第一章资讯安全导论.pptVIP

第十章 資訊安全管理 第十章 資訊安全管理 資訊安全管理是全面性的工作，其主要目標在降低風險、提高管理效率。本章介紹資訊安全管理系統 (Information Security Management System，簡稱ISMS )之相關知識，包含資訊安全原理、資訊安全政策，也介紹資訊安全管理系統之要項，並配合風險管理與內部稽核，以達到資訊安全目標。 主要內容包含： 資訊安全管理簡介 資訊安全三要素 資訊安全政策 資訊安全管理規範發展 資訊安全管理運作模式 資訊安全管理系統 風險管理 內部稽核 10.1 資訊安全管理簡介 由於網際網路的普及，政府、企業與個人生活已無法離開網路，因此資訊安全越顯得重要，資訊安全管理更是不可忽視之重要課題。資訊需要適當的安全保護，尤其是高度依賴資訊化服務的組織將更是如此。 資訊安全管理是全方位、整體性的工作，必須涵蓋三個層面，管理層面、技術層面、和實體層面。在管理層面，必須制定資訊安全相關的政策、規範與程序，明確落實資訊安全規範以建立資訊安全管理制度。管理層面的核心是風險管理，有效的資訊安全控管以能夠掌握風險為起點。而要長期有效的維護資訊安全，需要建立稽核制度，隨時發覺問題，並以持續改善，才能達到降低風險，提高資訊安全管理之成效。 10.1 資訊安全管理簡介 在資訊安全管理系統 (Information Security Management System；ISMS ) 的領域中，最完整且被廣為採用的是 BS 7799。BS 7799是英國標準協會( British Standards Institute；BSI )在1999年發行。BS 7799 分為Part-1 and Part-2，ISO將Part-1於2000年通過成為ISO/IEC 17799 。而BS 7799 Part-2 也於 2005年被 ISO 採用為 ISO 2700 : 2005。 為確實落實資訊系統之安全管理，需要導入風險管理。所謂風險是指一個事件對資訊安全目標所造成的衝擊或影響程度。資訊系統面對的風險非常多，包含系統受駭客攻擊，資料被竊取，網路無法連線、機房空調故障，以至系統不穩定，無法提供正常服務等。 10.2 資訊安全三要素 資訊安全的三項要素是機密性 ( Confidentiality )、完整性 ( Integrity )、與可用性 ( Availability)。如圖10-1，這三項要素稱為資訊安全三原則，簡稱CIA；意味著：能遵守主要原則就能掌握資訊安全的要領。然為了達到整體的資訊安全，除了此三要素外，還有其它要素，如不可否認性 (Non-repudiation)、驗證性 (Authenticity)、可歸責性( Accountability )等。 機密性是指採用適當的安全機制保護資料和資源以避免暴露於無權限人員或程式之下，而危害到資訊安全目標。換言之，機密性是為維護資料在傳輸、儲存、與處理狀態時，不被非授權人員之存取、使用、或竄改。許多攻擊型態都是以破壞資訊的機密性為主，例如：網路抓取封包、偷取密碼檔案、利用監視軟體、網路掃描等，都是破壞機密性的攻擊行為。 10.2 資訊安全三要素 CIA 的第二原則為完整性，完整性是指確保維持資料原來的狀態，只允許有權限的使用者可以修改資料內容。在資料內部與外部均需維持資料的一致性，例如，傳輸資料時，在傳輸中的資料與接收、儲存的資料，均需要保持一致而且是可以確認的。 資料喪失完整性的原因，並非完全只是由於遭受外部攻擊，許多事件都會使資料無法維護完整性，例如，意外刪除檔案、鍵入不正確資料、錯誤指令、病毒感染等。針對上述這些事件，可以採用方法加以對抗，例如：意外刪除檔案，可以用嚴格驗證程序或存取控制，以減少意外發生；預防鍵入不正確資料，可以使用輸出入查核程式加以過濾等。 10.2 資訊安全三要素 可用性是為了確保資訊與系統能夠持續營運、正常使用，當合法使用者要求使用資訊系統時，例如，電子郵件、應用系統等，使用者均可以在適當的時間內獲得回應，並獲得所需服務。可用性需要與前述的機密性與完整性配合一起考慮，以符合既定的資訊安全目標。三者如無法整體考量密切配合，可能反而造成問題，例如：只考慮機密性，將網路資訊加密，或因記錄稽核而影響系統回覆時間，甚或延緩系統服務效能，而違反可用性的原則。 10.2 資訊安全三要素 除以上 CIA 三要素以外，有些資訊安全控管項目還需要具備其它特性。例如，不可否認性 ( Non-repudiation )，為防止使用者否認曾經執行過的動作，使交易收發雙方無法否認所執行的交易；身分認證 ( Authentication )，則為認證資訊使用者的身份；權限 ( Authority )，是依照職務或階級身份給予適當的權限；可歸責性( Accountab