# 資訊安全：資訊安全基礎 [TOC] ## 資安是什麼？ * [iRent 個資外洩，引發 40 萬用戶資安危機](https://www.bnext.com.tw/article/73974/hota-irent-customer-data-exposed-response-security-information) * 原因：內部用來記錄應用程式 Log 檔之暫存資料庫，因未適當阻擋外部連線，導致該資料庫可能遭入侵 * 資料庫超過 9 個月的時間未加密，任何人都能自由進出 * 包括會員姓名、電話、地址、經遮蔽的信用卡資訊（排除盜刷疑慮）、身分證、生日、E-mail、緊急聯絡人、申請會員上傳照片檔（經編碼） * [十五萬元買下台灣人民 2300 萬個資](https://www.cw.com.tw/article/5124927) * 2022 年 10 月 21 日，以「OKE」為代號的匿名使用者，在駭客論壇 BreachForums 兜售號稱全台 2300 萬筆戶役政資料 * 史上首見全台個資公開販售 * 全民戶役政資料被上網兜售，從身分證字號、地址、配偶父母等親屬資料 ### 資安的目的 > [name=維基百科]保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀 * 保障資訊不被未經授權的人或不當的方式所侵害 * 使用、披露、破壞、修改、檢視、記錄、銷毀 * 資安即國安 * 資訊安全是國家安全的一個重要組成部分 * 國家的許多關鍵基礎設施和資源都依賴於資訊技術 * 資訊系統受到攻擊 ➡ 國家機密文件遭到盜取、敏感資訊外洩可能會危及國家安全 ### 資安保護的對象 * 可能受到攻擊的目標 * 資料(Data) * 儲存在儲存媒體上的資訊 * ex. 成績、戶政資料 * 通訊(Communication) * 傳遞訊息的過程 * ex. 網路間傳遞資料、人與人之間的溝通 * 實體(Physical) * 設備的實體環境 * ex. 放置環境、自然災害、保護機制 * 人員(Personnel) * 社交工程：依照人性的弱點進行欺詐或取得未經授權的訪問 * ex. 假冒身份、偽造文件、詐騙電話、釣魚網站 ### 影響資訊安全的因素 * 天然災害 :tornado: :volcano: * 水災、火災、地震...等不可避免的自然災害 * 例如：放置設備的機房發生火災時，如果沒有定期做系統、檔案的備份，就有可能導致資料遺失 * 軟硬體故障 :electric_plug: * 指硬體故障、軟體異常、設備異常或網路斷線等問題 * 例如：銀行系統發生錯誤導致無法進行轉帳或提款 * 人為蓄意侵害 :smiling_imp: * 公司內部的員工惡意洩漏機密或敏感資訊 * 例如：一名員工可能會利用公司的機密資料獲取個人利益，或是出售給競爭對手以獲取金錢。也可以利用內部權限進行未經授權的行動，如瀏覽公司電腦上的私人文件或機密資訊，進一步洩漏公司機密。 * 人為疏失 :man-bowing: * 企業內部人員的疏忽 * 例如：公告未遮蔽個人資料檔案、電腦操作員誤置檔案或儲存媒體等 > [參考資料](http://host16.tyjh.tyc.edu.tw/~class3/93y/st101/91/91-1-5.htm) > [參考資料](https://www.baohwatrust.com/baohwa-blog/8914) ### 資安的重要性 * 個人 * 網購時信用卡資訊外洩 ➡ 信用卡號碼外洩、財務損失 * 社交平台帳號遭盜用 ➡ 身分被盜用、聊天記錄洩漏... * 企業 * 機敏資料受到外部入侵或內部人員泄漏 ➡ 公司聲譽損失、被競爭對手利用 * 資訊系統服務中斷 ➡ 公司無法經營業務、造成重大損失 * 政府 * 政府資訊外洩 ➡ 國家安全和公眾利益 ## 資安鐵三角 * 沒有明確的提出者， * 由美國國家標準暨技術研究院（NIST）在 1977 年發行的刊物整合出資安鐵三角 （CIA） 的概念 * 資訊安全的重要性在於保護資訊的機密性、完整性和可用性 :::info #### 美國國家標準暨技術研究院 NIST * National Institute of Standards and Technology，簡寫為 NIST * 前身: 國家標準局（NBS，1901 年～1988 年） * 美國聯邦政府的科技標準和測量標準機構 * 提供了各種測量標準、測試方法、軟體和硬體工具 #### NIST SP 800 系列 * NIST SP 800-53：資訊系統及組織的安全及個人資料控管 * NIST SP 800-37：風險管理框架，旨在幫助組織規劃、實施、管理和維護資訊安全風險管理程序，並提供完整的生命週期管理方法論 * NIST SP 800-207：Zero Trust Architecture（ZTA），零信任架構的設計、實施、操作和維護 #### NIST CSF（NIST Cybersecurity Framework） * 一套網路安全框架，可以增加網路安全 * 將企業或組織的資訊安全風險分為五大類： * 識別（Identify）：建立組織規則，確認使用者、設備、應用程式和資源的身份，以確保只有授權的實體才能訪問特定的資源 * 保護（Protect）：建立和實施保護措施以保護系統和資源不受威脅 * 偵測（Detect）：監控和檢測潛在的安全事件，並及時偵測異常行為和攻擊 * 回應（Respond）：對偵測到的網路安全事件，規劃並實施適當的行動 * 復原（Recover）：業務運作恢復到正常狀態制定並實施適當的措施以修復因網路安全事件受損的功能和服務 * 全世界各國的公部門與企業，相繼導入了這個框架 * NIST CSF 相較於 ISO 27001 標準，建置成本較低，且容易上手 > [參考資料](https://medium.com/upas/%E5%B8%B6%E4%BD%A0%E8%AA%8D%E8%AD%98nist-cybersecurity-framework-303fb84e252c) > [官方文件](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf) ::: ### 機密性（Confidentiality） > [name=維基百科]確保資料傳遞與儲存的隱密性，避免未經授權的使用者有意或無意的揭露資料內容 * 通訊機密性  * 資料機密性 * 機密性：任何不公開的資訊無法被未經授權的人看到 * 機密性攻擊：機密資訊被未經授權的使用者看到 * 情境舉例： > :lock: 偷看助教電腦裡的檔案，提前知道期中考的題目 > 違反了資料機密性，因為未經授權的人看到檔案 * 提高資料機密性： * 針對資料做加密 * 使用磁碟加密軟體（ex. VeraCrypt），可以建立實體磁碟上的加密區域、建立加密虛擬磁碟檔案並掛載使用 * 使用雙重要素驗證 (2FA) 、多因子驗證（MFA） * 資料分池，將敏感資料分散儲存在不同的地方，即使拿到其中一部分檔案，也沒辦法得知完整的檔案 * 金鑰分池，任何一個人都不知道完整的解密方式，如果其中一個人被攻擊也不會造成問題 * 資訊混淆，即使解密後，裡面的資料是被混淆過的，只有特定的人才知道怎麼還原 ### 完整性（Integrity） > [name=維基百科]代表確保資料無論是在傳輸或儲存的生命週期中，保有其正確性與一致性 * 通訊完整性  * 資料完整性 * 完整性：任何機密資訊都無法被入侵者竄改 / 毀損 / 刪除 * 完整性攻擊：資料內容受到更動 * 情境舉例： > :100: 竄改助教檔案裡面的成績，把自己的分數改成 100 分 > 違反了資料完整性，因為擅自更改了助教電腦裡的檔案 * 提高資料完整性 * 雜湊函數驗證 * 相同的輸入有相同的輸出，不同的輸入有不同的輸出 * 留意使用的雜湊函數是否安全 * 使用數位簽章 * 使用私鑰加密、公鑰解密 :::info ### MD5 已被證實是不安全的雜湊函數 * 在可接受的時間範圍內，可以找到內容不相同輸入卻得到相同輸出 ### MD5 小故事  美國網路司令部徽章（United States Cyber Command USCYBERCOM） * Logo 上有一串用MD5加密過的英文字「9ec4c12949a4f31474f299058ce2b22a」 * 美國科技雜誌《Wired》當時舉辦比賽徵求破解密碼，約 3 小時密碼就被參賽者破解 * 破解出來的文字代表美國網路司令部的任務聲明 * USCYBERCOM plans, coordinates, integrates, synchronizes and conducts activities to: direct the operations and defense of specified Department of Defense information networks and; prepare to, and when directed, conduct full spectrum military cyberspace operations in order to enable actions in all domains, ensure US/Allied freedom of action in cyberspace and deny the same to our adversaries. > 翻譯 > > 美國網絡司令部計劃、協調、整合、同步和進行活動，以指揮特定的國防部信息網絡的操作和防禦，並準備在指揮下進行全譜軍事網絡空間作戰，以實現在所有領域的行動，確保美國 / 盟友在網絡空間的行動自由，並否認對手的行動自由。 > [圖片來源](https://zh.wikipedia.org/zh-tw/%E7%BE%8E%E5%9C%8B%E7%B6%B2%E6%88%B0%E5%8F%B8%E4%BB%A4%E9%83%A8) ::: ### 可用性（Availability） > [name=維基百科]當使用者需透過資訊系統進行操作時，資料與服務須保持可用狀況 (能用)，並能滿足使用需求 (夠用) * 通訊可用性  * 資料可用性 * 可用性：已經取得授權可以及時地且不間斷地讀取或使用資料，確保資料的順暢性 * 可用性攻擊：使授權者無法正常查看資訊 * 情境舉例： > :file_folder: 助教上課的時候要打開自己電腦裡面的簡報，發現檔案突然毀損了所以打不開 > 違反資料可用性，因為助教應該要隨時隨地可以存取這份檔案 * 提高資料可用性 * 備份 321 原則 * 製作三份備份、放在兩種不同儲存媒體、至少一份放在異地保存 * 適當的容錯機制 * RAID 磁碟陣列，以避免單一磁碟失效而導致整個系統無法運作 ### 延伸安全性要素 * 可鑑別性（Authenticity） * 可鑑別性：能辨別資訊使用者的真實、有效身份 * 違反可鑑別性：身份被盜用、冒充 * 不可否認性（Non-repudiation） * 不可否認性：傳送方或接收方，雙方都不能否認曾經進行資料傳輸或接收 * 違反不可否認性：產生爭議，雙方否認曾經發生這件事 * 存取權限控制（Authority / Access Control） * 存取權限控制：依照身份給予適當的權限 * 違反存取權限控制：超越權限範圍，執行不該有的操作 > [參考資料](https://ithelp.ithome.com.tw/m/articles/10292943) ### 小整理 * 資安鐵三角（機密性、完整性和可用性）： * 資訊安全時必須要同時兼顧這三個**目標** * 延伸安全性要素（可鑑別性、不可否認性、存取權限控制）： * 強調如何透過 Authenticity、Non-repudiation 和 Access Control 來**實現**資訊安全 ## 3A ### 認證 (Authentication) > 可鑑別性 識別資訊使用者的身分，可記錄資訊被誰所存取使用，例如：透過密碼或憑證方式驗證使用者身分 * 你所知道的（Something you know）：正確使用者知道的事情 * 傳統帳號、密碼 * 破解機率大 * 你所擁有的（Something you have）：持有的物品 :iphone: * 確認使用者除了知道密碼以外，也持有使用者持有的物品 * IC 卡、數位裝置、數位簽章、一次性密碼 (OTP) * 你所具備的（Something you are）：生物特徵 :eye: * 個人生物特徵辨識 * 指紋、虹膜（iris）、聲紋、臉部特徵、靜脈脈紋、DNA > [參考資料](https://zh.wikipedia.org/zh-tw/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8#%E6%9C%BA%E5%AF%86%E6%80%A7) > [參考資料](https://blog.synology.com/cht/%E5%BE%9E-something-you-know-%E5%88%B0-something-you-are%EF%BC%8C%E8%B7%9F%E5%82%B3%E7%B5%B1%E5%AF%86%E7%A2%BC%E8%AA%AA%E6%8E%B0%E6%8E%B0) ### 授權 (Authorization) > 存取權限控制 Access Control 依照實際需求給予適當的權限，建議採最小權限（Least privilege），給予實際所需要的最低權限即可，避免過度授權而造成資訊暴露或洩漏 * 常見的分類方法（後面 Owasp top 10 會介紹） * 強制存取控制（Mandatory Access Control） * 自由選定存取控制（Discretionary Access Control） * 以角色為基礎的存取控制（Role-Based Access Control） * 以規則為基礎的存取控制（Rule-Based Access Control） ### 紀錄 (Accounting) > 不可否認性 Non-repudiation * 為了收集使用者與系統之間互動的資料，留下軌跡紀錄 * 功能 * 量測（Measuring）、監控（Monitoring）、報告（Reporting）與紀錄檔案 (Logging) * 應用 * 幫助未來進行稽核（Auditing）、計費（Billing）、分析（Analysis） > 凡走過必留下痕跡 :::info ### 名詞補充 * 量測（Measuring） * 系統或應用程式收集與記錄使用者的操作行為、系統狀態以及其他相關的資訊 * 例如：使用者登入、登出、修改資料等等操作 * 監控（Monitoring） * 指系統或應用程式持續地監控使用者的操作行為與系統狀態，當發現異常情況時，可以立即通知管理者或觸發相應的事件 * 例如：偵測網路攻擊、系統資源使用過量 * 報告（Reporting） * 將量測與監控的資料加以整理並呈現給管理者，以便管理者能夠了解系統的狀態，並進行相應的管理與調整 * 例如：系統使用量報告、風險評估報告 * 紀錄檔案 (Logging) * 將量測、監控、報告的資料紀錄下來，並加上時間戳記和事件描述，以便於未來查詢與稽核 * 紀錄檔案可以在系統發生異常情況時提供線索 --- * 稽核（Auditing） * 對系統使用狀況和行為的監視和檢查 * 可以幫助檢測潛在的風險和漏洞、發現任何可能的非法或不當行為 * 計費（Billing） * 跟蹤系統使用情況，以確定相應的費用 * 在雲計算等服務中，計費可以幫助提供方收取相應的費用，同時也可以幫助使用方管理成本和支出 * 分析（Analysis） * 通過檢查紀錄和其他資訊來評估系統和使用情況 * 有助於發現問題和機會，以及制定改進和最佳化策略，從而提高系統的性能和效率 ::: ## 資安相關標準與規範 ### 國際標準 * 國際組織，ex.國際標準化組織（ISO），制定相關的資安標準 * ex. ISO/IEC 27001、ISO/IEC 27002 等 ### 國內法律規範 * 資通安全管理法 * 有效規劃我國資通安全管理政策，並落實於公、私部門，以建構安全的資通環境，進而保障國家安全，維護社會公共利益 * 資通安全責任等級分級辦法 * 根據業務性質、機密性等級及安全需求等，進行資通安全管理的分級辦法 * 業務涉及的資訊愈機密，須符合的等級也就愈高 * 由高至低，分為 A 級、B 級、C 級、D 級及 E 級 * 資通安全事件通報及應變辦法 * 資通安全事件的通報機制、處理流程、後續流程... * 完成損害控制或復原作業，降低資通安全事件對各機關業務之衝擊影響 * 依照事件的嚴重程度進行分類和處理 > [資通安全管理法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297) ### 企業內部規範 * 以上規定不會直接適用企業內部本身，所以需要在基礎上進一步制定相關的資安規範 * ex. 資安政策、資安宣導、資安應變計畫等