信息安全

研究信息存储、传输和处理中信息安全保障问题的理论与技术

信息安全,意為保護信息信息系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。政府、軍隊、公司、金融機構、醫院、私人企業積累大量與雇員、顧客、產品、研究、金融數據有關的機密信息,而絕大部分的信息現在被收集、產生、存儲在電子計算機內,並通過網絡傳送到別的計算機。如果企業的顧客、財政狀況、新產品線的機密信息落入競爭對手的掌握,這種安全性的喪失可能會導致經濟上的損失、法律訴訟甚至該企業的破產。保護機密的信息是商業上的需求,而在許多情況中也是道德和法律上的需求。

電腦網路入侵
防火牆的視察軟體介面範例,記錄IP進出情況與對應事件
「信息安全」的各地常用名稱
中國大陸信息安全
臺灣資訊安全
港澳資訊保安

對於個人來說,信息安全對於個人隱私具有重大的影響,但這在不同的文化中的看法差異很大。信息安全在最近這些年經歷巨大變化。有很多方式進入這一領域,並將之作為一項事業。它提供了許多專門的研究領域,包括:安全的網絡和公共基礎設施、安全的應用軟件數據庫、安全測試、信息系統評估、企業安全規劃以及數字取證技術等等。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟件駐留,不能有未授權的操作等行為。

名詞區分

 
資安概念

信息安全這一術語,與計算機安全信息保障(information assurance)等術語經常被不正確地互相替換使用。這些領域經常相互關聯,並且擁有一些共同的目標:保護信息的機密性、完整性、可用性;然而,它們之間仍然有一些微妙的區別。

區別主要存在於達到這些目標所使用的方法及策略,以及所關心的領域。信息安全主要涉及數據的機密性、完整性、可用性,而不管數據的存在形式是電子的、印刷的還是其它的形式;計算機安全可以指:關注計算機系統的可用性及正確的操作,而並不關心計算機內存儲或產生的信息。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟件駐留,不能有未授權的操作等行為。

歷史

自從人類有了書寫文字之後,國家首腦和軍隊指揮官就已經明白,使用一些技巧來保證通信的機密以及獲知其是否被篡改是非常有必要的。凱撒被認為在公元前50年發明了凱撒密碼,它被用來防止秘密的消息落入錯誤的人手中時被讀取。第二次世界大戰使得信息安全研究取得許多進展,並且標誌着其開始成為一門專業的學問。

20世紀末以及21世紀初見證通信、計算機硬件和軟件以及數據加密領域的巨大發展。小巧、功能強大、價格低廉的計算設備使得對電子數據的加工處理能為小公司和家庭用戶所負擔和掌握。這些計算機很快被通常稱為因特網或者萬維網的網絡連接起來。在因特網上快速增長的電子數據處理和電子商務應用,以及不斷出現的國際恐怖主義事件,增加了對更好地保護計算機及其存儲、加工和傳輸的信息的需求。計算機安全、信息安全、以及信息保障等學科,是和許多專業的組織一起出現的。他們都持有共同的目標,即確保信息系統的安全和可靠。

基本原理

關鍵概念

信息安全的內容可以簡化為下列三個基本點,稱為CIA三要素,此觀點似乎最早在NIST於1977年所發行的出版品中提到。[1]

機密性

機密性(Confidentiality)確保資料傳遞與儲存的隱密性,避免未經授權的使用者有意或無意的揭露資料內容。[2]

完整性

數據完整性(Integrity)代表確保資料無論是在傳輸或儲存的生命週期中,保有其正確性與一致性。[3]

可用性

在信息安全領域,可用性(Availability)是成功的資訊安全計畫應具備的需求,意及當使用者需透過資訊系統進行操作時,資料與服務須保持可用狀況(能用),並能滿足使用需求(夠用)。[4]

其他特性

  • 可鑑別性(Authenticity):能證明主體或資源之識別就是所聲明者的特性。
  • 可歸責性(Accountability):確保實體之行為可唯一追溯到該實體的性質。
  • 不可否認性(Non-repudiation):對已發生的動作或事件的證明,使發起該動作或事件的實體,往後無法否認其行為。實務上做法採用數位簽章技術。

3A

認證(Authentication)

識別資訊使用者的身份,可記錄資訊被誰所存取使用,例如:透過密碼或憑證方式驗證使用者身份。

實務做法:

  • 你所知道的(Something you know):帳號/密碼
  • 你所擁有的(Something you have):IC卡、數位設備、數位簽章、一次性密碼(OTP)
  • 你所具備的(Something you are):指紋、虹膜、聲紋、臉部特徵、靜脈脈紋、DNA

授權(Authorization)

依照實際需求給予實體適當的權限,一般建議採最小權限(Least privilege),意即僅給予實際作業所需要的權限,避免過度授權可能造成的資訊暴露或洩漏。

資訊系統層面的實務存取控制方法分類如下:

紀錄(Accounting)

內容項目包含量測(Measuring)、監控(Monitoring)、報告(Reporting)與紀錄檔案(Logging),以便提供未來作為稽核(Auditing)、計費(Billing)、分析(Analysis)與管理之用,主要精神在於收集使用者與系統之間互動的資料,並留下軌跡紀錄。

信息安全三要素之間存在互相牽制的關係,例如:過度強化機密性時,將造成完整性與可用性的降低,需要高可用性的系統則會造成機密性與完整性的降低,因此在有限資源的前提下,在信息安全三要素中取得適當的平衡是資訊安全管理階層的重要課題。

對信息安全的認識經歷了的數據安全階段(強調保密通信)、網絡信息安全時代(強調網絡環境)和目前的信息保障時代(強調不能被動地保護,需要有保護——檢測——反應——恢復四個環節)。

安全技術嚴格地講僅包含3類:隱藏、訪問控制密碼學

典型的安全應用有:

  1. 數字水印屬於隱藏;
  2. 網絡防火牆屬於訪問控制;
  3. 數字簽名屬於密碼學。

過程控制

突發事件控制

「網路與訊息安全事件」(Network & Information Security Incident)是突發事件的一種,也被稱為「訊息安全事件」(Information Security Incident)。網路與訊息安全事件在業界尚未有統一的定義政府管理、科學研究、企業根據各自的關注點對其的理解也存在一定的差異。至於中華人民共和國國家質量監督檢驗檢疫總局中國國家標準化管理委員會制定發布的兩個現行技術標準中,對該術語的定義如下:

  • 在《訊息技術 安全技術 訊息安全事件管理指南》(GB/Z 20985-2007)中被定義為「由單個或一系列意外或有害的訊息安全事態所組成的,極有可能危害業務運行和威脅訊息安全。」
  • 在《訊息安全技術 訊息安全事件分類分級指南》(GB/Z 20986-2007)中被定義為「

各國法律、法規與標準

中國大陸最重要的信息安全標準體系是「信息安全等級保護體系」,該體系在所有主要行業進行推廣,並對信息安全行業的發展產生了重要影響。臺灣由行政院頒布「資通安全管理法」主要涵蓋對象為中央、地方機關與公法人,及金融、能源、交通等關鍵基礎建設提供者,並影響前述單位的組織架構、資訊安全方針及預算分配。

參考文獻

  1. ^ A. J. Neumann, N. Statland and R. D. Webb. Post-processing audit tools and techniques (PDF). US Department of Commerce, National Bureau of Standards: 11–3––11–4. 1977 [2021-03-16]. (原始內容存檔 (PDF)於2021-04-27). 
  2. ^ Beckers, K. Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. 2015: 100 [2021-03-16]. ISBN 9783319166643. (原始內容存檔於2021-04-27). 
  3. ^ Boritz, J. Efrim. IS Practitioners' Views on Core Concepts of Information Integrity. International Journal of Accounting Information Systems (Elsevier). 2005, 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001. 
  4. ^ Csapo, Nancy; Featheringham, Richard. COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES. Issues In Information Systems. 2005. ISSN 1529-7314. doi:10.48009/1_iis_2005_311-317. 

參見