iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

23 Like 1 留言 6784 瀏覽

達標好文技術封包檢查意外發現某Chrome 擴充元件疑似被植入間諜程式碼

各位先進大家好，這是小弟在IT邦幫忙的首PO，由於上一份工作跟中國業務交流較深所以以往都是在中國的安全論壇(T00ls等等)發文交流。小弟是學店本科系畢業，曾任...

Krisss ‧ 2021-01-25

1 Like 0 留言 963 瀏覽

技術身份證明和註冊(identity proofing and enrollment)

NIST SP 800-63A提供了這樣做的指南。-身份證明用戶之旅（來源：NIST SP 800-63A）參考. 身份管理. 建立身份資料來源： Wentz...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-25

1 Like 0 留言 3955 瀏覽

技術 Kerberos

-Kerberos操作（來源：Fulvio Ricciardi）根據CISSP官方學習指南，識別是“一個對象自稱身份和責任的過程。” Kerberos是用於驗證...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-22

1 Like 0 留言 1236 瀏覽

技術 RESTful風格的體系結構（RESTful-style architecture）

“代表性狀態轉移（REST）是一種軟件體系結構樣式，它定義了一組用於創建Web服務的約束。”資料來源：維基百科 RESTful風格的體系結構沒有規定如何管理會話...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-21

1 Like 0 留言 1013 瀏覽

技術受信任計算機系統評估標準（TCSEC）

TCSEC定義了評估可信計算系統的標準，該系統包括四個分類。每個分類可以分為幾類。B分類的類別（B1，B2和B3）應滿足C分類的要求。TCSEC中定義的所有MA...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-19

1 Like 0 留言 1792 瀏覽

技術數據和系統所有者（Data and System Owners）

如果未識別數據，則無法分配數據所有者。僅在識別，定位並清點數據之後才分配數據所有者。此外，在整個組織內進行數據清單管理需要協調，監督和領導。一個人或一個管理者不...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-18

0 Like 0 留言 4176 瀏覽

技術 CISSP考試資源

CISSP快速啟動版(建議之最低要求) https://wentzwu.com/cissp-express CISSP考試啟動頁(更多資源) htt...

吳文智 (Wentz Wu) ‧ 2021-01-16

0 Like 0 留言 1406 瀏覽

技術歡迎加入[追求高效能的CISSP]臉書中文群組!

追求高效能的CISSP! CISSP不是黃金證照，它只是資安專業人員的入門磚。建立這個基本的專業要求，是本群組成立的主要宗旨。基本資安素養 ** Effect...

吳文智 (Wentz Wu) ‧ 2021-01-15

1 Like 0 留言 1638 瀏覽

技術風險描述(risk descriptions)

根據ISO 31000，風險是“不確定性對目標的影響（effect of uncertainty on objectives）。” 這是適用於所有情況的通用風險...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-15

1 Like 0 留言 1457 瀏覽

技術網絡訪問控制(network access control)

無論設備是LAN還是WAN，都需要在設備連接到網絡之前進行身份驗證。設備成功連接到網絡後，才主要使用Kerberos。即使對W-Kerberos進行了一些研究，...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-14

1 Like 0 留言 1460 瀏覽

技術質詢握手身份驗證協議（CHAP）

質詢握手身份驗證協議（Challenge-Handshake Authentication Protocol：CHAP）移動身份驗證代碼的工作原理類似於機制，質...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-13

1 Like 0 留言 1195 瀏覽

技術認證因素(Authentication Factor)

-數字身份模型（來源：NIST SP 800 63-3）刷聯繫人ID卡並輸入PIN碼是兩步驗證。身份證是您擁有的事物的認證者，而PIN碼是您知道的事物的認證者...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-12

1 Like 1 留言 2682 瀏覽

技術 CISSP統計 - 2021年01月

過去統計數 CISSP Member Counts as of July 1, 2020 ISC2 Member Counts – 20190531...

吳文智 (Wentz Wu) ‧ 2021-01-11

1 Like 0 留言 1673 瀏覽

技術 CWE和CVE

在軟件開發生命週期（SDLC）的設計階段（建築和詳細設計）完成後，我們必須進行審查。威脅建模是設計審查的一部分，以識別和緩解設計的安全漏洞。（有些作者可能將設計...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-11

1 Like 0 留言 1494 瀏覽

技術推論 & 聚合( Inference and Aggregation)

-聚合功能分區（Partitioning）對數據或數據庫進行分區是指將數據集分成多個部分並分別存儲。這是聚合和推斷攻擊的對策（countermeasure）。...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-11

1 Like 0 留言 1185 瀏覽

技術 SAML-斷言（assertion）

斷言是關於實體或主題的陳述，通常以名稱-值對的形式表示。“ MaritalStatus = False”是一個斷言，它描述一個屬性為MaritalStatus且...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-07

0 Like 0 留言 930 瀏覽

技術手機審驗與資安認證

根據風傳媒的報導，台哥大手機被要求限期召回於製程中即被駭的手機，引起大眾對於通訊產品檢驗及審驗的討論。台灣大哥大2018年販售1款中國製自有品牌手機「Ama...

吳文智 (Wentz Wu) ‧ 2021-01-07

2 Like 0 留言 1895 瀏覽

技術敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

敏捷是一種心態，秉承《敏捷軟件開發和實踐宣言》中所述的四個價值觀和十二個原則。敏捷是一個籠統的術語。滿足敏捷價值觀和原則的任何方法或實踐都可以稱為敏捷方法。....

卓建全(Cho,Chien-Chuan) ‧ 2021-01-06

2 Like 0 留言 1911 瀏覽

技術專案生命週期（Project Life Cycle）

生命週期代表“從搖籃到墳墓”。該業務案例在項目“誕生”，正式授權和啟動之前就已經存在。. 將解決方案出售或轉售給外部實體並不少見。. 在威脅建模之後實施解決方案...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-05

2 Like 0 留言 1527 瀏覽

技術安全意識，培訓和教育（security awareness, training and education）

所有僱員（All employees）總體上，“所有員工”是接受或參加意識介紹或活動的理想目標，但不是接受培訓的好目標，培訓適用於與IT系統相關的職能角色和職...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-04

1 Like 0 留言 1196 瀏覽

技術威脅建模（threat modeling）的步驟

-威脅建模（來源：CSSLP CBK）根據CSSLP CBK，可以通過以下方式進行威脅建模：1. 圖表應用程序體系結構(Diagram Application...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-04

1 Like 0 留言 1617 瀏覽

技術從國家標準技術研究院（NIST）的角度來看，滿足最低安全要求的控制基準的最佳來源-準則(Guidelines)

NIST SP 800-53 R4是一個指南，在附錄D安全控制基線–摘要中提供了安全控制基線。它還在“授權”部分中讀取：該指南與管理和預算辦公室（OMB）通告A...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-31

0 Like 1 留言 1577 瀏覽

技術何謂工程(Engineering)?

Image Credit: City of Gastonia 工程是指運用知識和技能來理解和管理利害關係人的需求、提出並實施解決方案以解決這些需求，並利用和維...

吳文智 (Wentz Wu) ‧ 2020-12-30

1 Like 0 留言 1450 瀏覽

技術國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

NIST出版物NIST制定並維護了大量有關信息和信息系統的安全性和隱私性的標準，指南，建議和研究。這包括各種NIST技術出版物系列：資料來源：NIST出版物 N...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-30

1 Like 0 留言 1484 瀏覽

技術風險暴露（risk exposure）

-ISO 31000該問題的核心概念是如何定性或定量地分析風險，以確定風險敞口，以貨幣價值，得分，規模，觀點等表示。根據我用來評估風險暴露的“風險標準”，我建議...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-29

1 Like 0 留言 910 瀏覽

技術內容交付網絡（Content delivery network）

內容傳遞網絡(Content Delivery Network)內容交付網絡或內容分發網絡（CDN）是代理服務器及其數據中心的地理分佈網絡。目標是通過相對於最終...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-28

1 Like 0 留言 3038 瀏覽

技術資訊治理（Data Governance）

數據管理員(Data Steward)數據管理員是組織中的一個角色，負責利用組織的數據治理流程來確保數據元素（內容和元數據）的適用性。數據管家的總體目標是，就特...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-25

1 Like 0 留言 834 瀏覽

技術資訊安全治理（Information Security Governance）

. CISO應該適當地定位安全功能，例如報告線，角色和職責，並將安全集成到業務功能和流程中。. 數據所有者對信息資產進行分類。. 審核員進行安全審核以確保合規性...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-24

1 Like 0 留言 2791 瀏覽

技術重要性分析和業務影響分析(criticality analysis and Business impact analysis (BIA))

-重要性分析和業務影響分析業務影響分析（BIA）是業務連續性管理的關鍵過程。它分析了中斷對關鍵活動和輔助活動以及其他資源所支持的產品和服務交付的影響。缺乏原材...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-24

1 Like 0 留言 1794 瀏覽

技術服務組織控制（Service Organization Control ：SOC)

-服務組織控制（SOC）服務組織控制（Service Organization Control ：SOC)向用戶實體（銀行）提供服務的任何服務組織（您的公司）...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-22

達標好文 技術 封包檢查意外發現某Chrome 擴充元件疑似被植入間諜程式碼

技術 身份證明和註冊(identity proofing and enrollment)

技術 Kerberos

技術 RESTful風格的體系結構（RESTful-style architecture）

技術 受信任計算機系統評估標準（TCSEC）

技術 數據和系統所有者（Data and System Owners）

技術 CISSP考試資源

技術 歡迎加入[追求高效能的CISSP]臉書中文群組!

技術 風險描述(risk descriptions)

技術 網絡訪問控制(network access control)

技術 質詢握手身份驗證協議（CHAP）

技術 認證因素(Authentication Factor)

技術 CISSP統計 - 2021年01月

技術 CWE和CVE

技術 推論 & 聚合( Inference and Aggregation)

技術 SAML-斷言（assertion）

技術 手機審驗與資安認證

技術 敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

技術 專案生命週期（Project Life Cycle）

技術 安全意識，培訓和教育（security awareness, training and education）

技術 威脅建模（threat modeling）的步驟

技術 從國家標準技術研究院（NIST）的角度來看，滿足最低安全要求的控制基準的最佳來源-準則(Guidelines)

技術 何謂工程(Engineering)?

技術 國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

技術 風險暴露（risk exposure）

技術 內容交付網絡（Content delivery network）

技術 資訊治理（Data Governance）

技術 資訊安全治理（Information Security Governance）

技術 重要性分析和業務影響分析(criticality analysis and Business impact analysis (BIA))

技術 服務組織控制（Service Organization Control ：SOC)

標記使用者