第 一章 資訊安全導論 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
第 一章 資訊安全導論 今日的世界,資訊科技快速進步,帶給人們許多便利,然而也帶來嚴重的資訊安全問題,它潛在著許多危機與風險。對個人、企業,甚至社會與國家,資訊安全的問題都是必須面臨與處理的重要議題。本章針對資訊安全之重要性與資訊安全防範對策等,做概念性介紹,而在本書後續章節再逐步詳細說明其內容。本章包含: 簡介 資訊安全威脅與風險 資訊安全基本需求 資訊系統的範疇 資訊安全的範疇 資訊安全防範對策 資訊安全的重要性
1.1 簡介 如何保護資訊安全,使免於遭受到毀損、竊取、竄改、偽造、非法使用等問題,是所有關心資訊安全問題的人員共同的當務之急。如圖1-1 顯示資訊安全受到的各種威脅 (Threat)。 圖1- 1資訊安全的威脅
1.1 簡介 當資訊安全遭受到威脅或攻擊事件,往往造成組織的重大損失。例如,網站成為被攻擊的目標,造成正常服務的中斷;資料被駭客竊取,造成公司與個人財物的損失;系統感染病毒,並傳染擴散,使系統癱瘓;駭客利用網路釣魚,盜走客戶重要資訊,等等。 資訊安全威脅是一個複雜的問題,並非靠購置單一的軟、硬體資安設施即可解決問題。資訊安全防護是全面性的工作,需要綜合管理層面、技術層面與實體層面,才可達到目標。 雖然資訊只是一種新的媒體型態,透過網路等媒體傳播,但是,不容否認的,現有的法律面對資訊問題時有捉襟見拙的現象,當今實有必要修改法律以處理網路資訊所產生的新問題。
1.2 資訊安全威脅與風險 資訊會遭受到潛在的與可能的危害,這即是資訊安全的『威脅』 (Threat)。『威脅』依照威脅來源,可分為環境因素威脅、外部人員威脅、內部授權人員威脅與內部非授權人員威脅。 由於有潛在的『威脅』,因此系統比較脆弱的部份形成了系統的『弱點』 (Vulnerability)。由於弱點會導致『風險』 (Risk) 提高,例如,Windows 作業系統存在許多的弱點,而某些病毒針對這些弱點以感染系統,因此使用 Windows 作業系統,將會使感染病毒的風險相對提高。
1.2 資訊安全威脅與風險 圖1-2資訊安全的威脅來源
1.3 資訊安全基本需求 資訊安全的三項要素是機密性 ( Confidentiality )、完整性 ( Integrity )、與可用性 ( Availability),如圖1-3,這三項要素稱為資訊安全三原則,簡稱CIA。這三項要素,表示遵守主要的原則就能掌握資訊安全的要領。 圖1- 3資訊安全三項基本需求
1.4 資訊系統的範疇 資訊系統架構從接觸到電腦系統的周邊外圍由外而內,可分為六個層次,如圖1-4,這六層分別是:外圍層、外部層、中心層、內部層、分析層、法律層 圖1-4 資訊系統架構
1.4 資訊系統的範疇 外圍層牽涉到有關電腦系統周邊外圍之環境因素,例如:機房、鄰近環境等。 外部層是使用者與系統間的介面層次,所牽涉到的是個別使用者所能操作到的系統。 中心層則是內部層與外部層溝通的橋樑。 內部層牽涉到資料實際儲存及管理方式等。 分析層牽涉到系統之管理與安全威脅之分析。 法律層牽涉到有關資訊安全相關的法律條文。
1.5 資訊安全的範疇 依照國際資訊安全管理師認證 (Certified Information Systems Security Professional;CISSP ) 考試的範疇,包含以下十大領域,並逐一做簡要介紹: 安全管理實務 ( Security Management Practices ) 資訊存取控制系統及方法 ( Access Control Systems & Methodology ) 資訊法律、電腦犯罪調查與電腦倫理 ( Law, Investigations, Ethics ) 實體安全 ( Physical Security ) 持續營運與災害復原計畫 ( Business Continuity & Disaster Recovery Planning ) 安全架構與模型 ( Security Architecture & Models ) 密碼學 ( Cryptography ) 通訊與網路安全 ( Telecommunications & Network Security ) 應用程式與系統開發安全 ( Applications & Systems Development ) 作業安全 ( Operations Security )
1.5.1 安全管理實務 資訊安全是全面性與持續性的工作,需要掌握PDCA (Plan-Do-Check-Act) 的原則,如圖1-5,持續地經由計畫 ( Plan )、執行 ( Do )、檢查 ( Check )、行動 ( Act ),以循環改善資訊安全管理各項缺失。 圖1-5 資訊安全 PDCA 原則
1.5.2 資訊存取控制系統及方法 存取控制是保護資訊資產,所設定的各項安全措施。存取控制允許管理者對各項資源設定權限,以控管使用者存取資源。例如,圍牆、警衛、機房之防火、防盜門、識別證 (圖1-6)、系統登入畫面 (圖 1-7),等皆是。 圖1-6 識別證範例 圖1- 7 系統登入畫面範例
資訊法律是為規範個人與組織使用資訊之責任所訂定的法令規章。 1.5.3 資訊法律、電腦犯罪調查與電腦倫理 資訊法律是為規範個人與組織使用資訊之責任所訂定的法令規章。 電腦犯罪為新型態的犯罪模式,對於電腦犯罪的調查方法與技術都需要加以提升,以便在調查電腦犯罪事件時,能遵守法律規範進行證據收集與保存。 對於資訊之使用,也應該遵守相關之倫理規範。 此外,網路上經常出現釣魚 ( Phishing ) 網站或釣魚郵件,如圖1-8。 圖1- 8 詐騙郵件─釣魚郵件
1.5.4 持續營運與災害復原計畫 當相關事件發生時,持續營運計畫提供決策與應對方法的藍圖,為確保持續營運計畫可以適時實施,需要確保持續營運計畫是可行的。持續營運計畫需要明確訂定,在事件發生時,需要多少時間、經費以及相關協調單位等。 持續營運計畫是持續營運管理的計畫之ㄧ,持續營運計畫包含許多相關的計畫,例如:營運恢復計畫 ( Business Recovery Plan;BRP )、操作連續計畫 ( Continuity of Operations Plan;COOP )、支援連續計畫 (Continuity of Support Plan / IT Contingency Plan )、危機通訊計畫 ( Crisis Communications Plan;CCP )、網域事件回應計畫 ( Cyber Incident Response Plan ;CIRP)、災害復原計畫 ( Disaster Recovery Plan;DRP )、以及操作人員緊急計畫等。其流程包含計畫開始、營運衝擊分析、回復策略、計畫發展、計劃確認與測試、計畫維護與訓練等。
1.5.5 實體安全 傳統的實體安全只著重於機房內的安全設施,現代的實體安全需要整合實體安全與資訊管理為一體,才能完成實體安全的任務。 實體安全涵蓋的範疇很廣,從外部環境到內部資訊設備皆是實體安全所包含的範疇,例如:實體安全管理層面、環境設計、支援系統、實體安全技術、冷熱與通風系統、火災防護與消防系統、監視系統等等。管理者必須了解實體安全的各項知識與觀念,才能進一步增進系統的安全,例如,採用筆記型電腦鎖 (圖 1-9),可以防止一些順手牽羊的人員竊取電腦;機房使用防火暨防盜安全門 (圖 1-10),以防止火災與惡意侵入等。
1.5.5 實體安全 圖1-10 機房防火暨防盜安全門 圖1-9筆記型電腦鎖
1.5.6 密碼學 密碼學的技術已經廣泛地應用於資訊安全領域,例如:通訊安全、資料加密、數位簽章、時戳應用、訊息驗證、身分認證、電子憑證等應用,這些都是電子商務安全中的重要技術。 例如圖1-11,將加密系統分類為對稱金鑰加密與公開金鑰加密系統。例如圖1-12資訊加密示意圖,使用加密技術傳輸資料時,資訊傳送者以加密方法,使用加密金鑰將資訊加密。
1.5.6 密碼學 圖1-11 加密系統分類 圖1- 12加密與解密示意圖
1.5.7 通訊與網路安全 網路安全面臨的威脅,主要有三種來源:外部入侵者的威脅 ( 如電腦駭客 )、內部人員的威脅 ( 如員工的惡意破壞 )、與惡意訊息的傳播 (如病毒程式)。 例如圖1-13,駭客利用各種攻擊技術找到系統弱點,穿透防火牆,並對某一伺服器植入後門程式,被植入後門程式的伺服器被利用作為跳板再向其它伺服器進行攻擊,從事獲取重要資訊或癱瘓系統等危害資訊安全的行為。 圖1-13 駭客入侵網內電腦進行攻擊
1.6 資訊安全防範對策 資訊安全的防範對策需要從管理層面、技術層面與實體層面全面實施。但對於個人或企業,簡而言之,需要從四大防護目標做起,那就是:防毒、防駭、防災與防竊。 防毒:電腦病毒的危害無所不在,最基本的是需要隨時更新系統程式或安裝補丁程式,並定期更新病毒碼,以阻擋病毒之入侵。 防駭:網路使用普及,資料交換頻繁,駭客隨時可找到機會入侵電腦,竊取重要的資訊。例如,如個人密碼、信用卡號碼、銀行帳號、營運資料、系統設定資訊等,需要使用完整的驗證機制,或防護措施以降低駭客入侵的機會。 防災:災害會使得系統無法運作,造成重大損失,例如,硬碟無法讀取、系統失效、軟體無法啟動等問題,需要具備充分的備援系統,當遇到災害時,可回復系統與資料。 防竊:資訊交換普及,若系統防護措施不足,將使資料容易遭受竊取。需要加強存取控制或資料加密等措施,以防止遭竊。
1.6 資訊安全防範對策 資訊安全防範的對策,需要從管理層面、技術層面與實體層面全面實施,如圖1-14: 管理層面:訂立安全管理政策、規範與程序,以及人員進用管理,或機房管制等程序,以確保資訊安全。 技術層面:採用系統存取控制、防火牆、滲透測試系統、防毒軟體等。 實體層面:整體環境控制、火災、地震、風災、水災及盜竊等人為破壞等控制機制。
1.6 資訊安全防範對策 在BS 7799 的規範中,實體層面分為環境安全管理與設備安全管理。環境安全管理,包含:辦公室、房間與設備,以確保工作區域的安全、傳遞區域的安全與卸貨區域的安全。設備安全管理,包含:電力的供給、各種設備的安全、設備維護、以及組織外的設備安全。 圖1-14 資訊安全防範對策
1.7 資訊安全的重要性 資訊在現代社會是一項重要的資產,資訊經常面臨很多的安全威脅,資訊遭受到危害時,常會造成企業或組織重大的損失。 對企業而言,資訊安全防護需要是全面性的工作,從管理層面、技術層面與實體層面整體考量,並且依照資訊安全管理規範,落實的執行,才能降低風險,提高資訊安全防衛能力。