# IPAS 資訊安全管理概論 [TOC] ## 原則 * 邊界與分類 (Boundary and classification): 指的是將組織的資訊資產劃分為不同的類別和等級，並確定其保護邊界。這有助於實施適當的安全措施，以保護資料不受未授權的存取和洩露。 * 職務區隔 (Segregation of Duties, SOD): 職務區隔是指將關鍵職責和任務分配給不同的人員，以減少單一個人對關鍵流程的控制。這樣可以預防欺詐和錯誤，並增加企業對關鍵流程的監督。 * 縱深防禦 (Layered Defense, Defense in Depth): 縱深防禦是一種多層次安全策略，旨在使用多重防禦機制保護資訊。如果一個防禦層失效，其他層仍然提供必要的保護。 * 單一脆弱點 (Single Point of Failure, SPOF): 指一個關鍵的組件或部分，其失效將導致整個系統或過程的停擺。識別並降低SPOF的影響是確保系統可靠性和持續性的重要部分。 * 阿奇里斯腱/Achilles Heel/木桶理論 (Bucket Principle): 這些比喻用來描述系統或組織中最脆弱的部分，即使其他部分很強大，這些脆弱點也可能導致整體結構的崩潰或失敗。 * 最低權限 (Least Privilege): 這一原則要求只給予用戶、程序或系統完成其任務所必需的最小權限。這有助於降低因權限過度而引發的安全風險。 * 僅知原則 (Need to Know): 這一原則強調只有在必要時才提供對敏感資訊的存取權。它保證資訊的保密性，並確保只有真正需要知道該資訊的人才能訪問。 ## C.I.A.（機密性、完整性、可用性）： 1. 機密性保護 機密性指的是保護資訊不被未授權的個體存取或洩露。 * 加解密技術：用於將敏感資訊轉換成無法辨識的格式，以防止未經授權的存取。加密過程使用密鑰將資料轉換成密文，而解密則將其還原成可讀格式。 * 存取控制：透過實施政策和技術手段來限制或允許對資訊的存取。這包括用戶身份驗證、授權和審計。 2. 完整性保護 完整性確保資訊在儲存、處理或傳輸過程中保持準確和不被篡改。 * 雜湊函數：將資料轉換成一個固定大小的值或摘要，以檢查數據在傳輸或存儲時是否被篡改。任何數據的微小變化都會導致雜湊值的顯著變化。 * 數位簽章：使用私鑰對數據的雜湊值進行加密，以證明數據的來源和完整性。接收者可以使用發送者的公鑰來驗證簽章。 * 存取控制：保護資料不被未授權修改，包括對資料的更改、刪除或其他形式的操縱進行限制和監控。 3. 可用性保護 可用性保證授權使用者能夠在需要時訪問和使用資訊和資源。 * 容量規劃：確保有足夠的資源（如帶寬、儲存空間、處理能力）來滿足業務需求。 * 備份：定期創建數據的副本，以防原始數據丟失、損壞或受到破壞。 * 容錯、備援：實施多餘的系統和過程，以確保在主系統失效時，能夠快速恢復操作。 * 負載平衡：分散工作負載以保持系統的穩定和響應能力。 * 存取控制：確保系統和資源在需求增加時仍可被存取，並防止未授權使用導致的資源濫用。 ## 資訊安全管理系統(ISMS) 資訊安全管理系統（Information Security Management System，縮寫為ISMS）是一個組織或企業用來保護其資訊資產免受各種威脅和風險的框架和流程。ISMS是一種綜合的方法，旨在確保資訊的機密性、完整性和可用性，以及確保相關法規和合規性要求得到遵守。 **ISMS 屬於服務資產** 以下是ISMS的主要特點和概念： * 政策和策略：組織需要制定和實施資訊安全政策和策略，明確定義資訊安全的目標和原則。 * 風險評估：ISMS要求組織評估資訊安全風險，確定可能的威脅和弱點，並評估其影響程度。 * 資產管理：組織需要識別和分類其重要的資訊資產，以確保適當的保護。 * 資訊財產分級：依據機敏性進行分級 * 安全控制：ISMS包括實施各種技術和組織性的安全控制措施，以減少風險。 * 監控和審核：組織需要定期監控其資訊安全狀態，並進行內部和外部的審核以確保合規性。 * 持續改進：ISMS是一個持續改進的過程，組織應不斷地審查和改進其資訊安全政策和實踐。 * 法規合規性：ISMS需要確保組織遵守適用的法規和法律要求，並建立合規性控制。 * 人員培訓：組織需要確保其人員接受適當的資訊安全培訓，以提高安全意識和知識。 * 應變計劃：ISMS應包括應變計劃，以應對資訊安全事件和危機。 ## PDCA 循環 PDCA循環，也稱為普及-杜威循環（Plan-Do-Check-Act），是一種迭代的質量管理和改進過程。它在許多領域，特別是在資訊安全管理系統（ISMS）的實施和維護中扮演著核心角色。以下是PDCA循環的四個階段： 1. 計劃（Plan） 目標設定：確定需要改進或解決的問題。 策略制定：開發計劃以達成目標，包括資源分配、時間表和所需步驟。 風險評估：識別潛在的障礙和風險。 2. 執行（Do） 實施計劃：按照計劃執行所規劃的活動。 收集數據：在此階段收集有關實施效果的數據和結果。 初步評估：對計劃的初步效果進行評估。 3. 檢查（Check） 分析結果：比較計劃的預期結果和實際結果，分析數據和信息。 識別偏差：確定實施過程中的差異和問題。 學習與理解：從實施的經驗中學習，了解哪些措施有效，哪些需要改進。 4. 行動（Act） 改進措施：根據檢查階段的發現，調整或改進計劃。 標準化：將有效的策略和程序標準化為常規做法。 持續改進：PDCA是一個循環過程，進入下一個PDCA循環前，將這些改進融入新的計劃。 ## 委外作業管理 委外作業管理是一個關鍵的資訊安全實踐，特別是當組織依賴外部供應商來處理重要的業務過程或數據時。以下是關於委外作業管理的各個方面的詳細解釋： 1. 合約管理 超越保密協議（NDA）：合約不僅僅應包括保密協議，還應明確規定供應商必須遵守的安全政策和要求。 安全要求：應詳細列出供應商必須遵守的安全措施，如數據保護、訪問控制、事故響應等。 2. 定期審查 持續監督：定期審查供應商的表現和合規性，以確保他們持續遵守合約中的安全標準。 更新合約：根據業務需求和安全環境的變化，適時更新合約條款。 3. 評估供應商 風險評估：評估供應商的安全措施和風險管理能力，以及他們對資訊安全的整體承諾。 盡職調查：進行深入的背景調查和安全審計，確保供應商能夠達到所需的安全標準。 4. PDCA 循環 計劃（Plan）：定義對供應商的安全要求和期望。 執行（Do）：實施選擇和管理供應商的過程。 檢查（Check）：評估供應商的表現和合規性。 行動（Act）：根據評估結果進行必要的調整。 5. 供應商資料庫管理 建立和維護：建立一個供應商資料庫，包含所有合約、安全要求和評估記錄。 審查和更新：定期審查並更新資料庫中的資料，以反映供應商的最新狀況和任何相關的變更。 管理和監督：管理供應商關係，並持續監督其符合性和安全表現。 6. 定義需求 明確要求：在開始委外過程之前，明確界定組織對供應商的具體需求，包括安全標準、服務水平協議（SLA）和預期成果。 ### SLA SLA，即服務水平協議（Service Level Agreement），是服務提供者和客戶之間的正式協議，用於定義雙方期望的服務標準和質量。SLA通常包含以下關鍵元素： 服務描述： 清楚定義提供的服務範圍和特性，包括具體的服務項目、責任界定和服務時段。 性能標準： 定義服務的性能水平，如響應時間、可用性、運行時間和處理速度等。 監測和報告： 規定如何監測服務性能和提供定期的服務質量報告。 服務恢復和災難恢復： 描述在服務中斷或性能低於標準時的恢復程序和時間框架。 客戶支持： 提供客戶支持的詳細信息，包括聯繫方式、服務時段和支持級別。 補償條款： 如果服務提供者未能達到協議中規定的標準，客戶可以獲得的補償或賠償。 修改和終止條款： 說明如何修改協議、解決爭議和終止服務的條款和條件。 通過上述這些步驟，組織可以有效地管理其委外作業，確保供應商符合其資訊安全和業務需求。這些措施有助於降低因委外服務引入的安全風險，並確保業務連續性和資訊的保護。 ## 委外管理重點 委外管理是確保資訊安全和合規性的關鍵部分，特別是當組織依賴外部服務提供商來處理或存儲敏感資訊時。以下是委外管理的幾個重點： 1. 委外實體與環境安全 防止未授權存取：確保委外作業不會導致組織場所內資訊的未經授權存取、損害或干擾。 安全區域設置：將處理關鍵或敏感資訊的設施設在安全區域，以提高保護水平。 2. 委外作業管理 符合安全政策和程序：確保所有委外作業都符合組織的安全政策和程序要求。 3. 委外使用者存取管理 存取控制：建立正式的程序來控制對資訊系統和服務的存取權限，以確保只有授權人員能存取敏感資訊。 4. 委外資訊安全事故管理 事故通報和響應：確保委外組織有正式的事故通報和響應程序，並進行適當的訓練，以便在發生安全事故時迅速且有效地應對。 5. 遵循適法性要求 法規遵守：確保委外相關的資訊系統設計、運作、使用和管理都遵循相關法律、法規和合約安全要求。 文件化和更新：明確界定並記錄所有相關法規和標準，並定期更新以保持其最新狀態。 通過這些措施，組織可以確保其委外活動不會對其資訊安全態勢造成不利影響，並且這些活動符合所有相關的法律和合約要求。委外管理的有效執行有助於減輕與第三方服務提供商相關的風險，並確保組織的資訊安全不會受到委外活動的影響。 ### 驗收與維護 在資訊安全和IT領域，對於委外項目的驗收和維護階段是非常重要的。這些階段確保委外服務或產品符合組織的要求和標準，並且在整個生命周期內得到妥善維護。以下是這兩個階段的關鍵要素： **驗收階段** * 執行驗收程序： 根據合約文件和履約管理階段的執行成果進行驗收。 檢查是否符合預定的品質標準、性能要求和其他規範。 * 專案工作計畫書確認： 核對委外專案的進行方式、專案組織、相關時程及資訊安全要求。 確保所有這些元素都符合組織的預期和需求。 * 工作進度報告： 委外廠商應定期提供工作進度報告，包括已完成和預計的工作項目、重要里程碑、存在的問題及建議。 這些報告為驗收單位提供了驗證工作進度和成果的佐證。 **維護階段** * 定期審查與績效評估： 定期評估委外廠商的績效，包括服務品質、響應時間和問題解決能力。 考慮是否需要調整合約條款或改變供應商。 * 持續監督和改進： 監控委外服務的持續表現，並根據組織需求和市場變化進行調整。 與供應商合作，持續改進服務質量和效率。 * 安全性和合規性維護： 確保委外服務持續符合資訊安全和法規要求。 定期進行安全審計和合規性檢查。 在驗收和維護階段，有效的溝通、明確的期望設定和持續的監督是關鍵。這些階段不僅確保委外項目的初始成功，也保障了長期的維護和效益最大化。 ## 稽核查核目的 稽核查核是資訊安全管理中的一個關鍵過程，其目的主要集中在評估和改進組織的安全控制和管理實踐。以下是稽核查核的主要目的： 1. 持續改進 強調PDCA（計劃-執行-檢查-行動）循環：強調的不是達到零缺陷，而是建立一個持續改進的體系。這意味著透過不斷的評估和調整，不斷提高管理系統的效能和效率。 2. 遵守規定要求 確保合規性：檢查組織的操作是否符合相關的法律、法規、標準和內部政策。這包括對資訊安全管理系統（ISMS）的要求、業界最佳實踐和合約義務的遵守。 3. 評估實施有效性 評估管理措施的成效：評估組織實施的安全控制措施是否有效，以及是否達到預期的安全目標。 4. 提供管理審查信息 決策支持：為高層管理提供關於資訊安全狀況和管理系統表現的實證數據，作為決策和策略制定的依據。 5. 加強安全意識 提升組織意識：通過稽核查核過程，提升組織內部對資訊安全重要性的認識和關注。 6. 降低系統失效風險 風險管理：識別和降低可能導致管理系統失效的風險，包括技術、流程和人員方面的風險。 7. 提供改進機會 識別改善領域：指出管理系統中存在的缺陷和不足，提供改進的機會，從而促進整體安全管理的提升。 綜合來看，稽核查核的目的是通過系統性的評估和審查，驗證和提升組織的資訊安全控制措施，確保組織的資訊安全管理系統能有效地應對當前和未來的安全挑戰。  ## 稽核基本概念 稽核是一個關鍵的過程，用於評估和確保組織的管理系統和控制措施的有效性。它涉及一系列組織化和結構化的步驟，目的是提供對組織運營的獨立和客觀的評估。以下是稽核的基本概念和步驟： **稽核的定義** 稽核是由有能力且獨立的人員執行的系統化過程。 主要目的是獲取和評估與經濟個體或事件相關的證據。 這些證據用於支持表示意見並提出符合標準的確認性報告。 **稽核步驟** * 適當規劃： 開始任何稽核活動之前，需要進行詳細的規劃，包括確定稽核範圍、目標和方法。 * 全面性風險評鑑： 評估與稽核相關的風險，以確保識別出所有重要的風險領域和潛在問題。 * 稽查工作底稿的研擬： 準備稽查工作底稿，詳細記錄稽核計劃、流程、檢查點和預期結果。 * 收集證據： 通過審查文件、進行訪談和觀察操作等手段收集證據，以支持稽核結論。 * 評估控制的強弱： 基於收集的證據，評估組織控制措施的效力和缺陷。 * 準備稽查報告： 撰寫報告，其中包括稽核發現、結論和建議，並以客觀的態度向管理層提供。 * 執行後續追蹤： 確保適當的資源和時間安排用於追蹤稽核報告中的建議和糾正措施的實施情況。 稽核是確保組織遵循最佳實踐、遵守法規要求並持續改進其運營的重要工具。有效的稽核過程能夠識別潛在的問題和風險，提出改進建議，並幫助組織實現其業務目標。 ## 稽核類型 稽核是一個重要的過程，用於評估和保證組織的業務流程、管理系統或控制措施的有效性。根據執行者和目的的不同，稽核可以分為三種主要類型： 1. 第一方稽查（內部稽查） 定義：由組織內部人員對自己的業務流程進行的稽查。 目的：確保內部流程和控制符合組織的政策、程序和標準。 範例：定期的內部稽核，確保遵守內部控制系統和風險管理程序。 2. 第二方稽查（外部稽查） 定義：由主管組織對其下屬單位或業務合作夥伴（如供應商、承包商）進行的稽查。 目的：確保下屬或合作夥伴的運作符合合約要求、標準或法規。 範例：一家公司對其委外服務提供商的業務流程進行評估和審查。 3. 第三方稽查（驗證稽查） 定義：由外部、獨立的驗證組織對組織的業務流程進行的稽查。 目的：提供對外部利益相關者（如客戶、監管機構）的客觀和獨立的驗證。 範例：由BSi（British Standards Institution）或其他認證機構進行的ISO標準認證稽核。 ## 資產 1. 實體資產 定義：包括所有的硬體設備，如電腦、通信和網路設備以及相關的週邊設備。 重要性：這些資產是進行日常業務操作的基礎，其安全和正常運作對組織至關重要。 2. 軟體資產 定義：包括自行或委外開發的軟體、商用套裝軟體和公用程式。 重要性：軟體資產支援業務流程和服務的提供，對資訊處理和業務自動化至關重要。 3. 電子化資訊資產 定義：指所有以電子形式存儲的文件和數據，如系統資料、組態設定檔和稽核紀錄。 重要性：這些資料包含業務運作所需的重要信息，且其完整性和保密性對組織非常重要。 4. 書面文件 定義：包括所有書面的管理文件和記錄，如政策文件、程序指南和系統文檔。 重要性：書面文件為組織的運作提供指導，並作為遵循最佳實踐和合規性的依據。 5. 服務 定義：指為組織提供支持的服務，如通訊、網路、照明和電力。 重要性：這些服務是確保業務持續運營和員工工作環境的基礎。 6. 人員 定義：包括組織內的所有員工，不論是正式職員、約聘人員、廠商駐點人員還是工讀生。 重要性：人員是組織的核心資源，他們的技能、知識和專業對組織的成功至關重要。 7. 聲譽 定義：指組織在公眾和市場中的名聲。 重要性：良好的聲譽是獲得客戶信任、建立品牌價值和維持市場競爭力的重要因素。 ## 何為風險  「風險」是「威脅」利用「資產」相對應「脆弱性」直接或間接造成組 織一個或一群「資訊資產」受到「衝擊(Impact)」的「可能性」 ### 例： – 病毒 (威脅)利用人 (資產)的身體抵抗力弱 (脆弱性) 造成生病的衝擊的可能性 – 同樣的環境，抵抗力低的人，生病的風險高於抵抗高的人 – 流感高峰期時，同一人生病的風險就高於平時 ### 管控的強度，主要即是依據風險高低來決定! – 體質不好的人，需要比較多的成本來注意健康 **風險的組成要素** * 威脅 (Threat): 指可能對資產造成損害的外部或內部因素。這些威脅可以是有意的（例如黑客攻擊、內部人員犯罪）或無意的（例如自然災害、技術故障）。 * 資產 (Asset): 資產是組織中具有價值的元素，如數據、硬件、軟件、人力和品牌聲譽。這些資產對組織的運作至關重要。 * 脆弱性 (Vulnerability): 指資產中的弱點，這些弱點可能被威脅利用來造成損害。脆弱性可以是技術性的（如軟件漏洞）、過程上的（如不充分的審計）或人為的（如員工疏忽）。 * 衝擊 (Impact): 如果威脅實際利用了脆弱性，則對資產造成的損害稱為衝擊。衝擊可以是財務損失、業務中斷、聲譽損害等。 * 可能性 (Likelihood): 指威脅實際利用脆弱性造成衝擊的概率。可能性可以根據歷史數據、行業趨勢或專家評估來確定。 **風險的意義** 風險管理是一個關鍵過程，用於識別、評估和處理這些風險。它涉及確定風險的可能性和衝擊，並制定策略來減輕或接受這些風險。  ## 風險接受 風險接受準則是資訊安全管理中一個關鍵的概念，它涉及決定哪些風險是組織可以容忍的，哪些風險需要通過控制措施來降低或轉移。以下是對風險接受準則的進一步解釋： 1. 風險接受準則的用途 * 風險評估的基礎：風險接受準則用於評估特定風險是否在組織可接受的範圍內。 * 決策依據：它提供了一個基準，以幫助決定是否需要采取措施來減輕或避免特定風險。 2. 定義風險接受準則 * 組織政策和目標：風險接受準則通常基於組織的整體安全政策、業務目標和策略。 * 業務關係：考慮業務流程和目標對風險承受能力的影響。 3. 考慮接受風險的原因 * 成本效益分析：如果減輕風險的成本遠高於潛在損失，則可能選擇接受該風險。 * 事故處理能力：如果組織有足夠的能力處理與風險相關的安全事故，則可能選擇接受風險。 * 技術限制：當沒有有效的技術或措施可以處理特定風險時，可能選擇接受該風險。 應用領域 * 風險管理決策：風險接受準則是風險管理過程中重要的參考點，幫助組織在保護資產和維持業務運營之間找到平衡。 * 持續監控和評估：即使選擇接受特定風險，組織也應持續監控該風險的狀況，並在必要時重新評估其接受決策。 ## 風險應變 **風險處理活動是資訊安全管理中的一個重要部分，旨在根據組織的風險承受能力和業務目標對識別的風險進行適當的處理。以下是風險處理的主要策略： 1. 降低 (Reduce) 定義：採取措施來減少風險的可能性或影響。 應用：通過增強安全控制、改進流程或提高人員意識來減少風險。 2. 避免 (Avoid) 定義：決定不進行或停止可能引發風險的活動。 應用：避免涉及高風險的業務決策或投資，或放棄特定的業務實踐。 3. 接受 (Accept) 定義：明確決定承擔風險，通常是因為風險水平在可接受範圍內或處理成本過高。 應用：對於低風險或成本高於潛在損失的情況，可能選擇接受風險。 4. 移轉 (Transfer) 定義：將風險的一部分或全部轉移到第三方，通常是透過保險或外包。 應用：如購買保險來覆蓋特定的風險，或將某些業務過程外包給專業公司。 5. 不可漠視 (Ignore) 定義：這不是一種建議的風險處理策略，而是指未能正確識別或處理風險的情況。 應用：這種策略可能導致嚴重的後果，因為風險被忽略或低估。 根據ISO 27005，風險處理還可以進一步細分為： * 風險保留（Risk Retention）：有意識地保留一些風險，通常是因為風險水平可以接受或處理成本過高。 * 風險變更（Risk Modification）：通過各種措施修改風險的性質，以降低其可能性或影響。 * 風險分攤（Risk Sharing）：與其他組織或利益相關者共享風險，例如透過合作夥伴關係或聯合投資。 * 風險規避（Risk Avoidance）：完全避免涉及風險的活動。 選擇適當的風險處理策略取決於多種因素，包括風險的性質、組織的風險承受能力和業務策略。通过有效的風險處理，組織能夠更好地控制其資訊安全環境，保護其資產免受威脅 ## 存取控制 ### 定義 存取控制是資訊安全中的一個基本概念，用於管理和限制系統或網絡資源的存取。它確保只有經過授權的用戶或程序才能訪問敏感數據和資源。以下是存取控制的各個組成部分的詳細說明： 1. 主體 (Subject) 定義：指主動發起存取行為的個體，是資料流的起點。 範例：包括終端用戶（如員工）、程序或系統進程。 2. 物件 (Object) 定義：被動地被存取的個體，通常是資料和資源的接收端或保存端。 範例：如檔案、資料庫、網絡資源和應用程序。 3. 存取 (Access) 定義：指主體對物件進行的具體動作。 動作：包括讀取、修改、刪除、建立或執行等操作。 4. 存取規則 (Access Rule) 定義：用於控制主體與物件之間存取路徑的規則和政策。 作用：確定哪些主體可以對哪些物件進行何種操作。 5. 信賴路徑 (Trusted Path) 定義：確保主體可以安全且可靠地存取其預期物件的通信路徑。 重要性：防止數據在傳輸過程中遭到攔截或篡改。 ### 類型 存取控制的類型可以分為三個主要類別：實體類控制、技術類控制和管理類控制。這些控制類型共同作用，形成了一個綜合的安全防護體系，以保護組織的資訊資產免受未授權存取和濫用。以下是對這些類型的詳細描述： 1. 實體類控制 (Physical Controls) * 目的：防止未經授權的實體存取，保護物理資產。 * 包括： * 門、窗及圍牆：防止未經授權人員進入設施。 * 鎖：保護重要區域和設備，如服務器室、辦公室。 * 警衛：提供現場監控和反應，以應對安全威脅。 2. 技術類控制 (Technical Controls) * 目的：透過技術手段保護資訊系統和網絡。 * 包括： * 通行碼鑑別：確保只有授權用戶才能存取系統。 * 加解密技術：保護數據的機密性和完整性。 * 生物特徵識別技術：使用生物特徵進行更精確的身份驗證。 * 防火牆系統、入侵偵測及防禦系統：保護網絡免受未授權存取和攻擊。 3. 管理類控制 (Administrative Controls) * 目的：通過策略、程序和人力管理來保護資訊資產。 * 包括： * 政策與程序：制定和實施安全政策和程序來指導員工行為。 * 安全認知訓練：提高員工對資訊安全的意識和能力。 * 風險管理：識別、評估和處理與資訊安全相關的風險。 ### 功能 存取控制的功能涵蓋了一系列不同的安全措施，旨在保護資訊系統免受未經授權的存取和損害。這些功能按照它們在安全管理中的作用進行分類。以下是對這些功能的詳細解釋： 1. 防禦性 (Preventive) * 目的：防止不當的損害事件發生，通過消除威脅或弱點來避免安全違規行為。 * 例子：使用強密碼政策、設置防火牆和安裝安全軟件等措施，以阻止未授權存取。 2. 偵測性 (Detective) * 目的：識別和發現安全事件，使其能夠被及時處理。 * 例子：安裝入侵偵測系統(IDS)、系統日誌監控和異常活動監測等。 3. 矯正性 (Corrective) * 目的：在發生安全事件時採取行動以減輕影響。 * 例子：啟動備份系統、執行惡意軟件清除程序或重置系統設定。 4. 嚇阻性 (Deterrent) * 目的：通過存在感來降低潛在攻擊者的意圖，儘管它們本身無法完全阻止攻擊。 * 例子：安裝監視器(CCTV)、發布安全政策和警告標誌等。 5. 復原性 (Recovery) * 目的：在發生安全事件之後恢復正常運作。 * 例子：資料備份和恢復計劃、災難恢復程序等。 6. 補償性 (Compensation) * 目的：補充或加強其他控制措施。 * 例子：在主要控制措施失效時，提供額外的安全措施，如緊急訪問控制或冗餘系統 ### 管理 存取控制的管理是資訊安全中一個關鍵的環節，旨在確保只有授權用戶才能訪問和操作敏感數據和系統資源。這包括了帳號管理、授權和可歸責性的幾個主要組成部分。以下是對這些組成部分的詳細說明： 1. 帳號管理 (身分識別與鑑別) * 身分識別 (Identification)： * 定義：使用者或系統提供自己的身分識別資訊，如帳戶名稱、用戶代碼或使用者名稱。 * 目的：確定正在試圖存取資源的主體的身分。 * 身分鑑別 (Authentication)： * 定義：一個過程，用於驗證提供的身分識別資訊是否正確，通常通過要求一些只有該用戶知道的資訊或擁有的東西來完成。 * 方法：包括傳統的密碼、生物識別技術（如指紋或臉部識別）和動態密碼（如一次性密碼或移動應用生成的密碼）。 2. 授權 (Authorization) * 定義：授權是決定一個已經鑑別的用戶可以訪問哪些資源和執行哪些操作的過程。 * 實施：通過設定訪問控制列表（ACLs）、角色基於的存取控制（RBAC）或屬性基於的存取控制（ABAC）等措施實現。 3. 可歸責性 (Accountability) * 稽核紀錄 (Auditing)： * 目的：記錄和追蹤關鍵活動，確保可以追溯每個操作到特定的用戶。 * 應用：生成和維護詳細的日誌文件，記錄存取行為、系統變更和事務處理等。 * * 存取行為的不可否認性： * 定義：確保行為（如發送或接收數據）的執行者無法否認他們的行為。 * 應用：使用數位簽名和加密技術來提供數據的來源和完整性保證。 ### 授權原則 - 業務需知原則/ 僅知 (Need to know) - 只提供執行業務上所需知道的資訊 - 最低權限原則 (Least privilege) - 權限開放時採用最低權限原則 - 職務區隔 (SOD) - 「重要」的工作任務可切割由多人負責，避免需共謀進行的惡意行為(例如：掌管存取安全的人員不應擔任安全稽核的工作) - 特殊權限管理 - 對於系統管理者帳號及相關安全組態設定權限，應採特別的控管方式，並詳細記錄特權人員的存取行為 ### 實體環境的存取控制 - 存取控制的角色 - 主體：人員 - 物件：機房、線路室、保險櫃及電腦等 - 存取規則：只有在職員工能從1F大門進出 - 強制信賴路徑：2M圍牆加電網、獨棟建物且與其他建物棟距20M以上 - 存取控制的管理 - 鑑別：門口警衛檢查人員通行證 - 授權：通行證有效且為在職員工者放行，無效或非在職員工則不放行 - 可歸責性：登記人員進出的時間、目的、攜入或攜出的物品 ### 作業系統的存取控制 - 存取控制的角色 - 主體：人員與執行中的程式(Process) - 物件：檔案、資料庫、其他執行中的程式及記憶體等 - 存取規則：通行碼檔案只能被管理者存取 - 強制信賴路徑：所有磁碟機的檔案存取由OS控制，一般程式不能直接存取磁碟機，使用者所執行的程式繼承該使用者的身分與權限(強制性足夠嗎？) - 存取控制的管理 - 鑑別：簽入作業(帳號通行碼比對正確) - 授權：是否為管理者群組？是否符合檔案存取權限？ - 可歸責性：檔案開啟、修改及刪除都被記錄下來，包含時間與存取者等 ### 應用系統的存取控制 - 存取控制的角色 - 主體：人員 - 物件：檔案與資料庫等 - 存取規則：只有主管才能簽核其部屬的假單 - 強制信賴路徑：所有簽核動作集中於個別程式處理，且配合電子簽章技術(強制性足夠嗎？) - 存取控制的管理 - 鑑別：應用程式簽入作業(帳號通行碼比對正確) - 授權：是否為主管？請假人是否為其部屬？ - 可歸責性：所有簽核動作都應記錄，包含時間、申請人、簽核人及簽核結果等 ### 網路服務的存取控制 - 存取控制的角色 - 主體：人員、執行中的程式(Process)及傳送端設備等 - 物件：網路服務(例如：電子郵件與網站存取) - 存取規則：內部電子郵件必須透過內部郵件伺服器對外傳送 - 強制信賴路徑：防火牆只開放內部郵件伺服器IP可以對外傳送電子郵件 - 存取控制的管理 - 鑑別：來源IP - 授權：是否為內部郵件伺服器？是否為對外寄送信件連線？ - 可歸責性：防火牆記錄所有進出的網路連線請求 ### 身份認證因素 - 所知之事，你知 (Something you know) - 例：通行碼 - 所持之物，你有 (Something you have) - 例：晶片卡 - 所具之形，你是 (Something you are) - 例：指紋 ### FAR vs. FRR vs. CER 在存取控制和身份驗證領域中，FAR (False Acceptance Rate)、FRR (False Rejection Rate) 和 CER (Crossover Error Rate) 是衡量生物識別系統性能的三個關鍵指標。這些指標對於理解和評估生物識別系統的準確性和效能至關重要。以下是這些指標的詳細解釋： 1. False Acceptance Rate (FAR) * 定義：FAR 是生物識別系統錯誤地將未授權用戶或偽造者接受為合法用戶的概率。 * 含義：較高的 FAR 表示系統的安全性較低，因為它可能將未授權的個體錯誤地視為合法用戶。 2. False Rejection Rate (FRR) * 定義：FRR 是生物識別系統錯誤地將授權用戶拒絕的概率。 * 含義：較高的 FRR 表示系統的使用性較低，因為合法用戶可能會被錯誤地拒絕存取。 3. Crossover Error Rate (CER) * 定義：CER 是 FAR 和 FRR 相等時的錯誤率，常被用來衡量生物識別系統的整體準確性。 * 含義：較低的 CER 表示系統在安全性和便利性之間達到了較好的平衡。它是評估不同生物識別系統性能的常用指標。 在設計和實施生物識別系統時，通常需要在 FAR 和 FRR 之間進行平衡。例如，如果系統設計得過於嚴格（低 FAR），則可能會導致較高的 FRR，從而影響使用者體驗。相反，如果系統設計得過於寬鬆（低 FRR），則可能會導致較高的 FAR，降低安全性。因此，找到合適的平衡點是生物識別系統設計和評估的關鍵。  ## 通行碼（密碼） 目前使用「最廣泛」也「最簡便」的身分鑑別技術 也是最不安全的身分鑑別技術 - 危險因素： - 使用者選用了「懶人通行碼」 - 共用通行碼 - 將通行碼貼在螢幕上 - 從不更改通行碼 - 輸入通行碼時被別人看到按下的通行碼 - 針對通行碼的攻擊 - 字典猜測法 - 暴力式通行碼猜測 - 通行碼監聽 - 避免通行碼被破解的防護措施 - 系統強制要求長度至少8碼 - 包含文字、數字及符號、包含大小寫 - 在字典中查不到、以中文字注音符號按鍵來設定 - 系統強制要求使用者定期更換通行碼 - 系統判斷通行碼不重覆使用 - 可限制通行碼容許簽入失敗的次數 - 簽入成功或失敗都應被記錄 - 使用通行碼檢測工具尋找脆弱通行碼 - 通行碼不以明碼方式儲存 - 通行碼不以明碼方式在網路上傳送 - 加強保護集中存放通行碼的伺服器 ## OTP(One Time Password) 一次性通行碼/動態通行碼 - 相較通行碼的優點： - 由隨身攜帶的代碼(Token)或軟體自動產生簽入用通行碼 - 簽入時每次產生的通行碼只能使用一次 - 較可防止通行碼被竊聽而偽冒簽入的問題 - 較可防止通行碼猜測攻擊 ## 密碼應遵循原則 **柯克霍夫原則** 即使密碼系統的任何細節已被公開只要金鑰未洩漏，它也應是安全的 ## 數位簽章與憑證 ### 數位簽章 (Digital Signature) * 基本概念：使用公鑰加密技術來保證訊息的完整性和來源的真實性。 * 運作方式： * 訊息Hash：首先對訊息進行Hash處理，生成一個訊息摘要（Message Digest, MD）。 * 私鑰加密：使用發送者的私鑰對MD進行加密，產生數位簽章。 * 公鑰解密：接收者使用發送者的公鑰來驗證簽章，確保訊息未被篡改。 * 保障：確保訊息的完整性（通過Hash比對）和傳送者的不可否認性。 ### 數位憑證 (Digital Certificate) * 定義：一種證明公開金鑰擁有者身分的電子憑證。 * 生成過程： * 認證機構 (CA)：一個受信任的第三方機構，負責驗證公鑰的合法性。 * 數位簽章：CA使用自己的私鑰對需要認證的個人或組織的公鑰進行簽名。 * 憑證內容：包含公鑰信息、擁有者（主體）身分信息和CA的數位簽章。 * 標準：通常遵從X.509格式規範。 * 數位憑證的申領過程 * 申請：用戶向CA提出申請，提交公鑰和相關身分證明。 * 發放：CA驗證提交的信息後，發放帶有CA簽章的數位憑證給用戶。 數位簽章和數位憑證共同提供了一種強大的方式來保護電子交易和通信的安全性，確保數據在網絡上的安全傳輸。它們對於確保網絡交易的可靠性和信任度至關重要，特別是在需要高度安全性的場合，如在線銀行、政府服務和保密通信等領域。 # 事故管理與持續運營 ## 資安事故處理 * 確認資安事故是否發生：快速準確地判斷是否有安全事件發生，並評估其嚴重性。 * 降低對業務和網路服務的中斷時間：迅速應對，以最小化對業務運營的影響。 * 提供精準及時的資訊：確保所有相關方獲得關於事件的及時和準確信息。 * 保障由政策與法律要求的權利：確保符合相關的法律、法規和組織政策。 * 實施控制措施以維護監管鏈：保護證據，維護事故處理過程的完整性。 * 讓法務組織可對惡意者提起訴訟：收集足夠證據支持法律行動。 ### 有效的資安事故處理計畫 * 定期重新審查計畫文件： 更新人員配置、科技和業務處理流程，以應對變化的威脅環境。 - 訓練： 對員工進行組織分工、資訊安全技能、危機處理、數位鑑識與調查技能以及溝通能力的培訓。 - 財務支持： 確保有足夠的預算和資源支持事故處理活動，包括購買必要的設備、聘請專業人員以及員工訓練費用。 - 演練： 定期進行模擬演練，以驗證和修正事故處理流程和計畫，確保在真實事件發生時可以高效響應。 ### 資安事故處理流程 資安事故的處理是一個包括多個階段的過程，旨在有效應對和解決安全事件，並從中吸取教訓以改善未來的安全態勢。 1. 準備 (Preparation) 456465 3. 456465 定義：建立事故響應計劃和團隊，準備所需的工具和資源。 活動：訓練員工，建立通信計劃，確保所有必要的技術和過程都已到位。 2. 識別 (Identification) 定義：確定是否發生了資安事故，並評估其嚴重性和影響範圍。 活動：監控系統和網絡活動，分析異常行為，使用入侵偵測系統等工具來識別潛在事故。 3. 封鎖 (Containment) 定義：限制事故的影響，防止進一步的損害。 活動：隔離受影響的系統和網絡，實施緊急措施以防止進一步的數據損失或系統感染。 4. 根除 (Eradication) 定義：移除事故的根源，解決導致事故的問題。 活動：清除惡意軟件，修復系統漏洞，增強安全控制。 5. 回復 (Recovery) 定義：恢復和重建受影響的系統和服務，恢復正常運營。 活動：重新啟動系統和服務，確保它們已安全且正常運作，監控任何異常情況。 6. 經驗學習 (Lessons Learned) 定義：分析事故及其處理過程，從中吸取教訓，改進未來的響應。 活動：回顧事故處理的效果，識別成功和失敗的要素，更新事故響應計劃，進行必要的訓練和改進。 ## 備援與營運 ### 營運持續運作計畫(BCP)的必要性 - 為了避免天災、人或、意外等問題的的發生，需要未雨綢繆，讓事故發生時能夠有快速應對的策略與手段 ### 目的 - 防止營運中斷，確保關鍵營運流程不受事故影響 - 結合預防與復原措施，將影響降低到可接受的程度 - 分析事故發生時可能造成後果，制定相關流程，幫助短時間回覆運營 - 使用控制措施降低風險，限制破壞性事故的後果，確保重要內容能及時復原  ### 需求 - 法規規定 - 定義範圍 - BCP 需要處理的天災人禍 - 全部、特定區域與業務 - 參與者 - 計畫主持人 - 各部門主管與高階管理人 - IT 部門、安全部門、通訊部門 - 法務部門 - 當災害發生時需要執行的部門人員都應該參與規劃 ### 營運衝擊分析(BIA) - 用來了解災害發生後的嚴重程度 - 步驟 - 識別關鍵業務功能 - 計算關鍵業務影響 - 最大可承受中斷時間（MTPD） - 目標復原時間 (RTO) - 各營運活動可容忍資料遺失時間(RPO) - 最低服務水準 # 資通安全事件通報及應變辦法 - 分級 - 總共四級 - 第一級，非核心事務受到輕微影響 - 第二級，非核心事務受到嚴重影響 - 第三級，未涉及關鍵設施核心事務受到影響，或核心事務受到輕微影響 - 第四級，關線核心事務受到嚴重影響 - 應通報內容項目 - 發生機關 - 發生或知悉時間 - 狀況描述 - 等級評估 - 因應措施 - 外部支援需求與評估 - 其他事項 - 通報事件 - 應於一小時內完成通報，若無法一小時內完成通報需註記原因 - 更改資安事件等即時，一小時內重新通報 - 資安事件審核時間 - 第一、二級需在八小時內完成 - 第三、四級需在二小時內完成 - 完成損害控制或復原作業時間 - 第一、二級需於七十二小時內完成 - 第三、四級需於三十六小時內完成 - 演練 - 公務機關應辦理演練並將執行成果與報告送交主管機關 - 每半年一次社交工程演練 - 每年辦理一次資通安全事件通報及應變演練 # 磁碟陣列 1. RAID 0（條帶卷） 特點：將數據分割成條帶並平均分佈在所有硬碟上。 優點：提供高速的讀寫性能。 缺點：沒有冗餘，任何一個硬碟的故障都會導致數據丟失。 2. RAID 1（鏡像） 特點：將相同的數據寫入到兩個或更多硬碟上，創造數據的完全鏡像。 優點：提供很高的數據可靠性和讀取速度。 缺點：寫入速度受限於最慢的硬碟，且只能使用總容量的一半。 3. RAID 5（帶奇偶校驗的條帶卷） 特點：將數據和奇偶校驗信息分佈在所有硬碟上。 優點：提供數據冗餘和較好的讀寫性能。 缺點：恢復過程可能很慢，並且一次只能容忍一個硬碟故障。 4. RAID 6（雙重奇偶校驗） 特點：與RAID 5相似，但有兩個奇偶校驗塊，而不是一個。 優點：可以容忍兩個硬碟同時故障，更高的數據安全性。 缺點：寫入速度和容量效率較低，因為需要更多的空間來存儲奇偶校驗信息。 5. RAID 10（或稱RAID 1+0） 特點：結合了RAID 1的鏡像和RAID 0的條帶化。 優點：提供了RAID 1的冗餘和RAID 0的性能。 缺點：高成本，需要至少四個硬碟，且只能使用一半的總容量。 # 著作權 - 保護內容 一、語文著作。 二、音樂著作。 三、戲劇、舞蹈著作。 四、美術著作。 五、攝影著作。 六、圖形著作。 七、視聽著作。 八、錄音著作。 九、建築著作。 十、電腦程式著作。 # 個人資料保護法 - 特種個人資料（非特殊狀況不得搜集）： - 病歷 - 醫療 - 基因 - 性生活 - 健康檢查及犯罪前科 # 自然人憑證 - 使用非對稱加密 - 金鑰分公私鑰 - 儲存於實體 IC 與行動裝置 # CVSS CVSS代表Common Vulnerability Scoring System，是一個用於評估計算軟件漏洞（或安全弱點）嚴重性的公開標準框架。 - CVSS的目的 CVSS的主要目的是提供一種標準的方法，使不同的組織和個人能夠一致地評估和比較不同漏洞的風險程度，以改進資訊安全管理。 - CVSS的版本 目前最常用的版本是CVSSv3，但之前也有CVSSv2版本。每個版本都有其特定的評分方法和指標。 - 評分方法 CVSS使用數值評分（0到10之間的分數）來表示漏洞的風險嚴重性，分數越高表示風險越大。 - 基本指標群（Base Metric Group） 基本指標群包括一組因素，用於評估漏洞的固有風險。這些因素包括機密性衝擊、攻擊途徑、攻擊複雜度等。 - 暫時指標群（Temporal Metric Group） 暫時指標群包括因素，考慮漏洞的時間性因素，如攻擊的可利用性、修復的可行性等。 - 環境指標群（Environmental Metric Group） 環境指標群允許組織根據其特定環境因素來自定義漏洞的風險，包括組織的資源價值、漏洞的重要性等。 # AAA 協定 AAA 協定代表的是「Authentication, Authorization, and Accounting」，是一種用於網絡和系統安全的框架和協議集合。AAA 協定主要用於確保網絡和系統資源的安全存取，並記錄有關用戶和設備的相關信息。以下是 AAA 協定中各個部分的說明： - Authentication（認證）： 認證是 AAA 協定的第一個部分，用於確認用戶或設備的身份。當一個用戶或設備試圖訪問網絡或系統資源時，認證機制要求用戶提供證明其身份的證據，例如使用密碼、憑證、生物識別信息等。成功的認證後，用戶或設備獲得許可訪問特定的資源。 - Authorization（授權）： 授權是 AAA 協定的第二個部分，用於確定已經認證的用戶或設備是否有權訪問特定的資源或執行特定的操作。授權機制根據用戶的身份和權限配置來決定對資源的訪問權限。這包括確定用戶可以執行的操作、訪問的範圍以及對敏感資源的限制。 - Accounting（記帳）： 記帳是 AAA 協定的第三個部分，用於跟蹤和記錄已認證用戶或設備的活動。記帳機制收集有關用戶訪問資源的信息，例如訪問時間、持續時間、訪問的資源和執行的操作等。這些記錄信息可以用於安全審計、監視、計費等目的。 # 雙因素認證 雙因素認證（Two-Factor Authentication，2FA）是一種安全措施，用於增強帳戶和系統的安全性。它要求用戶在進行身份驗證時提供兩種不同的身份驗證因素，以確保只有授權的用戶能夠訪問帳戶或資源。以下是雙因素認證的兩種常見因素： - 知識因素： 知識因素是基於用戶知識的身份驗證因素。它通常是用戶知道的事物，例如密碼、PIN碼或密碼短語。當用戶輸入密碼或PIN碼時，他們正在提供知識因素。 - 物理因素： 物理因素是基於用戶持有的物理對象的身份驗證因素。這可以是一個硬件令牌、智能卡、USB安全鍵或用於生物識別身份驗證的生物特徵（如指紋、虹膜或臉部識別）。 雙因素認證之所以安全，是因為攻擊者需要同時知道用戶的密碼（或PIN碼等）並且擁有用戶的物理因素，才能成功通過身份驗證。即使攻擊者知道密碼，如果他們無法提供正確的物理因素，則無法訪問帳戶或系統。 # 智慧財產權 界定內容： * 文學藝術及科學作品 * 表演藝術家、錄音及廣播之演出 * 在人類一切活動領域內之發明 * 科學發現 * 外型設計 * 商標服務標記、商號名稱及牌號 * 版權與鄰接權 * 商標權 * 地理標誌權 * 工業品外觀設計權 * 專利權 * 積體電路佈線圖設計權 * 未披露過資訊之保護 # IPSec IPsec（Internet Protocol Security）是一個用於保護互聯網通信的安全協議套件，包括加密、認證和完整性保護等功能。IPsec使用金鑰來實現這些安全功能，因此金鑰管理在IPsec中是至關重要的。以下是IPsec中的金鑰管理機制： * 金鑰生成（Key Generation）： 金鑰管理的第一步是生成加密和認證所需的金鑰。這些金鑰可以使用隨機數生成器生成。安全性高的亂數是金鑰生成的基礎。 * 金鑰交換（Key Exchange）： 金鑰交換是確保通信兩端安全共享金鑰的過程。IPsec使用不同的協議和方法來實現金鑰交換，包括IKE（Internet Key Exchange）和Diffie-Hellman協議。這些協議允許通信方協商和交換金鑰，以確保安全通信。 IKE 協議當中包含 SKIP 協議，並有兩個版本 - SKIPv1 - SKIPv2 * 金鑰分發（Key Distribution）： 一旦金鑰被交換，它們需要安全地分發到通信的各端。這可以通過安全的金鑰分發協議和方法來實現，以確保金鑰不被攻擊者截取或竊取。 * 金鑰更新（Key Refreshing）： 金鑰不應永久使用，因為長時間使用相同的金鑰可能會增加風險。金鑰管理機制應包括定期更新金鑰的機制，以確保安全性。 * 金鑰儲存（Key Storage）： 生成、交換和分發的金鑰需要安全地儲存，以防止未經授權的訪問。金鑰儲存應該採取適當的保護措施，如加密和存儲在安全的硬體模塊中。 * 金鑰撤銷（Key Revocation）： 在某些情況下，金鑰可能需要立即撤銷，例如當金鑰外洩或遭到損壞時。金鑰管理機制應包括金鑰的有效撤銷機制。 總之，IPsec的金鑰管理機制是實現IPsec協議套件的核心部分，它確保了通信中所使用的金鑰的機密性、完整性和可用性，以保護數據通信的安全性。有效的金鑰管理是確保IPsec安全性的重要組成部分。 # S/MIME S/MIME代表「Secure/Multipurpose Internet Mail Extensions」，是一種用於保護電子郵件通信的安全標準和協議。S/MIME提供了加密、數字簽名和消息完整性驗證等功能，以確保電子郵件的安全性和隱私。 以下是S/MIME的主要特點和功能： * 加密： S/MIME允許用戶對電子郵件內容進行加密，以確保只有授權的收件人能夠解密和閱讀郵件。這有助於保護敏感信息免受未經授權的訪問。 * 數字簽名： S/MIME允許用戶對郵件進行數字簽名，以確保郵件的真實性和完整性。收件人可以驗證簽名，確保郵件在傳送過程中未被修改或篡改。 * 識別驗證： S/MIME通過使用數位憑證來識別和驗證郵件的發件人。這有助於防止偽造和垃圾郵件攻擊。 * 互操作性： S/MIME是一個廣泛支援的標準，因此可以在不同的電子郵件客戶端和伺服器之間實現互操作性。這使得用戶可以選擇不同的郵件客戶端，同樣能夠享受S/MIME提供的安全性。 * X.509 憑證： S/MIME使用X.509憑證來支援數字簽名和識別驗證。憑證通常由信任的證書授權機構（CA）簽發，並包含有關用戶身份的信息。 S/MIME 會對整個電子郵件內容進行加密（信件內容、附件等...） # 備份 * 完整備份（Full Backup）： 完整備份會備份所選擇的資料的所有內容，不論它們是否在上次備份中已經存在。這意味著完整備份包含所有數據，即使它們沒有更改也會被複製。因此，完整備份需要較多的存儲空間和時間。 * 差異備份（Differential Backup）： 差異備份僅備份自上次完整備份以來發生的變化或差異。它記錄了所有在完整備份之後修改或新增的文件和數據。差異備份通常需要比完整備份更少的存儲空間，因為它只包含變化的部分。 * 增量備份（Incremental Backup）： 增量備份與差異備份相似，但它僅備份自上次備份以來的變化，而不是自上次完整備份以來的變化。因此，增量備份可能需要更少的存儲空間，但在恢復數據時可能需要多個增量備份和完整備份的結合。