技術 [Day 11] 存取控制簡介 - 2

特權存取管理 若使用者同時被授與可增、修、查、刪等各種權限，若沒有特權存取管理機制，該使用者每次都入都擁有所有權限，這是不安全的。使用者的特權應該在登入後、操作...

技術 [Day 10] 存取控制簡介 - 1

存取控制（Access control）代表根據特定的規則、限制特定的使用者只能存取特定的系統、服務、功能、資訊等資產，達成接受經授權使用者存取、拒絕未經授權使...

技術 [Day 9] 事故應變

名詞解釋 洩密（Breach）：機密資料遭到未經授權的存取或揭露，或是有權限的使用者以超出必要的目的存取機密資料。 事件（Event）：也被稱為活動事件，為網...

技術 [Day 8] 災害復原

目標 災害復原計畫（Disaster Recovery Plan，DRP）為營運持續計畫（BCP）的延續，在發生災害或重大事件導致業務中斷時，DRP 會對應變人...

技術 [Day 7] 營運持續

目標 使組織能在遇到重大事件導致服務中斷時，仍然可以維持提供最必要、最基礎的服務，以免導致業務停擺、組織癱瘓。其中維持通訊為關鍵的一個部分，需要有多種備用的聯繫...

技術 [Day 6] 安全控制與治理程序

要達成資安防護的目標，最重要的事情就是安全控制（在 ISMS 稱為控制措施），作為系統的保護措施，以達成 CIA 並降低風險至可接受的等級。 物理控制 利用物理...

技術 [Day 5] 風險管理三步驟

在進行風險管理之前，要先知道風險從哪裡來？會有什麼影響？風險可能存在於組織內部或外部，也可能會影響到自己以外的多個組織。在智財權方面，除了自身智財機密有機會被洩...

技術 [Day 4] 風險管理簡介

「風險」是衡量一個系統、服務或其他實體，受到潛在事件或情況威脅程度的尺規，通常以發生的嚴重性與可能性（likelihood）來綜合評估。以資安風險來說，可能因系...

技術 [Day 3] 身分驗證三原則（AAA、3A）與隱私保護

今天將介紹身分驗證的三大步驟，分別為驗證（Authentication）、授權（Authorization）、稽核（Accounting），由於英文名詞皆為 A...

技術 [Day 2] 資安三大目標 C-I-A

在資訊安全領域中，要怎麼樣定義或是知道資訊安全的目標呢？最常聽見的就是 C-I-A 的概念，C-I-A 分別代表機密性（Confidentiality）、完整性...

技術 [Day 1] Certified in Cybersecurity（CC）簡介

前言 由於這幾年資安越來越熱門，市面上急需資安相關人力（注意：是「人力」不是「人才」，大部分老闆只想要便宜的人力，人才是不可能便宜的），但因為在學校很少能學到資...