ISC2 Certified in Cybersecurity (CC)考試準備心得

# ISC2 Certified in Cybersecurity (CC)考試準備心得更新時間:2024/10/2 這門考試官方定義為Entry Level，也就是資訊安全的入門證照通過考試條件 --- - 考試時間2小時，100題，單選題 - 單選或多選題 - 通過分數滿分為1000分，至少超過700分以上才會過 - 考試支援的語系版本:德文、日文、西班牙文、簡體中文、英文、韓文 - 特別注意(ISC)2考試現在作答方式一但選擇後送出無法更改 - 考試地點: * Pearson Professional Test Center Taipei考試中心 * 台北市信義區基隆路一段163號12樓-3 聯合世紀大樓 * 恆逸高雄考試中心 * 高雄市前鎮區中山二路2號25樓 - 考試費用:到2023/12/31可以用coupon免費，如果考不過，自己在報要跟你收199美金(沒有用coupon自己報名也是199美金)，如果考試延期要在考試時間前48小時上去改(這邊講的是線上)，目前不用收費，如果要用電話去改考試時間也可以但是要在24小時前完成，如果有用coupon考試取取消序號就作廢下次不能再用 - ISC2準會員年費（AMF）50美金 - ISC2正式會員年費（AMF）:不論持有證照數量每年皆為 125 美元 - CPE學分:3年需要45個CPE，平均一年要15個 - 從考試到發證大約 24 小時考試比重 --- - Security Principles 26% - Business Continuity (BC), Disaster Recovery (DR) & Incident Response Concepts 10% - Access Controls Concepts 22% - Network Security 24% - Security Operations 18% *考试还包含25道预测试题目，在试点考试期间共100道题。它们仅用于研究目的。预考的题目没有明确指出，所以要尽力回答每一道题目。準備方向/攻略 --- ISC2的考試重點就是 * 扎實念、觀念要懂、思考要靈活 * 念書要有紀律 * CC考試重點在於你對專有名詞的了解度80%，實務經驗20% * 專有名詞解釋要記熟參考書 --- Official ISC2 Certified in Cybersecurity (CC) eTextbook https://enroll.isc2.org/product?catalog=CC-EPUB-DESC Certified in Cybersecurity (CC) course ISC2 '23 Kindle Edition https://www.amazon.com/Certified-Cybersecurity-CC-course-ISC2-ebook/dp/B0C3PSVSXX CC Certified in Cybersecurity All-in-One Exam Guide 1st 版本, Kindle Edition https://a.co/d/hrVWVdb CC Certified in Cybersecurity All-In-One Exam Guide https://www.tenlong.com.tw/products/9781265203818 分類重點提示 --- - **第一章 Security Principles** CIA很重要一定要搞清楚還有IAAA (Identification and Authentication, Authorization and Accountability) ->這也很重要反向 Disclosure, Alteration, and Destruction CIA三元素同時也描述對立的三項：洩漏(Disclosure)、變造(Alteration)、破壞(Destruction)，合併起來是DAD。洩漏是指未經授權的紕漏資料；變造是指未經授權的修改資料；而破壞指讓系統變得不可用。有些時候CIA縮寫順序會改變，DAD縮寫則會保持順序。 --- ISC2道德准则的目的和意图作为 ISC2成员的网络安全专业人员对规范中的以下四个实体负有责任保护社会、共同利益、必要的公众信任和信心以及基础设施。以光榮、誠實、公正、負責任和合法的方式行事。为業主提供勤勉、称职的服务。推进和保护职业。 --- 安全控制涉及物理、技术和管理机制，它们充当为信息系统规定的保障措施或对策，以保护系统及其信息的机密性、完整性和可用性。控制措施的实施应能降低风险，有望达到可接受的水平。物理控制使用物理硬件設備解決基於流程的安全需求，例如徽章閱讀器(講的是RFID讀卡機)、建築物和設施的建築特徵，以及人們要採取的具體安全措施。它們通常提供控制、指揮或阻止人員和設備在特定物理位置（例如辦公室、工廠或其他設施）移動的方法。物理控制還可以保護和控制進入建築物、停車場或組織控制範圍內的其他區域周圍的土地。在大多數情況下，物理控制由技術控制支持，作為將它們納入整體安全系統的一種手段。技術控制（也稱為邏輯控制）是計算機系統和網絡直接實施的安全控制。這些控制可以提供自動保護，防止未經授權的訪問或濫用，促進安全違規檢測，並支持應用程序和數據的安全要求。技術控制可以是作為數據存儲的配置設置或參數，通過軟件圖形用戶界面 (圖形用戶界面) 進行管理，也可以是通過開關、跳線插頭或其他方式完成的硬件設置。然而，技術控制的實施總是需要重要的操作考慮，並且應該與組織內的安全管理保持一致。當我們在本章後面的部分和後續章節中查看它們時，我們將更深入地研究其中的許多內容。行政控制（也稱為管理控制）是針對組織內人員的指令、指南或建議。它們為人類行為提供框架、約束和標準，並應涵蓋組織活動的整個範圍及其與外部各方和利益相關者的互動。通过政策和程序实施的控制。示例包括访问控制过程和需要多个人员执行特定操作。现代环境中的管理控制通常与物理和/或技术控制一起实施，例如需要招聘经理登录和批准的新用户访问授权策略。 --- 生物特征个人的生物特征，例如指纹、手部几何形状、声音或虹膜图案。生物特徵本身是不安全的，只有視網膜是安全 ->因此需要結合其他因子生物特徵需要考量的因素有成本效能準確度 Something you know 所知之事-> Type 1 Passwords 你知道的東西实际主密码（即 "你知道的东西"）之外的要求。通關密碼就是大家熟悉的傳統密碼，但可以被破解的機率很大，只要某個網路服務有用，就有被駭客攻擊的可能。你知道的东西：密码或释义 Something you have 所持之物-> Type 2 一次性密码通常由设备生成（即 "你拥有的东西"）智慧卡安全性比傳統密碼更高，如透過發送 OTP 密碼到個人裝置，再進行驗證。例如，現在很多網路銀行，在使用者進行轉帳時會發送一組簡訊密碼到手機，以及常見的 Google Authenticator 都屬於此類。你有的东西: 代幣, 存储卡、智能卡 Something you are 所具之形-> Type 3 生物特徵(指紋或視網膜比對) 個人的生物特徵。舉凡指紋、人臉、虹膜辨識都屬此類。你是什么: 生物識別 , 可测量的特征有一些議題如 False Negative / False Positive / FRR / FAR /CER / ERR 单因素身份验证- 仅使用三个可用因素之一（您知道的东西、您拥有的东西、您是的东西）来执行所请求的身份验证过程。多因素身份验证- 使用三个身份验证因素（你知道的东西、你拥有的东西、你是的东西）的两个或更多不同的实例来进行身份验证。 ---- 纵深防御 (Defense In Depth "DiD") 描述了一种网络安全方法，它使用多层安全进行整体保护。整合人员、技术和运营能力的信息安全战略，在组织的多个层级和任务中建立可变障碍。来源：NIST SP 800-53 Rev 4 分层防御使用串联排列的多个控件来提供多个连续控件来保护资产；也称为纵深防御。职责分离的原则 (Separation of Duties)，任何用户都不应该被赋予足够的权限来滥用系统。最小特权原则 (Least Privilege) 规定，应该只给予用户完成其特定任务所需的特权，用户和程序应仅具有完成其任务所需的最低权限的原则。 NIST SP 800-179 特权帐户- 具有特权用户批准授权的信息系统帐户。 NIST SP 800-53 修订版 4 --- 法規和標準相關健康保险流通与责任法案 (HIPAA) - 这项美国联邦法律是美国最重要的医疗保健信息法规。它指导采用电子医疗保健交易的国家标准，同时保护个人健康信息的隐私。其他条款涉及减少欺诈、对拥有健康保险的个人的保护以及广泛的其他与医疗保健相关的活动。美东时间。 1996 年。受保护的健康信息 (PHI) - 有关健康状况、医疗保健提供或 HIPAA（健康保险流通与责任法案）中定义的医疗保健支付的信息。受雇为一个组织内的PHI设计安全政策的安全顾问将主要负责处理： ->PHI是一个缩写，代表受保护的健康信息 Protected Health Information。个人身份信息 (PII) - 美国国家标准与技术研究院 (NIST) 在其特别出版物 800-122 中将 PII 定义为由机构维护的有关个人的任何信息，包括 (1) 任何可以使用的信息区分或追踪个人身份，例如姓名、社会安全号码、出生日期和地点、母亲的婚前姓名或生物特征记录。 (2) 与个人相关的或可链接的任何其他信息，例如医疗、教育、财务和就业信息。通用数据保护条例 (GDPR) - 2016 年，欧盟通过了涉及个人隐私的综合立法，将其视为个人人权。支付卡行业数据安全标准 (PCI DSS) - 由支付卡行业安全标准委员会管理的信息安全标准，适用于处理信用卡或借记卡交易的商家和服务提供商。 Federal Information Security Management Act（FISMA）包含保护美国政府信息和运营的准则和安全标准。 2002年 Sarbanes–Oxley Act（SOX）是一部美国联邦法律，规定并监管公司的财务记录保存和报告做法。 - **第二章 Business Continuity (BC), Disaster Recovery (DR) & Incident Response Concepts** 风险- 可能对组织产生负面影响的事件。风险管理是识别、评估和减轻风险的过程风险管理——识别、评估和控制威胁的过程，包括风险背景（或框架）、风险评估、风险处理和风险监控的所有阶段。風險管理就是將風險控制到經營高層可接受的範圍風險評鑑 Risk assessment(不是風險評估) ->風險識別 Risk Identification（找風險）->目標相關 ->風險分析 Risk Analysis->機率、影響、曝險值、方法定量風險分析：依據資產價值、損失幅度預估、年化發生率計算出年化損失預估，防護方案年平均成本扣除掉年化損失預估，來評估此風險。舉例，某一個350人的公司，平均每年會有一架個人電腦遭受勒索軟體攻擊成功，評估其所造成的業務中斷損失，所需回復時間成本，最終實際損失，包含人力損失、資料損失所造成的財損、回復資料的成本等，並以防護方案所需的成本加以計算。定性風險分析：由於並非任何風險均可以透過定量風險分析手段計算其風險，故採用定性風險分析有助於評估不容易量化的風險，此分析手段需要依據組織實際狀況，所牽涉的資產價值，仰賴風險管理小組的經驗，對風險做出評分(Scoring)。手段可能有：訪談、腦力激盪、Delphi法、檢查表(點檢表)、實地視察或狀況推演等。風險等級 Level of Risk = Probability + Impact ->風險評估 Risk Evaluation->決定是否處置风险评估——识别和分析组织运营（包括使命、职能、形象或声誉）、组织资产、个人和其他组织的风险的过程。作为风险管理的一部分执行的分析，其中包含威胁和漏洞分析，并考虑计划或到位的安全控制提供的缓解措施。風險處置 Risk Treatment 风险处理- 确定解决已识别风险的最佳方法。 ->風險避免 Avoid 风险规避包括停止可能对一个组织及其资产产生负面影响的活动。风险规避- 确定特定风险的影响和/或可能性太大而无法被潜在收益抵消，并且由于该确定而无法执行特定业务功能。 ->風險轉移 Transfer 风险转移是一种风险管理策略，它以合同形式将纯风险从一方转移到另一方（转移到保险公司）。 ->風險緩解 Mitigate 风险缓解- 实施安全控制以减少特定风险的可能影响和/或可能性。 ->風險接受 Accept 风险接受——确定业务功能的潜在收益超过可能的风险影响/可能性，并在不采取其他行动的情况下执行该业务功能。风险承受力是一个投资者愿意忍受的风险程度。风险降低包括减少风险的机制。风险容忍度——实体为实现潜在预期结果而愿意承担的风险水平。资料来源：NIST SP 800-32。风险阈值、风险偏好和可接受的风险也是风险承受能力的同义词。在风险管理情方面，ALE 概述了哪些信息 ->年化损失期望值（Annualized Loss Expectancy, ALE）是风险暴露的一个标准指标，指的是如果某个风险没有得到缓解，每年的预期费用。 ------ BIA營運衝擊分析(business impact analysis) 业务影响分析（BIA）是一种技术，用于分析中断如何影响一个组织，并确定所有业务活动和相关资源的关键程度。 BC(Business continuity)业务连续性 - 确保组织在突发事件期间能够继续关键运营的行动、流程和工具。 BCP (Business continuity planning) 業務持續性計畫，是一套基於「業務」運行的「管理要求」和「規章流程」，在一個企業中發生「突發事件」時能夠迅速做出反應，並且確保「關鍵業務」功能可以持續不造成業務中斷或業務流程业务连续性计划（BCP）是一套预先确定的指令，描述了一个组织的任务和业务流程在重大中断期间和之后将如何维持 DRP (Disaster Response Planning)災害復原計畫灾难恢复计划是应对重大故障或灾难时恢复信息系统的计划。灾难恢复计划（DRP）是一个在发生重大硬件或软件故障或组织设施被毁时处理和恢复业务的计划。灾难恢复计划的主要目标是将业务恢复到最后已知的可靠运营状态。 RTO（Recovery Time Objective）最大可允許中斷時間，指的是系統重啟、回復正常運作所需花費的時間 RPO（Recovery Point Objective）資料損失可允許的最遠回溯時點，則是系統中斷到重啟期間所損失的資料量 MTD(Maximum tolerable downtime)最大可容忍的停機時間 MTO(Maximum Tolerable Outage)最大容許中斷是企業可以支持備用模式下的處理的最長時間。備用模式不適用於長期運行。MTO為業務連續性解決方案設定過渡到正常模式的時間段目標。 MTPD (maximum tolerable period of disruption )最大可忍受中斷時間如果產品或服務的交付不能恢復，組織生存能力將受到不可恢復的傷害之最大時間。 SDO(Service Delivery Objective)服務交付目標與業務需求直接相關，它是在備用模式下直到恢復正常情況之前要達到的服務水平。當系統在RTO和RPO中恢復時，它將以備用模式運行，在該模式下，系統應提供足夠的服務水平並滿足SDO。 AIW（Acceptable Interruption Window)可接受的中斷窗口是在損害企業業務目標的實現之前，系統不可用的最長時間。 AIW也稱為最大容許停機時間（MTD）或最大容許中斷時間（MTPD）。但是，ISACA的定義強調“系統”，而MTD或MTPD是一個商業術語，著眼於業務流程或優先活動的中斷。 WRT（Work Recovery Time)工作恢復時間是“恢復和修復系統後，恢復丟失的數據，工作積壓和手動捕獲的工作所需的時間長度”。 WRT通常與恢復點目標（RPO）有關。RPO越短；WRT越快。維修時間和WRT之和應小於恢復時間目標（RTO）。 ------------- 事件- 实际或潜在地危及信息系统的机密性、完整性或可用性或系统处理、存储或传输的信息的事件。事件- 网络或系统中任何可观察到的事件。来源：NIST SP 800-61 Rev 2 事件处理- 缓解违反安全策略和推荐做法的情况。也称为事件响应。来源：NIST SP 800-61 Rev 2。事件响应 (IR) - 缓解违反安全策略和推荐做法的情况。也称为事件处理。来源：NIST SP 800-61 Rev 2。事件响应计划 (IRP) - 一组预定指令或程序的文档，用于检测、响应和限制针对组织信息系统的恶意网络攻击的后果。来源：NIST SP 800-34 Rev 1 事故响应计划中常见的组成部分是（按照这个顺序）：准备；检测和分析；遏制、根除和恢复；事后审查。应急响应生命周期，根据国际广泛采用的 PDCERF 方法，应急响应生命周期分为6个阶段：准备、检测、遏制、根除、恢复、跟踪。也分为两大块威胁检测和安全事件处置。P → D → C → E → R → F → P Incident Management 事故管理 Preparation 准备 Detection 检测和分析 Response 响应 Mitigation 抑制 Reporting 報告 Recovery 復原 Remediation 补救 Lessons Learned 經驗學習 Lessons Learned -> 從事件中學到教訓在一个事故响应团队中，以下哪个角色是团队与高级管理层的主要联系 ->管理层或组织领导层的成员充当了通往高级管理层的主要渠道。在事故的调查过程中，以下哪种安全政策最可能造成困难？ ->保留政策要求只在有限的时间内保留数据。由于数据存储容量的费用很高，不少组织只在很短的时间内（几小时到几天）保留特定的日志，而将其他数据记录保留更长的时间（几个月到几年）。正因为如此，并不是所有的事故数据都能得到。 - **第三章 Access Controls Concepts** 控制的型態 Access Control Types(Preventative、Detective、Corrective、Recovery、Deterrent、Compensating) * 強制存取控制 MAC,Mandatory Access Control 要求系统本身根据组织的安全策略管理访问控制的访问控制。用户没有太多自由确定谁可以访问他们的文件。由系统对用户创建的对象进行统一的强制性控制 * 自主存取控制 DAC,Discretionary Access Control 自主访问控制 (DAC) - 一定数量的访问控制留给对象所有者或任何其他有权控制对象访问的人自行决定。所有者可以确定谁应该拥有对象的访问权限以及这些权限应该是什么。 NIST SP 800-192 * 識別存取控制 IBAC,Identify-Based Access Control 基于身份的访问控制网络管理员使用此模型可基于个人需求更加有效地管理活动和访问 * 規則基礎存取控制 RuBAC,Rule-Based Access Control 以角色為基礎的存取控制傳統超級使用者型系統會將完整的超級使用者權力，授與任何一個可以成為超級使用者的人。管理員可指定有限的管理功能給一般使用者。 * 系統角色存取控制 RBAC,Role-Based Access Control 要求一个特定的用户角色来访问资源是一个 ..... 的例子。 ->角色访问控制（Role-based Access Control, RBAC）根据组织中每个用户的角色来限制对计算机或网络资源的访问。根据工作标题允许访问。RBAC 在提供对对象的访问时很大程度上忽略了自由。例如，一个人类资源专家不应该允许创建网络账户，此角色应该保留给网络管理员 * 屬性存取控制 ABAC,Attribute-Based Access Control ABAC是一个访问控制模型，它使用规则控制对对象的访问，这些规则根据主体的属性、相关对象以及环境和行动的属性进行评估。 * 內容型存取控制 CBAC,Context-Based Access Control 基于上下文的访问控制內容型存取控制 * 基于组织的访问控制 OrBAC,Organization-based access control 允许策略设计者定义一个与实现无关的安全策略访问规则ACL是通过将主体的验证身份与访问控制列表进行比较来允许或拒绝访问对象的指令。规则的一个示例是防火墙访问控制列表。默认情况下，防火墙拒绝从任何地址访问任何端口上的任何地址。然而，要使防火墙发挥作用，它需要更多的规则。可能会添加一条规则以允许从内部网络访问外部网络。在这里，我们描述了一个规则，该规则允许具有“内部网络”地址的主体访问“外部网络”对象。在另一个示例中，当用户（主体）尝试访问文件（对象）时，规则会验证访问级别，如果有的话，用户应该拥有该文件。为此，该规则将包含或引用一组属性，这些属性定义了已确定适合的访问级别。规则可以：比较多个属性以确定适当的访问权限。允许访问对象。定义允许的访问量。拒绝访问对象。应用基于时间的访问。 - **第四章 Network Security** OSI七層 ->觀念要搞清楚實體層（Physical Layer）資料連結層（Data Link Layer）網路層（Network Layer）互联网协议（IP）是一个第3层的协议。互联网控制消息协议（ICMP）和互联网组管理协议（IGMP）也是第3层的协议。傳輸層（Transport Layer）會議層(對談層)（Session Layer）表現層(表示層)（Presentation Layer）應用層（Application Layer）简单网络管理协议（SNMP）是一个用于配置和监控连接到网络的设备的协议。它是一个应用级协议（第7层）路由器是一种作为两个或多个网络之间的网关的设备，在它们之间转发和引导数据包。 TCP/IP 四層 ->觀念要搞清楚应用层（Application Layer）传输层（Transport Layer）网络层（Network Layer）数据链路层（Data Link Layer）广播- 广播传输是一种发送互联网流量的一对多（一对多）形式。无线局域网 (WLAN) - 一组位于同一附近的计算机和设备，形成基于无线电传输而非有线连接的网络。 Wi-Fi 网络是 WLAN 的一种。虚拟专用网络 (VPN) - 建立在现有网络之上的虚拟专用网络，可为网络之间的传输提供安全的通信机制。虚拟局域网 (VLAN) - 工作站、服务器和网络设备的逻辑组，尽管它们的地理分布似乎在同一个 LAN 上。 TCP连接握手使用的三个数据包是哪个？ SYN→SYN/ACK→ACK TCP使用三次握手，通过交换带有SYN、SYN/ACK和ACK标志的三个数据包来建立一个可靠的连接。以下哪种方法通常用于映射网络中的实时主机 ->Ping扫描（Ping Sweep）是一种常用于映射网络中的实时主机的方法。阻止重放攻击的最佳防御方法是 ->重放攻击（Replay Attack）是指攻击者捕获并重新发送（即 "重放"）经过验证的信息。互联网安全协议的虚拟专用网（Internet Protocol Security Virtual Private Network, IPsec VPN）可以防止重放攻击，因为它跟踪数据包的顺序，并在所有数据包上包括发送方的签名。 IP位址的計算方式这些不同的子网掩码（subnet mask）中，哪一个会允许30台主机？/27 ->子网掩码是一个区分网络地址和主机地址的数字。子网划分是将一个网络划分为两个或多个子网的过程。为了允许30个主机加上2个地址用于广播和网络地址，我们必须寻找255.255.255.224掩码，或者使用 CIDR（Classless Inter-Domain Routing, 译为“无类别域间路由”）符号的 /27。对于32个地址，我们需要5位和掩码 /32 - log2(32)= /32 - 5= /27。至于其余的掩码，/26会导致64个主机，/29会导致8个主机，而 /30会导致4个主机。文件传输协议 (FTP) - 用于在主机之间传输文件的互联网协议（和程序）。互联网控制消息协议 (ICMP) - 由互联网工程任务组 (IETF) 通过 RFC 792 标准化的 IP 网络协议，用于确定特定服务或主机是否可用。互联网协议 (IPv4) - 用于在分组交换通信网络和此类网络的互连系统中将数据从源传输到目的地的标准协议。 CNSSI 4009-2015 防火墙- 通过基于一组规则过滤传入流量来执行管理安全策略的设备。分片攻击——在分片攻击中，攻击者将流量分片，使系统无法将数据包重新组合在一起。拒绝服务 (DoS) - 防止授权访问资源或延迟时间关键操作。（时间关键可能是几毫秒或几小时，具体取决于所提供的服务。）来源：NIST SP 800-27 Rev A ----- 雲端云计算- 一种模型，用于实现对可配置计算资源（例如，网络、服务器、存储、应用程序和服务）的共享池的无处不在、方便、按需的网络访问，可以以最少的管理工作快速配置和发布，或服务提供者交互。 NIST 800-145 公有云就是我们通常所说的面向公共用户的云。访问公共云非常容易。除了申请和支付云服务之外，没有真正的机制。它对公众开放，因此是一种共享资源，许多人将能够将其用作资源池的一部分。公共云部署模型包括可供任何消费者租用或租赁的资产，并由外部云服务提供商 (CSP) 托管。服务水平协议可以有效地确保 CSP 以组织可接受的水平提供基于云的服务。私有云是一种云计算模式，云基础设施专用于单一组织（而不与他人共享）。私有云从与公共云相同的技术概念开始，只是它们不是与公众共享，而是通常为构建自己的云的私有组织开发和部署。组织可以使用自己的资源创建和托管私有云。因此，此部署模型包括单个组织的基于云的资产。因此，组织负责所有维护。但是，组织也可以从第三方租用资源，并根据服务模型（SaaS、PaaS 或 IaaS）拆分维护需求。私有云为组织及其部门提供对私有云中可用的计算、存储、网络和软件资产的私有访问。多租户技术意味着多个云供应商客户（租户）共享相同的计算资源。社区云是一种基础设施，多个组织基于共同的需求（可以是技术或监管）共享资源和基础设施。社区云可以是公共的，也可以是私有的。它们的独特之处在于它们通常是为特定社区云开发的。例如，主要关注有机食品的公共社区云，或者专门关注金融服务的社区云。社区云背后的理念是，志同道合或兴趣相近的人可以聚在一起，共享 IT 能力和服务，并以有利于他们共享的特定兴趣的方式使用它们。最后，混合云指的是一种结合企业本地的基础设施、私有云服务和公共云来处理存储和服务的模式。混合云部署模型是通过结合两种形式的云计算部署模型创建的，通常是公共云和私有云。混合云计算越来越受到组织的欢迎，因为它使他们能够保持对 IT 环境的控制，方便地允许他们使用公共云服务来完成非关键任务工作负载，并利用灵活性、可扩展性和成本节约优势。混合云部署的重要驱动因素或好处包括：保留对与技术相关的关键任务和流程的所有权和监督，在组织内重用以前对技术的投资，控制最关键的业务组件和系统，以及实现非关键业务的经济高效的方法功能（利用公共云组件）。在软件即服务（SaaS）中，消费者可以控制用户特定的应用配置设置，但不能控制底层应用逻辑和基础设施。在功能即服务（FaaS）模式中，云客户部署应用层面的功能（通常为微服务），只有在该功能被执行时才会收费。在平台即服务（PaaS）中，云客户不管理或控制底层云基础设施（包括网络、服务器、操作系统和存储），但对部署的应用程序和库有控制权。基础设施即服务（IaaS）模式为客户提供基本的计算资源（如处理、存储或网络），消费者能够部署和运行任意的软件，也可以选择操作系统。 - **第五章 Security Operations** 資料處理生命週期(Data acquisition、Data use、Data archival、Data disposal) Data Handling，两到三个分类是易于管理的数据安全生命周期模型的六个阶段是：创建->存储->使用->共享->归档->销毁。记录保留- 基于记录生命周期的一种做法，根据该做法，记录会在必要时保留，然后在适当的时间间隔过去后销毁。剩磁 - 清除后残留在存储介质上的信息。 NIST SP 800-88 修订版 1 消磁- 一种擦除磁盘或磁带（包括录像带）上的数据的技术，如果执行得当，可以确保没有足够的剩磁来重建数据。 --- 加解密技術加密- 通过将私人信息放入只有有权这样做的人才能阅读的形式来保护私人信息。加密- 将消息从明文转换为密文的过程和行为。有时它也被称为加密。这两个术语有时在文学作品中可以互换使用，并且具有相似的含义。加密系统- 算法、过程、硬件、软件和程序的总集，它们共同提供加密和解密能力。解密- 加密的逆过程。它是通过使用密码算法和适当的解密密钥（对称加密相同，非对称加密不同）将密文消息转换回明文的过程。该术语也可与“解密”互换使用。密文- 明文消息的更改形式，因此除了预期的收件人之外，任何人都无法阅读。换句话说，它已经变成了一个秘密。明文- 自然格式和可读形式的消息或数据；从机密性的角度来看非常脆弱。密码分析员 - 执行密码分析的人，这是研究试图击败密码技术和/或信息系统安全的数学技术。这包括在算法或算法本身的实现中寻找错误或弱点的过程。密码学- 保护或保护消息、文件或其他信息的含义和内容的方法的研究或应用，通常通过对该内容和含义的伪装、模糊或其他转换。對稱式加密 Symmetric 对称密钥算法是一类加密算法，它使用单一密钥对数据进行加密和解密。常見的對稱加密演算法有AES、ChaCha20、3DES、Salsa20、DES、Blowfish、IDEA、RC5、RC6、Camellia 非對稱式加密 Asymmetric 非对称密码学使用一对相关的密钥：公钥和相应的私钥。用公钥加密的信息只能由其相应的私钥解密，反之亦然。公開金鑰密碼學（英語：Public-key cryptography）也稱非對稱式密碼學（英語：Asymmetric cryptography）是密碼學的一種演算法，它需要兩個金鑰，一個是公開密鑰，另一個是私有密鑰；公鑰用作加密，私鑰則用作解密。使用公鑰把明文加密後所得的密文，只能用相對應的私鑰才能解密並得到原本的明文，最初用來加密的公鑰不能用作解密。由於加密和解密需要兩個不同的密鑰，故被稱為非對稱加密；不同於加密和解密都使用同一個密鑰的對稱加密。公鑰可以公開，可任意向外發佈；私鑰不可以公開，必須由使用者自行嚴格秘密保管，絕不透過任何途徑向任何人提供，也不會透露給被信任的要通訊的另一方。基於公開密鑰加密的特性，它還能提供數位簽章的功能，使電子檔案可以得到如同在紙本檔案上親筆簽署的效果。公開金鑰基礎建設透過信任數位憑證認證機構的根憑證、及其使用公開金鑰加密作數位簽章核發的公開金鑰認證，形成信任鏈架構，已在TLS實現並在全球資訊網的HTTP以HTTPS、在電子郵件的SMTP以SMTPS或STARTTLS引入。常見的公鑰加密演算法有：RSA、ElGamal、Rabin（RSA的特例）、DSA、ECDSA。雜湊 Hashing 散列函数- 一种算法，用于计算数据文件或电子消息的数值（称为散列值），用于表示该文件或消息，并取决于文件或消息的全部内容。哈希函数可以被认为是文件或消息的指纹。 NIST SP 800-152 散列- 对数据使用数学算法以生成代表该数据的数值的过程。来源 CNSSI 4009-2015 針對加解密的攻擊活動(中間人攻擊、旁側道) 校验和(checksum)一个数字，表示存储或传输的数字数据中正确数字的总和，以后可以进行比较以检测数据中的错误。消息摘要（Message Digest）- 唯一标识数据的数字签名并具有这样的属性：更改数据中的单个位将导致生成完全不同的消息摘要。 NISTIR-8011 Vol.3 --- 組態管理 Configuartion Management 基线- 标准或组织允许的记录在案的最低级别的安全配置。配置管理- 用于确保对系统所做的唯一更改是那些已获得授权和验证的过程和规程。修補管理 Patch Management 为了防止有缺陷的补丁对运行中的系统产生负面影响，在将补丁应用到生产系统之前，在指定的鉴定环境中测试补丁是一个很好的做法。 "实现强化系统的最佳方法之一是自动安装更新、补丁和服务包"。补丁- 一种软件组件，在安装时直接修改与不同软件组件相关的文件或设备设置，而不更改相关软件组件的版本号或发布详细信息。来源：ISO/IEC 19770-2 补丁管理- 操作系统和应用软件代码修订的系统通知、识别、部署、安装和验证。这些修订被称为补丁、热修复和服务包。来源：CNSSI 4009 變更管理 Change Management 确保系统变化不会对业务运营产生不利影响的过程被称为: 变更管理是指实施必要的变更，使其不对业务运营产生不利影响的过程。请求变更（RFC）是请求的第一个阶段：它从利益相关者的角度将变更正式化，其中利益相关者寻求程序或产品的变更。下一个阶段是批准阶段，每个利益相关者都会审查该变更，确定并分配相应的资源，最终批准或拒绝该变更（同时会适当地记录该批准或拒绝）。回滚阶段解决的是当监控变化表明失败或性能不足时要采取的行动。 --- 資訊安全治理治理- 如何管理组织的过程；通常包括如何为该组织做出决策的所有方面，例如该组织用于做出这些决策的政策、角色和程序。安全治理- 组织用于在组织中做出安全决策的全部策略、角色和流程。政策 Policy -> 標準 Standard -> 指引 Guidelines -> 程序 Procedures 政策 Policy ->具強制性甚至更高的法規政策 Policy ->具強制性的線上參考資源 --- - ISC2 Certified in Cybersecurity Certification Exam Outline https://www.isc2.org/Certifications/CC/Certification-Exam-Outline - medium/Kuro/最佳新手資安管理證照，ISC2 CC 自修考試心得、準備方式與教材整理（Certified in Cybersecurity Certification） https://medium.com/blacksecurity/cc-cbcfc9b842b5 - 免費取得第一張國際知名機構的資訊安全認證 Certified in Cybersecurity (CC) https://medium.com/@zephyrhsu74/isc2-free-certification-certified-in-cybersecurity-cc-e95223ee0432 - 全球網絡安全勞動力失衡 (ISC)2免費課程及考試填補人才缺口 https://reurl.cc/m39MDj - Github ISC2-CC-Study-Material https://github.com/cyberfascinate/ISC2-CC-Study-Material - ISC2 CC (Certified in Cybersecurity) 考試經驗 https://lin0204.blogspot.com/2022/12/isc2-cc-certified-in-cybersecurity.html?m=1 - 順便拿張同範圍的Certified in Cybersecurity℠ - CC https://ithelp.ithome.com.tw/articles/10310944 - All about the (ISC)² Certified in Cybersecurity (CC) certification and how I became certified. https://hellotushaar.medium.com/introduction-to-isc-%C2%B2-certified-in-cybersecurity-cc-certification-and-how-i-became-certified-467d7b9e1014 - Cracking Certified in Cybersecurity (CC) Exam by (ISC)² https://medium.com/@staycybersafe/cracking-certified-in-cybersecurity-cc-by-isc-%C2%B2-ecafcb37a296 - Free Cybersecurity Courses from ISC2 https://stefan-p-bargan.medium.com/free-cybersecurity-courses-from-isc2-cb2317eb7e70 - (ISC)2 Certified in Cybersecurity (CC) Cert Prep https://www.linkedin.com/learning/isc-2-certified-in-cybersecurity-cc-cert-prep - CC Exam Retake https://community.isc2.org/t5/Exam-Preparation/CC-Exam-Retake/td-p/55629 - ISC2 Certified in Cybersecurity (CC) Practice Exam https://www.udemy.com/course/cc-isc2-certified-in-cybersecurity-cc-practice-exam/ - ISC2 Certified in Cybersecurity (CC) Practice Exam (2023) https://www.udemy.com/course/isc2-certified-in-cybersecurity-cc-practice-exam-2023/ - CC (ISC2) Cirtified In Cybersecurity Practices Exam https://www.udemy.com/course/cc-isc2-cirtified-in-cybersecurity-practices-exam/ - The Complete Certified in Cybersecurity (CC) course ISC2 '23 https://www.udemy.com/course/certifiedincybersecurity/ - ISC2 Certified in Cybersecurity CC Exam https://www.udemy.com/course/practice-test-cc-certified-in-cybersecurity-exam/ - (ISC)2 Certified in Cybersecurity 700+ Practice Questions https://www.udemy.com/course/isc2-certified-in-cybersecurity-700-practice-questions/ - The Complete ISC2 Certified in Cybersecurity Practice Exam https://www.udemy.com/course/the-ultimate-isc2-certified-in-cybersecurity-practice-tests/ - isc2 certified in cybersecurity (CC) practice exam https://www.udemy.com/course/isc2-certified-in-cybersecurity-cc-practice-exam-x/ - ISC2 Certified in CyberSecurity Exam Preparation(All Domain) https://www.udemy.com/course/isc2-cc-exam-prep-practical-tips-and-quizzes/ - (ISC)²网络安全认证(CC)练习考试 - ISC2 Certified in Cybersecurity (CC) https://www.udemy.com/course/isc2cc-isc2-certified-in-cybersecurity-cc/ - 關於(ISC)2 的CPE學分介紹 https://ithelp.ithome.com.tw/articles/10241022 - CISSP證照考試實戰心得第一章：初期準備工作 https://netmag.tw/2022/06/17/the-cissp-has-learned-the-first-chapter-in-actual-combat - CISSP證照考試實戰心得第二章：規律且有紀律的讀書策略 https://netmag.tw/2022/07/01/the-cissp-is-in-the-field-of-combat-chapter-two-regular-and-disciplined-reading-strategies - CISSP證照考試實戰心得第三章：終極一戰 https://netmag.tw/2022/07/12/the-cissp-has-learned-a-third-chapter-in-actual-combat-experience-the-ultimate-battle - CISSP 自修考照心得分享 – Certified Information Systems Security Professional Self-Study 資訊系統安全專家認證 https://szlin.me/2020/03/05/cissp-certified-information-systems-security-professional-self-study/ - CISSP 課堂筆記 https://hackmd.io/@ErwinLiu/CISSP ###### tags: `ISC2` `CC`