資訊與網路安全技術 第一章 安全性資訊系統簡介        下一頁

 

第一章 安全性資訊系統簡介

 本章以建立一套安全性資訊系統為主題,探討如何整合資訊與網路安全的相關技術,期望能讓讀者對本書內容有概括性的認識。

1-1 何謂安全性資訊系統

資訊系統是電子化企業(或政府)的命脈,無論由 2 ~3 位員工的小型店家到上萬人以上的大型公司(或組織),皆需昂賴資訊系統來管理整個公司的業務。資訊系統已是目前公司行號的最大資產,它運作得妥當能為公司牟取豐富利潤;但它如有任何瑕疵也可能造成公司巨大的損失,甚至導致公司倒閉。由此可見,如何建立一套『安全性資訊系統』(Secure Information System)是目前工業界上非常重要的課題。

利用資訊系統取代人工作業,已有一段不短的時日了,為何目前才被突顯它的安全性呢?早期資訊系統大多屬於封閉性環境,僅侷限於組織內運作,鮮少與公司外其他系統連線,或共同處理事務。但近年由於網路科技發達,公司行號之間講求合作生產、銷售,減低成本並提高效率。目前幾乎沒有一套資訊系統可以置身自我環境之內,而必須隨時透過網路與其它系統連線,並共同處理事務。譬如,目前國際化商業系統裡,講求產銷夥伴之間共同合作,各個公司之間必須建立生產鏈管理系統。當上游公司輸入某一張訂單明細表之後,各個生產夥伴公司及時收到零件訂單,並排定生產日期表。這些公司也許分散於全球各地,它們之間的資訊系統必須整合連線,並共同處理這些業務,當然需要一套安全性較高的資訊系統來承擔。

總而言之,由於網路的方便性,由原組織內的管理系統,跨越到多個組織之間的電子化管理環境。一般公司行號透過網路結合全球各地分公司或商業夥伴成為一個電子化公司;政府單位透過網路提供許多服務項目,讓人民可透過網路請求辦理各項事務,成為一個完整的電子化政府。由此可見,網路應用不僅是電子商務或電子化辦公室,已延伸到人民的生活領域時,它的安全性更不容忽視。我們相信沒有盡善盡美的安全技術,唯有不斷的研究及改良新的技術,才能嚇止網路犯罪的破壞與入侵行為。尤其,網路通訊已成為國家最重要的經濟動脈,癱瘓網路系統的破壞力,已不亞於飛彈的攻擊。因此,無論是網路工作者、電子商務者、軍事工作者、或情報者等等,都必須具備網路安全的基本常識。本書僅著重於網路安全與資訊安全技術的介紹,至於相關法律問題,讀者應該多多參考網路犯罪法令規章,以及其他防護制度的規範,畢竟『人事』管理才是網路安全的最大漏洞。

如何建立一套『安全性資訊系統』?許多文獻裡提出很多關於『網路安全』(Network Security[2, 6, 11, 17, 18, 64, 65, 82, 135, 136, 138]的相關技術。作者依據這些網路安全技術為基礎,提出一個簡單的構想,如圖 1-1 所示。也就是說,欲建構一套安全性資訊系統,應由下列 5 個重點來考量:

  • 安全性作業系統:作業系統本身是否提供有安全性機制,或安全性等級如何。譬如,用戶認證、資源授權、日誌管理或稽核檢視等等。

  • 安全性私有網路:企業網路是否具有防範被入侵與攻擊之能力,譬如建構防火牆或入侵偵測系統。

  • 安全性電子化系統:電子化系統是否具有訊息隱密性、完整性、確認性、以及不可否認性功能。

  • 安全性電子商務:電子商務系統是否具有防範偽造、篡改、確認交易雙分身分之能力。

  • 安全性系統管理:各個安全性系統皆需要一套自動化管理系統,隨時監視系統的運作情形,並檢視可能出現的不安全交易行為。

1-1 安全性資訊系統的內涵

至於安全技術而言,大略可區分為『資訊安全』(Information Security,或稱訊息安全)與網路安全。前者較著重於防護攻擊者詐騙、竄改、偽造、與否認交易等行為;然而網路安全則較重視防盜的行為。也就是說,攻擊資訊安全者大多是尋合法路徑(以技術層面而言)來達成目的,至於攻擊網路安全大多循非法路徑來達成。由此可見,資訊安全較屬於隱形的安全措施,不像網路安全的目標那麼顯著,兩者之間的重要性並沒有所謂的孰重孰輕,僅是從事的技術不同而已,但依然存在許多相似地方,兩者是不可以分開的,必須整合在一起。接下來,依照圖 1-1 簡略介紹,建構『安全性資訊系統』的相關技術如何。

 

 

主講人:粘添壽博士

 

資訊與網路安全技術