iT邦幫忙

2022 iThome 鐵人賽

DAY 2
0
Security

物聯網與網路的資訊安全-初探系列 第 2

鐵人賽(Day2)-資安裡也有CIA?

  • 分享至 

  • xImage
  •  

本次文章內容主要整理資訊安全定義、CIA元素與AAA的機制。

資訊安全定義:
保證資訊(及資訊系統)不受未經許可的使用者進入、使用、修改,甚至是銷毀。
通過這個定義,可以將資訊安全的主要訴求分為機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),簡稱CIA (太酷惹吧)。

C、I、A三要素的內容:
機密性 (Confidentiality):
確保資料不論在傳遞或是儲存狀態時的隱密性,避免未經授權的使用者獲取欲保護的資料內容。

完整性 (Integrity): 代表確保資料無論是在傳輸或是儲存狀態,必須擁有相當的正確性與一致性。

可用性(Availability): 這邊的可用性是指當使用者需透過資訊系統進行操作時,資料與服務須保持可用的狀態,並必須能夠滿足使用者的需求。(可以想像卡通中為了讓壞人進不來在門上面鎖了一大堆鎖,結果發現壞人在裡面,反而出不去XD)

由此可知,資訊安全三要素之間存在著互相牽制的關係,亦即過度強化機密性,將犧牲完整性與可用性; 擁有高可用性的系統則往往會需要在機密性與完整性上妥協。如何在有限資源下,取得此三個要素之間的平衡是資訊安全管理當中重要的課題之一。

另外還有其他功能如鑑別性(Authenticity)、不可否認性(Non-repudiation)或可歸責性(Accountability)等,主要針對每次在資訊系統上的存取動作進行紀錄與究責,也有相關資訊將他們加入CIA元素當中討論,但筆者傾向用另一個名詞代稱 (AAA or 3A)來討論這些概念。

3A:
認證(Authtication):
代表使用者必須提供代表自己的身分(我是誰?),以供資安系統識別資訊使用者的身分,例如:透過密碼、金鑰憑證等方式驗證使用者身分。

授權(Authorization):
在知道使用者是誰的情況下,便可依照實際的情況或職責給予欲存取資料者適當的權限。一般情況下會以最小權限(Least privilege)進行,代表只給予符合資料存取者之使用需求下的權限,以此避免過度授權而造成的資訊暴露或洩漏風險。

紀錄(Accounting):
主要的紀錄內容為資料存取者為誰、使用資訊的時間點或週期長短、分別存取了哪些資料、存取的裝置或地點等訊息。通過紀錄使用者與系統之間互動的軌跡,提供事後的資訊安全檢查與檢討。


上一篇
鐵人賽(Day1)-資安啟航
下一篇
鐵人賽(Day3)-資訊安全的實踐面向
系列文
物聯網與網路的資訊安全-初探30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言