iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 5379 瀏覽

技術 SOC 1、2和3報告概述(SOC 1, 2, and 3 Reports Overview)

--服務組織控制（SOC）以下是Microsoft網站的摘錄：企業越來越多地將基本功能（如數據存儲和對應用程序的訪問）外包給雲服務提供商（CSP）和其他服務組...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-07

1 Like 0 留言 2656 瀏覽

技術 GRC: 高階主管基本功

資訊安全是一門透過安全管制措施(security controls), 保護資訊資產免於受到危害, 以達到CIA的目標, 進而支持組織的業務流程(幫公司作生意)...

吳文智 (Wentz Wu) ‧ 2020-12-07

1 Like 0 留言 6402 瀏覽

技術縱深防禦(Defense in depth)

-NIST SP 800-160 V1和ISO 15288 NIST SP 800-160 V1強調，深度防禦的概念與模塊化和分層的安全性設計原理不同，後者通過...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-04

1 Like 0 留言 2925 瀏覽

技術安全內容自動化協議（SCAP）

安全內容自動化協議（SCAP）是一種使用特定標準來對組織中部署的系統進行自動化漏洞管理，度量和策略合規性評估的方法，包括FISMA（聯邦信息安全管理法案，200...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-02

1 Like 0 留言 1732 瀏覽

技術軟件測試技術（software testing technique）

隨機測試(Random testing）是一種黑盒軟件測試技術，通過生成隨機的獨立輸入來測試程序。（維基百科）. 模糊測試是一種隨機測試，它向測試的程序提供無效...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-01

1 Like 0 留言 2777 瀏覽

技術 CMM和CMMI

-CMM和CMMI成熟度級別比較軟件工程學院（SEI），1984年軟件工程學院（SEI）於1984年在卡內基梅隆大學成立，是由聯邦政府資助的研發中心（FF...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-30

1 Like 0 留言 7719 瀏覽

技術 CVSS v3.1如何計算其分數（強制性指標）

以下摘要和解釋來自FIRST。通用漏洞評分系統（CVSS）是一個開放框架，用於傳達軟件漏洞的特徵和嚴重性。它由事件響應和安全團隊論壇(FIRST）擁有並管理，該...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-27

3 Like 0 留言 9739 瀏覽

技術常見漏洞披露（CVE）及常見弱點枚舉（CWE）

圖片來源：BitsorbitCVE列表是指特定產品或系統中已識別的漏洞。與未發現或未知的漏洞相比，它們更為重要和緊急。首先應執行重要而緊迫的任務。CWE列表通常...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-26

0 Like 0 留言 4906 瀏覽

技術 IKE與ISAKMP

Internet金鑰交換（IKE）是IPsec的關鍵體系結構組件。它用於執行相互身份驗證以及建立和維護安全關聯（SA）。 IKE有兩個版本，版本1和版本2。...

吳文智 (Wentz Wu) ‧ 2020-11-25

2 Like 0 留言 1517 瀏覽

技術在威脅建模中的發現了多個攻擊向量（attack vectors），要如何操作（優先順序）才能解決攻擊面？

優先順序需要基於一些標準。通常基於風險敞口對風險進行優先級排序，同時考慮風險的可能性和影響。例如，風險可能性為70％，估計損失為100,000美元，則風險敞口為...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-25

1 Like 0 留言 1546 瀏覽

技術基於XML的標記來描述將呈現為HTML形式的用戶界面元素是聲明性編程範例

使用基於XML的標記來描述將呈現為HTML形式的用戶界面元素是聲明性編程範例。如果通過JavaScript語句呈現HTML表單以控製文檔對像模型（DOM），則這...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-24

1 Like 0 留言 1082 瀏覽

技術最不頻繁地向客戶提供工作軟件(敏捷的角度)-原型設計(Prototyping)

這個問題問的是“最不頻繁”。原型不是有效的軟件。它們不會交付給客戶用於生產目的，並且從敏捷的角度來看不會增加任何價值。頻繁交付工作軟件是敏捷原則之一：. 在S...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-23

1 Like 0 留言 1559 瀏覽

技術敏捷(Agile)

敏捷敏捷心態(AGILE MINDSET)敏捷是一種由價值觀，原則和實踐組成的心態。滿足敏捷思維方式的任何手段通常被稱為敏捷框架，方法，方法或實踐。你給它命名...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-21

2 Like 0 留言 3772 瀏覽

技術數據治理(Data Governance)

在數據治理程序中，有一些常見的角色，例如數據所有者，數據管理員，數據保管人等。數據所有者應對其擁有的數據負責。. 一個數據所有者，通常是在成員管理團隊，負責確...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-20

0 Like 0 留言 5064 瀏覽

技術敏捷思維(Agile Mindset)

敏捷思維敏捷(agile)是一種思維(mindset)，由價值觀(values)，原則(principles)和實踐(practices)組成。可以滿足敏捷...

吳文智 (Wentz Wu) ‧ 2020-11-20

2 Like 0 留言 1962 瀏覽

技術系統開發生命週期（SDLC）

SDLC定義了工程系統時的階段和過程。由於系統的多樣性，它通常不提供特定的設計原則。系統開發生命週期（SDLC）第5版CISSP CBK參考中介紹了Saltz...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-19

1 Like 0 留言 3798 瀏覽

技術安全設計原則（Security Design Principles）

安全設計原則NIST SP 800-160V1引入了三類安全設計原則： 1.安全架構與設計2.安全能力和內在行為3.生命週期安全高效中介訪問，模塊化和分層，分...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-18

1 Like 0 留言 5293 瀏覽

技術會話密鑰(Session Key)

會話密鑰可以用於在建立會話之後或在身份驗證之後根據需要確保機密性和完整性。因此，主體的會話密鑰最不可能是主體向接入點（AP）進行身份驗證所必需的會話鍵(Ses...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-17

1 Like 2 留言 11545 瀏覽

技術為什麼CISSP在台灣不被重視?

很多人考過CISSP後，不但沒有升官、也沒有加薪；甚至沒有得到公司應有的重視，反而平白增加不少資安相關的工作負擔，因此感嘆CISSP在台灣不被重視。想要換工作，...

吳文智 (Wentz Wu) ‧ 2020-11-17

1 Like 0 留言 2072 瀏覽

技術通用標準–評估保證水平（Common Criteria – Evaluation Assurance Level）

. EAL 6/7：該產品基於有限狀態機設計. EAL 4/5/6：該產品基於高凝聚力，低耦合架構開發. EAL 3：在產品工程團隊的支持下對產品進行測試和檢...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-16

0 Like 0 留言 6279 瀏覽

技術我的ISACA考試經驗分享

去年(2018)通過CISSP考試後，覺得CISSP在資訊安全治理及風險管理的領域談得不夠深入，因此決定繼續參加CISM的考試。隨後因金融業的朋友–...

吳文智 (Wentz Wu) ‧ 2020-11-15

1 Like 0 留言 3327 瀏覽

技術特權蠕變（Privilege Creep）＆自由訪問控制（DAC）

範圍蠕變和特權蠕變在項目管理中，範圍爬行意味著“未經授權且不受控制地增加了項目範圍。” （ISO / TR 21506：2018）在安全性方面，特權爬取意味著未...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-13

2 Like 0 留言 9601 瀏覽

技術無線網路安全-邪惡的雙胞胎(Evil Twin) ＆流氓接入點(Rogue Access Point)

作為安全專家，我們應該盡最大努力做出風險意識，明智的決策。竊聽，僅密文攻擊，流氓接入點和邪惡雙胞胎是對無線網絡的常見威脅。我們可以根據風險暴露（不確定性和影響...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-12

1 Like 0 留言 1722 瀏覽

技術 IDS決策(IDS Decisions)

就IDS的準確性而言，觀察到的每個活動都有四種可能的狀態。 . 一個真正的積極狀態(true positive)是當IDS識別的活動作為攻擊和活動實際上是一種攻...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-11

1 Like 0 留言 1280 瀏覽

技術物理訪問控制系統（PACS）-重播攻擊（Replay attack）

下圖演示了針對生物識別系統的九個攻擊點。從傳感器到特徵提取器的生物特徵數據的回放是其中之一。. “社會工程學是人們進行行為或洩露機密信息的心理操縱。” （Wik...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-10

0 Like 0 留言 3375 瀏覽

技術 CISSP新里程碑: ISC2台北分會成立大會

CISSP (Certified Information Systems Security Professional) 自1994年推出以來, 至今已有26年。...

吳文智 (Wentz Wu) ‧ 2020-11-08

0 Like 1 留言 2007 瀏覽

技術 SAML Assertion and OIDC Claim

實體、身份和關聯屬性所謂的實體(entity)是指任何具有身份(identity)的人或東西。例如，一個人、組織、設備或執行中的程式(process)。身份...

吳文智 (Wentz Wu) ‧ 2020-11-07

0 Like 0 留言 1225 瀏覽

技術 SQL injection

SQL注入當程序員連接字符串以彙編SQL指令時，就會發生SQL注入。字符串是純數據，而SQL指令是可執行代碼。用戶可以以HTML形式輸入摘要或SQL代碼片段...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-06

0 Like 0 留言 10670 瀏覽

技術如何報考CISSP?

CISSP考上心得 CISSP簡介 CISSP是一個由美國(ISC)² 所頒發的資安證照，全名是Certified Information Systems Se...

吳文智 (Wentz Wu) ‧ 2020-11-06

0 Like 0 留言 2691 瀏覽

技術目標、策略與風險

目的(Purpose) “目的”是完成或創建某件事或存在某事的原因。（谷歌字典）使命與願景一個組織不會無緣無故地存在。它的成立是為了某些目的(purpo...

吳文智 (Wentz Wu) ‧ 2020-11-04

技術 SOC 1、2和3報告概述(SOC 1, 2, and 3 Reports Overview)

技術 GRC: 高階主管基本功

技術 縱深防禦(Defense in depth)

技術 安全內容自動化協議（SCAP）

技術 軟件測試技術（software testing technique）

技術 CMM和CMMI

技術 CVSS v3.1如何計算其分數（強制性指標）

技術 常見漏洞披露（CVE）及常見弱點枚舉（CWE）

技術 IKE與ISAKMP

技術 在威脅建模中的發現了多個 攻擊向量（attack vectors），要如何操作（優先順序）才能解決攻擊面？

技術 基於XML的標記來描述將呈現為HTML形式的用戶界面元素是聲明性編程範例

技術 最不頻繁地向客戶提供工作軟件(敏捷的角度)-原型設計(Prototyping)

技術 敏捷(Agile)

技術 數據治理(Data Governance)

技術 敏捷思維(Agile Mindset)

技術 系統開發生命週期（SDLC）

技術 安全設計原則（Security Design Principles）

技術 會話密鑰(Session Key)

技術 為什麼CISSP在台灣不被重視?

技術 通用標準–評估保證水平（Common Criteria – Evaluation Assurance Level）

技術 我的ISACA考試經驗分享

技術 特權蠕變（Privilege Creep）＆ 自由訪問控制（DAC）

技術 無線網路安全-邪惡的雙胞胎(Evil Twin) ＆ 流氓接入點(Rogue Access Point)