iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1448 瀏覽

技術證書頒發機構（CA）-Web服務器證書格式

-網站WentzWu.com的X.509證書樣本因為如今在實踐中很少使用正斜杠“ /”作為分隔符，所以我將選項A修改為使用分號“;”。作為DN分隔符，即使以下...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-05

2 Like 0 留言 1950 瀏覽

技術高凝聚力和低耦合(High Cohesion and Low Coupling)

-軟體構架從軟體的角度來看，. 內聚性（Cohesion）是指模塊中元素所組織的相關程度。“高內聚性”是指模塊的組成元素高度相關。面向對象編程中的類是最常見的...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-04

1 Like 0 留言 1683 瀏覽

技術 DES-EDE3-CBC

初始化向量（IV）是一個隨機數，通常是一次使用的數字，即一個隨機數。它用於刪除密文中的重複模式，以增加密碼分析的工作因子。強密碼不是隨機的，因此不適合用作IV。...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-03

1 Like 1 留言 11302 瀏覽

技術隨機化MAC 手機 wifi 問題

安桌 Android 和 iPhone IOS 都有此選項手機MAC address 這個選項可以讓追蹤者和網路管理者增加管理上的困擾如果有 Wifi 連線...

林門神JanusLin ‧ 2021-03-03

1 Like 0 留言 1805 瀏覽

技術滲透測試-枚舉（Enumeration）

-滲透側試方法設計該問題的目的是指出存在多種滲透測試方法，滲透測試人員可能會不一致地使用這些術語或行話。但是，以下術語通常被接受：. 指紋識別(Fingerp...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-02

1 Like 0 留言 1301 瀏覽

技術 NIST SP 800-53A（附錄E：滲透測試）

企業通常會進行滲透測試，以驗證現有的安全和隱私控制，並通過發現漏洞和利用漏洞，徹底記錄測試期間執行的所有活動以及提供可操作的結果以及有關可能的補救措施的信息來增...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-26

1 Like 0 留言 1042 瀏覽

技術不是進行滲透測試的最佳時機

機構更關心的是一個新類型的攻擊比發現已知類型的攻擊。此外，如果風險保留在風險記錄中（風險保留），則表示該風險被接受為一種風險處理形式。這意味著滲透測試已完成，發...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-25

1 Like 0 留言 1799 瀏覽

技術變更管理和變更控制（Change Management and Change Control）

什麼是變化，我們在變化什麼？當涉及到更改時，至關重要的是定義什麼是更改並闡明我們正在更改的內容。改變狀態一些人認為的變化是一個移動從當前狀態到所希望的狀態，...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-24

1 Like 0 留言 600 瀏覽

技術 NIST SP 800-53A R4-測試深度&測試範圍

“覆蓋範圍屬性解決了評估的範圍或廣度。” （NIST SP 800-53A）測試的範圍與測試範圍有關，例如，測試了多少個樣品。軟件測試樣本的粒度可以是代碼行，功...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-23

2 Like 0 留言 1941 瀏覽

技術 NIST SP 800-53 R5的摘要

-安全和隱私控制系列（來源：NIST SP 800-53 R5）. 安全和隱私控制有效性解決了正確執行控件，按預期運行並在滿足指定的安全和隱私要求方面產生期望結...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-22

1 Like 0 留言 1381 瀏覽

技術參考監視器（Reference monitor）

參考監視器是一概念，而不是實現或系統組件。作為操作系統的關鍵組件，參考驗證機制（即橙皮書中的安全內核）是參考監視器概念的實現。安全內核是參考驗證機制的一個實例。...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-20

0 Like 0 留言 1830 瀏覽

技術人生還有更重要的事! 善選CISSP應考策略!

Express: 三個月內短衝型. 適合有一定的工作經驗, 能專注在一個目標, 每天下班後可穩定且專注讀書, 每週累計達20小時的人. Standard...

吳文智 (Wentz Wu) ‧ 2021-02-19

1 Like 0 留言 1244 瀏覽

技術參考監視器的非必需屬性-高凝聚力（High cohesion）

-安德森報告和TCSEC 1972年，James P. Anderson＆Co.在著名的Anderson報告中首次引入了參考監控器概念，隨後在1983年的TCS...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-19

1 Like 0 留言 879 瀏覽

技術抑制“重播HTTP cookie”攻擊的最佳解決方案

-Cookie中的ASP.NET會話ID（來源：https：//blog.httpwatch.com/2009/02/ ）在此問題中，由於系統管理員已禁用了受...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-18

1 Like 0 留言 1031 瀏覽

技術 NIST基礎架構相關準則

NIST SP 800-41 R1（防火牆） NIST SP 800-92（日誌管理） NIST SP 800-94（IDS和IPS） NIST SP 80...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-17

1 Like 0 留言 1286 瀏覽

技術變更管理（Change Management）

基線的變更（任何正式批准的變更）均應進行管理。如果選定的安全控制未得到批准，未批准或未設定基線，則無需提交更改請求。-變更管理變更管理(Change Mana...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-17

0 Like 0 留言 1406 瀏覽

技術道德是資安首要議題

我很喜歡John R. Boatright這本舊教科書《道德與商業行為》。台灣的中學現在正在推廣資訊安全教育。學生們正在學習資訊安全基本概念以及有關紅藍隊的東...

吳文智 (Wentz Wu) ‧ 2021-02-13

1 Like 0 留言 727 瀏覽

技術 20210208-台灣菁英圓桌分享會 (Elite Round Table in Taiwan)

這是我個人的考上Cissp的分享會，其中分享如何有效的唸書，提供想考Cissp的朋友一些參考。

卓建全(Cho,Chien-Chuan) ‧ 2021-02-09

1 Like 0 留言 2304 瀏覽

技術多實例化（Polyinstantiation）

多實例化是DBMS特定的安全性問題，“允許關係包含具有相同主鍵的多行；多個實例通過其安全級別加以區分。” （NIST SP 800-8）表中的一行（關係）也稱為...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-09

0 Like 0 留言 1733 瀏覽

技術業務驅動者與致能者(Business Drivers and Enablers)

業務(business)就是有關產品和服務交付(delivery)，以創造價值並實現組織願景和使命的相關活動。一個業務驅動者是(driver)指導或控制的行動方...

吳文智 (Wentz Wu) ‧ 2021-02-09

1 Like 0 留言 822 瀏覽

技術學習比較框架(learning comparative framework)

兩個很棒的NIST準則：. NIST SP 800-16. NIST SP 800-50-IT安全學習連續體（來源：NIST SP 800-50）-學習比較框架...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-08

1 Like 0 留言 1777 瀏覽

技術商業秘密(Trade Secret) & 版權(Copyright) & 專利(Patent) & 商標(Trademark)

您的公司將源代碼視為機密信息；商業秘密保護其機密性。無論版權和專利要求的源代碼的公開，但貴公司有意保守秘密作為一個私有雲。商標可以唯一地識別和區分您的公司或產品...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-05

1 Like 0 留言 1170 瀏覽

技術 NIST SDLC和RMF(續)

根據FIPS 199，“確定信息系統的安全類別需要進行更多的分析，並且必須考慮駐留在信息系統上的所有信息類型的安全類別。” 因此，在對信息系統進行分類之前，應先...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-04

1 Like 0 留言 1282 瀏覽

技術 NIST SDLC和RMF

安全控制是風險處理的一部分，風險評估之後進行。安全控制的範圍是根據風險評估的結果確定的。根據NIST SDLC和ISO 22301，業務影響分析（BIA）不會評...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-03

1 Like 0 留言 1324 瀏覽

技術範圍和裁縫(Scoping and Tailoring)

**範圍界定(Scoping)**是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如，如果系統不允許任何兩個人同時登錄，則無需應用並發會話控件...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-02

1 Like 0 留言 1380 瀏覽

技術軟件保障成熟度模型（Software Assurance Maturity Model ：SAMM）

OWASP的軟件保障成熟度模型是一個開放框架，可以幫助組織製定和實施針對組織所面臨的特定風險的軟件安全策略。-域8：SAMM-SAMM概述（來源：https :...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-01

1 Like 0 留言 1170 瀏覽

技術身份驗證服務交換（The Authentication Service (AS) Exchange）

Kerberos基於對稱密鑰加密技術，並且需要受信任的第三方，並且可以選擇在身份驗證的某些階段使用公共密鑰加密技術。Kerberos默認使用UDP端口88。（維...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-29

1 Like 0 留言 866 瀏覽

技術安全框架和成熟度模型（Security Frameworks and Maturity Models）

框架（Frameworks）-NIST網絡安全框架 NIST網絡安全框架（CSF）. 認識到美國的國家和經濟安全取決於關鍵基礎設施的可靠功能，總統於2013年2...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-28

1 Like 0 留言 1927 瀏覽

技術身份驗證器或身份驗證機制（authenticator or authentication mechanism）

客戶端的屬性或屬性值無法向IdP認證客戶端。例如，提交用戶名和員工ID的用戶將不會向IdP進行身份驗證。. 以明文形式傳輸的密碼很容易受到攻擊，但是它可以對客戶...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-27

1 Like 0 留言 1479 瀏覽

技術 CIA作為安全目標(CIA as security objectives)

根據FISMA的說法，“完整性意味著防止不當的信息修改或破壞，並且包括確保信息的不可否認性和真實性。”. “訪問令牌是否已更改？” 關於數據完整性。. “網站是...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-26

技術 證書頒發機構（CA）-Web服務器證書格式

技術 高凝聚力和低耦合(High Cohesion and Low Coupling)

技術 DES-EDE3-CBC

技術 隨機化MAC 手機 wifi 問題

技術 滲透測試-枚舉（Enumeration）

技術 NIST SP 800-53A（附錄E：滲透測試）

技術 不是進行滲透測試的最佳時機

技術 變更管理和變更控制（Change Management and Change Control）

技術 NIST SP 800-53A R4-測試深度&測試範圍

技術 NIST SP 800-53 R5的摘要

技術 參考監視器（Reference monitor）

技術 人生還有更重要的事! 善選CISSP應考策略!

技術 參考監視器的非必需屬性-高凝聚力（High cohesion）

技術 抑制“重播HTTP cookie”攻擊的最佳解決方案

技術 NIST基礎架構相關準則

技術 變更管理（Change Management）

技術 道德是資安首要議題