[iPAS資訊安全工程師中級筆記 - HackMD](https://hackmd.io/@Not/iPASInformationSecuritySpecialist) # 時間  ```python 資通安全事件通報及應變辦法 <通報時間> 第 6 條 公務機關知悉資通安全事件後，應依下列規定時間完成損害控制或復原作業，並依主管機關指定之方式及對象辦理通知事宜： 一、第一級或第二級資通安全事件，於知悉該事件後七十二小時內。 二、第三級或第四級資通安全事件，於知悉該事件後三十六小時內。 <等級判斷> 主管機關應於其自身完成資通安全事件之通報後，依下列規定時間完成該資通安全事件等級之審核，並得依審核結果變更其等級： 一、通報為第一級或第二級資通安全事件者，於接獲後八小時內。 二、通報為第三級或第四級資通安全事件者，於接獲後二小時內。 等級:4>3>2>1 ``` # 存取技術 nist 共同規範 國家資通院 風險管理 業務持續運作 ISO 27001 27002 27005 BCM MITER and ATTACK  # 衝擊營運分析  # raid ```python 讓硬碟可以加速或容錯的機制，目前市售nas都可支援這個機制 raid 0 快 (兩倍速) raid 1 穩 (可壞一顆) raid 5 又快又穩 (3好1壞) raid 6 又快又穩又多 (4好2壞) ``` # port ```python ICMP 7 SMB linux 137 138 139 windows 445 SNＭP 161 162 RDP 3389 Http 80 Https 443 SMTP：25或587 SMTP SSL：465 POP3 110 (未加密) POP3 SSL 995 (加密) IMAP 143 IMAP SSL 993 ``` # PGP ```python PGP運作在應用層，常用在電子郵件加密，PGP本身是商業應用程式，同類開源工具名為GnuPG（GPG）。PGP及其同類產品均遵守OpenPGP加解密標準。 PGP用的是IDEA加密法. 其免費版僅供個人與非商用使用。 GPG(Gnu Privacy Guard)從PGP改寫, 捨棄IDEA而改用較低運算成本且較安全的AES(Advanced Encryption Standard)加密法，完全免費Free. GPG更比PGP相容於聯盟http://openpgp.org/的標準。 by bizpro from https://ithelp.ithome.com.tw/articles/10122773 PGP協定並不採憑證管理中心(CA)架構，他讓每個使用者產生並公開自己的公開金鑰，寄件者用它人的公開金鑰加密，其他中繼單位無法解開相關內容。 相似的協定還有S/MIME。 ``` # IPS IDS ```python 關於入侵偵測系統（ Intrusion Detection System ）與入侵防護系統 （ Intrusion Prevention System ）之應用，下列敘述何者正確？（複選） (A) 入侵偵測系統透過旁接模式（ TAP or SPAN Mode ）或將特定網路 介面設定為混雜模式（ Promiscuous Mode ），來取得監聽網路之流 量副本 (B) TAP 和 SPAN Mode 之差異在於前者透過硬體 1：1 複製流量至分 接網路介面；而後者透過軟體轉送流量副本至目的網路介面並可 能因其容量限制而造成封包遺失 (C) 如欲阻擋網路攻擊，入侵防護系統需設置為串連模式（ In-line Mode ）才能於攻擊傳遞過程中攔截 ans:ABC ``` # 風險 [[Day13]ISO 27001 標準：風險評鑑 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天](https://ithelp.ithome.com.tw/articles/10273748) ```python 選擇風險處置的方式，可區分為以下四種： 一、風險規避(Avoid)：藉由停止從事產生風險之活動來避免風險。 二、風險降低(Reduce)：藉由降低風險發生之機會或其重大性。 三、風險移轉(Transfer)：藉由風險轉嫁來來降低風險發生時之損失。 四、風險接受(Retain)：接受風險的現狀，但對於風險發生之損失需考量如何承受。 風險處置（Risk Treatment）就是應用相關風險處理方法，針對可能發生且會造成一定影響程度的風險，擬定應對策略。但對於可能會發生的風險是沒有"拒絕"的方式，只有規避、承受、轉移、甚至是選擇承受.. ``` # WAF ```python Web 應用程式防火牆的功能 WAF 的一些主要功能和功能包括： 透過網域名稱系統 (DNS) 進行的動態流量路由：運用以 DNS 為基礎的流量路由演算法，考量全球數千個位置的使用者延遲以判斷最低延遲的路由。 WAF 服務的高可用性：設定 Web 應用程式傳遞時，WAF 可提供數個能夠新增多個來源伺服器的高可用性組態選項。當主要來源伺服器離線或未正確回應狀況檢查時，可以使用這些設定。 管理原則的彈性方法：WAF 組態可讓您設定及管理功能，以滿足組織的需求。 監督及報告：WAF 可讓使用者存取與內容庫相關的報告功能，以進行規範與分析。 呈報：WAF 的資訊可讓支援小組根據緊急性發出及呈報票證。 ``` # SLA ```python 99.9% SLA 的停機時間 => (100-99.9)% * 8760小時 = 8.76小時 ``` # ISO 27000系列 ```python ISO/IEC 27000 — 資訊安全管理系統 - 綜述及詞彙 Overview and vocabulary ISO/IEC 27001 — 資訊安全管理系統 - 要求 Requirements ISO/IEC 27002 — 資訊安全管理實踐準則 Information security controls ISO/IEC 27003 — 資訊安全管理系統實施指導/實作指引 Guidance ISO/IEC 27004 — 資訊安全管理系統 - 測評 Monitoring, measurement, analysis and evaluation ISO/IEC 27005 — 資訊安全風險管理 Guidance on managing information security risks ISO/IEC 27006 — 針對審查及認證資訊安全管理系統的實體之要求 ISO/IEC 27007 — 資訊安全管理系統審查指導 （本標準專注於管理系統）Guidelines for information security management systems auditing ISO/IEC TR 27008 — 資訊安全管理系統審查者指導 （本標準專注於資訊安全控制） ISO/IEC 27010 — 對於跨領域，跨組織間通訊的資訊科技，保安技巧及資訊安全管理 ISO/IEC 27011 — 電信組織根據ISO/IEC 27002標準的管理指導 ISO/IEC 27013 — ISO/IEC 20000-1 和 ISO/IEC 27001 整合實施的指導 ISO/IEC 27014 — 資訊安全的治理 ISO/IEC TR 27015 — 金融服務的資訊安全管理指導 ISO/IEC 27021 — 資訊安全管理系統專業人員的能力要求 - 技術 ISO/IEC 27031 — 對於配備資訊及通訊技術的業務連續性的知道 ISO/IEC 27032 — 網路保安的指導（本質上講的是如何做一個「網際網路上的好鄰居」） ISO/IEC 27033-1 — 網路保安的綜述及概念 ISO/IEC 27033-2 — 設計和實施網路保安的指導 ISO/IEC 27033-3:2010 — 網路情況的參考 - 威脅，設計應對方式及管控 ISO/IEC 27034 — 應用程式保安的指導 ISO/IEC 27035 — 保安事件管理 ISO/IEC 27037 — 鑑別，收集並且（或者）獲得並儲存電子證物的指導 ISO/IEC 27102 — 網路保險指南 ISO/IEC 27701 — 隱私資訊管理 ISO 27799 — 健保業實施ISO/IEC ``` # Nmap ```python -sT TCP connect()掃描，這種方式會在目標主機的日誌中記錄大批連接請求和錯誤信息。 -sS TCP SYN（半公開）掃描，因為它沒有完成一個完整的 TCP 連接三次交握過程。 此方法向目標 Port 發送一個 SYN 封包，如果目標 Port 回應 SYN / ACK 封包則表示該 Port 處於打開狀態；若回應的是 RST / ACK 封包則表示該 Port 為關閉狀態。因為沒有回傳ACK封包導致三項交握未完成，故比較不會在目標系統留下掃描痕跡。 -sF -sN Stealth FIN、Xmas Tree或 NULL秘密掃描(Stealth Scanning) 一些防火牆及 Packet 過濾裝置會在重要連接 Port 守護，半公開的 SYN 封包掃描會在此時會被截獲因此要有更秘密的進行掃描；而 FIN、Xmas、NULL 掃描方法則是關閉的連接埠會對你送出的探測資訊包返回一個 RST，而打開的連接埠則對其忽略不理可參考 [RFC793]，其中 FIN 掃瞄使用空的 FIN 資訊包作為探針、Xmas tree 使用 FIN、URG、PUSH 標記、Null 掃描則不用任何標記，但微軟不支援此一標準，所以 -sF,-sX,-sN 的掃瞄顯示所有連接埠都是關閉的但一個 SYN(-sS) 掃瞄卻顯示有打開連接埠，那你就能大致推斷它是 WINDOWS 平台。 -sP ping ICMP 掃描 (Ping Sweeping) 若僅想了解網路上有哪些主機是開放的，可對指定的IP地址送出一個 ICMP 的 Echo Request 封包來偵測。但有些站台會把 ICMP 的 Echo Request 封包給關掉 (例如Microsoft.com)。在這種情況下可利用發送 TCP Ping 送一個 ACK 到目標網路上的每個主機。網路上的主機如果在線，則會返回一個 TCP RST 響應。使用帶有 Ping 掃描的 TCP Ping 選項，也就是 -PT 選項可以對網絡上指定 Port 進行掃描，它將可能通過目標邊界路由器甚至是防火牆。注意，被探測的主機上的目標 Port 無須打開，關鍵取決於是否在網路上。 -sU UDP掃描 原理為送出零位元組的 UDP 封包到目標主機的各連接埠，如果我們收到一個 ICMP port unreachable 無法到達的回應則可確定連接埠是關閉的，否則我們可認為該埠是打開的。 -sA (serviceAdvanced)這項高級的掃描方法通常用來穿過防火牆的規則集 -sV (serviceVersion)探測端口服務版本 -Pn (PingNo)掃描之前不需要用ping命令，有些防火牆禁止ping命令。可以使用此選項進行掃描 -v (view) 顯示掃描過程，會有很詳細的說明執行到哪個步驟 -h (help) 幫助選項，是最清楚的幫助文檔 -p (port) 指定端口，如“1-65535、1433、135、22、80”等 -O 掃描使用的作業系統 通常一個入侵者可能對某個作業系統的漏洞很熟悉，能藉由漏洞很輕易地進入此作業系統的機器。一個常見的選項是 TCP / IP 上的指紋，帶有 -O 選項決定遠端作業系統的類型。這可以和一個 Port 掃描結合使用，但不能和 Ping 掃描結合使用。 ex. nmap -sS -O www.yourserver.com -A (All) 全面系統檢測、啟用腳本檢測、掃描等 -oN/-oX/-oG (outputNormal、xml、grepable)將報告寫入文件，分別是正常、XML、grepable 三種格式 -T4 針對TCP端口禁止動態掃描延遲超過10ms -iL 讀取主機列表，例如，“-iL C:\ip.txt” ``` # SOC ```jsx (A) SOC 建置重點於主動化、自動化、智能化，主要的關鍵技術是巨 量資料分析與機器學習的導入 (B) SOC 核心三元素為：人員、程序、科技，而科技的導入在於輔助 人員依相關作業程序完成任務 (C) SOC 提供監控與管理資訊安全系統與設備、執行定期網路安全掃 描、防火牆、防毒系統之架設、設定與管理等服務 ``` # ISO IEC ```jsx IEC 62443 為工業控制系統（Industrial Control Systems, ICS）的資訊安全標準，由國際電工委員會（International Electrotechnical Commission, IEC）所制定，旨在提高工業控制系統的資訊安全水平。以下是對每個選項的說明： (A) IEC 62443-2-1 是針對網路和系統的基本安全要求標準，特別是針對產業自動化和控制系統。 (B) IEC 62443-2-4 是針對產業控制系統（ICS）安全事件的回應和報告的標準。 (C) ISO/IEC 27701 是針對個人資料保護的標準，並且關注個人資訊管理系統（Personal Information Management System, PIMS）的建立和維護。 (D) BS 10012 是針對個人資料保護的標準，並且旨在協助企業建立和維護個人資料管理系統（Personal Data Management System, PDMS）。 ```