iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1632 瀏覽

技術資產分類準則（asset classification guideline）

分類方案適用於整個組織。RD負責人定義一個是不合適的。此外，由於發布了資產分類準則，這意味著分類方案已作為組織標準得以實施。. 資產的類型很多。數據只是其中之一...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-30

1 Like 0 留言 809 瀏覽

技術調查類型(Investigation Types)

一個調查是收集和用於特定目的的證據分析。行政調查（Administrative Investigation）. 行政調查是指對員工所謂的不當行為的內部調查。（法...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-29

1 Like 0 留言 2583 瀏覽

技術什麼是零信任(What is Zero Trust)？

零信任是一種網絡安全範式，用於支持可見性的細粒度，動態和以數據為中心的訪問控制。（訪問控制基於需要了解和最小特權的原則，通過身份驗證，授權和計費來中介資源的使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-26

1 Like 0 留言 2505 瀏覽

技術惡意程式-伴侶病毒( malicious program-Companion virus)

-主引導記錄（MBR）和引導扇區（來源：Syed Fahad）. 該多態病毒沉思修改整個系統，這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-25

1 Like 0 留言 2292 瀏覽

技術會話劫持（ session hijacking ）

會話劫持經常通過XSS（跨站點腳本）或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。. 使用TLS的端...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-23

1 Like 0 留言 2976 瀏覽

技術身份驗證，授權和會計（authentication, authorization, and accounting (AAA)）Part II

通過審核（查看日誌）來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”，而身份驗證則標識並驗證“誰做了”。不管活動是否被授權，都應記錄或記錄該活動...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-22

1 Like 0 留言 735 瀏覽

技術另一個AAA(Yet Another AAA)-AAA Part I

訪問控制機制通常通過三種機制來管理或控制訪問：身份驗證，授權和會計（AAA）。. 身份驗證是“驗證用戶，進程或設備的身份的過程，通常將其作為允許訪問信息系統中的...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-22

1 Like 0 留言 746 瀏覽

技術業務驅動者和推動者（Business Drivers and Enablers）

-波特的價值鏈（Porter’s Value Chain）業務就是提供產品和服務以創造價值並實現組織願景和使命。一個業務驅動是指“指導或控制”的運動，活動和業務...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-18

1 Like 0 留言 1670 瀏覽

技術糾正不合規問題並減輕風險, 您最關心的項目為何？

基於風險的方法已廣泛用於各個領域，例如決策，審計，網絡安全，銀行等。“風險是不確定性對目標的影響。” （ISO 31000）這不是一個普遍接受的術語，但是一旦風...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-17

1 Like 0 留言 2699 瀏覽

技術誤用/濫用測試（Misuse/Abuse testing）

-HTTP請求（來源：Chua Hock-Chuan）測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例，例如GET / customer / del...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-16

1 Like 0 留言 2689 瀏覽

技術費根檢查（ Fagan inspection）

費根檢查是一種依靠組檢查方法的正式檢查，即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。. 模糊測試或模糊測試(Fuzzing or fuzz test...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-15

0 Like 0 留言 3551 瀏覽

技術增強關聯式資料庫的參照完整性（enforce the referential integrity of the relational database）

. 外鍵(Foreign key)強制引用完整性。. 主鍵(Primary key)可增強實體的完整性。. 候選鍵(Candidate keys)與主鍵唯一地標...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-12

0 Like 0 留言 2056 瀏覽

技術區塊型加密器(cipher block)的操作模式(mode of operation)

. **電子密碼本（ECB）**接受純文本作為輸入。. **密碼塊鏈接（CBC）**接受“純文本XOR IV”作為輸入。. **密文回饋（CFB）和輸出回饋（O...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-11

1 Like 0 留言 2006 瀏覽

技術密碼學-串流型加密器(cryptography- Stream ciphers)

-來源：廣工，滑鐵盧大學(Credit: Guang Gong, University of Waterloo)速度，安全性和簡單性是設計新加密的主要考慮因素。...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-10

1 Like 0 留言 2841 瀏覽

技術 NIST與雲相關的準則

-雲計算概念參考模型（來源：NIST） NIST SP 500-291v1（雲路線圖） NIST SP 500-291v2（雲路線圖） NIST SP 500...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-10

1 Like 0 留言 4271 瀏覽

技術數字證書（Digital Certificate）

證書申請和回應證書籤名請求(Certificate Signing Request)在公鑰基礎結構（PKI）系統中，證書籤名請求（也稱為CSR或證書請求）是從...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-09

0 Like 0 留言 3427 瀏覽

技術雲端部署模型（Cloud deployment model）

部署模型包括私有云，社區雲，公共雲和混合雲。IaaS，PaaS和SaaS是雲計算的服務模型。 NIST SP 800-145以下是NIST SP 800-145...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-08

1 Like 0 留言 2014 瀏覽

技術證書頒發機構（CA）-Web服務器證書格式

-網站WentzWu.com的X.509證書樣本因為如今在實踐中很少使用正斜杠“ /”作為分隔符，所以我將選項A修改為使用分號“;”。作為DN分隔符，即使以下...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-05

2 Like 0 留言 2938 瀏覽

技術高凝聚力和低耦合(High Cohesion and Low Coupling)

-軟體構架從軟體的角度來看，. 內聚性（Cohesion）是指模塊中元素所組織的相關程度。“高內聚性”是指模塊的組成元素高度相關。面向對象編程中的類是最常見的...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-04

1 Like 0 留言 3074 瀏覽

技術 DES-EDE3-CBC

初始化向量（IV）是一個隨機數，通常是一次使用的數字，即一個隨機數。它用於刪除密文中的重複模式，以增加密碼分析的工作因子。強密碼不是隨機的，因此不適合用作IV。...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-03

1 Like 1 留言 14322 瀏覽

技術隨機化MAC 手機 wifi 問題

安桌 Android 和 iPhone IOS 都有此選項手機MAC address 這個選項可以讓追蹤者和網路管理者增加管理上的困擾如果有 Wifi 連線...

林門神JanusLin ‧ 2021-03-03

1 Like 0 留言 2093 瀏覽

技術滲透測試-枚舉（Enumeration）

-滲透側試方法設計該問題的目的是指出存在多種滲透測試方法，滲透測試人員可能會不一致地使用這些術語或行話。但是，以下術語通常被接受：. 指紋識別(Fingerp...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-02

1 Like 0 留言 1790 瀏覽

技術 NIST SP 800-53A（附錄E：滲透測試）

企業通常會進行滲透測試，以驗證現有的安全和隱私控制，並通過發現漏洞和利用漏洞，徹底記錄測試期間執行的所有活動以及提供可操作的結果以及有關可能的補救措施的信息來增...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-26

1 Like 0 留言 1396 瀏覽

技術不是進行滲透測試的最佳時機

機構更關心的是一個新類型的攻擊比發現已知類型的攻擊。此外，如果風險保留在風險記錄中（風險保留），則表示該風險被接受為一種風險處理形式。這意味著滲透測試已完成，發...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-25

1 Like 0 留言 3216 瀏覽

技術變更管理和變更控制（Change Management and Change Control）

什麼是變化，我們在變化什麼？當涉及到更改時，至關重要的是定義什麼是更改並闡明我們正在更改的內容。改變狀態一些人認為的變化是一個移動從當前狀態到所希望的狀態，...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-24

1 Like 0 留言 825 瀏覽

技術 NIST SP 800-53A R4-測試深度&測試範圍

“覆蓋範圍屬性解決了評估的範圍或廣度。” （NIST SP 800-53A）測試的範圍與測試範圍有關，例如，測試了多少個樣品。軟件測試樣本的粒度可以是代碼行，功...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-23

2 Like 0 留言 2496 瀏覽

技術 NIST SP 800-53 R5的摘要

-安全和隱私控制系列（來源：NIST SP 800-53 R5）. 安全和隱私控制有效性解決了正確執行控件，按預期運行並在滿足指定的安全和隱私要求方面產生期望結...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-22

1 Like 0 留言 2491 瀏覽

技術參考監視器（Reference monitor）

參考監視器是一概念，而不是實現或系統組件。作為操作系統的關鍵組件，參考驗證機制（即橙皮書中的安全內核）是參考監視器概念的實現。安全內核是參考驗證機制的一個實例。...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-20

0 Like 0 留言 2312 瀏覽

技術人生還有更重要的事! 善選CISSP應考策略!

Express: 三個月內短衝型. 適合有一定的工作經驗, 能專注在一個目標, 每天下班後可穩定且專注讀書, 每週累計達20小時的人. Standard...

吳文智 (Wentz Wu) ‧ 2021-02-19

1 Like 0 留言 1604 瀏覽

技術參考監視器的非必需屬性-高凝聚力（High cohesion）

-安德森報告和TCSEC 1972年，James P. Anderson＆Co.在著名的Anderson報告中首次引入了參考監控器概念，隨後在1983年的TCS...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-19

技術 資產分類準則（asset classification guideline）

技術 調查類型(Investigation Types)

技術 什麼是零信任(What is Zero Trust)？

技術 惡意程式-伴侶病毒( malicious program-Companion virus)

技術 會話劫持（ session hijacking ）

技術 身份驗證，授權和會計（authentication, authorization, and accounting (AAA)）Part II

技術 另一個AAA(Yet Another AAA)-AAA Part I

技術 業務驅動者和推動者（Business Drivers and Enablers）

技術 糾正不合規問題並減輕風險, 您最關心的項目為何？

技術 誤用/濫用測試（Misuse/Abuse testing）

技術 費根檢查（ Fagan inspection）

技術 增強關聯式資料庫的參照完整性（enforce the referential integrity of the relational database）

技術 區塊型加密器(cipher block)的操作模式(mode of operation)

技術 密碼學-串流型加密器(cryptography- Stream ciphers)