iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 713 瀏覽

技術 Kerberos-客戶端將使用者 ID 的明文消息發送到代表用戶請求服務的 AS（身份驗證服務器）

-Kerberos 操作（來源：Fulvio Ricciardi）第一個 Kerberos 消息是 AS_REQ，如上圖所示。根據維基百科，“客戶端將用戶 ID...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-13

0 Like 0 留言 654 瀏覽

技術不同代的編程語言具有不同的功能，使用 C 的基於客戶端的應用程序最容易受到緩衝區溢出(buffer overflow)攻擊

-軟體運行環境與 JavaScript、C# 和 Java 不同，C 語言提供編程結構來直接控制硬體並調用操作系統提供的服務。例如，“指針（pointer）”...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-11

0 Like 0 留言 993 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十七)

(二) 委外管理委外大約是1980年代開始的，當時的組織為了節省成本、專注於本身核心業務、有效利用其他便宜的勞動成本、資源、技術等各種原因，會將本身的業務或作業...

kachung ‧ 2022-10-01

0 Like 0 留言 1455 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十六)

一、條文8.1 變更管理及委外管理(一) 變更管理下圖是一個典型變更管理的流程：變更管理的重要性不可言喻，幾次比較重大的資訊安全事件，肇因都是變更管理不善。...

kachung ‧ 2022-09-22

2 Like 0 留言 2433 瀏覽

技術後量子密碼學筆記 - 何謂Post-Quantum Cryptography? 以及為甚麼需要它?

何謂Post-Quantum Cryptography? 後量子密碼學(Post-quantum Cryptography, PQC)，屬於密碼學的研究領域之一...

jerrychen0117 ‧ 2024-06-05

2 Like 0 留言 1776 瀏覽

鐵人賽 Security DAY 1

合規合規，合什麼規？系列第 1 篇

技術 [Day 1] 自我介紹＆文章規劃

前言從上大學前就知道鐵人賽，也看了好幾年大家在鐵人賽的文章，於是想說在大學畢業前參賽一下，算是一種成就（？）由於目前還是學生，對於許多知識的瞭解仍然相當粗淺，...

裸男 ‧ 2022-09-16 ‧團隊那團名要叫什麼？

1 Like 0 留言 993 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十五)

捌、第八章執行這個章節是要按照第六章計畫的處理措施去執行，執行時仍應配合前面所有的條文，可以考量下列事項：• 第六章所決定之風險處理措施可以結合組織日常或通...

kachung ‧ 2022-09-11

0 Like 0 留言 3870 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十四)

五、文件化資訊ISO 27001標準內要求必須文件化的資訊如下：• 資訊管理系統的範圍(4.3)• 資訊安全政策(5.2e)• 風險評估程序(6.1.2)•...

kachung ‧ 2022-09-03

1 Like 0 留言 2450 瀏覽

技術專案管理的資訊安全-以ISO27001及TISAX的要求為例

因為資安事件頻傳，企業對於資訊安全這幾年也越來越重視，更甚而從產業的龍頭大廠要求供應鏈的廠商必須確保企業的資安管理能力，所以ISO27001的資訊安全管理成為管...

allanlo ‧ 2024-01-24

0 Like 0 留言 1818 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十三)

四、溝通這段條文是大多數組織做得最不好的一段，普遍的想法是只要有溝通就好，卻忽略了溝通的項目及管道。如同第四章背景分析還有第六章風險分析，都需要溝通才能獲得正...

kachung ‧ 2022-08-28

0 Like 0 留言 1719 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十二)

三、認知前面有說過資訊安全的基本要素其中之一是人員，人員是最重要也是最難管理的，綜觀所有資訊安全事件，大部分都與人有關。資訊安全不是架設一個防火牆或是安裝防毒...

kachung ‧ 2022-08-24

0 Like 0 留言 1715 瀏覽

技術對CISSP 的一些思考

-Cynefin 框架簡單、輕鬆、直接(Simple, Easy, and Straightforward)**“簡單”是事物的客觀屬性。“容易”是一個人對事...

卓建全(Cho,Chien-Chuan) ‧ 2022-08-15

3 Like 1 留言 3211 瀏覽

技術 2022鐵人賽-誰說資安寫不了情書-實體化

2024年「雨水」剛過的幾天，走進了台北的天瓏門市看到放在天瓏第一排的「誰說資安寫不了情書」沒想到從一開始到此刻，25年就這樣過去了。人生意外到，竟然...

SunAllen ‧ 2024-02-20

0 Like 0 留言 1366 瀏覽

技術軟體定義網路 (Software-Defined Network:SDN) 架構

-SDN 架構（來源：Dargahi、Tooska 等人）網路功能虛擬化 (NFV) 是一個補充 SDN 的概念。它涉及在商用現貨 (COTS) 硬件平台上虛...

卓建全(Cho,Chien-Chuan) ‧ 2022-08-04

0 Like 0 留言 2207 瀏覽

技術資料科學

DIKW Hierarchy (Credit: Drill)何謂資料？資料(data)是事實(facts)的記錄；主要以客體(object)方式存在，沒有相對的...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-27

0 Like 0 留言 1429 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十一)

第七章支援本章節所敘述的內容都是支持一個資訊管理系統運作的事項，在第五章我們獲得高階領導者的支持，建立資訊安全相關的組織，現在我們需要將管理系統實際運作起來，...

kachung ‧ 2022-08-06

0 Like 0 留言 2457 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十)

九、資訊安全目標條文5.2是訂定資訊安全政策，要求組織在政策中必須包含資訊安全目標或訂定目標的框架，條文6.2則詳細敘述目標的架構及要求，不論原先在政策中如何...

kachung ‧ 2022-07-24

0 Like 0 留言 1042 瀏覽

技術評估安全控制以實施無線安全，減少近端串擾 (NEXT) 效果最差效果最差。

-Next End Crosstalk（NEXT）【來源：網絡百科】串擾(Crosstalk)在電子學中，串擾是在傳輸系統的一個電路或通道上傳輸的信號在另一個電...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-20

0 Like 0 留言 938 瀏覽

技術作為安全專業人員，您有責任保護資訊資產。加強資訊安全應首先執行分配資產所有者。

-NIST SDLC 和 RMF執行的典型步驟如下：盤點資訊資產分配資產所有者資產所有者根據業務價值對資產進行分類。評估資產風險根據安全控制框架（如...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-18

1 Like 0 留言 1721 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十九)

五、風險接受將風險處置計畫和殘餘風險的評估提交給組織的管理者以進行接受風險的決策，組織需正式記錄風險接受決策的發布和相關的決策責任，對於未能滿足正常風險接受準...

kachung ‧ 2022-07-11

0 Like 0 留言 881 瀏覽

技術分層(Layering)可以更好地理解這些單元之間的關係，從而使依賴關係清晰，避免不必要的複雜性。

-安全設計原則分類模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-07

0 Like 0 留言 1112 瀏覽

技術軟體開發工具包 (Software development kit ：SDK)是開發一個分佈式軟體系統時，最不可能是構成系統元素。

軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-01

2 Like 0 留言 4028 瀏覽

技術 WAF 網站防火牆一定要裝嗎? 免費與付費 WAF 比較、常見的網路攻擊

WAF 是什麼? WAF (Web Application Firewall)，即是「網站應用程式防火牆」，WAF 透過攔截和監控網站流量同時阻止駭客攻擊和惡意...

yumili ‧ 2022-06-21

0 Like 0 留言 786 瀏覽

技術資料治理（Data Governance）

資料治理計劃通過分配一個負責資料準確性、完整性、一致性、及時性、有效性和唯一性的團隊來提高資料質量。雖然資料治理計劃可以由提高資料質量的願望推動，但它們更多地是...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-19

0 Like 0 留言 1152 瀏覽

技術資訊系統和網路安全

-孔雀作為資訊系統的隱喻系統(System)系統是“為實現一個或多個既定目的而組織起來的相互作用元素的組合”。(ISO/IEC 15288: 2015)“本國...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-13

0 Like 0 留言 1788 瀏覽

技術交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

-圖片來源：socradar紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統，該系統由英國政府的國家基礎設施安全協調中心 (NISCC；現為國家基礎設...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-08

0 Like 0 留言 1078 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十八)

條文6.1.3後面還要求必須要制定一個風險處理計畫，條文本身並未敘述風險處理計畫需要包含甚麼。我們從前後條文來看，風險處理計畫應該要有已選定的風險處理的做法、控...

kachung ‧ 2022-06-07

0 Like 0 留言 1404 瀏覽

技術基於晶格的存取控制（Lattice-based access control）授權機制，以防止特權傳播和控制信息流以確保機密性

-存取控制策略、機制和模型晶格（Lattice）是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成，其中每對元素都有一個唯一的上界（也稱為...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-06

1 Like 0 留言 3025 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十七)

四、風險處理根據事件情景之風險評估標準排定優先順序的風險列表，選擇風險控制以降低、保持、迴避或轉移風險並確定風險處理計劃，最後提交風險處置計畫和殘餘風險給組織...

kachung ‧ 2022-06-03

0 Like 0 留言 1485 瀏覽

技術受保護的可擴展身份驗證協議 (PEAP) 是對 VPN 服務器的客戶端進行身份驗證的最佳身份驗證協議

-VPN 和 EAPVPN 服務器可以在沒有 RADIUS 服務器支持的情況下作為身份驗證服務器運行，RADIUS 服務器與 RADIUS 客戶端（VPN 服務...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-02

技術 Kerberos-客戶端將使用者 ID 的明文消息發送到代表用戶請求服務的 AS（身份驗證服務器）

技術 不同代的編程語言具有不同的功能，使用 C 的基於客戶端的應用程序最容易受到緩衝區溢出(buffer overflow)攻擊

技術 ISO 27001 資訊安全管理系統 【解析】(三十七)

技術 ISO 27001 資訊安全管理系統 【解析】(三十六)

技術 後量子密碼學筆記 - 何謂Post-Quantum Cryptography? 以及為甚麼需要它?

技術 [Day 1] 自我介紹＆文章規劃

技術 ISO 27001 資訊安全管理系統 【解析】(三十五)

技術 ISO 27001 資訊安全管理系統 【解析】(三十四)

技術 專案管理的資訊安全-以ISO27001及TISAX的要求為例

技術 ISO 27001 資訊安全管理系統 【解析】(三十三)

技術 ISO 27001 資訊安全管理系統 【解析】(三十二)

技術 對CISSP 的一些思考

技術 2022鐵人賽-誰說資安寫不了情書-實體化

技術 軟體定義網路 (Software-Defined Network:SDN) 架構

技術 資料科學

技術 ISO 27001 資訊安全管理系統 【解析】(三十一)

技術 ISO 27001 資訊安全管理系統 【解析】(三十)

技術 評估安全控制以實施無線安全，減少近端串擾 (NEXT) 效果最差效果最差。

技術 作為安全專業人員，您有責任保護資訊資產。加強資訊安全應首先執行分配資產所有者。

技術 ISO 27001 資訊安全管理系統 【解析】(二十九)

技術 分層(Layering)可以更好地理解這些單元之間的關係，從而使依賴關係清晰，避免不必要的複雜性。

技術 軟體開發工具包 (Software development kit ：SDK)是開發一個分佈式軟體系統時，最不可能是構成系統元素。