-圖片來源:gunther.verheyen 業務人員更了解監管要求和市場,因此IT和安全功能都應與業務需求保持一致,“系統應在經過全面測試後提交認證。”. 監...
-用例和濫用案例(來源:https://en.wikipedia.org/wiki/Misuse_case) 用例(Use Case)用例描述了一個或多個場景,...
-CBC-MAC(來源:https : //en.wikipedia.org/wiki/CBC-MAC) . AES僅保護機密性;它不涉及完整性。. 消息身份驗...
一個基於主機的IDS可以監視並通過安裝加密的網絡通信中分析活性劑在端點上。一個基於網絡的IDS,依靠傳感器被動嗅探流量,因為加密的活動通常是保護不能夠做到端到端...
我在這篇文章中介紹戰略管理。我的書《有效的CISSP:安全和風險管理》中有詳細信息。 政策(Policy)代表管理意圖。一旦制定或製定了戰略,就會發布策略來指導...
. 風險暴露(Risk Exposure)是指風險給個人,項目或組織帶來的潛在損失。(ISO 16085:2006). 風險容忍度(Risk Tolerance...
全磁碟加密(FDE)可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器(SED),通常符合OPAL(例如Windows的加密硬盤驅...
密碼驗證協議(PAP)發送未加密的密碼。它比EAP-MD5和CHAP(都使用MD5)弱。因此,在三種身份驗證協議中最不可能使用PAP。可擴展身份驗證協議(EAP...
前言 為何我想要寫這篇文章呢?因為蠻多進入到資安全的新手寶寶們,都會跑來問我說怎麼入門資訊安全呢?因為過於太多人跑來問我這件事情,所以我就想寫一篇文章來回應此件...
-NIST SDLC和RMF 在啟動項目後進行系統分類;這意味著已經開發了一個業務案例,並且已選擇,接受,批准了替代方案並變成了項目。安全控制的實施取決於安全措...
-EAP和802.1X 以下是維基百科的摘錄:EAP不是有線協議;相反,它僅定義消息格式。每個使用EAP的協議都定義了一種將EAP消息封裝在該協議的消息中的方法...
-業務連續性政策高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景,並通過政策指導戰略的實施。戰略通常包括項目組合,計劃和項目的集合。有許多類型的策略,例...
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。 會計,審計和問責制(又一個AAA). 問責制 是...
構架(Frameworks)-NIST網路安全框架(NIST Cybersecurity Framework) . NIST網絡安全框架(CSF). 認識到美國...
這個問題是根據痛苦金字塔設計的。它不是一個行業標準,但它提供了一個很好的基礎,以評估在威脅源中提供的妥協指標 (IOC)。 並非所有妥協指標(IOC)都是平等的...
隱蔽頻道. 隱蔽通道是“意外或未經授權的系統內通道,它使兩個合作實體能夠以違反系統安全策略但不超過實體訪問權限的方式來傳輸信息。” (CNSSI 4009-20...
這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數...
IPv6節點使用本地鏈接地址(前綴為FE80 :: / 10)引導,並使用多播與DHCP服務器聯繫。它們不同於IPv4主機,後者使用默認地址(0.0.0.0)引...
-VLAN組(來源:Cisco Press)VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由...
高級持久威脅(APT) 多向量多態攻擊 拒絕服務 緩衝區溢出 流動碼 惡意軟件(惡意軟件) 偷渡式下載攻擊 間諜軟件 特洛伊木馬 鍵盤記錄器 密碼破解者...
什麼是OWASP SAMM?以下是OWASP SAMM的摘要 :. SAMM代表軟體保障成熟度模型。. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法...
歐洲GDPR設計,這就要求隱私被考慮納入隱私貫穿整個設計過程。(維基百科)隱私影響分析甚至在開始階段進行的前一個工程項目啟動,如圖所示NIST SDLC。-NI...
曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。 以下投影片是 FIPS 199...
零信任零信任是一種用於訪問控制的網絡安全範例,具有以數據為中心,細粒度,動態且具有可見性的特徵。. 取消邊界刪除會刪除物理網絡邊界。. XACML提供細粒度的訪...
-圖片來源:DO SON為了準備測試數據以驗證後端API是否暗示被測系統(SUT)是一個數據驅動的系統,該系統處理和處理傳輸,靜止和使用中的各種數據,這就是數據...
-電子發現參考模型 證人(Witnesses )和證據(evidence)決定了司法結果。及時的電子發現行動將收集證據,而健全的數據治理將確定證據是否可以接受。...
NIST SP 800-34的第一個版本使用術語最大允許中斷(Maximum Allowable Outage:MAO)來描述信息系統的停機時間閾值。為了進一步...
即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼,HTTP仍以明文形式傳輸編碼,並依靠HTTPS來實施安全性。密碼(Cipher)和代碼(Cod...
在這四個選項中,開發信息安全管理系統(ISMS)是最合適,最關鍵的。ISMS從管理承諾和政策開始,這些承諾和政策推動信息安全,以滿足利益相關者(或利益相關方)的...
一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成...