K書筆記本-Information Security & Risk Management (01)

資訊安全是近來幾年相當受到觀注的領域,Jason自投入業界至今也在三年前轉往這個領域
當然在這個領域中也有不少的挑戰,而Jason近來也在正在準備這方面的挑戰 …

資訊安全是近來幾年相當受到觀注的領域,Jason自投入業界至今也在三年前轉往這個領域
當然在這個領域中也有不少的挑戰,而Jason近來也在正在準備這方面的挑戰
為了讓自已和廣大的鄉民們也能一同的討論,Jason將讀過的資料轉化後貼到自已的blog中跟大家一起討論

Information Security的組成可由Availability(可用性)、Integrity(完整性、一致性)、Confidentiality(機密性)所構成
而每個構成安全的特性中個別又包含了不同層面的涵意:
Availability:可用性避免服務中斷。
Intregint:避免得到授權或未經授權者做任何規範外的變更,並且保持資訊內外的一致。
Confidentiality:保護授權機密性

這麼說似乎相當的模糊,不過,透過下列的說明大家應該比較能夠明瞭:

Availability又分為Timely(即時)及 Reliable(可信任),要用的時侯馬上可以用,並且可以被信任的機制或處理流程。

Integrity則有”Prevent unauthorized modification by unauthorized people.(避免未經授權者做任何未經授權的變更)”
、”Prevent unauthorized modification by authorized people.(避免授權者做任何未經授權的變更)”
及”Maintain internal and external consistency.(維持內部與外部的一致性)”

Confidentiality則是”Prevent intentional or unintentional unauthorized disclosure.(確保有意或無意的散播)”

身為一個資訊安全人員應該確保以上三點的完整架構,當然在不同的領域環境之下,一定有特別著重的部份,但三者一定缺一不可
就像是經典電影中的對白:我身為一個汽車維修人員,身上帶著起子算得上是合情合理吧~!

雖然談到資安大家所想的就是抓駭客、防止被入侵、中毒事件,但是對於資安人員來看,可不止是如此的簡單而以
但是也不可不否認,台灣在資安所著重的路份確實相當的薄弱,試問沒有賺錢的公司會想導入資安嗎?
台灣的教育之下也不是以安全為第一考量

針對(ISC)2所提出的資安十大領域之中,可以很明確的看出6.5分管理2.5分科技及1分法律,這樣才能達成十分安全
資安人員首重道德,對於其道德良知的看重勝過其它因素,若資安人員沒有約束自已的能力,那麼對於客戶的安全怎麼會重視呢?


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security