iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1699 瀏覽

技術威脅建模（threat modeling）的步驟

-威脅建模（來源：CSSLP CBK）根據CSSLP CBK，可以通過以下方式進行威脅建模：1. 圖表應用程序體系結構(Diagram Application...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-04

1 Like 0 留言 2259 瀏覽

技術從國家標準技術研究院（NIST）的角度來看，滿足最低安全要求的控制基準的最佳來源-準則(Guidelines)

NIST SP 800-53 R4是一個指南，在附錄D安全控制基線–摘要中提供了安全控制基線。它還在“授權”部分中讀取：該指南與管理和預算辦公室（OMB）通告A...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-31

0 Like 1 留言 1962 瀏覽

技術何謂工程(Engineering)?

Image Credit: City of Gastonia 工程是指運用知識和技能來理解和管理利害關係人的需求、提出並實施解決方案以解決這些需求，並利用和維...

吳文智 (Wentz Wu) ‧ 2020-12-30

1 Like 0 留言 1957 瀏覽

技術國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

NIST出版物NIST制定並維護了大量有關信息和信息系統的安全性和隱私性的標準，指南，建議和研究。這包括各種NIST技術出版物系列：資料來源：NIST出版物 N...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-30

1 Like 0 留言 1961 瀏覽

技術風險暴露（risk exposure）

-ISO 31000該問題的核心概念是如何定性或定量地分析風險，以確定風險敞口，以貨幣價值，得分，規模，觀點等表示。根據我用來評估風險暴露的“風險標準”，我建議...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-29

1 Like 0 留言 1176 瀏覽

技術內容交付網絡（Content delivery network）

內容傳遞網絡(Content Delivery Network)內容交付網絡或內容分發網絡（CDN）是代理服務器及其數據中心的地理分佈網絡。目標是通過相對於最終...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-28

1 Like 0 留言 4353 瀏覽

技術資訊治理（Data Governance）

數據管理員(Data Steward)數據管理員是組織中的一個角色，負責利用組織的數據治理流程來確保數據元素（內容和元數據）的適用性。數據管家的總體目標是，就特...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-25

1 Like 0 留言 967 瀏覽

技術資訊安全治理（Information Security Governance）

. CISO應該適當地定位安全功能，例如報告線，角色和職責，並將安全集成到業務功能和流程中。. 數據所有者對信息資產進行分類。. 審核員進行安全審核以確保合規性...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-24

1 Like 0 留言 4504 瀏覽

技術重要性分析和業務影響分析(criticality analysis and Business impact analysis (BIA))

-重要性分析和業務影響分析業務影響分析（BIA）是業務連續性管理的關鍵過程。它分析了中斷對關鍵活動和輔助活動以及其他資源所支持的產品和服務交付的影響。缺乏原材...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-24

1 Like 0 留言 2042 瀏覽

技術服務組織控制（Service Organization Control ：SOC)

-服務組織控制（SOC）服務組織控制（Service Organization Control ：SOC)向用戶實體（銀行）提供服務的任何服務組織（您的公司）...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-22

1 Like 0 留言 1974 瀏覽

技術零風險（zero risks）

-ISO 31000 在風險管理社區中，人們普遍認為無法消除風險，並且“沒有風險”是不可能的，因為我們可以管理已識別的風險（已知未知數-known unknow...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-21

2 Like 0 留言 5755 瀏覽

技術藍牙威脅(Bluetooth Threats)

1. BluesnarfingBluesnarfing使攻擊者能夠利用較舊的（大約在2003年）設備中的固件漏洞來訪問支持Bluetooth的設備。這種攻擊會強...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-19

2 Like 0 留言 1484 瀏覽

技術資產剝離（divestiture）

首先考慮範圍內的資產更為有效，因為業務中斷，知識產權洩漏和數據隱私不合規是范圍內資產所產生的影響或後果，而範圍內資產決定了不確定性和影響。-圖片提供：NIST...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-18

1 Like 0 留言 1455 瀏覽

技術治理結構(Governance Structure)- 審計委員會(Audit committee)

內部審計部門的負責人通常在職能上向董事會的審計委員會報告，而行政報告則向首席執行官報告。他或她的職務可以是首席審計執行官（CAE），（內部）審計主管，審計長或財...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-17

1 Like 0 留言 2935 瀏覽

技術 Kerckhoffs的原則-開源(Open source)

符合Kerckhoffs的原則，即開源密碼的算法和實現（例如kokke / tiny-AES-c）向公眾開放，以供公眾審查，並提供更具成本效益和靈活的許可選項。...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-16

0 Like 0 留言 997 瀏覽

技術徵求DDoS防護系統測試

#DDoS防護系統測試徵求大中小企業有被DDoS攻擊的經驗，傳統FW防護已沒法應付的情境。On-premise 環境或GCP均可(也歡迎AWS，Azure)，試...

cklouie ‧ 2020-12-16

1 Like 0 留言 2194 瀏覽

技術數據及系統所有者（data and system owner）

高級管理層是最終負責的後果和底線。但是，活動和任務是根據某些標準（例如，RACI矩陣，負責，負責，諮詢和告知的縮寫）在組織中分配和分配給各種角色和個人的。問責制...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-15

0 Like 0 留言 2284 瀏覽

技術安全工程101

系統工程是一門應用知識來創建或獲取一個系統的學科，該系統由相互關聯的元素組成，這些元素在整個系統開發生命週期（SDLC）或系統生命週期（SLC）內出於共同目...

吳文智 (Wentz Wu) ‧ 2020-12-14

1 Like 0 留言 1978 瀏覽

技術安全功能(security function)

. 根據NIST術語表，安全功能是指系統級別的“系統或系統元素提供的功能” 。. 獨立安全審核的保證是保證功能的一部分。. 信息安全程序的實施實現了信息安全策略...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-14

1 Like 0 留言 1332 瀏覽

技術就控制目標(control objectives)而言，那一個是無效的實體控制(the least effective physical control )？

一個控制目標(control objectives) 是一個“描述的是要實現作為實施控制的結果聲明”。（ISO 27000：2018）控制目標指導安全控制的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-11

1 Like 0 留言 2252 瀏覽

技術對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

-什麼是應用程序安全風險？對象重用(Object reuse)根據NIST術語表，對象重用是指“在確保沒有殘留數據保留在存儲介質上之後，對包含一個或多個對象的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-10

1 Like 0 留言 1337 瀏覽

技術通用標準評估--安全目標（ST）

-通用標準評估安全目標（Security Target:ST）供應商可以在安全目標（ST）中指定其安全功能要求（security functional req...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-09

1 Like 0 留言 2587 瀏覽

技術安全設計原則分類（taxonomy of security design principles）

安全默認值（Secure Defaults）安全默認值的原則指出，系統的默認配置（包括其組成子系統，組件和機制）反映了安全策略的限制性和保守性實施。安全默認原...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-08

1 Like 0 留言 5153 瀏覽

技術 SOC 1、2和3報告概述(SOC 1, 2, and 3 Reports Overview)

--服務組織控制（SOC）以下是Microsoft網站的摘錄：企業越來越多地將基本功能（如數據存儲和對應用程序的訪問）外包給雲服務提供商（CSP）和其他服務組...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-07

1 Like 0 留言 2572 瀏覽

技術 GRC: 高階主管基本功

資訊安全是一門透過安全管制措施(security controls), 保護資訊資產免於受到危害, 以達到CIA的目標, 進而支持組織的業務流程(幫公司作生意)...

吳文智 (Wentz Wu) ‧ 2020-12-07

1 Like 0 留言 6248 瀏覽

技術縱深防禦(Defense in depth)

-NIST SP 800-160 V1和ISO 15288 NIST SP 800-160 V1強調，深度防禦的概念與模塊化和分層的安全性設計原理不同，後者通過...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-04

1 Like 0 留言 2859 瀏覽

技術安全內容自動化協議（SCAP）

安全內容自動化協議（SCAP）是一種使用特定標準來對組織中部署的系統進行自動化漏洞管理，度量和策略合規性評估的方法，包括FISMA（聯邦信息安全管理法案，200...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-02

1 Like 0 留言 1680 瀏覽

技術軟件測試技術（software testing technique）

隨機測試(Random testing）是一種黑盒軟件測試技術，通過生成隨機的獨立輸入來測試程序。（維基百科）. 模糊測試是一種隨機測試，它向測試的程序提供無效...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-01

1 Like 0 留言 2724 瀏覽

技術 CMM和CMMI

-CMM和CMMI成熟度級別比較軟件工程學院（SEI），1984年軟件工程學院（SEI）於1984年在卡內基梅隆大學成立，是由聯邦政府資助的研發中心（FF...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-30

1 Like 0 留言 7517 瀏覽

技術 CVSS v3.1如何計算其分數（強制性指標）

以下摘要和解釋來自FIRST。通用漏洞評分系統（CVSS）是一個開放框架，用於傳達軟件漏洞的特徵和嚴重性。它由事件響應和安全團隊論壇(FIRST）擁有並管理，該...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-27

技術 威脅建模（threat modeling）的步驟

技術 從國家標準技術研究院（NIST）的角度來看，滿足最低安全要求的控制基準的最佳來源-準則(Guidelines)

技術 何謂工程(Engineering)?

技術 國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

技術 風險暴露（risk exposure）

技術 內容交付網絡（Content delivery network）

技術 資訊治理（Data Governance）

技術 資訊安全治理（Information Security Governance）

技術 重要性分析和業務影響分析(criticality analysis and Business impact analysis (BIA))

技術 服務組織控制（Service Organization Control ：SOC)

技術 零風險（zero risks）

技術 藍牙威脅(Bluetooth Threats)

技術 資產剝離（divestiture）

技術 治理結構(Governance Structure)- 審計委員會(Audit committee)