資訊安全是什麼？常見資安問題

 什麼是資安？「資訊安全」的定義

資訊安全簡稱資安，英文為 Information Security 或縮寫 InfoSec，意即保護資訊系統和資訊本身的安全性措施與相關工具，目的在於避免未授權的資料存取、使用、揭露、修改、檢視、紀錄、銷毀等。

一般而言，資訊系統指為收集、取得、處理、儲存、分配資訊而組成的相互關聯的組件，協助使用者彙集統整資料，做出最佳決策。以電腦為核心的資訊系統為目前最普遍的資訊系統，範圍涵蓋了硬體、韌體、軟體，以及資料儲存和資訊流通等技術的人機互動系統。

現代社會中，各式各樣的組織皆會用到資訊系統，例如政府部門、金融組織、醫療機構、私人企業，在運作過程中都可能累積關於工作人員、顧客、產品、研究等主題的大量資料。這些資料協助企業和組織提升營運效能和提供更好服務，同時避免資料外洩與遭刪改，保護營業機密和顧客隱私也突顯資安重要性。

一、資訊安全的三種分類：IT 安全（IT Security）、網路安全（Cybersecurity）、資料安全（Data Security）

資訊安全就是一連串確保資訊系統安全無虞的措施，概括多種形式的資訊傳輸和保存：口頭訊息、紙本資料與電子資訊。依照範疇，資訊安全又可分為 IT 安全、網路安全與資料安全層面。

•  IT 安全：範疇涵蓋實體和數位 IT 資產、資料中心軟硬體設備的安全措施，但不包括紙本或其他媒介的資料。比起資料本身，較著重於資料處理系統的相關技術面。

• 網路安全：聚焦於數位資訊系統的安全性，保護數位資訊系統免受網路攻擊。

• 資料安全：泛指數位資料安全的保護措施，從實體硬碟、雲端儲存空間的保護、存取權限管理到軟體安全性及規範企業全體的資安政策等都算在資料安全的範圍內。

認識「資訊安全」基本原理：CIA 三要素

資訊安全有三大要素：機密性（Confidentiality）、完整性（Integrity）和可用性（Accessability），取三者的字首縮寫為 CIA。企業與組織的資訊安全策略即圍繞著 CIA 三要素制定與實施。

• 機密性 Confidentiality：機密性指確保資料只能被經過授權的單位存取，杜絕任何未授權的資料訪問和使用，保護隱私與機敏資料。

• 完整性 Integrity：完整性指確保儲存和傳輸中的資料不會遭受未經授權的使用者修改、增刪，以保持資料完整和正確。

• 可用性 Accessibility：可用性指確保經授權的使用者可以在需要時取得資料，不會因為故障、系統錯誤、服務中斷等原因而被拒絕存取資料。

常見網路資安漏洞與資訊安全風險

隨著科技發展，以 CIA 原則為目標、落實資訊安全防護的的任務也常面臨各式惡意攻擊威脅呢。下面整理了常見資安問題：

1. 端點資安防護不完善
   端點（Endpoints）指的是連接至電腦網路（包含內網與外網）的實體設備，可以透過連線和其他裝置互相傳遞資訊，如筆記型和桌上型電腦、行動裝置、伺服器、物聯網裝置等等。通常可以透過端點存取資料，因此常常成為網路罪犯的目標。若端點資安防護效果不彰，資訊安全就容易亮起紅燈。

2. 資安設定錯誤
   現代企業和組織除了內部的資料中心以外，大多也同時使用雲端產品與服務。因此在規劃與實施資訊安全措施時，也需要謹慎考量雲端和地端架構，以及資安配置設定，錯誤的配置會提高資訊系統暴露在風險中的機會。

3. 網路攻擊
   即使組織企業做好端點資安防護與資安配置設定，駭客可透過多種不同的網路攻擊手段入侵資訊系統，包含 DDoS 攻擊、APT 攻擊、零日漏洞攻擊、SQL 注入攻擊、設置後門、植入木馬程式、勒索軟體、電腦蠕蟲、電腦病毒等等。

4. 社交工程陷阱
   有別於針對軟硬體裝置的網路攻擊，社交工程的目標是使用資訊系統的人。駭客設計各式騙局，以操縱人心的方式取得資料存取的權限。其中最常見的手法就是網路釣魚，寄送假造的電子郵件，誘騙目標下載惡意軟體、點擊惡意連結，或是自行透露登入帳密等機敏資料。

5. 無妥善加密處理
   加密指將資訊改變形式，使其無法解讀的過程。例如，明文為 HELLO，透過 A＝Z、B＝Y、C＝X、D＝A、E＝Ｂ、F＝Ｃ（以此類推）的規則加密，就可以轉換成密文 EBIIR。以 EBIIR 的形式傳輸，即使中途遭攔截，如果不知道加密規則也難以解讀其意。

將重要資料透過更為複雜的加密規則處理後，即使出現未經授權的存取，重要資料實際內容外洩的可能性也可以降低。

6. 內部威脅
   來自企業或組織內部的資安威脅可以分為兩部分：人為失誤和惡意攻擊。人為失誤指非故意的錯誤行為所造成的資安風險，像是遺失存有機密資料的行動硬碟、掉入社交工程陷阱、使用容易被暴力破解的密碼、忽略資安準則等等。相反，惡意攻擊意指內部人員為了個人利益或目的刻意破壞安全措施，製造資安破口。

3 種加強資訊安全的方法：

針對上面所提到的常見資訊安全威脅，可以透過以下方法對症下藥，加強防護：

一、使用資安防護

採取多種資安防護措施，針對進行風險評估、系統弱點補強；監控是否有異常活動，第一時間注意到異常活動和惡意軟體入侵跡象，即時回應和處理。且同時搭配網路攻擊預防服務，並使用防毒軟體、定期更新，時刻掃描和即時清除惡意程式與病毒。

• 掃描漏洞：資安弱點通報機制、弱點掃描服務、滲透測試、資安健診服務

• 監控系統：MDR 威脅偵測應變服務

• 預防攻擊：端點安全防護系統、WAF 防火牆、API 保護、DDoS 防禦、多因子認證服務（MFA）、文件加密系統

• 防毒軟體

晟崴科技提供完整資安防護服務，歡迎與我們聯繫！

二、進行企業／組織資安教育

除了軟硬體設備可能的安全漏洞，使用資訊系統的人也是駭客進行網路攻擊的目標之一，整體的資訊安全需要所有人共同努力。進行資安教育訓練、資安演練，讓內部人員確實了解自己在資安上應盡的努力，以及了解資訊安全的風險和應對措施。

三、定期檢視資安政策

道高一尺，魔高一丈。網路攻擊的手法無時無刻都在進化，除了現有資安策略以外，組織和企業也應多注意新型態的攻擊手段與惡意程式，並以此為依據調整資安策略。

未來資安的趨勢：AI 技術帶來的優勢與風險

近年 AI 熱潮也在資訊安全領域帶來許多改變，AI 技術如同雙面刃，可以在資安防護上提供協助，但應用在網路攻擊上，也能讓網路攻擊更加容易、多元，以下將針對 AI 在資訊安全方面的優勢以及威脅，進一步做說明。

一、AI 資安應用

1. 偵測網路攻擊
   AI 掃描系統、偵測異常活動與網路攻擊的速度與正確率皆比人工監測還高，可提高監控效率和減低誤報的機率，加快資安事件的反應速度。AI 還可以判斷未知的網路攻擊種類，並且在多種網路攻擊同時出現時，依照攻擊的風險，決定處理的優先順序。

2. 社交工程防範
   AI 工具可利用來辨識釣魚信件，過濾可疑電子郵件和訊息。此外，AI 也可以用來進行社交工程攻擊演練，模擬實際上遭受到魚叉式釣魚等社交工程攻擊時的情況，協助企業和組織搶先找到資訊系統中的漏洞，進行補強。

3. 分析網路攻擊
   AI 工具可以快速處理大量資料，分析過往資安事件，將相關數據利用在未來的資安防範上。

二、AI 資安威脅

1. 社交工程攻擊更容易
   駭客可利用 AI 生成釣魚信件或網站的文字內容，在極短的時間內設計出高針對性與高可信度的魚叉式網路釣魚騙局，甚至在其中加入 Deepfakes 生成影像和音訊，更加能以假亂真。除提升品質以外，AI 更能大量生成釣魚信件和訊息，讓社交工程攻擊變得更容易。

2. 破解密碼
   AI 技術可利用來加強駭客破解密碼的演算法，提高暴力破解密碼的效率。

3. 資料下毒攻擊
   由於 AI 是透過讀取並加以分析如文字、影像、影音等資料來「學習」，駭客可以透過污染 AI 學習的資料庫，放入假造與錯誤資訊，影響目標 AI 工具或系統的性能。資料下毒攻擊耗費時間長，又難以發現，因此通常在最後發現時，已經造成重大損害。

在數位時代處理存放資料的工具在種類與數量上都不斷增加，也讓企圖竊取或刪改資料的網路犯罪有更多下手的機會。落實資安防護，保護資訊機密性、完整性與可用性，避免機敏資訊外洩、遭不當利用和破壞，和企業組織營運順暢息息相關。晟崴科技提供多種資安防護產品與服務和全方位的資安技術支援，為您量身打造資訊安全解決辦法！

立即聯絡晟崴科技幫您守護資訊安全