Agenda 資安宣言 測試環境與工具 學習目標 技術原理與程式碼 References 下期預告 資安宣言 撰寫本系列文章目的在於提升資訊安全之實務能力...
強制存取控制是訪問控制策略或要求;這不是一個正式的模型。相反,它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符...
追求高效能的CISSP! CISSP不是黃金證照,它只是資安專業人員的入門磚。建立這個基本的專業要求,是本群組成立的主要宗旨。 基本資安素養 ** Effect...
美國國防部在 2020 年1月底公布新規範 「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱...
費根檢查是一種依靠組檢查方法的正式檢查,即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。. 模糊測試或模糊測試(Fuzzing or fuzz test...
我很喜歡John R. Boatright這本舊教科書《道德與商業行為》。 台灣的中學現在正在推廣資訊安全教育。學生們正在學習資訊安全基本概念以及有關紅藍隊的東...
「我們會在今晚半夜12點,開始結帳,預計2小時完成,完成後,開始做服務切換,預計30分鐘可以完成,所以半夜3點會開始關機,預計30分鐘可以關機完畢。 接著,開始...
NIST SP 800-63A 為身份證明程序提供了良好的指導。-身份證明用戶之旅(來源:NIST SP 800-63A) 資料來源: Wentz Wu QOT...
職位描述是職位設計的輸出之一,它考慮了“分工”的原則,需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一,因為它包含職位的職責和職責。背景調...
即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼,HTTP仍以明文形式傳輸編碼,並依靠HTTPS來實施安全性。密碼(Cipher)和代碼(Cod...
參考監視器是一概念,而不是實現或系統組件。作為操作系統的關鍵組件,參考驗證機制(即橙皮書中的安全內核)是參考監視器概念的實現。安全內核是參考驗證機制的一個實例。...
-ICT SCRM 支柱和可見性(來源:NIST SP 800-161)僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OE...
分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。. 資產的類型很多。數據只是其中之一...
-CVSS 指標組(來源:FIRST)通用漏洞評分系統 (CVSS) 標准定義了三個指標組:基本、時間和環境指標組。基本指標組是強制性的,而時間和環境指標組是可...
OWASP的軟件保障成熟度模型是一個開放框架,可以幫助組織製定和實施針對組織所面臨的特定風險的軟件安全策略。-域8:SAMM-SAMM概述(來源:https :...
「你現在工作,還好嗎?」 『不就工作嗎? 問這麼多幹嘛?』 「怕你又去做傻事啊!」 『老頭啊,誰去做傻事啦? 你要不要說清楚一點? 我那次做的事是傻的?』 「等...
-示例 XACML 實現基於風險和基於屬性的存取控制是授權機制,而不是存取控制策略語言。SAML 是一種用於身份驗證的語言,而不是用於授權的語言。XACML 是...
前述人員並非是資訊安全方面的角色與職掌完整列表,而是可以考慮及參考的基本角色,組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權...
先講筆者的建議及結論:1.無論ISO27001或TISAX都要求「定期」,建議至少一年一次。2.要資安宣導、資安教育訓練等年度計畫,並經管理階層核准及公告。3....
. 根據NIST術語表,安全功能是指系統級別的“系統或系統元素提供的功能” 。. 獨立安全審核的保證是保證功能的一部分。. 信息安全程序的實施實現了信息安全策略...
-密碼學這兩種DES(數據加密標準)和AES(高級加密標準)是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer,而當前標準 AES 通過開放選...
. RC4 在 WEP 中用於強制保密。然而,“在 2001 年 8 月,Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了...
WAF 與 Firewall 差異 常常聽到有人說網站有裝防火牆就夠了啊,為什麼還需要 WAF? 甚至不知道 WAF 是什麼? WAF 與 Firewall 最...
通用標準(ISO 15408)指定了評估IT產品而不是供應商資格的標準。-通用標準評估 FOCI(外國所有權,控制權和影響力)FOCI(外國所有權,控制權和影響...
-化名(Pseudonymization) 假名(Pseudonymized)數據可以通過添加信息恢復到其原始狀態,然後允許重新識別個人,而 匿名(anonym...
Agenda 資安宣言 測試環境與工具 前情提要 技術原理 下期預告 資安宣言 撰寫本系列文章目的在於提升資訊安全之實務能力,並透過實作體悟到資訊安全領域...