CISSP領域重要名詞釋疑 - 案例學習：避免風險 與 定性定量風險分析

案例學習：避免風險

有一間公司在線上銷售Apple iPods。基於安全考量，每一次客戶進行購買都需要重覆輸入信用卡密碼。這麼作可以避免存儲信用卡資訊在網際網路上的風險(例如他們可能更容易被盜)。
基於客戶的反饋，再重複購買的客戶裏面有有可以提供”儲存我的信用卡資訊”功能。一旦新功能被提出伴隨著就是風險分析的評估，該事業群也會記算投資回報此功能的比率。風險分析表示，信息安全架構需要顯著改善，以安全的面對網際網路系統存儲信用卡資訊。

這樣做還必須要更嚴格的支付行業(PCI)的審議，增加相當數量的人員工作時間，並且增加TCO的總成本。

一旦所有所有費用都被記錄下來，該TCO超過兩倍的投資回報率。該公司決議為了避免風險，並沒有實現儲存信用卡資訊的功能。

定性與定量風險分析

定量與定性風險分析為風險分析的兩種方法。

定量的風險分析使用的是硬性的單位，例如：美元。定性的風險分析使用的簡單的近似值。定量是比較客觀的，而定性比較主觀。

考試警訊

定量的風險分析要求你去計算你所要保護的資產。定量是考試時必須謹記的重點。

統計ALE(年度預期損失)就是一個定量風險評估的例子。輸入ALE有兩個重要的數字：AV(固定資產)美元計價，風險因素(以百分比顯示)和年發生率(硬數字)。

在風險分析矩陣當中，就是一個定性的風險分析案例。可能性和後果是比較粗糙的值，範圍從1-5。真對一個有一定程度風險的事件很容易發生給與4或5的辯論。

定量風險分析是比較困難的：定量風險分析的地震破壞數據由於地震中心提供，你需要計算資產數據中心的價值：建築成本，伺服器，網絡設備，計算機機架，顯示器等，然後計算出曝光係數，依此類推。
定性分析同樣的風險，你會研究的風險，並同意該可能性是2，而其後果是4，並使用風險分析矩陣確定的風險“高”。

CISSP領域重要名詞釋疑 - 風險接受的準則 降低風險 與 轉換風險

風險接受的準則
低可能性與影響小的風險可以被風險評估接受。高頻率與影響範圍大的風險不能被接受。這裏有些案例，例如立法規定和法規規範的數據保護或，危害人類生命或安全的，這些風險接受就不會成為選項。

降低風險
降低風險意味著將風險降低到可以被接受的程度。在筆記型電腦加密的案件中，年前預期損失部分給與加密就是風險減輕的例子。筆記型電腦被盜所損失的個人資料資訊通過加密數據獲得緩解，風險並未消除到安全：過弱的密碼或是可能暴露的個資，但風險已經降低到一個可以接受的水平。

在某些案例中，風險可以被完全的消除，這就是所謂的消除風險。

轉換風險
轉換風險是一種”保險模式”。就像多數人並不承擔房子火災風險，而由保險公司去承擔，保險公司是由專家在作風險分析，買入風險是他們的事。如果發生火災的年平均貨幣分險，每1000家為$500,000($500/house)，他們出售1000家火災的保單是$600/year，則他們會有20%的利潤。當然前提是他們已經正確的評估出風險。

關於AP IOS升降版初始化找不到tftp server的問題

昨天在Nike與公司環境都有發生過初始化AP的問題，以下針對AP開機按住Reset Button將預設IP設定回10.0.0.1，卻無法連上同網段Tftp Server時提供解決方式。

以下幾行為在AP上進行設定的關鍵指令，請參考：
debug capwap console client
debug capwap client no-reload

archive download-sw /overwrite tftp://10.66.74.250/ap3g2-k9w7-tar.default
最後一行請改成相對應的邏輯路徑，AP即可利用IP位址從Tftp Server端下載指定的IOS。

CISSP領域重要名詞釋疑 - 風險選擇 與 同意風險

風險選擇
每一次我們風險評估，我們總是決定要如何去做。選項包含接受風險、減輕或者消除風險、轉換風險、避免風險。

同意風險
某些風險可能被同意：在同樣的案例中，該資產的價值低於被保護的風險，低於保護它所做出的效益(以及所花費的金錢)。這並不是一個無知的決策，所有風險造成的影響與同意風險前的考慮。

案例學習：同意風險
一間公司進行風險分析，確定大型主機是風險來源。該大型主機不再用於新的交易，他僅進行歷史資料的運作。隨著時間推移，硬碟故障回復能力降低，硬體的保固年限，支援合約的服務到期並且沒有續約，大型主機的服務人員陸續離開。公司沒有信心當資料遺失後還能夠成功救回及時的數據，如果它發生的話。

這些歷史資料必須維持在線上長達六個月或更久，才會轉換到新架構的系統。所以有需要進行即時的備份嗎？有必要購買新的大型主機與購買支援服務和聘用外部大型主機專家嗎？

風險管理團隊要求團隊支持下載升級檔，”如果明天這些數據消失了，會發生甚麼情況，前六個月的新檔案去留？” 答案是：該公司可能在期中的使用紙張記錄數據，這將會是一個小的操作上的不便。沒有法律或法規禁止的這一類計畫。

該公司決定接受失敗的數據存檔灰復，評估主機故障後的風險。請注意，這個決定是經過深思熟慮的。利益相關方面進行了協商，對運行的影響層面進行了評估，並針對法律和法規進行了審議的結果。

Understanding the Cloud Computing Stack: SaaS, PaaS, IaaS

軟體即服務（SaaS）Software as a Service
平台即服務（PaaS）Platform as a Service
基礎設施即服務（IaaS）Infrastructure as a Service

看一下Rackspace對於這三者的解釋。
Rackspace是全球三大雲計算中心之一，1998年成立，是一家全球領先的主機託管及雲端運算提供商，公司總部位於美國，在英國，澳大利亞，瑞士，荷蘭及香港設有分部。

RUCKUS WLC LAB

RUCKUS WLC(Wireless LAN Controller) 與 AP(Access Point) 的初始化設定步驟與報告。

Word 連結文件下載

學校(TAS)無線網路規模

學校(TAS)無線網路規模

總控制端有一顆Wireless Control System(WCS)，下轄8個Wireless LAN Controller(WLC)，WLC下面在控制550顆左右數量的AP(Access Point)這樣形成了學校的主幹網路。學校的無線網路總共有四個SSID，這裡指的是Produation，測試用的不算。

第一種是TAS-MAC，這個ID可以連接學校伺服器與網路設備但是不能使用系統，通常給與廠商或者是硬體裝置使用(例如：無線印表機)，我們也是用這個網段來進行學校網路連接與控管，驗證方式WEP加密而且綁硬體MAC。

第二種是TAS-IOS，因為學校多數學生的配備使用Apple(通常是蘋果的NB或是ipad的IOS來使用)，驗證方式是WPA2，用學生或是教職員的帳號密碼來登入。

第三種是TAS-IT顧名思義，這個無線網路專門用來給IT部門使用(MIS、APP開發、PC維修部使用)，驗證使用WPA2-PSK。

第四種是TAS-Intranet，給校內內部非IOS的裝置使用(通常是Windows系統)，驗證方式是WPA2，用裝置網域的帳號密碼登入。

第五種是TAS-Guest，臨時申請可以到MIS部門臨櫃取得一組當日有效的密碼，登入連SSID沒有驗證，但有重導網頁登入的密碼系統控制，長期申請就是綁MAC跟私人密碼，通常給家長或是外賓到學校參訪時使用。