常見的資安威脅共可分為以下幾種: 欺騙(Spoofing):透過偽造身分進入系統的攻擊,例如偽造 IP、MAC 位址、使用者名稱、WiFi SSID、Emai...
今天將介紹身分驗證的三大步驟,分別為驗證(Authentication)、授權(Authorization)、稽核(Accounting),由於英文名詞皆為 A...
前言 由於這幾年資安越來越熱門,市面上急需資安相關人力(注意:是「人力」不是「人才」,大部分老闆只想要便宜的人力,人才是不可能便宜的),但因為在學校很少能學到資...
威脅預防 更新系統與軟體 停用非必要服務:將系統中沒有被使用的協定或服務關閉,從源頭盡量降低漏洞被利用的風險。 使用 IDS/IPS 使用防毒軟體 使用防火牆...
資料處理 任何資料都有自己的生命週期,資料安全生命週期模型定義了人員與組織的資料,從新增到銷毀的過程,主要包含下面六種活動過程: 新增知識,通常為隱性的。 以...
在資訊安全領域中,要怎麼樣定義或是知道資訊安全的目標呢?最常聽見的就是 C-I-A 的概念,C-I-A 分別代表機密性(Confidentiality)、完整性...
由於主題已經大致結束,現在也正值中秋連假,所以今天大致上就會介紹常見的資安入門證照 iPAS 資訊安全工程師 由經濟部主辦的資安工程師考試,分為初級與中級兩張證...
在進行風險管理之前,要先知道風險從哪裡來?會有什麼影響?風險可能存在於組織內部或外部,也可能會影響到自己以外的多個組織。在智財權方面,除了自身智財機密有機會被洩...
目標 使組織能在遇到重大事件導致服務中斷時,仍然可以維持提供最必要、最基礎的服務,以免導致業務停擺、組織癱瘓。其中維持通訊為關鍵的一個部分,需要有多種備用的聯繫...
邏輯存取控制為限制他人進入系統,或是進入有形資產或區域的電子方法,例如密碼、在資訊資產上的生物識別系統、有與後端系統(如人資系統)連接同步的讀卡機皆可以算是邏輯...
目標 災害復原計畫(Disaster Recovery Plan,DRP)為營運持續計畫(BCP)的延續,在發生災害或重大事件導致業務中斷時,DRP 會對應變人...
「風險」是衡量一個系統、服務或其他實體,受到潛在事件或情況威脅程度的尺規,通常以發生的嚴重性與可能性(likelihood)來綜合評估。以資安風險來說,可能因系...
物理連接埠 指的是硬體設備(例如 Router、Switch、電腦等)上的連接埠,例如 Ethernet RJ-45、光纖、Cable 的連接孔。 邏輯連接埠...
OSI 模型 OSI 模型由 ISO 與 IEEE 共同制訂的 ISO/IEC 7498:Open Systems Interconnection 標準定義,由...
要達成資安防護的目標,最重要的事情就是安全控制(在 ISMS 稱為控制措施),作為系統的保護措施,以達成 CIA 並降低風險至可接受的等級。 物理控制 利用物理...
存取控制(Access control)代表根據特定的規則、限制特定的使用者只能存取特定的系統、服務、功能、資訊等資產,達成接受經授權使用者存取、拒絕未經授權使...
總結 經過 30 天的文章,將 ISC2 CC 的考試大綱主要內容都講解完畢,部分文章的內容後續可能會慢慢補充,這次的鐵人賽主題《30 天取得 ISC2 Cer...
物理存取控制指的是可以被實際接觸到的項目,可以被用於防止、監控、偵測設施內系統或區域被直接接觸的物理機制。例如保全、為藍、讀卡機、紅外線移動感測器、鎖、監視器等...
網路(Network)就是將兩部以上的電腦連接在一起,即可互相傳輸資訊,本篇與未來幾篇將介紹與網路相關的基礎知識,以便後續討論網路安全的相關技術。 網路的類型...
特權存取管理 若使用者同時被授與可增、修、查、刪等各種權限,若沒有特權存取管理機制,該使用者每次都入都擁有所有權限,這是不安全的。使用者的特權應該在登入後、操作...
網際網路協定(Internet Protocol,IP)目前共分為第四版(IPv4)與第六版(IPv6)版本。 IPv4 IPv4 提供 32 位元的定址空間,...
目的與效益 確保每個員工都知道自身職責,並找出是否有可能對組織造成風險的粗心、不小心、自滿的心理。為了降低部分非技術性的攻擊(如社交工程、釣魚等)的影響,必須告...
名詞解釋 洩密(Breach):機密資料遭到未經授權的存取或揭露,或是有權限的使用者以超出必要的目的存取機密資料。 事件(Event):也被稱為活動事件,為網...
自建資料中心 若組織需要資料中心時,可選擇外包的 IDC,或是自行建設,如果採用自行建設時,需要有足夠的土地容納建物,以及需要電力、空調、消防設備以及各種備用資...
雲端的特性 雲端是指可以按照所需,取得位於任何地方的資源並使用,具有高可用與容易擴增的特性,組織通常會與雲端服務商租用雲端計算資源,好處包括: 資源共享 根據...
配置管理為流程或規範,確保對系統的任何變更都經過授權與驗證,因此是個決策與控制的過程,這些流程包括了識別、基準線、更新、補丁等部分。 識別:識別系統和其他元件...
所有政策都必須符合組織的監管或契約義務,並盡量簡單明瞭,使一般人能輕易理解,以下為常見的安全相關政策: 資料處理政策 規定資料為公司內部使用、僅限部分角色使用,...
日誌與事件監控 日誌(Log)是記錄各種事件以及前兆的主要工具,事件為在系統的任何操作,會導致系統中的元素發生可見的變化。Log 產生儲存與運算的成本,但對於發...