資訊系統安全原則

什麼是資訊安全 (InfoSec) 的定義？

資訊安全（或 InfoSec）是指企業用來保護資訊的方法和實踐。這還包括禁止未經授權的個人訪問公司或個人資料的策略設定。InfoSec 是一門快速發展和變化的學科，涵蓋從網路和基礎設施安全到測試和審計的所有方面。

資訊安全保護敏感資料免受非法訪問、更改或記錄，以及任何干擾或破壞。其目的是保護關鍵資料，例如客戶賬戶資訊、財務資訊和智慧財產權。

私密資訊被盜、資料操縱和資料擦除都是安全事件的後果。攻擊可能會阻礙工作運營並損害公司的聲譽，還會造成經濟損失。

組織應制定安全預算，並確保他們準備好識別、應對和預防諸如網路釣魚、惡意軟體、病毒、內部惡意人員和勒索軟體之類的威脅。

資訊安全的三個原則是什麼？

資訊安全的三個核心概念是機密性、完整性和可用性。在資訊安全程式的每個方面都必須實施多個這些原則。它們的統稱是 CIA 三元組。

機密性

機密性保護措施旨在防止未經授權的資訊傳播。機密性原則的目標是將個人資訊保密，並且只向擁有該資訊或需要該資訊來完成其組織任務的人員公開和提供。

完整性

完整性包括防止對資料進行不需要的修改（新增、刪除、修改等）。完整性原則確保資料準確可靠，並且不會以任何方式被篡改，無論是錯誤的還是故意的。

可用性

系統能夠在客戶需要時完全訪問軟體系統和資料的能力稱為可用性。可用性的目標是開發在業務流程或公司客戶需要時可訪問的技術基礎設施、應用程式和資料。

網路安全與資訊安全

就廣度和目標而言，資訊安全與網路安全有所不同。儘管這兩個術語有時可以互換使用，但網路安全是資訊安全的一個子類。資訊安全涵蓋物理安全、端點安全、資料加密和網路安全。它還與資訊保障相關，資訊保障保護資料免受自然災害和伺服器停機等風險的影響。

網路安全主要關注技術風險以及可以用來避免這些風險的方法和技術。另一個類似的領域是資料安全，其主要工作是防止組織的資料被未經授權的個人或群體錯誤地或惡意地洩露。

資訊安全策略

資訊安全策略 (ISP) 是一套指導人們使用技術的準則。企業可以制定資訊安全策略，以確保員工和客戶遵守安全規則和流程。安全法規規定，只有授權人員才能訪問敏感系統和資訊。

制定有效的安全策略並確保合規性是避免和管理安全風險的關鍵步驟。根據公司變化、新威脅、從以往入侵中吸取的教訓以及安全系統和技術的更改定期更新您的策略，使其真正有效。

制定切合實際的資訊安全計劃。為了滿足企業內不同部門的需求和緊急情況，必須實施帶有同意程式的例外系統，允許部門或個人在某些情況下偏離規範。

資訊安全面臨的嚴重威脅

已識別的攻擊媒介數以千計，資訊安全風險種類也數百種。我們將討論現代企業安全團隊關注的一些主要風險。

不安全或安全性較差的系統

由於速度和技術發展，安全措施往往會被破壞。在其他情況下，系統是在沒有安全性的情況下構建的，並作為企業內部的遺留系統繼續執行。組織必須透過保護或修補這些易受攻擊的系統、停用它們或隔離它們來識別和降低風險。

社交媒體攻擊

許多人都有社交媒體帳戶，他們會在那裡無意中洩露大量個人資訊。攻擊者可以使用社交媒體直接進行攻擊，例如透過社交媒體訊息傳播惡意軟體，或者間接進行攻擊，例如分析使用者和組織的漏洞，並利用從這些網站收集的資訊設計攻擊。

社會工程

社會工程是指向人們傳送電子郵件和訊息，以說服他們執行可能危及其安全或洩露個人資訊的活動。攻擊者使用好奇心、匆忙和恐懼等心理因素來影響使用者。

如果來源看起來可信，例如點選安裝惡意軟體到其裝置的連結或提供個人資訊、密碼或財務資訊，那麼人們更有可能配合社會工程訊息。

組織可以透過教育使用者瞭解風險並培訓他們識別和拒絕可疑通訊來降低社會工程的風險。此外，可以使用技術方法來阻止人們執行諸如點選奇怪連結或下載意外檔案之類的危險行為，或阻止社會工程在其來源處。

端點惡意軟體

端點惡意軟體是一種感染計算機的惡意軟體。組織使用者使用的端點裝置包括臺式電腦、筆記型電腦、平板電腦和行動電話，其中許多是私人擁有的，不受組織的管轄，並且所有這些裝置都定期連線到網際網路。

惡意軟體可以透過多種方式傳播，並可能導致端點受損以及特權升級到其他公司系統，這是所有這些端點上的一個主要風險。

傳統的防病毒軟體不足以阻止所有現代型別的惡意軟體，因此正在開發其他端點安全方法，例如端點檢測和響應 (EDR)。

缺少加密

加密方法對資料進行加密，以便只有擁有金鑰的使用者才能對其進行解碼。在裝置丟失或被盜的情況下，或者在組織系統被入侵的情況下，它在防止資料丟失或損壞方面特別有效。

不幸的是，由於其複雜性以及與有效實施相關的法律要求的缺乏，此措施經常被忽略。組織越來越多地使用加密，無論是透過購買支援加密的儲存裝置還是使用專門的安全技術。

安全配置錯誤

現代企業使用的技術平臺和工具包括 Web 應用程式、資料庫和軟體即服務 (SaaS) 應用程式，以及來自 Amazon Web Services 等提供商的基礎設施即服務 (IaaS)。

企業級平臺和雲服務中提供了安全功能，但必須由公司進行設定。由於疏忽或人為錯誤導致的安全配置錯誤可能會導致安全漏洞。另一個問題是“配置漂移”，其中系統的正確安全配置可能會迅速過時，使其在 IT 或安全人員不知情的情況下變得易受攻擊。

組織可以使用持續監控系統、發現配置差距並通知甚至自動糾正使系統易受攻擊的配置缺陷的技術平臺來防止安全配置錯誤。

攻擊：主動與被動

資訊安全的目標是保護企業免受惡意攻擊。攻擊的兩種主要型別是主動攻擊和被動攻擊。主動攻擊更難避免，因此識別、減輕和恢復主動攻擊是當務之急。強大的安全措施使被動攻擊更容易避免。

主動攻擊

攔截通訊或訊息並將其更改為惡意目的屬於主動攻擊。主動攻擊可以採取三種不同的形式：

• 中斷 - 攻擊者偽裝成對話雙方之一，透過傳送額外的惡意訊息來中斷原始對話。

• 修改 - 攻擊者獲取當前通訊內容，並對其進行重放或更改，以獲得對其中一方的優勢。

• 偽造 - 建立虛構或合成的通訊，通常目的是造成拒絕服務 (DoS)。使用者因此無法訪問系統或執行常規任務。

被動攻擊

在被動攻擊中，攻擊者觀察和監控系統，複製資料而不影響它。然後使用這些資訊來破壞網路或入侵目標系統。

攻擊者不會以任何方式更改通訊或目標系統。這使得檢測更具挑戰性。另一方面，加密可以透過隱藏資料並使攻擊者更難以利用資料來幫助避免被動攻擊。

資料保護和資訊安全法律

組織開展業務地區的規則和法規始終與資訊安全存在衝突。全球各地都實施了資料保護法，以增強個人資料的隱私，並限制企業獲取、儲存和使用資料的方式。

資料隱私主要關注的是資料的處理和使用方式，其主題是個人身份資訊 (PII)。任何可能直接與使用者相關聯的資料，例如使用者的姓名、身份證號碼、出生日期、住址或電話號碼，都被視為 PII。工件，如社交媒體帖子、個人資料照片和 IP 地址也可能包含在內。

通用資料保護條例

通用資料保護條例 (GDPR) 是歐盟 (EU) 最著名的隱私法規。該法規管轄關於歐盟公民的個人資訊的收集、使用、儲存、安全和轉移。

GDPR 適用於與歐盟公民開展業務的每家公司，無論該公司是否位於歐盟境內。違反標準可能會導致高達全球銷售額 4% 或 2000 萬歐元的罰款。

GDPR 的主要目標是：

• 個人資料隱私已被宣佈為一項核心人權。

• 實施隱私標準。

• 隱私標準的應用應標準化。

GDPR 保護以下型別的資料：

• 姓名、身份證號碼、出生日期和地址等個人資訊。

• IP 地址、cookie、位置和其他網路資料

• 有關健康的資訊，包括診斷和預後

• 語音資料、DNA 和指紋等生物識別資料。

• 保密的通訊

• 影像和影片

• 從文化、社會或經濟角度來看的資料

美國的資料保護法規

儘管實施了各種限制，但目前美國沒有管理一般資料隱私的聯邦法律。但是，某些型別的或用途的資料受某些限制的保護。其中一些是：

• 《聯邦貿易委員會法》禁止企業對客戶的隱私規則進行虛假陳述，未能有效保護客戶隱私以及虛假廣告。

• 《兒童線上隱私保護法》管理關於兒童的個人資訊的獲取。

• 《健康保險攜帶和責任法案》(HIPAA) 規定了如何儲存、共享和使用健康資訊。

• 《格雷姆裡奇布萊利法案》(GLBA) 規定了金融機構和銀行如何收集和儲存個人資訊。

• 《公平信用報告法》管理信用資訊和記錄的收集、使用和訪問。

聯邦貿易委員會 (FTC) 還負責保護使用者免受欺詐或不公平交易以及資料安全和隱私的侵害。FTC 有權制定規則、執行法律、處罰違規者和調查涉嫌的企業欺詐行為。

除了聯邦法規外，美國的 25 個州還通過了與資料相關的立法。最著名的例子是《加州消費者隱私法》(CCPA)。根據該法案（於 2020 年 1 月生效），加利福尼亞州居民有權檢視私人資訊，要求刪除私人資訊，並選擇退出資料收集或銷售。

還有一些其他的地區性法規，例如：

• 澳大利亞審慎監管局 (APRA) CPS 234

• 加拿大的《個人資訊保護和電子檔案法》(PIPEDA)

• 新加坡的《個人資料保護法》(PDPA)

Vineet Nanda

更新於：2021 年 11 月 26 日

2000+ 次瀏覽

開啟你的職業生涯

透過完成課程獲得認證

開始學習