iT邦幫忙

資訊安全相關文章
共有 1182 則文章

技術 ISO 27001 資訊安全管理系統 【解析】(三十二)

三、 認知前面有說過資訊安全的基本要素其中之一是人員,人員是最重要也是最難管理的,綜觀所有資訊安全事件,大部分都與人有關。資訊安全不是架設一個防火牆或是安裝防毒...

技術 對CISSP 的一些思考

-Cynefin 框架 簡單、輕鬆、直接(Simple, Easy, and Straightforward)**“簡單”是事物的客觀屬性。“容易”是一個人對事...

技術 ISO 27001 資訊安全管理系統 【解析】(三十一)

第七章 支援本章節所敘述的內容都是支持一個資訊管理系統運作的事項,在第五章我們獲得高階領導者的支持,建立資訊安全相關的組織,現在我們需要將管理系統實際運作起來,...

技術 軟體定義網路 (Software-Defined Network:SDN) 架構

-SDN 架構(來源:Dargahi、Tooska 等人) 網路功能虛擬化 (NFV) 是一個補充 SDN 的概念。它涉及在商用現貨 (COTS) 硬件平台上虛...

技術 資料科學

DIKW Hierarchy (Credit: Drill)何謂資料?資料(data)是事實(facts)的記錄;主要以客體(object)方式存在,沒有相對的...

技術 ISO 27001 資訊安全管理系統 【解析】(三十)

九、 資訊安全目標條文5.2是訂定資訊安全政策,要求組織在政策中必須包含資訊安全目標或訂定目標的框架,條文6.2則詳細敘述目標的架構及要求,不論原先在政策中如何...

技術 評估安全控制以實施無線安全,減少近端串擾 (NEXT) 效果最差效果最差。

-Next End Crosstalk(NEXT)【來源:網絡百科】串擾(Crosstalk)在電子學中,串擾是在傳輸系統的一個電路或通道上傳輸的信號在另一個電...

技術 作為安全專業人員,您有責任保護資訊資產。加強資訊安全應首先執行分配資產所有者。

-NIST SDLC 和 RMF執行的典型步驟如下: 盤點資訊資產 分配資產所有者 資產所有者根據業務價值對資產進行分類。 評估資產風險 根據安全控制框架(如...

技術 ISO 27001 資訊安全管理系統 【解析】(二十九)

五、 風險接受將風險處置計畫和殘餘風險的評估提交給組織的管理者以進行接受風險的決策,組織需正式記錄風險接受決策的發布和相關的決策責任,對於未能滿足正常風險接受準...

技術 分層(Layering)可以更好地理解這些單元之間的關係,從而使依賴關係清晰,避免不必要的複雜性。

-安全設計原則分類模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成...

技術 軟體開發工具包 (Software development kit :SDK)是開發一個分佈式軟體系統時,最不可能是構成系統元素。

軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建...

技術 WAF 網站防火牆一定要裝嗎? 免費與付費 WAF 比較、常見的網路攻擊

WAF 是什麼? WAF (Web Application Firewall),即是「網站應用程式防火牆」,WAF 透過攔截和監控網站流量同時阻止駭客攻擊和惡意...

技術 資料治理(Data Governance)

資料治理計劃通過分配一個負責資料準確性、完整性、一致性、及時性、有效性和唯一性的團隊來提高資料質量。雖然資料治理計劃可以由提高資料質量的願望推動,但它們更多地是...

技術 資訊系統和網路安全

-孔雀作為資訊系統的隱喻 系統(System)系統是“為實現一個或多個既定目的而組織起來的相互作用元素的組合”。(ISO/IEC 15288: 2015)“本國...

技術 交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

-圖片來源:socradar紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統,該系統由英國政府的國家基礎設施安全協調中心 (NISCC;現為國家基礎設...

技術 ISO 27001 資訊安全管理系統 【解析】(二十八)

條文6.1.3後面還要求必須要制定一個風險處理計畫,條文本身並未敘述風險處理計畫需要包含甚麼。我們從前後條文來看,風險處理計畫應該要有已選定的風險處理的做法、控...

技術 基於晶格的存取控制(Lattice-based access control)授權機制,以防止特權傳播和控制信息流以確保機密性

-存取控制策略、機制和模型晶格(Lattice)是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成,其中每對元素都有一個唯一的上界(也稱為...

技術 ISO 27001 資訊安全管理系統 【解析】(二十七)

四、 風險處理根據事件情景之風險評估標準排定優先順序的風險列表,選擇風險控制以降低、保持、迴避或轉移風險並確定風險處理計劃,最後提交風險處置計畫和殘餘風險給組織...

技術 受保護的可擴展身份驗證協議 (PEAP) 是對 VPN 服務器的客戶端進行身份驗證的最佳身份驗證協議

-VPN 和 EAPVPN 服務器可以在沒有 RADIUS 服務器支持的情況下作為身份驗證服務器運行,RADIUS 服務器與 RADIUS 客戶端(VPN 服務...

技術 ISO 27001 資訊安全管理系統 【解析】(二十六)

風險等級分析根據事件情景清單,及其對資產和營運過程的後果和可能性(定性的或定量的),對所有相關的事件情景進行風險級別評估,考量對風險的可能性和後果進行賦值、基...

技術 ISO 27001 資訊安全管理系統 【解析】(二十五)

情景發生可能性分析分析完後果之後再來分析可能性,透過已識別的相關事件情景清單、現有和計畫的控制措施清單以及控制措施的有效性、實施和使用狀態進行分析。考慮威脅發...

技術 ISO 27001 資訊安全管理系統 【解析】(二十四)

(二) 風險分析ISO 27005從一開始就強調不是方法論,此標準只是資訊安全風險管理指引,所以方法論還是要由組織自行決定。方法論區分定性法及定量法,目前大都採...

技術 誤用案例測試(Misuse case testing)最不可能包含在軟體整合測試(integration test)中

-代碼倉庫:git顧名思義,整合測試結合了代碼單元、模組或子系統並對其進行測試。在託管代碼儲存庫的服務器上進行整合測試是很常見的,例如 git 服務器。在持續整...

技術 ISO 27001 資訊安全管理系統 【解析】(二十三)

識別情景結合前面所有的資訊,我們可以將威脅利用弱點損害資產的機密性、可用性及完整性的情景重建與識別,以利進行後續的評估,從資產與企業運作流程中去識別潛在的威脅...

技術 ISO 27001 資訊安全管理系統 【解析】(二十二)

識別威脅在前面的概論中,我們知道威脅是外來的,他必須配合資產才會產生風險,所以資產與威脅是相互之間的關係。上一個步驟中我們找到資產清單,利用資產清單,可以找到...

技術 死結(Deadlock)是開發人員進行結對編程(pair programming)時,是最難發現的問題。

-XP 實踐(來源:https ://twitter.com/CharlotteBRF )結對編程是眾所周知的極限編程 (XP) 實踐之一。這也是一種實時代碼審...

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

-虛擬機和 Docker 容器(來源:Diego Terrana)容器化是一種應用程序級的虛擬化技術,它共享相同的操作系統內核,而不是由管理程序管理的基於虛擬機...

技術 使用 KubeEye 為你的 K8s 集群安全保駕護航

使用 KubeEye 為你的 K8s 集群安全保駕護航 其他 2022-04-24 18:51:30 閱讀次數: 0 作者:KaliArch(薛磊),某Clo...