資訊保安
| 此條目需要精通或熟悉相關主題的編者參與及協助編輯。 (2010年12月18日) |
資訊保安,意為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。政府、軍隊、公司、金融機構、醫院、私人企業積累大量與僱員、顧客、產品、研究、金融數據有關的機密資訊,而絕大部分的資訊現在被收集、產生、儲存在電腦內,並通過網絡傳送到別的電腦。如果企業的顧客、財政狀況、新產品線的機密資訊落入競爭對手的掌握,這種安全性的喪失可能會導致經濟上的損失、法律訴訟甚至該企業的破產。保護機密的資訊是商業上的需求,而在許多情況中也是道德和法律上的需求。
| 「資訊保安」的各地常用名稱 | |
|---|---|
| 中國大陸 | 信息安全 |
| 臺灣 | 資訊安全 |
| 港澳 | 資訊保安 |
對於個人來說,資訊保安對於個人私隱具有重大的影響,但這在不同的文化中的看法差異很大。資訊保安在最近這些年經歷巨大變化。有很多方式進入這一領域,並將之作為一項事業。它提供了許多專門的研究領域,包括:安全的網絡和公共基礎設施、安全的應用軟件和資料庫、安全測試、資訊系統評估、企業安全規劃以及數字取證技術等等。為保障資訊保安,要求有資訊源認證、訪問控制,不能有非法軟件駐留,不能有未授權的操作等行為。
名詞區分 編輯
資訊保安這一術語,與電腦安全和資訊保障(information assurance)等術語經常被不正確地互相替換使用。這些領域經常相互關聯,並且擁有一些共同的目標:保護資訊的機密性、完整性、可用性;然而,它們之間仍然有一些微妙的區別。
區別主要存在於達到這些目標所使用的方法及策略,以及所關心的領域。資訊保安主要涉及數據的機密性、完整性、可用性,而不管數據的存在形式是電子的、印刷的還是其它的形式;電腦安全可以指:關注電腦系統的可用性及正確的操作,而並不關心電腦記憶體儲或產生的資訊。為保障資訊保安,要求有資訊源認證、訪問控制,不能有非法軟件駐留,不能有未授權的操作等行為。
歷史 編輯
自從人類有了書寫文字之後,國家首腦和軍隊指揮官就已經明白,使用一些技巧來保證通訊的機密以及獲知其是否被篡改是非常有必要的。凱撒被認為在公元前50年發明了凱撒密碼,它被用來防止秘密的訊息落入錯誤的人手中時被讀取。第二次世界大戰使得資訊保安研究取得許多進展,並且標誌着其開始成為一門專業的學問。
20世紀末以及21世紀初見證通訊、電腦硬件和軟件以及數據加密領域的巨大發展。小巧、功能強大、價格低廉的計算裝置使得對電子數據的加工處理能為小公司和家庭用戶所負擔和掌握。這些電腦很快被通常稱為互聯網或者萬維網的網絡連接起來。在互聯網上快速增長的電子數據處理和電子商務應用,以及不斷出現的國際恐怖主義事件,增加了對更好地保護電腦及其儲存、加工和傳輸的資訊的需求。電腦安全、資訊保安、以及資訊保障等學科,是和許多專業的組織一起出現的。他們都持有共同的目標,即確保資訊系統的安全和可靠。
基本原理 編輯
關鍵概念 編輯
資訊保安的內容可以簡化為下列三個基本點,稱為CIA三要素,此觀點似乎最早在NIST於1977年所發行的出版品中提到。[1]
機密性 編輯
機密性(Confidentiality)確保資料傳遞與儲存的隱密性,避免未經授權的用戶有意或無意的揭露資料內容。[2]
完整性 編輯
數據完整性(Integrity)代表確保資料無論是在傳輸或儲存的生命週期中,保有其正確性與一致性。[3]
可用性 編輯
在資訊保安領域,可用性(Availability)是成功的資訊保安計劃應具備的需求,意及當用戶需透過資訊系統進行操作時,資料與服務須保持可用狀況(能用),並能滿足使用需求(夠用)。[4]
其他特性 編輯
- 可鑑別性(Authenticity):能證明主體或資源之識別就是所聲明者的特性。
- 可歸責性(Accountability):確保實體之行為可唯一追溯到該實體的性質。
- 不可否認性(Non-repudiation):對已發生的動作或事件的證明,使發起該動作或事件的實體,往後無法否認其行為。實務上做法採用數碼簽章技術。
3A 編輯
認證(Authentication) 編輯
識別資訊用戶的身份,可記錄資訊被誰所存取使用,例如:透過密碼或證書方式驗證用戶身份。
實務做法:
- 你所知道的(Something you know):帳號/密碼
- 你所擁有的(Something you have):IC卡、數碼裝置、數碼簽章、一次性密碼(OTP)
- 你所具備的(Something you are):指紋、虹膜、聲紋、臉部特徵、靜脈脈紋、DNA
授權(Authorization) 編輯
依照實際需求給予實體適當的權限,一般建議採最小權限(Least privilege),意即僅給予實際作業所需要的權限,避免過度授權可能造成的資訊暴露或洩漏。
資訊系統層面的實務存取控制方法分類如下:
- 強制存取控制(Mandatory Access Control)
- 自由選定存取控制(Discretionary Access Control)
- 以角色為基礎的存取控制(Role-Based Access Control)
- 以規則為基礎的存取控制(Rule-Based Access Control)
紀錄(Accounting) 編輯
內容項目包含量測(Measuring)、監控(Monitoring)、報告(Reporting)與紀錄檔案(Logging),以便提供未來作為稽核(Auditing)、計費(Billing)、分析(Analysis)與管理之用,主要精神在於收集用戶與系統之間互動的資料,並留下軌跡紀錄。
資訊保安三要素之間存在互相牽制的關係,例如:過度強化機密性時,將造成完整性與可用性的降低,需要高可用性的系統則會造成機密性與完整性的降低,因此在有限資源的前提下,在資訊保安三要素中取得適當的平衡是資訊保安管理階層的重要課題。
對資訊保安的認識經歷了的數據安全階段(強調保密通訊)、網絡資訊保安時代(強調網絡環境)和目前的資訊保障時代(強調不能被動地保護,需要有保護——檢測——反應——恢復四個環節)。
典型的安全應用有:
過程控制 編輯
突發事件控制 編輯
「網絡與訊息安全事件」(Network & Information Security Incident)是突發事件的一種,也被稱為「訊息安全事件」(Information Security Incident)。網絡與訊息安全事件在業界尚未有統一的定義,政府管理、科學研究、企業根據各自的關注點對其的理解也存在一定的差異。至於中華人民共和國國家質素監督檢驗檢疫總局和中國國家標準化管理委員會制定發佈的兩個現行技術標準中,對該術語的定義如下:
- 在《訊息技術 安全技術 訊息安全事件管理指南》(GB/Z 20985-2007)中被定義為「由單個或一系列意外或有害的訊息安全事態所組成的,極有可能危害業務運行和威脅訊息安全。」
- 在《訊息安全技術 訊息安全事件分類分級指南》(GB/Z 20986-2007)中被定義為「
各國法律、法規與標準 編輯
中國大陸最重要的資訊保安標準體系是「信息安全等級保護體系」,該體系在所有主要行業進行推廣,並對資訊保安行業的發展產生了重要影響。臺灣由行政院頒佈「資通安全管理法」主要涵蓋對象為中央、地方機關與公法人,及金融、能源、交通等關鍵基礎建設提供者,並影響前述單位的組織架構、資訊保安方針及預算分配。
參考文獻 編輯
- ^ A. J. Neumann, N. Statland and R. D. Webb. Post-processing audit tools and techniques (PDF). US Department of Commerce, National Bureau of Standards: 11–3––11–4. 1977 [2021-03-16]. (原始內容存檔 (PDF)於2021-04-27).
- ^ Beckers, K. Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. 2015: 100 [2021-03-16]. ISBN 9783319166643. (原始內容存檔於2021-04-27).
- ^ Boritz, J. Efrim. IS Practitioners' Views on Core Concepts of Information Integrity. International Journal of Accounting Information Systems (Elsevier). 2005, 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001.
- ^ Csapo, Nancy; Featheringham, Richard. COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES. Issues In Information Systems. 2005. ISSN 1529-7314. doi:10.48009/1_iis_2005_311-317.