Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on 一月 23, 2014 in 資訊安全, 資訊管理 | 0 comments

資訊安全 = 防止駭客攻擊入侵?

資訊安全 = 防止駭客攻擊入侵?

資訊安全的圍籬

遠通 ETC 的事件在社會上鬧得沸沸揚揚。其中,遠通系統被『攻擊』的資安事故在資訊界也廣泛引起討論跟關注。行政院科技政務委員張善政提出遠通系統被攻擊是三級資安事故引起各方批評。而後,張委員解釋不論系統被駭還是自行中斷,廣義來說確實是資安事故,這個說法被部分媒體認為是牽強的解釋。

網路上已經有許多人指出資訊安全的定義包含 Confidentiality, Integrity 跟 Availability,那就是機密性、完整性以及可用性。因此,遠通 ETC 系統 『被攻擊』,可以被定義為資訊安全事故。但許多非資訊界的朋友,其實還是不了解為甚麼。

英語 “Security", 根據牛津線上字典的解釋是 “The state of being free from danger or threat (免於危險或威脅的狀態)"。

中文 “安全", 根據教育部的國語辭典的解釋是 “平安,沒有危險"。

所謂安全,就是保持完好、沒有危險、免於任何種類危害的狀態。

所謂資訊安全,是保持保存維運資訊數據的系統以及數據資訊的安全。資訊安全不單指防禦線上入侵攻擊等從第三方啟動的惡意行為,而包括了系統以及數據本身"保持完好、免於任何種類的危害狀態",包括免於災害 (包括 地震、火災、水災、風災、地震等災害)、人禍 (包括 系統設計規劃的疏漏、日常管理及作業疏忽、資訊洩漏、第三方惡意的線上及實體入侵及攻擊、第三方非惡意的人為事件)。

因此,在線上被第三方惡意攻擊入侵的行為,其實只是資訊系統可能發生的事故的一小部分而已。

就 WIS 本身運行 ISO 27001 ISMS 資訊安全管理系統 的經驗來說,本身我們就要辨識大部分可能發生的各種可能危害、計算其風險以及所造成的損失,而針對這些危害提出應變方式以及持續維運計畫。這些應變的計畫,不止於針對入侵、攻擊、資訊洩漏等事故,更針對應付各種災害時,我們如何保持企業以及系統數據持續運轉,減少企業及其客戶損失。


WIS 現任資安官 Ruffy 看完這篇文章後補充:

關於資安事件 (Security Event) 跟資安事故 (Security Incident) 的差異:

依據美國國家標準技術研究所 NIST SP 800-61 中對於事件 (Event) 的定義為:

事件是指任何在系統或網路上可觀察到的行為變化,例如:使用者登出登入系統、執行某個程式、網頁伺服器回應請求、防火牆封鎖某 IP 的連線,這些都是屬於事件。

資訊安全事件:就是指"不良"的事件,例如:系統發生警訊、防毒軟體偵測到惡意程式、未經授權的使用系統或存取敏感性資料,諸如此類,這些都屬於資安事件。

資訊安全事故:當資安事件對組織的資產造成損失時,這時原來的資安事件就成了資安事故。資安事故與資安事件是許多人較會搞混的地方,簡單來說,事件與事故的差別就在於事件尚未對組織的資產造成損失,而事故則是對資產已經造成損失或不立即處理一定會損失。

再舉例來說,若網路瞬斷一秒,被系統紀錄到,或許使用者們皆無感覺,這就像是事件。若網路斷線一小時,惹發民怨、要求賠償、影響商譽這就算是事故。

此次遠通 ETC 所發生的狀況,新聞上及普遍大眾皆用資安事"件"來表示,就資訊安全管理的習慣來說,這次是已確定造成服務中斷等狀況,應為資訊安全事故。

圖片來源 / WoodleyWonderworks

Simon

地球人、網路重度成癮者、WIS 創辦人及執行長,特長於邏輯思考與分析,喜於科技、人性與商業中間取得平衡。

More Posts - Website

Follow Me:
Facebook

Post a Reply

你的電子郵件位址並不會被公開。 必要欄位標記為 *