iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 1132 瀏覽

技術軟體開發工具包 (Software development kit ：SDK)是開發一個分佈式軟體系統時，最不可能是構成系統元素。

軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-01

2 Like 0 留言 4217 瀏覽

技術 WAF 網站防火牆一定要裝嗎? 免費與付費 WAF 比較、常見的網路攻擊

WAF 是什麼? WAF (Web Application Firewall)，即是「網站應用程式防火牆」，WAF 透過攔截和監控網站流量同時阻止駭客攻擊和惡意...

yumili ‧ 2022-06-21

0 Like 0 留言 798 瀏覽

技術資料治理（Data Governance）

資料治理計劃通過分配一個負責資料準確性、完整性、一致性、及時性、有效性和唯一性的團隊來提高資料質量。雖然資料治理計劃可以由提高資料質量的願望推動，但它們更多地是...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-19

0 Like 0 留言 1188 瀏覽

技術資訊系統和網路安全

-孔雀作為資訊系統的隱喻系統(System)系統是“為實現一個或多個既定目的而組織起來的相互作用元素的組合”。(ISO/IEC 15288: 2015)“本國...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-13

0 Like 0 留言 1849 瀏覽

技術交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

-圖片來源：socradar紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統，該系統由英國政府的國家基礎設施安全協調中心 (NISCC；現為國家基礎設...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-08

0 Like 0 留言 1097 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十八)

條文6.1.3後面還要求必須要制定一個風險處理計畫，條文本身並未敘述風險處理計畫需要包含甚麼。我們從前後條文來看，風險處理計畫應該要有已選定的風險處理的做法、控...

kachung ‧ 2022-06-07

0 Like 0 留言 1466 瀏覽

技術基於晶格的存取控制（Lattice-based access control）授權機制，以防止特權傳播和控制信息流以確保機密性

-存取控制策略、機制和模型晶格（Lattice）是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成，其中每對元素都有一個唯一的上界（也稱為...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-06

1 Like 0 留言 3183 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十七)

四、風險處理根據事件情景之風險評估標準排定優先順序的風險列表，選擇風險控制以降低、保持、迴避或轉移風險並確定風險處理計劃，最後提交風險處置計畫和殘餘風險給組織...

kachung ‧ 2022-06-03

0 Like 0 留言 1520 瀏覽

技術受保護的可擴展身份驗證協議 (PEAP) 是對 VPN 服務器的客戶端進行身份驗證的最佳身份驗證協議

-VPN 和 EAPVPN 服務器可以在沒有 RADIUS 服務器支持的情況下作為身份驗證服務器運行，RADIUS 服務器與 RADIUS 客戶端（VPN 服務...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-02

0 Like 0 留言 1147 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十六)

風險等級分析根據事件情景清單，及其對資產和營運過程的後果和可能性（定性的或定量的），對所有相關的事件情景進行風險級別評估，考量對風險的可能性和後果進行賦值、基...

kachung ‧ 2022-05-30

0 Like 0 留言 1081 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十五)

情景發生可能性分析分析完後果之後再來分析可能性，透過已識別的相關事件情景清單、現有和計畫的控制措施清單以及控制措施的有效性、實施和使用狀態進行分析。考慮威脅發...

kachung ‧ 2022-05-19

1 Like 0 留言 1157 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十四)

(二) 風險分析ISO 27005從一開始就強調不是方法論，此標準只是資訊安全風險管理指引，所以方法論還是要由組織自行決定。方法論區分定性法及定量法，目前大都採...

kachung ‧ 2022-05-17

0 Like 0 留言 826 瀏覽

技術誤用案例測試（Misuse case testing）最不可能包含在軟體整合測試（integration test）中

-代碼倉庫：git顧名思義，整合測試結合了代碼單元、模組或子系統並對其進行測試。在託管代碼儲存庫的服務器上進行整合測試是很常見的，例如 git 服務器。在持續整...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-16

0 Like 0 留言 1149 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十三)

識別情景結合前面所有的資訊，我們可以將威脅利用弱點損害資產的機密性、可用性及完整性的情景重建與識別，以利進行後續的評估，從資產與企業運作流程中去識別潛在的威脅...

kachung ‧ 2022-05-15

1 Like 0 留言 1777 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十二)

識別威脅在前面的概論中，我們知道威脅是外來的，他必須配合資產才會產生風險，所以資產與威脅是相互之間的關係。上一個步驟中我們找到資產清單，利用資產清單，可以找到...

kachung ‧ 2022-05-11

0 Like 0 留言 944 瀏覽

技術死結(Deadlock)是開發人員進行結對編程(pair programming)時，是最難發現的問題。

-XP 實踐（來源：https ://twitter.com/CharlotteBRF ）結對編程是眾所周知的極限編程 (XP) 實踐之一。這也是一種實時代碼審...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-10

0 Like 0 留言 2534 瀏覽

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-05

0 Like 0 留言 2534 瀏覽

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-05

1 Like 0 留言 496 瀏覽

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

-虛擬機和 Docker 容器（來源：Diego Terrana）容器化是一種應用程序級的虛擬化技術，它共享相同的操作系統內核，而不是由管理程序管理的基於虛擬機...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-29

1 Like 0 留言 1161 瀏覽

技術使用 KubeEye 為你的 K8s 集群安全保駕護航

使用 KubeEye 為你的 K8s 集群安全保駕護航其他 2022-04-24 18:51:30 閱讀次數: 0 作者：KaliArch（薛磊），某Clo...

免费v2ray节点 ‧ 2022-04-25

0 Like 0 留言 2143 瀏覽

技術 CMMC 2.0 之前世今生

美國國防部在 2020 年1月底公布新規範「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱...

kachung ‧ 2022-04-17

0 Like 0 留言 2084 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十一)

(三) 資訊安全風險管理組織架構在執行資訊安全風險管理之前，相關組織、角色及權責應預先設置，相關授權需要明確區分，在設置相關組織時需考量下列事項：• 發展出適合...

kachung ‧ 2022-04-15

0 Like 0 留言 749 瀏覽

技術網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。根據Wikipedia的說法，“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-11

0 Like 0 留言 650 瀏覽

技術組織專案支持過程（Organizational project-enabling processes）

-NIST SP800-160 V1 和 ISO 15288工程是一種方法，它涉及一系列應用知識和技能的過程來理解和管理利益相關者的需求，提出和實施解決...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-08

1 Like 0 留言 1281 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十)

衝擊準則：為了充分了解所識別風險，組織應清楚地了解每個風險事件中明顯的後果，這對於衡量這些風險事件、為風險評估其後果和可能性提供資訊至關重要，此過程還將有助...

kachung ‧ 2022-04-07

0 Like 0 留言 866 瀏覽

技術 XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者

XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者。XACML 的策略決策點 (PDP) 通常根據主體、客體和環境的屬性做出授權決策。在可信計...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-06

0 Like 0 留言 1593 瀏覽

技術曝露係數(Exposure factor)

-簡單的定量風險分析曝露係數 (EF)曝露係數 (EF) 是在實現特定威脅時對特定資產的主觀、潛在損失百分比。暴露因子是評估風險的人必須定義的主觀值。（維基百科...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-30

1 Like 0 留言 2839 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十九)

二、 ISO 27005 架構ISO 27005資訊安全風險管理架構如下圖：先說明建立全景的步驟：在這個階段我們利用第四章所分析的資訊，建立基本準則、範圍範...

kachung ‧ 2022-03-29

0 Like 0 留言 2543 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十八)

第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險，在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據I...

kachung ‧ 2022-03-25

0 Like 0 留言 704 瀏覽

技術權威認證（Authoritative accreditation）

-NIST SDLC 和 RMF-認證和認可 (C&A)-授權決定認證（Certification）：對資訊系統中的管理、運營和技術安全控制進行全面評估...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-25

技術 軟體開發工具包 (Software development kit ：SDK)是開發一個分佈式軟體系統時，最不可能是構成系統元素。

技術 WAF 網站防火牆一定要裝嗎? 免費與付費 WAF 比較、常見的網路攻擊

技術 資料治理（Data Governance）

技術 資訊系統和網路安全

技術 交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

技術 ISO 27001 資訊安全管理系統 【解析】(二十八)

技術 基於晶格的存取控制（Lattice-based access control）授權機制，以防止特權傳播和控制信息流以確保機密性

技術 ISO 27001 資訊安全管理系統 【解析】(二十七)

技術 受保護的可擴展身份驗證協議 (PEAP) 是對 VPN 服務器的客戶端進行身份驗證的最佳身份驗證協議

技術 ISO 27001 資訊安全管理系統 【解析】(二十六)

技術 ISO 27001 資訊安全管理系統 【解析】(二十五)

技術 ISO 27001 資訊安全管理系統 【解析】(二十四)

技術 誤用案例測試（Misuse case testing）最不可能包含在軟體整合測試（integration test）中

技術 ISO 27001 資訊安全管理系統 【解析】(二十三)

技術 ISO 27001 資訊安全管理系統 【解析】(二十二)

技術 死結(Deadlock)是開發人員進行結對編程(pair programming)時，是最難發現的問題。

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

技術 使用 KubeEye 為你的 K8s 集群安全保駕護航

技術 CMMC 2.0 之前世今生

技術 ISO 27001 資訊安全管理系統 【解析】(二十一)

技術 網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

技術 組織專案支持過程（Organizational project-enabling processes）

技術 ISO 27001 資訊安全管理系統 【解析】(二十)

技術 XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者

技術 曝露係數(Exposure factor)

技術 ISO 27001 資訊安全管理系統 【解析】(十九)

技術 ISO 27001 資訊安全管理系統 【解析】(十八)

技術 權威認證（Authoritative accreditation）

標記使用者

技術軟體開發工具包 (Software development kit ：SDK)是開發一個分佈式軟體系統時，最不可能是構成系統元素。

技術資料治理（Data Governance）

技術資訊系統和網路安全

技術交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

技術 ISO 27001 資訊安全管理系統【解析】(二十八)

技術基於晶格的存取控制（Lattice-based access control）授權機制，以防止特權傳播和控制信息流以確保機密性

技術 ISO 27001 資訊安全管理系統【解析】(二十七)

技術受保護的可擴展身份驗證協議 (PEAP) 是對 VPN 服務器的客戶端進行身份驗證的最佳身份驗證協議

技術 ISO 27001 資訊安全管理系統【解析】(二十六)

技術 ISO 27001 資訊安全管理系統【解析】(二十五)

技術 ISO 27001 資訊安全管理系統【解析】(二十四)

技術誤用案例測試（Misuse case testing）最不可能包含在軟體整合測試（integration test）中

技術 ISO 27001 資訊安全管理系統【解析】(二十三)

技術 ISO 27001 資訊安全管理系統【解析】(二十二)

技術死結(Deadlock)是開發人員進行結對編程(pair programming)時，是最難發現的問題。

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術使用 KubeEye 為你的 K8s 集群安全保駕護航

技術 ISO 27001 資訊安全管理系統【解析】(二十一)

技術網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

技術組織專案支持過程（Organizational project-enabling processes）

技術 ISO 27001 資訊安全管理系統【解析】(二十)

技術曝露係數(Exposure factor)

技術 ISO 27001 資訊安全管理系統【解析】(十九)

技術 ISO 27001 資訊安全管理系統【解析】(十八)

技術權威認證（Authoritative accreditation）