iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 359 瀏覽

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

-虛擬機和 Docker 容器（來源：Diego Terrana）容器化是一種應用程序級的虛擬化技術，它共享相同的操作系統內核，而不是由管理程序管理的基於虛擬機...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-29

1 Like 0 留言 913 瀏覽

技術使用 KubeEye 為你的 K8s 集群安全保駕護航

使用 KubeEye 為你的 K8s 集群安全保駕護航其他 2022-04-24 18:51:30 閱讀次數: 0 作者：KaliArch（薛磊），某Clo...

免费v2ray节点 ‧ 2022-04-25

0 Like 0 留言 1395 瀏覽

技術 CMMC 2.0 之前世今生

美國國防部在 2020 年1月底公布新規範「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱...

kachung ‧ 2022-04-17

0 Like 0 留言 1233 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十一)

(三) 資訊安全風險管理組織架構在執行資訊安全風險管理之前，相關組織、角色及權責應預先設置，相關授權需要明確區分，在設置相關組織時需考量下列事項：• 發展出適合...

kachung ‧ 2022-04-15

0 Like 0 留言 527 瀏覽

技術網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。根據Wikipedia的說法，“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-11

0 Like 0 留言 509 瀏覽

技術組織專案支持過程（Organizational project-enabling processes）

-NIST SP800-160 V1 和 ISO 15288工程是一種方法，它涉及一系列應用知識和技能的過程來理解和管理利益相關者的需求，提出和實施解決...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-08

1 Like 0 留言 782 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十)

衝擊準則：為了充分了解所識別風險，組織應清楚地了解每個風險事件中明顯的後果，這對於衡量這些風險事件、為風險評估其後果和可能性提供資訊至關重要，此過程還將有助...

kachung ‧ 2022-04-07

0 Like 0 留言 488 瀏覽

技術 XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者

XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者。XACML 的策略決策點 (PDP) 通常根據主體、客體和環境的屬性做出授權決策。在可信計...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-06

0 Like 0 留言 895 瀏覽

技術曝露係數(Exposure factor)

-簡單的定量風險分析曝露係數 (EF)曝露係數 (EF) 是在實現特定威脅時對特定資產的主觀、潛在損失百分比。暴露因子是評估風險的人必須定義的主觀值。（維基百科...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-30

1 Like 0 留言 1749 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十九)

二、 ISO 27005 架構ISO 27005資訊安全風險管理架構如下圖：先說明建立全景的步驟：在這個階段我們利用第四章所分析的資訊，建立基本準則、範圍範...

kachung ‧ 2022-03-29

0 Like 0 留言 1305 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十八)

第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險，在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據I...

kachung ‧ 2022-03-25

0 Like 0 留言 552 瀏覽

技術權威認證（Authoritative accreditation）

-NIST SDLC 和 RMF-認證和認可 (C&A)-授權決定認證（Certification）：對資訊系統中的管理、運營和技術安全控制進行全面評估...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-25

0 Like 0 留言 263 瀏覽

技術行政調查（administrative investigation）

-證據大圖行政調查是內部調查。調查（Investigation）調查：調查或研究，檢查與某事有關的事實或材料的系統或正式過程。來源：ISO/IEC 27035...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-23

0 Like 0 留言 1528 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十七)

柒、第六章風險管理這個章節是ISO標準設置來取代以前「預防措施」的概念，在條文中首先強調的是風險與機會的對應，在資訊安全管理系統中很難想像所謂的風險與機會，...

kachung ‧ 2022-03-22

0 Like 0 留言 753 瀏覽

技術調查、證據和取證（Investigation, Evidence, and Forensics）

調查（Investigation）調查：調查或研究，檢查與某事有關的事實或材料的系統或正式過程。來源：ISO/IEC 27035-3:2020 信息技術 — 信...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-21

0 Like 0 留言 1350 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十六)

前述人員並非是資訊安全方面的角色與職掌完整列表，而是可以考慮及參考的基本角色，組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權...

kachung ‧ 2022-03-19

0 Like 0 留言 1955 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十五)

(三) 第5.3條組織角色、責任與職權，高階管理者應該指派有關ISMS之角色、分配相關責任與職權，這些角色將會執行ISMS的相關活動如下：• 整合建立、維護、管...

kachung ‧ 2022-03-12

0 Like 0 留言 406 瀏覽

技術變更管理(Change management )

-不同程度的變化（來源：plutora）變更管理至關重要，但也有開銷。一些例行變更可能會被預先批准，以減少變更管理的開銷。一些緊急情況的變更可以先實施，變更後完...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-10

0 Like 0 留言 474 瀏覽

技術 “使用屬於公共領域的專利算法（Use of a patented algorithm that belongs to the public domain）“是最不受許可要求的約束

公共領域(Public Domain)公共領域包括所有不適用專有知識產權的創造性作品。這些權利可能已過期、被沒收、明確放棄或可能不適用。資料來源：維基百科使用屬...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-07

0 Like 0 留言 922 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十四)

二、資訊安全政策高階管理者必須訂定資訊安全政策，這個政策應與組織高階策略一致，可以從第四章全景分析資料中得到基礎資訊，再利用這些資訊去完善相關資訊安全政策，例...

kachung ‧ 2022-03-07

0 Like 0 留言 1796 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】( 十三)

陸、第五章領導統御成功的ISMS是由上而下實行的，透過考慮利害關係者的要求及採取有效控制措施將營運業務流程的風險降低到可接受的水平，從而在營運目標與資訊安全...

kachung ‧ 2022-03-04

1 Like 0 留言 1904 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十二)

資通安全責任等級依照資通安全責任等級分級辦法，由主管機關核定相對應之等級，按照等級決定導入系統之驗證範圍，例如：A級機關初次受核定或等級變更後之二年內，全部核...

kachung ‧ 2022-03-02

0 Like 0 留言 595 瀏覽

技術 XACML 可擴展存取控制標記語言

-示例 XACML 實現XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X，又名 EAP over LAN，是一種基於 E...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-01

0 Like 0 留言 630 瀏覽

技術 X.509 標準中未定義可分辨編碼規則（Distinguished encoding rules）

PKI 證書編碼(PKI Certificate Encoding)X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是，通常有...

卓建全(Cho,Chien-Chuan) ‧ 2022-02-24

0 Like 0 留言 631 瀏覽

技術配置管理（Configuration management）是編排器（orchestrator ）管理容器化（containerized）應用程序的最關鍵推動力

在部署基於容器的應用程序時，我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施，集成和測試已完成，並且已授予操作授權 (ATO)。使用編排器...

卓建全(Cho,Chien-Chuan) ‧ 2022-02-21

0 Like 0 留言 1009 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(九)

(一) 正式範圍定義的目的範圍定義的目的是準確說明組織所做的事情，範圍說明應準確說明組織所做的事情是否符合標準。範圍的定義比較不適切的敘述如後：「XXX公司的資...

kachung ‧ 2022-02-20

1 Like 0 留言 1489 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(八)

六、訂定資訊安全管理系統適用範圍組織必須確定資訊安全管理系統的邊界和適用性，以確定其範圍。在確定此範圍時，組織應考慮4.1中提到的外部和內部問題；還必須考慮到...

kachung ‧ 2022-02-17

0 Like 0 留言 959 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(七)

(五) 員工我們目前擁有多名員工，分別是管理階層、軟體開發、硬體維護、營業部門、客戶管理及財務和管理，他們的要求如下：公司獲利並提供安全的工作。公司提供安...

kachung ‧ 2022-02-16

0 Like 0 留言 2132 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(六)

五、了解利害關係者的需求和期望組織必須確定與資訊安全管理系統相關的利害關係者及其要求，有關利害關係者的要求可能包括法律、監管要求以及合約義務，必須識別對組織的...

kachung ‧ 2022-02-14

1 Like 0 留言 2078 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(五)

三、建立外部背景外部背景是組織尋求達成目標的外部環境。了解外部背景非常重要，是為了確保在訂定安全風險標準時已考慮外部利害關係者的目標和關切事項。基於組織範圍的...

kachung ‧ 2022-02-13

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

技術 使用 KubeEye 為你的 K8s 集群安全保駕護航

技術 CMMC 2.0 之前世今生

技術 ISO 27001 資訊安全管理系統 【解析】(二十一)

技術 網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

技術 組織專案支持過程（Organizational project-enabling processes）

技術 ISO 27001 資訊安全管理系統 【解析】(二十)

技術 XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者

技術 曝露係數(Exposure factor)

技術 ISO 27001 資訊安全管理系統 【解析】(十九)

技術 ISO 27001 資訊安全管理系統 【解析】(十八)

技術 權威認證（Authoritative accreditation）

技術 行政調查（administrative investigation）

技術 ISO 27001 資訊安全管理系統 【解析】(十七)

技術 調查、證據和取證（Investigation, Evidence, and Forensics）

技術 ISO 27001 資訊安全管理系統 【解析】(十六)

技術 ISO 27001 資訊安全管理系統 【解析】(十五)

技術 變更管理(Change management )