一、資訊安全概述:帶你了解資安定義和 3 大構成要素
(一)資安是什麼?資訊安全定義介紹
資訊安全(Information Security),也被簡稱為「資安」,指的是確保數據安全與穩定的各種技術、政策和管理措施,避免資訊及系統被未經授權的人員存取、修改、破壞或洩露。
在數位浪潮下,企業、組織若沒有建構穩固的資安措施,很有可能會讓資料外洩、系統癱瘓、商譽受損,進而造成難以估量的經濟損失。
因此,企業應盡快引入資安防護技術、導入資安合規的軟體服務、建立完善的資安政策、推進資安員工教育,才能有效保障營運安全,並且在不斷變化的數位環境中站穩腳跟。
(二)資訊安全三大構成要素(CIA)
若想確保資訊安全,就需要遵循 CIA 3 大要素,包括「機密性」、「完整性」、「可用性」。
📍機密性(Confidentiality)
機密性是指資訊只有獲得授權的人或系統才能存取,未經允許者不能查看或使用資料。
有了加密、存取控制等保護措施,才能避免重要數據被未授權者竊取或洩露,確保資訊安全。
比方說,醫療機構可以將病患的醫療記錄進行加密處理,設定不同級別的存取權限,只有經授權的醫護人員才能查閱病例,如此一來便能保護病患隱私。
📍完整性(Integrity)
完整性是指資訊在傳輸、存儲或處理過程中,不會被未經授權的人為或系統修改、竄改或破壞,能讓資訊維持在準確、完整的原始狀態。
若想實現完整性,通常需要藉由驗證機制、存取控制與加密技術來完成。
舉例而言,企業可以在內部文件管理系統中,設置電子簽章制度,如引入 KDAN 點點簽數位簽章服務,即可輕鬆透過生成與驗證數位簽章,確保簽署文件的完整性:
點點簽符合台灣《電子簽章法》規範,且附有國際級的 AATL 數位憑證信賴,能確保每一份簽署文件沒有遭受任意竄改,符合《電子簽章法》中的內容完整性原則。此外,在點點簽中簽核軌跡能記錄簽署流程的一舉一動,並以最嚴格的資料保護和隱私標準,保障簽署過程中每一步驟的資訊安全完整性。
📍可用性(Availability)
可用性是指授權使用者能夠在需要時順利取用資料,不會收到系統故障、網路攻擊或其他因素影響。
資訊可用性往往依賴備份機制、負載平衡(Load Balancing)等防禦措施,來降低系統異常的風險與損失。
例如,線上銀行系統會定期實施多地點數據自動備份,當系統故障或出現攻擊時,即可迅速啟動備用系統,確保用戶依然能穩定地存取帳戶資料,不會因為服務中斷造成不便。
二、資訊安全概念如何執行?資安分級法與政策制定要點解析
釐清資安概念才能推進資安措施,以下將介紹資安等級、資安事件等級和資訊安全政策等重要概念,帶你深入了解資訊安全。
(一)5 個資訊安全等級(A~E)
根據台灣行政院制定的《資通安全責任等級分級辦法》,各級政府機關依其業務內容及需承擔的資訊安全責任,從高到低可分為 5 個等級。
分級 | 業務涉及範圍 | 機構範例 |
A 級 | 涉及全國性民眾或公務員個人資料檔案,或提供全國性重要服務的機關。 | 中央政府部會、全國性資料庫管理單位等。 |
B 級 | 涉及區域性、地區性民眾個人資料檔案,或提供區域性重要服務的機關。 | 地方政府、區域性醫療機構等。 |
C 級 | 維運自行或委外設置、開發之資通系統的機關。 | 國立大學、地方政府的區公所等。 |
D 級 | 未維運自行或委外設置、開發之資通系統,但使用他機關或單位提供之資通系統的機關。 | 鄉鎮公所、派出所、部分學校(使用教育部開發的系統)等。 |
E 級 | 未使用任何資通系統的機關,但仍需採取相關措施保障資訊安全。 | 私人企業、資訊通信業務完全由其他機關代為管理的單位等。 |
這套分級制度可以幫助政府機關、企業迅速評估自身資安風險,並藉此制定相應的資安相關預防性措施,達成資安 CIA 3 原則,降低資安潛在威脅。
(二)4 個資安事件等級(1~4)
若公務機關、企業已經出現了資安問題,則可以參考《資通安全事件通報及應變辦法》進行通報、尋求協助。
該法條將資通安全事件的嚴重程度將其分為 4 個等級,其中第 1 級最輕微,第 4 級最嚴重。
資安事件等級:第 1 級
如果資安問題對機關日常運作影響較小,且能在可容忍的中斷時間內恢復正常運作的話,例如,非核心業務資訊遭遇輕微洩漏、非核心資通系統遭受輕微篡改,都可歸屬於第 1 級資安事件。
這類型資安狀況會對機關運作造成一定影響,但不涉及關鍵基礎設施。
- 常見資安問題:單一使用者的帳號遭遇釣魚郵件攻擊,但未造成實質損害。
資安事件等級:第 2 級
當資安問題發生時,若對機關運作的影響相對較大,但仍能在可接受時間內恢復的話,這類事件便可歸類為第 2 級資安事件。
例如,非核心業務的資訊遭到洩漏,或是涉及核心業務但並未影響關鍵基礎設施維運的資料輕微洩漏等情形,雖然需要迅速處理,但對整體的影響還在可接受範圍內。
- 常見資安問題:內部文件管理系統出現漏洞,導致部分非機密文件暫時無法存取。
資安事件等級:第 3 級
如果資安問題已嚴重影響到機關運作,需要較長時間才會恢復正常營運的話,即屬於第 3 級事件。
例如,核心業務資訊遭遇嚴重洩漏、關鍵基礎設施維運的核心資通系統輕微洩漏等情況,讓機關暴露在較大風險中,需要即刻處理和修復。
- 常見資安問題:客戶資料庫遭受勒索病毒攻擊,導致大量個人資訊外洩。
資安事件等級:第 4 級
第 4 級資安事件會對機關造成災難性影響,甚至讓業務全面中斷、損失嚴重。例如,機關內的核心業務資訊、關鍵基礎設施維運的核心資通系統重大洩漏等,需要立即投入大量資源進行應變處理。
- 常見資安問題:關鍵基礎設施控制系統被外國駭客入侵,導致全國電力供應中斷。
各機關單位可依照如上分級制度,結合資安事件的嚴重程度、影響範圍,規劃更完善的應變措施,確保資安事件能夠被即時發現、通報和有效處理,減少衝擊與損失。
📌依據《資通安全事件通報及應變辦法》,如果要通報資通安全事件,應提供以下項目: 1. 發生機關。 2. 發生或知悉時間。 3. 狀況之描述。 4. 等級之評估。 5. 因應事件所採取之措施。 6. 外部支援需求評估。 7. 其他相關事項。 |
(三)6 個資安政策措施
資安政策是一套保護資訊的規範與方針,可以定義組織保護資料、應對資安危機的處理方式。企業在規劃資安政策時,可重點關注以下要點:
- 風險評估與管理: 企業可根據資安等級標準,定期識別、評估潛在的資安威脅,並制定相應的風控措施,降低風險水平。
- 資料保護與加密: 重要資料建議進行加密處理,例如透過電子簽章進行彌封,確保資料在傳輸、存儲過程中的機密性與完整性,避免未經授權的查看與更動。
- 存取控制: 資安政策中可建立嚴格的存取控制機制,確保使用者需透過嚴格的授權途徑,才能訪問特定資訊資源,減少資訊洩漏威脅。
- 員工培訓與意識提升: 企業、組織可定期規劃員工資訊安全培訓,鼓勵員工取得如 CompTIA Security+、資訊系統安全認證專家(CISSP)等資安證照,提高員工們對各種資安威脅的識別和應對能力。
- 監控與事件響應: 各機關除了要持續實施系統監控,即時發現異常活動外,也需要制定明確的應急計劃,盡可能快速、有效地處理資安事件,減少損失。
- 合規性遵循:資安政策的制定與實施需遵守相關法律法規和行業標準,如 GDPR、ISO 27001 等,確保資安措施的合法性和有效性,並避免潛在的法律風險。
明確的資安事件等級劃分、全面的資安政策制定,不僅可以幫助企業有效識別、評估和應對各種資訊安全威脅,保護關鍵資訊及資產,也能確保持續提供優質服務,有利於打造可信賴的品牌形象。
三、資訊安全種類有哪些?5 大資訊安全面向一次看!
資訊安全種類十分多元,主要涵蓋下列 5 大領域:
(一)網路資訊安全
網路安全(Cybersecurity)是指保護在伺服器、瀏覽器、應用程式中的各類網路資訊的安全,避免受到攻擊、破壞或未經授權的存取。例如,防火牆、入侵偵測系統(IDS)和入侵防禦系統(IPS)等安全機制,都屬於網路安全的範疇。
(二)雲端安全
雲端安全也稱「雲端資安」,保護的是位於雲端儲存或傳輸的數據資料。例如 KDAN 已通過國際標準 ISO 27017(雲端服務資訊安全管理)及 ISO 27018(雲端服務個人資料保護)的規範,讓用戶能放心存取、傳輸雲端資源,不用擔心機密文件被外界人士隨意查閱使用。
(三)資料加密及身分認證授權
資料加密技術可以保護資訊在傳輸或儲存過程中,不被未經授權的人訪問,只有擁有正確解密密鑰的人才能還原原始資訊。
而身分認證和授權機制,則能確保只有符合特定身分標準、擁有簽章或憑證的使用者才能存取特定的資料或資源。資料加密及身分認證授權,可有效提高資訊安全性,降低洩漏風險。
(四)系統安全
系統安全保護的是電腦、網路作業系統,確保系統穩定運作、不受惡意攻擊。系統安全常見措施包括掃描弱點、隨時檢查系統異常行為、修補漏洞等,這些方式可幫助企業資訊基礎設施免受潛在威脅,保持順暢和安全資訊處理工作。
(五)應用程式安全
應用程式資安是針對網站、軟體、API 的保護,例如,企業可透過程式碼審查、滲透測試等措施,定期更新軟體、強密碼策略、多因素驗證等防護手段,有效減少資安風險。
四、了解資安議題刻不容緩!帶你快速認識資訊安全威脅與防護措施
(一)資安問題有哪些?10 大常見資安問題解析
為協助企業提前做好防範,以下列出 10 個常見的資安問題,幫助大家盡早識別風險。
❌分散式阻斷服務攻擊(DDoS)
分散式阻斷服務攻擊(DDoS)會向感染裝置發送大量請求,讓伺服器無法應對,最終導致服務癱瘓。如果用戶沒有有效流量監控和防護措施的話,更容易遭受 DDoS 攻擊。
❌惡意軟體
惡意軟體(Malware)是指含有病毒的軟體,用戶下載、使用後,便會入侵電腦系統,破壞、竊取或干擾系統資訊。常見類型包括:
- 勒索軟體(Ransomware):軟體內程式病毒會攻擊用戶資訊,不讓用戶存取數據,並索取贖金。
- 電腦蠕蟲(Computer Worms):軟體內惡意程式會進行自我複製,無需使用者介入,即可入侵用戶系統並進行大規模攻擊。
❌SQL 注入攻擊(SQL Injection)
SQL 注入攻擊(SQL Injection)是指攻擊者利用 SQL 程式語言,將惡意代碼輸入網頁、應用程式中,即可繞過安全防護並存取、修改、竊取重要資訊。通常未設置有效的過濾和驗證措施的系統,被 SQL 注入攻擊的風險更高。
❌跨站腳本攻擊(XSS)
跨站腳本攻擊(XSS)也稱為「跨網站指令碼攻擊」,指的是攻擊者將 JavaScript 或 HTML 惡意代碼植入合法網頁,使用者只要進入網站就會被竊取資訊或遭受其他惡意攻擊。如果網站沒有對「用戶輸入」進行正確的過濾與編碼,更有可能受 XSS 影響。
❌進階持續性威脅(APT 攻擊)
進階持續性威脅(APT 攻擊)指的是攻擊者長期潛伏在目標系統中,潛伏期間持續進行隱秘的間諜活動或資料竊取行動。
這類攻擊者往往具備較高的技術水平,並能巧妙地隱匿行蹤,企業與用戶需要採取更細緻、先進的技術才能做好防範,避免遭受威脅。
❌中間人攻擊(Man-in-the-Middle, MitM)
中間人攻擊(MITM)是在使用者與伺服器之間攔截並竄改通訊內容的攻擊方式。如果通訊協議未加密、網路環境不安全,很有可能受中間人攻擊。
❌零日漏洞
零日漏洞(Zero-Day Vulnerabilities)指的是還沒有被公開或修補的系統漏洞,讓攻擊者能趁虛而入。攻擊者通常會選在系統維護階段進行攻擊,建議企業隨時監測系統風險,做好防範。
❌社交工程攻擊
社交工程攻擊(Social Engineering Attacks)指的是攻擊者利用人性弱點(如信任、恐懼)設置圈套,誘導用戶洩露敏感資訊或執行某些操作。如果用戶缺乏資安意識和防範訓練,可能就會被攻擊。
❌密碼攻擊
密碼攻擊(Password Attacks)指的是攻擊者透過猜測或竊取密碼,非法獲取存取權限。如果用戶使用弱密碼、重複使用密碼或未啟用多因素驗證,更容易遭受攻擊。
❌網路釣魚
網路釣魚(Phishing),也稱為「網路釣魚攻擊」,是一種詐騙手法,攻擊者會偽裝成合法機構,透過電子郵件、網站,誘使用戶提供帳號、密碼或信用卡號等敏感資訊。
(二)企業曝露在資安風險中嗎?掌握 4 大資訊安全防護措施即刻救援!
隨著數位化加速發展,資訊安全成為企業運營的重要議題。以下列出 4 大常見的資訊安全防護措施,可以提高資安防護等級、降低風險,提供大家參考。
⭕資安檢測
定期進行資安檢測,能快速識別系統漏洞及潛在安全風險,及早發現並修復漏洞,降低資安事件發生機率。
例如,企業可透過弱點掃描(Weakness Scanning)發現應用程式、網路和硬體中的弱點,協助企業加強防護,避免攻擊者利用這些漏洞進行入侵。
⭕防勒索軟體
防勒索軟體可幫助企業防範勒索病毒的攻擊,保護重要資料不被加密或鎖定。除了安裝防勒索軟體,也建議企業定期更新防毒軟體,並做好資料備份,避免受勒索病毒威脅。
⭕防火牆
網路防火牆是一種網路安全系統,可以監視、管控進出網路的流量,防止未經授權的外部人員惡意攻擊、存取內部網路資訊,有效保護內部資源。
⭕資料夾加密
資料夾加密是一種基礎資安保護方式,將資料放入加密系統中,即可避免未授權者存取資料。即時資料被竊取,攻擊者也無法打開受加密保護的資料。
企業應積極制定清晰的資安政策,善用資安防護措施,增強應變與防範能力,確保公司數據安全、營運穩定。
同時,選擇符合合規要求的軟體服務也很重要,選擇高資安標準的辦公解決方案,有事半功倍的效果。例如 KDAN 的 AI 化工作流程、數據解決方案以及提供開發人員靈活且安全的私有化部署方案,不僅能協助企業提高效能,也通過了 3 項國際 ISO 資安認證,可以幫助企業安心實現數位轉型!
五、企業如何守護網路資安?資安合規產品與服務首選 KDAN!
為了在茫茫市場中掌握先機、突出重圍,大小企業紛紛投入數位轉型,而資訊安全更是企業營運成功道路上的必備要件。
為了幫助企業保護資訊安全,KDAN 數年來致力於提供高規格資安標準的優質服務,包括數位文件管理、電子簽章、數據自動化及 AI 智能決策等全面的高品質辦公解方。
同時,我們也持續且定期執行安全檢查,更新安全模型,確保用戶的數據和系統始終處於安全、穩定的狀態,有效降低外部威脅的風險。
除此之外,KDAN 服務所採用的資訊安全措施還包括:
✅嚴格的網路安全控制:KDAN 採用負載平衡、防火牆和 VPN 技術,能攔截通訊埠和協定,並保護軟體免受攻擊,避免遺失重要的用戶資料。
✅帳戶安全管理:KDAN ID 嚴格要求用戶使用 8 字元以上、包含英文字母和數字的複雜密碼,能有效提升帳戶安全。
✅資料加密與備份:我們的服務使用多個電子郵件網域,避免用戶開啟釣魚網站郵件。同時,KDAN 也會對傳輸和靜態資料進行加密,並在 AWS 平台上定期備份,確保資料的完整性和可用性。
如今 KDAN 已通過 ISO 27001、ISO 27017 和 ISO 27018 等國際資訊安全標準認證,讓資安及服務品質再升級,可以助力企業安心邁向數位未來!