IS | 資訊安全基本需求

IS | 資訊安全基本需求 === ###### tags: `信息安全` ## CONTENTS [TOC] ## 資訊安全的基本需求/安全性需求 ### Confidentiality 內容不外洩；確保存在于系統（加密） ### Integrity 不被非法篡改。（Digital Signature數位簽章） ### Availability 安全系統正常運行，無Destroy或Prolong ### Authentication 身份鑒別；資訊來源鑒別（數位簽章、資料加密） ### Non-Repudiation 傳送方或接收方，皆不能否認曾進行資料傳輸或接收 ( 數位簽章、PKI（Public Key Infrastructure，公開金鑰基礎架構）) ### Access Control 權限 ### Audit 由稽核紀錄追蹤非法使用者，一旦發生入侵攻擊事件，可Recovery(恢復系統)，也可盡快找到發生事件之原因（Audit Log） ![咨安基本需求](https://i.imgur.com/Hn2IIVl.png) > CIA principle: Confidentiality, integrity and availability, also known as the CIA triad, is a model designed to guide policies for information security within an organization. The security management functions include these commonly accepted aspects of security: identification, authentication, authorization, confidentiality, data integrity, and non-repudiation. ## Scope 資訊安全的範疇 The kinds of malicious actions possible in the whole area of Computing (hereafter called "attacks") 資訊安全的領域相當廣泛，所有可確保資訊系統正常運作及確保機密資料之保密及完整性的機制都涵蓋在內。安全之管理資訊系統，需考慮：**資料庫安全、作業系統安全、管理資訊系統安全、網路安全**。 ### 組織中完整的安全系統元件 * 使用者系統的使用者可能是組織中的員工或顧客。 * 操作介面對於不同等級的使用者，必須要提供不同的頁面。 * 後端處理程式負責處理回應使用者所要求的服務，若使用者要取得資料庫中的資料，也必須透過此系統元件存取，可說是系統中的靈魂。 * 資料庫負責保存重要資料與一般資料，依據不同需求，而有不同的資料格式與儲存方式。 ## 安全的資訊系統架構 ![資訊系統架構](https://i.imgur.com/cYLVgF1.jpg) [圖片出處](http://www.infocomm-journal.com/dxkx/article/2017/1000-0801/1000-0801-33-2-00163.shtml) ![Cisco Self-Defending Network（SDN）](https://i.imgur.com/is7GYVT.jpg) [Cisco Self-Defending Network（SDN）](http://www.sysage.com.tw/Guest/Information/InfoOne.aspx?stype=solution&id=19) ### Layers * Environment Layer 有關電腦系統外圍的周邊環境因素——環境觀點：實體安全 * External Layer 是使用者與系統間介面層次，所牽涉到的是個別使用者所能操作的系統——使用者觀點：身份識別 * Central Layer 內部層與外部層的溝通橋樑——系統觀點：存取控制 * Internal Layer 資料實際儲存及管理的方式——資料觀點：密碼學 * Analysis Layer 系統的管理及安全威脅的分析——管理者觀點：管理控制 * Law Layer 有關資訊安全相關的法律條文——法律觀點：法律制裁 ![Layers](https://i.imgur.com/IFp9BZK.jpg) ## 資訊系統的安全分析 ### Risk Analysis * 評估及分析系統風險，對於部分重要資料必須採取更進一步的防護。例如，定期備份及回復處理等，系統發生安全問題時，可以確保重要資料的正確性，以降低問題發生時所帶來的損失。 * 安全漏洞所造成之損失包括有形損失及無形損失。有形損失：包括硬體及軟體設備、人力成本、雜支成本及其他因工作延宕所造成之損失。無形損失：公司形象受到影響，其損失費用無從計算。 * 通常投資在資訊安全之費用，應小於系統發生安全漏洞後所造成之損失，但要大於其損失的十分之一。 ### Weakness Analysis * 對整個系統架構進行瞭解及測試包括系統架設了哪些硬體（例如：路由器(Router)）、使用哪一種作業系統（例如：Linux）、使用哪些通訊協定（例如：TCP/IP）、哪些人會使用本系統及授權了哪些權限給使用者等。 * 管理者瞭解這些資訊後，進而分析系統的弱點在那裡、哪些人有可能會進行攻擊、他們的目的是什麼以及要攻擊哪些地方。 ### Threats Analysis * 瞭解系統的弱點之後，進而要分析系統可能遭受的安全威脅及攻擊。常見入侵並危及系統安全的方式，包含利用電子郵件、利用Telnet遠端登入、施放電腦病毒、試圖得到具有高存取權限的帳號、刪除或移動檔案等。 * 電腦網路安全相關威脅及事件回報及公告 ### 對策分析 ![](https://i.imgur.com/k0qeqOR.jpg) * 針對弱點及所面臨的安全威脅，研擬安全策略及所需的安全機制。例如，存取控制、使用者身分鑑別等。 ## Summary：資安事件回應 1. 事前防堵——系統日誌或相關行為軌跡管理 * 啟用及留存 * 存取控管 * 分析與預警 * 定期檢視 2. 事中應變——警訊及資安事件管理 * 異常事件判讀 * 資安事件回應標準作業程序 * 數位證據保全及封存程序 3. 事後處置 * 應變整合機制整合 * 數位證據辨識 * 數位證據蒐集、運送 * 數位證據管理 * 數位鑑識分析 * 鑑識報告出具 * 應變整合機制整合 * 數位證據辨識 * 數位證據蒐集、運送 * 數位證據管理 * 數位鑑識分析 * 鑑識報告出具