前言
資訊安全(Information Security)指的是保護數位資料的機密性、完整性和可用性,防止未經授權的存取、篡改或破壞。其目的是確保信息在傳輸和存儲過程中不被泄露、篡改或丟失,並維持業務運行的正常性。這通常涉及加密技術、身份驗證措施、訪問控制和風險管理策略等多方面的保護措施。
名詞區分
資訊安全這一術語經常與電腦資安和資訊保障(Information Assurance)混用,儘管這些領域彼此相關且共享保護資訊機密性、完整性和可用性的共同目標,但它們之間仍存在一些細微的差異。
這些差異主要體現在達成目標的方法、策略和重點領域。資訊安全關注所有形式的資料保護,無論是電子、印刷還是其他形式;電腦資安則著重於確保電腦系統的可用性和正確操作,而不一定關注記憶體中儲存或產生的資訊。要保障資訊安全,必須實施信息來源認證、訪問控制、禁止非法軟體駐留以及防止未授權操作等措施。
歷史
自從人類開始使用書寫文字,國家領袖和軍事指揮官就意識到,保證通訊的機密性和驗證其完整性是至關重要的。凱撒在公元前50年左右創造了凱撒密碼,旨在防止秘密信息落入不應得之人的手中。第二次世界大戰期間,資訊安全領域取得了顯著進展,並逐漸發展為一門專業學科。
20世紀末和21世紀初,通訊技術、電腦硬體和軟體以及資料加密技術取得了飛速發展。功能強大且價格合理的計算設備使得小型企業和家庭用戶也能負擔並掌握電子資料的處理。這些電腦迅速通過網際網路或全球資訊網相互連接。隨著網際網路上電子資料處理和電子商務應用的快速增長,以及國際恐怖主義事件的增加,對於保護電腦及其所儲存、處理和傳輸資訊的需求日益迫切。電腦資安、資訊安全和資訊保障等學科相繼興起,並與許多專業組織一起致力於確保資訊系統的安全性和可靠性。
關鍵觀念:CIA
資訊安全的內容可以簡化為下列三個基本點,稱為CIA三要素,此觀點似乎最早在NIST於1977年所發行的出版品中提到。
機密性
機密性(Confidentiality)確保資料傳遞與儲存的隱密性,避免未經授權的使用者有意或無意的揭露資料內容。
完整性
資料完整性(Integrity)代表確保資料無論是在傳輸或儲存的生命週期中,保有其正確性與一致性。
可用性
在資訊安全領域,可用性(Availability)是成功的資訊安全計畫應具備的需求,意及當使用者需透過資訊系統進行操作時,資料與服務須保持可用狀況(能用),並能滿足使用需求(夠用)。
3A
認證(Authentication)
識別資訊使用者的身分,可記錄資訊被誰所存取使用,例如:透過密碼或憑證方式驗證使用者身分。
做法:
你所知道的(Something you know):帳號/密碼
你所擁有的(Something you have):IC卡、數位裝置、數位簽章、一次性密碼(OTP)
你所具備的(Something you are):指紋、虹膜、聲紋、臉部特徵、靜脈脈紋、DNA
授權(Authorization)
依照實際需求給予實體適當的權限,一般建議採最小權限(Least privilege),意即僅給予實際作業所需要的權限,避免過度授權可能造成的資訊暴露或洩漏。
資訊系統層面的實務存取控制方法分類如下:
強制存取控制(Mandatory Access Control)
自由選定存取控制(Discretionary Access Control)
以角色為基礎的存取控制(Role-Based Access Control)
以規則為基礎的存取控制(Rule-Based Access Control)
紀錄(Accounting)
內容項目包含量測(Measuring)、監控(Monitoring)、報告(Reporting)與紀錄檔案(Logging),以便提供未來作為稽核(Auditing)、計費(Billing)、分析(Analysis)與管理之用,主要精神在於收集使用者與系統之間互動的資料,並留下軌跡紀錄。
資訊安全三要素之間存在互相牽制的關係,例如:過度強化機密性時,將造成完整性與可用性的降低,需要高可用性的系統則會造成機密性與完整性的降低,因此在有限資源的前提下,在資訊安全三要素中取得適當的平衡是資訊安全管理階層的重要課題。
對資訊安全的認識經歷了的資料資安階段(強調保密通訊)、網路資訊安全時代(強調網路環境)和目前的資訊保障時代(強調不能被動地保護,需要有保護——檢測——反應——恢復四個環節)。
資安技術嚴格地講僅包含3類:隱藏、訪問控制和密碼學。
典型的資安應用有:
參考資料
iThome鐵人賽
看影片追技術