資訊安全需由上往下談起

最近台灣資訊人員的教育訓練、考證照...最熱門的，莫過於 資訊安全領域了。

資安即國安，不僅是口號、是政府的政策、也是需要大家共同重視的議題。政府已經開始要求台灣金融與上市櫃公司必須要有一定的作為，包括要有 副總級的人擔任資安長，並有相關配套的系列要求。

筆者也覺得「資訊安全需由上往下談起」，主要是因為：(1)資安很花錢；(2)資安風險對高層影響更大。如
果不是來自高層的指示，大部分的資安提案往往是胎死腹中。

就因為資安很花錢，所以要花那些錢、對應到公司那些風險層面，需要由高層評估並向董事會報告，那些項目要花錢去做、那些事不花錢、但如果遇到風險，公司經營上必須承受...等等，都得公司高層的明確指示。

身為 IT 人員，最重大的責任就是告訴老闆：這些事是老闆的事 (起碼得是老闆起頭)，我們則是輔佐老闆辨識風險、並規避風險。

💡 資安不是買東西，是買「不中斷」

資訊安全包含多個面向

筆者歸納資訊安全包括三個面向：意識面、管理面、技術面。意識面：最容易被忽略，但若欠缺安全意識，其實也就不會去重視 資訊安全。

資訊安全相關的證照大致也可區分為：高階管理人員、技術落實執行人員 這兩大面向。管理人員的證照層面廣、但不在於技術細節，重點在與風險控管與危機處理。

以管理/治理導向的黃金證照 CISSP 來說，共有八大領域，分別如下：

1. 意識面：領域1：安全與風險管理（Security and Risk Management）
2. 管理面：
   • 領域1：安全與風險管理（部分管理內容）
   • 領域2：資產安全（Asset Security）
   • 領域6：安全評估與測試（Security Assessment and Testing）
   • 領域7：安全營運（Security Operations）
3. 技術面：
   • 領域3：安全架構與工程（Security Architecture and Engineering）
   • 領域4：通訊與網路安全（Communication and Network Security）
   • 領域5：身分識別與存取管理（Identity and Access Management）
   • 領域8：軟體開發安全（Software Development Security）

CompTIA 屬於技術落實的面向的證照，常見的有：資安入門 Security + 、 資深技術人員的 Security x ，安全分析領域的 CySA+ 、 滲透測試 PenTest+ ，進階安全從業人員 CASP+ ...

資安領域可以說，只要你想做、加上錢夠多，那是做不完的...；但企業往往資源有限，會有取捨，而這個取捨則需要高階人員主導與辨識。所以筆者才說：資訊安全需由上往下。

CIA 三元組

所謂的 CIA 三元組為：機密性（Confidentiality）、完整性（Integrity）、**可用性（Availability）。CIA 三元組，多見於資訊安全領域文章，您可能也常看過。筆者僅 簡要的整理與提醒如下：

💡 一句話搞懂：**機密性（Confidentiality）**不外流、**完整性（Integrity）**不被改、**可用性（Availability）**不當機。

• 機密性 Confidentiality

  • 機密性是指確保資訊僅能被授權人員存取，防止未經授權的披露。這是資安的隱私權核心，組織必須制定相關措施，只允許授權使用者存取敏感資訊。
  • 常見實現方式：資料加密、MFA 多因素驗證、存取控制/最小權限、資料分級、物理性安全
  • 常見風險：弱密碼、權限給太大「人人可讀」、輕易就被釣魚拿、離職未停權。

• 完整性 Integrity

  • 完整性意味著資訊在儲存、傳輸和處理過程中保持準確、完整，未被篡改、損壞或遺失。這確保了資料的可靠性和可信度。
  • 常見實現方式：管控變更（有審核/可回復）、備份/快照、雜湊/簽章、檔案完整性監控（FIM）。
  • 常見風險：勒索/木馬竄改、權限過大導致駭客可以任意做為、軟體中毒。

• 可用性 Availability

  • 可用性是指資訊和資訊系統在需要時能夠被授權使用者正常存取和使用。
  • 常見實現方式：3-2-1 備份（含異地/離線）、HA/容錯、監控告警、RPO/RTO 演練。
  • 常見風險：單點故障、DDoS、誤刪/同批硬碟壞、未演練還原。

CIA 三元組很容易記憶、可以當作 IT Support 日常工作中的檢核，但要能三項都能達成，卻也不容易。

💡 機密＝誰能看；完整＝沒被改；可用＝要用就有。

RTO 與 RTO

在資訊安全和災難復原領域中，RTO 和 RPO 是兩個關鍵的衡量指標，用於評估企業在面臨系統中斷或災難時的復原能力。

RTO（Recovery Time Objective）復原時間目標

RTO是指系統從中斷到恢復正常運作所需的最長時間。這個指標回答了一個關鍵問題：「當災難發生時，我們最多能容忍多久的系統停機？」

RTO 的重要特徵：

• 時間導向：專注於系統恢復所需的時間長度
• 業務連續性：RTO 數值越小，代表系統發生異常時恢復速度越快
• 成本考量：更短的 RTO 通常需要更高的投資成本

💡 RTO 控「停多久」，RPO 控「少多少」。

RPO（Recovery Point Objective）復原點目標

RPO是指系統中斷到重啟期間，企業能容忍的最大資料損失量。這個指標關注的是：「我們最多能接受損失多少資料？」

RPO 的重要特徵：

• 資料導向：專注於資料完整性和損失程度
• 備份頻率：RPO 取決於資料備份的頻率
• 時間點概念：恢復後的資料對應到某個特定時間點

RTO與RPO的關係與差異

目標與成本

• 希望越短的 RPO ，也就是資料遺失要少，那就得投入頻繁的備份、及建置高可用系統。
• 希望越短的 RTP ，也就是故障後越快修好，哪取決於是否有隨時的備用機器，以及一整套的還原演練。

零信任原則

零信任（Zero Trust）是一種新的、革命性的資訊安全策略，徹底改變了傳統「信任但驗證」的安全模式。它的核心理念是**「永不信任，始終驗證」（Never trust, always verify）**，假設威脅可能存在於網路內外任何地方，因此每一次存取請求都必須經過嚴格驗證。

根據微軟和NIST標準，零信任原則有三大核心：

• 明確驗證（Verify explicitly）：每次存取都要核實身分、裝置狀態、位置、風險分數與敏感度。
• 最小權限（Least privilege access）：只給完成任務所需的最小範圍／最短時間（JIT/JEA）。
• 假設已遭入侵（Assume breach）：網路要適當分段、強化監控與記錄，預設駭客已在入侵並在內部潛伏。

💡 零信任不是不信任人，是不信任意外、是不信任「想不到」...

風險管理

資安風險管理在各種規模企業已是不可或缺、須被重視，其本質是 「事前預防」的概念，目標是以最小的成本應對最大的危機。

也就是說，風險管理的核心在於 識別、分析和應對風險，同時必須衡量應對風險的成本。

比如：公司決策是一個星期備份一次，那麼當資安侵入或設備故障，最大的損失就是一個星期的資料，這就是 風險值，管理層或企業高層必須辨識出這個風險對企業經營的影響，如果不能接受就得加密備份頻率或建立高可用設備；加密備份頻率或建立高可用設備，得付出成本，如果成本太大企業決定維持原狀，那管理層或企業高層就得接受風險。

風險管理在：辨識、規避、降低、轉移、接受...中持續循環。

💡 長期持有高權限是定時炸彈。

多層防禦策略

多層防禦策略的核心理念，就是不要只依靠單一層防禦、單一設備來進行防禦，以避免單點失效所帶來威脅。

根據國家資通安全研究院的數據，台灣每天遭受約 240 萬次網路攻擊，年約十億次，這大部分攻擊能被成功攔截的部分原因也在於 多層防禦策略，比如中小企業基本會有 防火牆、端點防護 (防毒軟體)，還有的企業有：入侵偵測系統（IDP）、網路偵測回應（NDR）...等，也非常關鍵。

未來是 AI 的世界，面對未來 AI驅動攻擊及多層次滲透手法、零時差漏洞利用...，現有防禦機制是否足夠，則是要經常動態觀察與調整。

小結

近年來，資安公司很多、推出各種五花八門的安全產品，每個產品都很有道理、很值得甚至很必要採用，只因為價格不斐，所以才沒發生「小孩才做選擇，我全都要」...

所以，今天資安議題先把重點放在「觀念與決策」：建議是由上而下確立方向與預算，再用 CIA 三元組校準目標，配上 RTO/RPO 量化營運韌性，以零信任與多層防禦做為日常運作框架；最後用風險管理把資源用在刀口上。希望提出一些考量點，讓企業內部先有個討論、高層能給出方向。才有利後續的進行。

筆者的經驗是，台灣的企業，不論大小，花錢的事老闆頭都很大、也很猶豫，常常考慮許久而沒有下文。

還沒等到老闆明確指示之前， IT Support 能夠掌握的事就是：(1)盡力把各系統該備份的資料考量到，並確認有人在做備份。(2)應用現有設備，把防禦工程最到最好。最後就，就等有事的時候再說囉...(無奈中)

💡 預算有限也能有韌性：MFA(多因素驗證) ＋ 備份3-2-1 ＋ 演練，三招先做好。