資安基本概念

背景說明:

資安的工作基本上是建立在管理上,ISMS(Information System Management System)是一套有系統的分析和管理資訊安全風險的方法,資安所涵蓋的不只是入侵、故障或危害資料的行為,還包含人員上的管理,硬體上的管理與環境上等事務


 

資安的四種領域

人員

因為疏失或缺乏資安概念而造成組織內的資安危害,例如隨意下載造成中毒或未妥善保管電腦帳號與密碼

環境

機房需有門禁管制以及監控,硬體上需要配置不斷電系統預防電力無預警中斷

設備

不可使用原廠預設值或容易猜出的密碼

資料

機密性:不能被無權限的使用者看到資料內容

完整性:沒經過本人同意資料不可隨意被竄改

可用性:伺服器所提供的服務需能正常服務

以上三點簡稱為CIA

對稱式加密

加密與解密來自同一個金鑰(密碼)

機密性:假如傳輸過程被惡意攔截,沒有金鑰所看到的也是沒有意義的密文

完整性:假如傳輸過程被更動過內容將無法正常解密

不可否認性:金鑰如同私章,是互相所認可的,一旦可解密即可認定是對方所發出的

來源性:金鑰可查詢紀錄來查出金鑰的主人

常見的對稱式加密:DES(56bit)、IDEA(128bit)、RC5(2048bit)、AES(128bit、192bit、256bit)、3DES(168bit)

非對稱式加密

加密(公共金鑰)與解密(私鑰)不同的金鑰(密碼)

使用者使用公鑰加密後,可利用對應的私鑰解密,假如是使用私鑰加密即可利用對應的公鑰解密,效率比對稱式加密還要慢

常見非對稱式加密:RSA(2048bit)

資安三類產品

防火牆

入侵偵測系統

弱點掃瞄系統

入侵偵測系統又可分為網路型入侵偵測系統(NIDS),主要針對網域中惡意攻擊的封包並且將資訊記錄在log
主機型入侵偵測系統(HIDS),直接安裝在各主機上監控主機上的資源

ISMS

ISMS是一套有系統的分析和管理資訊安全風險的方法,主要實施流程為PDCA

P(Plan):定義範圍並且分析可能引發的風險

D(Do):擬定風險處理計畫,並指定負責單位及處理流程,需定義一個標準是否有達到效果,須定時實施資安的教育訓練避免人員問題所造成的資安風險

C(Check):定期實施資安查核,需要考量外在環境的變化重新擬定風險,實施管理審查來確認管理作業是否有效

A(Action):重新檢視資安政策,並評估是否有改進的地方