iT邦幫忙

2023 iThome 鐵人賽

DAY 1
1

前言:

資安其實都是我一直想要了解的部分,但其實資訊都是比較分散,剛好誤打誤撞參加了CompTia security 證照班,想趁鐵人賽時候整理一些簡單入門的資訊安全概念給大家,希望大家不要嫌棄,我會用最短的話帶給你最需要知道的概念。那就準備開始囉,在小小…威!

資訊安全簡介:

資訊安全(Information Security)就是大家常說的“資安“,一句話來總結就是

確保資訊資源的保密性、完整性和可用性為總體目標

CIA triad

(來自:https://panmore.com/the-cia-triad-confidentiality-integrity-availability)

以下是這三個重要概念的介紹:(又稱CIA triad)

1. 保密性(Confidentiality):
→ 指確保資訊只被授權的人或實體訪問,而未經授權者無法獲取敏感資訊。

保密性的實現通常包括使用加密技術、訪問控制、身份驗證和權限管理等方法,以確保敏感資訊不被非法或未經授權的人士取得。

2. 完整性(Integrity):
→ 指確保資訊在傳輸或存儲過程中不被未經授權的更改、損壞或破壞。

這意味著資訊必須在其生命周期內保持原樣,不受恶意更改或不當操作的影響。數字簽名、校驗和監控是確保資訊完整性的方法。

3. 可用性(Availability):
→ 指確保資訊系統不會遭受意外的故障、攻擊或其他干擾,從而保持系統的運行和資訊的可用性。

冗余系統、備份和災難恢復計劃是確保資訊可用性的一部分。


以上舉個例子來說比較容易懂以上概念:

你有一個銀行帳戶
a. 需要密碼才可以領錢(保密性)
b. 而銀行帳戶裡的數字不會突然少個零或多個零(完整性)
c. 任何時候想要領錢,就可以領(可用性)

這三個概念緊密相關,通常被稱為「資訊安全三足鼎立」,是資訊安全管理的基礎。當資訊資源在這三個方面都得到適當的保護時,組織和個人可以更好地應對數字環境中的各種風險,確保其資訊得以安全地存儲、處理和傳輸。

那再來下一個問題就是:要如何達到以上三個條件呢?
那就要提到一個概念"AAA of Security"


"AAA of Security"

以下三個元素在資訊安全和網絡管理中扮演了關鍵的角色,以確保系統的CIA Triad。

  1. 身份驗證(Authentication)
    • 確認一個實體是否真正是它聲稱的身份的過程。在網絡安全中,這通常意味著確定使用者是否擁有合法的用戶名和密碼,或者其他識別信息,以便他們可以訪問系統或數據。
  2. 授權(Authorization)
    • 授權是確定已驗證的實體能夠訪問什麼資源和執行什麼操作的過程。這包括確定使用者或實體的權限範圍,以便根據其角色或需要,限制他們可以執行的操作。
  3. 帳務記錄(Accounting)
    • 帳務記錄是監視和記錄系統上的活動的過程。這包括記錄誰訪問了系統、何時訪問、訪問的內容以及執行的操作。帳務記錄有助於跟蹤用戶活動,檢測不正常的行為,並在需要時進行調查。此外,它還可以用於合規性和法律要求的遵守。

以上也舉個例子來說比較容易記得這概念:


a. 使用帳號及密碼登入某網站 (身份驗證)
b. 網站顯示你可以看到的頁面內容(授權)
c. 網站紀錄你幾點幾分登入後,幹了什麼事情(帳務紀錄)

結論

AAA of Security 三個元素合起來建立了一個強大的安全框架,確保只有合法用戶能夠訪問資源,同時允許監視和記錄系統活動,以便有效地保護數據和系統的安全性。

同場加映:

除了第一部分的CIA三個元素以外,常常也會提到第四個元素非否認性(Non-repudiation)

非否認性(Non-repudiation)

是資訊安全領域中的一個重要概念,它指的是在交流或交易過程中,當事人無法否認他們的行為或交流內容。這種原則的主要目標是: 確保當事人無法以任何方式否認他們的行動、交易、或信息。非否認性在數位通信和電子商務中尤為重要,因為它確保了以下方面的可靠性:

  1. 數位簽名:通過使用數位簽名技術,一方可以將其身份與一份文件、訊息或交易關聯起來。這樣,當事人無法否認他們曾經簽署了這份文件或發送了這條訊息。
  2. 交易可追蹤性:在金融和電子商務交易中,非否認性確保了交易的完整性和可追蹤性。當一筆交易被記錄下來,相關當事人無法否認他們參與過這筆交易。
  3. 合規性要求:在法律和合規性方面,非否認性對於保護證據和確保交流的真實性至關重要。它確保了法庭上的證據無法被當事人否認。

總之,非否認性是確保數位世界中的交流和交易的可信度和安全性的關鍵因素。通過使用加密、數位簽名和安全協議等技術,非否認性確保了當事人無法否認其行為,這有助於維護信任和保護數位生態系統的安全性。


下一篇
[Day2] 四種資安攻擊類型 & 三種防護類型
系列文
你懂資安 資安就會幫你! CompTIA Security+ (SY0-601) 到底在講什麼!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言