ISC2 CC Notes 1 Security Principles

CIA 被認為是資訊安全領域非常重要的基礎。其核心內容構成了其他知識網域的基礎。此網域涵蓋了資訊安全、IT 安全和網路安全之間的區別、CIA 三要素、IAAA、隱私、風險管理、存取控制、道德規範、治理與管理以及法律與規範。

資訊安全、IT 安全和網路安全之間的區別：

• 資訊安全 (Information Security)：保護所有類型的資訊，包括紙本文件和語音資料。
• IT 安全 (IT Security)：保護硬體、軟體和資料，例如電腦和網路系統。
• 網路安全 (Cybersecurity)：特別保護可透過網際網路存取的 IT 系統。

CIA 三要素：機密性、完整性和可用性。

• (Confidentiality)
• (Integrity)
• (Availability)

• 機密性 (Confidentiality)：這是許多人對 IT 安全的主要理解。我們保持資料和機密資訊的秘密。確保未經授權的人員無法存取資料。威脅包括揭露 (Disclosure)，即未經授權地存取資訊。為實現機密性，我們使用：
  • 加密：用於靜態資料（例如 AES256、全磁碟加密） 和傳輸中的資料（例如安全的傳輸加密協定 SSL、TLS）。
  • 存取控制。
• 完整性 (Integrity)：保護資料和系統免受修改。確保資料未被更改。威脅包括變更 (Alteration)，即未經授權地更改資料。為實現完整性，我們使用：
  • 密碼學。
  • 檢查碼 (Check sums)，例如 CRC。
  • 訊息摘要 (Message Digests)，也稱為雜湊 (hash)，例如 MD5、SHA1 或 SHA2。
  • 數位簽章：提供不可否認性 (Non-repudiation)。
  • 存取控制。
  • 補丁管理。
• 可用性 (Availability)：確保被授權的人員在需要時可以存取所需的資料和系統。威脅包括惡意攻擊（如 DDOS、物理攻擊、系統入侵、員工攻擊）、應用程式故障（程式碼錯誤）和組件故障（硬體故障）。未能提供可用性可能導致銷毀 (Destruction)，即資料或系統被破壞或無法存取。為實現可用性，我們使用：
  • IPS/IDS (入侵防禦系統/入侵偵測系統)。
  • 補丁管理。
  • 冗餘 (Redundancy)：在硬體電源（多個電源供應器、UPS、發電機）、磁碟（RAID）、流量路徑（網路設計）、HVAC、人員、HA (高可用性) 等方面實現。
  • SLA (服務級別協議)：定義所需的正常執行時間（例如 99.9%）。

DAD (Disclosure, Alteration, and Destruction) 是 CIA 三要素的對立面。

IAAA：識別 (Identification)、身份驗證 (Authentication)、授權 (Authorization) 和當責 (Accountability)。

• 識別：宣告身份。範例包括使用者名稱、ID 號碼或員工社會安全碼。「我是Elliot」即為識別的範例。
• 身份驗證：證明身份。「證明你是Elliot」。應該始終使用多因素身份驗證。身份驗證因素通常分為三種類型：
  • 類型 1：知識因素 (Knowledge factors)：你知道的東西。例如密碼、通行碼、PIN 碼。這是最常用的身份驗證形式。組織應執行密碼政策來增強安全性：建議最低長度為 8 個字元，包含大小寫字母、數f字和符號，定期更新且不重複使用（例如記住最後 24 個密碼，最長使用期 90 天，最短使用期 2 天）。金鑰延展 (Key stretching) 可延遲密碼驗證，阻礙暴力破解。
  • 類型 2：持有因素 (Possession factors)：你擁有的東西。例如 ID、智慧卡、權杖、電腦上的 Cookie。
  • 類型 3：生物特徵因素 (Biometric factors)：你是誰。例如指紋、虹膜掃描、面部幾何形狀。生物特徵可以是生理性（如指紋）或行為性（如打字節奏）。生物特徵驗證涉及錯誤率：
    • FRR (False Rejection Rate)：錯誤拒絕授權使用者。
    • FAR (False Acceptance Rate)：錯誤接受未授權使用者。
    • CER (Crossover Error Rate)：FRR 和 FAR 達到最佳平衡的點。
  • 使用生物特徵驗證需要考慮隱私問題（揭示個人資訊）和安全風險（可能被偽造）。生物特徵資料一旦洩漏，比密碼更難替換。
• 授權：決定主體被允許存取什麼。我們使用存取控制模型來實現授權。主要原則包括最小權限 (Least Privilege) 和需要知道 (Need to Know)。
  • 最小權限：員工或系統只獲得其角色所需的最低必要存取權限。不多也不少。
  • 需要知道：即使你有存取權限，如果你的工作不需要知道該資訊，你就不應該存取它。
  • 職責分離 (Separation of Duties)：將單一任務分配給多個不同的人員來執行，以防止詐欺和錯誤。在小型組織不切實際時，應實施補償性控制。
  • 存取控制模型包括：
    • DAC (Discretionary Access Control)：通常用於可用性最重要時。存取權限由物件擁有者自行決定。擁有者可以使用 DACL (Discretionary ACL) 授予或撤銷權限。大多數作業系統廣泛使用此模型。
    • MAC (Mandatory Access Control)：通常用於機密性最重要時。存取權限基於標籤和許可等級。物件被分配標籤，主體的許可等級必須支配物件的標籤。這常應用於軍事或高度重視機密性的組織。標籤可以比「最高機密」更細緻，例如「最高機密 – 核子」。許可等級基於對主體當前和未來能力的正式決定。
    • RBAC (Role-Based Access Control)：通常用於完整性。存取權限基於使用者的角色和權限。這有助於簡化使用者管理。例如，薪資部門的員工獲得薪資相關存取權限，調到 HR 部門後則獲得 HR 相關權限。
    • ABAC (Attribute-Based Access Control)：存取權限基於主體、物件和環境的屬性和條件。屬性可以包括主體（姓名、角色、ID、許可等級）、物件（姓名、擁有者、建立日期）和環境（位置、時間、威脅級別）。此模型預計未來幾年內在大型企業中廣泛採用。它也被稱為策略導向存取控制 (PBAC) 或聲明導向存取控制 (CBAC)。
    • 情境相關存取控制 (Context-Based Access Control)：存取權限基於特定的情境參數，例如位置、時間、回應順序或存取歷史。範例包括要求 CAPTCHA 回應、基於 MAC 位址過濾無線存取，或防火牆基於封包分析過濾資料。
    • 內容相關存取控制 (Content-Based Access Control)：存取權限基於物件的屬性或內容。例如，應用程式中隱藏或顯示選單、資料庫中的檢視或對機密資訊的存取權限都屬於此類。
• 當責 ：確保行動可追溯到執行者。提供不可否認性，確保使用者不能否認自己執行了某項特定行動。透過稽核軌跡 (Audit Trails) 記錄行動。

隱私 (Privacy)：

• 定義：免受觀察或干擾的自由。保護個人免受未經授權的侵入。
• 權利：隱私是一種人權。包括保護個人身份資訊 (PII)。
• 規範：
  • 美國：法律零散，覆蓋範圍不一致。
  • 歐盟：對資料收集、使用和儲存有嚴格規定。
  • GDPR (General Data Protection Regulation)：歐盟的資料保護和隱私法規。適用於所有處理歐盟/歐洲經濟區個人資料的組織，無論其位於何處。GDPR 對於違反者有嚴格的罰款。GDPR 賦予個人多項權利，包括存取權（資料控制者必須免費提供個人資料副本）、被遺忘權（資料刪除權）、資料可攜性（以電子格式獲取資料）。要求在資料洩露發生後 72 小時內通知使用者和資料控制者。強調設計內建隱私 (Privacy by Design)，在設計資料處理過程時，應確保個人資料的安全，並確保只收集完成任務絕對必要的資料。要求某些公司任命資料保護官 (Data protection officers)。

風險管理 (Risk Management)：

• 風險管理生命週期是迭代的過程。包括識別、評估、回應與緩解和監控階段。
• 風險公式：
  • 風險 = 威脅 * 弱點（或可能性）。
  • 我們也可以使用風險 = 威脅 * 弱點 * 影響。
  • 總風險 (Total Risk) = 威脅 * 弱點 * 資產價值 (Asset Value)。
  • 殘餘風險 (Residual Risk) = 總風險 – 對策 (Countermeasures)。
• 組成部分：
  • 威脅 (Threat)：可能導致損害的事件。
  • 弱點 (Vulnerability)：允許威脅利用並造成損害的弱點。
  • 資產價值 (Asset Value, AV)：資產的價值。
  • 應盡職責 (Due Diligence, DD)：實施前的研究。例如，在實施安全措施之前進行研究。縮寫為「Do Detect」。
  • 應盡關懷 (Due Care, DC)：實施安全措施。是應盡職責的實施。縮寫為「Do Correct」。
• 風險評估：
  • 定性分析 (Qualitative Analysis)：評估風險的可能性和影響。通常使用風險矩陣將風險分類（如低、中、高、極高）。
  • 定量分析 (Quantitative Analysis)：基於成本的風險評估。涉及計算損失預期。
    • 暴露因素 (Exposure Factor, EF)：資產損失的百分比。
    • 單一損失預期 (Single Loss Expectancy, SLE) = AV x EF：事件發生一次的成本。例如，遺失價值 $1000 的筆記型電腦（AV）包含 $10000 的 PII（AV），如果遺失是 100%（EF），則 SLE = ($1000 + $10000) x 100% = $11000。來源使用不同的 AV 範例，僅為筆記型電腦價值 $1000 加上 PII 損失 $10000。
    • 年度發生率 (Annual Rate of Occurrence, ARO)：事件每年發生的頻率。例如，組織每年遺失 25 台筆記型電腦。
    • 年度損失預期 (Annualized Loss Expectancy, ALE) = SLE x ARO：如果不採取任何措施，每年預期的成本。例如，ALE = $11000 x 25 = $275000。
    • 總擁有成本 (Total Cost of Ownership, TCO)：緩解措施的總成本（前期成本 + 持續成本）。
• 風險回應 (Risk Responses)：處理風險的選項。
  • 接受風險 (Accept the Risk)：知道風險存在，但緩解成本高於風險成本（通常用於低風險）。
  • 緩解風險 (Mitigate the Risk, Reduction)：實施控制措施將風險降低到可接受的水準。剩餘的風險即為殘餘風險。例如，對筆記型電腦實施加密或遠端清除。
  • 轉移風險 (Transfer the Risk)：將風險轉移給第三方，例如透過購買保險。
  • 避免風險 (Risk Avoidance)：修改計劃或活動以完全避免風險。例如，不向員工發放筆記型電腦（如果可能），或在不會發生水災的區域建造資料中心。
  • 拒絕風險 (Risk Rejection)：知道風險存在但選擇忽視它。這是不可接受的回應策略。
• 監控與報告：風險管理是一個持續的過程。需要持續監控風險和已實施的控制措施。可以利用主要風險指標 (KRI) 和主要績效指標 (KPI)。通常每年進行風險管理生命週期評估，並對關鍵項目進行週期外評估。

存取控制類別和類型。

• 存取控制類別：控制如何保護資產或資源。
  • 行政控制 (Administrative Controls, Directive Controls)：透過政策、程序和訓練來管理安全性。例如組織政策、規範、訓練和意識。
  • 技術控制 (Technical Controls, Logical Controls)：透過硬體、軟體或韌體來實施安全性。例如防火牆、路由器和加密。
  • 實體控制 (Physical Controls)：透過實體措施限制或監控存取。例如鎖、圍籬、警衛、門和防撞柱。
• 存取控制類型：描述控制的功能或目的。同一控制可能屬於多種類型。
  • 預防性控制 (Preventative Controls)：在行動發生之前阻止它們。例如最小權限、藥物測試、IPS、防火牆、加密。
  • 偵測性控制 (Detective Controls)：在事件發生期間或之後識別行動。例如 IDS、CCTV、警報、防毒軟體。
  • 矯正性控制 (Corrective Controls)：在事件發生後修復問題。例如防毒軟體、補丁、IPS。
  • 復原性控制 (Recovery Controls)：在事件發生後協助復原。例如災難復原環境、備份、高可用性環境。
  • 嚇阻性控制 (Deterrent Controls)：阻礙行動。例如圍籬、保全警衛、狗、燈光、「小心惡犬」標誌。
  • 補償性控制 (Compensating Controls)：在無法實施主要控制或成本過高時提供替代方案。

道德規範：

• ISC2 道德規範：保護社會、正直誠信地行動、提供專業服務、推進專業發展。
• 電腦道德：不使用電腦傷害他人、不干涉他人電腦工作、不偷窺他人檔案、不使用電腦偷竊、不使用盜版軟體、不使用他人電腦資源而未經授權或補償、不侵佔他人智慧財產、思考所寫程式或設計系統的社會影響、永遠以確保考慮和尊重他人權利的方式使用電腦。
• 組織道德：需要了解並遵守自己組織內部的道德規範。

治理與管理：

• 治理 (Governance)：設定目標、監控績效、定義風險容忍度。由高階主管負責。
• 管理 (Management)：規劃和執行活動以達成治理設定的目標。在治理設定的方向內運作。
• C 級主管 (C-Level Executives) 對於安全負有最終責任。需要了解的 C 級主管包括 CEO、CIO、CTO、CSO、CISO 和 CFO。

法律與規範：

• 法律類型：
  • 刑事法 (Criminal Law)：目的是懲罰並嚇阻對社會有害的行為。「社會」是受害者。證明標準為「排除合理懷疑」。刑罰可能包括監禁、死刑或罰款。
  • 民法 (Civil Law, Tort Law)：目的是賠償受害者。個人、團體或組織是受害者。證明標準為「大多數證據」。賠償通常是財務罰款。
  • 行政法 (Administrative Law)：政府制定的規範。例如 HIPAA。
  • 私人規範 (Private Regulations)：合約要求。例如 PCI-DSS。
  • 習慣法 (Customary Law)：基於傳統。
  • 宗教法 (Religious Law)：基於信仰。
• 關鍵規範：
  • HIPAA (Health Insurance Portability and Accountability Act)：美國關於健康資訊隱私的法律。
  • ECPA (Electronic Communications Privacy Act)：保護電子通訊。
  • PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act)：擴大執法機構的能力。
  • CFAA (Computer Fraud and Abuse Act)：起訴電腦犯罪。
  • GDPR：如前所述，歐盟的資料保護法規。

資訊安全治理：價值觀、願景、使命和計劃。

• 治理原則包括：
  • 價值觀：我們的價值是什麼？包括道德、原則和信念。
  • 願景：我們渴望成為什麼？代表希望和抱負。
  • 使命：我們為誰服務？代表動機和目的。
  • 策略目標：我們將如何進步？包括計劃、目標和排序。
  • 行動與 KPI：我們需要做什麼以及如何知道我們是否達成目標？包括行動、資源、結果、負責人和時間框架。
• 安全治理文件類型：
  • 政策 (Policies)：強制性，高層次且非特定。可能包含「補丁、更新、強加密」等，但不指定具體的作業系統、加密類型或供應商技術。
  • 標準 (Standards)：強制性，描述特定技術的使用。例如，所有筆記型電腦必須是 W10、64 位元、8GB 記憶體等。
  • 指引 (Guidelines)：非強制性，提供建議或酌情處理的方式。
  • 程序 (Procedures)：強制性，低層次的逐步指南，非常特定。會指定具體的作業系統、加密類型或供應商技術。

以上是根據來源資料對網域 1 內容的詳細概述。