基礎教育訓練
王冠友 Perry Wang
解決方案架構師
1
目錄
• 資訊安全概述
• 資訊安全重要性
• C.I.A Triad
• 應用
• 管理
倍網資訊股份有限公司 Pronet Information Co., Ltd.
2
資訊安全概述
• 資訊對於企業來說就是資產，和實體的資產一樣具有價值，因此需要給予妥善的保護
• 資訊安全可保護資訊不受各種威脅，確保持續營運，將營運損失降到最低，得到最豐
厚的投資報酬率和商機
• 資訊安全的效益
。 風險規避：停止從事產生風險之活動來避免風險
。 風險降低：降低風險發生之機會或其重大性
。 風險移轉：風險轉嫁來來降低風險發生時之損失
。 風險接受：接受風險的現狀，但對於風險發生之損失需考量如何承受
• 資訊安全中，安全性與方便性總是兩極，需要取得平衡點
倍網資訊股份有限公司 Pronet Information Co., Ltd.
3
資訊安全重要性
• 資料的不當揭露、破壞導致企業重大損失，例如：
。 無法正確提供服務
。 新產品資料外洩
。 公司數位資產損毀
。 實際財損
• 影響企業的聲譽和形象
倍網資訊股份有限公司 Pronet Information Co., Ltd.
4
C.I.A Triad 資訊安全特性
機密性（Confidentiality）
•
確保資料的儲存或傳遞是保密的，避免敏感資料被未經授權的人取得
完整性（Integrity）
•
•
避免非經授權的使用者或處理程序篡改資料
確保資料無論是在傳輸或儲存的生命週期中，保有其正確性與一致性
可用性（Availability）
•
確保經授權的使用者要對系統進行操作時，資料與服務能確實的存取與
使用
倍網資訊股份有限公司 Pronet Information Co., Ltd.
5
資訊安全應用
驗證
授權
紀錄
確保使用者身分
只給予使用者所需的權限
未來稽核、計費、分析、
管理使用
• 你知道的
。 帳號密碼
• 你擁有的
。 IC卡、數位簽章、OTP
• 你具有的
。 生物辨識：指紋、虹膜、聲音
• 地理位置
。 定位、近場辨識
決定使用者的權限
• 管理者
• 次級管理者
• 使用者
倍網資訊股份有限公司 Pronet Information Co., Ltd.
•
•
•
•
量測(Measure)
監控(Monitor)
報告(Report)
紀錄(Log)
6
資訊安全應用
資料保護
確保資料的正確性、完整性
• 資料的加密、解密
• 資料外洩防護
• 檔案備份
倍網資訊股份有限公司 Pronet Information Co., Ltd.
7
資訊安全範疇
實體安全
雲端和虛擬化安全
網路安全
端點安全
無線網路及移動裝置安全
倍網資訊股份有限公司 Pronet Information Co., Ltd.
8
資訊安全管理
架構
先訂定好管理架構，例如：
• 組織
• 使用者
• 裝置
權限(Permission)
決定使用者的權限
• 管理者
• 次級管理者
• 使用者
倍網資訊股份有限公司 Pronet Information Co., Ltd.
原則(Policy)
由管理者訂下組織規範，
讓所有人遵循
9