5.3 小心你的資訊安全與駭客入侵!

在幾乎人人都會使用電腦設備的科技時代,資訊安全(就是你常聽到的資安)的了解是相當重要的媒體素養,讓我們一起來看看何謂「資安」,以及常與它一起出現的「駭客」又是怎樣的概念吧!

資訊安全是什麼?

有時你可能會聽到其他說法像是網路安全、軟體安全等,事實上那些都只是資訊安全的其中一部分。資訊安全簡單來說就是要保護個人或群體的資料或者資料系統不受到非法的侵入、任意使用,甚至破壞。

資安特性

資安也有CIA,但指的絕對不是中央情報局(Central Intelligence Agency),而是: 機密性(Confidentiality):資訊不得向非授權者揭露 完整性(Integrity) 資訊不得遭非經授權者更改 可用性(Availability):資訊可供已授權者使用與存取 另外還有3A: 認證(Authentication) :確認身份 授權(Authorization ):授予權限 稽查(Accounting ):紀錄行為

資訊安全的範疇可以分為兩大部分:
1.電腦安全(computer security)
2.資訊保障(information assurance)
電腦安全包含了網路與軟體方面,資訊保障則全面涵蓋各種資料保護。
兩者也涉及工作流程、文件管理、標準作業流程與資訊控管流程。

資安簡史

最早的資安概念是源自傳遞機密訊息(主要是戰爭時期)的加密系統,後來計算機裝置的出現帶動科技發展,人們有了更廣泛的資料傳輸與儲存選擇,同時也就擴展了資安的範疇,不再只侷限於加密訊息,從個人到企業,甚至是整個國家,其重要性與影響力與日俱增。

密碼學>>> 凱撒被認為在公元前50年發明了凱撒密碼,用來與將軍們傳遞軍事秘密訊息
獨立為學問>>> 二次世界大戰後,資安研究開始隨著電腦的發明與普及而逐漸發展成專業學問。

資安對企業的影響

國際知名的資安大師,IBM資安特別顧問布魯斯.施奈爾(Bruce Schneier)在前陣子的台灣資安大會上演講時針對現代資訊安全的議題表示,當萬事都幾乎能聯上網路,每件事就都是網路事了。以下是與台灣企業資安的相關數據圖:

由圖中可以看出大部分的資安問題可能跟駭客的網路攻擊有關,因此投資方向主要也以網路安全為主,企業對於ISMS(Information Security Management System的簡稱,資安管理系統 )搭配PDCA(Plan-Do-Check-Act的簡稱,規劃、執行、查核與行動的品質管理四大步驟)的實施也是影響資安的重要關鍵。

小知識:
端點安全指的是在他人透過遠端、無線或行動裝置存取企業網路時,用於確保企業的網路安全

(以上數據資料整理自IThome企業資安大調查報告,更完整的內容可以點連結觀看) 不難發現團體(企業)的資安問題最主要的資安問題多半來自個人(員工)資安意識不足,才需要投注大量經費強化企業的資安維護系統,那麼一般人又該如何培養基本的資安意識呢?

個人基本的資安素養

  1. 杜絕盜版:不接觸不在規範內的違法使用行為,可以大幅降低資安風險。

  2. 強化密碼:資安原始意義就是加密,不重複、擁有第二憑證等高強度的密碼絕對是必要的。

  3. 隱私控管:定期清除上網紀錄或cookie(尤其使用公用電腦,在第5.2章有相關介紹)。

  4. 軟體更新:不要小看軟體更新,除了提升穩定度也可以適當防堵安全漏洞。

  5. HTTPS :加密版本的HTTP,可以為網頁瀏覽行為加上一層保障(在第5.1章有相關介紹)。

講完資安基本概念與素養,接下來要談的就是造成前面提及大部分的資安問題、發起網路攻擊攻擊的主角——駭客。

駭客到底是好是壞?

「駭客(Hacker)」這個詞其實一直以來都受到媒體的污名化而與「壞人」劃上等號,事實並非如此,駭客是指崇其實駭客家族裡其實有好有壞,也有不成氣候的半調子。

戴著不同帽子的駭客

白帽駭客(White Hat)>>> 為了找出系統漏洞進而修改,通常是電腦安全專業人士 灰帽駭客(Grey Hat)>>> 單純想炫耀技術或是宣揚理念,可能亦正亦邪 黑帽駭客(Black Hat)>>> 蓄意破壞或攻擊,真正的網路犯罪者,也稱作劊客(Cracker) 腳本小子(Script Kiddie)>>> 沒有技術的劊客(Cracker) 好的駭客可以協助強化資安,壞的駭客才會蓄意破壞資安。下次聽到「駭客」這個詞的時候,不要馬上退避三舍或義憤填膺,先搞清楚他頭上戴的帽子是什麼顏色!

小結

在資訊爆炸的年代,如何在善用各種資料的情況下保有隱私與安全是一大課題,不要認為資安與黑帽駭客問題只是專家該煩惱的事,哪怕小至個人使用電腦的習慣都可以做到最基本的資安保障。 IThome電腦報旗下的資安粉專 IThome Security,除了分享國際資安議題,也會整理每年一度的台灣資安大會內容重點(今年的資安大會與展覽已經節束,可以期待明年!), 對資安議題有興趣的人也可以多多關注。