能夠在資料傳遞與儲存過程中確保其隱密性避免未經授權的使用者有意或無意的揭露資料內涵請問這是cia的哪一種特性

目錄 Show 名詞區分[編輯] 歷史[編輯] 基本原理[編輯] 關鍵概念[編輯] 過程控制[編輯] 突發事件控制[編輯] 各國法律、法規與標準[編輯] 參考文獻[編輯] 參見[編輯]

此條目需要精通或熟悉相關主題的編者參與及協助編輯。 (2010年12月18日) 請邀請適合的人士改善本條目。更多的細節與詳情請參見討論頁。

系列條目
資訊安全
相關資安分類
電腦資安 汽車網路資安 網路犯罪（英語：Cybercrime） 網路性交易（英語：Cybersex trafficking） 電腦詐騙 網路末日戰（英語：Cybergeddon） 網路恐怖主義 網路戰 電子作戰 資訊戰 網際網路資安（英語：Internet security） 移動資安 網路資安 複製保護 數位版權管理
威脅
廣告軟體 進階長期威脅 遠端代碼執行 軟體後門 硬體後門（英語：Hardware backdoors） 代碼注入 犯罪軟體 跨網站指令碼 挖礦劫持惡意軟體（英語：Cryptojacking malware） 殭屍網路 資料泄露 路過式下載 瀏覽器輔助物件 電腦犯罪 電腦病毒 資料抓取（英語：Data scraping） 阻斷服務攻擊 竊聽 郵件詐騙（英語：Email fraud） 郵件混淆（英語：Email spoofing） 漏洞利用 鍵盤記錄 邏輯炸彈 定時炸彈（英語：Time bomb (software)） Fork炸彈 Zip 炸彈 欺詐撥號器（英語：dialer） 惡意軟體 負載 釣魚式攻擊 多型引擎（英語：Polymorphic engine） 特權提升 勒索軟體 Rootkit 恐嚇軟體 Shellcode 濫發電子訊息 社會工程學 螢幕抓取（英語：Screen scrape） 間諜軟體 程式錯誤 特洛伊木馬 硬體木馬（英語：Hardware Trojan） 遠端桌面軟體 漏洞 後門殼層 刪除器（英語：Wiper (malware)） 電腦蠕蟲 SQL注入 流氓軟體 殭屍電腦
防禦
應用程式資安（英語：Application security） 程式編寫資安（英語：Secure coding） 預設資安 基於資安的設計 誤用案例（英語：Misuse case） 電腦存取控制（英語：Computer access control） 身分驗證 多重要素驗證 授權 電腦安全軟體（英語：Computer security software） 防毒軟體 資安作業系統（英語：Security-focused operating system） 以資料為中心的資安（英語：Data-centric security） 代碼混淆 資料遮罩（英語：Data masking） 加密 防火牆 入侵檢測系統 主機入侵檢測系統 (HIDS) 異常檢測 資安性資訊與事件管理（英語：Security information and event management） (SIEM) 資安行動閘道（英語：Mobile secure gateway） 應用程式執行期保護（英語：Runtime application self-protection）
閱 論 編

電腦網路入侵

防火牆的視察軟體介面範例，紀錄IP進出情況與對應事件

資訊安全，意為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。

政府、軍隊、公司、金融機構、醫院、私人企業積累了大量與雇員、顧客、產品、研究、金融資料有關的機密資訊，而絕大部分的資訊現在被收集、產生、儲存在電腦內，並通過網路傳送到別的電腦。

萬一企業的顧客、財政狀況、新產品線的機密資訊落入了其競爭對手的掌握，這種資安性的喪失可能會導致經濟上的損失、法律訴訟甚至該企業的破產。保護機密的資訊是商業上的需求，而在許多情況中也是道德和法律上的需求。

對於個人來說，資訊安全對於個人隱私具有重大的影響，但這在不同的文化中的看法差異很大。

資訊安全在最近這些年經歷了巨大的變化。有很多方式進入這一領域，並將之作為一項事業。它提供了許多專門的研究領域，包括：資安的網路和公共基礎設施、資安的應用軟體和資料庫、資安測試、資訊系統評估、企業資安規劃以及數字取證技術等等。

為保障資訊安全，要求有資訊源認證、存取控制，不能有非法軟體駐留，不能有未授權的操作等行為。

目次

• 1 名詞區分
• 2 歷史
• 3 基本原理
  • 3.1 關鍵概念
    • 3.1.1 機密性
    • 3.1.2 完整性
    • 3.1.3 可用性
    • 3.1.4 其他特性
  • 3.2 3A
    • 3.2.1 認證（Authentication）
    • 3.2.2 授權（Authorization）
    • 3.2.3 紀錄（Accounting）
• 4 過程控制
  • 4.1 突發事件控制
• 5 各國法律、法規與標準
• 6 參考文獻
• 7 參見

名詞區分[編輯]

資安概念

資訊安全這一術語，與電腦資安和資訊保障（information assurance）等術語經常被不正確地互相替換使用。這些領域經常相互關聯，並且擁有一些共同的目標：保護資訊的機密性、完整性、可用性；然而，它們之間仍然有一些微妙的區別。

區別主要存在於達到這些目標所使用的方法及策略，以及所關心的領域。資訊安全主要涉及資料的機密性、完整性、可用性，而不管資料的存在形式是電子的、印刷的還是其它的形式。

電腦資安可以指：關注電腦系統的可用性及正確的操作，而並不關心電腦記憶體儲或產生的資訊。

為保障資訊安全，要求有資訊源認證、存取控制，不能有非法軟體駐留，不能有未授權的操作等行為。

歷史[編輯]

自從人類有了書寫文字之後，國家首腦和軍隊指揮官就已經明白，使用一些技巧來保證通信的機密以及獲知其是否被篡改是非常有必要的。

凱撒被認為在公元前50年發明了凱撒密碼，它被用來防止秘密的訊息落入錯誤的人手中時被讀取。

第二次世界大戰使得資訊安全研究取得了許多進展，並且標誌著其開始成為一門專業的學問。

20世紀末以及21世紀初見證了通信、電腦硬體和軟體以及資料加密領域的巨大發展。小巧、功能強大、價格低廉的計算裝置使得對電子資料的加工處理能為小公司和家庭使用者所負擔和掌握。這些電腦很快被通常稱為網際網路或者全球資訊網的網路連接起來。

在網際網路上快速增長的電子資料處理和電子商務應用，以及不斷出現的國際恐怖主義事件，增加了對更好地保護電腦及其儲存、加工和傳輸的資訊的需求。電腦資安、資訊安全、以及資訊保障等學科，是和許多專業的組織一起出現的。他們都持有共同的目標，即確保資訊系統的資安和可靠。

基本原理[編輯]

關鍵概念[編輯]

資訊安全的內容可以簡化為下列三個基本點，稱為CIA三要素，此觀點似乎最早在NIST於1977年所發行的出版品中提到。[1]

機密性[編輯]

機密性（Confidentiality）確保資料傳遞與儲存的隱密性，避免未經授權的使用者有意或無意的揭露資料內容。[2]

完整性[編輯]

資料完整性（Integrity）代表確保資料無論是在傳輸或儲存的生命週期中，保有其正確性與一致性。[3]

可用性[編輯]

在資訊安全領域，可用性（Availability）是成功的資訊安全計畫應具備的需求，意及當使用者需透過資訊系統進行操作時，資料與服務須保持可用狀況(能用)，並能滿足使用需求(夠用)。[4]

其他特性[編輯]

• 可鑑別性（Authenticity）：能證明主體或資源之識別就是所聲明者的特性。
• 可歸責性（Accountability）：確保實體之行為可唯一追溯到該實體的性質。
• 不可否認性（Non-repudiation）：對已發生的動作或事件的證明，使發起該動作或事件的實體，往後無法否認其行為。實務上做法採用數位簽章技術。

3A[編輯]

認證（Authentication）[編輯]

識別資訊使用者的身分，可記錄資訊被誰所存取使用，例如：透過密碼或憑證方式驗證使用者身分。

實務做法：

• 你所知道的（Something you know）：帳號／密碼
• 你所擁有的（Something you have）：IC卡、數位裝置、數位簽章、一次性密碼(OTP)
• 你所具備的（Something you are）：指紋、虹膜、聲紋、臉部特徵、靜脈脈紋、DNA

授權（Authorization）[編輯]

依照實際需求給予實體適當的權限，一般建議採最小權限（Least privilege），意即僅給予實際作業所需要的權限，避免過度授權可能造成的資訊暴露或洩漏。

資訊系統層面的實務存取控制方法分類如下：

• 強制存取控制（Mandatory Access Control）
• 自由選定存取控制（Discretionary Access Control）
• 以角色為基礎的存取控制（Role-Based Access Control）
• 以規則為基礎的存取控制（Rule-Based Access Control）

紀錄（Accounting）[編輯]

內容項目包含量測（Measuring）、監控（Monitoring）、報告（Reporting）與紀錄檔案(Logging)，以便提供未來作為稽核（Auditing）、計費（Billing）、分析（Analysis）與管理之用，主要精神在於收集使用者與系統之間互動的資料，並留下軌跡紀錄。

資訊安全三要素之間存在互相牽制的關係，例如：過度強化機密性時，將造成完整性與可用性的降低，需要高可用性的系統則會造成機密性與完整性的降低，因此在有限資源的前提下，在資訊安全三要素中取得適當的平衡是資訊安全管理階層的重要課題。

對資訊安全的認識經歷了的資料資安階段（強調保密通信）、網路資訊安全時代（強調網路環境）和目前的資訊保障時代（強調不能被動地保護，需要有保護——檢測——反應——恢復四個環節）。

資安技術嚴格地講僅包含3類：隱藏、存取控制和密碼學。

典型的資安應用有：

1. 數位浮水印屬於隱藏；
2. 網路防火牆屬於存取控制；
3. 數位簽章屬於密碼學。

過程控制[編輯]

突發事件控制[編輯]

「網路與訊息資安事件」（Network & Information Security Incident）是突發事件的一種，也被稱為「訊息資安事件」（Information Security Incident）。網路與訊息資安事件在業界尚未有統一的定義，政府管理、科學研究、企業根據各自的關注點對其的理解也存在一定的差異。至於中華人民共和國國家品質監督檢驗檢疫總局和中國國家標準化管理委員會制定發布的兩個現行技術標準中，對該術語的定義如下：

• 在《訊息技術 安全技術 訊息安全事件管理指南》（GB/Z 20985-2007）中被定義為「由單個或一系列意外或有害的訊息安全事態所組成的，極有可能危害業務運行和威脅訊息安全。」
• 在《訊息安全技術 訊息安全事件分類分級指南》（GB/Z 20986-2007）中被定義為「

各國法律、法規與標準[編輯]

中國大陸最重要的資訊安全標準體系是「信息安全等級保護體系」。該體系在所有主要行業進行推廣，並對資訊安全行業的發展產生了重要影響。

臺灣由行政院頒布資通資安管理法主要涵蓋物件為中央、地方機關與公法人，及金融、能源、交通等關鍵基礎建設提供者，並影響前述單位的組織架構、資訊安全方針及預算分配。

參考文獻[編輯]

1. ^ A. J. Neumann, N. Statland and R. D. Webb. Post-processing audit tools and techniques (PDF). US Department of Commerce, National Bureau of Standards: 11–3––11–4. 1977 [2021-03-16]. （原始內容存檔 (PDF)於2021-04-27）.
2. ^ Beckers, K. Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. 2015: 100 [2021-03-16]. ISBN 9783319166643. （原始內容存檔於2021-04-27）.
3. ^ Boritz, J. Efrim. IS Practitioners' Views on Core Concepts of Information Integrity. International Journal of Accounting Information Systems (Elsevier). 2005, 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001.
4. ^ Csapo, Nancy; Featheringham, Richard. COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES. Issues In Information Systems. 2005. ISSN 1529-7314. doi:10.48009/1_iis_2005_311-317.

參見[編輯]

• 電腦資安隱患
• 網路資安
• 戰術數位資訊鏈路
• 攜帶自有裝置（BYOD）
• 資訊資產
• 網路資安標準
• 內容資安