iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1090 瀏覽

技術學習比較框架(learning comparative framework)

兩個很棒的NIST準則：. NIST SP 800-16. NIST SP 800-50-IT安全學習連續體（來源：NIST SP 800-50）-學習比較框架...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-08

1 Like 0 留言 2308 瀏覽

技術商業秘密(Trade Secret) & 版權(Copyright) & 專利(Patent) & 商標(Trademark)

您的公司將源代碼視為機密信息；商業秘密保護其機密性。無論版權和專利要求的源代碼的公開，但貴公司有意保守秘密作為一個私有雲。商標可以唯一地識別和區分您的公司或產品...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-05

1 Like 0 留言 1537 瀏覽

技術 NIST SDLC和RMF(續)

根據FIPS 199，“確定信息系統的安全類別需要進行更多的分析，並且必須考慮駐留在信息系統上的所有信息類型的安全類別。” 因此，在對信息系統進行分類之前，應先...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-04

1 Like 0 留言 1873 瀏覽

技術 NIST SDLC和RMF

安全控制是風險處理的一部分，風險評估之後進行。安全控制的範圍是根據風險評估的結果確定的。根據NIST SDLC和ISO 22301，業務影響分析（BIA）不會評...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-03

1 Like 0 留言 2148 瀏覽

技術範圍和裁縫(Scoping and Tailoring)

**範圍界定(Scoping)**是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如，如果系統不允許任何兩個人同時登錄，則無需應用並發會話控件...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-02

1 Like 0 留言 2071 瀏覽

技術軟件保障成熟度模型（Software Assurance Maturity Model ：SAMM）

OWASP的軟件保障成熟度模型是一個開放框架，可以幫助組織製定和實施針對組織所面臨的特定風險的軟件安全策略。-域8：SAMM-SAMM概述（來源：https :...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-01

1 Like 0 留言 1433 瀏覽

技術身份驗證服務交換（The Authentication Service (AS) Exchange）

Kerberos基於對稱密鑰加密技術，並且需要受信任的第三方，並且可以選擇在身份驗證的某些階段使用公共密鑰加密技術。Kerberos默認使用UDP端口88。（維...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-29

1 Like 0 留言 1478 瀏覽

技術安全框架和成熟度模型（Security Frameworks and Maturity Models）

框架（Frameworks）-NIST網絡安全框架 NIST網絡安全框架（CSF）. 認識到美國的國家和經濟安全取決於關鍵基礎設施的可靠功能，總統於2013年2...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-28

1 Like 0 留言 2787 瀏覽

技術身份驗證器或身份驗證機制（authenticator or authentication mechanism）

客戶端的屬性或屬性值無法向IdP認證客戶端。例如，提交用戶名和員工ID的用戶將不會向IdP進行身份驗證。. 以明文形式傳輸的密碼很容易受到攻擊，但是它可以對客戶...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-27

1 Like 0 留言 1734 瀏覽

技術 CIA作為安全目標(CIA as security objectives)

根據FISMA的說法，“完整性意味著防止不當的信息修改或破壞，並且包括確保信息的不可否認性和真實性。”. “訪問令牌是否已更改？” 關於數據完整性。. “網站是...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-26

1 Like 0 留言 1231 瀏覽

技術身份證明和註冊(identity proofing and enrollment)

NIST SP 800-63A提供了這樣做的指南。-身份證明用戶之旅（來源：NIST SP 800-63A）參考. 身份管理. 建立身份資料來源： Wentz...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-25

23 Like 1 留言 8030 瀏覽

達標好文技術封包檢查意外發現某Chrome 擴充元件疑似被植入間諜程式碼

各位先進大家好，這是小弟在IT邦幫忙的首PO，由於上一份工作跟中國業務交流較深所以以往都是在中國的安全論壇(T00ls等等)發文交流。小弟是學店本科系畢業，曾任...

Krisss ‧ 2021-01-25

1 Like 0 留言 5309 瀏覽

技術 Kerberos

-Kerberos操作（來源：Fulvio Ricciardi）根據CISSP官方學習指南，識別是“一個對象自稱身份和責任的過程。” Kerberos是用於驗證...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-22

1 Like 0 留言 1776 瀏覽

技術 RESTful風格的體系結構（RESTful-style architecture）

“代表性狀態轉移（REST）是一種軟件體系結構樣式，它定義了一組用於創建Web服務的約束。”資料來源：維基百科 RESTful風格的體系結構沒有規定如何管理會話...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-21

1 Like 0 留言 1621 瀏覽

技術受信任計算機系統評估標準（TCSEC）

TCSEC定義了評估可信計算系統的標準，該系統包括四個分類。每個分類可以分為幾類。B分類的類別（B1，B2和B3）應滿足C分類的要求。TCSEC中定義的所有MA...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-19

0 Like 0 留言 4534 瀏覽

技術 CISSP考試資源

CISSP快速啟動版(建議之最低要求) https://wentzwu.com/cissp-express CISSP考試啟動頁(更多資源) htt...

吳文智 (Wentz Wu) ‧ 2021-01-16

1 Like 0 留言 2914 瀏覽

技術數據和系統所有者（Data and System Owners）

如果未識別數據，則無法分配數據所有者。僅在識別，定位並清點數據之後才分配數據所有者。此外，在整個組織內進行數據清單管理需要協調，監督和領導。一個人或一個管理者不...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-18

0 Like 0 留言 1669 瀏覽

技術歡迎加入[追求高效能的CISSP]臉書中文群組!

追求高效能的CISSP! CISSP不是黃金證照，它只是資安專業人員的入門磚。建立這個基本的專業要求，是本群組成立的主要宗旨。基本資安素養 ** Effect...

吳文智 (Wentz Wu) ‧ 2021-01-15

1 Like 0 留言 2189 瀏覽

技術風險描述(risk descriptions)

根據ISO 31000，風險是“不確定性對目標的影響（effect of uncertainty on objectives）。” 這是適用於所有情況的通用風險...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-15

1 Like 0 留言 1844 瀏覽

技術網絡訪問控制(network access control)

無論設備是LAN還是WAN，都需要在設備連接到網絡之前進行身份驗證。設備成功連接到網絡後，才主要使用Kerberos。即使對W-Kerberos進行了一些研究，...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-14

1 Like 0 留言 2328 瀏覽

技術質詢握手身份驗證協議（CHAP）

質詢握手身份驗證協議（Challenge-Handshake Authentication Protocol：CHAP）移動身份驗證代碼的工作原理類似於機制，質...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-13

1 Like 0 留言 1473 瀏覽

技術認證因素(Authentication Factor)

-數字身份模型（來源：NIST SP 800 63-3）刷聯繫人ID卡並輸入PIN碼是兩步驗證。身份證是您擁有的事物的認證者，而PIN碼是您知道的事物的認證者...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-12

1 Like 1 留言 3098 瀏覽

技術 CISSP統計 - 2021年01月

過去統計數 CISSP Member Counts as of July 1, 2020 ISC2 Member Counts – 20190531...

吳文智 (Wentz Wu) ‧ 2021-01-11

1 Like 0 留言 2539 瀏覽

技術 CWE和CVE

在軟件開發生命週期（SDLC）的設計階段（建築和詳細設計）完成後，我們必須進行審查。威脅建模是設計審查的一部分，以識別和緩解設計的安全漏洞。（有些作者可能將設計...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-11

1 Like 0 留言 2616 瀏覽

技術推論 & 聚合( Inference and Aggregation)

-聚合功能分區（Partitioning）對數據或數據庫進行分區是指將數據集分成多個部分並分別存儲。這是聚合和推斷攻擊的對策（countermeasure）。...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-11

1 Like 0 留言 1890 瀏覽

技術 SAML-斷言（assertion）

斷言是關於實體或主題的陳述，通常以名稱-值對的形式表示。“ MaritalStatus = False”是一個斷言，它描述一個屬性為MaritalStatus且...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-07

0 Like 0 留言 1130 瀏覽

技術手機審驗與資安認證

根據風傳媒的報導，台哥大手機被要求限期召回於製程中即被駭的手機，引起大眾對於通訊產品檢驗及審驗的討論。台灣大哥大2018年販售1款中國製自有品牌手機「Ama...

吳文智 (Wentz Wu) ‧ 2021-01-07

2 Like 0 留言 2835 瀏覽

技術敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

敏捷是一種心態，秉承《敏捷軟件開發和實踐宣言》中所述的四個價值觀和十二個原則。敏捷是一個籠統的術語。滿足敏捷價值觀和原則的任何方法或實踐都可以稱為敏捷方法。....

卓建全(Cho,Chien-Chuan) ‧ 2021-01-06

2 Like 0 留言 2537 瀏覽

技術專案生命週期（Project Life Cycle）

生命週期代表“從搖籃到墳墓”。該業務案例在項目“誕生”，正式授權和啟動之前就已經存在。. 將解決方案出售或轉售給外部實體並不少見。. 在威脅建模之後實施解決方案...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-05

2 Like 0 留言 2102 瀏覽

技術安全意識，培訓和教育（security awareness, training and education）

所有僱員（All employees）總體上，“所有員工”是接受或參加意識介紹或活動的理想目標，但不是接受培訓的好目標，培訓適用於與IT系統相關的職能角色和職...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-04

技術 學習比較框架(learning comparative framework)

技術 商業秘密(Trade Secret) & 版權(Copyright) & 專利(Patent) & 商標(Trademark)

技術 NIST SDLC和RMF(續)

技術 NIST SDLC和RMF

技術 範圍和裁縫(Scoping and Tailoring)

技術 軟件保障成熟度模型（Software Assurance Maturity Model ：SAMM）

技術 身份驗證服務交換（The Authentication Service (AS) Exchange）

技術 安全框架和成熟度模型（Security Frameworks and Maturity Models）

技術 身份驗證器或身份驗證機制（authenticator or authentication mechanism）

技術 CIA作為安全目標(CIA as security objectives)

技術 身份證明和註冊(identity proofing and enrollment)

達標好文 技術 封包檢查意外發現某Chrome 擴充元件疑似被植入間諜程式碼

技術 Kerberos

技術 RESTful風格的體系結構（RESTful-style architecture）

技術 受信任計算機系統評估標準（TCSEC）

技術 CISSP考試資源

技術 數據和系統所有者（Data and System Owners）

技術 歡迎加入[追求高效能的CISSP]臉書中文群組!

技術 風險描述(risk descriptions)

技術 網絡訪問控制(network access control)

技術 質詢握手身份驗證協議（CHAP）

技術 認證因素(Authentication Factor)