iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 1652 瀏覽

技術企業專有資料進行分類的最佳角色- 資料管家(Data Steward)

專有資料和個人資料（或 PII）是資料治理的重要主題。由於個人資料通常對隱私敏感，因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如，NIST SP 8...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-01

0 Like 0 留言 884 瀏覽

技術使用證書對代碼進行簽章，以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

-使用私鑰和公鑰對強大的程序集進行簽名和驗證（來源：https://flylib.com/books/en/4.253.1.138/1/）數位簽章可確保不可否認...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-31

0 Like 0 留言 1222 瀏覽

技術開發一個新的資訊系統,先應首先進行“識別系統處理的資料類型”

-NIST SDLC 和 RMF 對系統進行分類意味著識別其處理的資料類型，以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。安全控...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-29

2 Like 0 留言 3705 瀏覽

技術 OpenSSL

OpenSSL 是一個開源命令行工具，通常用於生成私鑰、創建 CSR、安裝 SSL/TLS 證書以及識別證書信息。我們設計了這個快速參考指南來幫助您了解最常見的...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-28

0 Like 0 留言 1447 瀏覽

技術獲得資訊系統運行授權（authorization）而應首先開發的文件-安全和隱私計劃（Security and privacy plans）

-NIST SDLC 和 RMF資訊系統所有者應準備授權包並將其提交給適當的授權操作（ATO）機構。授權包通常包含：安全和隱私計劃（指導活動/任務）安全...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-27

0 Like 0 留言 1264 瀏覽

技術硬體安全模組 (HSM) 的身份驗證最不相關-職責分離（SOD）

如今，“秘密”（secret）是認證的基礎。我們通常使用密碼（您知道的東西）、令牌中的加密密鑰（您擁有的東西）或帶有 PIN 的 1 對 1 生物特徵識別（您是...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-26

0 Like 0 留言 1522 瀏覽

技術企業內資安與各家雲端安全的產品功能對比

資安功能精細對比這兩三年安全事件竄升，雲端到底安不安全，有甚麼樣的原生功能可以因應，安全的各面向視角是否都能照顧到自身企業環境所需，藉一位資深的資安朋友的力，...

Gary ‧ 2021-07-25

2 Like 0 留言 1082 瀏覽

技術單元測試(Unit testing)

-示例單元測試單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值，伴隨著敏捷方法提出的測試驅動開發（TDD）實踐，極限編程（XP）。也就是說，...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-25

0 Like 0 留言 1200 瀏覽

技術 ISO 31000的風險管理提供了最一般的知識概念並適用於最全面的環境

-什麼是風險？ ISO 31000:2018 提供了有關管理組織面臨的風險的指南。這些指南的應用可以針對任何組織及其環境進行定制。ISO 31000:2018...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-24

0 Like 0 留言 1343 瀏覽

技術 AES（高級加密標準）

-密碼學這兩種DES（數據加密標準）和AES（高級加密標準）是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer，而當前標準 AES 通過開放選...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-23

0 Like 0 留言 822 瀏覽

技術金鑰叢集(Key clustering)

哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些，例如維基百科，可能會在哈希語中使用聚類。在 CISSP 中，聚類特別指密碼使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-22

0 Like 0 留言 879 瀏覽

技術收集和引出軟體開發專業中利害關係人的安全需要(needs)和需求(requirements)

-軟體開發生命週期 (SDLC) – 設計在（需求）分析中引出、收集、分析、指定、記錄、驗證、確認和管理需求。有許多工具和技術可用於需求管理。調查、會議、訪談...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-21

0 Like 0 留言 733 瀏覽

技術數據來源身份真實-CBC-MAC

-密碼學問題是關於確保數據本身的完整性和數據來源的真實性，或者所謂的“真實性”，包括這兩個概念。HMAC 和 CBC-MAC 是強制執行真實性的手段。哈希強制執...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-20

0 Like 0 留言 2104 瀏覽

技術錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)

-來源：(ISC)² 社區在基於生物識別的系統中，靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低，生物識...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-19

0 Like 0 留言 1096 瀏覽

技術存取令牌（Access Token）

. “斷言”（ Assertion）是 SAML（安全斷言標記語言）中使用的術語，相當於 OIDC（OpenID Connect）中的“聲明”。OIDC 將 I...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-18

0 Like 0 留言 850 瀏覽

技術 VPN和EAP

-VPN 和 EAP在 802.1X 中，請求者與身份驗證者通信，身份驗證者將身份驗證消息轉發到身份驗證服務器。請求者不直接向身份驗證服務器進行身份驗證。一般而...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-17

1 Like 0 留言 1410 瀏覽

技術軟體保證成熟度模型（SAMM）-安全冠軍(Security Champion)

-SAMM 概述（來源：https : //owaspsamm.org）軟體保障成熟度模型（SAMM）是一個 OWASP 專案，一個規範模型和一個開放框架，使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-16

0 Like 0 留言 1077 瀏覽

技術資料抽象與封裝(Data Abstraction vs Encapsulation)

人們經常會被資料抽象和封裝混淆，把抽象的概念當作封裝或信息隱藏。事實並非如此。以下定義來自 ISO/IEC/IEEE 24765:2017 系統和軟體工程 —...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-15

0 Like 0 留言 1885 瀏覽

技術 OpenID Connect

OAuth 2.0 指定了存取資源的存取令牌，但它沒有提供提供身份信息（ID Token）的標準方法，這就是 OpenID Connect（ODIC）出現的原因...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-14

0 Like 0 留言 603 瀏覽

技術 RESTful API 操作對數據完整性的影響最小-Get

-RESTful HTTP 方法HTTP 方法/動詞 GET 通常用於檢索數據，這會影響機密性。 HTTP 方法-Semantics of HTTP metho...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-13

0 Like 0 留言 1348 瀏覽

技術 WPA 使用 RC4 作為保密的底層密碼（WPA uses RC4 as the underlying cipher for confidentiality）

. RC4 在 WEP 中用於強制保密。然而，“在 2001 年 8 月，Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-12

0 Like 0 留言 1393 瀏覽

技術 NIST SP 800-63A-身份證明程序(identity proofing procedure)

NIST SP 800-63A 為身份證明程序提供了良好的指導。-身份證明用戶之旅（來源：NIST SP 800-63A）資料來源： Wentz Wu QOT...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-09

1 Like 0 留言 1762 瀏覽

技術 OWASP SAMM-安全冠軍(Security Champion)

-SAMM 概述（來源：https : //owaspsamm.org）文化有不同的背景或層次，例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-08

1 Like 2 留言 1289 瀏覽

技術瀏覽器向 Web 服務器提交用戶密碼最可行的方法-原始密碼(Raw password )

“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是，HTTPS 下的原始密碼更常用，例如 Googl...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-07

0 Like 0 留言 1090 瀏覽

技術治理結構(Governance Structure)-稽核委員會(Audit Committee)

-治理結構(Governance Structure) 稽核委員會(Audit Committee)稽核委員會是組織董事會的一個委員會，負責監督財務報告流程、選...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-06

0 Like 0 留言 934 瀏覽

技術併購(Mergers and acquisitions)-安全評鑑(Security assessment)

-10 步併購清單（來源：CFI Education Inc.）在考慮剝離提議時，進行安全評鑑以評估和改進安全態勢有助於最大化潛在交易的價值。另一方面，安全評...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-05

0 Like 0 留言 1437 瀏覽

技術漏洞管理(Vulnerability Management)

由於管理是實現一個或多個目標的系統方法，我根據維基百科和NIST CSRC 術語表中的定義定義漏洞管理，並將它們擴展如下：漏洞管理是識別、分類、優先排序、修復和...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-04

0 Like 0 留言 781 瀏覽

技術戰略層次(Levels of Strategy)

-戰略層次通常，CEO 負責制定公司戰略或大戰略，董事會的意見和高級管理團隊的支持。CISO 不是製定企業戰略的主要角色，而是與企業戰略保持一致以創造價值並實現...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-03

0 Like 0 留言 2993 瀏覽

技術微服務、容器化和無服務器(Microservices, Containerization, and Serverless)

微服務(Microservices)微服務是一個低耦合的架構，可以通過以下方式實現重構一個單片應用，即，轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-02

0 Like 0 留言 1579 瀏覽

技術可信路徑和可信通道(Trusted Path and Trusted Channel)

-可信路徑和可信通道. 可信計算機系統(Trusted Computer System)具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-01

技術 企業專有資料進行分類的最佳角色- 資料管家(Data Steward)

技術 使用證書對代碼進行簽章，以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

技術 開發一個新的資訊系統,先應首先進行“識別系統處理的資料類型”

技術 OpenSSL

技術 獲得資訊系統運行授權（authorization）而應首先開發的文件-安全和隱私計劃（Security and privacy plans）

技術 硬體安全模組 (HSM) 的身份驗證最不相關-職責分離（SOD）

技術 企業內資安與各家雲端安全的產品功能對比

技術 單元測試(Unit testing)

技術 ISO 31000的風險管理提供了最一般的知識概念並適用於最全面的環境

技術 AES（高級加密標準）

技術 金鑰叢集(Key clustering)

技術 收集和引出軟體開發專業中利害關係人的安全需要(needs)和需求(requirements)

技術 數據來源身份真實-CBC-MAC

技術 錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)

技術 存取令牌（Access Token）