網路攻擊日益猖獗,資訊安全維護更顯重要。為提高網管防護意識,本文將介紹資訊安全的目標、防護工作內容以及資訊安全的計畫,並說明如何設定網路存取控制權以提升網路存取的安全性。
資訊安全一直都是許多企業所關注的議題,尤其是2011年台灣通過個資法,以及過去陸陸續續發生大型企業讓許多客戶的個人資料外洩,例如知名的Sony PSP網路等事件,使得許多企業更加重視資訊安全與風險管理這樣的議題。
這篇文章將大致介紹資訊安全領域和風險管理所涵蓋的內容,以及企業應該如何地應對。
資訊安全三大目標
資訊安全包含許多方面,例如網路安全、資料庫安全、檔案存取、作業系統安全、人員權限管理、密碼學等等,無論談到的是哪一種領域,目標都是一致的,資訊安全目標不外乎圍繞在三個方向:
1. 資料可取得性(Availability)
2. 資料完整性(Integrity)
3. 資料機密性(Confidentiality)
|
▲AIC三角 |
而這三的方向,稱為AIC三角(Triad)。
資料可取得性(Availability)
可取得性指的是當需要存取到資料的時候,都能確保資料是可以被取得的。相對的,就是代表要注意資料是不是有被惡意或不小心刪除及毀壞。整體來說,資料可取得性要注意的方向有:人為因素、線路問題、軟體的疏失、硬體毀壞、缺乏技術人員、病毒或是其他各種可能的威脅。
資料完整性(Integrity)
資料完整性主要注重在資料的正確性(Accuracy),如果資料只是可取得,但是卻缺乏完整性或正確性,這樣也不是我們所期望的。
資料機密性(Confidentiality)
資料機密性的概念就是要去保護個人資料(Privacy of Information)或秘密性的資料(Secrecy of Information)。這樣的保護甚至可以延伸到防止機密資料被交易這樣的行為。
資訊安全防護工作的迷思
大部分人都知道資訊安全的防護工作相當重要,但是很多人卻對這樣的防護工作有著幾項錯誤的迷思:
1. 資訊安全防護工作會妨礙企業業務的運行。
2. 資訊安全防護工作既昂貴,功效又不高。
3. 資訊安全防護工作根本不可能做得到。
4. 資訊安全防護工作只要用類似防火牆或防毒軟體就
可以完成。
我們必須了解,整個資料安全的防護工作,是必須圍繞在業務運作上,也就是同步於業務運作上的需求。至於資訊安全的成本問題,的確是必須要考慮的,但是資訊安全防護工作的種類與層面都很廣泛,要做到哪些方面,以及要做到多深,不是一件簡單就可以敘述的事情。企業必須要衡量投入的預算,但是只要方法正確、方向得宜,功效絕對會很高。
而整個資訊安全防護工作最難的地方,大多都是圍繞在人身上。首先,整個防護工作必須要經過適當的授權與重視,如果在企業中,連老闆…主管等人都不重視,即使投入再多的人力或是資金都是沒有用的。
最後還有一點,就是整個資訊安全必須以主動的態度進行,而不是以被動的態度認為反正還沒有面臨到威脅,因此不需要面面俱到。另外,要明白一點,無論怎樣做,風險都不可能變成零,也就是不可能完全沒有任何的風險,但重點是要如何讓風險降到最低。
資訊安全計畫
經過筆者大致描述資訊安全的目標與迷思後,接下來就來敘述資訊安全計畫所包含的主題:
1. 原則與需求分析(Principles and Requirements)
2. 施行政策(Policy)
3. 組織角色與責任(Organizational Roles and
Responsibilities)
4. 風險管理與分析(Risk Management and Analysis)
5. 道德管理(Ethics)
接著,一個個來做詳細說明。
原則與需求分析
這個主題主要是要了解企業組織在資訊安全上的需求與實行原則。這裡可以分為企業IT的安全需求、組織業務的需求以及IT安全管理三個方面來討論。
企業IT的安全需求
對企業IT而言,資訊安全解決方案注重兩個層面:
1. 資訊安全解決方案的功能需求
2. 資訊安全解決方案能夠正確地被運行