iPAS 資安初級課程筆記

課程資訊

講師宋承岷 (另有國際生涯發展諮詢師證照)

網路資源

Ctf
https://firmianay.gitbooks.io/ctf-all-in-one/content/

考試通過率

109年初級
報考 329 發照167 通過率55.48%
108年初級
報考 281 發照94 通過率33.45%

資訊安全管理概念

資訊生命週期

建立蒐集資訊由內部產生或外部輸入
儲存線上或離線
利用程式利用或人員利用
傳輸網路傳輸或一般傳輸
封存法令遵循或存取控制
銷毀邏輯刪除或實體銷毀

QA
封存例如log保存多久，有些是五年十年，最難保存的是cctv監視器影像檔，因為檔案太大了很難保存數年

資訊安全特性

CIA

CIA 機密完整可用

Ｃ：機密性(Confidentiality)：不該看的人看不到。
ex 客戶資料薪資外洩
Ｉ：完整性(Integrity)：內容未被竄改。
ex 合約打卡紀錄被竄改
Ａ：可用性(Availability)：要可以正常使用。 (能用但很慢的話? 品質問題)
ex 訂票系統當機

QA
如果使用者回報權限不足進不去資訊系統，那算是機密可用完整？應該是可用性(大概是管理員設定錯誤)，如果是系統被竄改才不能用那就是完整性

3A

Authentication 認證：確認身份
Authorization 授權：授予應得之權限
Accounting 稽查：記錄其行為

其他性質

可鑑別性(Authenticity)：可證明一主體或資源之識別就是其所聲明者的特性。鑑別性適用於如使用者、程序、系統與資訊等實體。
可歸責性(Accountability)：確保實體之行為可唯一追溯到該實體的性質。
不可否認性(Non-repudiation)：對一已發生之行動或事件的證明，使該行動或事件
往後不能被否認的能力。
可靠性(Reliability)：始終如一預期之行為與結果的性質。
可稽核性(Auditing)：通常在稽查(Accounting)之後，可識別行為是否正確

QA
螢幕錄影工具，可以作為不可否認性的目的，也可以做可稽核性的目的

資訊安全威脅與風險

資訊會受到外部威脅

環境因素 (天災)
外部人員
內部授權人員
內部非授權人員

資訊系統的範疇

外圍層實體安全
外部層系統介面
中心層內外部溝通橋樑
內部層資料儲存與管理
分析層系統管理與安全威脅分析
法律層資安法規

安全暨風險管理
人員資安教育被歸類在這裡

資產安全
實體和虛擬的資產都要注意

安全工程
實體機房安全火災水災電力

作業安全
資安管理作業程序執行任務發現風險
PDCA plan do check act的原則，改善作業需知

ISMS

ISO 27001 資訊安全管理認證標準

ISMS 資安政策規範與程序很多公部門都有公開直接去參考

政策：指導使用者什麼可以做什麼不能做什麼必須做

政策目的及範圍
安全目標
風險管理
管理責任
支援政策不知道是什麼回頭查
事件通報程序
委外相關規定

規範
含有許多文件，包含實體管理技術的安全控管項目目的是保護資訊

程序 SOP，適用於保護某一項資訊財產的安全步驟

ISO 27001 現在幾乎都是做全公司驗證，再小也有一個事業群，而非單一系統

資安管理標準

以風險管理為基礎建立管理制度
協助企業管控資安持續營運
落實資安推廣教育使員工具備安全意識
為了永續經營要持續改善與監控

稽核的種類

第一方內稽
第二方外部供應商或是上下屬子公司的稽核
第三方公信力的稽核，獨立的機構

內部稽核
看公司規模，但是稽核前要先擬定稽核辦法（計畫），包含範圍標準頻率方法，建議不同單位互相稽核避免偏頗

例如資訊稽核會計業務稽核行政，跨單位但是依照指引去稽核，也可以了解跨單位做的事情

個資保護賠償

請背起來，必考
每人每一事件500到2萬，單一事件上限2億

個資收集知情同意

收集單位名稱
目的
收集的資料類別 (例如要收集名字、電話、性別…等等要講清楚)
使用的期間地區對象
當事人依規定行使權利及方式 (當事人有權利做以下的事，要告知當事人他想做的話該怎麼做，例如打電話過來)
- 一、查詢或請求閱覽。
- 二、請求製給複製本。
- 三、請求補充或更正。
- 四、請求停止蒐集、處理或利用。
- 五、請求刪除。
不願提供個資的話，受影響的範圍

QA 如果只有一個選項，說按下一步就默認同樣的話，這個做法也是合法的，因為沒人強迫你按繼續

考題複習

40小頁
學生入侵伺服器偷改自己成績，這是破壞了？
完整性

可用性
電信網路故障暫時無法使用網路

最高管理層的責任？
確保資訊安全的要求已整合至組織的各項作業流程

不是稽核員的工作？
針對前一次發現的事項，規劃矯正預防作為

不可作為稽核證據？
稽核員的主觀判斷

智慧財產權

商標商標權

商標是用來識別公司個人產品或服務。
商標的型態包含文字標語標誌顏色聲音產品形狀。

商標權可以分為 (應該不會考到這麼細)

佔有權
使用權
收益權
處分權

專利權
一般保護期限是20年
保護新型發明設計

電腦軟體分為
物之發明電腦軟體與硬體結合型之發明
方法發明以執行步驟主張的方法發明

著作權

死亡後50年

營業秘密

對公司有較高經濟價值的方法技術製程配方程式設計或其他可用於生產銷售或經營的資訊
不需要申請，沒有保護期限（永遠受保護）

智財權僅有專利著作商標營業秘密四個

iso 27001

支援政策解釋方式

27001的7 支援有哪些法規有什麼控制項
7 的支援有什麼資源可以支援我完成這些項目

標準條文架構

有很多條，全部都是要做的，只是每個項目要寫多寫少而已

4.組織全景

4.2 瞭解是否需要的導入的需要及期望
通常實務面是因為法令規範或是客戶要求

4.3 範圍
通常是全公司都做，除非子公司是100多人以上

5 領導作為

5.1 領導及承諾
高層要給加班費給教育訓練給設備費給管理權限
5.2 政策
目的使用的框架要求事項的承諾改善的承諾

前面說的框架是什麼？

isaca cobit ，目前為 5 ，出版者為國際電腦稽核協會(isaca) https://zh.wikipedia.org/wiki/信息及相关技术控制目标
nist sp 800
nist CyberSecurity framework 美國國家標準和技術研究院 (NIST) Cybersecurity Framework (CSF)
https://docs.microsoft.com/zh-tw/compliance/regulatory/offering-nist-csf

5.3 組織角色及權限
把每個人的權限分出來，

6 規劃

6.1 因應風險的機會和行動
資安風險評鑑
風險處理

Iso 規定所有內容都要有文件

6.2 規劃的目標
與政策一致
可量測
考量評鑑的結果
被傳達
可更新

7 支援

主要是溝通方式包含文件標準文件的控制

8 運作

9 效益評估

9.3 管理審查簡稱管審
所有東西都要經過管審會議，完成後才可以把內容公布

10 改善

iso 27001 標準控制措施介紹

管控作業因為至少會有a8 資訊資產，後面的會跟著a8有一點點相關，頂多只有a14開發 a15供應商
除非你的都是套裝軟體，而且是買斷制

A12 作業安全主要是日常作業的準則
A15 供應商關係跟pmp的一樣
A17 營運持續管理如何確受到衝擊時重要營運不中斷的方法

A6.1.2 職務區隔
重要權限的備援變成兩個人，當代理人或第二角色要做的時候，要有兩把鑰匙
例如dba可以直接做，代理人必須要加單位主管才可以做
（這個工作平常根本不用兩個人做，花資源擺兩個人很浪費錢，但是考慮備援，所以才這樣做，備援的人平常沒權限）

A6.1.5 專案管理的資訊安全
設計一個專案的評估審查流程來決定這件事怎麼做
例如10萬以上的專案才要做而且管審通過
要做的時候例如文件都要進nas 有版本控制

A6.2.2 如果公司沒有遠距工作就不用寫
但是有的話，要寫遠距工作的基礎資安

A7 人力資源安全
保密協議有沒有簽？
A7.2.3 懲處細節通常不會寫在這裡，會放在人資的內部文件

A8.1.3 資產可被接受使用
可能單位上會有一些貼紙有紅有綠的貼紙，代表重要程度
攻擊方也可以利用顏色來區分哪一台比較重要，改善方式可以是把資料寫在手冊裡，不放在標籤貼紙上

A8.3 隨身碟光碟等使用傳遞銷毀的管理方式

A9.2.3 特殊存取權限之管理
超級管理者的帳號密碼的管理方式

A9.4.3 通行碼就是密碼

A14 系統獲取開發與維護
開發環境和正式環境應該一致，避免開發和正式環境跑出來的結果不一致

資通安全法資安事件分級與處理速度(2,8,36,72)

分級，數字越大越嚴重，發生資安事件的話

知道事件發生後1小時內通報
完成等級審核 1,2級 8小時，3,4級2小時內
審核後 1小時內要將審核結果通報
處理時間 1,2級72小時處理 3,4級36小時
完成後 1個月要交結案報告
把這張圖背起來 ( 整理自資通安全事件通報及應變辦法

資安 ipas 講義2（3週的份量

資訊資產

分類方式

資產的項目管的寬或細沒有一定標準
分級的方式也有不只一種方式

早期只有盤點軟體硬體網路，後來人流程制度也都被涵蓋在裡面，沒有標準說一定要分成幾大類

網路分類舉例

專線
光纖上網
電話線

資訊資產識別會放哪些項目？
名字編號安全等級特殊技能

硬體識別項目
購買日保固日記得要放

軟體識別
盡量要有紀錄這個軟體在誰身上或是在那個裝置上
就算是免費軟體如7zip，也需要紀錄版本

哪些東西不是資訊資產？

例如：書桌椅子梯子白板筆，因為跟資訊無關
但是機櫃機房冷氣、機房緊急照明燈、進出管制簿、保存備用硬碟的上鎖櫃子就是資訊資產了

有時候資訊資產的範圍會大到接近固定資產清冊，但項目細節比固定資產還要更詳細，例如軟體版本

跟固定資產遇到的問題一樣，主管身上可能會掛一大堆資產（公用資產）

資產擁有者保管者使用者怎麼分？

學校的考卷，出題老師是擁有者，考場助教是保管者，學生是使用者

資產分級標準

以前有分成

密
機密
極機密

後來也有使用這樣的分類

機密
限制使用
內部使用
一般

多一個限制使用，這個分類是雖然資產較無機密性，但停擺的話可能會造成部份損失

評估價值

以資訊資產會產生的損失來評估價值

isms 任務優先順序

識別資訊資產
識別弱點與威脅
識別現有及已規劃之控制措施

風險評鑑與風險處理

資訊風險=威脅利用弱點對資產造成衝擊的可能性

勒索軟體偽裝成常用軟體

不是到原廠下載造成的問題

風險評估的方法

定量用金錢衡量風險 (麻煩)
不一定什麼都能用金錢衡量，例如名聲
定性用低中高區分 (簡單)
一直都要做，方便做更多的類別管理

定量

定量第一步驟單一損失可能期望值
單一損失預期SLE=資產價值Asset Value*暴露因子Exposure Factor

定量第二步驟風險全年發生率ARO
發生的可能性預估，估算全年發生率
有經驗值或是監控的紀錄

定量第三步驟全年損失期望值
拿前面兩個來計算
年度損失預期值（ALE）= 單一損失預期值（SLE）× 年度發生比率（ARO）

定性

風險發生可能性低中高
分析風險衝擊低中高
風險位階矩陣（定量

例子
靜電會造成電腦鍵盤損害，但機率極低衝擊也小，可以接受這個風險

風險評鑑後的風險控制措施降低避免轉移接受

先把風險評鑑後產生的各個風險項目列出來
把風險項目寫上降低避免轉移等處理方式，要寫真的能做的，不要只是打嘴砲
打嘴砲範例：公司資本額只有1000萬，降低風險的方式是花個10億蓋獨立機房很安全…高層不可能同意這種決策
請高層(有權決定出錢出力的人) 來開會是否同意這樣的策略
如果不能降低避免轉移的風險，通常都只好先放到接受
每年至少要重新檢視一次風險，看有沒有升高、降低或是有其他新的可以風險處理的解決方案

評估風險機率與損失時以較悲觀的方式評估

假設不知道可能發生的事件損失範圍與機率，那就聽看看別人的情況，挑最嚴重的案例

事件和事故有什麼不一樣呢?

事件有異常就是事件
事故有損失就是事故

未被證明屬實的消息，可以記錄但不一定要列為資安事件，可以等到被證實再列進去

資安證據保存

通常是指log檔
應該做兩份備份，一份為留存用檔案，一份是調查用檔案
需要保留雜湊值（md5 sha）確保兩份是一致且完整未被竄改過

新興科技安全

大綱

雲端
行動裝置
無線網路
物聯網

雲端概念

免費服務開始慢慢收費、訂閱制
重要議題是隱私權 ，以企業為主，個人暫不討論

三大特性

隨選即用
彈性調整資源規模
短時間的資源需求

雲端安全挑戰

政策與組織風險

你跟雲端商的契約模式
雲端服務的中止與失效該怎麼換

法規風險

傳票與電子蒐證
管轄權與變更風險

假設我是一家雲端公司我跟其他公司簽約把我的服務弄上去
那我要怎麼要求對方保護我的資料，以及告訴我的客戶我做了那些承諾?
例如我用了AWS的服務，我不能說因為Amazon很大很安全這樣而已

技術風險

資源匱乏
隔離失效
惡意內部人員
管理介面被破解
資料攔截
資料傳輸時外洩

雲端安全風險

傳統的資安問題在雲端都還是存在，一樣要解決

CSA Star 認證
作為解決關於雲端安全特定問題，增強ISO / IEC 27001而發展的新獨特認證。

行動裝置安全

4G LTE弱點：IP網路有的威脅他都會遇到
4G通訊安全議題
訊號干擾
擾碼攻擊

WPA3認證方式

加入Easy Connect的簡易連網技術，讓很小沒螢幕的裝置也可以認證，如智慧燈炮
https://www.ithome.com.tw/news/124154

物聯網安全

鼓勵大家換設備，所以有安全問題除非賣很好，不然都是鼓勵大家買新的