资讯安全管理-个人篇.pdf

A01-001 A01-001 資訊安全管理 -個人篇 資訊安全管理 -個人篇 課程大綱 課程大綱 • 資訊安全基本概念 • 十大資訊安全好習慣 • 結論 第一章 資訊安全基本概念 第一章 資訊安全基本概念 資訊安全的意義 資訊安全的意義 •資訊安全可保護資訊免受多種威脅的攻擊，保 障個人重要資料 –檔案 –網路資料庫 –電子郵件 –個人資料 • 以範例說明資訊安全的重要性 – 大考中心 –信用卡資訊外洩 –假銀行網站 –國小教師辦駭客 – 無線網路溢波 資訊安全的本質 資訊安全的本質 • 無孔不入 –整體資訊安全是建構於一系列環環相扣的保護機制 下 – 攻擊或破壞者只要找出其中最弱的一環，就可以完 全瓦解整個保護機制。 • 覆巢之下無完卵 –只要最弱的一環被瓦解，所有的政府重要資料都可 能被竊取或破壞。 • 沒有百分之百的安全 – 必須對可能造成問題的弱點加以防護 CIA CIA • 機密性：確保只有經授權的人，方能允許存取 資訊。 例如：公文的傳送只有公文的接收人才能看到公文的 內容，一般來說電子公文系統會使用加密的傳輸管道 來傳送電子公文，讓公文就算被攔截也無法被讀取。 • 完整性：確保資訊內容及資訊處理方法為正確 而且完整。 • 可用性：確保經授權的使用者當需要時，能存 取資訊及使用相關的資產。 其它安全性服務 其它安全性服務 • Non-repudiation 不可否認性 − 防止存心不良的使用者否認其所做過的事，包括送出信 件，接收文件，存取資料等。即交易的收發雙方參與安 全管制並無法否認執行過的交易，例如數位簽署就具備 不可否認性。 • Authenticity鑑別性 – 辨別資訊使用者的身份，即可以記錄資訊是被誰使用 過，例如帳號、身份字號、員工編號。 • Accountability可歸責性 –所有主要的資訊資產應有人負責，並指定資產的所有人 負責保護，管理的記錄必須是可以追溯。 • Reliability可靠性 – 資訊的正確度與可靠的消息來源和系統執行穩定度有關 威脅來源的來源與動機 威脅來源的來源與動機 故意 無意 Intentional Unintentional 操作缺失 操作缺失 自然現象 認知不足 自然現象 認知不足 設計缺失 設計缺失 駭客 駭客 Internet Internet