**範圍界定(Scoping)**是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如,如果系統不允許任何兩個人同時登錄,則無需應用並發會話控件...
WAF 與 Firewall 差異 常常聽到有人說網站有裝防火牆就夠了啊,為什麼還需要 WAF? 甚至不知道 WAF 是什麼? WAF 與 Firewall 最...
最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”資料來源:BCM 研究所最大可容忍停機時間 (MTD) 是對信...
先講筆者的建議及結論:1.無論ISO27001或TISAX都要求「定期」,建議至少一年一次。2.要資安宣導、資安教育訓練等年度計畫,並經管理階層核准及公告。3....
第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險,在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據I...
高級管理層是最終負責的後果和底線。但是,活動和任務是根據某些標準(例如,RACI矩陣,負責,負責,諮詢和告知的縮寫)在組織中分配和分配給各種角色和個人的。問責制...
混淆矩陣中的敏感性是評估 IDS 性能的常用方法。. 一旦 IDS 發送警報,就應該對其進行調查和驗證,並且工作量會增加。減少誤報的數量減少了調查工作量。. 然...
冷站點沒有適當的計算機設備,因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比,恢復計算機...
企業通常會進行滲透測試,以驗證現有的安全和隱私控制,並通過發現漏洞和利用漏洞,徹底記錄測試期間執行的所有活動以及提供可操作的結果以及有關可能的補救措施的信息來增...
-CIA作為安全目標在 FISMA 中,真實性和不可否認性是完整性的屬性,即使它們在美國國防部信息保障計劃和美國網路安全政策中與完整性分開。要將文件摘要加密為數...
“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是,HTTPS 下的原始密碼更常用,例如 Googl...
就IDS的準確性而言,觀察到的每個活動都有四種可能的狀態。 . 一個真正的積極狀態(true positive)是當IDS識別的活動作為攻擊和活動實際上是一種攻...
-ISO 31000 在風險管理社區中,人們普遍認為無法消除風險,並且“沒有風險”是不可能的,因為我們可以管理已識別的風險(已知未知數-known unknow...
這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數...
-VLAN組(來源:Cisco Press)VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由...
安全控制是風險處理的一部分,風險評估之後進行。安全控制的範圍是根據風險評估的結果確定的。根據NIST SDLC和ISO 22301,業務影響分析(BIA)不會評...
基線的變更(任何正式批准的變更)均應進行管理。如果選定的安全控制未得到批准,未批准或未設定基線,則無需提交更改請求。-變更管理 變更管理(Change Mana...
敏捷 敏捷心態(AGILE MINDSET)敏捷是一種由價值觀,原則和實踐組成的心態。滿足敏捷思維方式的任何手段通常被稱為敏捷框架,方法,方法或實踐。你給它命名...
用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。HTTPS 強制保...
曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。 以下投影片是 FIPS 199...
App可以使用的情境千百種,但應用程式裡的內容可不是什麼都能讓使用者觸及,尤其是比較重要的資訊,隨便被人看光光,這樣的應用程式真的該被打入地獄! 我們需要將資訊...
程序是指位於存儲器中的代碼的靜態映像。舊的單 CPU 計算機系統一個一個地加載和執行程序。如果程序花費大量時間等待 I/O 操作完成,這種方式可能會浪費大量寶貴...
如今,“秘密”(secret)是認證的基礎。我們通常使用密碼(您知道的東西)、令牌中的加密密鑰(您擁有的東西)或帶有 PIN 的 1 對 1 生物特徵識別(您是...
大家午安 ~昨天我們已經啟用 VPC Flow Log 並且存放到 S3,今天我們會設定 AWS Glue Crawler 自動建立 VPC Log 資料表,以...
-示例 XACML 實現XACML 旨在支持授權,而不是身份驗證。XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策...
-圖片來源:gunther.verheyen 業務人員更了解監管要求和市場,因此IT和安全功能都應與業務需求保持一致,“系統應在經過全面測試後提交認證。”. 監...
昨天我們已經透過 AWS Glue Crawler 自動建立 VPC Log 資料表,並且我們也看到 AWS Glue Crawler 業已依據資料夾切立 Pa...