Jason的電腦健身房

識別管理是為了讓系統驗證並授權使用者使用系統，但存取資料呢?!存取資料是否也有存取控制，說到這個就睡了一大半了，因為…它確實很無趣，不就只是放權限嘛!那有這麼難，其實，整個放權限的過程中依照放權限的規則不同，有不同的存取控制…

識別管理一直是被認定為確保一致性的前置步驟，但在現在的社會中也如同上一個章節中所討論到的有著相當多的挑戰
如何正確的識別出使用者是『對的』使用者，一直以來就是被受注目的，Jason之前在做一個專案時
客戶即有要求，要做識別管理，當時來找Jason的場商也有現在最夯的靜脈認證(掌靜脈、指靜脈…等等) …

你不可不知的複寫常識
複寫用來複製資料和資料庫物件的一項強大的功能，是大型資料庫或資料庫同步維持資料一致性的功能
透過各種網路、撥接連線，將資料散佈到不同地點上，即然是複寫了顧名思義，就是將資料同步的寫到各個不同的資料庫伺服器上

存取控制主要是達成Integrity(一致性)，在上一篇中討論的存取控制類型及種類，是讓管理者思考在各個面象可有納入管理中
那麼，存取了系統代表可以存取資料嗎?這個答案很肯定的是錯的，有權限連入系統，不代表你可以看、修改、刪除資料
那麼要進入系統我們如何來進行存取控制呢?這個部份就以Identification…

資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料，是否會產生更大的安全衝擊?
而資安存取控制中，共分為三大類型及七大控制種類，每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等，有相當多的建議做法(ISO-27002)，但每一項算是何種控制種類，可能就比較難以分清楚。

唉~~!基於業務需求，必須短期內取得CIW Security Analyst，自從pass Security+後(覺的它其實不難)
被要求要去拿CIW就覺的其實不太必要，但是有鑑於對岸(傳說中的祖國)這張認證還小有一點點的名氣
只好再多準備一張紙，參考書的部份我是看Sybex所出版的CIW: Security Professional Study Guide…

邁向CISSP的大道上，先試個水溫，但是這個水溫有點…
老闆說：「Jason!我們有個案子可能要有Security+你可以準備一下嗎?」
一個不小心就規劃進到我的人生中了，其實它也是我想要去取得的認證，我在6/28日決定想要拚CISSP時，就決定了順便來吧

最近不少同事、伙伴都因為人的問題，離開了公司，也因為社會的不景氣，不少人離開後，工作也沒有比較好(不過心情比較好)

尤其是不少同事說到，現在雖然說證照不見得有用，尤其像某此背就會過的東西考了也沒有太大的幫助

今天…就在今天，辛苦自修了兩個月的ITIL V3 Fundation入荷了!!!
這也就是為何Jason近期來一直無空閒的時間可以來貼文，不過接下來應該也是沒啥時間…
還有兩個偉大的目標要邁進…

相信這個問題不少人都問過，也遇到過，為了不讓自已忘了這個方法，只好寫下來…

最近Jason正在努力的準備其它認證充實自已(不景氣就要做好迎接景氣到來時的準備)，比較少上來貼文，下面是自各項裝置自動撥放的關閉及開啟的方法，如果環境之下有AD的話，可以透過GPO來派送這些管理規則…

摘要:新物入荷-- Passed CEH!

今天晚上Jason與公司即將畢業的同事辦歡送會，在會中與同部們的伙伴們討論到某個案子因硬體設備相當的缺乏
但是該單位又想達成HA架構，一來是可以讓公司人員有反應的時間，畢竟公司地處南方，要到各地比較不方便
加上高鐵減班直達高鐵成變成每站停的慢鐵，有沒有辦法可以透過即有的功能來達成HA的架構呢?…

Access controls(存取控制)是整個資訊安全中極重要的領域，資訊的交流、不同機密等級問題，甚至人員的進出
不管是從人、事、物，都應該有不同的資訊機密等級，因此在判斷何者可做那種資訊的讀取
或是其它人員對這個人員是不是會造成資訊外洩的問題，是否都是一個必須列入存取控制的的措施…

做完了風險的識別、資產的評估，那選擇何種保護措施才是對的呢?其實沒有對錯，重點在於Owner的想法
舉個很簡單的例子，有一個資訊資產可能產生的風險是會對它造成極大的損傷，但是導入一個風險控制措施 …

在靜態網頁之下，若架構以NLB(Network Load Balance)做Active/Active mode是沒有什麼太大的問題，因為靜網頁並沒有工作處理的狀態問題
但是如果想要達成在動態網頁之下，使網站服務可以達成完全loadbalance，這時侯，我們常常應用的一些互動性的功能可能會出現問題
原因就出在當有使用互動性的功能時，Session States是直接存在處理服務的那台伺服器上 …

Risk Management(風險管理)是資訊安全最重要的環結之一，每種Access Control(存取控制)者必須依照風險管理、BIA(商業衝擊分析)…等
來決定資訊資產需要何種保護、需要何種機密性保護，因此在風險管理可以說是左右著資訊資產的各項存取措施。…

Windows 2003設定NLB相信大家對於該部份不默生，但是在Windows 2008的NLB設定似乎與2003的界面相差太大
害大家都找不到，當然Jason的同事也有相關的問題，那麼如果Jason不會設定NLB
那MCITP-Enterprise administrator及Server administrator一定是背來的 …

經過了選人、用人，找到一個對的人做適當的工作，但是在人力使用的過程中又和安全有何相關呢?
如果今天企業是用了一個不對的人，而且是有意的要損壞企業的人，那麼對於安全這個架構而言
就是最大的打擊了，當然用人也有安全的控制方法，一般來說對於人員的應用有分為職務面、權責面…

從IT的建置到Policy一路到了SPGB，更底層的，必須談到有關企業內對於資安的Roles and Responsibilities;R&R(角色及職責)
畢竟，資訊安全不可能靠一個人就可以達成，必須由Group(群組)或是Team(小組)來策進、推動
那麼在資安的角度來看，該會有那一些人來執行、那些人來推動安全文化，教育員工具有安全的概念 …

安全規劃也必須照步就班一步一步來
資安計劃又分成三個等級：Tactical level planning(戰術性規劃),Operational Planning(作業性規劃), Strategic Planning(戰略性規劃) …