時間回到幾年前，第一次面試一份資安公司行政助理職
記得那天除了該有的面試考題之外，
主管走到白板前說道︰「妳知道什麼是資安嗎？」

當時對資安主要停留在隱私和保密，簡單的說一下可能的管理做法
但似乎不是他所想要的答案......

他在白板上寫了三個大大的英文字母，
就是鼎鼎大名的「Ｃ．Ｉ．Ａ」

CIA可謂我們資訊安全最重要的三個大要素，
目的也是為了保障我們的資訊資產免於受組織無法承受的風險

• Ｃ機密性(Confidentiality)：資訊不被未經授權的人、實體或程序所取得。
• Ｉ完整性(Integrity)：對資訊內容之正確性與完整性。
• Ａ可用性(Availability)：在需要時可存取與使用資訊。

除此之外，我們還有3A，分別是

• 認證Authentication：用於識別使用者的身分，來記錄誰可以存取這些資訊
  • 你所知道的Something you know:最常見的如帳號密碼
  • 你所擁有的Something you have:提款卡、健保卡、一次性密碼(OTP)
  • 你所具備的Something you are:常見如生物辨識(虹膜、角膜等)，可以用來識別這個人
• 授權Authorization：依照我們的身分，會取得不同等級的授權，避免過度給予權限，造成不必要的資訊洩漏
• 紀錄Accounting：監控、報告和紀錄，做為未來稽核或分析管理所用，使用者該如何獲取資料，與資料監所進行的互動皆需要有軌跡保留下來

若為金融交易相關服務，會有另一個特別關注的焦點
Non-repudiation不可否認性(NR)
有些使用者會否認自己曾做過的事情，而在交易上面，為了確保我們從取得資訊、送出到接受確認存取，必須確保雙方皆有參與，電子簽章即為此項代表。

我們遵循著這樣的基本要素，來進行往後所有的資安行為活動。
後面有部分檢測工具練習，可能會涉及到法律行為，
下面提供部分條文供參考。

第 三十六 章 妨害電腦使用罪

• 刑法第339-3條
  意圖為自己或第三人不法之所有，以不正方法將虛偽資料或不正指令輸入電腦或其相關設備，製作財產權之得喪、變更紀錄，而取得他人之財產者，處七年以下有期徒刑，得併科七十萬元以下罰金。

• 刑法第358條
  無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞 ，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

• 刑法第359條
  無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

• 刑法第360條
  無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

• 刑法第361條
  對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一。

• 刑法第362條
  製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

• 全國法規資料庫
  https://law.moj.gov.tw/Index.aspx

這次的內容，由於沒有明確的主題，
將會針對近期學習的筆記，主要是工具操作和概念，
執行專案遇到的一些問題或技術做分享。