資訊與系統安全知識

TIPCI臺灣國際專業認證學會製作

資訊安全的定義與重要性

• 資訊安全：保護資訊不受未授權存取、使用、修改、破壞或洩露。
• 涵蓋保密性、完整性、可用性三大目標。
• 重要性：
• • 保護隱私與敏感資訊
• • 保護企業資訊資產
• • 確保業務持續運營
• • 符合法規合規要求
• • 維護社會穩定與公眾利益

資訊安全三大目標

• 1. 保密性（Confidentiality）：
• • 僅授權人員可存取資訊（技術：加密、存取控制）
• 2. 完整性（Integrity）：
• • 資訊未被未授權修改（技術：數位簽章、驗證）
• 3. 可用性（Availability）：
• • 資訊與系統可被及時使用（技術：備份、容錯、負載均衡）

常見威脅與攻擊方式（一）

• 惡意軟體（Malware）：
• • 病毒：破壞檔案與系統
• • 蠕蟲：透過網路自我傳播
• • 木馬：偽裝軟體，暗中執行惡意操作
• • 間諜軟體：收集用戶資訊

常見威脅與攻擊方式（二）

• 網路攻擊：
• • 拒絕服務攻擊（DDoS）
• • 中間人攻擊（MITM）
• • 漏洞掃描與利用

常見威脅與攻擊方式（三）

• 社交工程：
• • 魚叉式釣魚郵件
• • 欺詐電話與社交詐騙
• 身份盜竊：
• • 偽造網站與帳號劫持

常見威脅與攻擊方式（四）

• 物理安全威脅：
• • 設備竊取、破壞
• • 非法入侵實體場所
• 內部威脅：
• • 惡意內部人員行為
• • 不當使用訪問權限

第二章：資訊安全基礎技術

• • 加密技術與應用
• • 身份認證與存取控制
• • 防火牆與入侵檢測系統

加密技術與應用

• • 對稱加密：單一密鑰加密與解密（AES、DES）。
• • 非對稱加密：公鑰與私鑰對（RSA、ECC）。
• • 散列函數：生成不可逆摘要（MD5、SHA-256）。
• • 數位簽名：驗證資料完整性與來源。
• • SSL/TLS：保護網路傳輸安全（HTTPS）。

身份認證與存取控制

• 身份認證：
• • 密碼驗證、智慧卡、多因素、生物辨識。

​

• 存取控制：
• • 基於角色(RBAC)、政策(ABAC)、ACL清單、安全標籤。
• • 動態控制 ➝ 根據位置、時間等調整權限。

防火牆技術

• • 封包過濾 ➝ 根據IP/端口控制流量。
• • NAT ➝ 轉換私有IP，隱藏內部網絡。
• • 網絡層防火牆 ➝ 控制協議與位址訪問。
• • 應用層防火牆 ➝ 深度檢查應用協議內容。

入侵檢測系統（IDS）

• • NIDS ➝ 監控網絡流量，辨識異常行為。
• • HIDS ➝ 分析主機日誌、檔案異常。
• • 網路流量分析 ➝ 封包特徵、來源識別。
• • 行為與簽名分析 ➝ 探測攻擊模式與未知威脅。

第三章：網絡安全

• • 網絡威脅與漏洞
• • 安全配置與管理
• • 網絡監控與事件響應

網絡威脅與漏洞（一）

• • 惡意軟體：病毒、蠕蟲、木馬、間諜軟體
• • 拒絕服務攻擊（DDoS）
• • 中間人攻擊（MITM）
• • 網絡掃描與漏洞利用

網絡威脅與漏洞（二）

• • 社交工程：釣魚郵件、欺詐電話
• • 身份盜竊、帳戶劫持
• • 系統與應用漏洞
• • 弱密碼與設備丟失導致資料外洩

安全配置與管理（一）

• • 漏洞管理：掃描、評估、修補
• • 建立安全策略與遵守法規
• • 訪問控制：最小權限原則、訪問審計

安全配置與管理（二）

• • 強化身份驗證（多因素、生物特徵）
• • 數據加密與金鑰管理
• • 系統更新與配置管理
• • 風險評估與風險管理策略

網絡監控與事件響應（一）

• • 網絡監控：流量分析、日誌分析、設備狀態監視
• • 事件檢測：IDS/IPS識別攻擊、威脅情報分析

網絡監控與事件響應（二）

• • 事件響應流程：分類評估 ➝ 應急響應 ➝ 處理威脅 ➝ 事後分析
• • 持續改進：漏洞修補、員工演練、技術升級

第四章：應用安全

• • 軟體安全
• • 雲端安全
• • 移動設備安全

軟體安全：設計與開發

• • 安全需求分析與架構設計
• • 代碼審查與安全編碼標準
• • 靜態與動態安全測試

軟體安全：數據與運營

• • 數據加密與法規合規性（GDPR、HIPAA）
• • 安全部署與漏洞管理
• • 應急響應、威脅情報與安全培訓

雲端安全：核心技術

• • 身份與訪問管理（MFA、最小權限）
• • 數據保護與加密
• • 合規與標準：ISO 27001、GDPR、SOC 2

雲端安全：運營管理

• • 漏洞修補與防火牆、IDS部署
• • 災難恢復、資料備份與演練
• • 合同條款、供應商安全責任明確化

移動設備安全：控制與加密

• • 設備訪問控制：密碼與生物識別
• • 遠程鎖定與數據抹除
• • 本地與傳輸加密保護

移動設備安全：管理與教育

• • 僅使用官方應用程式商店
• • 實施設備註冊、管理與遠程控管
• • 用戶教育與災難恢復措施

第五章：資訊安全管理

• • 風險評估與管理
• • 合規性與法規要求
• • 安全意識與培訓

風險評估與管理：步驟與原則

• • 確定風險來源與威脅
• • 評估風險嚴重性與發生機率
• • 風險量化分析與工具應用（矩陣、RPN）

風險應對與監控

• • 應對策略：轉移、降低、接受、避免
• • 持續監控與定期審核
• • 溝通與報告風險評估結果

合規性與法規要求

• • 個資保護：GDPR、HIPAA
• • 金融規範：PCI DSS、SOX
• • 安全標準：ISO 27001、NIST
• • 通信、勞工、環境、電子商務相關法規

安全意識與培訓：重要性

• • 提高員工安全風險意識
• • 定期傳遞安全知識與更新
• • 培養安全文化，改變使用者行為

安全培訓實務與推廣

• • 模擬演練與行為檢測
• • 奬勵計畫與參與鼓勵
• • 領導支持與資源投入

結語：建立資訊安全文化

• • 安全意識是資訊安全的基礎
• • 安全訓練需持續且動態更新
• • 高層支持是成功推動的關鍵
• • 整合技術、人員與流程，共建安全環境