第 13 章資訊安全

1. 第13章資訊安全

2. 前言 • 資訊設備與技術的普及, 為人們帶來了前所未有的便利, 可是隨之而來的電腦犯罪、入侵與病毒感染事件也爆量激增。無論如何, 我們不可能放棄現有的資訊科技, 回到以前的時代。因此如何保護好自己的資訊, 已經成為每一個人必修的課程。本章將簡單介紹資訊安全的目標、範圍與相關標準, 作為讀者將來繼續深入研究的基礎。

3. 本堂課重點 • 13-1 CIA－資訊安全的目標 • 13-2 資訊安全的基本觀念 • 13-3 資訊安全的範圍 • 13-4 資訊安全管理的標準 • 13-5 個人增進資訊安全的技巧

4. 13-1 CIA－資訊安全的目標 • 一般而言, 資訊安全的目標在於維護資訊的以下特性： • 機密性 (Confident ial ity) • 完整性 (Integrity) • 可用性 (Availabi lity) • 因為這三個特性的英文字首縮 寫正好是 CIA, 因此許多文件 會說：『資訊安全的目標就 是 CIA』。

5. CIA－資訊安全的目標 • 13-1-1 機密性 • 13-1-2 完整性 • 13-1-3 可用性

6. 13-1-1 機密性 • 維護機密性是指：唯有獲得授權者才能知道資訊內容, 未經授權者無法知悉。例如：阿志發送檔案給阿賢時, 將檔案內容加密, 再用安全的方式將密碼告知阿賢, 阿賢便能解密得知正確內容。告知密碼的行為相當於授權, 只有獲得授權者才能解碼而知悉正確內容；未獲授權者即使取得這份郵件, 也會因不知道密碼而無法解讀出正確內容。 • 與機密性息息相關的資訊技術為密碼學（Cryptography）。簡言之, 密碼學是研究加密和解密的科學。

7. 13-1-2 完整性 • 維護完整性是指：能判斷資訊內容是否保持原貌、未被竄改。有時候, 錯誤的資訊比沒有資訊還危險, 因此駭客入侵的目的未必在於破壞, 而是竄改。舉例來說：入侵銀行帳戶資料庫, 將自己的存款增加 100 倍, 其它人的存款都歸零；修改國防部的演習命令, 對民航機發射飛彈；修改入出境管理資料, 使恐怖份子和毒梟能自由出入海關等等, 這類竄改所導致的災難比破壞更可怕。

8. 13-1-3 可用性 • 維護可用性是指：我們在需要的時候隨時可以使用資訊。舉例而言：我們將機密光碟封存在深山的秘密洞穴中, 以維護保密性和完整性, 這的確很安全。可是在戰爭、颱風、地震等等緊急狀態下, 我們可能因道路中斷而無法取得光碟, 這種連自己都拿不到的保護方式就矯枉過正了, 沒有考慮到可用性。

9. 13-2 資訊安全的基本觀念 • 在進一步介紹資訊安全之前, 我們先澄清一些經常讓人混淆、似是而非的論點, 以協助讀者建立正確的基本觀念。 • 13-2-1 沒有絕對安全 • 13-2-2 代價不應高於保護對象的價值 • 13-2-3 沒有一成不變的方法 • 13-2-4 資安人員要有全方位的視野 • 13-2-5 縱深防禦才是上策 • 13-2-6 雙重管制降低風險

10. 13-2-1 沒有絕對安全 • 大多數的資安專家都認為：倘若駭客有足夠的技術、時間和工具, 理論上可以破解任何一種安全機制。因此我們所做的任何防護措施, 只是增加破解的難度與時間, 並不能保證絕對安全。所以如果有廠商宣稱用了它們的產品之後,企業主便可以高枕無憂, 毋須擔心資安問題, 請不要相信！ • 其實, 同樣的觀念也是可以套用在現實生活中。從古至今, 竊盜與防竊兩種技術互鬥了上百年, 誰也沒能消滅對方。

11. 沒有絕對安全 • 近年來最著名的案例, 可說是 2003 年4 月發生在英國曼徹司特大學 Whitworth 藝廊(Whitworth Art Gallery) 的名畫失竊案：在 24 小時警衛巡邏、先進警報系統和監視器的嚴密防護下, 三幅名畫 (作者分別為梵谷、高更和畢卡索) 竟然神不知、鬼不覺地遭竊, 震驚了全英國社會。幾天後在附近公園的公廁中找到這三幅畫, 畫上附了字條, 說明盜畫只是為了凸顯安全防護之不足。這種電影中的情節居然就發生在現實社會中, 怎不讓人警惕！ • 在資安領域, 要永遠記得一句話－－沒有『最安全』, 只有『更安全』！

12. 13-2-2 代價不應高於保護對象的價值 • 既然沒有絕對安全, 那麼資安工作不就成了無底洞, 究竟要做到什麼程度、花掉多少經費呢？這就看保護對象的價值囉。舉例而言, 花五十萬元買個保險箱來保管五萬元的手錶, 這顯然不值得（除非該手錶對於當事人具有特殊意義）。同樣的道理, 如果花費在資安的金額會影響企業的運作, 甚至超過了企業的總資產, 當然不會被企業主所接受。

13. 代價不應高於保護對象的價值 • 要估計投入資安的代價, 首先必須界定資安的範圍與期限。無論是再怎麼重要的單位, 也不會是所有資料都值得保護。對於需要保護的資料, 也應該訂出保護的期限, 畢竟保護 10 年的代價與保護 20 年的代價相差可就大了。 • 每一位資安工作者必須學習如何在經費和安全之間拿捏分寸!

14. 13-2-3 沒有一成不變的方法 • 許多大企業都流行制訂 SOP（Standard Operation Procedure, 標準作業程序）, 將處理事情的流程一步一步地寫下來, 作為規範。有了 SOP 之後, 即便是新手, 只要照著步驟做, 按圖施工、保證成功。不過, 在例行的行政事務可以如此；在執行資安工作則未必。

15. 沒有一成不變的方法 • 資安工作的一大難題在於每次的狀況都可能不同, 駭客的破解手法也總是不斷翻新, 讓人防不勝防。因此關於資安的 SOP 也只能點出原則, 而非每次都能照著做的步驟。要知道許多駭客都是背離傳統思維邏輯的怪胎（好聽一點兒的說法是『創意人』）, 他們不按牌理出牌、不守規則, 因此反而找出了一般人看不出、找不到的系統漏洞。 • 我們在處理資安事件時, 有時候必須跳脫傳統思維的框架限制, 揣摩出駭客的心理與作為, 因此臨場的應變能力往往是決勝的關鍵！

16. 13-2-4 資安人員要有全方位的視野 • 一提到資安人員, 許多人就聯想到鑽研於各種稀奇古怪技術的程式員或系統管理員。其實, 技術固然是資訊安全的重要一環, 但並非全部。根據許多案例顯示, 資安事件往往導因於人性面的疏失, 而非技術面的失誤, 例如： • 為了便於記憶, 將密碼寫在螢幕旁的便條紙, 導致密碼外洩。 • 為了下載影片檔或音樂檔, 違規安裝 P2P 軟體, 形成系統漏洞或感染病毒。

17. 資安人員要有全方位的視野 • 為了便於在家工作, 私自利用 USB 隨身碟複製檔案, 結果遺失機密性資料。 • 以上的行為都可能使昂貴、嚴密的系統『破功』。分析其原因, 它們都是來自於『人性』－－為了偷懶或貪便宜。所以一位好的資安人員, 千萬不要死守技術本位主義, 而要有全方位的視野, 不妨涉獵心理、法律與、企業倫理等等知識, 一併做好『人的管理』。

18. 資安人員要有全方位的視野

19. 13-2-5 縱深防禦才是上策 • 縱深防禦（Defense in Depth）是軍事術語, 應用到資安上則是指部署一層一層的不同保護措施, 以阻擋惡意行為。舉例而言：先在電腦機房外安排警衛管制進出、再用指紋辨識系統驗證身份、最後還要輸入正確的帳戶名稱與密碼, 才能使用機房的電腦, 這就是典型的縱深防禦。若套用到網路安全上, 則是在最外圍安裝防火牆、緊接著是入侵防護系統（IPS, Int rusion Protect ion System）或入侵偵測系統（IDS, Intrusion Detection System）、到了單機還有個人防毒程式或防後門程式等等。

20. 縱深防禦才是上策 • 縱深防禦的優點在於：不會因為一種機制被突破, 而使入侵者長驅直入。在歷史上因為忽略縱深防禦而失敗的著名案例, 便是法國的『馬其諾防線（Maginot Line）』。 • 馬其諾防線位於法國東方, 主要用來防禦德國的入侵。耗時 7 年、長達 700公里、花費 50 億法郎, 以當時的法國國防部長安得列•馬其諾之名來命名, 又被稱為『法國長城』。

21. 縱深防禦才是上策 • 可是在二次大戰期間, 德軍繞道比利時和荷蘭, 由法國北方的亞耳登森林南下, 不但攻到該防線後方, 並包圍首都巴黎, 最後終於佔領整個法國。從頭到尾, 馬其諾防線始終沒有發揮預期的效益, 只是成為後人嘲笑和諷刺的代表。

22. 13-2-6 雙重管制降低風險 • 所謂的雙重管制（Dual Control）, 是指重大的決策必須至少有兩人參與,以避免因個人誤判情勢而釀成大災難。例如：更換主機系統的決策過程, 至少有兩位相關部門的主管參與。 • 在美國核子潛艦, 艦長與執行官必須一致同意, 才能發射核子飛彈, 這也是雙重管制的絕佳範例。有一部電影『赤色風暴』(Crimson Tide)便是描述在渾沌不明的緊急狀況時, 艦長與執行官因為對於發射核彈意見相左, 演變成全艦官兵的衝突, 幾乎導致全球的核子大戰。

23. 13-3 資訊安全的範圍 • 資訊安全究竟包含哪些範疇, 長久以來眾說紛紜。產品廠商和相關機構逕自推廣自家的資訊安全證照, 其中以 『IISSCC』（International InformationSystem Security Certifications Consortium, 國際資訊系統安全認證聯盟, 簡稱 ISC2）所推廣的『CISSP』（Cert i fied Information System Securi t yProfessional, 資訊系統安全專家認證）認證具有較高的權威性與公信力。一方面是因為它並重理論與實務；另一方面則是它已經在 2004 年獲得 ISO（International Organization for Standardlization, 國際標準組織）的認可, 成為 ISO/IEC 17024 標準。

24. 資訊安全通識體系 • CISSP 認證將資安專家所必須知道的知識統稱為『CBK』（CommonBody of Knowledge, 資訊安全通識體系）, 並具體地彙整為 10 大領域（Domain）。由於每一個領域的涵蓋範圍都很廣, 若要詳細說明, 恐怕 10 本書都講不完, 因此我們僅能摘要說明。 • 資訊安全和風險管理（Information Security and Risk Management） • 一般而言, 10 大領域的順序性不重要, 孰先孰後沒什麼關係。可是若要比較其重要性, 多數資安人員公推『資訊安全和風險管理』（以下簡稱『資安管理』）為 10 大領域之首。

25. 資訊安全通識體系 • 資安管理的第一步是制訂企業的資安政策（Policy）。在該政策中應說明資安管理的各種相關事項, 包括：哪些人、事、物納入資安管理的範圍、資安管理的目標、一般處理程序、例外處理程序、有效期限、執行部門等等。資安管理政策就是執行資安工作的最高指導原則, 可以說是資安憲法。

26. 資訊安全通識體系 • 在國際間關於資安管理的標準, 早期是以 BSI 協會的 BS7799 標準為主, 後來 ISO 組織根據 BS7799 制訂了 ISO 17799 和 ISO 17800 兩項標準, 但是目前的最新標準是 ISO 27001 。我們在下一節會針對這部分做進一步的說明。

27. 資訊安全通識體系 • 存取控制（Access Control） • 業務持續性與災害復原（Business Continuity and Disaster Recovery Planning） • 密碼學（Cryptography） • 應用程式安全（Application Security） • 法律、規章、遵循性與調查（Legal, Regulations, Compliance and Investigations）

28. 資訊安全通識體系 • 實體（環境）安全（Physical (Environmental) Security） • 安全架構與設計（Security Architecture and Design） • 通訊與網路安全（Telecommunications & Network Security）

29. 存取控制（Access Control） • 存取控制的核心就在於『身份驗證』（A u t h e n t i c a t i o n）和『授權』（Authorization）兩件事, 亦即系統驗證了使用者的身份之後, 根據存取控制清單（ACL, Access Control List）授予權限。 • 至於用何種方式來驗證,還要看是現場的使用者或遠端的使用者。對於前者, 可以利用臉部掃瞄、指紋、聲音、虹膜等生物特徵來辨識；但是對於後者, 適用的方式比較少, 通常是憑藉磁卡、晶片卡、密碼等等來辨識。

30. 業務持續性與災害復原（Business Continuity nad Disaster Recovery Planning） • 此領域的重點在於擬定營運維持計畫（BCP, Business Continuity Plan）、災難復原計畫（DRP, Diaster Recovery Plan）和企業衝擊評估（BIA,Business Impact Analysis）三項計畫。 • 換言之, 要評估哪些是企業的關鍵性業務, 萬一這些業務中斷會造成多大的影響；明訂出發生緊急事故時, 避免營運中斷的作業程序；倘若不幸中斷了, 如何迅速復原, 繼續營運。。

31. 業務持續性與災害復原（Business Continuity and Disaster Recovery Planning） • 根據 Ableone Systems 顧問公司的統計, 美國於 2001 年發生 911 恐怖攻擊事件後, 在世貿中心大樓內的公司倒閉了一半, 因此喚醒了許多企業主對於此領域的重視

32. 密碼學（Cryptography） • 加密的目的一是為了保密；二是為了可判斷是否遭到竄改, 等於維護資訊的機密性與完整性。而密碼學泛指涉及加密和解密的相關知識, 包括：加密演算法、對稱式加密法、非對稱式加密法、數位簽章、數位憑證等等。

33. 應用程式安全（Application Security） • 軟體工程師若能在開發應用程式的過程, 就已經注意到資訊安全、降低風險,這樣的效果絕對比事後彌補漏洞來得好。 • 因此在系統發展生命週期的各個階段, 都應隨時考量安全因素。例如：是否遵循企業的資訊安全政策、是否符合法律的要求、傳送資訊之前是否要加密、如何加密、如何測試系統安全等等。

34. 應用程式安全（Application Security） • 尤其現在大量網站用到 JavaApplet 和 ActiveX 技術, 它們在本質上都是內嵌在網頁的程式。若用在好的方面, 可以呈現更多樣化的互動效果；若用在壞的方面, 則可能成為惡意程式的載具。所以開發人員必須留心如何適當運用這類的程式。

35. 法律、規章、遵循性與調查（Legal, Regulations, Compliance and Investigations） • 此領域的特別之處在於偏重法律和道德面, 主要是討論資安人員應瞭解的法規與道德規範。或許有人會問：『瞭解這些法規有何用途呢？』 • 舉例來說, 發生資安事件時, 若洩漏的只是企業自身的資訊還算幸運；若洩漏了客戶的資訊, 因而使客戶受到損害, 便很可能面臨客戶的控告。

36. 法律、規章、遵循性與調查（Legal, Regulations, Compliance and Investigations） • 在台灣, 客戶可以引用『電腦處理個人資料保護法』來提出告訴；在歐洲則可引用『歐盟資料保護指令』（EU Data Protection Directive）；在美國的相關法規是 HIPAA（Health Insurance Portability and Accountability Act, 健康保險流通與責任法案）。

37. 法律、規章、遵循性與調查（Legal, Regulations, Compliance and Investigations） • 此外, 還要注意：同一個措施, 符合甲地的法規, 卻未必符合乙地的法規。萬一有必要對簿公堂時, 如何蒐集證據可能是勝訴的關鍵。此時『電腦鑑識』（Computer Forensics）技術就會派上用廠, 所以有空時不妨接觸這方面的訊息。 • 然而, 俗話說得好：『計畫永遠趕不上變化』, 資安法規的腳步幾乎總是落後於犯罪, 此時就必須藉由道德來彌補。有些事雖然還不算違法, 卻肯定是不道德的, 這就有賴資安人員稟於道德良知加以禁止。

38. 作業安全（Operational Security） • 作業安全是指對於『人』的管控, 例如：誰可以核准交易、誰能變更資料、誰獲准取得磁帶或光碟等等。 • 當然, 實際的作法可能得因地、因時制宜, 才能配合不同企業的需求。不過在整個管控與授權過程中, 應該遵循『最低權限』（Least Privilege）和『劃分責任』（Seperation of Duties）兩項基本原則。

39. 作業安全（Operational Security） • 前者意味著只賦予剛好夠用的權限即可, 不要超過, 例如：賦予安裝軟體的權限, 但是不賦予刪除使用者帳戶的權限；至於後者, 簡單說就是『不允許任何人可從頭到尾掌控整個流程』, 否則很可能發生隻手遮天的弊端。

40. 實體（環境）安全（Physical (Environmental) Security） • 近年來, 駭客幾乎都是透過網路來入侵, 導致大家以為網路安全就是資訊安全, 反而忽略了設備本身也要有適當的實體防護。因此這個領域特別著重在設備（例如：主機、光碟和磁帶）安全和環境安全。

41. 實體（環境）安全（Physical (Environmental) Security） • 舉例而言：雖然耗費鉅資安裝了威力強大的入侵防禦系統和防火牆, 但是機房大門卻使用一般的喇叭鎖, 結果小偷輕易地抱走整部主機；因為機房位置不當, 在淹水時所有設備都泡水故障；因為沒規劃備用電力系統, 因而在斷電後無法持續作業…等等, 都是一般人容易疏忽的狀況。

42. 安全架構與設計（Security Architecture and Design） • 這部分比較偏向電腦主機本身所用到的技術, 例如：處理行程（Process）、執行緒（Thread）、虛擬記憶體管理、作業系統的防護機制等等。

43. 通訊與網路安全（Telecommunications & Network Security） • 此領域的涵蓋範圍最廣、內容也最繁雜, 凡是與通信網路或電腦網路有關的知識, 幾乎都囊括在內。 • 大致上可以區分為 OSI 模型、TCP/IP 協定、區域網路、網際網路、企業內部網路（Intranet）、路由器、防火牆、入侵偵測與入侵防禦、虛擬私人網路、 3G 網路等等類別。

44. 13-4 資訊安全管理的標準 • 在前一節, 我們曾提到資安管理為 10 大領域之首, 地位最重要。可是在討論資安管理的標準時, 卻難免讓人覺得很傷腦筋。 • 因為這麼重要的領域, 長期以來竟然沒有統一的標準。往往是各國的政府機關、廠商或資安機構各自推行自己的標準, 導致彼此難以用客觀或量化的方式, 來評鑑資安工作的成效。

45. 資訊安全管理的標準 • 所幸在最近幾年, ISO 組織推出了 ISO 27000 系列標準。 • ISO 27000 系列是一個資訊安全管理領域的專用標準, 因此爾後只要看到編號為 27XXX 的ISO 標準, 便可以確定那是一個關於資安的國際標準。

46. 資訊安全管理的標準 • BS 7799 • ISO 27000 • CNS 27001

47. BS 7799 • BS 7799 是英國標準協會（BSI, British Standards Institute）在 1995 年提出的標準, 歷經多次討論與修訂後, 於 1999 年正式公布。其內容分為以下兩部分： • Part 1：The Code of Practice For Information Security management第 1 部份通常稱為資訊安全管理系統『作業規範』, 也有人稱為『管理規則』。

48. BS 7799 • Part 2：Specification For Information Security Management System第 2 部份通常稱為資訊安全管理系統『要求事項』, 也有人稱為『系統規範』。 • 行政院的『國家資通安全會報』在 2003 年將 3 千多個政府機關區分為A、B、C、D 四種等級, 限期要求完成不同程度的資安防護措施。對於入出境管理系統、電子報稅系統、護照管理系統等等比較重要的系統, 更要求必須在 2004 年 6 月前取得 BS7799 的認證, 可見得 BS7799 在台灣頗受重視。

49. ISO 27000 • 由於世界各國普遍接受 BS 7799 資安管理標準, 於是 ISO 組織將 BS7799：Part 1 轉為 ISO 17799 標準, 將 BS 7799：Part 2 轉為 ISO 17800 標準,從此讓 BS 7799 成為世界級的資安標準。 • 到了 2007 年, ISO 又將 ISO 17800 修訂為 ISO 27001 標準, 可是卻沒有對 ISO 17799 做同樣的動作, 於是資安標準變成了『ISO 27001 加 ISO17799』。因為這兩種標準的編號差距很大, 往往讓人看不出其中有關連性, 造成許多的不便。

50. ISO 27000 • 所以 ISO 便從善如流, 在 2007 年 7 月將 ISO 17799 修訂為ISO 27002 。整個流程如下圖：