8. 授權機制

XACML/OAuth2,DAC(owner/needtoknow/LP,custodian,ACM,take-grant)+MAC(BLP、Biba,Chinesewall),RBAC,ABAC/Risk-base,Rule-based

• SAML
  • 主要用於單點登入
  • XML
  • 常用於跨不同協議傳輸 ex. Simple Object Access Protocol)。 SOAP
• XACML 主要用於軟體定義網絡
• OAuth2
  • 加密現在都是由 TLS 處理
• DAC
  • ACM
  • owner
    • need to know (需要知道)
    • LP (最小權限)
    • custodian [資料品質]
    • take-grant (同意模型)
• MAC
  • 分類標籤
  • 隱式拒絕
  • 信息流(BLP、Biba、中國牆)
    • BLP: 禁南下(寫)，禁北上(讀)，C
    • Biba: 禁南下(讀)，禁北上(寫)，I
• RBAC - 訪問屬性 - 最小特權原則、防止特權潛變
• ABAC - SDN 使用
• Risk-base
• Rule-based
  • 不看你我他，只看規則；不識別身份，只看行為

9. ZeroTrust:802·IX,POknocking/SPA,XACML

• ZeroTrust: 存取控制2.0，以資料為中心，劃定虛擬邊界，做更細緻、更動態、更透明的存取控制
  • 更細緻: ABAC
  • 更動態:
    • poknocking: 需要用服務才即時開啟，用完即關，動態開關
  • SPA: 單一授權封包
• XACML
  • 常用於供應商網路 、SDN

10. 安全評鑑:弱掃(CVE,CVSS),滲透,修補(SCAP),稽核變更管理

• CVE: 專有廠商+專有產品+專有版本的漏洞
• CWE: 廠商+產品+版本的漏洞
• CVSS: 通用漏洞評分系統
• 滲透測試 - 透過工具掃描完弱點後，依照授權合約，實際打看看掃到的未修補的漏洞
  • 安全議題: 產品及服務不能打到中斷
• SCAP，Security Content Automation Protocol：自動化修補協議
  • 是用於自動化漏洞管理、評估和條款符合檢測的一套標準
  • 協定組成
    • 通用漏洞披露 (CVE)
    • 通用組態評估 (CCE)
    • 通用平台評估 (CPE)
    • 通用漏洞評分系統 (CVSS)
    • Extensible Configuration Checklist Description Format (XCCDF)
    • 開放漏洞評估語言 (OVAL)
• 稽核
  • 甲方、乙方跟獨立第三方
    
• 變更管理
  • 變更管理審計能夠確保變更符合單位變更管理政策。其中通常包括中斷審查，以確定原因。
  • 變更管理審計能夠確保變更符合單位變更管理政策。其中通常包括中斷審查，以確定原因。
  • 目標：baseline
  • 重點：申請&授權官核准
    

11. 日常運營:IDS/IPS,調查與證據,計畫書測試與演練,備份與復原

• IDS - 僅偵測 (out-of-band)
• IPS - 偵測+干涉偵測行為 (隨時在線)
• 調查
  • 行政調查
  • 法院調查
• 證據
  • 直接證據可能來自根據他們的觀察提供口頭證詞的證人。
  • 確鑿的證據 - 具備不可否認性

補充

• E-Discovery Order 是一項法院命令，用於維護而不是刪除與案件相關的信息。

• 計畫書測試與演練

  • 文件審查
  • walk through (逐一檢視)
  • 模擬 (實際演一次，角色扮演)
  • 平行 (搭布景 - 跑一次)
  • 全中斷 (正在跑的服務，直接停掉)

• 備份與復原

  • 完整備份(全複製)、差異備份(只備份跟前次不同的點)、增量備份(完整備份+差異備份)

補充

• 中了勒索軟體後，如果平時沒有演練備份還原的行為，可能會在還原過程中卡住，無法執行還原程序以盡快恢復服務運行。

12. 實體安全:機房選址、CPTED、門禁、電力、消防、安全玻璃及緊急求救

• 機房選址 - 要先進行地理的背景調查，以做為風險迴避的依據
• CPTED - 通過環境設置以防範犯罪行為發生
• 門禁 - 設置警衛、旋轉門、補人器、柵欄高度8公尺
• 電力
  • Power Loss
    • Fault瞬斷
    • Blackout停很久
    • Sag or Dip低壓
    • Brownout：電壓過低
    • Spike突波：Spike 瞬間高壓
    • Surge長時間突波
• 消防
  • 停車場內最低照明: 2燭光
  • 柵欄高度: 8公尺
  • 機房濕度: 40-60%
    • 濕度太高: 腐蝕風險
    • 濕度太低: 靜電風險
  • 機房溫度: 15-32度
  • 機房起火: 濕式滅火器
  • FM-200、氣體式，取代海龍
  • 滅火器種類
    • A: 紙和木材
    • B: 氣體和油類
    • C: 電子設備
    • D: 易燃金屬
    • K: 廚房
  • 緊急求救 (安全疑慮)
    • 電話竊聽
    • Eavesdropping 隔牆有耳
    • 嗅探
    • 中間人攻擊
• 玻璃
  • 鋼化玻璃，類以於汽車的擋風玻璃。具有抗碎性，即便被撞，也只會碎成小塊晶體，不會形成尖銳的玻璃碴。
  • 夾絲玻璃，可抵抗鈍器的擊打。
  • 夾層玻璃，由兩片普通玻璃組成，中間隔著一個彈性塑膠片。
  • 防彈(BR)玻璃，通常安在銀行和高風險區域。防彈玻璃有多種不同的玻璃層，預設為 1.25 英寸厚 可抵禦 9 毫米子彈的衝擊。

13. 軟體開發:SDLC,CMMI,關聯式資料庫(基本名詞,交易)及其安全議題(聚合/推理、多實例)、OOP(類別圖)、威脅塑模,軟體測試及惡意軟體

• SDLC (軟體開發生命週期)

  • 計畫、分析、設計、開發、測試

• CMMI - 能力成熟度模型
  

• 關聯式資料庫 (RDBMS)

  • 關聯、關聯式、tuple
  • 實體完全性
    • Primary Key用來保護資料完整性
  • 參照完整性
    • 用交易 Transaction 來保護參考完整性
    • Clock Welson
  • 語意完整性
    • 控制資料型態 控制資料範圍 限定輸入方式
  • 視圖(view)
  • 聚合: 拼拼湊湊可以看到原貌
  • 推理: 可由部分資訊以推理的方式推導整個架構

• OOP(類別圖)

  • 把程式邏輯 + data包起來 (class)
  • 繼承

• 威脅塑模

  • STRIDE : 一拐二改三否認，洩密癱瘓生根
  • DREAD

14. 軟體架構.三層式,Restful,SOA,Microservices

• 三層式架構:

  • UI介面、程式邏輯、資料
    

• REST 服務 (主) + Restful (從)

  • 透過HTTP method 來操作數據
    • GET 用於查詢
    • POST 用於插入
    • PUT 用於修改
    • DELETE 用於刪除等。
  • 安全議題: GET 濫用

• SOA Service-Oriented Architecture(軟體服務化)

  • Service Registry，服務註冊
  • Service Provider，服務提供
  • Service Consumer，服務使用者

  應用

  • SOAP 一個規範，規定如何以結構化方式交換與 Web 服務有關的信息。

• Microservices 微服務

  • 把功能包在容器中，提供給大家使用

參考資料

• WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh
• CISSP學習與上課筆記
• CISSP 筆記 - Erwin
• CISSP 備考筆記
• [CISSP 必過葵花寶典2017]
• PocketPrep exam (OSG 第九版)
• ISC2 - CISSP考試大綱