在弓箭手村的資安修練第 8 天,今天村長召集大家開了一場緊急會議,主題是:「如果村莊突然遭遇攻擊、糧倉失火、或是通訊中斷,我們該怎麼辦?」這不是危言聳聽,而是我...
在弓箭手村的資安修練第 7 天,進入了傳說中的「道德殿堂」。這裡沒有病毒、沒有漏洞,只有一條條刻在石碑上的資安誓言──ISC2 的職業道德規範。據說,想成為真正...
在弓箭手村的資安修練第 6 天,被召喚進入村長的作戰會議室,這裡沒有箭矢飛舞,只有滿牆的卷軸與規章──資安的三大聖典:政策(Policy)、程序(Procedu...
在弓箭手村的資安修練第 5 天,進入了村莊的防禦工事區,我們不再只是練習射箭,而是要開始學習如何打造資安防線!據說,資安的控制措施分為三大類型,就像是村莊的三層...
在弓箭手村的資安修練第 4 天,來到村外的「風險荒原」,這裡危機四伏,據說每一個事件的背後,都藏著一個叫做「風險」的魔物。它不會自己出現,但只要威脅和弱點一碰面...
在弓箭手村的資安修練第 3 天,來到了守護村莊的「真相之門」,這裡的試煉不再只是防守,而是要確保每一個動作都能追蹤、每一筆資料都不外洩、每一個進來的人都是真人不...
在《弓箭手村的資安修練:CC認證30天生存日記》的第 2 天,踏進了資安界的三大禁地──CIA 原則。據說,這三個原則是資安世界的「三大守護神」,分別掌管機密性...
在你踏入弓箭手村展開資安修練之前,先來看看這場試煉到底是什麼! 什麼是 ISC2 CC? ISC2 的 CC(Certified in Cybersecurit...
總結 經過 30 天的文章,將 ISC2 CC 的考試大綱主要內容都講解完畢,部分文章的內容後續可能會慢慢補充,這次的鐵人賽主題《30 天取得 ISC2 Cer...
由於主題已經大致結束,現在也正值中秋連假,所以今天大致上就會介紹常見的資安入門證照 iPAS 資訊安全工程師 由經濟部主辦的資安工程師考試,分為初級與中級兩張證...
目的與效益 確保每個員工都知道自身職責,並找出是否有可能對組織造成風險的粗心、不小心、自滿的心理。為了降低部分非技術性的攻擊(如社交工程、釣魚等)的影響,必須告...
所有政策都必須符合組織的監管或契約義務,並盡量簡單明瞭,使一般人能輕易理解,以下為常見的安全相關政策: 資料處理政策 規定資料為公司內部使用、僅限部分角色使用,...
配置管理為流程或規範,確保對系統的任何變更都經過授權與驗證,因此是個決策與控制的過程,這些流程包括了識別、基準線、更新、補丁等部分。 識別:識別系統和其他元件...
日誌與事件監控 日誌(Log)是記錄各種事件以及前兆的主要工具,事件為在系統的任何操作,會導致系統中的元素發生可見的變化。Log 產生儲存與運算的成本,但對於發...
資料處理 任何資料都有自己的生命週期,資料安全生命週期模型定義了人員與組織的資料,從新增到銷毀的過程,主要包含下面六種活動過程: 新增知識,通常為隱性的。 以...
雲端的特性 雲端是指可以按照所需,取得位於任何地方的資源並使用,具有高可用與容易擴增的特性,組織通常會與雲端服務商租用雲端計算資源,好處包括: 資源共享 根據...
自建資料中心 若組織需要資料中心時,可選擇外包的 IDC,或是自行建設,如果採用自行建設時,需要有足夠的土地容納建物,以及需要電力、空調、消防設備以及各種備用資...
威脅預防 更新系統與軟體 停用非必要服務:將系統中沒有被使用的協定或服務關閉,從源頭盡量降低漏洞被利用的風險。 使用 IDS/IPS 使用防毒軟體 使用防火牆...
常見的資安威脅共可分為以下幾種: 欺騙(Spoofing):透過偽造身分進入系統的攻擊,例如偽造 IP、MAC 位址、使用者名稱、WiFi SSID、Emai...
物理連接埠 指的是硬體設備(例如 Router、Switch、電腦等)上的連接埠,例如 Ethernet RJ-45、光纖、Cable 的連接孔。 邏輯連接埠...
網際網路協定(Internet Protocol,IP)目前共分為第四版(IPv4)與第六版(IPv6)版本。 IPv4 IPv4 提供 32 位元的定址空間,...
OSI 模型 OSI 模型由 ISO 與 IEEE 共同制訂的 ISO/IEC 7498:Open Systems Interconnection 標準定義,由...
網路(Network)就是將兩部以上的電腦連接在一起,即可互相傳輸資訊,本篇與未來幾篇將介紹與網路相關的基礎知識,以便後續討論網路安全的相關技術。 網路的類型...
邏輯存取控制為限制他人進入系統,或是進入有形資產或區域的電子方法,例如密碼、在資訊資產上的生物識別系統、有與後端系統(如人資系統)連接同步的讀卡機皆可以算是邏輯...
物理存取控制指的是可以被實際接觸到的項目,可以被用於防止、監控、偵測設施內系統或區域被直接接觸的物理機制。例如保全、為藍、讀卡機、紅外線移動感測器、鎖、監視器等...
特權存取管理 若使用者同時被授與可增、修、查、刪等各種權限,若沒有特權存取管理機制,該使用者每次都入都擁有所有權限,這是不安全的。使用者的特權應該在登入後、操作...
存取控制(Access control)代表根據特定的規則、限制特定的使用者只能存取特定的系統、服務、功能、資訊等資產,達成接受經授權使用者存取、拒絕未經授權使...
名詞解釋 洩密(Breach):機密資料遭到未經授權的存取或揭露,或是有權限的使用者以超出必要的目的存取機密資料。 事件(Event):也被稱為活動事件,為網...
目標 災害復原計畫(Disaster Recovery Plan,DRP)為營運持續計畫(BCP)的延續,在發生災害或重大事件導致業務中斷時,DRP 會對應變人...
目標 使組織能在遇到重大事件導致服務中斷時,仍然可以維持提供最必要、最基礎的服務,以免導致業務停擺、組織癱瘓。其中維持通訊為關鍵的一個部分,需要有多種備用的聯繫...
弓箭手村資安初心者
裸男
iThome鐵人賽
看影片追技術
看更多