iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 842 瀏覽

技術你正在為明年的年度計畫做準備，『發展全面的（綜合）標的』不是聰明的目標設定

-什麼是管理？-目標和目的目標設定過程可以考慮綜合因素，但目標要具體，並以關鍵指標衡量。在不提供資源的情況下設定目標是不實際的，而且是口頭上的。管理是實現目標...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-20

0 Like 0 留言 2714 瀏覽

技術數位簽章(digital signature)

-數位簽章使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的改寫。. 使用 SHA 生成合約的消息驗證碼，確保數據來源的真實性...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-17

0 Like 0 留言 694 瀏覽

技術確保資訊安全的有效性，並達到符合性（合規性）要求，應優先遵循組織政策

-政策框架組織應當遵守法律法規。管理團隊應盡職盡責制定或審查政策以滿足法律和監管要求。組織政策與法律或法規不一致並不一定意味著違規。組織政策可能會制定比法律或法...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-14

0 Like 0 留言 1425 瀏覽

技術安全功能（security function）

-治理結構-波特的價值鏈職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成，以支持運營和交付價值。組織級別的安全功能可由任何級別...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-13

0 Like 0 留言 1256 瀏覽

技術風險處置（風險回應）[Risk Treatment (Risk Response)]

-風險處理（風險應對）無論我們實施哪種加密方案，都可以降低風險。ISO 27005 使用術語“風險修正”來表達風險緩解的概念。如果我們決定避免風險，用以太網代替...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-10

0 Like 0 留言 2840 瀏覽

技術盡職調查(due diligence)

-盡職調查和應有注意當談到 CISSP 時，盡職調查 (DD) 的定義是模糊和不一致的。IMO、DD 需要根據上下文定義標準。法律領域的DD標準與金融領域的標準...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-09

0 Like 0 留言 1479 瀏覽

技術強制存取控制環境中強制執行完整性

-CIA作為安全目標在 FISMA 中，真實性和不可否認性是完整性的屬性，即使它們在美國國防部信息保障計劃和美國網路安全政策中與完整性分開。要將文件摘要加密為數...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-07

0 Like 0 留言 952 瀏覽

技術滲透測試-列舉可用的服務和資源

-滲透測試方法使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序，而是一種常見的做法。參考. CEH 黑客方...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-06

0 Like 0 留言 1983 瀏覽

技術實施零信任架構以防止橫向移動，XACML最不可能進行身份驗證

-示例 XACML 實現XACML 旨在支持授權，而不是身份驗證。XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-01

1 Like 1 留言 1485 瀏覽

技術 RESTful API

用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌，以便它可以訪問 API 服務器。HTTPS 強制保...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-30

0 Like 0 留言 1017 瀏覽

技術風險評鑑（risk assessment）

-NIST SDLC 和 RMFNIST RMF 的第一步，Categorize System，通過評估系統處理的資訊類型的高水位來確定係統的影響級別，以便根據...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-29

0 Like 0 留言 1310 瀏覽

技術 (ISC)² 道德準則

(ISC)² 道德準則僅適用於 (ISC)² 會員。垃圾郵件發送者的身份不明或匿名，這些垃圾郵件發送者不請自來，吹捧代理考生在 CISSP 考試中作弊。換句話說...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-25

0 Like 0 留言 743 瀏覽

技術最大可容忍停機時間（MTD）

-業務影響分析 (NIST)支持產品或服務交付的業務流程通常取決於一個或多個資源。作為約束的業務流程的最大可容忍停機時間由業務人員決定，這推動了依賴資源恢復目標...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-22

0 Like 0 留言 1262 瀏覽

技術 EDRM（電子發現參考模型）

-電子發現參考模型證據開示，在英美法關係法域中，是訴訟中的一種預審程序，當事人通過民事訴訟法，可以通過詢問、請求等開示手段從對方或多方取得證據用於製作文件、要求...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-19

0 Like 0 留言 2317 瀏覽

技術假名數據(Pseudonymized data)

-化名(Pseudonymization) 假名(Pseudonymized)數據可以通過添加信息恢復到其原始狀態，然後允許重新識別個人，而匿名(anonym...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-18

1 Like 1 留言 17537 瀏覽

徵才桃園機場公司徵求資訊夥伴, 邀請您一起加入我們的團隊!

桃園國際機場股份有限公司產業類別：機場經營業公司地址：桃園市大園區航站南路9號公司網址：https://www.taoyuanairport.com.tw...

recruiting9 ‧ 2021-11-17

0 Like 0 留言 1571 瀏覽

技術虛擬機器監視器（Hypervisor）

-虛擬機和容器部署（來源：NIST SP 800-190）虛擬機器監視器（Hypervisor）是虛擬機管理器，如上圖所示。來賓 VM 託管一個單獨的操作系統實...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-15

0 Like 0 留言 1570 瀏覽

技術工業控制系統（ICS）

以下是 NIST SP 800-82 R2 的摘要：控制系統用於許多不同的工業部門和關鍵基礎設施，包括製造、分銷和運輸。工業控制系統（ICS）是包含幾種類型的控...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-12

0 Like 0 留言 1126 瀏覽

技術惡意程式(malware)

蠕蟲可以主動利用網路服務漏洞或被動使用群發郵件來傳播自身。但是，只有當用戶執行附加到電子郵件的惡意代碼時，它才會變為活動狀態。. 病毒不會自我複制；它可以被操作...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-11

0 Like 0 留言 667 瀏覽

技術電路級(Circuit-level)授權策略不是常見的服務網格授權策略類型

以下是 NIST SP 800-204B 的摘錄：可以通過配置身份驗證和存取控制策略來實施對微服務的細粒度存取控制。這些策略在服務網格的控制平面中定義，映射到低...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-10

0 Like 0 留言 985 瀏覽

技術移動設備安全政策是防止影子 IT 使用的最佳安全控制

移動設備安全政策是防止影子 IT 使用的最佳安全控制。用戶教育可促進對安全政策和問題的普遍認識，但應在用戶教育之前製定移動設備安全政策。影子IT（Shadow...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-09

0 Like 0 留言 1813 瀏覽

技術零信任架構-可擴展存取控制標記語言（XACML）是用於授權的最佳存取控制策略語言

-示例 XACML 實現基於風險和基於屬性的存取控制是授權機制，而不是存取控制策略語言。SAML 是一種用於身份驗證的語言，而不是用於授權的語言。XACML 是...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-08

0 Like 0 留言 1210 瀏覽

技術 L2TP最不可能用於加密 VPN 連接中的數據

-VPN 訪問（來源：ActForNet）VPN 是一種通過隧道連接節點的虛擬網路。L2F、PPTP 和 L2TP 是早期的隧道協議。通過 VPN 隧道傳輸的數...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-05

0 Like 0 留言 631 瀏覽

技術服務鏈接（service mesh）不可能在基於微服務的應用程序中直接與客戶端交互

-API 閘道器和服務網格（來源：Liran Katz）實施 API 閘道器以促進跨境通信；他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-03

0 Like 0 留言 836 瀏覽

技術密碼是支持單因素身份驗證的最佳機制

-數字身份模型（來源：NIST SP 800 63-3）“秘密”是用於驗證主體身份的最關鍵元素。一個認證是秘密的載體，例如，密碼，在你的大腦記憶（你知道的），私...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-02

0 Like 0 留言 979 瀏覽

技術微服務的應用程序-會話層是ISO OSI模型的服務程序（即sidecar代理）所屬的層

-API 網關和服務網格（來源：Liran Katz）服務網格（service mesh）是便於一個專用基礎設施層服務對服務的通信通過服務發現，路由和內部負載...

卓建全(Cho,Chien-Chuan) ‧ 2021-11-01

1 Like 0 留言 920 瀏覽

技術微服務-API 閘道器

-API 閘道器和服務網格（來源：Liran Katz）實施 API 閘道器以促進跨境通信；他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端...

卓建全(Cho,Chien-Chuan) ‧ 2021-10-28

0 Like 0 留言 1881 瀏覽

技術微服務（microservices）

-微服務架構微服務是一種分佈式架構風格。它具有多種優點，例如：. 可以提高可擴展性。. 開發團隊可以獨立工作並變得更加敏捷。. 服務的獨立性提高了代碼的可重用性...

卓建全(Cho,Chien-Chuan) ‧ 2021-10-26

0 Like 0 留言 1511 瀏覽

技術面向服務的架構 (SOA)、Web 服務和微服務

-面向服務的架構 (SOA)面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA，而微服務架構是 SOA 的擴展。基於...

卓建全(Cho,Chien-Chuan) ‧ 2021-10-25

0 Like 0 留言 1549 瀏覽

技術操作授權 (Authorization to Operate:ATO)

-NIST SDLC 和 RMF RMF：授權系統（ Authorize System）授權是授權系統運行的官方管理決策。為了促進基於風險的合理決策，決策基於有...

卓建全(Cho,Chien-Chuan) ‧ 2021-10-22

技術 你正在為明年的年度計畫做準備，『發展全面的（綜合）標的』不是聰明的目標設定

技術 數位簽章(digital signature)

技術 確保資訊安全的有效性，並達到符合性（合規性）要求，應優先遵循組織政策

技術 安全功能（security function）

技術 風險處置（風險回應）[Risk Treatment (Risk Response)]

技術 盡職調查(due diligence)

技術 強制存取控制環境中強制執行完整性

技術 滲透測試-列舉可用的服務和資源

技術 實施零信任架構以防止橫向移動，XACML最不可能進行身份驗證

技術 RESTful API

技術 風險評鑑（risk assessment）

技術 (ISC)² 道德準則

技術 最大可容忍停機時間（MTD）

技術 EDRM（電子發現參考模型）

技術 假名數據(Pseudonymized data)

徵才 桃園機場公司徵求 資訊夥伴, 邀請您一起加入我們的團隊!

技術 虛擬機器監視器（Hypervisor）

技術 工業控制系統（ICS）

技術 惡意程式(malware)

技術 電路級(Circuit-level)授權策略不是常見的服務網格授權策略類型

技術 移動設備安全政策是防止影子 IT 使用的最佳安全控制

技術 零信任架構-可擴展存取控制標記語言（XACML）是用於授權的最佳存取控制策略語言