法案全稱《2002年上市公司會計改革和投資者保護法案》(Public Company Accounting Reform and Investor Protection Act of 2002),由參議院銀行委員會主席沙賓(Paul Sarbanes)和眾議院金融服務委員會主席邁克·歐克斯聯合提出,又被稱作《2002年沙賓・歐克斯法案》。該法案對美國《1933年證券法》《1934年證券交易法》做出大幅修訂,在公司治理、會計職業監管、證券市場監管等方面作出了許多新的規定。
在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。 「服務開通」常常出現在有關虛擬化、編配、效用計算、雲計算和開放式配置的概念和項目的上下文中。例如,結構化信息標準促進組織(Organization for the Advancement of Structured Information Standards,簡稱OASIS)開通服務技術委員會(Provisioning Services Technical Committee,簡稱PSTC),為交換用戶、資源和服務開通信息定義了一個基於可擴展標記語言(Extensible Markup Language,簡稱XML)的框架,例如,用於「在機構內部或之間管理身份信息和系統資源的服務開通和分配」的服務開通標記語言(Service Provisioning Markup Language,簡稱SPML):維基百科
Information Technology Laboratory,縮稱ITL,是NIST七個研究實驗室之一,涵蓋計算機科學,數學,統計學和系統工程等領域。根據網路的文章,ITL實驗室有將近500名研究人員,年預算額近1.5億美元。
ITL底下再細分為七個研究部門
計算機安全部(Computer Security Divsion, CSD)
先進網絡技術部(Advanced Network Technologies Division)
應用和計算數學部( Applied and Computational Mathematics Division)
應用資安部(Applied Cybersecurity Division)
資訊擷取部( Information Access Division) 底下再分為 圖像組(Image Group)、多模式信息組(Multimodal Information Group)、檢索組(Retrieval Group)、可視化和可用性組(Visualization and Usability Group)
FRVT is an ongoing activity, and all evaluations run continuously with no submission deadlines. For the FRVT 1:1, 1:N, and Quality tracks, participants may send ONE submission as often as every four calendar months from the last submission for evaluation. For FRVT MORPH, the number and schedule of submissions is currently not limited, so participants can send submissions at any time. Algorithm submissions will be processed on a first-come first-serve basis for inclusion in subsequent reports.
Missing entries for visa, mugshot and wild images generally mean the algorithm did not run to completion. For child exploitation, missing entries arise because NIST executes those runs only infrequently
The algorithms are ordered in terms of lowest mean rank across mugshot, visa, visa border, and wild datasets, rewarding broad accuracy over a good result on one particular dataset.
這個排行將mugshot, visa, visa border, and wild等資料集的測驗結果排名平均,也就是說,你不一定要每一項都是最好的,你只要整體平均好就好。
The evaluation used four datasets — frontal mugshots, profile views, webcam photos and wild images — and the report lists accuracy results alongside developer names
mugshot、profile、webcam、wild是主要的四個資料集
The primary dataset is comprised of 26.6 million reasonably wellcontrolled live portrait photos of 12.3 million individuals.
資料集的數量大概有2.6千萬張照片、1.2千萬個人
From Fall 2019 this report will be updated continuously as new algorithms are submitted to FRVT, and run on new datasets. Participation in the one-to-many identification track requires a devloper to first demonstrate high accuracy in the one-to-one verification track of FRVT.
In the same way that we’ve seen the science of genetically modified foods get set back 10 years because the public in Europe wouldn’t support it, we need to find a path which gets social license to operate.
舉個例子,假設我是 A 公司,我們公司是做購物網站的,而通常金流這一塊並不會自己做,而是會找其他做金流的廠商合作,在後端去「串接」金流服務商提供的功能,講白話一點就是:「當使用者要付款時,我把使用者導過去金流廠商的頁面,付款完再導回來我們網站」,相信有在網路上購物的大家應該很熟悉這個流程。
在這個過程中,雙方都必須留下紀錄,確保未來發生問題時有證據可以輔助說明。
例如說有天 A 公司突然接到一堆客訴說沒辦法付款,這時 A 公司直接打電話去金流商,罵說你們這什麼爛服務,怎麼突然壞掉,而金流商此時提供了伺服器的 log,說:「沒有啊,我們這邊從今天早上八點開始就沒有你們導過來的紀錄了,應該是你們的問題吧?」,後來 A 公司檢查了自己這邊的服務,確實是因為今天早上的版本更新出了問題而導致,跟金流商一點關係都沒有。
檢查方法:a、開始—運行—輸入msinfo32,依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程路徑、進程ID、文件創建日期、啟動時間等。b、打開D盾_web查殺工具,進程查看,關注沒有簽名信息的進程。c、通過微軟官方提供的Process Explorer 等工具進行排查。d、查看可疑的進程及其子進程。可以通過觀察以下內容:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Strings,10,'|') as EventType, EXTRACT_TOKEN(Strings,5,'|') as user, count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,19,'|') as LoginIp FROM F:\security.evtx where EventID=4625 GROUP BY Strings"
Emanations 流出 and TEMPESTSpontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdropping受 TEMPEST 竊聽的自發“電磁輻射發射”(EMR)
Shoulder Surfing靠肩竊聽
Tailgating尾隨
Piggybacking熟人夾帶
Object Reuse物件重用
Data Remanence資料殘留
Unauthorized Targeted Data Mining未經授權的有針對性的數據挖掘
Dumpster Diving垃圾搜尋
Backdoor後門
Trapdoor暗門
Maintenance Hook維修門
Logic bombs邏輯炸彈
Social Engineering社交工程
Phishing社交工程
PharmingA cyber attack intended to redirect a website’s traffic to another, fake site.網址嫁接(Pharming)是1種重新導向(Re-dircert)的詐騙技巧,由網路釣魚(Phishing)衍生而來,藉由入侵使用者電腦、植入木馬程式(Trojan),或者是利用域名伺服器(Domain Name Server;DNS Server)的漏洞,將使用者錯誤地引導到偽造的網站中,並伺機竊取重要資料。竄改 DNS 造成 DNS Poisoning。
Covert ChannelUnauthorized channel for data transportation
IP Spoofing:IP詐騙IP Spoofing is malicious, while Masquerading is a specific form of Network Address Translation (NAT) and can be valid.
死亡之Ping,(英文:ping of death, POD),是一種向目標電腦發送錯誤封包的或惡意的ping指令的攻擊方式。通常,一次ping大小為32位元組(若考慮IP標頭則為84位元組)。在當時,大部分電腦無法處理大於IPv4最大封包大小(65,535位元組)的ping封包。因此發送這樣大小的ping可以令目標電腦崩潰。
Car Whisperer:Car Whisperer是由歐洲安全研究人員開發的一種軟件工具,該工具利用了汽車中安裝的免提藍牙汽車套件中標準(非隨機)密碼的使用。Car Whisperer軟件允許攻擊者向車載套件發送音頻或從車載套件接收音頻。攻擊者可以將音頻傳輸到汽車的揚聲器或從汽車中的麥克風接收音頻(竊聽)。
拒絕服務 (Denial of Service):與其他無線技術一樣,藍牙容易受到DoS攻擊。影響包括使設備的藍牙接口無法使用以及耗盡設備的電池。這些類型的攻擊並不重要,並且由於使用藍牙所需的接近性,通常只需移開範圍即可輕鬆避免。
用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。 HTTPS 強制保密,但 POST 方法沒有。使用 POST 方法的 HTTP 請求以明文形式傳輸。 API 有一個漏洞,可以在設計階段通過威脅建模儘早識別。 RESTful API RESTful API 通常可以通過基本 URI 訪問,使用標準 HTTP 方法並返回媒體類型。HTTP 請求 GET https://api.WentzWu.com/user/ {username}/{password} 看起來像一個 RESTful API 請求。但是,我們不知道 API 如何返回結果,也不能斷定它是 RESTful。
以下是維基百科關於 RESTful API 的總結: 表現層狀態轉換(REST) 是一種軟體架構風格,旨在指導萬維網架構的設計和開發。REST 已被整個軟件行業採用,並且是一套被廣泛接受的用於創建無狀態、可靠的 Web API 的指南。 遵守 REST 架構約束的 Web 服務 API 稱為 RESTful API。基於 HTTP 的 RESTful API 的定義有以下幾個方面: –基本 URI,例如http://api.example.com/; –標準 HTTP 方法(例如,GET、POST、PUT 和 DELETE); –定義狀態轉換數據元素的媒體類型(例如,Atom、微格式、application/vnd.collection+json、[13]:91-99 等)。當前表示告訴客戶端如何編寫轉換到所有下一個可用應用程序狀態的請求。這可以像 URI 一樣簡單,也可以像 Java 小程序一樣複雜。
表現層狀態轉換(英語:Representational State Transfer,縮寫:REST)是Roy Thomas Fielding博士於2000年在他的博士論文[1]中提出來的一種全球資訊網軟體架構風格,目的是便於不同軟體/程式在網路(例如網際網路)中互相傳遞資訊。表現層狀態轉換是根基於超文字傳輸協定(HTTP)之上而確定的一組約束和屬性,是一種設計提供全球資訊網絡服務的軟體構建風格。符合或相容於這種架構風格(簡稱為 REST 或 RESTful)的網路服務,允許使用者端發出以統一資源標識符存取和操作網路資源的請求,而與預先定義好的無狀態操作集一致化。因此表現層狀態轉換提供了在網際網路的計算系統之間,彼此資源可互動使用的協作性質(interoperability)。相對於其它種類的網路服務,例如SOAP服務,則是以本身所定義的操作集,來存取網路上的資源。
-API 閘道器和服務網格(來源:Liran Katz) 實施 API 閘道器以促進跨境通信;他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端的入站請求路由到適當的服務;內部 API 閘道器促進了各種服務網格範圍之間的通信。服務網格促進特定範圍內的服務到服務通信。 API 閘道器架構可以是整體式的,也可以是分佈式的。 在整體式API 閘道器架構中,通常只有一個 API 閘道器部署在企業網路的邊緣(例如,非軍事區 (DMZ)),並在企業級為 API 提供所有服務。 在分佈式API閘道器架構中,有多個微閘道器實例,部署在更靠近微服務API的地方。微閘道器通常是低的覆蓋區,其可以被用來定義和執行自定義策略,因此適合用於基於微服務的應用程序,必須通過特定的服務的安全策略來保護可腳本API閘道器。 微閘道器通常作為使用 Node.js 等開發平台的獨立容器實現。它不同於服務網格架構的 sidecar 代理,後者是在 API 端點本身實現的。 來源:來源:NIST SP 800-204
使用 Passportal,MSP 可以輕鬆設置密碼要求,並確保客戶能夠在發生 ATO 攻擊時快速更改密碼。該工具還提供了一個自動強密碼生成器,以幫助防止憑據黑客攻擊並防止 ATO 攻擊。如果您正在尋找一種方法來保護客戶免受所有太常見的帳戶接管,請從SolarWinds Passportal的演示開始。
-面向服務的架構 (SOA) 面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA,而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中,這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。
面向服務的架構 (SOA) 服務是一個自包含的松耦合邏輯。在 SOA 中,傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務;服務消費者根據註冊中心查找或發現感興趣的服務以消費(綁定和調用)這些服務。 -SOA 的查找-綁定-執行範式(來源:Qusay H. Mahmoud) “幾年前,IBM、微軟和 SAP 曾經託管公共 UDDI 服務器,但現在已經停產了。” ~ user159088 on stackoverflow -SOA 元模型,The Linthicum Group,2007
微服務 微服務:微服務是一個基本元素,它源於將應用程序的組件架構分解為鬆散耦合的模式,這些模式由自包含的服務組成,這些服務使用標准通信協議和一組定義良好的 API 相互通信,獨立於任何供應商、產品或技術。 微服務是圍繞能力構建的,而不是服務,構建在 SOA 之上,並使用敏捷技術實現。微服務通常部署在應用程序容器內。 資料來源:NIST SP 800-180(草案)
驗證及確認(Verification and validation)兩者是獨立的過程,若兩者一起使用,可以用來檢查產品、服務或系統滿足需求和規格並且符合其原來預期的目的[1]。這些是品質管理系統(例如ISO 9000)的關鍵組件。有時會在「驗證及確認」前面加上「獨立」(independent)一詞,表示驗證及確認是由公正的第三方執行的。「獨立驗證及確認」可以簡稱為「IV&V」。
採用基於 ERM 的流程該屬性衡量組織的風險文化,並考慮執行或董事會級別對企業風險管理的支持程度。
ERM 流程管理該屬性衡量組織在其文化和業務決策中採用 ERM 方法的程度,以及風險管理計劃遵循最佳實踐步驟以識別、評估、評估、減輕和監控風險的程度。
風險偏好管理此屬性評估圍繞風險回報權衡、風險問責制、定義風險容忍度以及組織是否有效縮小潛在風險與實際風險之間的差距的意識水平。
根本原因紀律此屬性評估組織根據來源或根本原因識別風險的程度,以及它們產生的症狀和結果。關注風險的根本原因並相應地對其進行分類將加強響應和緩解工作。
發現風險此屬性衡量風險評估的質量和覆蓋範圍。它檢查收集風險信息的方法、風險評估過程,以及是否可以從風險信息中發現企業範圍的趨勢和相關性。
績效管理該屬性決定了組織執行其願景和戰略的程度。它通過基於風險的流程評估規劃、溝通和衡量核心企業目標的強度,以及進展偏離預期的程度。
業務彈性和可持續性該屬性評估業務連續性、運營規劃和其他可持續性活動採用基於風險的方法的程度。
