2022/09/20
5063

【網管學堂】資訊安全入門第一課-資安是什麼、資安工作、常見資安風險

資訊安全入門

 

一、何謂資安?資訊安全是什麼?

資訊安全( Information Security),資安應用範圍極廣,從我們熟知的網路上的個人帳號密碼、各種資訊設備(Server、Router、NAS、Firewell、….等等)、上網的IP位置發送的封包、甚至包含我們個人電腦的帳號密碼、手機的密碼,通通都包含在資安的範疇之內,亦可說在我們生活範圍之內都充斥著資安曝露的風險。
 

二、基本的資安觀念

既然我們的隨時都有著資安曝露的風險,那我們都不是專業的資安人士,是否就束手無策了?其實在我們生活中,早已被強迫教育對基本的資安進行保護動作,您是否有發現舉凡現在您在網站上註冊會員,要求的密碼規則越來越複雜,從早期的可能強制6-8個位元、到必須包含英文、到必須有英文大小寫區分、現在則必須英文+數字且超過幾個位元,甚至更嚴格的還會要求必須包含特殊符號例如(@#$%^&…等),這些日趨嚴格的要求全部都是為了保護您個人的資安。

或者是當我們在解鎖手機時,常常會使用到的指紋 or臉部辨識,在快速解鎖的同時,其實有有著另一層保護,因為我們所制定的密碼終究跳脫不出鍵盤的範圍,可以用暴力破解法(Brute-force attack)去破解,而指紋或臉部特徵,則是一組更精密的數據,且每個人的數據都不一樣,以達到更好的資安防護,所以我們其實都有著基礎的資安的觀念。

那既然我們大家其實都有資安觀念,那我是不是就可以去企業應徵資安人員了?答案當然是否定的,雖然我們日常生活中都會應用到資安,但那些終究只是基礎中的基礎而已,企業需要的資安人員需要的遠遠不止於此,包含內部資訊設備權限的控管、網路封包的加密、IP位置的加密、企業內部電腦的病毒防範、資訊設備在網路上的風險控管、資安辦法的制定、資安危機的通報應變…等,這些都是企業資安人員需負責的事項,且只會更多不會更少!
 

三、企業中常見的資安風險

以下列舉幾個企業中最常見到的資安風險

  • 員工點開釣魚郵件
◎ 可能導致郵件密碼外洩,進而讓信箱變成跳板發送垃圾信
  • 網站或主機未使用SSL加密連線
◎ 可能導致主機容易被攻擊,竄改或竊取資料
  • 資料主機未確實做好權限控管
◎ 可能導致內部員工容易竊取資料資料
  • 防火牆規則未確實設定
◎ 可能導致員工下載病毒檔案,進而感染整個內部網域

 

四、資訊人、資安人員與公司常見的資安架構

我們了解了一些企業中常見的資安風險之後,您可能會想問,怎麼看起來這些防範的方式都是資訊人員常常在做的事,事實上資訊人員與資安人員確實有著密不可分的關係,我們可看一下大概的架構圖

資安單位架構圖
 資安單位架構圖

根據金管會的規定,規模達到一定比例的公司(詳細分級請參考金管會網站公告,收錄於本文最下方),須配置資安人員,而在架構圖中我們可以看到資訊部門與資安部門是分開的,稽核部門則根據公司狀況而定,整理來說,筆者認為資訊部門較強調在執行技術類的東西,例如上述的SSL的加密設定、防火牆的規則設定。而資安部門則較強調在制定資安的方法,例如公司的資安規範、資安事件通報的流程..等等!

 

五、資安相關類別證照

近年隨著資安變得越來越重要,相關證照當然也新增了不少,甚至有些企業是規定必須有某些證照才達到投履歷的門檻的,以下我們就列舉幾個最常見的資安證照:
  • CISSP 資安系統專家認證
  • SSCP 資安專業人員認證課程
  • CCSP 雲端資安專家認證
  • CSSLP 資安軟體開發專家認證
  • ISO 27001 資訊安全管理系統
 
另外與資安最重要的關係就是網路架構,好的網路架構才能有效防止公司的資料在網路上外洩,甚至是有效阻止有心人士的主機攻擊,更能在網路出現問題導致整間公司無法上網的時候,快速找出原因的排除,以下列舉幾個最常見的網路工程師證照:
  • Cicso CCNA
  • Cicso CCNA Enterpris
  • Cisco CCNP Security

  *參考:考金管會資安人員配置公告

 

相關文章:

【網管學堂】第二篇-使用Cisco Packet Tracer軟體來學習網路

【網管學堂】第三篇-瞭解IP版本4的位址及其配置規則

資安網管-CompTIA認證介紹
 

>>網路管理課程課表及試聽索取
 

 
LINE-friend
近期文章熱搜文章排行
熱門標籤熱門標籤
近期文章你可能有興趣的文章
熱門標籤熱門標籤