到底什麽是资安？

时间回到几年前，第一次面试一份资安公司行政助理职
记得那天除了该有的面试考题之外，
主管走到白板前说道︰「你知道什麽是资安吗？」

当时对资安主要停留在隐私和保密，简单的说一下可能的管理做法
但似乎不是他所想要的答案......

他在白板上写了三个大大的英文字母，
就是鼎鼎大名的「Ｃ．Ｉ．Ａ」

CIA可谓我们资讯安全最重要的三个大要素，
目的也是为了保障我们的资讯资产免於受组织无法承受的风险

• Ｃ机密性(Confidentiality)：资讯不被未经授权的人、实体或程序所取得。
• Ｉ完整性(Integrity)：对资讯内容之正确性与完整性。
• Ａ可用性(Availability)：在需要时可存取与使用资讯。

除此之外，我们还有3A，分别是

• 认证Authentication：用於识别使用者的身分，来记录谁可以存取这些资讯
  • 你所知道的Something you know:最常见的如帐号密码
  • 你所拥有的Something you have:提款卡、健保卡、一次性密码(OTP)
  • 你所具备的Something you are:常见如生物辨识(虹膜、角膜等)，可以用来识别这个人
• 授权Authorization：依照我们的身分，会取得不同等级的授权，避免过度给予权限，造成不必要的资讯泄漏
• 纪录Accounting：监控、报告和纪录，做为未来稽核或分析管理所用，使用者该如何获取资料，与资料监所进行的互动皆需要有轨迹保留下来

若为金融交易相关服务，会有另一个特别关注的焦点
Non-repudiation不可否认性(NR)
有些使用者会否认自己曾做过的事情，而在交易上面，为了确保我们从取得资讯、送出到接受确认存取，必须确保双方皆有参与，电子签章即为此项代表。

我们遵循着这样的基本要素，来进行往後所有的资安行为活动。
後面有部分检测工具练习，可能会涉及到法律行为，
下面提供部分条文供参考。

第 三十六 章 妨害电脑使用罪

• 刑法第339-3条
  意图为自己或第三人不法之所有，以不正方法将虚伪资料或不正指令输入电脑或其相关设备，制作财产权之得丧、变更纪录，而取得他人之财产者，处七年以下有期徒刑，得并科七十万元以下罚金。

• 刑法第358条
  无故输入他人帐号密码、破解使用电脑之保护措施或利用电脑系统之漏洞 ，而入侵他人之电脑或其相关设备者，处三年以下有期徒刑、拘役或科或并科十万元以下罚金。

• 刑法第359条
  无故取得、删除或变更他人电脑或其相关设备之电磁纪录，致生损害於公众或他人者，处五年以下有期徒刑、拘役或科或并科六十万元以下罚金。

• 刑法第360条
  无故以电脑程序或其他电磁方式干扰他人电脑或其相关设备，致生损害於公众或他人者，处三年以下有期徒刑、拘役或科或并科三十万元以下罚金。

• 刑法第361条
  对於公务机关之电脑或其相关设备犯前三条之罪者，加重其刑至二分之一。

• 刑法第362条
  制作专供犯本章之罪之电脑程序，而供自己或他人犯本章之罪，致生损害於公众或他人者，处五年以下有期徒刑、拘役或科或并科六十万元以下罚金。

• 全国法规资料库
  https://law.moj.gov.tw/Index.aspx

这次的内容，由於没有明确的主题，
将会针对近期学习的笔记，主要是工具操作和概念，
执行专案遇到的一些问题或技术做分享。