如果有人為了防小偷在家門上裝了十道鎖,但卻不關窗戶,是不是很荒謬?相同的,維護資訊安全也要顧及全面性。如果有一個領域的防禦不佳,其它領域做得再多也是枉然,因為資訊安全事件會發生在最脆弱的環節。甚 具公信力的「資訊系統安全專家認證( Certified Information SystemsSecurity Professionals, CISSP)」涵蓋以下十個領域:
- 資訊安全與風險管理(Information Security and Risk Management)
- 存取控制(Access Control)
- 應用程式安全(Application Security)
- 密碼學(Cryptography)
- 通訊與網路安全(Telecommunications and Network Security)
- 實體安全(Physical Security)
- 營運安全(Operations Security)
- 安全架構與設計(Security Architecture and Design)
- 業務持續與災害復原計畫(Business Continuity and Disaster RecoveryPlanning)
- 法律、規章、遵循性與調查(Law, Regulations, Compliance, and Investigations)
這些領域的內容留待以後章節討論,在這裡單從十個領域的名稱就可以看出資訊安全的範圍極廣,包括數學、科技、管理、法律等各個層面。資訊安全的三元素我們也可以從資訊安全的三元素(security triad)來討論它的範圍,這三元素是「實體安全(physical security)」,「營運安全(operational security)」,以及「管理與政策(management and policies)」。實體安全保護你的資產與資訊,讓未經授權的人無法做實體接觸。所保護的是看得見、摸得著、並能被偷的東西。維護實體安全有以下三個重點:
- 讓你所保護的實體位置不要成為受攻擊的目標。
- 即時地偵測到侵入或竊盜的發生。
- 當被盜取或損失重要資訊或系統後,能夠快速復原。
研究資訊安全的人常因為資訊沒有實體,而忽略了實體安全的重要性。事實上,無形的資訊仍然需要有形的載具,例如伺服器、磁碟機、電纜線等,如果惡意攻擊者能夠接觸到這些載具,他們就有更高的機會竊取或破壞其上的資訊。營運安全在確保組織能經常地正確運作,尤其應注意以下工作重點:
- 電腦、網路及有線與無線通訊系統的運作。
- 資訊與檔案管理。
- 存取控制、身分認證及網路的安全結構設計。
- 經常性的網路維運、與其它網路的連結、備份計畫與復原計畫等。
營運安全是大多數資訊安全人員的主要工作範圍,也佔據了本書最多的篇幅,然而大家不可以忽略它和另外兩個元素之間的依存性。一個組織的資訊安全管理政策直接領導了它的管理方向,若要發揮作用,需
要組織高層的絕對支持。訂定資訊安全政策時應該考慮以下項目:
- 行政管理政策(administrative policies):為系統及網路管理員制定標準作業流程,如升級、監控、備份及稽核等。
- 軟體設計要求(software design requirements):制定組織採購、外包、或自行開發軟體之相關安全要求。
- 災害復原計畫(disaster recovery plans, DRP)
- 資訊政策(information policies):包括資訊存取、機密等級、標示、儲存、以及機密資訊的傳遞與銷毀。
- 安全政策(security policies)
- 使用政策(usage policies):說明資訊與資源該如何被使用,應包括隱私權、所有人制度,與不當行為之處分。
- 使用者管理政策(user management policies):員工在受雇期間的資訊安全相關管理制度,包括新人訓練、存取權限的設定與取消等。
資訊安全的目標:
組織或個人推動資訊安全所要達到的目標( goals ) 有三項: 一是預防(prevention),事先預防比事後處理容易,不論是人員訓練、程序制定、或防火牆之類產品的建置都可以預防電腦或資訊被違規使用。二是偵測(detection)要能即時地偵測到事件的發生。除了人員的資訊安全警覺性之外,入侵偵測系統(intrusion detection systems, IDS)與防毒軟體等產品也能達到偵測目的。三是反應(response),在平時就要發展策略與技巧來因應遭受的攻擊或造成的損失,並且要廣為宣導、經常演練。而資料備份(backup)與資訊系統冗餘(redundancy)設計也都有助於資訊安全事件發生後的反應與復原。