0. 前言
隨著數位時代的快速發展,資訊安全已經成為現代社會中不可忽視的重要議題。組織乃至個人都面臨著多種潛在的資安威脅,從敏感資料的洩露到關鍵系統的攻擊,稍有疏忽便可能引發巨大的損失。
本篇文章探討資訊安全的核心目標,並延伸說明風險管理之要素與對策。相信剛接觸資安領域的讀者,都能藉此獲得更全面的概念與實務啟發,並反思個人的生活情境是否雷同。
1. 重點
2. 內容
2.1. 三大要素
「CIA 三角形」概括資訊安全的三大基本目標,並廣泛應用於設計與評估系統。
C – 保密性 Confidentiality
防止未經授權的訪問或洩漏
搶到演唱會門票興奮的將照片上傳社群媒體,忘記隱藏 QR-Code 而被別人兌換使用,導致無法入場並造成損失。
I – 完整性 Integrity
確保資料在流程中不被竄改並應能檢測到惡意的變更
傳統西方信件上的封蠟印章,除了表示訊息來源,同是一種保密措施。由於開封時火漆難免碎裂,因此一定程度上保證該信尚未開封。
A – 可用性 Availability
確保授權用戶在有需要時都能存取系統和資訊
在 2021 年 Facebook 旗下產品發生嚴重的當機事件,造成所有對外開放服務中斷約 6 小時之久,期間用戶無法進行任何動作,沒有達成此項。
2.2. 風險評估
我們今天取得一個 黃金人像,這件藝術藏品價格不斐且 變賣也有價錢,為了美觀我們將他放在 窗邊 好與夕陽融為一體,但某日半夜我們聽見 玻璃碎裂,事後發現物件被 洗劫 了。看完這段敘述不知各位做何感想,但我想要闡述是過程中的 5 個要素。
1. 資產 Asset
也就是我們所持有的資料或財產,並涉及其重要性與機密性。
2. 威脅 Threat
什麼事情能造成威脅,包括人為或天災影響。
3. 弱點 Vulnerability
資產的不易取得性,以及是否暴露或加密。
4. 風險 Risk
綜合上列三個屬性的情況之下,預估可能發生哪些事件導致我們的損失,並採取對應政策。
-默許 Acceptance
知道風險但決定默許其存在而不做任何變動調整。並不是完全說該組織懶散,但在複雜的程式中往往牽一髮而動全身,在影響不大的情況下反而默許能省下開發成本並追趕上架時間。
-轉移 Transference
將風險轉移給第三方以降低自身負擔,通常通過合同或保險等方式實現。
-緩和 Mitigation
減少風險對資產或目標的負面影響,通常包括主動識別問題或監控紀錄,並採取防範措施。
-避免 Avoidance
透過任何手段規避風險發生的可能,甚至直接關閉服務。
5. 保護 Protective Measure
評估完可能的風險後,針對對應情境或標準流程增強資料的保護行為。
3. 後話
資訊安全並非單純的技術問題,而是一個涉及策略與管理的綜合性挑戰。在了解 CIA 三角形 的基礎上,我們進一步學習了風險管理中的關鍵環節。當然安全性在本質上是一個動態過程,隨著威脅類型與攻擊手段的演進,資安策略也需不斷更新與優化。
希望本篇文章能為讀者帶來啟發,並讓各位注意日常生活中的安全實踐與提升。
4. 延伸
[1] CIA Traid 詳細介紹 — Fortinet
https://www.fortinet.com/resources/cyberglossary/cia-triad#:~:text=The%20three%20letters%20in%20%22CIA,and%20methods%20for%20creating%20solutions.