iT邦幫忙

資訊安全相關文章
共有 1182 則文章

技術 ISO 27001 資訊安全管理系統 【解析】(三)

參、 管理系統概述品質管理系統應該是所有管理系統的基礎,ISO/TC 176在制訂品質管理系統的標準時,訂定了七大原則(改版前稱為八大定理),這七大原則可以應用...

技術 ISO 27001 資訊安全管理系統 【解析】(二)

三、 威脅是屬於一種外部事件或狀態,對於基本要素會產生破壞,在此節僅針對其特性做一些基本敘述,於後面風險分析的章節會有更詳細的說明。威脅會隨著時間、技術及社會造...

達標好文 技術 ISO 27001 資訊安全管理系統 【解析】(一)

本篇解析斷斷續續寫了將近一年的時間,一直沒有下定決心到底要寫成甚麼樣子,在一些外在因素影響下,終於努力地將它完整寫完,其中內容引用了很多的法規、條文及參考資料,...

技術 因邊界網關協議 ( BGP) 路由配置錯誤導致 DNS 故障而遭受服務中斷,防止此事件的最佳對策-對配置更改實施兩人控制

-一般問題解決過程如果配置由其他工程師仔細檢查,則對配置更改強制執行兩人控制可能會避免該事件。這是一種預防控制。社交媒體服務依賴於 DNS,這需要 BGP 支持...

技術 根據 NIST SP 800-204通訊 (Communication) 是對基於微服務的應用程序是最為獨有的

以下是 NIST SP 800-204 的摘錄:典型的基於微服務的應用程序的部署堆棧中存在六層,如硬體、虛擬化、雲、通信、服務/應用程序和編排。本文件將這些層視...

技術 SPML用於將跨資訊系統之創建和管理實體和屬性的過程自動化

在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。「服務開通」常常出現在有關...

技術 資料控制者(data controller)

-資料和系統所有者將“資料所有者“(data owner)和“資料控制者”(data controller)一視同仁的情況並不少見。然而,事實並非如此。資料控制...

技術 無服務器計算(Serverless computing)支持微服務架構並具有最低管理開銷來部署企業級應用程序的雲服務模型

-使用 AWS 構建無服務器後端微服務通常託管在部署在本地或 PaaS 上的容器中;它們也可以在無服務器後端實現,即功能即服務 (FaaS),與 PaaS 相比...

技術 中央處理單元 (CPU) 的立即尋址(Immediate addressing)模式中,指令本身指定了的運算元

-計算機架構CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器...

技術 使用 802.1X 實施網路存取控制中,讓請求者(supplicant)向身份驗證者(authenticator)進行身份驗證且具有最少的系統管理負擔(overhead)的是PEAP協議

-VPN 和 EAP-EAP 協議比較 803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(...

技術 你正在為明年的年度計畫做準備,『發展全面的(綜合)標的』不是聰明的目標設定

-什麼是管理?-目標和目的目標設定過程可以考慮綜合因素,但目標要具體,並以關鍵指標衡量。在不提供資源的情況下設定目標是不實際的,而且是口頭上的。 管理是實現目標...

技術 數位簽章(digital signature)

-數位簽章使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。. 使用 SHA 生成合約的消息驗證碼,確保數據來源的真實性...

技術 確保資訊安全的有效性,並達到符合性(合規性)要求,應優先遵循組織政策

-政策框架組織應當遵守法律法規。管理團隊應盡職盡責制定或審查政策以滿足法律和監管要求。組織政策與法律或法規不一致並不一定意味著違規。組織政策可能會制定比法律或法...

技術 安全功能(security function)

-治理結構-波特的價值鏈職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成,以支持運營和交付價值。組織級別的安全功能可由任何級別...

技術 風險處置(風險回應)[Risk Treatment (Risk Response)]

-風險處理(風險應對)無論我們實施哪種加密方案,都可以降低風險。ISO 27005 使用術語“風險修正”來表達風險緩解的概念。如果我們決定避免風險,用以太網代替...

技術 盡職調查(due diligence)

-盡職調查和應有注意當談到 CISSP 時,盡職調查 (DD) 的定義是模糊和不一致的。IMO、DD 需要根據上下文定義標準。法律領域的DD標準與金融領域的標準...

技術 強制存取控制環境中強制執行完整性

-CIA作為安全目標在 FISMA 中,真實性和不可否認性是完整性的屬性,即使它們在美國國防部信息保障計劃和美國網路安全政策中與完整性分開。要將文件摘要加密為數...

技術 滲透測試-列舉可用的服務和資源

-滲透測試方法使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序,而是一種常見的做法。 參考. CEH 黑客方...

技術 實施零信任架構以防止橫向移動,XACML最不可能進行身份驗證

-示例 XACML 實現XACML 旨在支持授權,而不是身份驗證。XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策...

技術 RESTful API

用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。HTTPS 強制保...

技術 風險評鑑(risk assessment)

-NIST SDLC 和 RMFNIST RMF 的第一步,Categorize System,通過評估系統處理的資訊類型的高水位來確定係統的影響級別,以便根據...

技術 (ISC)² 道德準則

(ISC)² 道德準則僅適用於 (ISC)² 會員。垃圾郵件發送者的身份不明或匿名,這些垃圾郵件發送者不請自來,吹捧代理考生在 CISSP 考試中作弊。換句話說...

技術 最大可容忍停機時間(MTD)

-業務影響分析 (NIST)支持產品或服務交付的業務流程通常取決於一個或多個資源。作為約束的業務流程的最大可容忍停機時間由業務人員決定,這推動了依賴資源恢復目標...

技術 EDRM(電子發現參考模型)

-電子發現參考模型證據開示,在英美法關係法域中,是訴訟中的一種預審程序,當事人通過民事訴訟法,可以通過詢問、請求等開示手段從對方或多方取得證據用於製作文件、要求...

技術 假名數據(Pseudonymized data)

-化名(Pseudonymization) 假名(Pseudonymized)數據可以通過添加信息恢復到其原始狀態,然後允許重新識別個人,而 匿名(anonym...

徵才 桃園機場公司徵求 資訊夥伴, 邀請您一起加入我們的團隊!

桃園國際機場股份有限公司 產業類別:機場經營業 公司地址:桃園市大園區航站南路9號 公司網址:https://www.taoyuanairport.com.tw...

技術 虛擬機器監視器(Hypervisor)

-虛擬機和容器部署(來源:NIST SP 800-190)虛擬機器監視器(Hypervisor)是虛擬機管理器,如上圖所示。來賓 VM 託管一個單獨的操作系統實...

技術 工業控制系統(ICS)

以下是 NIST SP 800-82 R2 的摘要:控制系統用於許多不同的工業部門和關鍵基礎設施,包括製造、分銷和運輸。工業控制系統(ICS)是包含幾種類型的控...

技術 惡意程式(malware)

蠕蟲可以主動利用網路服務漏洞或被動使用群發郵件來傳播自身。但是,只有當用戶執行附加到電子郵件的惡意代碼時,它才會變為活動狀態。. 病毒不會自我複制;它可以被操作...

技術 電路級(Circuit-level)授權策略不是常見的服務網格授權策略類型

以下是 NIST SP 800-204B 的摘錄:可以通過配置身份驗證和存取控制策略來實施對微服務的細粒度存取控制。這些策略在服務網格的控制平面中定義,映射到低...