效
商用衛星，低軌道
區域網路
- 自己拉線拉得到的都是
廣域網路
- 自己拉線拉不到的