第二章 文獻探討
第二節 資訊安全
一. 定義
資訊係一種資産,和其它重要商業資産一樣,它對一個單位組織來說是具 有價值,並因此需要妥善進行保護,「資訊安全」一詞,已有 30 餘年的歷史,
美國聯邦政府的安全準則,將資訊安全定義為「保護資料,使其免於遭受故意 或無意的洩露、移轉、變更、破壞」,「無意」及「故意」的因素(如圖2-4):
圖2-4 危害資訊安全的因素(資料來源:http://elearning.nat.gov.tw)
廣義而言,資訊安全是保護任何與電腦有關事物的安全,將管理步驟和安 全防護技術運用於硬體、軟體、資料等,而資訊安全管控的目的在保護電腦資 源,包括:硬體、軟體、資料、程序及人員,以防止電腦資訊被變更、破壞及 未授權使用。
資訊安全是透過實施一整套適當的控制方式實現的,控制方式包括政策、
實踐、步驟、組織結構和軟體功能,須建立起完整的一套管控措施,確保滿足 組織特定的安全目標。
資訊安全的範疇包括:資訊安全政策、風險分析、風險管理、應變計畫
(Contingency Planning)及災害復原(Disaster Recovery)等(Von Solms 等,1994)。 運用可實施於資訊資源(硬體、軟體及資料)上之技術性防護方法及管理程序,
使組織所擁有的資訊資產及個人隱私,都能受到保護(樊國楨與楊晉寧,1996)。
為維護資訊安全,基本上必須具備下列能力(Pfleeger,1997):
一. 預防(Prevention):事先防範可能發生的危害。
二. 發現(Detection):當安全發生問題,要有方法能在最短時間內發現,
12
13
大部份人對這嚴重的後果毫無警覺,甚至毫無認知可言。也因此,讓 網路上的駭客人士、不友善國家的網軍、及網路騙子,有如侵入無人 之境的強大操作空間。
二. 單位軟體缺陷:
軟體的弱點主要由錯誤或不嚴謹的程式系統設計及不夠嚴謹的電 腦程式所造成,是當前資通安全相當嚴重的問題。除此之外,駭客攻 擊的手法也不停創新,其將惡意的程式碼植入重要的開放(Open Source)
軟體中,提供電腦程式供大家及工程師下載使用,這樣所發展出來的 軟體系統,就存有駭客植入的後門,可提供入侵的暗道,由於大多數 知名且常用軟體的著作權都不屬於我國家,所以很難主動預防因軟體 弱點所引發的資通安全問題。
雖然如此,卻可藉由發展各種環境來測試相關軟體的安全度,此 方法可有效發現並移除軟體安全之缺陷,就好像對抗癌症一般,我們 可從預防與研究兩方面進行,前者能減少眼前的損失,後者能建立基 礎知識與能力,協助未來資訊安全的管理者降低資安風險。
14