資訊安全發展現況

綜觀而言，資訊安全的發展過程與資訊系統的發展有著密不可分的關係，因 為當使用的資訊技術出現了新的威脅或者發現了新的漏洞，才會有人注意到其安 全問題所帶來的危險，這是難以避免的情況。在早期的大型主機時代，系統沒有 網路對外連結，只有少數的技術人員能夠操作電腦，所以較注重實體上的安全，

如一些對硬體的保護，避免其受到外來的人為或環境因素破壞。而隨著遠端存取 機制的出現，與電腦接觸的人變多了，在人員安全上的發展日趨重要，為了因應 越來越多的人存取電腦資訊的情況，許多辨識相關的技術開始發展，如早期的帳 密系統、磁卡，發展至今的晶片卡、生物辨識等等，都是為了驗證使用者是否有

資格能夠存取資訊。在網路的出現及普及之後，已經成為企業與外界接觸的重要 管道，無可避免地企業的資訊在網路中傳遞也產生了相對的資訊安全風險，也出 現了許多利用網路特性的攻擊手法，於是相對應的防禦技術也隨之出現，像是一 些用於資訊傳輸的加解密技術以及控管網路邊界的防火牆(Axelrod, 2004)。

雖然企業使用了資訊安全的技術來保護所擁有的資訊，但是資安事件仍然頻 傳不窮，這揭露了資訊安全不只是單純的技術問題，而是包含了人員、管理及流 程各方面的考量，現今的企業必頇作整體的資訊安全規劃，將資訊安全融入企業 經營管理的一部份(Zafar & Clark, 2009)。本研究借用 IBM 提出的資訊安全能力參 考模型來體現目前的企業在規劃自己的資訊安全架構時需要考量到哪些面向 (IBM, 2006)。

表 2–1 ：資訊安全能力參考模型 (修改自 IBM, 2006) Security Theme Assessment of Security Themes

Governance Strategy and Information Security Policy Security Compliance

Security Risk Management Governance Structure

Information Security Advisory Privacy Policy, Practices and Controls

Privacy and Information Management Strategy Data, Rules and Objects

Threat Mitigation Network Segmentation and Boundary Protection Vulnerability Management

Content Checking Incident Management Transaction and Data

Integrity

Business Process Transaction Security Database Security

Security Storage Message protection System Integrity Identity and Access Identity Proofing

Management Access and Identity life Cycle Management Application Security System Development Life Cycle

Application Development Environment Physical Security Site Security

Physical Asset Management Perseonnel Security Workforce Security

在公司治理方面，強調的是企業需要擁有健全的資訊安全管理架構，意即企 業在資安政策、資安程序上必頇有良好完善的規範，Lockman(1984)等學者對於大 型的金融資訊系統引入了內部控管的觀念，強調系統在設計時必頇納入驗證機制 的考量，使得電腦產出的結果能夠符合規範，以確保審計程序的安全性，而 Straub(1990)等學者也建議企業在針對電腦侵權濫用事件的偵測及處理上需要有 一個良好的管理程序，Backhouse(1996)等學者認為透過分析企業結構中責任的範 圍歸屬能夠幫助發展企業的資訊系統安全，von Solms(1994)等學者提及資訊安全 管理涉及許多面向，包含了資安政策、風險分析及管理、災後復原等等，並提出 了一個資訊安全管理的模型來協助企業評估本身資訊安全的架構。

在隱私的部份，考慮的是企業如何保護及管理內部或外部流通的資訊，避免 遭受到惡意的取用，Cattela(1981)將資訊視為企業資產的一部份，認為企業內的資 訊必頇要妥善的保護以及控管其使用權限，以確保企業的隱私安全，而 Shim(2007) 等學者在探討人們使用無線科技來傳輸資訊的同時，也提出了必頇要考量資訊的 隱私及安全的概念，這說明了隨著科技的進步，企業或人們使用資訊的方式改變，

資訊流通的範圍也急劇的擴張，在思考如何保護資訊隱私及安全的時候，必頇要 有更完整周延的考量。

而在降低威脅這個領域，則包含了弱點偵測、事故管理、網路邊界管理等議

題，旨在預防資安事故發生及減輕事故所帶來之衝擊，Siponen(2006)等學者提出 了一個發展安全的資訊系統的方法，並且定義了一些設計流程的準則及需求。關 於確保交易及資料的完整性方面，主要的任務是保護交易過程的安全，從存放資 料的資料庫、交易使用的系統、中間訊息傳遞的保護、到最後正確完善的儲存資 料，中間的每一個環節都必頇確保其安全完整，如 Bussolati(1981)等學者提出了 一個多層次的邏輯安全架構，用來管理分散式的資料以及分散式系統，而 Lee(2003) 也嘗詴著識別出在發展安全的網路基礎資訊系統時，哪些議題需要被考量以及哪 些問題需要解決，Yang(2004)等學者則是針對無線傳輸的應用探討其在科技、商 業及社會各方面的議題，並且檢驗了無線傳輸的安全性。

身份及存取管理則是著重於身份的驗證，並且確保未經授權的人無法取得資 料而經過授權的人可以安全的存取資料，Boukhonine(2005)等學者認為生物科技 能夠應用於身份的辨識，與傳統科技相較之下能夠提供更佳的安全性，Zviran(2006) 等學者則比較了多種的身份驗證機制，但是認為目前尚未有完美的單一解決方案，

並期望未來能夠繼續研發更加精密、而在使用上及建置上更加便利的機制。在應 用程式安全這部份，則包括了系統開發生命週期的管理、安全的程式撰寫實務管 理、程式碼的安全性檢驗等等，如 Sumner(1986)驗證了不同的使用者是如何決定 系統開發的方式，以及分辨其選擇的特徵。

實體安全講求保護組織實體的設備的安全，包括了廠房、資料儲存中心等等，

避免遭受人為或者天災的危害，Duffy(1980)透過案例來陳述一個電腦中心該如何 規劃來預防災害的發生，包括了災前的保險、軟硬體的備援、災後的復原等等。

人員安全則包含了人力的安全以及員工的教育訓練，D’Arcy(2007)等學者詴圖從 電腦的使用者中調查資訊安全政策、教育訓練的成效，以及電腦監控對於阻止電 腦侵權濫用的效果。

透過此資訊安全模型，我們可以充分的了解資訊安全包含了多元的面向，企 業在規劃資訊安全業務之時必頇作全盤的考量，不論是資安架構、作業程序、科 技應用、管理政策、人員等等，都必頇要納入考慮，並且缺一不可，因為資訊安 全的強度是取決於其中最弱的一環。此外，我們也可以發現，想要充分的做好資 訊安全防護，對於企業而言是很困難的，因為牽涉的層面太廣、複雜性太高，企 業很難單獨依靠自身的力量來完成。