iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2 Like 0 留言 3846 瀏覽

技術藍牙威脅(Bluetooth Threats)

1. BluesnarfingBluesnarfing使攻擊者能夠利用較舊的（大約在2003年）設備中的固件漏洞來訪問支持Bluetooth的設備。這種攻擊會強...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-19

2 Like 0 留言 924 瀏覽

技術資產剝離（divestiture）

首先考慮範圍內的資產更為有效，因為業務中斷，知識產權洩漏和數據隱私不合規是范圍內資產所產生的影響或後果，而範圍內資產決定了不確定性和影響。-圖片提供：NIST...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-18

1 Like 0 留言 1089 瀏覽

技術治理結構(Governance Structure)- 審計委員會(Audit committee)

內部審計部門的負責人通常在職能上向董事會的審計委員會報告，而行政報告則向首席執行官報告。他或她的職務可以是首席審計執行官（CAE），（內部）審計主管，審計長或財...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-17

1 Like 0 留言 1769 瀏覽

技術 Kerckhoffs的原則-開源(Open source)

符合Kerckhoffs的原則，即開源密碼的算法和實現（例如kokke / tiny-AES-c）向公眾開放，以供公眾審查，並提供更具成本效益和靈活的許可選項。...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-16

0 Like 0 留言 818 瀏覽

技術徵求DDoS防護系統測試

#DDoS防護系統測試徵求大中小企業有被DDoS攻擊的經驗，傳統FW防護已沒法應付的情境。On-premise 環境或GCP均可(也歡迎AWS，Azure)，試...

cklouie ‧ 2020-12-16

1 Like 0 留言 1317 瀏覽

技術數據及系統所有者（data and system owner）

高級管理層是最終負責的後果和底線。但是，活動和任務是根據某些標準（例如，RACI矩陣，負責，負責，諮詢和告知的縮寫）在組織中分配和分配給各種角色和個人的。問責制...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-15

0 Like 0 留言 1779 瀏覽

技術安全工程101

系統工程是一門應用知識來創建或獲取一個系統的學科，該系統由相互關聯的元素組成，這些元素在整個系統開發生命週期（SDLC）或系統生命週期（SLC）內出於共同目...

吳文智 (Wentz Wu) ‧ 2020-12-14

1 Like 0 留言 1373 瀏覽

技術安全功能(security function)

. 根據NIST術語表，安全功能是指系統級別的“系統或系統元素提供的功能” 。. 獨立安全審核的保證是保證功能的一部分。. 信息安全程序的實施實現了信息安全策略...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-14

1 Like 0 留言 1133 瀏覽

技術就控制目標(control objectives)而言，那一個是無效的實體控制(the least effective physical control )？

一個控制目標(control objectives) 是一個“描述的是要實現作為實施控制的結果聲明”。（ISO 27000：2018）控制目標指導安全控制的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-11

1 Like 0 留言 1499 瀏覽

技術對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

-什麼是應用程序安全風險？對象重用(Object reuse)根據NIST術語表，對象重用是指“在確保沒有殘留數據保留在存儲介質上之後，對包含一個或多個對象的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-10

1 Like 0 留言 910 瀏覽

技術通用標準評估--安全目標（ST）

-通用標準評估安全目標（Security Target:ST）供應商可以在安全目標（ST）中指定其安全功能要求（security functional req...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-09

1 Like 0 留言 1969 瀏覽

技術安全設計原則分類（taxonomy of security design principles）

安全默認值（Secure Defaults）安全默認值的原則指出，系統的默認配置（包括其組成子系統，組件和機制）反映了安全策略的限制性和保守性實施。安全默認原...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-08

1 Like 0 留言 3458 瀏覽

技術 SOC 1、2和3報告概述(SOC 1, 2, and 3 Reports Overview)

--服務組織控制（SOC）以下是Microsoft網站的摘錄：企業越來越多地將基本功能（如數據存儲和對應用程序的訪問）外包給雲服務提供商（CSP）和其他服務組...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-07

1 Like 0 留言 1808 瀏覽

技術 GRC: 高階主管基本功

資訊安全是一門透過安全管制措施(security controls), 保護資訊資產免於受到危害, 以達到CIA的目標, 進而支持組織的業務流程(幫公司作生意)...

吳文智 (Wentz Wu) ‧ 2020-12-07

1 Like 0 留言 4582 瀏覽

技術縱深防禦(Defense in depth)

-NIST SP 800-160 V1和ISO 15288 NIST SP 800-160 V1強調，深度防禦的概念與模塊化和分層的安全性設計原理不同，後者通過...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-04

1 Like 0 留言 2276 瀏覽

技術安全內容自動化協議（SCAP）

安全內容自動化協議（SCAP）是一種使用特定標準來對組織中部署的系統進行自動化漏洞管理，度量和策略合規性評估的方法，包括FISMA（聯邦信息安全管理法案，200...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-02

1 Like 0 留言 1239 瀏覽

技術軟件測試技術（software testing technique）

隨機測試(Random testing）是一種黑盒軟件測試技術，通過生成隨機的獨立輸入來測試程序。（維基百科）. 模糊測試是一種隨機測試，它向測試的程序提供無效...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-01

1 Like 0 留言 1945 瀏覽

技術 CMM和CMMI

-CMM和CMMI成熟度級別比較軟件工程學院（SEI），1984年軟件工程學院（SEI）於1984年在卡內基梅隆大學成立，是由聯邦政府資助的研發中心（FF...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-30

1 Like 0 留言 5399 瀏覽

技術 CVSS v3.1如何計算其分數（強制性指標）

以下摘要和解釋來自FIRST。通用漏洞評分系統（CVSS）是一個開放框架，用於傳達軟件漏洞的特徵和嚴重性。它由事件響應和安全團隊論壇(FIRST）擁有並管理，該...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-27

3 Like 0 留言 5016 瀏覽

技術常見漏洞披露（CVE）及常見弱點枚舉（CWE）

圖片來源：BitsorbitCVE列表是指特定產品或系統中已識別的漏洞。與未發現或未知的漏洞相比，它們更為重要和緊急。首先應執行重要而緊迫的任務。CWE列表通常...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-26

0 Like 0 留言 3702 瀏覽

技術 IKE與ISAKMP

Internet金鑰交換（IKE）是IPsec的關鍵體系結構組件。它用於執行相互身份驗證以及建立和維護安全關聯（SA）。 IKE有兩個版本，版本1和版本2。...

吳文智 (Wentz Wu) ‧ 2020-11-25

2 Like 0 留言 1056 瀏覽

技術在威脅建模中的發現了多個攻擊向量（attack vectors），要如何操作（優先順序）才能解決攻擊面？

優先順序需要基於一些標準。通常基於風險敞口對風險進行優先級排序，同時考慮風險的可能性和影響。例如，風險可能性為70％，估計損失為100,000美元，則風險敞口為...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-25

1 Like 0 留言 1085 瀏覽

技術基於XML的標記來描述將呈現為HTML形式的用戶界面元素是聲明性編程範例

使用基於XML的標記來描述將呈現為HTML形式的用戶界面元素是聲明性編程範例。如果通過JavaScript語句呈現HTML表單以控製文檔對像模型（DOM），則這...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-24

1 Like 0 留言 805 瀏覽

技術最不頻繁地向客戶提供工作軟件(敏捷的角度)-原型設計(Prototyping)

這個問題問的是“最不頻繁”。原型不是有效的軟件。它們不會交付給客戶用於生產目的，並且從敏捷的角度來看不會增加任何價值。頻繁交付工作軟件是敏捷原則之一：. 在S...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-23

1 Like 0 留言 1296 瀏覽

技術敏捷(Agile)

敏捷敏捷心態(AGILE MINDSET)敏捷是一種由價值觀，原則和實踐組成的心態。滿足敏捷思維方式的任何手段通常被稱為敏捷框架，方法，方法或實踐。你給它命名...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-21

2 Like 0 留言 3482 瀏覽

技術數據治理(Data Governance)

在數據治理程序中，有一些常見的角色，例如數據所有者，數據管理員，數據保管人等。數據所有者應對其擁有的數據負責。. 一個數據所有者，通常是在成員管理團隊，負責確...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-20

0 Like 0 留言 3655 瀏覽

技術敏捷思維(Agile Mindset)

敏捷思維敏捷(agile)是一種思維(mindset)，由價值觀(values)，原則(principles)和實踐(practices)組成。可以滿足敏捷...

吳文智 (Wentz Wu) ‧ 2020-11-20

2 Like 0 留言 1499 瀏覽

技術系統開發生命週期（SDLC）

SDLC定義了工程系統時的階段和過程。由於系統的多樣性，它通常不提供特定的設計原則。系統開發生命週期（SDLC）第5版CISSP CBK參考中介紹了Saltz...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-19

1 Like 0 留言 2379 瀏覽

技術安全設計原則（Security Design Principles）

安全設計原則NIST SP 800-160V1引入了三類安全設計原則： 1.安全架構與設計2.安全能力和內在行為3.生命週期安全高效中介訪問，模塊化和分層，分...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-18

1 Like 0 留言 3453 瀏覽

技術會話密鑰(Session Key)

會話密鑰可以用於在建立會話之後或在身份驗證之後根據需要確保機密性和完整性。因此，主體的會話密鑰最不可能是主體向接入點（AP）進行身份驗證所必需的會話鍵(Ses...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-17

技術 藍牙威脅(Bluetooth Threats)

技術 資產剝離（divestiture）

技術 治理結構(Governance Structure)- 審計委員會(Audit committee)

技術 Kerckhoffs的原則-開源(Open source)

技術 徵求DDoS防護系統測試

技術 數據及系統所有者（data and system owner）

技術 安全工程101

技術 安全功能(security function)

技術 就控制目標(control objectives)而言，那一個是無效的實體控制(the least effective physical control )？

技術 對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

技術 通用標準評估--安全目標（ST）

技術 安全設計原則分類（taxonomy of security design principles）

技術 SOC 1、2和3報告概述(SOC 1, 2, and 3 Reports Overview)

技術 GRC: 高階主管基本功

技術 縱深防禦(Defense in depth)

技術 安全內容自動化協議（SCAP）

技術 軟件測試技術（software testing technique）