• 資安定義
  

資訊安全是一門透過安全管制措施，保護資訊資產免於受到危害，以達到CIA目標，進而支持組織業務，創造價值，實現組織的使命及願景

• 定義中的免於危害，是指威脅(Threat)

  • 資安具體處置方式為下安全控制措施

• T1: 創造價值

  • 如何創造? 達標三輪車
    • 戰略管理、風險管理、解決方案

• T3: CIA

  • I: 完整性
    • FISMA-三個概念
      • 資料本身完整性: 資料不被竄改
      • 真實性(資料來源是真的)
      • 不可否認(收發雙方不可否認-法律概念)
    • 業界只剩下資料完整性
  • A: 可用性 (資料可用 系統及服務可用)
  • 怎麼做到? 透過安全管制措施

安全管制措施

• HIPAA
  • 行政管理類、技術邏輯類、實體類
• ISC2 7大類
  • 指示 directive 影響人的行為
  • 威嚇 (內有惡犬-打消動機)
  • 預防(提高門檻)
  • 偵測、糾正、恢復、補償
• ISO 27001 - 14大類
  • 存取控制/ 加密
    • 存取: 在特定情境使用
      • 機房會用Access
      • 主動方: 被用的是客體
• NIST RMF - 20個分類

採購風險

• SLA: 甲乙雙方協議
  1. 獨立文件
  2. 把主約寫在合約內 (根據實際狀況 , 寫在主約後比較麻煩 , 要重新用印)
  3. 附件
• SLR: 甲方要求
  • 乙方對甲方: 產品及服務
  • 甲方對乙方 能力沒問題 產品及服務沒問題
  • 甲方關心乙方: 對於資訊安全管理能力
    • 稽核審計權, 提了安全要求. (甲方會在合約內保留稽核權+安全合約綁一起
  • 合約，稽核、ISO 27001、 CC
  • 服務能力水平
    • CMMI
    • OWASP SAMM
    • 美國國防部對於供應鏈要求 - CMMC (類似ISO27001
  • 乙方 - 信用卡 PCI DSS
  • 採購雲服務 - 雲端安全聯盟 CSA Star (雲服務業者)
    • level 1 填問卷
    • level 2 iso27001 + SOC 2 type 2
    • lv. 3 不用管

  雲服務廠商涉及到財務 SOC 1. (會計師會要)

  • SOC 1 type 1 - 查核報告.
    • 誰出的
      • 第一方: 公司
      • 第二方: 合約客戶
      • 第三方: 美國執業會計師 (查核跟出報告)
    • 查財務系統的安全 - 控制措施設計的適切性-書面設計
      • 設計: 書面的解決方案
  • SOC 1 type 2 - 營運有效性
    • 設計弄好後實際執行半年以上，看半年以上的營運有效性
  • 丙方對乙方: 驗證關係
    • 針對保證措施驗 (CC) 取得證書或報告
  • 乙方會拿出來給甲方看 (保證制度)
  • 乙方給甲方 - 產品 - CC (ISO 15408)
    • 乙方賣的產品是server，要驗CC

資訊技術安全評估共同準則 (Common Criteria for IT Security Evaluation, ISO/IEC 15408)，簡稱共同準則 (Common Criteria) 或 CC，是針對實現資/通訊產品所使用資訊技術的安全性所進行的安全技術認證。

• ST: 驗證步驟
  • 廠商寫的
  • 不會寫 就 參考範本 PP
• TOE: 待測物
• 驗證分七級
  • EAL7，Formally 正式(學術)（數學）
  • EAL6，Semi-formally，半正式
  • EAL5，helf-Semi-formally ，半正式
  • EAL4，Methodically ，有設計
  • EAL3，Methodically，有條理
  • EAL2，Structurally ，有結構
  • EAL1，Functionally，有功能

美國橘皮書，主要在驗電腦系統 並分 ABCD 四級

• B: 支援DAC
• C: 支援MAC

小結:

• 甲方對乙方 (合約)
• 乙方對甲方 (產品及服務)
• 丙方對甲方 (保證制度)
• 丙方對乙方 (驗證，走CC)

業務

• 銷售業務+產品服務

資產安全

• 盤點
  • 指定owner 分類
• 分類
  • 業務價值、分類表(沒有特定形式)
    • 基於數據外洩 (機密性) 來判定業務價值
  • 流程分核心業務和非核心業務
• 保護
  • 安全控制措施+風險管理措施

工程議題

• 本質: 做東西
• 定義: 運用專業知識，把一件東西從無到有的做出來，讓它上線、使用它、維運它，直到到除役為止，都需要注意安全的部分。
  • 做出來 = 解決方案
  • 架構 = 主要元素及其關係
  • 系統本質 = 目的 + 元素
  • 要確保利害關係人需求
    • 需求: 隱含的是解決方案
  • 安全控制措施 = 保護的手段
  • 專業知識
    • 本質學能
    • 專案管理
    • 跨專案的資源管理
      • 人力資源管理
      • 知識管理
      • 品質管理
    • 合約管理 (採購跟銷售合約)
• 自製跟採購
  • 採購風險: 公司內部都搞不定，外部只剩下合約 (沒訂好就失控) 且下游的供應鏈管不到
  • 外部資源不只是用買的
    • OSS - (acquire 對外取得[獲取])
• 方法
  • 專業知識
  • 學術理論
  • 安全模型
    • BBCC
      • Clark-Wilson 模型側重於數據完整性。它依賴於職責分離和主客分離。主體通過接口或程序間接訪問和修改對象。這被稱為“訪問三元素”，由主體/程序/客體組成。
      • Clark-Wilson 模型定義了約束數據項 (CDI) 和完整性驗證程序並確認轉換程序 (TP)。
      • Chinese wall
        • 機密性
        • 關鍵字: 利益衝突、動態權限 (以時間為基礎
        • BLP 機密性
          • 防止洩密
          • 洩密: 高階資料不能跑到 低階 原因是 政策需求
            • 上面的人說不行 , 制度
            • BLP會實作在管理系統，管理制度會被實現在資訊系統上

有哪些標準??

• 資訊系統八元素 ISO 15288
• CC ISO 15408
• BCM ISO 22301
• ISMS 要求 ISO 27001
• ISMS SOA 指引 ISO 27002
• 個資 ISO 27701
  • ISO 尾巴是1: 都是要求

密碼學實務

• 破密學 = 演算法漏洞、攻擊情境(掌握多少訊息)
  • 星巴克模式-只拿得到密文 (唯密文)
  • 某個明文跟密文的對照 (已知明文)
  • 選擇明文跟密文 (可以根受測物互動)
  • 暴力攻擊 (破解金鑰而言
  • 量子電腦攻擊
  • Key Space 太小
  • 算法本身。設計瑕疵。
    • OpenSSL Library 議題
  • 生日快樂攻擊 (Hash)、找碰撞、MD5
  • 頻率分析
    • 可以從密文出現機率去拆出明文是什麼
• 柯克霍夫原則
  • 只有key 是秘密、其他是已知
    • Key: 不可預測性、Key space要大
      Key space:
    • 長度要長
    • 組合的隨機性要夠
  • entropy
    • 接收的每條消息中包含的資訊的平均量
    • 這是一個單位
    • 算出來可以比較兩個東西的不可預測性

機房安全議題

• 縱身防禦
  • 由外到內
    • CPTED、柵欄、補人器、旋轉門、警衛
• 火的成因
  • 溫度到達一定程度 (氧氣)
  • 有東西可以燒 (味道)
  • 產生亮光
  • 出現煙霧
• 滅火器分類
  • A(易燃物)、B(油)、C(電子產品)、D(易燃金屬)、K(廚房)
  • 海龍不能用，取代為FM-200 (氣體式)

軟體開發

SDLC 生命週期

• 規劃
  • 寫計劃書 - CMMI (採購跟變更管理)
  • 選擇安全開發方法
    • 預測式
    • 反覆式
    • 敏捷 (週期反覆、價值漸增)
      • Scrum: 通常是兩周或一個月
      • 每天開會時間: 15分
      • scrum / 看板 / XP
      • IPT 團隊、DevOps
• 分析
  • 引出需求，需求蒐集
  • 需求分析
    • 需求文件化 URS/ SRS (software requirement spec)
      • use case (操作步驟描述, 正常的操作步驟)
      • 誤用案例
      • User story (I want xxx, 規定描述需求的句型
  • V&V、變更管理
• 設計
  • 架構設計 細部設計
  • 設計審查 (Design review) ，看看有沒有安全性的問題
    • 威脅塑模 (STRIDE)
• 開發
  • 按圖索驥
  • 軟體環境、開發環境、過度環境、runtime 環境
  • 開發工具 - 版控軟體 git (最重要)，IDE 不用管
  • Mobile code
    • 從外面來的，activeX [外面來的code]/ javascript)
  • OOP 封裝、繼承、多型
    • 專業術語(封裝): 資料+code (class) - method (APP)
      • 動詞開頭 (命名慣例)
    • property (DATA)
      • 都是名詞 (命名慣例)
  • 三層式架構，為什麼要介紹?
    • 軟體不外乎資料處理

架構

• 三層式架構
  • 資料: DB議題
    • 軟體本質 Data + code
    • 資料存取程序
    • 資料庫
      • 放資料的地方
        • • 結構化 - 階層式
• SOA
  • 第二代: microservice
    • 容器 hpervisor
      • Type I: 裸機安裝(esxi)
      • Type II: app (vmware app)
    • 微區隔[VXLAN SD WAN(SDN)])
      • 微服務 協議 API gateway
      • flow control (throttling 流量管制)

• 測試

  種類

  • 測試者 對於測試標的的 會有一個期待值去實測 比對期待值跟實測值 是否一致
  • 兩大議題: 種類跟技術
  • 黑箱: 測試者 對於測試標的內部結構 處理邏輯 完全不了解
  • 白箱(水晶箱): 測試者 對於測試標的內部結構 處理邏輯 完全了解
  • 主動: 跟受測物 直接互動
  • 被動: 跟受測物 沒有直接互動
  • 靜態測試 沒有執行
    • 源碼檢測是靜態測試的一種
    • OSG把code review視為一種測試方法，但NIST 觀點對於review是查驗非測試行為

  技術

  • 單元測試 (UT) - TDD
  • code review
  • 整合測試
    • Git server 上，整合全部程式碼
    • 第一階段: 可編譯完成
    • 第二階段: 驗證模組間的通訊，例如: API 測試 - 模糊測試
    • CI (持續改善 日常 定期或不定期整合)，半夜跑的CI (nighty build)
  • 系統測試 (安全、壓力、性能)
  • UAT
  • 安裝測試
  • 交付佈署後的人工交易測試 ex. selenium
• 維護
  • 弱點與修補管理
    • CVE、CWE、CVSS
    • SCAP
  • 惡意軟體 (OSG ch21.)
  • 職責分離
    • 不要讓開發人員去正式系統上使用)
  • 修補: 風險處置 (不一定要補洞)
    • 要做到經營高層可以接受的程度即可

網路議題

網路目的 = 互傳+共享資源

第一層 實體層

• NEXT 串音干擾 影響完整性、訊號衰減
  • 防止外部干擾、防止近端串音
    • 解決方案: 數位訊號 Repeater ； 類比 放大器
• 傳輸媒介形式
• 打啥訊號
  • 類比或數位
    • 打一組或多組訊號 數位訊號無法重疊 類比才行
• 拓樸 - ring、bus、star

Layer 2 Datalink

• MAC
  • 用問的 (polling)
  • 用搶的 CSMA CD/ 、CSMA/ CA
• LLC (flow control / error control)

Layer 3 networking

• address
  • 貼門牌號碼
• routing
  • 路由 等於決策
  • 路由協定
    • 路由表、路由協定
      • RIP
        • lv1. 缺點 明文沒有加密 沒有身分驗證 流氓路由器
        • lv2 身分驗證
      • OSPF、BGP
  • icmp, ping tracroute / igmp
  • arp - 把IP 轉換為網卡卡號 , 用broadcast
  • 具體通訊協定 IPv4/ IPv6
• control

Layer 4 傳輸層

• FTP 協定規定、指令 (下載GET、上傳PUT)
• 瀏覽器、HTTP metod
  • get put post delete
• 編碼、壓縮、加密
• 保證送達/ 不保證送達
• TCP 三段式交握
• UDP 實現不保證送達

Layer 5 會話

• 會話控制

Layer 6 表達

• ASCII、UTF8、JPG

Layer 7 應用

• HTTP 服務
• FTP 服務

以下重點要注意

• 無線、遠距、行動、虛擬
• 個資、外部、進出口管制、瓦聖納協議
• 跟業務有關的東西、人身安全 (成本/ 價值)
• BCM、DR、IR

每次的複習，都是為了讓自己更好而做的實際行為
10/13 到了，考試加油 ~ 相信自己，光榮時刻