Domin 3/ 4/ 8 技術章節，但是以學理的角度看技術的部分，而非純應用的角度。

安全設計原理?

原理: 原則上就是要這樣做

架構: 主要元件及其關係
工程: 一個東西運用專業知識從無到有做出來
心法: 時時都安全，處處都安全

3.1 使用安全设计原理来研究、实施与管理工程过程

• 威胁建模

  • 威脅建模是一種風險評估形式，它對特定邏輯實體的攻擊和防禦方面進行建模。
  • STRIDE

  縮寫	全名	CIA
  S	Spooling - 偽造身分	I: 真實性
  T	Tampering - 竄改資料	I: 完整性
  R	Repudiation - 否認性	I: 不可否認性
  I	Information Disclosure - 資訊揭露	C
  D	Denial of service - 阻斷服務	A
  E	Elevation of Privilege - 提權	CIA

  • DREAD
  • VAST
    • 基於敏捷項目管理和編程原則的威脅建模概念

• 最小权限

  • 使用者權限只要設定到對方可以完成工作的最嚴謹的權限授予即可

• 深度防御

  • DiD * 多層 * 多樣性 * 最小授權原則的防禦機制

• 默认安全配置

  • 安全默认值
    • 系統的默認配置（包括其組成子系統、組件和機制）反映了安全策略的限制性和保守性實施。

• 失效安全

  • 安全故障原則表明組件應該在拒絕而不是授予訪問的狀態下發生故障。
  • 失敗是組件的行為偏離其明確記錄的輸入的指定或預期行為的情況。一旦檢測到失敗的安全功能，系統可能會重新配置自身以規避失敗的組件，同時保持安全性，並且仍然提供原始系統的全部或部分功能，或者完全關閉自身以防止任何（進一步）違反安全政策。

參考資料 [NIST SP160 Vol.1]

• 职责分离 (SoD)
  • 職務跟責任分開
• 保持简单
  • 程式設計架構必須要維持簡單的建構方式
• 零信任
  • 存取控制2.0，以資料為中心，劃定虛擬邊界，做更細緻，更動態，更透明的授權機制
  • 資料為中心: 不要再以實體網路的區隔來保護資料

  傳統

  

  圖片引用自城堡護城河

  • 虛擬邊界:
    • 軟體定義邊界 - SDP
    • 軟體定義網路 - SDN
    • 將資料平面及控制平面分離
      • 資料平面:
        • 轉送資料封包
      • 控制平面:
        • 路由路徑
  • 微區隔 (解決 4096區隔上限)
    • VXLAN (虛擬可擴充區域網路 (Virtual Extensible LAN)
    • 次世代防火牆 (NGFW)
  • 更細緻
    • OSI 每一層都要做驗證 (NIST 觀點)
      

引用自OSI 七層防禦

• 授權是以ABAC為主
• 更動態
  • 動態驗證、授權
  • SAP (單一授權封包)
  • Port knocking
    

  引用自port knocking intro

  • 更透明
    • 要有log
    • 隨時可以被檢視及稽核
• 通过设计保护隐私
  • 端到端安全
  • 輸入密碼時會以特殊符號顯示
• 信任但要确认
  • 就是 V & V
  • 確定規格正確性
  • 外部確認是否有滿足客戶需求 (有效性)
• 共同责任

3.2 理解安全模型的基本概念（例如 Biba、Star Model、Bell-LaPadula 等模型）

安全模型就是學術理論的模型，考試範圍中提到的是BBCC

3.3 基于系统安全要求选择控制措施

• 懶人包 (NIST RMF)
• HIPAA
• ISC2
• Scoping
• tailoring

3.4 理解信息系统 (IS) 的安全功能（例如：内存保护、可信赖平台模块 (TPM)、加密/解密）

• TPM
  可信平台模塊 (TPM) 是用於安全存儲和釋放解密密鑰的物理微控制器。TPM 經常用於全盤加密，以確保對靜態數據進行加密。Microsoft 的 BitLocker 利用 TPM 芯片加密寫入磁盤的數據。

• 密碼學四大技術，四大目標

  • 加密、雜湊、MAC、電子簽章
    

• 重點

  • 數字簽名不提供加密，可以提供認證、數字簽名和完整性。
  • IEDA & PGP
    

  參考自[PocketPrep]

3.5 评估并降低安全架构、设计和解决方案方面的漏洞

標題重點: 解決方案是否有漏洞

• 基于客户端的系统
• 基于服务器的系统
• 数据库系统
  • 放資料的地方，強調結構化儲存
  • 關聯式架構，先建立關聯，再建立關係
    • 結構
    • 安全議題 - CIA
      • RDBMS: 聚合跟推理
      • 機密議題
        • RDBMS: 聚合跟推理
        • 受限的使用者介面
        • View (視圖)
        • 放假資料
        • 多實例(poly instance)
• 密码系统
• 工业控制系统 (ICS)基于云端的系统（例如，软件即服务 (SaaS)、基础架构即服务 (IaaS)、平台即服务 (PaaS))
  • DCS，SCADA
• 分布式系统
• 物联网 (IoT)
  • 裝置連上網的意思
  • 傳感器
• 微服务
  • 服務跟服務之間的溝通
• 容器化
  • 程式運行的虛擬化環境稱之
• 无服务器
• 嵌入式系统
• 高性能计算 (HPC) 系统
• 边缘计算系统
• 虚拟化系统

3.6 选择和确定加密解决方案

• 密码生命周期（如密钥、算法选择）
• 加密方法（例如：对称、非对称、椭圆曲线、量子）
  對稱式(Symmetric)：
  • 加解密同一把鑰匙；優點: 快
    非對稱式
  • 加解密兩邊各需要一把Key
    分組密碼用於位元分組，流密碼作用於每次處理一個位元。
• 公钥基础架构 (PKI)
  數位身分證
  

名詞解釋:

• 憑證 (Certificate)

• 憑證管理中心 (Certificate Authority (CA)

  • 送信

• 註冊管理中心 (Registration Authority, RA)

  • 收信

• 憑證驗證中心 (Validation Authority, VA)

  • 確認郵戳有效性

• 線上憑證狀態協定 (Online Certificate Status Protocol, OCSP)：用於取得X.509數位憑證復原狀態的網際協定
  

• 憑證吊銷列表 (Certificate Revocation List, CRL)：

• 密钥管理实践

• 数字签名和数字证书

• 不可否认性

• 完整性（例如：哈希函数）

3.7 理解密码分析攻击方法

• 暴力破解
• 唯密文攻击
  • 攻擊者只有密文
• 已知明文攻击
  • 比對明文
• 频率分析
  • ABCD到Z ，出現的機率最高
• 选择密文攻击
• 实现攻击
  • 實作攻擊
• 边信道
  • 通過收集外部信息來破解密鑰，測量功率、數據處理時間等。
• 故障注入
  • 模糊測試
  • 誤用案例測試
• 定时
• 中间人攻击 (MITM)
  • 嘗試從兩端突破的方法
• 哈希传递攻击
  • 攻擊者可以直接通過LM Hash和NTLM Hash訪問遠程主機或服務，而不需要提供明文密碼

  引用自PTH intro

• Kerberos 协议攻击
• 勒索软件
  • 目前已經演變成勒索軟件服務平台

1. 已知明文攻擊
   • 已知部分文字A被加密成XX，就會拆到邏輯
2. 唯密文攻擊
   • 撈到也解不開
     • 克霍夫客霍夫原則
     • 只有一個東西是秘密(private key)
     • 其他是全部公開 , 屬於非對稱式
3. 選擇明文攻擊
   • 丟給對方加密
   • 選擇明文丟給對方加密 (演算法跟密文都是公開的, 可以丟一段明文給你 抓到密文 反推去猜key
4. 選擇密文
   • 丟給對方加密，只有密文跟演算法，通常會拿常見的密文表，大量破一下
   • 類似暴力破解

3.8 将安全原理运用到场所与设施的设计上

• 配线柜/中继配电设施
• 服务器机房/数据中心
  • 從外到內的物理訪問控制
    • CPTED
    • 警衛
    • 柵欄高度: 8 公尺
  • 火災分類
    • A (紙本或木材類)
    • B (液體類)
    • C (電氣相關)
    • D (金屬類)
  • 機房濕度，40%~60%
    • 濕度過高: 腐蝕風險
    • 濕度過低: 靜電風險
  • 其他重點
    • 哈龍替代品是FM-200，氣體系
• 媒体储存设施
  • 放置的地方要注意防潮，防火
• 证据储存
  • 電子發現
• 限制区与工作区的安全
  • 不能讓訪客隨意進入

3.9 设计场所和设施安全控制措施

• 公用事业设备及供暖、通风与空调 (HVAC)
  • 溫度、濕度跟流通
• 环境问题
• 防火、检测和灭火
• 电源（如冗余、备份）

參考自 ISC2 - CISSP考試大綱