• 資訊安全概論(114學年)

認識CIA原則

• 講義

• CIA 簡介

  資訊安全最主要的3大要素，業界普遍使用「CIA」這個縮寫，這三個英文字，包括機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)等三個意涵。主要目的是採用適當安全機制以便於保護資料來避免資料被暴露於無權限人員或程式之下，確保維持資料原來的狀態，只允許有權限的使用者可以修改資料內容。

  機密性(Confidentiality)

  資料不能未經當事者授權而任意使用個人、實體或程序所取得或揭露的特性。

  機密性對於組織的資料機密或隱私密切相闗，因此，必須控制所有人對於所有資訊存取的權限，以防止資料未當事人經授權而任意使用資料。無論是有意還是無意目的，維護資料的機密性都是組織最重要的關鍵能力，它是謹慎防範資訊被未獲得適當授權的人同意而存取當事人的資料，保護當事人的資產是組織非常重要的任務。此外，有效的資訊系統管理員也要能夠確保需要存取權限的人員擁有必要的權限。

  例如，在組織的財務部門工作的相關人員，應該要能夠存取試算表、銀行帳戶，以及與資金流向有關的其他資訊。為確保財務部門工作的相關人員能夠遵守這些政策，必須實施嚴格的資訊存取限制，限制哪些人員可以看到哪些內容。

  幾種有損害組織機密性的可能性有：

  * 直接攻擊

  攻擊的目的是為了取得存取權，以利於查看攻擊者無權查看的系統資訊。這種行為可能會涉及攻擊者是否為了企圖直接侵入應用程式或資料庫，以便取得攻擊者的想要的資訊或進一步想要加以修改。

  這些直接攻擊可能使用網站前端的網頁的（MITM）技術，例如：企圖攻擊者將自己的攻擊資訊置入於資訊流中以攔截資料，以移於竊取或更改網站後端的資料庫資訊。有些企圖攻擊者會採取類似的網路間諜活動，以取得各種憑證的存取權。在某些情況下，C攻擊者會使用各種方法來取得更多網站系統權限，以獲得更高層級的權限。

  值得一提的是，所有違反機密性的行為並非都是故意的。有些行為可能是由於人為錯誤或安全控制不足而引起。例如：某些人因為沒有保護好自己的網站密碼，造成他人有機會共用他的憑證，不小心讓其他人看到了登入的資訊。此外，如果使用者沒有正確加密通訊，讓企圖攻擊者攻擊者有機會攔截他的資訊，造成竊賊有機會竊取硬體，不管是整台電腦的硬碟資料或是登入過程中所使用的裝置，都會曝露出個人或組組的機密資訊。

  為了對抗資訊的機密性漏洞，建議可以對受到限制的資料進行分類和標示、並且啟用存取控制政策、加密資料，以及使用多因素驗證系統，以確保個人或組織都具備所需的訓練和知識，以致於可以避免資訊外流的危險。

  完整性(Integrity)

  對資訊的精確與完整安全所予以保證安全的特性。

  完整性包括確保使用者的資訊值得被信賴，而且不會被竄改。在提供真實、準確、可靠資訊的情況下，才能維持資訊的完整性。

  例如，如果某個網站上所提供的使用者相關資訊，該資訊就必須具有完整性。如果資訊不正確，會造成瀏覽網站的使用者可能會覺此網站提供的資訊不值得信賴，因而造成網站的聲譽受損，或是被有心者企圖駭入網站，並且以管理員身份獲取網站資料庫，損害網站使用者的個人隱私。

  企圖駭入網站者可能會繞過入侵偵測系統，刻意變更網站的檔案設定來進行未經授權的網頁存取，或者是變更系統保存的記錄來進行隱匿式攻擊行為。完整性也有可能是因為使用者或是管理員的不當操作而造成的損失。例如：有人可能會不小心輸入錯誤的指令碼，或是犯下粗心大意的錯誤。如果網站的安全政策與保護機制或是程序不足時，即便是完整性遭到駭客破壞，該網站也沒有任何人必須為駭客的不當行為擔負責任。

  為了保護資訊的完整性，可以使用雜湊、加密、數位憑證、數位簽章等技術。如果是經營網站，可以考慮使用值得信賴的憑證授權單位（CA）來驗證網站的真實性，讓使用者知道網站是安全的。

  可用性(Availability)

  對於已授權的實體在其所需要時，授予可存取與使用之特性。

  即使資訊已有機密性與安全性，但是除非該資訊可以提供給網站管理員與網站的使用者，否則通常將網站建立機密性與完整性也無用武之地。可用性就是表示網路和其相關應用程式必須如時、如期地運作。此外，對於有權限的網站管理員，必須能夠在需要時使用這些資訊，而且取得資訊的時間不會太長。

  * 情境(1)

  在發生停電的情況下，可以即時地修復網站來協助使用者重新使用該網站的資訊，這時侯資訊的可用性就非常重要。

  * 情境(2)

  洪水、地震、颱風、暴風雪等自然災害，都可能讓使用者無法瀏覽網站，這就會中斷使用者的工作，因而阻斷了網站的可用性。此外，可用性也可能是因為蓄意的破壞行為而受到影響。

  * 情境(3)

  阻斷服務（DoS）攻擊或勒索軟體，也有可能會是蓄意的破壞行為而讓網站運作受到影響，。

  可以使用易地備份的網站，來確保網站的可用性。這些備用網站可以設定為當主要網站被中斷或損壞時，可以派上用場的機制。讓使用者隨時掌握網站的可用性。以降低網站故障或是被入侵的風險。因此，備份和完整的災難復原措施，將有助於網站在發生緊急事件後達到快速的可用性。

  • 以上教材參考自[資安鐵三角](https://www.fortinet.com/tw/resources/cyberglossary/cia-triad)網頁