iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1172 瀏覽

技術抑制“重播HTTP cookie”攻擊的最佳解決方案

-Cookie中的ASP.NET會話ID（來源：https：//blog.httpwatch.com/2009/02/ ）在此問題中，由於系統管理員已禁用了受...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-18

1 Like 0 留言 1749 瀏覽

技術 NIST基礎架構相關準則

NIST SP 800-41 R1（防火牆） NIST SP 800-92（日誌管理） NIST SP 800-94（IDS和IPS） NIST SP 80...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-17

1 Like 0 留言 2090 瀏覽

技術變更管理（Change Management）

基線的變更（任何正式批准的變更）均應進行管理。如果選定的安全控制未得到批准，未批准或未設定基線，則無需提交更改請求。-變更管理變更管理(Change Mana...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-17

0 Like 0 留言 1678 瀏覽

技術道德是資安首要議題

我很喜歡John R. Boatright這本舊教科書《道德與商業行為》。台灣的中學現在正在推廣資訊安全教育。學生們正在學習資訊安全基本概念以及有關紅藍隊的東...

吳文智 (Wentz Wu) ‧ 2021-02-13

1 Like 0 留言 865 瀏覽

技術 20210208-台灣菁英圓桌分享會 (Elite Round Table in Taiwan)

這是我個人的考上Cissp的分享會，其中分享如何有效的唸書，提供想考Cissp的朋友一些參考。

卓建全(Cho,Chien-Chuan) ‧ 2021-02-09

1 Like 0 留言 3384 瀏覽

技術多實例化（Polyinstantiation）

多實例化是DBMS特定的安全性問題，“允許關係包含具有相同主鍵的多行；多個實例通過其安全級別加以區分。” （NIST SP 800-8）表中的一行（關係）也稱為...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-09

0 Like 0 留言 2281 瀏覽

技術業務驅動者與致能者(Business Drivers and Enablers)

業務(business)就是有關產品和服務交付(delivery)，以創造價值並實現組織願景和使命的相關活動。一個業務驅動者是(driver)指導或控制的行動方...

吳文智 (Wentz Wu) ‧ 2021-02-09

1 Like 0 留言 1114 瀏覽

技術學習比較框架(learning comparative framework)

兩個很棒的NIST準則：. NIST SP 800-16. NIST SP 800-50-IT安全學習連續體（來源：NIST SP 800-50）-學習比較框架...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-08

1 Like 0 留言 2329 瀏覽

技術商業秘密(Trade Secret) & 版權(Copyright) & 專利(Patent) & 商標(Trademark)

您的公司將源代碼視為機密信息；商業秘密保護其機密性。無論版權和專利要求的源代碼的公開，但貴公司有意保守秘密作為一個私有雲。商標可以唯一地識別和區分您的公司或產品...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-05

1 Like 0 留言 1569 瀏覽

技術 NIST SDLC和RMF(續)

根據FIPS 199，“確定信息系統的安全類別需要進行更多的分析，並且必須考慮駐留在信息系統上的所有信息類型的安全類別。” 因此，在對信息系統進行分類之前，應先...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-04

1 Like 0 留言 1932 瀏覽

技術 NIST SDLC和RMF

安全控制是風險處理的一部分，風險評估之後進行。安全控制的範圍是根據風險評估的結果確定的。根據NIST SDLC和ISO 22301，業務影響分析（BIA）不會評...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-03

1 Like 0 留言 2215 瀏覽

技術範圍和裁縫(Scoping and Tailoring)

**範圍界定(Scoping)**是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如，如果系統不允許任何兩個人同時登錄，則無需應用並發會話控件...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-02

1 Like 0 留言 2137 瀏覽

技術軟件保障成熟度模型（Software Assurance Maturity Model ：SAMM）

OWASP的軟件保障成熟度模型是一個開放框架，可以幫助組織製定和實施針對組織所面臨的特定風險的軟件安全策略。-域8：SAMM-SAMM概述（來源：https :...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-01

1 Like 0 留言 1458 瀏覽

技術身份驗證服務交換（The Authentication Service (AS) Exchange）

Kerberos基於對稱密鑰加密技術，並且需要受信任的第三方，並且可以選擇在身份驗證的某些階段使用公共密鑰加密技術。Kerberos默認使用UDP端口88。（維...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-29

1 Like 0 留言 1530 瀏覽

技術安全框架和成熟度模型（Security Frameworks and Maturity Models）

框架（Frameworks）-NIST網絡安全框架 NIST網絡安全框架（CSF）. 認識到美國的國家和經濟安全取決於關鍵基礎設施的可靠功能，總統於2013年2...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-28

1 Like 0 留言 2836 瀏覽

技術身份驗證器或身份驗證機制（authenticator or authentication mechanism）

客戶端的屬性或屬性值無法向IdP認證客戶端。例如，提交用戶名和員工ID的用戶將不會向IdP進行身份驗證。. 以明文形式傳輸的密碼很容易受到攻擊，但是它可以對客戶...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-27

1 Like 0 留言 1754 瀏覽

技術 CIA作為安全目標(CIA as security objectives)

根據FISMA的說法，“完整性意味著防止不當的信息修改或破壞，並且包括確保信息的不可否認性和真實性。”. “訪問令牌是否已更改？” 關於數據完整性。. “網站是...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-26

1 Like 0 留言 1256 瀏覽

技術身份證明和註冊(identity proofing and enrollment)

NIST SP 800-63A提供了這樣做的指南。-身份證明用戶之旅（來源：NIST SP 800-63A）參考. 身份管理. 建立身份資料來源： Wentz...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-25

23 Like 1 留言 8105 瀏覽

達標好文技術封包檢查意外發現某Chrome 擴充元件疑似被植入間諜程式碼

各位先進大家好，這是小弟在IT邦幫忙的首PO，由於上一份工作跟中國業務交流較深所以以往都是在中國的安全論壇(T00ls等等)發文交流。小弟是學店本科系畢業，曾任...

Krisss ‧ 2021-01-25

1 Like 0 留言 5468 瀏覽

技術 Kerberos

-Kerberos操作（來源：Fulvio Ricciardi）根據CISSP官方學習指南，識別是“一個對象自稱身份和責任的過程。” Kerberos是用於驗證...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-22

1 Like 0 留言 1823 瀏覽

技術 RESTful風格的體系結構（RESTful-style architecture）

“代表性狀態轉移（REST）是一種軟件體系結構樣式，它定義了一組用於創建Web服務的約束。”資料來源：維基百科 RESTful風格的體系結構沒有規定如何管理會話...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-21

1 Like 0 留言 1658 瀏覽

技術受信任計算機系統評估標準（TCSEC）

TCSEC定義了評估可信計算系統的標準，該系統包括四個分類。每個分類可以分為幾類。B分類的類別（B1，B2和B3）應滿足C分類的要求。TCSEC中定義的所有MA...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-19

0 Like 0 留言 4581 瀏覽

技術 CISSP考試資源

CISSP快速啟動版(建議之最低要求) https://wentzwu.com/cissp-express CISSP考試啟動頁(更多資源) htt...

吳文智 (Wentz Wu) ‧ 2021-01-16

1 Like 0 留言 2986 瀏覽

技術數據和系統所有者（Data and System Owners）

如果未識別數據，則無法分配數據所有者。僅在識別，定位並清點數據之後才分配數據所有者。此外，在整個組織內進行數據清單管理需要協調，監督和領導。一個人或一個管理者不...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-18

0 Like 0 留言 1708 瀏覽

技術歡迎加入[追求高效能的CISSP]臉書中文群組!

追求高效能的CISSP! CISSP不是黃金證照，它只是資安專業人員的入門磚。建立這個基本的專業要求，是本群組成立的主要宗旨。基本資安素養 ** Effect...

吳文智 (Wentz Wu) ‧ 2021-01-15

1 Like 0 留言 2228 瀏覽

技術風險描述(risk descriptions)

根據ISO 31000，風險是“不確定性對目標的影響（effect of uncertainty on objectives）。” 這是適用於所有情況的通用風險...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-15

1 Like 0 留言 1896 瀏覽

技術網絡訪問控制(network access control)

無論設備是LAN還是WAN，都需要在設備連接到網絡之前進行身份驗證。設備成功連接到網絡後，才主要使用Kerberos。即使對W-Kerberos進行了一些研究，...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-14

1 Like 0 留言 2426 瀏覽

技術質詢握手身份驗證協議（CHAP）

質詢握手身份驗證協議（Challenge-Handshake Authentication Protocol：CHAP）移動身份驗證代碼的工作原理類似於機制，質...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-13

1 Like 0 留言 1499 瀏覽

技術認證因素(Authentication Factor)

-數字身份模型（來源：NIST SP 800 63-3）刷聯繫人ID卡並輸入PIN碼是兩步驗證。身份證是您擁有的事物的認證者，而PIN碼是您知道的事物的認證者...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-12

1 Like 1 留言 3169 瀏覽

技術 CISSP統計 - 2021年01月

過去統計數 CISSP Member Counts as of July 1, 2020 ISC2 Member Counts – 20190531...

吳文智 (Wentz Wu) ‧ 2021-01-11

技術 抑制“重播HTTP cookie”攻擊的最佳解決方案

技術 NIST基礎架構相關準則

技術 變更管理（Change Management）

技術 道德是資安首要議題

技術 20210208-台灣菁英圓桌分享會 (Elite Round Table in Taiwan)

技術 多實例化（Polyinstantiation）

技術 業務驅動者與致能者(Business Drivers and Enablers)

技術 學習比較框架(learning comparative framework)

技術 商業秘密(Trade Secret) & 版權(Copyright) & 專利(Patent) & 商標(Trademark)

技術 NIST SDLC和RMF(續)

技術 NIST SDLC和RMF

技術 範圍和裁縫(Scoping and Tailoring)

技術 軟件保障成熟度模型（Software Assurance Maturity Model ：SAMM）

技術 身份驗證服務交換（The Authentication Service (AS) Exchange）

技術 安全框架和成熟度模型（Security Frameworks and Maturity Models）

技術 身份驗證器或身份驗證機制（authenticator or authentication mechanism）