iT邦幫忙

2023 iThome 鐵人賽

DAY 2
1

在資訊安全領域中,要怎麼樣定義或是知道資訊安全的目標呢?最常聽見的就是 C-I-A 的概念,C-I-A 分別代表機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),以下將分別介紹其所代表的意義與可能的威脅。

機密性(Confidentiality)

確保資訊僅可以在授權的情況下被存取,而不被任何未經授權的人員、實體或程序揭露。
常見的機密資訊有個人身分識別資訊(Personally Identifiable Information, PII)、受保護健康資訊(Personally Identifiable Information, PII)外,也包含了公司或組織的商業機密、研究機密、設計機密等智慧財產權的相關資料。

可能威脅

  • 窺視(Snooping):蒐集公開、可被容易存取的資訊,例如偷看辦公桌上的資料,可透過辦公桌淨空政策預防。
  • 翻找垃圾桶:透過翻找垃圾桶或回收箱,尋找可能需要的敏感資料,可透過碎紙機預防紙本敏感資料被取得?
  • 竊聽(Eavesdropping、Wiretapping):透過竊聽談話內容獲得敏感資訊,Eavesdropping 為實體的竊聽、Wiretapping 為電子形式的竊聽,可透過加密通訊協定預防。
  • 社交工程(Social Engineering):透過釣魚信件、釣魚網站騙取機密資料或於使用者裝置植入惡意程式,僅能透過教育使用者辨識社交工程手法來進行預防。

完整性(Integrity)

確保資訊的正確、完整、一致而無缺漏錯誤,且在儲存、處理和傳輸的過程中,不被未經授權的竄改或刪除。
一致性(Consistency)是與完整性相關概念,要求資料在形式、內容和代表的意義完全相同,可透過建立基準線(Baseline)來確認資料的一致性,若日後將現在的狀態與基準線比較時,發現有不相同且無法核對修改記錄的地方,就可以初步判定完整性、一致性已經遭到破壞。

可能威脅

  • 未經授權修改:導入「最小權限」概念,控管可修改資料的權限僅由少數必要的人持有。
  • 假冒:與社交工程類似,僅能透過教育使用者進行防範。
  • 中間人攻擊(Man-In-The-Middle,MITM):攻擊者於通訊線路或 Session 中途進行攔截並修改或竊取資訊。
  • 重送攻擊(Replay):攻擊者竊聽登入資訊後,重複使用先前的所攔截到的身分驗證資訊(credentials),讓對方誤認為攻擊者代表合法的使用者。

可用性(Availability)

指系統或資訊在被需要時能被存取,滿足被授權的使用者能在需要的時間與地點,以所需的形式與格式獲得資料或存取系統。
當然在現實上無法提供 100% 可靠的系統或資訊,但至少要能依照重要性(輕重緩急)提供符合使用者需求的可用性。

可能威脅

  • DoS 阻斷服務攻擊(Denial of Service):可利用防火牆或其他方式(如 CDN),防止未經授權的連線,減少 DoS 造成的影響。
  • 電力中斷:加大供電設備容量、備用發電機。
  • 硬體故障:準備備用硬體以供隨時更換。
  • 資料毀損:定期備份並異地存放,減少因各種原因導致資料毀損或滅失的風險。
  • 服務中斷:系統故障等。

上一篇
[Day 1] Certified in Cybersecurity(CC)簡介
下一篇
[Day 3] 身分驗證三原則(AAA、3A)與隱私保護
系列文
30 天取得 ISC2 Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言