iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 2612 瀏覽

技術 CWE和CVE

在軟件開發生命週期（SDLC）的設計階段（建築和詳細設計）完成後，我們必須進行審查。威脅建模是設計審查的一部分，以識別和緩解設計的安全漏洞。（有些作者可能將設計...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-11

1 Like 0 留言 2705 瀏覽

技術推論 & 聚合( Inference and Aggregation)

-聚合功能分區（Partitioning）對數據或數據庫進行分區是指將數據集分成多個部分並分別存儲。這是聚合和推斷攻擊的對策（countermeasure）。...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-11

1 Like 0 留言 1925 瀏覽

技術 SAML-斷言（assertion）

斷言是關於實體或主題的陳述，通常以名稱-值對的形式表示。“ MaritalStatus = False”是一個斷言，它描述一個屬性為MaritalStatus且...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-07

0 Like 0 留言 1151 瀏覽

技術手機審驗與資安認證

根據風傳媒的報導，台哥大手機被要求限期召回於製程中即被駭的手機，引起大眾對於通訊產品檢驗及審驗的討論。台灣大哥大2018年販售1款中國製自有品牌手機「Ama...

吳文智 (Wentz Wu) ‧ 2021-01-07

2 Like 0 留言 2897 瀏覽

技術敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

敏捷是一種心態，秉承《敏捷軟件開發和實踐宣言》中所述的四個價值觀和十二個原則。敏捷是一個籠統的術語。滿足敏捷價值觀和原則的任何方法或實踐都可以稱為敏捷方法。....

卓建全(Cho,Chien-Chuan) ‧ 2021-01-06

2 Like 0 留言 2605 瀏覽

技術專案生命週期（Project Life Cycle）

生命週期代表“從搖籃到墳墓”。該業務案例在項目“誕生”，正式授權和啟動之前就已經存在。. 將解決方案出售或轉售給外部實體並不少見。. 在威脅建模之後實施解決方案...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-05

2 Like 0 留言 2171 瀏覽

技術安全意識，培訓和教育（security awareness, training and education）

所有僱員（All employees）總體上，“所有員工”是接受或參加意識介紹或活動的理想目標，但不是接受培訓的好目標，培訓適用於與IT系統相關的職能角色和職...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-04

1 Like 0 留言 1760 瀏覽

技術威脅建模（threat modeling）的步驟

-威脅建模（來源：CSSLP CBK）根據CSSLP CBK，可以通過以下方式進行威脅建模：1. 圖表應用程序體系結構(Diagram Application...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-04

1 Like 0 留言 2342 瀏覽

技術從國家標準技術研究院（NIST）的角度來看，滿足最低安全要求的控制基準的最佳來源-準則(Guidelines)

NIST SP 800-53 R4是一個指南，在附錄D安全控制基線–摘要中提供了安全控制基線。它還在“授權”部分中讀取：該指南與管理和預算辦公室（OMB）通告A...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-31

0 Like 1 留言 2016 瀏覽

技術何謂工程(Engineering)?

Image Credit: City of Gastonia 工程是指運用知識和技能來理解和管理利害關係人的需求、提出並實施解決方案以解決這些需求，並利用和維...

吳文智 (Wentz Wu) ‧ 2020-12-30

1 Like 0 留言 2002 瀏覽

技術國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

NIST出版物NIST制定並維護了大量有關信息和信息系統的安全性和隱私性的標準，指南，建議和研究。這包括各種NIST技術出版物系列：資料來源：NIST出版物 N...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-30

1 Like 0 留言 2028 瀏覽

技術風險暴露（risk exposure）

-ISO 31000該問題的核心概念是如何定性或定量地分析風險，以確定風險敞口，以貨幣價值，得分，規模，觀點等表示。根據我用來評估風險暴露的“風險標準”，我建議...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-29

1 Like 0 留言 1209 瀏覽

技術內容交付網絡（Content delivery network）

內容傳遞網絡(Content Delivery Network)內容交付網絡或內容分發網絡（CDN）是代理服務器及其數據中心的地理分佈網絡。目標是通過相對於最終...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-28

1 Like 0 留言 4465 瀏覽

技術資訊治理（Data Governance）

數據管理員(Data Steward)數據管理員是組織中的一個角色，負責利用組織的數據治理流程來確保數據元素（內容和元數據）的適用性。數據管家的總體目標是，就特...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-25

1 Like 0 留言 987 瀏覽

技術資訊安全治理（Information Security Governance）

. CISO應該適當地定位安全功能，例如報告線，角色和職責，並將安全集成到業務功能和流程中。. 數據所有者對信息資產進行分類。. 審核員進行安全審核以確保合規性...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-24

1 Like 0 留言 4604 瀏覽

技術重要性分析和業務影響分析(criticality analysis and Business impact analysis (BIA))

-重要性分析和業務影響分析業務影響分析（BIA）是業務連續性管理的關鍵過程。它分析了中斷對關鍵活動和輔助活動以及其他資源所支持的產品和服務交付的影響。缺乏原材...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-24

1 Like 0 留言 2083 瀏覽

技術服務組織控制（Service Organization Control ：SOC)

-服務組織控制（SOC）服務組織控制（Service Organization Control ：SOC)向用戶實體（銀行）提供服務的任何服務組織（您的公司）...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-22

1 Like 0 留言 2039 瀏覽

技術零風險（zero risks）

-ISO 31000 在風險管理社區中，人們普遍認為無法消除風險，並且“沒有風險”是不可能的，因為我們可以管理已識別的風險（已知未知數-known unknow...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-21

2 Like 0 留言 5892 瀏覽

技術藍牙威脅(Bluetooth Threats)

1. BluesnarfingBluesnarfing使攻擊者能夠利用較舊的（大約在2003年）設備中的固件漏洞來訪問支持Bluetooth的設備。這種攻擊會強...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-19

2 Like 0 留言 1533 瀏覽

技術資產剝離（divestiture）

首先考慮範圍內的資產更為有效，因為業務中斷，知識產權洩漏和數據隱私不合規是范圍內資產所產生的影響或後果，而範圍內資產決定了不確定性和影響。-圖片提供：NIST...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-18

1 Like 0 留言 1478 瀏覽

技術治理結構(Governance Structure)- 審計委員會(Audit committee)

內部審計部門的負責人通常在職能上向董事會的審計委員會報告，而行政報告則向首席執行官報告。他或她的職務可以是首席審計執行官（CAE），（內部）審計主管，審計長或財...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-17

1 Like 0 留言 3017 瀏覽

技術 Kerckhoffs的原則-開源(Open source)

符合Kerckhoffs的原則，即開源密碼的算法和實現（例如kokke / tiny-AES-c）向公眾開放，以供公眾審查，並提供更具成本效益和靈活的許可選項。...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-16

0 Like 0 留言 1021 瀏覽

技術徵求DDoS防護系統測試

#DDoS防護系統測試徵求大中小企業有被DDoS攻擊的經驗，傳統FW防護已沒法應付的情境。On-premise 環境或GCP均可(也歡迎AWS，Azure)，試...

cklouie ‧ 2020-12-16

1 Like 0 留言 2290 瀏覽

技術數據及系統所有者（data and system owner）

高級管理層是最終負責的後果和底線。但是，活動和任務是根據某些標準（例如，RACI矩陣，負責，負責，諮詢和告知的縮寫）在組織中分配和分配給各種角色和個人的。問責制...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-15

0 Like 0 留言 2326 瀏覽

技術安全工程101

系統工程是一門應用知識來創建或獲取一個系統的學科，該系統由相互關聯的元素組成，這些元素在整個系統開發生命週期（SDLC）或系統生命週期（SLC）內出於共同目...

吳文智 (Wentz Wu) ‧ 2020-12-14

1 Like 0 留言 2017 瀏覽

技術安全功能(security function)

. 根據NIST術語表，安全功能是指系統級別的“系統或系統元素提供的功能” 。. 獨立安全審核的保證是保證功能的一部分。. 信息安全程序的實施實現了信息安全策略...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-14

1 Like 0 留言 1351 瀏覽

技術就控制目標(control objectives)而言，那一個是無效的實體控制(the least effective physical control )？

一個控制目標(control objectives) 是一個“描述的是要實現作為實施控制的結果聲明”。（ISO 27000：2018）控制目標指導安全控制的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-11

1 Like 0 留言 2302 瀏覽

技術對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

-什麼是應用程序安全風險？對象重用(Object reuse)根據NIST術語表，對象重用是指“在確保沒有殘留數據保留在存儲介質上之後，對包含一個或多個對象的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-10

1 Like 0 留言 1363 瀏覽

技術通用標準評估--安全目標（ST）

-通用標準評估安全目標（Security Target:ST）供應商可以在安全目標（ST）中指定其安全功能要求（security functional req...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-09

1 Like 0 留言 2657 瀏覽

技術安全設計原則分類（taxonomy of security design principles）

安全默認值（Secure Defaults）安全默認值的原則指出，系統的默認配置（包括其組成子系統，組件和機制）反映了安全策略的限制性和保守性實施。安全默認原...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-08

技術 CWE和CVE

技術 推論 & 聚合( Inference and Aggregation)

技術 SAML-斷言（assertion）

技術 手機審驗與資安認證

技術 敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

技術 專案生命週期（Project Life Cycle）

技術 安全意識，培訓和教育（security awareness, training and education）

技術 威脅建模（threat modeling）的步驟

技術 從國家標準技術研究院（NIST）的角度來看，滿足最低安全要求的控制基準的最佳來源-準則(Guidelines)

技術 何謂工程(Engineering)?

技術 國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

技術 風險暴露（risk exposure）

技術 內容交付網絡（Content delivery network）

技術 資訊治理（Data Governance）

技術 資訊安全治理（Information Security Governance）

技術 重要性分析和業務影響分析(criticality analysis and Business impact analysis (BIA))

技術 服務組織控制（Service Organization Control ：SOC)

技術 零風險（zero risks）

技術 藍牙威脅(Bluetooth Threats)

技術 資產剝離（divestiture）

技術 治理結構(Governance Structure)- 審計委員會(Audit committee)