iT邦幫忙

資訊安全相關文章
共有 761 則文章

技術 CISSP新里程碑: ISC2台北分會成立大會

CISSP (Certified Information Systems Security Professional) 自1994年推出以來, 至今已有26年...

技術 The Effective CISSP考試攻略

考試的難易 一個好的考試,通常會讓你準備的很辛苦!但通過考試後會讓你一直駡,怎麼考出來的題目沒有想像中難!但這就是一個好的考試!這種考試通常有一定的門檻及鑑別度...

鐵人賽 自我挑戰組 DAY 13

技術 『 Day 13』Web Security - A10 . 紀錄與監控不足風險

A10 - Insufficient Logging & Monitoring 紀錄與監控不足風險 即便你做好萬全的準備來防止攻擊者來入侵你的服務,但這...

鐵人賽 Security DAY 6

技術 那些年我們一起追的資安影集與電影 : Day 5

Live殺人網站(Untraceable) 資料來源:維基百科 Live殺人網站 Live殺人網站(Untraceable)是在20...

鐵人賽 自我挑戰組 DAY 22

技術 『 Day 22』密碼卷宗 現代篇 非對稱章 - 介紹

啊~ 最近很懶 .... 讓我來拖稿一下啦~ {非對稱式加密系統} 對稱式金鑰密碼技術是基於分享的祕密,非對稱式金鑰密碼技術是基於個人的祕密 在「對稱式金鑰...

技術 無線網路安全-邪惡的雙胞胎(Evil Twin) & 流氓接入點(Rogue Access Point)

作為安全專家,我們應該盡最大努力做出風險意識,明智的決策。竊聽,僅密文攻擊,流氓接入點和邪惡雙胞胎是對無線網絡的常見威脅。我們可以根據風險暴露(不確定性和影響...

技術 Wentz的風險模型

Wentz的風險模型 (Wentz’s Risk Model)結合了孔雀模型(Peacock Mode)、洋蔥模型(Onion Model)、戒指模型(Rin...

技術 SQL injection

SQL注入 當程序員連接字符串以彙編SQL指令時,就會發生SQL注入。字符串是純數據,而SQL指令是可執行代碼。 用戶可以以HTML形式輸入摘要或SQL代碼片...

技術 我的ISACA考試經驗分享

去年(2018)通過CISSP考試後,覺得CISSP在 資訊安全治理 及 風險管理 的領域談得不夠深入,因此決定繼續參加CISM的考試。隨後因金融業的朋友–­...

技術 國軍網路戰聯隊軍士官遭調查局偵辦,攻防演練與竊取將領個資成謎

新聞來源自本網站新聞 國軍網路戰聯隊軍士官遭調查局偵辦,攻防演練與竊取將領個資成謎 真是衰姣,自己有漏洞不修, 等著讓人入侵還怪別人攻擊 演習時找出的漏洞,仍然...

技術 SAML Assertion and OIDC Claim

實體、身份和關聯屬性 所謂的實體(entity)是指任何具有身份(identity)的人或東西。例如,一個人、組織、設備或執行中的程式(process)。身份...

技術 IP資料單元(Datagram)或封包(Packet)?

封裝(Encapsulation)和協定的資料單位(PDU) 大家普遍認為(特別是在Cisco/CCNA課程中),IP協定對應至ISO開放系統連接架構的參考網...

鐵人賽 Security DAY 5

技術 那些年我們一起追的資安影集與電影 : Day 4

駭客軍團(Mr. Robot) Part II 資料來源:IMDB 駭客軍團 駭客軍團為2015年6月在美國USA電視台開播的電視劇...

技術 目標、策略與風險

目的(Purpose) “目的”是完成或創建某件事或存在某事的原因。(谷歌字典) 使命與願景 一個組織不會無緣無故地存在。它的成立是為了某些目的(purpo...

鐵人賽 自我挑戰組 DAY 19

技術 『 Day 19』密碼卷宗 古典篇 - Caesar & Vigenere

原本要把數論篇分為上、中和下,三篇。但好像大家都不喜歡看數論 QAQ 古典密碼學 加法加密法/位移加密法/凱薩加密法 加密 將明文向右位移n位(n為...

技術 會話密鑰(Session Key)

會話密鑰可以用於在建立會話之後或在身份驗證之後根據需要確保機密性和完整性。因此,主體的會話密鑰最不可能是主體向接入點(AP)進行身份驗證所必需的 會話鍵(Ses...

技術 IDS決策(IDS Decisions)

就IDS的準確性而言,觀察到的每個活動都有四種可能的狀態。 . 一個真正的積極狀態(true positive)是當IDS識別的活動作為攻擊和活動實際上是一種攻...

技術 安全設計原則(Security Design Principles)

安全設計原則 NIST SP 800-160V1引入了三類安全設計原則: 1.安全架構與設計 2.安全能力和內在行為 3.生命週期安全 高效中介訪問,模塊化和...

技術 通用標準–評估保證水平(Common Criteria – Evaluation Assurance Level)

. EAL 6/7:該產品基於有限狀態機設計 . EAL 4/5/6:該產品基於高凝聚力,低耦合架構開發 . EAL 3:在產品工程團隊的支持下對產品 進行測...

技術 敏捷(Agile)

敏捷 敏捷心態(AGILE MINDSET) 敏捷是一種由價值觀,原則和實踐組成的心態。滿足敏捷思維方式的任何手段通常被稱為敏捷框架,方法,方法或實踐。你給它...

鐵人賽 Security DAY 6

技術 先安內後壤外:內部風險控制的選擇與排序

OK,寫到今天我發現好多東西漏掉沒有提到的,真的不好意思,其中之一就是今日主軸:風險(Risk) 合理的安全管理可以將公司組織的風險降低到一個可以接受的程度...

鐵人賽 Security DAY 22

技術 [Day 22] SANS? GIAC? 傻傻分不清楚

第12天與第13天的時候,稍微介紹到GIAC資安證照和SANS,到底SANS和GIAC間有什麼關係呢?他們的網站有什麼學習與CPE學分資源? GIAC Cer...

鐵人賽 Security DAY 1

技術 做資安往哪走: 企業實況場景閒聊

「王處長,我們的資安做的怎麼樣?」 面對老總的詢問,王處長一臉疑惑但仍故作鎮定:「報告總經理,我們的系統到目前沒有被駭客攻陷過,電腦都有防毒軟體,也有架設防火牆...

技術 最不頻繁地向客戶提供工作軟件(敏捷的角度)-原型設計(Prototyping)

這個問題問的是“最不頻繁”。原型不是有效的軟件。它們不會交付給客戶用於生產目的,並且從敏捷的角度來看不會增加任何價值。 頻繁交付工作軟件是敏捷原則之一: ....

技術 如何報考CISSP?

CISSP考上心得 CISSP簡介 CISSP是一個由美國(ISC)² 所頒發的資安證照,全名是Certified Information Systems S...

技術 系統開發生命週期(SDLC)

SDLC定義了工程系統時的階段和過程。由於系統的多樣性,它通常不提供特定的設計原則。 系統開發生命週期(SDLC) 第5版CISSP CBK參考中介紹了Sal...

鐵人賽 Software Development DAY 17

技術 應用程式也是有分級~開放權限怎麼做

App可以使用的情境千百種,但應用程式裡的內容可不是什麼都能讓使用者觸及,尤其是比較重要的資訊,隨便被人看光光,這樣的應用程式真的該被打入地獄! 我們需要將資訊...

技術 零信任即存取控制2.0 (Zero Trust as Access Control 2.0)

零信任(Zero Trust) 這個名詞已經出現了十年。如果您使用Google進行搜索,則會有大量的文章和定義。整合Kindervag, CSA, Gartn...

技術 常見漏洞披露(CVE)及常見弱點枚舉(CWE)

圖片來源:Bitsorbit CVE列表是指特定產品或系統中已識別的漏洞。與未發現或未知的漏洞相比,它們更為重要和緊急。首先應執行重要而緊迫的任務。 CWE列...

技術 數據治理(Data Governance)

在數據治理程序中,有一些常見的角色,例如數據所有者,數據管理員,數據保管人等。數據所有者應對其擁有的數據負責。 . 一個數據所有者,通常是在成員管理團隊,負責...