何謂資訊安全?

資訊安全的定義

Ø資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價值，因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅，確保持續營運、將營運損失降到最低。
 

–資產分類可分為：

•實體資產：如電腦、設備等
•人員：員工
•書面文件：如合約書、使用手冊等
•服務：如通訊、技術等
•資訊資產：如資料檔案、應用程式、系統軟體等
•公司形象與聲望

Ø機密性(Confidentiality)

確保只有獲得授權的人才能存取資訊，保護資訊不被非法存取或揭露。
確保資料傳遞與儲存的私密性，機密資料必須加密處理。
避免未經授權的使用者有意或無意揭露資料內容。
技術面：採用安全性傳輸協定，例如：SSL(Secure Sockets Layer)、IPSec(Internet Protocol Security)等。
 

Ø完整性(Integrity)

保護資訊與處理方法的正確性與完整性，確保資訊沒有不當的修改或損毀。
避免非經授權的使用者或處理程序篡改資料。
文件經傳送或儲存過程中，必須證明其內容未遭竄改或偽造。
技術面：採用安全性技術，例如：雜湊函數MD5、SHA-1等(國外會參考Federal Information Processing Standards (FIPS，聯邦資訊處理標準))。
 

Ø可用性(Availability)

資料必須即時並可靠的提供給使用者。
系統的高度可用性必須確保重要資訊系統不可中斷服務。
技術面：採用安全技術，例如：HA ( High Availability) 、Clustering、RAID(Redundant Array of Independent Disks)、多備援系統及主動防禦等機制。
 

Non-repudiation (不可否認性) ‧

防止存心不良的使用者否認其所做過的事，包括送出 信件，接收文件，存取資料等
。 ‧即交易的收發雙方參與安全管制並無法否認執行過的 交易
‧例如數位簽署就具備不可否認性
 

Authentication(身分鑑別)

‧辨別資訊使用者的身份
‧即可以記錄資訊是被誰使用過
‧例如帳號、身份字號、員工編號。
 

Authority(存取權限控制)

‧依照身份給予適當的權限
例如：銀行的櫃臺是不被允許進入保險櫃
，僅有組長 以上的權限才能進入。

資訊安全控制措施如何執行？

–要達到資訊安全就必須實施適當的控制措施，譬如資訊安全政策、實務規範、程序、組織架構及軟、硬體功能，為了達成營運既定的安全目標， 就必須建立這些控制措施。

 

安全控制措施的分類&例子

資訊安全基本防護概念

Ø進不來