iT邦幫忙

isc2 cc相關文章
共有 28 則文章
鐵人賽 Security DAY 18

技術 [Day 18] 威脅種類

常見的資安威脅共可分為以下幾種: 欺騙(Spoofing):透過偽造身分進入系統的攻擊,例如偽造 IP、MAC 位址、使用者名稱、WiFi SSID、Emai...

鐵人賽 Security DAY 3

技術 [Day 3] 身分驗證三原則(AAA、3A)與隱私保護

今天將介紹身分驗證的三大步驟,分別為驗證(Authentication)、授權(Authorization)、稽核(Accounting),由於英文名詞皆為 A...

鐵人賽 Security DAY 1

技術 [Day 1] Certified in Cybersecurity(CC)簡介

前言 由於這幾年資安越來越熱門,市面上急需資安相關人力(注意:是「人力」不是「人才」,大部分老闆只想要便宜的人力,人才是不可能便宜的),但因為在學校很少能學到資...

鐵人賽 Security DAY 19

技術 [Day 19] 威脅預防與工具

威脅預防 更新系統與軟體 停用非必要服務:將系統中沒有被使用的協定或服務關閉,從源頭盡量降低漏洞被利用的風險。 使用 IDS/IPS 使用防毒軟體 使用防火牆...

鐵人賽 Security DAY 23

技術 [Day 23] 資料安全

資料處理 任何資料都有自己的生命週期,資料安全生命週期模型定義了人員與組織的資料,從新增到銷毀的過程,主要包含下面六種活動過程: 新增知識,通常為隱性的。 以...

鐵人賽 Security DAY 2

技術 [Day 2] 資安三大目標 C-I-A

在資訊安全領域中,要怎麼樣定義或是知道資訊安全的目標呢?最常聽見的就是 C-I-A 的概念,C-I-A 分別代表機密性(Confidentiality)、完整性...

鐵人賽 Security DAY 29

技術 [Day 29] 資安入門證照介紹

由於主題已經大致結束,現在也正值中秋連假,所以今天大致上就會介紹常見的資安入門證照 iPAS 資訊安全工程師 由經濟部主辦的資安工程師考試,分為初級與中級兩張證...

鐵人賽 Security DAY 5

技術 [Day 5] 風險管理三步驟

在進行風險管理之前,要先知道風險從哪裡來?會有什麼影響?風險可能存在於組織內部或外部,也可能會影響到自己以外的多個組織。在智財權方面,除了自身智財機密有機會被洩...

鐵人賽 Security DAY 7

技術 [Day 7] 營運持續

目標 使組織能在遇到重大事件導致服務中斷時,仍然可以維持提供最必要、最基礎的服務,以免導致業務停擺、組織癱瘓。其中維持通訊為關鍵的一個部分,需要有多種備用的聯繫...

鐵人賽 Security DAY 13

技術 [Day 13] 邏輯存取控制

邏輯存取控制為限制他人進入系統,或是進入有形資產或區域的電子方法,例如密碼、在資訊資產上的生物識別系統、有與後端系統(如人資系統)連接同步的讀卡機皆可以算是邏輯...

鐵人賽 Security DAY 8

技術 [Day 8] 災害復原

目標 災害復原計畫(Disaster Recovery Plan,DRP)為營運持續計畫(BCP)的延續,在發生災害或重大事件導致業務中斷時,DRP 會對應變人...

鐵人賽 Security DAY 4

技術 [Day 4] 風險管理簡介

「風險」是衡量一個系統、服務或其他實體,受到潛在事件或情況威脅程度的尺規,通常以發生的嚴重性與可能性(likelihood)來綜合評估。以資安風險來說,可能因系...

鐵人賽 Security DAY 17

技術 [Day 17] 連接埠與協定

物理連接埠 指的是硬體設備(例如 Router、Switch、電腦等)上的連接埠,例如 Ethernet RJ-45、光纖、Cable 的連接孔。 邏輯連接埠...

鐵人賽 Security DAY 15

技術 [Day 15] OSI、TCP/IP 網路模型

OSI 模型 OSI 模型由 ISO 與 IEEE 共同制訂的 ISO/IEC 7498:Open Systems Interconnection 標準定義,由...

鐵人賽 Security DAY 6

技術 [Day 6] 安全控制與治理程序

要達成資安防護的目標,最重要的事情就是安全控制(在 ISMS 稱為控制措施),作為系統的保護措施,以達成 CIA 並降低風險至可接受的等級。 物理控制 利用物理...

鐵人賽 Security DAY 10

技術 [Day 10] 存取控制簡介 - 1

存取控制(Access control)代表根據特定的規則、限制特定的使用者只能存取特定的系統、服務、功能、資訊等資產,達成接受經授權使用者存取、拒絕未經授權使...

鐵人賽 Security DAY 30

技術 [Day 30] 總結&心得

總結 經過 30 天的文章,將 ISC2 CC 的考試大綱主要內容都講解完畢,部分文章的內容後續可能會慢慢補充,這次的鐵人賽主題《30 天取得 ISC2 Cer...

鐵人賽 Security DAY 12

技術 [Day 12] 物理存取控制

物理存取控制指的是可以被實際接觸到的項目,可以被用於防止、監控、偵測設施內系統或區域被直接接觸的物理機制。例如保全、為藍、讀卡機、紅外線移動感測器、鎖、監視器等...

鐵人賽 Security DAY 14

技術 [Day 14] 網路簡介

網路(Network)就是將兩部以上的電腦連接在一起,即可互相傳輸資訊,本篇與未來幾篇將介紹與網路相關的基礎知識,以便後續討論網路安全的相關技術。 網路的類型...

鐵人賽 Security DAY 11

技術 [Day 11] 存取控制簡介 - 2

特權存取管理 若使用者同時被授與可增、修、查、刪等各種權限,若沒有特權存取管理機制,該使用者每次都入都擁有所有權限,這是不安全的。使用者的特權應該在登入後、操作...

鐵人賽 Security DAY 16

技術 [Day 16] IP 協定

網際網路協定(Internet Protocol,IP)目前共分為第四版(IPv4)與第六版(IPv6)版本。 IPv4 IPv4 提供 32 位元的定址空間,...

鐵人賽 Security DAY 27

技術 [Day 27] 資安認知教育訓練 - 1

目的與效益 確保每個員工都知道自身職責,並找出是否有可能對組織造成風險的粗心、不小心、自滿的心理。為了降低部分非技術性的攻擊(如社交工程、釣魚等)的影響,必須告...

鐵人賽 Security DAY 9

技術 [Day 9] 事故應變

名詞解釋 洩密(Breach):機密資料遭到未經授權的存取或揭露,或是有權限的使用者以超出必要的目的存取機密資料。 事件(Event):也被稱為活動事件,為網...

鐵人賽 Security DAY 20

技術 [Day 20] 網路安全基礎設施 - 1

自建資料中心 若組織需要資料中心時,可選擇外包的 IDC,或是自行建設,如果採用自行建設時,需要有足夠的土地容納建物,以及需要電力、空調、消防設備以及各種備用資...

鐵人賽 Security DAY 21

技術 [Day 21] 網路安全基礎設施 - 2

雲端的特性 雲端是指可以按照所需,取得位於任何地方的資源並使用,具有高可用與容易擴增的特性,組織通常會與雲端服務商租用雲端計算資源,好處包括: 資源共享 根據...

鐵人賽 Security DAY 25

技術 [Day 25] 配置管理

配置管理為流程或規範,確保對系統的任何變更都經過授權與驗證,因此是個決策與控制的過程,這些流程包括了識別、基準線、更新、補丁等部分。 識別:識別系統和其他元件...

鐵人賽 Security DAY 26

技術 [Day 26] 共同安全政策

所有政策都必須符合組織的監管或契約義務,並盡量簡單明瞭,使一般人能輕易理解,以下為常見的安全相關政策: 資料處理政策 規定資料為公司內部使用、僅限部分角色使用,...

鐵人賽 Security DAY 24

技術 [Day 24] 活動日誌

日誌與事件監控 日誌(Log)是記錄各種事件以及前兆的主要工具,事件為在系統的任何操作,會導致系統中的元素發生可見的變化。Log 產生儲存與運算的成本,但對於發...