Page 35 - 捷運技術 第32期
P. 35
捷運技術半年刊 第 32 期 94 年 2 月 25
1. 機密性(Confidentiality):確保「資訊」只能被經過授權的人,才能存取。
2. 完整性(Integrity):保證「資訊」和其「處理方法」的準確性與完整性。
3. 可用性(Availability):確保經過授權的使用者,能存取「資訊」,並使用相關「資訊資
產」。
「資訊系統安全」乃指一切保護資訊系統資源,包括:硬體、軟體、資料庫,以防止遭
受變更、破壞及未授權使用資訊系統資源之控制措施,其範圍包括技術面與組織管理面(吳
琮璠,1996)。資訊安全管理的目的在保護電腦資源,包括:硬體、軟體、資料、程序及人員,
以防止電腦資源被變更、破壞及未授權使用(謝清佳與吳琮璠,1999)。
百分之百的資訊安全是難以做到的,為確保資訊安全基礎建設的安全性,防禦性資訊系
統受到先進國家的重視,其功能性典範(Functional Paradigm)採取下列措施(樊國楨等,2001;
Panda & Giordano, 1999;樊國楨與時崇德,2000;Ellison, 1999;國家安全局,2000):
1. 防護(Resistance):即防止資訊系統之硬體、軟體與資料遭受外部或內部的威脅。
2. 識別(Recognition):即快速且正確的偵測與辨識出惡意的資訊攻擊,以爭取回復的時間
與機會。
3. 回復(Recovery):即評估損害程度,找出隱藏的惡意程式,關閉入侵者為再次入侵留下
的後門與回復資料,快速且完整的回復系統,並維護系統的完整性與可用性。
宋振華與楊子劍(2001)指出:資訊安全是由一系列的安全機制所構成,每一個環節都
是非常重要,一旦其中一個環境未能妥善的考慮到,即可能造成整體資訊安全體系的瓦解。
因此,要建立一個完整的資訊安全體系,則需要有完整的思考,通盤的規劃,站在組織的立
場,從各個層面思考不同的安全防護機制。
整體資訊安全架構的技術項目,係以安全需求為中心,包含不同層次的資訊安全技術:
1. 安全需求:依據組織的目標、資訊政策及風險情況,研擬資訊安全需求。
2. 密碼演算法:包括密碼分析與技術。
3. 資訊系統:包括系統安全、網路安全及通信安全。
4. 應用環境:包括應用系統安全與資訊安全基礎建設。
5. 實體安全:資訊系統運作與環境之安全控管,如:機房進出管制、媒體管理、異地備
援等。
資訊安全的目標在確保資訊的機密性、完整性與可用性等,即所謂的 CIA
(Confidentiality、Integrity、Availability),係多數學者與專業人士可接受的定義。資訊安全
可區分為兩個層面,即技術與管理,技術層面的資訊安全發展較早,加密(Encryption)是典
型的例子(陳彥學,2000;賴溪松與葉育斌,2001;劉國昌與劉國興,2001),防毒(Anti-Virus)、
防火牆(Firewall)則是後起之秀;管理層面的資訊安全,在一些國際組織,諸如:BSI(British
Standards Institution)、ISO 的推動下,始受到世界各國的重視,資訊安全相關國際標準的制定,
如:BS7799、COBIT、橘皮書、紅皮書等對資訊安全由技術層面融入管理層面,邁向整體性、
全方位架構,有極大的貢獻。一個整合資訊政策、標準、程序、資訊組織與資源、風險管理、
安全意識與教育訓練、內部控制、資訊稽核的資訊安全架構,漸漸被浮現,其規劃與建置的
範圍,不僅是實體面、技術面而已,更擴及政策、資源、管理與控制等,並為因應組織環境
的變化,作適當的檢討修正,形成一個循環週期。因此,資訊安全不再僅僅是技術的問題,
或是安全產品與工具運用的問題,更是程序與管理的問題(洪國興,2003)。
2.2 資訊安全管理理論
