活動 【Microcloud 桌面雲，中小企業促銷包】線上說明會

技術 範圍和裁縫(Scoping and Tailoring)

**範圍界定(Scoping)**是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如，如果系統不允許任何兩個人同時登錄，則無需應用並發會話控件...

技術 WAF 網站應用程式防火牆與傳統防火牆 Firewall 差異

WAF 與 Firewall 差異 常常聽到有人說網站有裝防火牆就夠了啊，為什麼還需要 WAF? 甚至不知道 WAF 是什麼? WAF 與 Firewall 最...

技術 最大可容忍停機時間 (MTD)

最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”資料來源：BCM 研究所最大可容忍停機時間 (MTD) 是對信...

技術 企業資訊安全認知及教育訓練的規劃與執行-ISO27001與TISAX要求整理及建議

先講筆者的建議及結論：1.無論ISO27001或TISAX都要求「定期」，建議至少一年一次。2.要資安宣導、資安教育訓練等年度計畫，並經管理階層核准及公告。3....

技術 ISO 27001 資訊安全管理系統 【解析】(十八)

第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險，在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據I...

技術 資訊安全是....

今天處理一位離職員工，才發現原來資訊安全是無效的，因為為多家子公司員工在一處辦公，但是當初規劃資訊安全時，即然只有針對其中的一家公司，但是部份主機資料卻是共用的...

yehking ‧ 2014-09-19

技術 數據及系統所有者（data and system owner）

高級管理層是最終負責的後果和底線。但是，活動和任務是根據某些標準（例如，RACI矩陣，負責，負責，諮詢和告知的縮寫）在組織中分配和分配給各種角色和個人的。問責制...

技術 IDS 的檢測閾值(The detection threshold of IDS)

混淆矩陣中的敏感性是評估 IDS 性能的常用方法。. 一旦 IDS 發送警報，就應該對其進行調查和驗證，並且工作量會增加。減少誤報的數量減少了調查工作量。. 然...

技術 替代網站(Alternative Sites)- 冷站點的最大好處

冷站點沒有適當的計算機設備，因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比，恢復計算機...

技術 NIST SP 800-53A（附錄E：滲透測試）

企業通常會進行滲透測試，以驗證現有的安全和隱私控制，並通過發現漏洞和利用漏洞，徹底記錄測試期間執行的所有活動以及提供可操作的結果以及有關可能的補救措施的信息來增...

技術 強制存取控制環境中強制執行完整性

-CIA作為安全目標在 FISMA 中，真實性和不可否認性是完整性的屬性，即使它們在美國國防部信息保障計劃和美國網路安全政策中與完整性分開。要將文件摘要加密為數...

技術 瀏覽器向 Web 服務器提交用戶密碼最可行的方法-原始密碼(Raw password )

“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是，HTTPS 下的原始密碼更常用，例如 Googl...

技術 IDS決策(IDS Decisions)

就IDS的準確性而言，觀察到的每個活動都有四種可能的狀態。 . 一個真正的積極狀態(true positive)是當IDS識別的活動作為攻擊和活動實際上是一種攻...

技術 零風險（zero risks）

-ISO 31000 在風險管理社區中，人們普遍認為無法消除風險，並且“沒有風險”是不可能的，因為我們可以管理已識別的風險（已知未知數-known unknow...

技術 數據操作語言（Data manipulation language）

這個問題描述了常見的SQL注入場景，該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數...

技術 劫持用戶會話（hijack user sessions）

-VLAN組（來源：Cisco Press）VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由...

技術 NIST SDLC和RMF

安全控制是風險處理的一部分，風險評估之後進行。安全控制的範圍是根據風險評估的結果確定的。根據NIST SDLC和ISO 22301，業務影響分析（BIA）不會評...

技術 變更管理（Change Management）

基線的變更（任何正式批准的變更）均應進行管理。如果選定的安全控制未得到批准，未批准或未設定基線，則無需提交更改請求。-變更管理 變更管理(Change Mana...

技術 敏捷(Agile)

敏捷 敏捷心態(AGILE MINDSET)敏捷是一種由價值觀，原則和實踐組成的心態。滿足敏捷思維方式的任何手段通常被稱為敏捷框架，方法，方法或實踐。你給它命名...

技術 RESTful API

用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌，以便它可以訪問 API 服務器。HTTPS 強制保...

技術 CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而，FISMA和FIPS 199明確而準確地區分了兩者。 以下投影片是 FIPS 199...

技術 應用程式也是有分級~開放權限怎麼做

App可以使用的情境千百種，但應用程式裡的內容可不是什麼都能讓使用者觸及，尤其是比較重要的資訊，隨便被人看光光，這樣的應用程式真的該被打入地獄! 我們需要將資訊...

Mel ‧ 2020-10-01

技術 心洞年代-14

『小溫，你去門口看看，是不是有人進來。』 「真好笑，你為什麼不去看?」 『那你等等，我去看一下......』 「Peter 等一下啦，你去看，那這邊不就剩我一個...

SunAllen ‧ 2018-10-14

技術 多線程（Multithreading）

程序是指位於存儲器中的代碼的靜態映像。舊的單 CPU 計算機系統一個一個地加載和執行程序。如果程序花費大量時間等待 I/O 操作完成，這種方式可能會浪費大量寶貴...

技術 硬體安全模組 (HSM) 的身份驗證最不相關-職責分離（SOD）

如今，“秘密”（secret）是認證的基礎。我們通常使用密碼（您知道的東西）、令牌中的加密密鑰（您擁有的東西）或帶有 PIN 的 1 對 1 生物特徵識別（您是...

技術 【Day 18】 實作 - 透過 AWS 服務 Glue Crawler 自動建立 VPC Log 資料表

大家午安 ~昨天我們已經啟用 VPC Flow Log 並且存放到 S3，今天我們會設定 AWS Glue Crawler 自動建立 VPC Log 資料表，以...

Dorothy ‧ 2021-10-02

技術 實施零信任架構以防止橫向移動，XACML最不可能進行身份驗證

-示例 XACML 實現XACML 旨在支持授權，而不是身份驗證。XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策...

技術 瀑布(Waterfall)& 敏捷(Agile)

-圖片來源：gunther.verheyen 業務人員更了解監管要求和市場，因此IT和安全功能都應與業務需求保持一致，“系統應在經過全面測試後提交認證。”. 監...

技術 【Day 19】 實作 - 透過 AWS 服務 Glue Job 調整 Partition 以及檔案格式

昨天我們已經透過 AWS Glue Crawler 自動建立 VPC Log 資料表，並且我們也看到 AWS Glue Crawler 業已依據資料夾切立 Pa...

Dorothy ‧ 2021-10-03