iT邦幫忙

資訊安全相關文章
共有 869 則文章

技術 作為CISO最關鍵的任務-開發資訊安全性管理系統

在這四個選項中,開發信息安全管理系統(ISMS)是最合適,最關鍵的。ISMS從管理承諾和政策開始,這些承諾和政策推動信息安全,以滿足利益相關者(或利益相關方)的...

技術 證書簽名請求(CSR)

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成...

技術 安全玻璃(Safety Glass)

儘管夾層玻璃比鋼化玻璃更安全,但價格更高。儘管如此,法規要求仍可能會影響各國安全玻璃的安裝。而且,作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果,最...

技術 智慧財產的角度-保護生產參數應該思考的最關鍵問題

知識產權具有所有者,否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權(IP)。” (WIPO)您的公司可能沒有製造參數作為知識產權的所有權...

技術 資料分類(Data classification)

資料分類是評估資料的業務價值或其重要性和對利益相關者的意義,以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值,例如保密性,完整性,可用性,收入損失,...

技術 資料治理法規(Data Governance for Regulation)

關於資料治理中的安全性,適用於 歐盟的《通用數據保護條例》(GDPR) 和《 金融工具市場指令II》(MiFID II) ,以及US 31 USC 310,這...

技術 職位描述 (job description)

職位描述是職位設計的輸出之一,它考慮了“分工”的原則,需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一,因為它包含職位的職責和職責。 背景...

技術 XSS&CSRF&Replay

跨站點腳本(Cross-Site Scripting:XSS)和注入(Injection) 輸入驗證可以有效緩解跨站點腳本(XSS)和注入。沒有輸入驗證,惡意用...

技術 ISO 15408&SAMM&CMMI&FOCI

通用標準(ISO 15408)指定了評估IT產品而不是供應商資格的標準。 -通用標準評估 FOCI(外國所有權,控制權和影響力) FOCI(外國所有權,控制權...

技術 NIST風險管理框架(RMF)-系統分類

根據機密性,應將要求國家安全信息的第12356號行政命令分類為“最高機密”,“機密”或“機密”只是對數據進行分類的一種方法。 計算機,軟件,網絡等是資產。可以根...

技術 NIST通用風險模型(The NIST Generic Risk Model)

-具有關鍵風險因素的通用風險模型(NIST SP 800-30 R1) 關鍵風險因素(Key Risk Factors) 風險(Risk) 風險是威脅事件發生...

技術 暴力攻擊(Brute Force Attack)

-圖片來源:Toussaint Ilboudo 我碰到了有關盧克小組中的暴力攻擊事件的帖子,並恭敬地不同意建議的答案“ C. 使用彩虹表將已知哈希與未知哈希進...

技術 NIST SP 800-88 R1媒體消毒準則(Guidelines for Media Sanitization)

NIST SP 800-88 R1引入了三種消毒方法:清除(clear),清除(Purge)和銷毀(destory)。“銷毀(Destory)”是一種消毒方法,...

技術 風險的決策應在投資評估過程中行使

-什麼是風險? 選項B提供了最佳視角,但正確的版本應為“剩餘風險低於董事會的風險承受能力。” 基於風險的決策應在投資評估過程中行使。地震可能會頻繁發生,並導致...

技術 資產分類準則(asset classification guideline)

分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。 . 資產的類型很多。數據只是其中...

技術 調查類型(Investigation Types)

一個調查是收集和用於特定目的的證據分析。 行政調查(Administrative Investigation) . 行政調查是指對員工所謂的不當行為的內部調查。...

技術 什麼是零信任(What is Zero Trust)?

零信任是一種網絡安全範式,用於支持可見性的細粒度,動態和以數據為中心的訪問控制。 (訪問控制基於需要了解和最小特權的原則,通過身份驗證,授權和計費來中介資源的使...

技術 惡意程式-伴侶病毒( malicious program-Companion virus)

-主引導記錄(MBR)和引導扇區(來源:Syed Fahad) . 該多態病毒沉思修改整個系統,這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其...

技術 會話劫持( session hijacking )

會話劫持經常通過XSS(跨站點腳本)或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。 . 使用TLS的...

技術 身份驗證,授權和會計(authentication, authorization, and accounting (AAA))Part II

通過審核(查看日誌)來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”,而身份驗證則標識並驗證“誰做了”。不管活動是否被授權,都應記錄或記錄該活動...

技術 我雖是災難吸引器-但真的沒有發色情連結

常遇到災難級的Crash...這次是更... 今早,7:54分上班,就開始在機房裡作業,10點多的時候,到公司樓下抽煙,看到了iT邦雪花般的Email...上千...

技術 另一個AAA(Yet Another AAA)-AAA Part I

訪問控制機制 通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。 . 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系...

技術 業務驅動者和推動者(Business Drivers and Enablers)

-波特的價值鏈(Porter’s Value Chain) 業務就是提供產品和服務以創造價值並實現組織願景和使命。一個業務驅動是指“指導或控制”的運動,活動和...

技術 糾正不合規問題並減輕風險, 您最關心的項目為何?

基於風險的方法已廣泛用於各個領域,例如決策,審計,網絡安全,銀行等。“風險是不確定性對目標的影響。” (ISO 31000)這不是一個普遍接受的術語,但是一旦風...

技術 誤用/濫用測試(Misuse/Abuse testing)

-HTTP請求(來源:Chua Hock-Chuan) 測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / d...

技術 費根檢查( Fagan inspection)

費根檢查是一種依靠組檢查方法的正式檢查,即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。 . 模糊測試或模糊測試(Fuzzing or fuzz tes...

技術 增強關聯式資料庫的參照完整性(enforce the referential integrity of the relational database)

. 外鍵(Foreign key)強制引用完整性。 . 主鍵(Primary key)可增強實體的完整性。 . 候選鍵(Candidate keys)與主鍵唯一...

技術 區塊型加密器(cipher block)的操作模式(mode of operation)

. **電子密碼本(ECB)**接受純文本作為輸入。 . **密碼塊鏈接(CBC)**接受“純文本XOR IV”作為輸入。 . **密文回饋(CFB)和輸出回饋...

技術 密碼學-串流型加密器(cryptography- Stream ciphers)

-來源:廣工,滑鐵盧大學(Credit: Guang Gong, University of Waterloo) 速度,安全性和簡單性是設計新加密的主要考慮因...

技術 NIST與雲相關的準則

-雲計算概念參考模型(來源:NIST) NIST SP 500-291v1(雲路線圖) NIST SP 500-291v2(雲路線圖) NIST SP 50...