背景說明:
資安的工作基本上是建立在管理上,ISMS(Information System Management System)是一套有系統的分析和管理資訊安全風險的方法,資安所涵蓋的不只是入侵、故障或危害資料的行為,還包含人員上的管理,硬體上的管理與環境上等事務
資安的四種領域
人員
因為疏失或缺乏資安概念而造成組織內的資安危害,例如隨意下載造成中毒或未妥善保管電腦帳號與密碼
環境
機房需有門禁管制以及監控,硬體上需要配置不斷電系統預防電力無預警中斷
設備
不可使用原廠預設值或容易猜出的密碼
資料
機密性:不能被無權限的使用者看到資料內容
完整性:沒經過本人同意資料不可隨意被竄改
可用性:伺服器所提供的服務需能正常服務
以上三點簡稱為CIA
對稱式加密
加密與解密來自同一個金鑰(密碼)
機密性:假如傳輸過程被惡意攔截,沒有金鑰所看到的也是沒有意義的密文
完整性:假如傳輸過程被更動過內容將無法正常解密
不可否認性:金鑰如同私章,是互相所認可的,一旦可解密即可認定是對方所發出的
來源性:金鑰可查詢紀錄來查出金鑰的主人
常見的對稱式加密:DES(56bit)、IDEA(128bit)、RC5(2048bit)、AES(128bit、192bit、256bit)、3DES(168bit)
非對稱式加密
加密(公共金鑰)與解密(私鑰)不同的金鑰(密碼)
使用者使用公鑰加密後,可利用對應的私鑰解密,假如是使用私鑰加密即可利用對應的公鑰解密,效率比對稱式加密還要慢
常見非對稱式加密:RSA(2048bit)
資安三類產品
防火牆
入侵偵測系統
弱點掃瞄系統
入侵偵測系統又可分為網路型入侵偵測系統(NIDS),主要針對網域中惡意攻擊的封包並且將資訊記錄在log
主機型入侵偵測系統(HIDS),直接安裝在各主機上監控主機上的資源
ISMS
ISMS是一套有系統的分析和管理資訊安全風險的方法,主要實施流程為PDCA
P(Plan):定義範圍並且分析可能引發的風險
D(Do):擬定風險處理計畫,並指定負責單位及處理流程,需定義一個標準是否有達到效果,須定時實施資安的教育訓練避免人員問題所造成的資安風險
C(Check):定期實施資安查核,需要考量外在環境的變化重新擬定風險,實施管理審查來確認管理作業是否有效
A(Action):重新檢視資安政策,並評估是否有改進的地方