iT邦幫忙

資訊安全相關文章
共有 958 則文章

技術 微服務、容器化和無服務器(Microservices, Containerization, and Serverless)

微服務(Microservices) 微服務是一個低耦合的架構,可以通過以下方式實現重構一個單片應用,即,轉向進程內的應用程序組件成自包含的網絡服務適於被部署...

技術 可信路徑和可信通道(Trusted Path and Trusted Channel)

-可信路徑和可信通道 . 可信計算機系統(Trusted Computer System) 具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏...

技術 NIST 對 ICT 供應鏈的常見風險

-ICT SCRM 支柱和可見性(來源:NIST SP 800-161) 僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。...

技術 (ISC)² 道德規範(Code of Ethics Canons)

-道德在新的 CISSP 考試大綱中名列前茅 道德規範(Code of Ethics Canons) . 保護社會、共同利益、必要的公眾信任和信心以及基礎設施...

技術 EAP-TLS身份驗證協議最能支持零信任原則

-零信任網路安全範式 EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行...

技術 不是使用專用的、標準化的設備清理命令的清除方法:消磁(Degaussing)

清理方法(The sanitization method),清除(purge),將使數據恢復不可行,但介質是可重複使用的。消磁(Degaussing)會使媒體永...

技術 橢圓曲線數字簽名算法 (Elliptic Curve Digital Signature Algorithm:ECDSA)

橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。 本標准定義了數字...

技術 戰略思考與規劃(Strategic Thinking and Planning)

使命與願景(Mission and Vision) . 一個組織不是無緣無故存在的。它是為目的而建立的,並肩負著使命。它由領導者創造的願景激勵人們按照目標進行...

技術 容器化的安全原則(the security principles of containerization)

-容器技術架構 容器映像是由開發人員創建和註冊的包,其中包含在容器中運行所需的所有文件,通常按層組織。映像通常包括層,例如最小操作系統核心(又名基礎層)、應用...

技術 零信任(Zero Trust)

零信任的概念早在 2003 年就出現了,當時去邊界化、移除物理網絡位置盛行。許多組織開始實施類似的概念。NIST 於 2020 年 8 月發布了專刊 800-2...

技術 IDS 的檢測閾值(The detection threshold of IDS)

混淆矩陣中的敏感性是評估 IDS 性能的常用方法。 . 一旦 IDS 發送警報,就應該對其進行調查和驗證,並且工作量會增加。減少誤報的數量減少了調查工作量。 ....

技術 常見的隧道協議(Common Tunneling Protocols)

常見的隧道協議 以下是常見的隧道協議: . GRE(協議 47):通用路由封裝 . SSTP(TCP 端口 443):安全套接字隧道協議 . IPSec(協議...

技術 ISO OSI 參考模型的數據鏈路層(Data Link layer)-邏輯鏈路控制(logic link control)

-圖片來源:TelecomWorld 101 ISO OSI 參考模型的數據鏈路層從 IEEE 的角度可以分為兩個子層:邏輯鏈路控制(LLC)和媒體訪問控制(...

技術 安全策略和安全模型(Security Policies and Security Models)

. 一個政策是管理層意圖正式表示要糾正或影響實體的行為。安全政策是執行CIA的政策;它們是安全要求的來源之一。 . 模型通常是實體的結構示意圖(或詳細描述或縮放...

技術 一次性密碼 (One-time pad:OTP)

一次性密碼(one-time pad)和一次性密碼(one-time passoword )的首字母縮寫詞都是 OTP。然而,它們是不同的,根本沒有關係。一次性...

技術 強制存取控制(Mandatory access control)

強制存取控制是訪問控制策略或要求;這不是一個正式的模型。相反,它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符...

技術 緩衝區溢出和記憶體洩漏(Buffer Overflow and Memory Leak)

-進程的記憶體佈局 **緩衝區(Buffer)**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小,它就會溢出。它通常會導致異常受特權提升或返回...

技術 玩通靈 - Intigriti's 0521 XSS challenge (Clickjacking)

前言 這是之前 Huli 大在前端社團分享的 國外 XSS 挑戰。 最近比較有時間來分享,當時 「從0~提交通過」的通靈思路。 組字串的細節可以參考 Huli...

技術 基於格的訪問控制模型(a lattice-based access control model)

“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成,其中每兩個元素都有一個唯一的上界(也稱為最小上界或連接)和唯一的下界(也稱為最大下...

技術 受信任的計算機系統評估標準(Trusted Computer System Evaluation Criteria : TCSEC)

可信恢復是“在系統故障後確保恢復而不受影響的能力”。( NIST Glossary )通用標準中指定了可信恢復系列的四個組件: . 手動恢復 (FPT_RCV....

技術 單元測試&整合測試&迴歸測試

單元測試(Unit Testing) 單元測試既是一種測試工具,也是一種開發工具。現代軟件開發人員通常在完成功能代碼之前開發單元測試,也就是測試驅動開發 (TD...

技術 軟件測試覆蓋率分析(測試粒度最細)-表達式(expressions)和決策結構

顆粒可視為測量單元。當我們說我們的軟體被測試了50%,或者測試覆蓋率是50%,這到底是什麼意思,因為軟體有10個用例,50個場景,500個測試案例,10,000...

技術 資安入門

資訊安全是透過安全管制措施來保護資訊資產免於受到危害,以達到機密性、完整性和可用性(即常聽到的CIA)之目標(第3層),進而支持業務流程(第2層)、創造和交付...

技術 密鑰協商-Diffie-Hellman

密鑰分發是將加密密鑰從一方發送到另一方的過程。對稱和非對稱密碼術都面臨著密鑰分發的挑戰。這個問題詢問對稱密碼學中的共享密鑰分發。 . 由信任網絡或 X.509公...

技術 替代網站(Alternative Sites)- 冷站點的最大好處

冷站點沒有適當的計算機設備,因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。 冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比,恢復計算...

技術 工程、生命週期階段和過程(Engineering, Life Cycle Stages, and Processes)

-NIST SP 800-160 V1 和 ISO 15288 工程(Engineering) . 工程 是一種涉及開發解決方案的一組流程的方法,該解決方案可...

技術 最大可容忍停機時間 (MTD)

最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。” 資料來源:BCM 研究所 最大可容忍停機時間 (MTD) 是...

技術 安全控制(security controls)

雙重控制、職責分離、權限分離和 M of N Control 是用於防止欺詐和錯誤的安全控制。但是,雙重控制、職責分離和 M of N Control 需要兩個...

技術 軟體測試類型

-測試類型 . 靜態測試是一種測試,其中被測軟件 (software under test:SUT) 作為源代碼或二進制代碼不加載到內存中執行。靜態二進制代碼...

技術 雲安全聯盟(CSA)-安全信任和保證註冊(STAR)

-圖片來源:CSA 在雲安全聯盟(CSA)劃分安全,信任和保證註冊(STAR)計劃分為三個層次: CSA STAR 1 級:自我評估 CSA STAR 2...