iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 2183 瀏覽

技術強制存取控制(Mandatory access control)

強制存取控制是訪問控制策略或要求；這不是一個正式的模型。相反，它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-19

1 Like 0 留言 3311 瀏覽

技術緩衝區溢出和記憶體洩漏（Buffer Overflow and Memory Leak）

-進程的記憶體佈局**緩衝區（Buffer）**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小，它就會溢出。它通常會導致異常受特權提升或返回到堆...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-18

1 Like 0 留言 3093 瀏覽

技術基於格的訪問控制模型(a lattice-based access control model)

“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成，其中每兩個元素都有一個唯一的上界（也稱為最小上界或連接）和唯一的下界（也稱為最大下...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-17

2 Like 0 留言 4852 瀏覽

技術受信任的計算機系統評估標準(Trusted Computer System Evaluation Criteria : TCSEC)

可信恢復是“在系統故障後確保恢復而不受影響的能力”。( NIST Glossary )通用標準中指定了可信恢復系列的四個組件：. 手動恢復 (FPT_RCV.1...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-16

1 Like 0 留言 1725 瀏覽

技術 0 day 安全筆記第一章 1.4 crack 小實驗

第一次發文，不知道會不會觸犯版規，如有錯誤歡迎告知，謝謝。 OS:XP SP3編譯器: DEV C++ 4.9.9.2 工具:OD (ollydbg)IDACF...

phantom_0 ‧ 2021-08-03

0 Like 0 留言 6017 瀏覽

技術單元測試＆整合測試＆迴歸測試

單元測試(Unit Testing)單元測試既是一種測試工具，也是一種開發工具。現代軟件開發人員通常在完成功能代碼之前開發單元測試，也就是測試驅動開發 (TDD...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-15

0 Like 0 留言 2003 瀏覽

技術軟件測試覆蓋率分析（測試粒度最細）-表達式(expressions)和決策結構

顆粒可視為測量單元。當我們說我們的軟體被測試了50%，或者測試覆蓋率是50%，這到底是什麼意思，因為軟體有10個用例，50個場景，500個測試案例，10，000...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-14

2 Like 0 留言 3212 瀏覽

技術資安入門

資訊安全是透過安全管制措施來保護資訊資產免於受到危害，以達到機密性、完整性和可用性(即常聽到的CIA)之目標（第3層），進而支持業務流程（第2層）、創造和交付...

吳文智 (Wentz Wu) ‧ 2021-06-13

0 Like 0 留言 2134 瀏覽

技術密鑰協商-Diffie-Hellman

密鑰分發是將加密密鑰從一方發送到另一方的過程。對稱和非對稱密碼術都面臨著密鑰分發的挑戰。這個問題詢問對稱密碼學中的共享密鑰分發。. 由信任網絡或 X.509公鑰...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-12

2 Like 0 留言 1703 瀏覽

技術替代網站(Alternative Sites)- 冷站點的最大好處

冷站點沒有適當的計算機設備，因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比，恢復計算機...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-11

3 Like 0 留言 5555 瀏覽

技術工程、生命週期階段和過程（Engineering, Life Cycle Stages, and Processes）

-NIST SP 800-160 V1 和 ISO 15288 工程（Engineering）. 工程是一種涉及開發解決方案的一組流程的方法，該解決方案可以是...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-10

0 Like 0 留言 1778 瀏覽

技術最大可容忍停機時間 (MTD)

最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”資料來源：BCM 研究所最大可容忍停機時間 (MTD) 是對信...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-09

0 Like 0 留言 3300 瀏覽

技術安全控制（security controls）

雙重控制、職責分離、權限分離和 M of N Control 是用於防止欺詐和錯誤的安全控制。但是，雙重控制、職責分離和 M of N Control 需要兩個...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-07

0 Like 0 留言 1300 瀏覽

技術軟體測試類型

-測試類型. 靜態測試是一種測試，其中被測軟件 (software under test:SUT) 作為源代碼或二進制代碼不加載到內存中執行。靜態二進制代碼掃描...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-02

0 Like 0 留言 1654 瀏覽

技術雲安全聯盟（CSA）-安全信任和保證註冊（STAR）

-圖片來源：CSA 在雲安全聯盟（CSA）劃分安全，信任和保證註冊（STAR）計劃分為三個層次： CSA STAR 1 級：自我評估 CSA STAR 2 級...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-01

2 Like 0 留言 9827 瀏覽

技術威脅建模（Threat modeling）

“從概念上講，大多數人在日常生活中都採用了某種形式的威脅建模，甚至沒有意識到這一點。” （維基百科）勒索軟體攻擊的發生並不是因為該公司沒有進行威脅建模。相反，公...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-31

0 Like 0 留言 1396 瀏覽

技術開發人員如何準備CISSP的D1及D8

台灣菁英圓桌分享會 (Elite Round Table in Taiwan)日期：2021/05/29 (六) 21:00~21:40講者：曾威明 (Tomm...

吳文智 (Wentz Wu) ‧ 2021-05-31

1 Like 0 留言 1671 瀏覽

技術瀑布(Waterfall)& 敏捷(Agile)

-圖片來源：gunther.verheyen 業務人員更了解監管要求和市場，因此IT和安全功能都應與業務需求保持一致，“系統應在經過全面測試後提交認證。”. 監...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-30

0 Like 0 留言 1626 瀏覽

技術濫用案例(misuse cases)

-用例和濫用案例（來源：https://en.wikipedia.org/wiki/Misuse_case) 用例（Use Case）用例描述了一個或多個場景，...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-28

1 Like 0 留言 1729 瀏覽

技術消息身份驗證代碼（message authentication code）

-CBC-MAC（來源：https : //en.wikipedia.org/wiki/CBC-MAC） . AES僅保護機密性；它不涉及完整性。. 消息身份驗...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-26

0 Like 0 留言 2277 瀏覽

技術入侵檢測系統（ intrusion detection system :IDS）

一個基於主機的IDS可以監視並通過安裝加密的網路通信中分析活性劑在端點上。一個基於網路的IDS，依靠傳感器被動嗅探流量，因為加密的活動通常是保護不能夠做到端到端...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-25

0 Like 0 留言 2816 瀏覽

技術戰略管理(strategic management)

我在這篇文章中介紹戰略管理。我的書《有效的CISSP：安全和風險管理》中有詳細信息。政策(Policy)代表管理意圖。一旦制定或製定了戰略，就會發布策略來指導...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-21

0 Like 0 留言 4451 瀏覽

技術風險承受能力和風險偏好(Risk Capacity and Risk Appetite)

. 風險暴露(Risk Exposure)是指風險給個人，項目或組織帶來的潛在損失。（ISO 16085：2006）. 風險容忍度(Risk Tolerance...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-20

0 Like 0 留言 4496 瀏覽

技術全磁碟加密（Full Disk Encryption）

全磁碟加密（FDE）可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器（SED），通常符合OPAL（例如Windows的加密硬盤驅...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-19

0 Like 0 留言 1422 瀏覽

技術擴展認證協議（EAP）最不可能用於建立點對點連接

密碼驗證協議（PAP）發送未加密的密碼。它比EAP-MD5和CHAP（都使用MD5）弱。因此，在三種身份驗證協議中最不可能使用PAP。可擴展身份驗證協議（EAP...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-18

0 Like 0 留言 1346 瀏覽

技術 NIST SDLC和RMF(續)-PartII

-NIST SDLC和RMF 在啟動項目後進行系統分類；這意味著已經開發了一個業務案例，並且已選擇，接受，批准了替代方案並變成了項目。安全控制的實施取決於安全措...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-14

0 Like 0 留言 3039 瀏覽

技術 LEAP（輕量級可擴展認證協議）

-EAP和802.1X 以下是維基百科的摘錄：EAP不是有線協議；相反，它僅定義消息格式。每個使用EAP的協議都定義了一種將EAP消息封裝在該協議的消息中的方法...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-13

0 Like 0 留言 1170 瀏覽

技術資訊安全戰略(information security strategy)

-業務連續性政策高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景，並通過政策指導戰略的實施。戰略通常包括項目組合，計劃和項目的集合。有許多類型的策略，例...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-10

0 Like 0 留言 1751 瀏覽

技術會計，審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析（UEBA）

日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。會計，審計和問責制（又一個AAA）. 問責制是...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-06

0 Like 0 留言 3157 瀏覽

技術安全框架和成熟度模型(Security Frameworks and Maturity Models)

構架(Frameworks)-NIST網路安全框架(NIST Cybersecurity Framework) . NIST網絡安全框架（CSF）. 認識到美國...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-04

技術 強制存取控制(Mandatory access control)

技術 緩衝區溢出和記憶體洩漏（Buffer Overflow and Memory Leak）

技術 基於格的訪問控制模型(a lattice-based access control model)

技術 受信任的計算機系統評估標準(Trusted Computer System Evaluation Criteria : TCSEC)

技術 0 day 安全筆記 第一章 1.4 crack 小實驗

技術 單元測試＆整合測試＆迴歸測試

技術 軟件測試覆蓋率分析（測試粒度最細）-表達式(expressions)和決策結構

技術 資安入門

技術 密鑰協商-Diffie-Hellman

技術 替代網站(Alternative Sites)- 冷站點的最大好處

技術 工程、生命週期階段和過程（Engineering, Life Cycle Stages, and Processes）

技術 最大可容忍停機時間 (MTD)

技術 安全控制（security controls）

技術 軟體測試類型

技術 雲安全聯盟（CSA）-安全信任和保證註冊（STAR）

技術 威脅建模（Threat modeling）

技術 開發人員如何準備CISSP的D1及D8

技術 瀑布(Waterfall)& 敏捷(Agile)

技術 濫用案例(misuse cases)

技術 消息身份驗證代碼（message authentication code）

技術 入侵檢測系統（ intrusion detection system :IDS）

技術 戰略管理(strategic management)

技術 風險承受能力和風險偏好(Risk Capacity and Risk Appetite)

技術 全磁碟加密（Full Disk Encryption）

技術 擴展認證協議（EAP）最不可能用於建立點對點連接