資訊安全概論與實務 第一篇:認識問題
第一章 資訊安全概論
資訊科技與資訊安全的演進 資訊科技從1960年代才算正式開始。80年代初電腦還在較封閉的環境中由少數人操作,安全風險低。 80年代開始普及的個人電腦並未考慮存取控制,而且軟碟經常交換使用,資訊安全事件開始浮現。 90年代網際網路蓬勃發展,也為病毒與駭客提供絕佳的攻擊管道。 2000年之後,隨著電子商務蓬勃發展,攻擊電腦或網路的目的也從惡作劇轉變為非法利益之取得。
幾個誤導的觀念 推動資訊安全會增加工作負擔,並影響組織的正常作業。資訊安全事件不會這麼巧就發生在我身上吧! 資訊安全就是要花錢,一次把錢花夠了,就能建立一套完美無缺的防禦體系。 資訊安全靠產品,只要有功能強大的「防火牆 (firewall)」和「防毒軟體 (anti-virus)」就夠了。
人員若不遵守資訊安全程序,產品就無從發揮功效。 資訊安全的三個 P 人員若不遵守資訊安全程序,產品就無從發揮功效。 產品 (Product) 程序 (Process) 人員 (People) 資訊安全
資訊安全的三元素 實體安全 Physical Security 營運安全 Operational Security 資訊安全 三元素 Security triad 管理與政策Management and Policies
資訊安全的目標 資訊安全的目標 (Goals) 預防 (Prevention):預防電腦或資訊被違規使用,事先預防比事後處理容易。 偵測 (Detection): 事件發生時,要能夠即時的偵測到。 反應 (Response): 發展策略與技巧來因應遭受的攻擊或造成的損失。
設計網路安全的四個考量 制定設計目標 建立安全區域 融入新科技 考量業務需要 制定目標時應考慮四項「安全元件 (security components)」。 建立安全區域 將複雜的網路環境切割成安全區域,便於管理區域間的通訊權限。 融入新科技 使用新科技常能有效的強化網路安全。 考量業務需要 各種安全的設計與努力,其目的不外乎保護組織的利益,降低風險。
資訊安全的四個元素 保密性 (confidentiality):保密性的目的在防止未經授權的人或系統存 取資料或訊息。 完整性 (integrity):完整性在於確保被使用的為正確資料,若資料不確 實或是遭到未經授權之人的竄改,組織將蒙受巨大損失。 可用性 (availability):可用性在保護資料不致流失,無法使用的資訊等 於沒有資訊。如果網路或資料庫不能運作 (不論是受攻擊或只是意 外),全組織的資訊都無法正常存取,業務也將停擺。 責任性 (accountability):組織內有許多部門與個人,當事件發生時該由 誰負責處理必須明確規定。資料或系統的負責人應該在平時對所負責 之事、物持續地監看與紀錄。
多層次防禦方法 網路環境越來越複雜,在環境的每一層都可能有弱點。資訊安全要在 每一層都做適當的防禦。 只在個人電腦上安裝防毒軟體不算多層次防禦 (layered defense);應該 在每台個人電腦、檔案伺服器、郵件伺服器上都裝防毒軟體,並在代 理主機上 (proxy server) 做內容篩檢,才算多層次防禦。 僅只設定使用者與檔案的存取權限不算多層次防禦;應該做到: 為所有檔案建立較細節的存取控制單 (access control list, ACL)。 以電腦系統來設定每位使用者對檔案的存取權限。 為存放資料的電腦規畫實體安全,避免資訊或系統遭竊取。 建立使用者登入機制,確保使用者身分之認證。 監控使用者對重要檔案之存取,並留下紀錄。