iT邦幫忙

資訊安全相關文章
共有 952 則文章

技術 獲得資訊系統運行授權(authorization)而應首先開發的文件-安全和隱私計劃(Security and privacy plans)

-NIST SDLC 和 RMF 資訊系統所有者應準備授權包並將其提交給適當的 授權操作(ATO)機構。授權包通常包含: 安全和隱私計劃(指導活動/任務)...

技術 硬體安全模組 (HSM) 的身份驗證最不相關-職責分離(SOD)

如今,“秘密”(secret)是認證的基礎。我們通常使用密碼(您知道的東西)、令牌中的加密密鑰(您擁有的東西)或帶有 PIN 的 1 對 1 生物特徵識別(您是...

技術 企業內資安與各家雲端安全的產品功能對比

資安功能精細對比 這兩三年安全事件竄升,雲端到底安不安全,有甚麼樣的原生功能可以因應,安全的各面向視角是否都能照顧到自身企業環境所需,藉一位資深的資安朋友的力,...

技術 單元測試(Unit testing)

-示例單元測試 單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值,伴隨著敏捷方法提出的測試驅動開發(TDD)實踐,極限編程(XP)。也就是...

技術 ISO 31000的風險管理提供了最一般的知識概念並適用於最全面的環境

-什麼是風險? ISO 31000:2018 提供了有關管理組織面臨的風險的指南。這些指南的應用可以針對任何組織及其環境進行定制。 ISO 31000:201...

技術 AES(高級加密標準)

-密碼學 這兩種DES(數據加密標準)和AES(高級加密標準)是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer,而當前標準 AES 通過開...

技術 金鑰叢集(Key clustering)

哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些,例如維基百科,可能會在哈希語中使用聚類。在 CISSP 中,聚類特別指密碼使用...

技術 收集和引出軟體開發專業中利害關係人的安全需要(needs)和需求(requirements)

-軟體開發生命週期 (SDLC) – 設計 在(需求)分析中引出、收集、分析、指定、記錄、驗證、確認和管理需求。有許多工具和技術可用於需求管理。調查、會議、訪...

技術 數據來源身份真實-CBC-MAC

-密碼學 問題是關於確保數據本身的完整性和數據來源的真實性,或者所謂的“真實性”,包括這兩個概念。HMAC 和 CBC-MAC 是強制執行真實性的手段。哈希強...

技術 錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)

-來源:(ISC)² 社區 在基於生物識別的系統中,靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低,生...

技術 存取令牌(Access Token)

. “斷言”( Assertion)是 SAML(安全斷言標記語言)中使用的術語,相當於 OIDC(OpenID Connect)中的“聲明”。OIDC 將 I...

技術 VPN和EAP

-VPN 和 EAP 在 802.1X 中,請求者與身份驗證者通信,身份驗證者將身份驗證消息轉發到身份驗證服務器。請求者不直接向身份驗證服務器進行身份驗證。...

技術 軟體保證成熟度模型(SAMM)-安全冠軍(Security Champion)

-SAMM 概述(來源:https : //owaspsamm.org) 軟體保障成熟度模型(SAMM)是一個 OWASP 專案,一個規範模型和一個開放框架,...

技術 資料抽象與封裝(Data Abstraction vs Encapsulation)

人們經常會被資料抽象和封裝混淆,把抽象的概念當作封裝或信息隱藏。事實並非如此。以下定義來自 ISO/IEC/IEEE 24765:2017 系統和軟體工程 —...

技術 OpenID Connect

OAuth 2.0 指定了存取資源的存取令牌,但它沒有提供提供身份信息(ID Token)的標準方法,這就是 OpenID Connect(ODIC)出現的原...

技術 RESTful API 操作對數據完整性的影響最小-Get

-RESTful HTTP 方法 HTTP 方法/動詞 GET 通常用於檢索數據,這會影響機密性。 HTTP 方法 -Semantics of HTTP m...

技術 WPA 使用 RC4 作為保密的底層密碼(WPA uses RC4 as the underlying cipher for confidentiality)

. RC4 在 WEP 中用於強制保密。然而,“在 2001 年 8 月,Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了...

技術 NIST SP 800-63A-身份證明程序(identity proofing procedure)

NIST SP 800-63A 為身份證明程序提供了良好的指導。 -身份證明用戶之旅(來源:NIST SP 800-63A) 資料來源: Wentz Wu Q...

技術 OWASP SAMM-安全冠軍(Security Champion)

-SAMM 概述(來源:https : //owaspsamm.org) 文化有不同的背景或層次,例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升...

技術 瀏覽器向 Web 服務器提交用戶密碼最可行的方法-原始密碼(Raw password )

“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是,HTTPS 下的原始密碼更常用,例如 Googl...

技術 治理結構(Governance Structure)-稽核委員會(Audit Committee)

-治理結構(Governance Structure) 稽核委員會(Audit Committee) 稽核委員會是組織董事會的一個委員會,負責監督財務報告流程...

技術 併購(Mergers and acquisitions)-安全評鑑(Security assessment)

-10 步併購清單(來源:CFI Education Inc.) 在考慮剝離提議時,進行安全評鑑以評估和改進安全態勢有助於最大化潛在交易的價值。另一方面,安全...

技術 漏洞管理(Vulnerability Management)

由於管理是實現一個或多個目標的系統方法,我根據維基百科和NIST CSRC 術語表中的定義定義漏洞管理,並將它們擴展如下: 漏洞管理是識別、分類、優先排序、修...

技術 戰略層次(Levels of Strategy)

-戰略層次 通常,CEO 負責制定公司戰略或大戰略,董事會的意見和高級管理團隊的支持。 CISO 不是製定企業戰略的主要角色,而是與企業戰略保持一致以創造價值...

技術 微服務、容器化和無服務器(Microservices, Containerization, and Serverless)

微服務(Microservices) 微服務是一個低耦合的架構,可以通過以下方式實現重構一個單片應用,即,轉向進程內的應用程序組件成自包含的網絡服務適於被部署...

技術 可信路徑和可信通道(Trusted Path and Trusted Channel)

-可信路徑和可信通道 . 可信計算機系統(Trusted Computer System) 具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏...

技術 NIST 對 ICT 供應鏈的常見風險

-ICT SCRM 支柱和可見性(來源:NIST SP 800-161) 僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。...

技術 (ISC)² 道德規範(Code of Ethics Canons)

-道德在新的 CISSP 考試大綱中名列前茅 道德規範(Code of Ethics Canons) . 保護社會、共同利益、必要的公眾信任和信心以及基礎設施...

技術 EAP-TLS身份驗證協議最能支持零信任原則

-零信任網路安全範式 EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行...

技術 不是使用專用的、標準化的設備清理命令的清除方法:消磁(Degaussing)

清理方法(The sanitization method),清除(purge),將使數據恢復不可行,但介質是可重複使用的。消磁(Degaussing)會使媒體永...