--- title: 資安360 Plus進階-4 tags: 資安筆記 --- 1.Brief(先) Risk management process: 1.1identify mission essential functions 1.2identify vulnerabilities 1.3identify threats 1.4Analyze business impacts 1.5identify risk response 以可接受的費用識別、控制、降低或消除可能影響資訊系統的安全風險的過程。 --- 2.Explain MTD, RTO, WRT, RPO and their relationship? 業務影響分析(business impact analysis, BIA) 一個團隊通過訪談和文獻資料收集資料；記錄業務功能，活動和交易；建立業務功能的層次結構；最後應用分類方案來指示每個功能的關鍵程度。 最大可容忍的停機時間(Maximum tolerable downtime, MTD) 在此時間段後(deadline)，公司可能無法恢復。 恢復時間目標(Recovery Time Objective, RTO) 是災難發生後必須在其中恢復業務流程的最早時間段和服務級別，以避免與業務連續性中斷相關的不可接受的後果。 RTO值小於MTD值，因為MTD值表示無法恢復重大運營將意味著對組織聲譽或底線造成嚴重甚至可能無法彌補的損失的時間。 RTO假設有一段可接受的停機時間，從災難中恢復所花費的時間 工作恢復時間(Work Recovery Time, WRT） 是整個MTD值的剩餘部分。 RTO通常負責使基礎結構和系統恢復正常運行， 而WRT則負責恢復數據，測試流程，然後將所有內容"實際"用於生產目的。 恢復點目標(Recovery Point Objective,RPO) 是按時間衡量的可接受的資料遺失。 此值表示必須恢復資料的最早時間點。 資料的價值越高，可以投入更多的資金或其他資源來確保在發生災難時丟失較少的資料量。 RPO是指可以從同一事件中丟失的，按時間衡量的可接受的資料量。 --- 3.Explain MTTF, MTBR and MTTR 1. MTBF——全稱是Mean Time Between Failure，即平均無故障工作時間。就是從新的產品在規定的工作環境條件下開始工作到出現第一個故障的時間的平均值。MTBF越長表示可靠性越高正確工作能力越強 。 2. MTTR——全稱是Mean Time To Repair，即平均修復時間。是指可修復產品的平均修復時間，就是從出現故障到修復中間的這段時間。MTTR越短表示易恢復性越好。 3. MTTF——全稱是Mean Time To Failure，即平均失效時間。系統平均能夠正常運行多長時間，才發生一次故障。系統的可靠性越高，平均無故障時間越長。 --- 4.Explain SLE, ALE, ARO, EF and their relationship? Expose Factor (曝光因子) 曝光因子指的是當一個由於事件失去了資產後被暴露的比值。 在未加密的情況下被盜用了筆記型電腦與個資(PII)，曝光係數就是100%；筆記型電腦與所有數據資料均消失了。 Single Loss Expectancy (單一預期損失) 單一預期損失(SLE)是一個單一的成本損失。 SLE計算為資產價值(AV)乘上曝光係數(EF)。在此案例中，SLE是25000美金(資產價值)乘上100%(曝光因子)，就是25000美金。 Annual Rate of Occurrence (年發生率) 年發生率，意指每年中發生事件"次數"。 縱觀過去一年的事件，已經發生過11次遺失或被盜筆記型電腦。您的年發生率(ARO)即為11。 Annualized Loss Expectancy (每年預期損失) 每年預期損失(ALE)指的是每年預期的風險成本。 它的計算方式是單一預期損失(SLE)乘上年發生率(ARO)。在我們的例子中，它是25,000(SLE)的11倍(ARO)，即275,000美元。 --- 5.Brief risk mitigation techniques? 1.deterrence:讓人打消念頭 2.avoidance:風險比獲利的高 3.transference:轉嫁第3方 4.acceptance:接受 5.do not ignore risk:不承認風險的存在 --- 1.威懾 2.迴避 3.轉移 4.驗收 5.不要忽視風險 --- 6.Brief RAID 0, 1, 5 and RAID10 RAID 0的特點： 最少需要兩塊磁碟 數據條帶式分布 沒有冗餘，性能最佳(不存儲鏡像、校驗信息) 不能應用於對數據安全性要求高的場合 --- 以下為RAID 1的特點： 最少需要2塊磁碟 提供數據塊冗餘 性能好 --- RAID 5特點： 最少3塊磁碟 數據條帶形式分布 以奇偶校驗作冗餘 適合多讀少寫的情景，是性能與數據冗餘最佳的折中方案 --- RAID 10(又叫RAID 1+0)特點： 最少需要4塊磁碟 先按RAID 0分成兩組，再分別對兩組按RAID 1方式鏡像 兼顧冗餘(提供鏡像存儲)和性能(數據條帶形分布) 在實際應用中較為常用 原文網址：https://kknews.cc/news/k93qxnq.html --- 7.Explain Full, incremental and Differential backup 全備份（Full Backup） 全備份，每個檔案都會被寫進備份中去。如上所述，如果兩個備份時間點之間，資料沒有任何更動，那麼所有備份資料都是一樣的。這問題出自備份系統不會檢查自上次備份後，檔案有沒有被更動過；它只是機械性地將每個檔案讀出、寫入，不管檔案有沒有被修改過。備份全部選中的檔及資料夾，並不依賴檔的存檔屬性來確定備份哪些檔。在備份過程中，任何現有的標記都被清除，每個檔都被標記為已備份，換言之，清除存檔屬性。 這是我們不會一味採取全備份的原因——每個檔案都會被寫到備份裝置上。這表示即使所有檔案都沒有變動，還是會佔據許多儲存空間。如果每天變動的檔案只有10MB，每晚卻要花費100GB的儲存空間做備份，這絕對不是個好方法。這也就是推出增量備份的主要原因。 --- 增量備份（Incremental Backup） 跟全備份不同，增量備份在做資料備份前會先判斷，檔案的最後修改時間是否比上次備份的時間來得晚。如果不是的話，那表示自上次備份後，這檔案並沒有被更動過，所以這次不需要備份。換句話說，如果修改日期的確比上次更動的日期來得晚，那麼檔案就被更動過，需要備份。增量備份常常跟全備份合用（例如每個星期做全備份，每天做增量備份）差異備份是針對全備份：備份上一次的全備份後發生變化的所有檔。差異備份過程中，只備份有標記的那些選中的檔和資料夾。它不清除標記，註：備份後不標記為已備份檔案，換言之，不清除存檔屬性。 使用增量備份最大的好處在於備份速度：它的速度比完整備份快上許多，同時由於增量備份在做備份前會自動判斷備份時間點及檔是否已作改動，所以相對於全備份其對於節省儲存空間也大有益處。增量備份的不足之處在於資料還原的時間較長，效率相對較低，例如，如果您要還原一個備份檔案，您必須把所有增量備份的磁片都找一遍，直到找到為止，如果您要還原整個檔案系統，那就得先還原最近一次的完整備份，然後還原一個又一個的增量備份。 要避免還原一個又一個的遞增資料，提升資料的還原的效率，把做法稍微改變一下，就變成了差異備份。 --- 差異備份（Differential Backup） 差異備份與增量備份一樣，都只備份更動過的資料。但前者的備份是累積的——一個檔案只要自上次完整備份後，曾被更新過，那麼接下來每次做差異備份時，這個檔案都會被備份（當然，直到下一次完整備份為止）。這表示差異備份中的檔案，都是自上次全備份之後，曾被改變的檔案。如果要還原整個系統，那麼您只要先還原全備份，再還原最後一次的差異備份即可。增量備份是針對於上一次備份（無論是哪種備份）：備份上一次備份後，所有發生變化的檔。增量備份過程中，只備份有標記的選中的檔和資料夾，它清除標記，註：備份後標記檔，換言之，清除存檔屬性。跟增量備份所使用的策略一樣，您平時只要定期做一次全備份，再定時做差異備份即可。 所以，差異備份的大小，會隨著時間過去而不斷增加（假設在全備份間，每天修改的檔案都不一樣）。以備份空間與速度來說，差異備份介於遞增備份與全備份之間；但不管是還原一個檔案或是整個系統，速度通常比全備份、增量備份快（因為要搜尋/還原的磁片數目比較少）。 基於這些特點，差異備份是值得考慮的方案，增量備份與差異備份技術也是目前所有企業級備份軟體的必備功能。 --- 8.What are NIST defined Incident Response Lifecycle? (And explain the meaning) 8.1事前準備=preparation=IRP 8.2.Identification(Event?Incident?Severity?)辨識；識別；鑑別 8.3.框住避免災情擴大Containment 8.4甚麼原因Eradication 8.5Recovery修復 8.6承認Lessons Learned-發生一件事之後才會檢討