-NIST SDLC 和 RMF-認證和認可 (C&A)-授權決定認證(Certification):對資訊系統中的管理、運營和技術安全控制進行全面評估...
此文章來至Wentzwu網站QOTD 20211107,文章如下:-安全核心在自主訪問模型 (DAC) 中,數據所有者負責保護委託數據、對其進行分類,並根據需要...
-數字身份模型(來源:NIST SP 800 63-3)“秘密”是用於驗證主體身份的最關鍵元素。一個認證是秘密的載體,例如,密碼,在你的大腦記憶(你知道的),私...
-Kerberos 操作(來源:Fulvio Ricciardi)第一個 Kerberos 消息是 AS_REQ,如上圖所示。根據維基百科,“客戶端將用戶 ID...
-保護環(來源:維基百科) 保護環:指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels a...
在進行風險管理之前,要先知道風險從哪裡來?會有什麼影響?風險可能存在於組織內部或外部,也可能會影響到自己以外的多個組織。在智財權方面,除了自身智財機密有機會被洩...
-軟體運行環境 與 JavaScript、C# 和 Java 不同,C 語言提供編程結構來直接控制硬體並調用操作系統提供的服務。例如,“指針(pointer)”...
網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。根據Wikipedia的說法,“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服...
-NIST SP800-160 V1 和 ISO 15288工程 是一種方法,它涉及一系列應用知識和技能的過程來理解和管理利益相關者的 需求,提出和實施 解決...
資訊安全(Information Security)是一個廣泛的領域,它關注的是保護數據、資訊和通信系統免受未經授權的訪問、損壞、竊取或破壞的威脅和攻擊。資訊安...
-API 閘道器和服務網格(來源:Liran Katz)實施 API 閘道器以促進跨境通信;他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端...
XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者。XACML 的策略決策點 (PDP) 通常根據主體、客體和環境的屬性做出授權決策。在可信計...
目標的概念: 目標驅動組織所有活動,以實現美好未來。 目標是未來狀態的具體(SMART)描述;沒有目標就沒有未來。 進度(progress)是當下與目標的距離...
任意文件上傳漏洞 今天要介紹的就是任意文件上傳漏洞:這是一種在CTF比賽中頗為常見的牽涉的安全漏洞之一。如同其名,這種漏洞能讓我們上載任意文件到網頁的伺服器中,...
公共領域(Public Domain)公共領域包括所有不適用專有知識產權的創造性作品。這些權利可能已過期、被沒收、明確放棄或可能不適用。資料來源:維基百科使用屬...
-側信道攻擊 側信道攻擊(Side-channel attack)只需在設備或系統附近放置天線、磁探頭或其他傳感器,即可利用側信道。這允許攻擊者測量功耗、電壓波...
PHP代碼注入漏洞 這是一種非常常見的網絡安全漏洞。一般成因是應用程式對於用戶輸入的處理不當,以致用戶輸入的內容沒有經過足夠嚴格的驗證及過濾、使用者提供的PHP...
「風險」是衡量一個系統、服務或其他實體,受到潛在事件或情況威脅程度的尺規,通常以發生的嚴重性與可能性(likelihood)來綜合評估。以資安風險來說,可能因系...
-通用標準評估TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統,而不適用於特定的軟體組件。此外,它已經過時了。可信計算機系統評估標準...
上一篇跟大家介紹了 NFV 技術,可以先去複習一下~這篇接著來介紹與 NFV 關係密不可分的 SDN 吧! 網路已經成為我們生活和工作的核心,隨著網路服務與巨量...
思考的問題 如何保護網路安全? 在這個網際網路時代,絕大多數的攻擊手法都透過網路進行。因此,網路安全通常被視為保障資訊安全的首要要務。保護網路安全的常見作法包含...
-不同程度的變化(來源:plutora)變更管理至關重要,但也有開銷。一些例行變更可能會被預先批准,以減少變更管理的開銷。一些緊急情況的變更可以先實施,變更後完...
最近聽到美國要求國內部分企業導入CMMC,部分單位正在協助企業實施自我評估作業,對於CMMC國內企業有太多的疑問,我整理了一些常見的問題,協助大家更加了解CMM...
此文章來至Wentzwu網站QOTD 20111108,文章如下:-ISO OSI 參考模型 零信任原則需要細粒度的身份驗證,這涉及多個身份驗證層。在開始存取資...
-計算機架構 作為解決方案最重要的工件,架構是一個對象(解決方案)從各種觀點或角度的概念、邏輯和物理表示,它確定了它的構建塊、關係、交互、邊界、接口、環境和上下...
-戰略調整 安全功能不是業務功能的孤島。正如CISSP 考試大綱所述,如上所示,資訊安全策略應與其他業務職能部門協作,並與業務和組織的使命、目標和戰略保持一致。...
-虛擬機和 Docker 容器(來源:Diego Terrana)容器化是一種應用程序級的虛擬化技術,它共享相同的操作系統內核,而不是由管理程序管理的基於虛擬機...
資訊安全是一門透過安全管制措施,保護資產免於受到危害,以達到機密性、完整性、可用性的目標,進而支持組織業務、創造價值、實現組織使命與願景的一門學問。 資安要「支...
NFV(網路功能虛擬化)和 SDN(軟體定義網路)是兩種不同但密切相關的網路技術。 這篇主要來解釋兩者的關係,以及在資安中的疑慮。 本篇大綱一、NFV 簡述...
JCAATs技術百科012:搜尋函式使用說明 @find() §JCAATs函式區分為搜尋函式、文字函式、日期函式、數學函式及財金函式等,透過技術百科,可以協助...