iT邦幫忙

資訊安全相關文章
共有 1182 則文章

技術 最高級別的隔離- 第二類類虛擬機器監視器( Type II hypervisor)

-軟體運行環境 與共享資源隔離(Isolation from Sharing Resources)隔離是“將多個軟體實例分開的能力,以便每個實例只能看到並影響自...

鐵人賽 Security DAY 1

技術 鬼故事 這邊有一批設備,有需要打這個電話

[鬼故事] 這邊有一批設備,有需要打這個電話 Credit: 食神 故事開始 以下故事純屬虛構,如有雷同那就雷同 Credit: wikihow 如果你在生活...

技術 保護環0-處理故障

-保護環(來源:維基百科) 保護環:指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels a...

技術 容器化及容器技術(containerization and container technology)

-虛擬機和容器部署(來源:NIST SP 800-190) 虛擬機器監視器(Hypervisor)容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機,無...

技術 在軟體開發項目中使用開源組件,最不關心的是測試覆蓋率

-流行的 F/LOSS 許可證之間的兼容性關係(來源:Carlo Daffara)在評估開源組件時,通常會忽略測試覆蓋率。相反,下載量或口碑起著至關重要的作用。...

技術 及時生產 ( just-in-time)

及時生產 (JIT) 一詞出現在豐田生產系統中。JIT 是一種庫存管理策略,可根據需要或按需訂購庫存。在安全方面,許多活動可以及時進行——例如,身份提供、證書註...

技術 樣本指紋與模型庫中的模板匹配(The sample fingerprint matches the template in the model repository)

-零假設和替代假設(來源:PrepNuggets)原假設和替代假設(Null and Alternative Hypotheses)零假設是假設與正常狀態為零或...

技術 型一錯誤與型二錯誤(Type I error & Type II error)

接受和拒絕以及匹配和不匹配對於生物識別背景下的交流非常有效。我們是否需要將它們與二元分類中使用的 Negative 和 Positive 相關聯?在統計假設檢驗...

技術 威脅建模-DREAD

-Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織? 風險敞口是根據可能性、後果和其他風險因素用貨幣價值、分數或尺度值評估的潛在損失的量度。...

技術 證書籤名請求 (CSR)

您應該生成公鑰和私鑰的密鑰對,並將私鑰保密。CSR 包含有關主題的信息、公鑰、由私鑰簽名以避免欺騙 CSR 的簽名以及其他信息。“CSR 最常見的格式是 PKC...

技術 多線程(Multithreading)

程序是指位於存儲器中的代碼的靜態映像。舊的單 CPU 計算機系統一個一個地加載和執行程序。如果程序花費大量時間等待 I/O 操作完成,這種方式可能會浪費大量寶貴...

技術 將傳統 IPX/SPX 網路連接到 IP 網路,最合適的設備為閘道器

一個網路通過傳輸介質連接兩個或多個節點,共享資源;它有兩種架構視圖:物理視圖和邏輯視圖。網路的邏輯部分在物理層之上工作。邏輯網路由網路層協議表示,例如IP。使用...

技術 組織計劃為建立一個專責的資安部門(安全功能),最不重要的考慮是“安全和隱私安全控制選擇”

-外部和內部分析存在為客戶服務的組織;他們的需要和要求很重要。組織在開始戰略計劃之前進行外部和內部分析或背景和組織分析。同時識別和分析利益相關者或利益相關方。建...

技術 遵守政策的管理制度

-政策框架最高管理層要求加強資訊安全並通過政策表達他們的保護要求。有效的資訊安全涉及人員、流程和技術(PPT)等綜合考慮。處理數字數據的資訊系統只是資訊安全的基...

技術 聲明(claim)

-身份和存取管理典型的身份驗證過程包括三個步驟: 主體向身份提供者 (IdP) 表明其身份。 IdP 根據目錄驗證用戶名和密碼。 如果主題得到驗證,IdP 會...

技術 基於 SAML 的聯合身份管理 (FIM) 以支持單點登錄 (SSO)

來源:安全斷言標記語言 (SAML) V2.0 技術概述如上圖所示:. 一個用戶可以在每個域中擁有一個身份,也可以在多個域之間擁有多個身份。例如,John Do...

技術 業務連續性委員會(Business Continuity Committee)

-董事委員會董事會認為必要時可設立任何委員會。有些委員會通常是法律或法規所要求的,例如審計委員會。但是,大多數董事會級別的委員會都是自願的,並基於業務需要。審計...

技術 強制訪問控制(MAC)- 安全許可(Security clearance)

-安全內核一張圖片勝過千言萬語。訪問控制矩陣可以被視為授權數據(權利和許可)的邏輯“存儲庫”,由對象視角的訪問控制列表和主體視角的能力表組成。它反映了所有者在授...

技術 事務的數據持久性解決方案(the data persistence solution for transactions)

****-資料來源:https : //panoply.io/data-warehouse-guide/data-mart-vs-data-warehouse/...

技術 風險曝險(Risk exposure )

-什麼是風險? ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙 風險給個人、項目或組織帶來的潛在損失[ISO/IEC 16085:2...

技術 成熟度模型( A maturity model)

-CMM 和 CMMI 成熟度水平比較成熟度模型“可以”(而不是應該或必須)定義五個成熟度級別,因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五...

技術 風險評估(Risk Evaluation)

-ISO 31000 本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術,用於確定風險暴露作為風險評估過程的輸...

技術 風險熱度地圖(Risk heat map)

-ISO 31000 “風險評估/分析”是什麼意思?請注意,在 CISSP 考試大綱、OSG 和 NIST 中,風險評估和風險分析被視為同義詞,通常表示為“風險...

技術 0 day 安全筆記 第二章 基本知識 上

OS:XP SP3編譯器: DEV C++ 4.9.9.2 工具:OD (ollydbg)CFF Explorer 實驗目的:了解程式如何儲存資料 #inclu...

技術 0 day 安全筆記 第二章 基本知識 下

OS:XP SP3編譯器: DEV C++ 4.9.9.2 工具:OD (ollydbg) 大家可以去先查詢一下 組合語言(32位元)方面的知識,然後至少要了解...

技術 安全評鑑(Security Assessment)

-ISO 31000 在 ISO 31000 中,風險評鑑包括三個步驟:風險識別、風險分析和風險評鑑;威脅是一種帶來負面影響的風險。在 NIST 的世界中,風險...

技術 0 day 安全筆記 第一章 1.4 crack 小實驗

第一次發文,不知道會不會觸犯版規,如有錯誤歡迎告知,謝謝。 OS:XP SP3編譯器: DEV C++ 4.9.9.2 工具:OD (ollydbg)IDACF...

技術 實施入侵檢測系統以應對安全事件和基於生物識別的存取控制-縱深防禦(Defense-in-depth)

縱深防禦是一種“整合人員、技術和運營能力的資訊安全戰略,以在組織的多個層次和維度之間建立可變的屏障”。(NIST 術語表). 人:提升安全意識. 運營:幫助人力...

技術 企業專有資料進行分類的最佳角色- 資料管家(Data Steward)

專有資料和個人資料(或 PII)是資料治理的重要主題。由於個人資料通常對隱私敏感,因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如,NIST SP 8...

技術 使用證書對代碼進行簽章,以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

-使用私鑰和公鑰對強大的程序集進行簽名和驗證(來源:https://flylib.com/books/en/4.253.1.138/1/)數位簽章可確保不可否認...