即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼,HTTP仍以明文形式傳輸編碼,並依靠HTTPS來實施安全性。
密碼(Cipher)和代碼(Codes)不同。從字面上看,代碼取決於代碼簿(codebook)的保密性,而不是取決於密鑰的混淆。Base64使用公共映射表。
哈希或消息身份驗證代碼(MAC)是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia:
資料來源: Wentz Wu QOTD-20210225
月份: 2021 年 4 月
在這四個選項中,開發信息安全管理系統(ISMS)是最合適,最關鍵的。ISMS從管理承諾和政策開始,這些承諾和政策推動信息安全,以滿足利益相關者(或利益相關方)的保護需求和安全要求。它涵蓋了網絡訪問控制,IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的,但還不夠,也不是優先事項。
. 將安全性集成到IT流程中是必要的,但還不夠。無論CISO向哪個角色報告,他(她)都應確保安全功能支持業務,並將安全集成到“所有”組織流程中,而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派,否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務,而不僅僅是IT,安全或保證流程。首席執行官,首席運營官或委員會更合適。如下圖所示,CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。
資料來源: Wentz Wu QOTD-20210224
分類
證書簽名請求(CSR)
一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成密鑰對,例如OpenSSL,ssh_keygen,IIS管理器,MMC的證書管理單元(Microsoft管理控制台)。
僅將包含公共密鑰(不包含密鑰對)的證書籤名請求發送到CA(或專門用於註冊機構),因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中,但證書僅包含公鑰。例如,“ PKCS#12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” (維基百科)
證書簽名請求(CSR)
在公鑰基礎結構(PKI)系統中,證書籤名請求(也是CSR或證明請求)是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。
在創建CSR之前,申請人首先生成一個密鑰對,將私鑰保密。CSR包含標識申請人的信息(例如,在X.509證書的情況下為專有名稱),該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明,證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源:維基百科
X.509證書
-X.509證書格式
資料來源: Wentz Wu QOTD-20210223
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
儘管夾層玻璃比鋼化玻璃更安全,但價格更高。儘管如此,法規要求仍可能會影響各國安全玻璃的安裝。而且,作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果,最初的問題是:“以下哪個是店面或購物櫥窗中最常用的安全玻璃?” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性?”
退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia:
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域,夾層玻璃通常用於外部店面,幕牆和窗戶。
-破碎的夾層安全玻璃,中間層暴露在圖片的頂部(來源:維基百科)
鋼化玻璃用於各種苛刻的應用中,包括乘用車窗戶,淋浴門,建築玻璃門和桌子,冰箱托盤(作為防彈玻璃的組成部分),潛水面罩以及各種類型的盤子和炊具。
-破碎的鋼化玻璃顯示出顆粒狀的形狀(來源:維基百科)
近年來,已經出現了既可以提供防火等級又可以提供安全等級的新材料,因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
. 安全玻璃
. 什麼是安全玻璃?
. 砸玻璃!比較層壓與回火
. 有線玻璃
. 夾絲玻璃,安全嗎?
. 傳統夾絲玻璃的危害
. 破碎玻璃
. 退火(玻璃)
. 退火與回火
. CM 113 –第30章
. 夾層安全玻璃
資料來源: Wentz Wu QOTD-20210222
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
知識產權具有所有者,否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權(IP)。” (WIPO)您的公司可能沒有製造參數作為知識產權的所有權,因為OEM客戶通常在合同中要求所有權。如果是這樣,您的公司可能會被要求承擔保護生產參數保密性的義務,而不是商業秘密權。因此,在主張知識產權之前,應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常,必須完成三個步驟,才能使某項信息成為商業秘密:
–保密:該信息必須具有足夠的機密性,即通常不為人所知或難以編譯的信息。請注意,與公司客戶有關的機密個人信息受隱私法保護,不受商業秘密法保護。
–具有商業價值:信息必須為所有者提供競爭優勢或某種經濟利益,因為它是秘密的-而不是因為其固有的優點。
–合理措施:所有者必須採取合理的安全措施來維護信息的保密性。
資料來源:WIPO
參考
. 獲取知識產權:商業秘密
. 常見問題:商業秘密基礎
資料來源: Wentz Wu QOTD-20210221
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
資料分類是評估資料的業務價值或其重要性和對利益相關者的意義,以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值,例如保密性,完整性,可用性,收入損失,購買成本,機會成本等。分類方案,最高機密,機密,機密是一項法規要求(執行命令) 12356)。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。
參考
. 外國所有權控製或影響:FOCI補充資料表
. CMMI:國防部的觀點
. 什麼是CMMI?優化開發流程的模型
. 了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)
資料來源: Wentz Wu QOTD-20210220
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
關於資料治理中的安全性,適用於 歐盟的《通用數據保護條例》(GDPR) 和《 金融工具市場指令II》(MiFID II) ,以及US 31 USC 310,這是一項針對金融犯罪中的數據的法規。
在更大範圍內,《 美國多德-弗蘭克法案》 解決了保存記錄的透明度問題。在 美國首都的綜合分析和審查(CCAR) 的框架地址的資料質量和管理。在歐洲,MiFID II解決了資料收集過程,而巴塞爾協議III則包含了風險管理和資本充足性方面的資料治理規定。
在中國, 銀行和保險監督管理委員會(CBIRC) 於2018年5月發布了準則,其中包括針對金融公司的規定,分配建立資料治理系統,資料質量控制以及相關激勵和問責制的責任。在中國, 銀行和保險監督管理委員會(CBIRC)於2018年5月發布了準則,其中包括針對金融公司的規定,分配建立資料治理系統,資料質量控制以及相關激勵和問責制的責任。
儘管 針對風險資料匯總的MiFID II,Basel III和 BCBS 239規則來自歐洲,但它們確實會影響整個亞洲乃至全球的合規性。此外, 由國際會計準則理事會(IASB)創建 的 國際財務報告準則(IFRS ) 設置了可用於資料治理的分類和會計規則。任何形成其治理框架的公司都應了解這些規定。
因此,如果能夠很好地處理資料治理的特徵和規則,公司還可以部署 企業資料管理(EDM)和主資料管理(MDM) 系統,以執行資料治理中的規定。這些系統對資料進行清理,豐富和整理,以標準化資料定義方式,並生成元數據,該元數據以完整性,問責性和安全性幫助實施數據治理框架。
有了資料治理要素的知識,這既是公司本機工作的一部分,又是其合規要求的一部分,管理層將更有能力在市場上開展業務,並降低其運營和監管風險。
資料來源:GoldenSource
相關讀物
. 資料治理
. 什麼是資料治理?
. 什麼是資料治理,為什麼重要?
. 隱私,保密性和合規性資料治理指南
. 企業信息管理:資料治理的最佳實踐
. 如何創建資料治理計劃以控制您的資料資產
. 什麼是資料治理?管理資料資產的最佳實踐框架
. 資料治理的定義,挑戰和最佳實踐
. 什麼是資料治理(以及為什麼需要它)?
. 資料監管–為何,為什麼,如何,誰以及15種最佳做法
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
職位描述是職位設計的輸出之一,它考慮了“分工”的原則,需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一,因為它包含職位的職責和職責。
背景調查或安全檢查是在僱用之前進行的,通常對某些級別的員工或職位進行定期檢查。安全檢查是政府部門或機構的正式背景檢查程序;它支持基於標籤或網格的強制訪問控制(MAC)。此外,您的授權意味著根據需要知道的自由訪問控制(DAC)。
-職位描述內容(來源:Prachi M)
工作設計是將工作組織成執行特定工作所需的任務的過程。工作設計涉及將任務,職責和責任組織到一個工作單元中以實現某些目標的自覺努力。人力資源經理應該對組織內各個職位的設計和規格有濃厚的興趣。(拉傑古(K Rajguru))
-工作設計決策(來源:http : //www.whatishumanresource.com/job-design)
參考
. 工作設計
. 什麼是工作設計?
. 職位設計(WhatIsHumanreSource)
. 職位描述與職位規格
資料來源: Wentz Wu QOTD-20210219
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
跨站請求偽造(Cross-Site Request Forgery:CSRF)
跨站請求偽造(CSRF)是一個很好的選擇。傳統的CSRF攻擊會發生以下先決條件:
- 受害用戶已登錄到系統(例如,在線銀行)。
- 受害用戶單擊帶有偽造或操縱參數的惡意超鏈接。
- 受害系統接受作為HTTP GET請求發送的URL。
以下是緩解CSRF攻擊的技巧: - 系統不應接受通過GET進行的交易請求。而是應通過POST,PUT或DELETE完成事務。RESTful API通過以下方式使用HTTP動詞/方法:GET用於查詢,POST用於插入,PUT用於修改,DELETE用於刪除。
- CSRF攻擊也可以通過iframe內的HTTP形式觸發。因此,應執行同源政策。現代Web瀏覽器默認情況下啟用同源策略。
- 攻擊者可以從攻擊工具發送CSRF攻擊。減輕這種風險的最終方法是以每種HTTP形式實現存儲在隱藏輸入中的身份驗證代碼。Microsoft ASP.NET MVC很好地支持此功能。
重播(Replay)
重播可能由中間人,惡意用戶或無意行為觸發。重播消息可能會或可能不會被操縱。該問題並不建議緩解重放攻擊。
參考
. 跨站點腳本(XSS)
. 跨站請求偽造(CSRF)
. 防止ASP.NET MVC應用程序中的跨站點請求偽造(CSRF)攻擊
. 財務導向的Web應用程序中的常見安全問題
. 同源政策
. 同源策略:現代瀏覽器中的評估
. 現代瀏覽器中的原始策略執行
. 同源政策的權威指南
. 靜默提交POST表單(CSRF)的示例
資料來源: Wentz Wu QOTD-20200520
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
通用標準(ISO 15408)指定了評估IT產品而不是供應商資格的標準。
-通用標準評估
FOCI(外國所有權,控制權和影響力)
FOCI(外國所有權,控制權和影響力)是常見的法規要求,例如32 CFR§2004.34和4.30.30。在加拿大的外國所有權,控制權或影響力。CFR是美國聯邦法規(Code of Federal Regulations)的首字母縮寫。
CMMI(能力成熟度模型集成)
作為收單方,您可以通過有效地使用從供應商的CMMI-DEV的開發計劃中獲得的信息,從供應商的CMMI-DEV的使用中受益,並避免與不切實際的期望相關的陷阱。(Osiecki)
“ CMMI可以使用兩種不同的方法進行評估:分階段和連續。分階段方法得出的評估結果是五個成熟度級別之一。連續方法產生四個能力級別之一。” (維基百科)
-CMM和CMMI成熟度級別比較
OWASP SAMM(軟件保障成熟度模型)
鑑於ISACA收購了CMMI Institute,並且材料擁有版權,因此OWASP的SAMM(軟件保證成熟度模型)是一個開放項目。
-SAMM模型結構
參考
. 外國所有權控製或影響:FOCI補充數據表
. CMMI:國防部的觀點
. 什麼是CMMI?優化開發流程的模型
. 了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)
資料來源: Wentz Wu QOTD-20210218
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文