iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1242 瀏覽

技術瀑布(Waterfall)& 敏捷(Agile)

-圖片來源：gunther.verheyen 業務人員更了解監管要求和市場，因此IT和安全功能都應與業務需求保持一致，“系統應在經過全面測試後提交認證。”. 監...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-30

0 Like 0 留言 1180 瀏覽

技術濫用案例(misuse cases)

-用例和濫用案例（來源：https://en.wikipedia.org/wiki/Misuse_case) 用例（Use Case）用例描述了一個或多個場景，...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-28

1 Like 0 留言 1164 瀏覽

技術消息身份驗證代碼（message authentication code）

-CBC-MAC（來源：https : //en.wikipedia.org/wiki/CBC-MAC） . AES僅保護機密性；它不涉及完整性。. 消息身份驗...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-26

0 Like 0 留言 1399 瀏覽

技術入侵檢測系統（ intrusion detection system :IDS）

一個基於主機的IDS可以監視並通過安裝加密的網絡通信中分析活性劑在端點上。一個基於網絡的IDS，依靠傳感器被動嗅探流量，因為加密的活動通常是保護不能夠做到端到端...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-25

0 Like 0 留言 1847 瀏覽

技術戰略管理(strategic management)

我在這篇文章中介紹戰略管理。我的書《有效的CISSP：安全和風險管理》中有詳細信息。政策(Policy)代表管理意圖。一旦制定或製定了戰略，就會發布策略來指導...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-21

0 Like 0 留言 2446 瀏覽

技術風險承受能力和風險偏好(Risk Capacity and Risk Appetite)

. 風險暴露(Risk Exposure)是指風險給個人，項目或組織帶來的潛在損失。（ISO 16085：2006）. 風險容忍度(Risk Tolerance...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-20

0 Like 0 留言 3015 瀏覽

技術全磁碟加密（Full Disk Encryption）

全磁碟加密（FDE）可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器（SED），通常符合OPAL（例如Windows的加密硬盤驅...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-19

0 Like 0 留言 1228 瀏覽

技術擴展認證協議（EAP）最不可能用於建立點對點連接

密碼驗證協議（PAP）發送未加密的密碼。它比EAP-MD5和CHAP（都使用MD5）弱。因此，在三種身份驗證協議中最不可能使用PAP。可擴展身份驗證協議（EAP...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-18

4 Like 3 留言 3946 瀏覽

達標好文技術新手如何入門資訊安全？

前言為何我想要寫這篇文章呢？因為蠻多進入到資安全的新手寶寶們，都會跑來問我說怎麼入門資訊安全呢？因為過於太多人跑來問我這件事情，所以我就想寫一篇文章來回應此件...

貢丸 ‧ 2021-05-16

0 Like 0 留言 1196 瀏覽

技術 NIST SDLC和RMF(續)-PartII

-NIST SDLC和RMF 在啟動項目後進行系統分類；這意味著已經開發了一個業務案例，並且已選擇，接受，批准了替代方案並變成了項目。安全控制的實施取決於安全措...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-14

0 Like 0 留言 2086 瀏覽

技術 LEAP（輕量級可擴展認證協議）

-EAP和802.1X 以下是維基百科的摘錄：EAP不是有線協議；相反，它僅定義消息格式。每個使用EAP的協議都定義了一種將EAP消息封裝在該協議的消息中的方法...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-13

0 Like 0 留言 894 瀏覽

技術資訊安全戰略(information security strategy)

-業務連續性政策高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景，並通過政策指導戰略的實施。戰略通常包括項目組合，計劃和項目的集合。有許多類型的策略，例...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-10

0 Like 0 留言 1413 瀏覽

技術會計，審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析（UEBA）

日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。會計，審計和問責制（又一個AAA）. 問責制是...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-06

0 Like 0 留言 2312 瀏覽

技術安全框架和成熟度模型(Security Frameworks and Maturity Models)

構架(Frameworks)-NIST網路安全框架(NIST Cybersecurity Framework) . NIST網絡安全框架（CSF）. 認識到美國...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-04

0 Like 0 留言 1858 瀏覽

技術危害指標（Indicators of Compromise:IoC）

這個問題是根據痛苦金字塔設計的。它不是一個行業標準，但它提供了一個很好的基礎，以評估在威脅源中提供的妥協指標（IOC）。並非所有妥協指標（IOC）都是平等的...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-03

0 Like 0 留言 2945 瀏覽

技術隱蔽頻道(Covert Channel) &側通道(Side Channel) &帶外公開頻道(Out-of-band Overt Channel)

隱蔽頻道. 隱蔽通道是“意外或未經授權的系統內通道，它使兩個合作實體能夠以違反系統安全策略但不超過實體訪問權限的方式來傳輸信息。” （CNSSI 4009-20...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-03

0 Like 0 留言 1285 瀏覽

技術數據操作語言（Data manipulation language）

這個問題描述了常見的SQL注入場景，該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-30

0 Like 0 留言 2451 瀏覽

技術 IPv6

IPv6節點使用本地鏈接地址（前綴為FE80 :: / 10）引導，並使用多播與DHCP服務器聯繫。它們不同於IPv4主機，後者使用默認地址（0.0.0.0）引...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-29

0 Like 0 留言 1278 瀏覽

技術劫持用戶會話（hijack user sessions）

-VLAN組（來源：Cisco Press）VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-28

0 Like 0 留言 2379 瀏覽

技術常見攻擊（Common Attacks）

高級持久威脅（APT）多向量多態攻擊拒絕服務緩衝區溢出流動碼惡意軟件（惡意軟件）偷渡式下載攻擊間諜軟件特洛伊木馬鍵盤記錄器密碼破解者...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-27

0 Like 0 留言 2183 瀏覽

技術 OWASP SAMM

什麼是OWASP SAMM？以下是OWASP SAMM的摘要：. SAMM代表軟體保障成熟度模型。. 我們的使命是為所有類型的組織提供一種有效且可衡量的方法...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-27

0 Like 0 留言 1167 瀏覽

技術系統開發生命週期(SDLC)- 設計隱私

歐洲GDPR設計，這就要求隱私被考慮納入隱私貫穿整個設計過程。（維基百科）隱私影響分析甚至在開始階段進行的前一個工程項目啟動，如圖所示NIST SDLC。-NI...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-26

0 Like 0 留言 1271 瀏覽

技術 CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而，FISMA和FIPS 199明確而準確地區分了兩者。以下投影片是 FIPS 199...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-23

0 Like 0 留言 1079 瀏覽

技術零信任的特徵

零信任零信任是一種用於訪問控制的網絡安全範例，具有以數據為中心，細粒度，動態且具有可見性的特徵。. 取消邊界刪除會刪除物理網絡邊界。. XACML提供細粒度的訪...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-22

1 Like 0 留言 2084 瀏覽

技術模糊測試工具-zzuf

-圖片來源：DO SON為了準備測試數據以驗證後端API是否暗示被測系統（SUT）是一個數據驅動的系統，該系統處理和處理傳輸，靜止和使用中的各種數據，這就是數據...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-21

0 Like 0 留言 1460 瀏覽

技術電子發現參考模型（Electronic Discovery Reference Model）

-電子發現參考模型證人（Witnesses ）和證據（evidence）決定了司法結果。及時的電子發現行動將收集證據，而健全的數據治理將確定證據是否可以接受。...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-20

0 Like 0 留言 13718 瀏覽

技術常見的BIA術語（Common BIA Terminologies）

NIST SP 800-34的第一個版本使用術語最大允許中斷（Maximum Allowable Outage：MAO）來描述信息系統的停機時間閾值。為了進一步...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-19

1 Like 0 留言 1381 瀏覽

技術 Base64

即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼，HTTP仍以明文形式傳輸編碼，並依靠HTTPS來實施安全性。密碼（Cipher）和代碼(Cod...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-19

0 Like 0 留言 975 瀏覽

技術作為CISO最關鍵的任務-開發資訊安全性管理系統

在這四個選項中，開發信息安全管理系統（ISMS）是最合適，最關鍵的。ISMS從管理承諾和政策開始，這些承諾和政策推動信息安全，以滿足利益相關者（或利益相關方）的...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-16

0 Like 0 留言 1176 瀏覽

技術證書簽名請求（CSR）

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是，這不是一個好主意，因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此，請使用本地實用程序生成...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-15

技術 瀑布(Waterfall)& 敏捷(Agile)

技術 濫用案例(misuse cases)

技術 消息身份驗證代碼（message authentication code）

技術 入侵檢測系統（ intrusion detection system :IDS）

技術 戰略管理(strategic management)

技術 風險承受能力和風險偏好(Risk Capacity and Risk Appetite)

技術 全磁碟加密（Full Disk Encryption）

技術 擴展認證協議（EAP）最不可能用於建立點對點連接

達標好文 技術 新手如何入門資訊安全？

技術 NIST SDLC和RMF(續)-PartII

技術 LEAP（輕量級可擴展認證協議）

技術 資訊安全戰略(information security strategy)

技術 會計，審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析（UEBA）

技術 安全框架和成熟度模型(Security Frameworks and Maturity Models)

技術 危害指標（Indicators of Compromise:IoC）

技術 隱蔽頻道(Covert Channel) &側通道(Side Channel) &帶外公開頻道(Out-of-band Overt Channel)

技術 數據操作語言（Data manipulation language）