[Day1] 资讯安全是什麽？

第一天，想笔记下我对资讯安全的理解。

资讯安全怎麽来的？

我印象里的历史战争剧中，国家或两个阵营打仗的剧情里，会有派通信兵传递消息、飞鸽传书、或是战鼓声和烽火台。消息传递的过程中对手可能会为了打赢战争安排拦截，例如把消息内容损毁、调包成错误内容、透过看听的方式知道消息内容等等。为了保护不被不相干的人或竞争对手知道，又要能成功传回衍生出了很多保护的作法。密码学中各式各样的加密方式，包含隐写术、藏头诗、凯萨密码，就在这样的消息安全的需求下诞生了。

而现在的资讯安全除了资讯资料外，也包含了资讯系统的安全。使用的环境(无论是电脑系统、网路、云端、端点、API、应用程序等)及其资料的机密性、完整性和可用性，同时也要避免未经授权的侵入、使用、公布、破坏、修改、检视系统和资料。

资讯安全要素

资讯安全有个资安金三角，这三项要素囊括了大部分资讯安全上的要点，分别是：

• 机密性(Confidentiality)：确保资料传输及储存的隐密性，避免未经允许被泄漏其资料内容。
• 完整性(Integrity)：确保资料传输及储存上保有一致性和正确性。
• 可用性(Availability)：使用者透过资讯系统进行操作时这些资料和服务都是能被使用且够用的。

资讯安全中的角色

资讯安全上可能造成资讯系统威胁的角色包含：白帽骇客(White Hat)、黑帽骇客(Black Hat/Cracker)、灰帽骇客(Gray Hat)、脚本小子(Script Kiddie)、影子IT(Shadow IT)

• 白帽骇客：透过自身技术发现系统有缺陷、漏洞的地方，希望系统能做的更完善为目标。
• 灰帽骇客：透过破解或入侵系统来炫耀自己技术或宣扬特定理念。
• 黑帽骇客：为了获取不法利益或宣泄负面情绪而进行系统的破坏威胁。
• 脚本小子：同样是为了自己的利益，但是是利用他人撰写的程序进行网路破坏。
• 影子IT：在企业内部使用非组织许可的软硬体解决方案，可能因为IT部门不知道这些方案导致企业系统的可靠度及安全性失去保障。

在企业里和防守相关的部门包含：资讯安全监控中心(SOC)、事件回应小组(CIRT)、电脑安全应变小组(CSIRT)、电脑紧急应变小组(CERT)。虽然这些部门不一定都会存在，有时SOC就囊括处理了所有资安相关的任务，全看企业的部门和职责规划。这些部门主要针对资讯安全框架的五大点进行处理：

• 识别(Identify)：资产盘点、风险评估及管理策略。
• 保护(Protect)：存取权限控制、资料安全保护及防护。
• 侦测(Detect)：持续监测异常行为与事件，判断是否超过警告标准。
• 回应(Respond)：分析事件发生原因，并进行事件回应、灾难的缓解止损处理。
• 复原(Recover)：做事件後的灾难复原、咎责及改善。

值得一提的是DevSecOps，是结合资讯安全和敏捷迭代的一个概念或文化，就是结合Security和DevOps的字。将安全性整合到软件版本开发交付营运的整个流程中，各阶段的人员都考量到安全问题，降低部署後的资安相关风险，或规划解决部署後出现的安全问题。

延伸阅读

(1) 资讯安全Wiki
(2) 骇客Wiki
(3) 影子IT
(4) [BONUS Day1] CERT？ CSIRT？ 傻傻搞不清
(5) 你的资安策略够明确吗？透过框架优先缓解真实威胁
(6) 资讯安全威胁与防护

以上：）