iT邦幫忙

資訊安全相關文章
共有 1374 則文章
1 Like 0 留言 2919 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(十二)

資通安全責任等級依照資通安全責任等級分級辦法,由主管機關核定相對應之等級,按照等級決定導入系統之驗證範圍,例如:A級機關初次受核定或等級變更後之二年內,全部核...

kachung 2022-03-02
0 Like 0 留言 727 瀏覽

技術 XACML 可擴展存取控制標記語言

-示例 XACML 實現XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X,又名 EAP over LAN,是一種基於 E...

卓建全(Cho,Chien-Chuan) 2022-03-01
0 Like 0 留言 997 瀏覽

技術 X.509 標準中未定義可分辨編碼規則(Distinguished encoding rules)

PKI 證書編碼(PKI Certificate Encoding)X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有...

卓建全(Cho,Chien-Chuan) 2022-02-24
0 Like 0 留言 1032 瀏覽

技術 配置管理(Configuration management)是編排器(orchestrator )管理容器化(containerized)應用程序的最關鍵推動力

在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器...

卓建全(Cho,Chien-Chuan) 2022-02-21
0 Like 0 留言 1671 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(九)

(一) 正式範圍定義的目的範圍定義的目的是準確說明組織所做的事情,範圍說明應準確說明組織所做的事情是否符合標準。範圍的定義比較不適切的敘述如後:「XXX公司的資...

kachung 2022-02-20
1 Like 0 留言 2676 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(八)

六、 訂定資訊安全管理系統適用範圍組織必須確定資訊安全管理系統的邊界和適用性,以確定其範圍。在確定此範圍時,組織應考慮4.1中提到的外部和內部問題;還必須考慮到...

kachung 2022-02-17
0 Like 0 留言 1200 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(七)

(五) 員工我們目前擁有多名員工,分別是管理階層、軟體開發、硬體維護、營業部門、客戶管理及財務和管理,他們的要求如下: 公司獲利並提供安全的工作。 公司提供安...

kachung 2022-02-16
0 Like 0 留言 3432 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(六)

五、 了解利害關係者的需求和期望組織必須確定與資訊安全管理系統相關的利害關係者及其要求,有關利害關係者的要求可能包括法律、監管要求以及合約義務,必須識別對組織的...

kachung 2022-02-14
1 Like 0 留言 3529 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(五)

三、 建立外部背景外部背景是組織尋求達成目標的外部環境。了解外部背景非常重要,是為了確保在訂定安全風險標準時已考慮外部利害關係者的目標和關切事項。基於組織範圍的...

kachung 2022-02-13
1 Like 0 留言 4467 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(四)

伍、 第四章 全景分析現在開始針對ISO 27001標準本文的章節來進行探討,第一到三章是一般性標準的敘述,就不多加探討;從第四章開始,這個章節是所有導入組織最...

kachung 2022-02-12
1 Like 0 留言 1341 瀏覽

技術 最有效的防止 SQL 注入攻擊的技術控制-參數化 SQL 查詢

-層與層(Layer vs Tier)前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策,這通常發生在客戶端。但是,攻擊者可能不會從表示層發起 SQ...

卓建全(Cho,Chien-Chuan) 2022-02-11
0 Like 0 留言 2039 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(三)

參、 管理系統概述品質管理系統應該是所有管理系統的基礎,ISO/TC 176在制訂品質管理系統的標準時,訂定了七大原則(改版前稱為八大定理),這七大原則可以應用...

kachung 2022-02-11
2 Like 0 留言 3607 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(二)

三、 威脅是屬於一種外部事件或狀態,對於基本要素會產生破壞,在此節僅針對其特性做一些基本敘述,於後面風險分析的章節會有更詳細的說明。威脅會隨著時間、技術及社會造...

kachung 2022-02-08
0 Like 0 留言 1093 瀏覽

技術 因邊界網關協議 ( BGP) 路由配置錯誤導致 DNS 故障而遭受服務中斷,防止此事件的最佳對策-對配置更改實施兩人控制

-一般問題解決過程如果配置由其他工程師仔細檢查,則對配置更改強制執行兩人控制可能會避免該事件。這是一種預防控制。社交媒體服務依賴於 DNS,這需要 BGP 支持...

卓建全(Cho,Chien-Chuan) 2022-01-27
14 Like 0 留言 6380 瀏覽

達標好文 技術 ISO 27001 資訊安全管理系統 【解析】(一)

本篇解析斷斷續續寫了將近一年的時間,一直沒有下定決心到底要寫成甚麼樣子,在一些外在因素影響下,終於努力地將它完整寫完,其中內容引用了很多的法規、條文及參考資料,...

kachung 2022-02-07
0 Like 0 留言 1245 瀏覽

技術 根據 NIST SP 800-204通訊 (Communication) 是對基於微服務的應用程序是最為獨有的

以下是 NIST SP 800-204 的摘錄:典型的基於微服務的應用程序的部署堆棧中存在六層,如硬體、虛擬化、雲、通信、服務/應用程序和編排。本文件將這些層視...

卓建全(Cho,Chien-Chuan) 2022-01-10
0 Like 0 留言 1800 瀏覽

技術 SPML用於將跨資訊系統之創建和管理實體和屬性的過程自動化

在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。「服務開通」常常出現在有關...

卓建全(Cho,Chien-Chuan) 2022-01-05
0 Like 0 留言 1310 瀏覽

技術 資料控制者(data controller)

-資料和系統所有者將“資料所有者“(data owner)和“資料控制者”(data controller)一視同仁的情況並不少見。然而,事實並非如此。資料控制...

卓建全(Cho,Chien-Chuan) 2022-01-04
1 Like 0 留言 1112 瀏覽

技術 無服務器計算(Serverless computing)支持微服務架構並具有最低管理開銷來部署企業級應用程序的雲服務模型

-使用 AWS 構建無服務器後端微服務通常託管在部署在本地或 PaaS 上的容器中;它們也可以在無服務器後端實現,即功能即服務 (FaaS),與 PaaS 相比...

卓建全(Cho,Chien-Chuan) 2021-12-29
0 Like 0 留言 1329 瀏覽

技術 中央處理單元 (CPU) 的立即尋址(Immediate addressing)模式中,指令本身指定了的運算元

-計算機架構CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器...

卓建全(Cho,Chien-Chuan) 2021-12-27
0 Like 0 留言 730 瀏覽

技術 使用 802.1X 實施網路存取控制中,讓請求者(supplicant)向身份驗證者(authenticator)進行身份驗證且具有最少的系統管理負擔(overhead)的是PEAP協議

-VPN 和 EAP-EAP 協議比較 803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(...

卓建全(Cho,Chien-Chuan) 2021-12-21
0 Like 0 留言 816 瀏覽

技術 你正在為明年的年度計畫做準備,『發展全面的(綜合)標的』不是聰明的目標設定

-什麼是管理?-目標和目的目標設定過程可以考慮綜合因素,但目標要具體,並以關鍵指標衡量。在不提供資源的情況下設定目標是不實際的,而且是口頭上的。 管理是實現目標...

卓建全(Cho,Chien-Chuan) 2021-12-20
0 Like 0 留言 2665 瀏覽

技術 數位簽章(digital signature)

-數位簽章使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。. 使用 SHA 生成合約的消息驗證碼,確保數據來源的真實性...

卓建全(Cho,Chien-Chuan) 2021-12-17
0 Like 0 留言 676 瀏覽

技術 確保資訊安全的有效性,並達到符合性(合規性)要求,應優先遵循組織政策

-政策框架組織應當遵守法律法規。管理團隊應盡職盡責制定或審查政策以滿足法律和監管要求。組織政策與法律或法規不一致並不一定意味著違規。組織政策可能會制定比法律或法...

卓建全(Cho,Chien-Chuan) 2021-12-14
0 Like 0 留言 1385 瀏覽

技術 安全功能(security function)

-治理結構-波特的價值鏈職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成,以支持運營和交付價值。組織級別的安全功能可由任何級別...

卓建全(Cho,Chien-Chuan) 2021-12-13
0 Like 0 留言 1230 瀏覽

技術 風險處置(風險回應)[Risk Treatment (Risk Response)]

-風險處理(風險應對)無論我們實施哪種加密方案,都可以降低風險。ISO 27005 使用術語“風險修正”來表達風險緩解的概念。如果我們決定避免風險,用以太網代替...

卓建全(Cho,Chien-Chuan) 2021-12-10
0 Like 0 留言 2754 瀏覽

技術 盡職調查(due diligence)

-盡職調查和應有注意當談到 CISSP 時,盡職調查 (DD) 的定義是模糊和不一致的。IMO、DD 需要根據上下文定義標準。法律領域的DD標準與金融領域的標準...

卓建全(Cho,Chien-Chuan) 2021-12-09
0 Like 0 留言 1450 瀏覽

技術 強制存取控制環境中強制執行完整性

-CIA作為安全目標在 FISMA 中,真實性和不可否認性是完整性的屬性,即使它們在美國國防部信息保障計劃和美國網路安全政策中與完整性分開。要將文件摘要加密為數...

卓建全(Cho,Chien-Chuan) 2021-12-07
0 Like 0 留言 938 瀏覽

技術 滲透測試-列舉可用的服務和資源

-滲透測試方法使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序,而是一種常見的做法。 參考. CEH 黑客方...

卓建全(Cho,Chien-Chuan) 2021-12-06
0 Like 0 留言 1931 瀏覽

技術 實施零信任架構以防止橫向移動,XACML最不可能進行身份驗證

-示例 XACML 實現XACML 旨在支持授權,而不是身份驗證。XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策...

卓建全(Cho,Chien-Chuan) 2021-12-01
iThome鐵人賽
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
8363
完賽人數
93
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 17th鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react
熱門問題
熱門回答
熱門文章
IT邦幫忙