iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 1490 瀏覽

技術事務的數據持久性解決方案（the data persistence solution for transactions）

****-資料來源：https : //panoply.io/data-warehouse-guide/data-mart-vs-data-warehouse/...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-09

0 Like 0 留言 2734 瀏覽

技術風險曝險（Risk exposure ）

-什麼是風險？ ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙風險給個人、項目或組織帶來的潛在損失[ISO/IEC 16085:2...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-08

0 Like 0 留言 2363 瀏覽

技術成熟度模型（ A maturity model）

-CMM 和 CMMI 成熟度水平比較成熟度模型“可以”（而不是應該或必須）定義五個成熟度級別，因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-07

0 Like 0 留言 1011 瀏覽

技術風險評估（Risk Evaluation）

-ISO 31000 本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術，用於確定風險暴露作為風險評估過程的輸...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-06

0 Like 0 留言 2325 瀏覽

技術風險熱度地圖(Risk heat map)

-ISO 31000 “風險評估/分析”是什麼意思？請注意，在 CISSP 考試大綱、OSG 和 NIST 中，風險評估和風險分析被視為同義詞，通常表示為“風險...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-05

1 Like 0 留言 1941 瀏覽

技術 0 day 安全筆記第二章基本知識下

OS:XP SP3編譯器: DEV C++ 4.9.9.2 工具:OD (ollydbg) 大家可以去先查詢一下組合語言(32位元)方面的知識，然後至少要了解...

phantom_0 ‧ 2021-08-04

0 Like 0 留言 1330 瀏覽

技術安全評鑑(Security Assessment)

-ISO 31000 在 ISO 31000 中，風險評鑑包括三個步驟：風險識別、風險分析和風險評鑑；威脅是一種帶來負面影響的風險。在 NIST 的世界中，風險...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-04

0 Like 0 留言 1432 瀏覽

技術 0 day 安全筆記第二章基本知識上

OS:XP SP3編譯器: DEV C++ 4.9.9.2 工具:OD (ollydbg)CFF Explorer 實驗目的:了解程式如何儲存資料 #inclu...

phantom_0 ‧ 2021-08-04

0 Like 0 留言 989 瀏覽

技術實施入侵檢測系統以應對安全事件和基於生物識別的存取控制-縱深防禦(Defense-in-depth)

縱深防禦是一種“整合人員、技術和運營能力的資訊安全戰略，以在組織的多個層次和維度之間建立可變的屏障”。（NIST 術語表）. 人：提升安全意識. 運營：幫助人力...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-02

0 Like 0 留言 2842 瀏覽

技術企業專有資料進行分類的最佳角色- 資料管家(Data Steward)

專有資料和個人資料（或 PII）是資料治理的重要主題。由於個人資料通常對隱私敏感，因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如，NIST SP 8...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-01

0 Like 0 留言 1078 瀏覽

技術使用證書對代碼進行簽章，以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

-使用私鑰和公鑰對強大的程序集進行簽名和驗證（來源：https://flylib.com/books/en/4.253.1.138/1/）數位簽章可確保不可否認...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-31

0 Like 0 留言 1618 瀏覽

技術開發一個新的資訊系統,先應首先進行“識別系統處理的資料類型”

-NIST SDLC 和 RMF 對系統進行分類意味著識別其處理的資料類型，以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。安全控...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-29

2 Like 0 留言 5125 瀏覽

技術 OpenSSL

OpenSSL 是一個開源命令行工具，通常用於生成私鑰、創建 CSR、安裝 SSL/TLS 證書以及識別證書信息。我們設計了這個快速參考指南來幫助您了解最常見的...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-28

0 Like 0 留言 2138 瀏覽

技術獲得資訊系統運行授權（authorization）而應首先開發的文件-安全和隱私計劃（Security and privacy plans）

-NIST SDLC 和 RMF資訊系統所有者應準備授權包並將其提交給適當的授權操作（ATO）機構。授權包通常包含：安全和隱私計劃（指導活動/任務）安全...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-27

0 Like 0 留言 1618 瀏覽

技術硬體安全模組 (HSM) 的身份驗證最不相關-職責分離（SOD）

如今，“秘密”（secret）是認證的基礎。我們通常使用密碼（您知道的東西）、令牌中的加密密鑰（您擁有的東西）或帶有 PIN 的 1 對 1 生物特徵識別（您是...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-26

0 Like 0 留言 3784 瀏覽

技術企業內資安與各家雲端安全的產品功能對比

資安功能精細對比這兩三年安全事件竄升，雲端到底安不安全，有甚麼樣的原生功能可以因應，安全的各面向視角是否都能照顧到自身企業環境所需，藉一位資深的資安朋友的力，...

Gary ‧ 2021-07-25

2 Like 0 留言 1199 瀏覽

技術單元測試(Unit testing)

-示例單元測試單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值，伴隨著敏捷方法提出的測試驅動開發（TDD）實踐，極限編程（XP）。也就是說，...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-25

0 Like 0 留言 1728 瀏覽

技術 ISO 31000的風險管理提供了最一般的知識概念並適用於最全面的環境

-什麼是風險？ ISO 31000:2018 提供了有關管理組織面臨的風險的指南。這些指南的應用可以針對任何組織及其環境進行定制。ISO 31000:2018...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-24

0 Like 0 留言 2196 瀏覽

技術 AES（高級加密標準）

-密碼學這兩種DES（數據加密標準）和AES（高級加密標準）是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer，而當前標準 AES 通過開放選...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-23

0 Like 0 留言 1496 瀏覽

技術金鑰叢集(Key clustering)

哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些，例如維基百科，可能會在哈希語中使用聚類。在 CISSP 中，聚類特別指密碼使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-22

0 Like 0 留言 1332 瀏覽

技術收集和引出軟體開發專業中利害關係人的安全需要(needs)和需求(requirements)

-軟體開發生命週期 (SDLC) – 設計在（需求）分析中引出、收集、分析、指定、記錄、驗證、確認和管理需求。有許多工具和技術可用於需求管理。調查、會議、訪談...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-21

0 Like 0 留言 1102 瀏覽

技術數據來源身份真實-CBC-MAC

-密碼學問題是關於確保數據本身的完整性和數據來源的真實性，或者所謂的“真實性”，包括這兩個概念。HMAC 和 CBC-MAC 是強制執行真實性的手段。哈希強制執...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-20

0 Like 0 留言 3178 瀏覽

技術錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)

-來源：(ISC)² 社區在基於生物識別的系統中，靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低，生物識...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-19

0 Like 0 留言 2059 瀏覽

技術存取令牌（Access Token）

. “斷言”（ Assertion）是 SAML（安全斷言標記語言）中使用的術語，相當於 OIDC（OpenID Connect）中的“聲明”。OIDC 將 I...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-18

0 Like 0 留言 982 瀏覽

技術 VPN和EAP

-VPN 和 EAP在 802.1X 中，請求者與身份驗證者通信，身份驗證者將身份驗證消息轉發到身份驗證服務器。請求者不直接向身份驗證服務器進行身份驗證。一般而...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-17

1 Like 0 留言 2682 瀏覽

技術軟體保證成熟度模型（SAMM）-安全冠軍(Security Champion)

-SAMM 概述（來源：https : //owaspsamm.org）軟體保障成熟度模型（SAMM）是一個 OWASP 專案，一個規範模型和一個開放框架，使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-16

0 Like 0 留言 1738 瀏覽

技術資料抽象與封裝(Data Abstraction vs Encapsulation)

人們經常會被資料抽象和封裝混淆，把抽象的概念當作封裝或信息隱藏。事實並非如此。以下定義來自 ISO/IEC/IEEE 24765:2017 系統和軟體工程 —...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-15

0 Like 0 留言 3081 瀏覽

技術 OpenID Connect

OAuth 2.0 指定了存取資源的存取令牌，但它沒有提供提供身份信息（ID Token）的標準方法，這就是 OpenID Connect（ODIC）出現的原因...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-14

0 Like 0 留言 729 瀏覽

技術 RESTful API 操作對數據完整性的影響最小-Get

-RESTful HTTP 方法HTTP 方法/動詞 GET 通常用於檢索數據，這會影響機密性。 HTTP 方法-Semantics of HTTP metho...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-13

0 Like 0 留言 1811 瀏覽

技術 WPA 使用 RC4 作為保密的底層密碼（WPA uses RC4 as the underlying cipher for confidentiality）

. RC4 在 WEP 中用於強制保密。然而，“在 2001 年 8 月，Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-12

技術 事務的數據持久性解決方案（the data persistence solution for transactions）

技術 風險曝險（Risk exposure ）

技術 成熟度模型（ A maturity model）

技術 風險評估（Risk Evaluation）

技術 風險熱度地圖(Risk heat map)

技術 0 day 安全筆記 第二章 基本知識 下

技術 安全評鑑(Security Assessment)

技術 0 day 安全筆記 第二章 基本知識 上

技術 實施入侵檢測系統以應對安全事件和基於生物識別的存取控制-縱深防禦(Defense-in-depth)

技術 企業專有資料進行分類的最佳角色- 資料管家(Data Steward)

技術 使用證書對代碼進行簽章，以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

技術 開發一個新的資訊系統,先應首先進行“識別系統處理的資料類型”