iT邦幫忙

0

Cyber security -5 Module2 安全控制Security controls

  • 分享至 

  • xImage
  •  

privacy

  • effective data handling processes
  • he role of encryption and hashing in safeguarding information
  • the standard access controls that companies use to authorize and authenticate users.

安全控制

安全控制的定義:

安全控制是旨在減少特定安全風險的保護措施,使用於防止信息被盜取或曝光。

主題 內容
安全控制的類型 1. 技術控制 (Technical Controls): 包括加密、認證系統等。
2. 操作控制 (Operational Controls): 包括意識培訓和事件響應。
3. 管理控制 (Managerial Controls): 通過政策、標準和程序減少風險。
信息隱私 是資訊不被未經授權的訪問和分發的保護,涉及個人對私密信息的選擇權。
原則 - 最少特權 限制基於用戶和情況的訪問權限的原則。
數據擁有者與數據保管者 數據擁有者:決定誰可以訪問、編輯、使用或銷毀信息的人。
數據保管者:負責安全處理、運輸和存儲信息的任何人或事物。
信息作為資產 數據需妥善分類和處理,以確保信息隱私。

安全控制類型 Security controls types

technical, operational, and managerial.

安全控制類型 定義 例子
技術控制 (Technical Controls) 利用技術手段來保護資訊資產,防止未經授權的存取、修改或破壞。 加密 (Encryption): 將資料轉換為無法讀取的格式,只有授權者可解碼。
防火牆 (Firewall): 過濾進出網路的資料流量。
多因素認證 (Multi-factor Authentication): 需多重驗證才能登入系統。
入侵偵測系統 (IDS): 偵測未經授權的存取或攻擊。
操作控制 (Operational Controls) 由人員執行的日常程序與措施,確保資訊安全政策得以落實。 資安意識訓練 (Security Awareness Training): 教育員工如何辨識釣魚郵件。
Operational controls relate to maintaining the day-to-day security environment. Generally, people perform these controls like awareness training and incident response. 事件回應計劃 (Incident Response Plan): 發生資安事件時的處理流程。
實體存取控制 (Physical Access Control): 僅授權人員可進入機房。
定期備份 (Regular Backups): 定期備份資料以防遺失。
管理控制 (Managerial Controls) 透過政策、標準、程序等管理措施,規範組織如何管理和減少風險。 資訊安全政策 (Information Security Policy): 規範組織整體資安方向。
風險評估 (Risk Assessment): 評估潛在威脅與弱點。
存取控制政策 (Access Control Policy): 制定誰有權限存取哪些資訊。
標準作業程序 (Standard Operating Procedures, SOPs): 規範作業流程。

One of the most common controls is the principle of least privilege,PoLP or least privilege

最小權限原則 (Principle of Least Privilege)

實施最小特權原則能大幅降低數據洩露等昂貴事件的風險

  • 通過限制對敏感信息的訪問Limiting access to sensitive information
  • 減少意外數據修改或丟失的機會Reducing the chances of accidental data modification, tampering, or loss
  • 支持系統監控和管理等方式來實現。Supporting system monitoring and administration
主題 內容
基本概念 最小權限原則(PoLP)是一種安全控制,僅授予用戶完成任務所需的最低訪問和授權級別。
減少風險的方式 限制對敏感信息的訪問;降低意外數據修改的機會;支持系統監控和管理;限制操作以減少攻擊成功率。
實施步驟 1. 確定用戶身份及訪問需求2. 設定用戶帳戶類型(Guest、User、Service、Privileged)。
帳號審計的重要性 定期審計用戶帳戶以維持系統安全性。三種常見的審計方法:Usage audits、Privilege audits、Account change audits。
要點 最小權限原則有助於減少未經授權訪問的風險。配置和審計用戶帳戶是實施最小權限的關鍵步驟。

確定訪問權限和授權要素要先確定最低特權

  • Who is the user?
  • How much access do they need to a specific resource?

設定用戶帳戶類型:

Guest accounts:外部用戶的帳號。
User accounts:根據工作職責分配給員工的帳號。
Service accounts:應用或軟件的帳號。
Privileged accounts:具備提升權限或管理訪問。

三種常見的審計方法:

Usage audits:檢查各帳戶訪問的資源及用戶行為。
Privilege audits:評估用戶角色與其訪問的資源是否一致,防止權限膨脹(privilege creep)。
Account change audits:檢查帳戶更改記錄,以確保更改由授權用戶進行。

數據生命周期 (Data Lifecycle)

  • 數據的三種狀態:靜態 (At Rest)、使用中 (In Use)、傳輸中 (In Transit)。
  • 數據生命周期包含五個階段:
    • 收集 (Collect)
    • 儲存 (Store)
    • 使用 (Use)
    • 存檔 (Archive)
    • 銷毀 (Destroy)

數據治理 (Data Governance)

  • 定義如何管理信息的過程/規則 a set of processes that define how an organization manages information.

怎麼管理?用「班級規則」比喻

📖 統一格式:所有人用藍筆寫、答案寫在格子裡 → 確保資料「整齊一致」
🔒 權限管控:只有班長能修改答案 → 防止「亂改資料」
👀 定期檢查:老師每週檢查筆記 → 確保資料「正確可信」
🚫 隱私保護:禁止寫同學的個人秘密 → 保護「敏感資訊」

現實中的例子

社群軟體:為什麼不能隨便公開別人的照片?→ 數據治理的「隱私規則」
線上遊戲:為什麼駭客偷帳號會被懲罰?→ 數據治理的「安全防護」
學校系統:為什麼老師能看全班成績,學生只能看自己的?→ 數據治理的「權限管理」

主要角色:

角色名稱(英文專業術語) 主要職責與說明
數據擁有者 (Data Owner) - 通常是數據的產生者或業務負責人
- 決定誰可以存取、編輯、使用或銷毀數據
- 負責數據的合規性和正確性
- 設定數據的等級(如敏感度、保密級別)
數據管理員 (Data Custodian) - 負責數據的日常管理與技術維護
- 執行數據的備份、還原、加密、傳輸和儲存
- 根據數據擁有者的指示實施安全措施
- 確保數據不被未授權存取、遺失或損毀
數據管家 (Data Steward) - 維護數據品質與一致性
- 制定並執行數據治理政策和流程
- 作為不同部門之間的協調者,確保政策落實
- 教育和訓練同仁正確處理數據

數據保護 (Protecting Data)

  • 數據治理政策規範如何管理數據。
  • 安全專業人員在數據治理中扮演重要角色。

法律保護的信息 (Legally Protected Information)

  • 包括個人可識別信息 (Personally Identifiable Information, PII) 和受保護的健康信息 (Protected Health Information, PHI)。
  • 對於敏感個人信息 (Sensitive PII, SPII) 要採取嚴格的處理指導原則。

Information privacy: Regulations and compliance

資訊隱私:法規和合規性:

  • 安全性與隱私密切相關,個人有權控制其資料的收集和使用。
  • 組織需負責保護所收集的資訊不被濫用或泄露

資訊安全 (InfoSec) vs. 資訊隱私 (Privacy)

類別 資訊安全 (InfoSec) 資訊隱私 (Privacy)
核心目標 保護所有數據(包含個人、商業、系統資料)免受未經授權的訪問、篡改或破壞。 確保個人對其「個人數據」的收集、使用和共享擁有控制權。
技術手段 防火牆、加密技術、存取控制、漏洞修補等技術性措施。 數據最小化、匿名化、透明化通知、用戶同意機制(如 Opt-in/Opt-out)。
法規關聯性 實現隱私保護的技術基礎(例如 GDPR 要求的安全措施需依賴 InfoSec 實現)。 規範數據處理的合法性(例如 GDPR 要求組織必須先取得用戶同意才能收集數據)。
風險類型 數據洩露、系統入侵、勒索軟體等技術性威脅。 侵犯個人權利(如未經同意共享數據)、違反法律合規性。

隱私在安全中的重要性

  • 隨著科技發展,資料的收集與使用引發了許多隱私問題。
  • 法規尚不健全時,資料保護措施往往不一致。

重要隱私法規

法規 適用範圍 核心要求 關鍵條款 處罰機制
GDPR(General Data Protection Regulation ) 歐盟公民或居民,無論企業所在地 1. 數據主體權利(存取、更正、刪除)2. 數據可攜性3. 數據保護影響評估(DPIA)4. 72小時內通報資料外洩 [第17條] 被遺忘權[第20條] 數據可攜權[第33條] 外洩通報義務 最高罰款 [全球年營業額的 4%] 或 [2000萬歐元](取較高者)
PCI DSS(Payment Card Industry Data Security Standard) 所有處理信用卡交易的組織 1. 保護持卡人數據(加密儲存與傳輸)2. 定期漏洞掃描與滲透測試3. 存取控制與日誌記錄 要求 12 項安全控制措施,涵蓋網路安全、存取管理、監控測試等 罰款由信用卡公司決定(每月 $5,000–$100,000),嚴重違規可能失去信用卡處理資格
HIPAA(Health Insurance Portability and Accountability Act) 美國醫療機構、保險公司、健康資訊交換機構 1. 保護「受保護健康資訊(PHI)」2. 限制未授權存取與揭露3. 患者存取自身醫療紀錄的權利 [隱私規則] 患者知情權與資料存取權[安全規則] 技術/實體/行政性保護措施[違規通報] 重大外洩需通報衛生部與媒體 分級罰款:- 無知違規:$100–$50,000/次- 故意違規:最高 $1.5M/年 + 刑事責任(最高 10 年監禁)

安全評估和審計

  • 安全審計security audit:檢查review組織的安全控制與程序符合預期標準。
  • 安全評估security assessment:check檢查當前安全實施對威脅的抵禦能力。
  • 兩者是確保組織合規與資料保護的重要方式。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言