這個考試真的是不簡單，第二次嘗試後還是以失敗收場，但還是會有下一次，畢竟這是我設定一定要達到的目標。這些筆記就是會以無限做CRUD (新增刪除修改)的循環持續成長中。

礙於考試規範是無法寫出題目，但說明考試出題方式或方向是可以的。以下開始重點摘要整理

BCM (IR/DR)

• 內外環境分析

• 找出利害關係人及需求

• 訂定範圍（清單）（BCM）

• 業務衝擊分析(BIA)

  • 找出關鍵流程及關鍵資源
  • 負面風險要做到經營高層可以接受的程度即可
    • 安全是需要成本，例如: 資安預算要花兩千萬，但公司沒這兩千萬就無法活下去，那資安就不重要。 資安存在的前提是公司要能夠活下去。
  • 風險評鑑
    • 識別分析評估
  • 風險處置
    • ATMA

• 測試及演練計畫

  • 桌面文件
  • 讀一遍跟走一遍
  • 模擬 (角色扮演)
  • 平行 (搭相同場景實際做一次看效果)
  • 全中斷 (玩真的)

• 滅火器種類

  • A(紙或木材)
  • B(油類)
  • C(電氣)
  • D(易燃金屬)
  • K(廚房)
  • 實務上是怎麼寫的
    

  引用自滅火器比較

• 備份原則321

  • 至少備份3份
    • 使用2種不同的備份方法
      • 如光碟、外接硬碟備份、磁帶備份
      • 另一份要在異地
  • 在測試演練中務必也要做還原備份的演練，同時要要注意到如何能夠達到業務持續及產品服務不中斷
  • 預防中勒索軟體的解決方案之一就是勤勞做資料備份及做還原系統的演練

• TPM

  • 信賴平台模組，功能是建立及儲存安全密鑰的地方
  • TrueCrypt - 早期應用於加密卷宗的工具，後來這功能其實算是沒再維護了，因為TPM 出現了
  • BitLocker

• Security token (安全權杖或有人翻成令牌)

  • 硬體
    • 基於時間同步的硬體令牌
    • TOTP
  • 軟體
    • 基於挑戰/應答方式，回答後混合亂數給出一組一次性的隨機數，可以充分的保證登錄認證的安全

• Security Assertion Markup Language

  • 安全斷言標記式語言
  • 角色
    • 資訊提供者（Identity Provider，IdP)
    • 服務提供者（Service Provider，SP）

• SSO

  • Integrated, Fedrated, Scripted (單一簽入)
  • ADFS - 解決不同網域的使用者一再輸入認證資料的問題。
  • 安全宣告標記語言 (SAML) 是一種 XML 標準，常用於SSO
  • 聯合身份管理 (FIM)
    • 用戶通常在與其交互的每個合作夥伴的安全域內擁有單獨的本地用戶身份。
    • 當合作夥伴就如何引用用戶建立了這樣的協議時，就稱該用戶具有聯合身份。

    • 引用自FIM 介紹

• 存取控制模型

  • DAC、MAC、RBAC、ABAC
    

• 安全模型BBCC

  • BLP，MAC，只控管機密性，禁南下
  • Biba，MAC，只控管完整性，禁北上
  • Chinese Wall，MAC，只控管機密性，防止利益衝突，以時間序列為基礎。
  • Clark-Wilson，交易相關，完整性

Code of Ethics

• 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
• 以光榮、誠實、公正、負責任和合法的方式行事。
• 為原則提供勤奮和稱職的服務。(為你的雇主提供專業)
• 推進和保護職業。(促進並保護資安專業)
• 投訴者，須為受害者，需指出受害者身份，指出CISSP違反原則
  • 第三條，雇主
  • 第四條，同為CISSP

個資及隱私

• 處理原則
  • 告知目的
  • 取得同意
  • 蒐集最小化
  • 使用者可以CRUD，對方不可以拒絕
  • 妥善保管
  • 出事要通知
  • 出事要負責 (法律責任)
• 資料利用
  • 去識別化
    • 匿名化 - 無法逆轉回來的方式
    • 假名化 (注意其他替換單字的用語)
• 隱私
  • 歐美法律
    • 1974 隱私權法案
    • 1983 隱私法

軟體、測試

• 軟體SDLC ，那些階段都要記熟

  • 規畫、分析、設計、開發、測試、維護
    • 架構設計、細部設計、威脅塑模 ...

• 測試種類跟技術

  • Unit test.
  • code review
  • 整合測試
  • 系統測試
  • UAT
  • 安裝測試
  • 合成測試

  考慮上述何者是不會讓產品服務直接中斷

• SOC 報告

  • 注意受眾對象
  • 雲服務

• 共享責任模型

  • IaaS、PaaS、SaaS

• CISSP 內使用的是LPT 的原則:
  

  • 資料收集
  • 掃描和偵察
  • 指紋和列舉
    • User Enumeration
    • DNS Enumeration
    • SNMP Enumeration
    • LDAP Enumeration
  • 脆弱性評估
  • 利用研究和驗證
  • 報告

其他

• 防火牆種類

  • 網路級防火牆
    • 一般是基於源地址和目的地址、套用、協定以及每個IP包的連線埠來作出通過與否的判斷。
  • 套用級防火牆
    • 套用級網關能夠檢查進出的數據包，通過網關複製傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯繫。
  • 電路級防火牆
    • 電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。
    • OSI Session layer (會話層)

• IDS：只偵測、只聽、只判斷，不干涉入侵行為

• IPS：偵測、判斷，干涉入侵行為

• OSI vs TCPIP (注意兩邊哪幾層是一樣的)
  

圖片引用自OSI-TCP

• 垃圾信自動產生跟轉發議題
  • 通道加密或輸入使用者帳號密碼才能寄信
  • 規則檢查防火牆
    • 該防火牆結合了包過濾防火牆、電路級網關和套用級網關的特點。

• VOIP
  • SIP - TLS/SSL
  • QoS
  • SRTP/RTP

參考資料

• 防火牆級別
• SSO - ADFS
• 垃圾信自動產生跟轉發 - Mail Relay
• Enumeration list
• 1983 隱私權法案 - CA
• 1974 隱私權法案 - USA
• SAML 介紹
• 安全權杖說明
• TrueCrypt
• WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh