iT邦幫忙

2024 iThome 鐵人賽

DAY 6
0

安全管理的定義

綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,導致資訊資產遭不當使用、洩漏、竄改、破壞等情事

安全目標

1.機密性:資料不得被未經授權之個人、實體或程序所取得或揭露的特性,主要的對象是資料
2.整體性:對資訊資產之精確與完整安全保證的特性,整體性要求資料只能以可接受的方式更改、只能被已授權的人員處理或更改、相關資料間必須保持一致性以及有意義的正確結果
3.可用性:為已授權之實體在需要時可存取與使用的特性

除以上三個目標,在ISO27001 的規範中指出,為保護資訊之機密性、整體性與可用性,得增加以下特性:
1.鑑別性:確保一主體或資源之識別就是其所聲明者的特性。
2.可歸責性:確保實體之行為可唯一追溯到該實體的特性。
3.不可否認性:對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。
4.可靠性:始終如一預期之行為與結果的特性。

考量方向:
首重實體安全,實體若不安全,則無序考量其他

1.實體安全

  • 讓所保護的實體位置不要成為受攻擊的目標
  • 能夠及時偵測到入侵或竊盜行為的發生
  • 在損失重要資訊或系統遭入侵後,能及時復原

2.資料安全

  • 建立資料檔案等級分類管理制度、檔案保管人與維護人清單
  • 針對資料存取、系統存取、網路存取等設定控制機制
  • 設定加密機制、記錄資料流向

3.程式安全

  • 確保程式在開發和測試過程中遵循安全編碼標準,防止程式漏洞和後門的存在,這些漏洞可能會被攻擊者利用來入侵系統
  • 定期檢查並修補程式中的漏洞,確保所有應用程序和軟件都保持最新版本,避免因漏洞而導致的安全風險
  • 實施程式碼簽名和完整性檢查,防止程式被未經授權的修改或替換

4.系統安全

  • 確保所有系統配置符合安全標準,避免使用默認賬戶和密碼,並定期審查系統設置以防範潛在威脅
  • 部署防火牆和入侵防禦系統(IDS/IPS),以監控和阻止惡意流量和攻擊行為,保護系統不受外部威脅的侵害
  • 開啟系統日誌功能,並實施持續的系統監控,及時發現和響應可疑活動或攻擊跡象

安全評量

橘皮書(《受信任電腦系統評估標準》,TCSEC)以其系統安全等級劃分而著稱,從多個方面來評估系統的安全性

  1. 安全性政策:系統中規定如何管理和控制存取權限的規則,以保護資料的機密性、完整性和可用性
  2. 帳戶辨識紀錄能力:涉及系統對用戶身份的辨識與驗證能力,以及對各種操作的記錄和審計功能
  3. 可靠度:系統在受到攻擊、錯誤操作或意外故障時能保持正常運作並保護數據安全的能力
  4. 說明文件:指與系統安全相關的設計、實施、測試和維護文檔,用於描述系統的安全功能以及如何達成這些功能

上一篇
Day05 醫療資訊標準
下一篇
Day07 醫療資訊安全(2)
系列文
醫學資訊管理師證照攻略:我的備考筆記與重點分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言