iT邦幫忙

2021 iThome 鐵人賽

DAY 1
1
Security

三人要保密,一個人要學好資安系列 第 1

到底什麼是資安?

時間回到幾年前,第一次面試一份資安公司行政助理職
記得那天除了該有的面試考題之外,
主管走到白板前說道︰「妳知道什麼是資安嗎?」

當時對資安主要停留在隱私和保密,簡單的說一下可能的管理做法
但似乎不是他所想要的答案......

他在白板上寫了三個大大的英文字母,
就是鼎鼎大名的「C.I.A」


CIA可謂我們資訊安全最重要的三個大要素,
目的也是為了保障我們的資訊資產免於受組織無法承受的風險

  • C機密性(Confidentiality):資訊不被未經授權的人、實體或程序所取得。
  • I完整性(Integrity):對資訊內容之正確性與完整性。
  • A可用性(Availability):在需要時可存取與使用資訊。

除此之外,我們還有3A,分別是

  • 認證Authentication:用於識別使用者的身分,來記錄誰可以存取這些資訊
    • 你所知道的Something you know:最常見的如帳號密碼
    • 你所擁有的Something you have:提款卡、健保卡、一次性密碼(OTP)
    • 你所具備的Something you are:常見如生物辨識(虹膜、角膜等),可以用來識別這個人
  • 授權Authorization:依照我們的身分,會取得不同等級的授權,避免過度給予權限,造成不必要的資訊洩漏
  • 紀錄Accounting:監控、報告和紀錄,做為未來稽核或分析管理所用,使用者該如何獲取資料,與資料監所進行的互動皆需要有軌跡保留下來

若為金融交易相關服務,會有另一個特別關注的焦點
Non-repudiation不可否認性(NR)
有些使用者會否認自己曾做過的事情,而在交易上面,為了確保我們從取得資訊、送出到接受確認存取,必須確保雙方皆有參與,電子簽章即為此項代表。


我們遵循著這樣的基本要素,來進行往後所有的資安行為活動。
後面有部分檢測工具練習,可能會涉及到法律行為,
下面提供部分條文供參考。

第 三十六 章 妨害電腦使用罪

  • 刑法第339-3條
    意圖為自己或第三人不法之所有,以不正方法將虛偽資料或不正指令輸入電腦或其相關設備,製作財產權之得喪、變更紀錄,而取得他人之財產者,處七年以下有期徒刑,得併科七十萬元以下罰金。

  • 刑法第358條
    無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞 ,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

  • 刑法第359條
    無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

  • 刑法第360條
    無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

  • 刑法第361條
    對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。

  • 刑法第362條
    製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

  • 全國法規資料庫
    https://law.moj.gov.tw/Index.aspx


這次的內容,由於沒有明確的主題,
將會針對近期學習的筆記,主要是工具操作和概念,
執行專案遇到的一些問題或技術做分享。


下一篇
資安認知-社交工程
系列文
三人要保密,一個人要學好資安30

尚未有邦友留言

立即登入留言