實體安全中的縱深防禦是最重要的精神,但是,這個是以防禦為主,那有沒有預防的措施呢?
就有如風險管理一般,當已經預知會有相關的問題產生,是否可以先導入一個安全的防範呢?
這些都是一個安全環境的設計,我們把它稱為是CPTED(Crime Prevention Through Environmental Design) …
K書筆記本-Physical/Environmental Security(03)
- 5931
- 0
- Information Security
- 2009-12-04
實體安全中的縱深防禦是最重要的精神,但是,這個是以防禦為主,那有沒有預防的措施呢?
就有如風險管理一般,當已經預知會有相關的問題產生,是否可以先導入一個安全的防範呢?
這些都是一個安全環境的設計,我們把它稱為是CPTED(Crime Prevention Through Environmental Design) …
實體安全中,最重要的是做好存取控制,而在各方面的制度面做的最落實的,就屬軍方,
即使軍方隨著現在時代的進步,還是以禦防做主要政策,尤其是人力部份,什麼都沒有就是人最多,
五分鐘巡一次也還人力過剩都有呀!
而實體安全中,我們最常見的方法就是以分層(Layers)做控制,就有如管理的密度…
本部份主要是針對IIS在啟動時是獨佔了0.0.0.0:80的狀態,因此在Windows平台上安裝了IIS之後,就無法再透過Apache(或其它的web service)去提供Web服務,若公司有兩種不同需求的Web服務,主機也有不足的問題,那麼我們該如何處理呢?
今天Jason接獲客戶的電話,說有收到三封很奇怪的mail,寄件者是自已公司的mail address,但是並沒有這個mail的存在,
內容寫著在某年某月系統有進行更新,請所有的user連結到這個網址來進行更新程式以免造成問題,
客戶將這三封信以附件方式寄給我,請我看看到底是不是mail server出事了,我們習慣性的以原始檔的方式打開mail…
這個問題也是Jason在工作上遇到的,因為公司的環境已經升級到windows 2008 R2,
但是…手邊只有一片Office SharePoint Server 2007(就是最早的版本),且2008又不認得它…(還真慘!!),
有鑑於自已曾經因為手頭上只有一片XP懶得再拿SP1, SP2, SP3的更新做安裝,所以…就以相同的原理進入光碟片看看其結構…
DFS是Microsoft在容錯架構中的一種解決方案,若各位有玩過多台web的架構,但是沒有錢可以再多買SAN或NAS,
那麼就必須解決檔案同步的問題,也可建置成為檔案系統的HA,當大家的共用資料夾內的資料愈來愈多時,
不難發現,MIS可能在備份政策上的調整可能愈來俞難,隨著大家的檔案愈來愈大,又得要提供好的備份政策 …
今天Jason於客戶端協助排除問題時,因客戶欲把備份的image檔倒回去到設備中,但必須將SID重新取得
Jason置入了Win 2008光碟就是遍尋不著sysprep工具,此時直接進到系統中,找到這個工具就預載到作業系統中了
這個問題是發生在前幾天Jason去參加Tech Day的期間發生的事件,因為某些因素必須要使用XP,但是…我的NB是很老舊的ASUS V6V,
根本就不支援Windows 7的虛擬化技術,但是Jason還是很白目的安裝了內建的Virtual PC(XP mode),但…廢話,當然不可能用呀!
那我們裝VMware不就好了,說的也是啦,但是…有免費的可用,幹嘛不用,更何況…個人也比較習慣使用Virtual PC …
實體安全,那不就是保安囉!保安!保安~~!這個不是周星馳的電影,實體安全是資訊安全防止竊取等等的事件,
可能在實際環境上會發生的問題,進而威脅到資訊安全,因此在於實體安全是一個相當重要的議題,
那麼在安全的金三角中可以說A.I.C.是三者並重,但是…在實體安全之上有一個特別的規範那個叫做”People first”(人命關天) …
法律問題…
上篇提到密碼學的應用會有法律上的問題,見鬼了,用應用密碼會有什麼問題呀,其實密碼學的應用是為了隱藏不想讓別人知道的秘密,
若今天黑道份子在傳遞一些交易訊息時,利用了密碼系統將這段訊息重重的加密,並且用的是較高階的密碼系統,
那麼…情治單位真的拿他們沒辦法了,因此在密碼學法律問題常就有三個議題類型:輸出控制、輸入控制及國內使用控制…
密碼學是一門這麼複雜的應用數學,但是應用在資安領域中,重點不只是只有在於機密性,更重要的是確保了完整性,
很多人往往都只有把密碼學定義在機密性,但等等所看到的內容,全部都與完整性佔了相當大的關係,
使用密碼系統大致有下列幾項應用:資料儲存的安全(Data storage)、E-mail、網路協定(Network Protocols)…
密碼學中不斷的提到了金鑰(KEY)這一個字詞,KEY的產生是一個重大的議題,然而…對於KEY的管理才是密加碼密最大的重點,
各位想想,本來買了一個七八十萬的保險櫃,用了最難開的鎖,但是鑰匙卻放在一個大家隨手可得的地方,
那麼,這個保險櫃等於買沒也沒買,因此,在金鑰的管理(Key Management)成了整個密碼學的重要核心,key不小心流失了 …
訊息完整性控制(Message Integrity Controls)是密碼學精髓中的精髓,加密過後的文字畢竟已經被加密了
那我們怎麼確認收到的已加訊息沒有因為傳輸問題造成移漏?因此,雖然訊息已經被加密了
但是我們還是可以透過訊息完整性控制則可以達成訊息的確認,以保障傳遞的內容是完整無誤的…
上一篇提到的是對稱式加密(又稱為私密金鑰加密系統),而對稱式加密雖然速度快,但是在於確保安全的部份則顯示較為軟弱
非對稱式加密則是大大的提升了安全性的部份,而不止是在於機密性的保護,對於內容傳遞的保護則更加的嚴僅
公開金鑰的概念是在1976年由Diffie及Hellman兩人共同提出的,所使用到的有私鑰和公鑰兩種概念…
前一篇文章特別有提到symmetric key運作方式有分為stream ciphers及block ciphers,也有提到兩種的差別
其中Stream的運作方式對於一般的統計法,是很難找出其邏輯,並且產生出來的ciphertext是絕對的公正
在Stream cipher運作中,最重要的一個元素就是Keystream,它是用來作用於加密過程,以XOR來建立密文的程序…
密碼學的基礎中,密碼系統(Cryptosystems)並不是非常的安全,主要的原因除了以語言特性分析的問題以外,
簡單又容易的找到有問題的字元,這種類型的問題,其實與很多的破密分析中,解除與明文長度相同的加密
幾乎都能順利的找到明文內容也是很容易的,一個好的演算法必須要能在明文若改變1bit而密碼的改變高達50%以上…
密碼學中領域是離不開數學的,正所謂數學乃科學之母是一點也錯不了的,
從進位制、到網路傳遞都是經過數學的計算後,才真正得以正確的達成電腦的目的,
上個章節只能說是暖暖身,抖抖手腳,今天開始的分享才是真正講起沒有啥人聽的懂的話。
密碼學…天啊…這種看了會讓人真接趴倒在馬路上的東西怎麼k的下去,如果你即將面臨失業(老闆經營不善),
我想,你應該很有精神k的下去(就跟偶一樣啦!!!),密碼學是整個資訊安全的A.I.C.中一看就知道非C莫屬,
但是…把密碼演算更重要的是維持訊息的完整性,而非只有保持訊息的機密性而以…
要測試存取控制有沒有做好最好的方法就是進行測試,但是在測試的階段最怕的,就是造成正在運作的系統因測試而掛點,
一般用來測試存取控制有沒有最好的就是Penetration Testing(滲透測試),不論選用何種的測試攻擊均是為了找出系統的弱點,
找出根本原因再加以修補,避免在發生事情之前先找到弱點的存在…
存取控制是透過使用者的存取過程必須被管理,那麼,有沒有更加有效的管理方式呢?
當然有,再利害的駭客,你給他的輸入界面只能輸入0~9、enter和backspace的鍵盤(Physically constrained user interfaces)
他還能有辦法在鍵盤上輸入數字以外的攻擊手法嗎???