資安三要素 (CIA Triad)#
資訊安全的核心目標圍繞三個要素,通稱 CIA Triad:
| 要素 | 說明 |
|---|---|
| 機密性(Confidentiality) | 確保資訊僅供授權者存取,防止未經許可的洩漏 |
| 完整性(Integrity) | 確保資訊在傳輸與儲存過程中不被竄改或破壞 |
| 可用性(Availability) | 確保授權者在需要時能順利取得資訊與服務 |
graph TD
CIA["資訊安全 (Information Security)"]
C["機密性<br/>Confidentiality"]
I["完整性<br/>Integrity"]
A["可用性<br/>Availability"]
CIA --- C
CIA --- I
CIA --- A
C -.- C1["加密、存取控制、認證"]
I -.- I1["雜湊、數位簽章、版本控制"]
A -.- A1["備援、負載均衡、災害復原"]三要素之間常存在取捨關係。例如過度強化機密性(多重認證、嚴格加密)可能降低可用性;放寬存取以提升可用性則可能犧牲機密性。安全策略的設計必須在三者間取得平衡。
延伸概念#
| 概念 | 說明 |
|---|---|
| 認證(Authentication) | 驗證使用者或裝置的身分 |
| 授權(Authorization) | 依據身分給予對應的存取權限 |
| 不可否認性(Non-repudiation) | 確保行為者無法否認其操作,常透過數位簽章實現 |
加密及電子證書#
加密基礎#
加密 (Encryption) 是將明文 (Plaintext) 透過演算法與金鑰轉換為密文 (Ciphertext) 的過程,目的在於保護資料的機密性。
| 比較項目 | 對稱加密 (Symmetric) | 非對稱加密 (Asymmetric) |
|---|---|---|
| 金鑰數量 | 加解密使用同一把金鑰 | 使用一對金鑰(公鑰 + 私鑰) |
| 速度 | 快 | 慢 |
| 金鑰管理 | 需安全傳遞共享金鑰,管理困難 | 公鑰可公開,私鑰自行保管 |
| 代表演算法 | AES、DES、3DES | RSA、ECC、DSA |
| 常見用途 | 大量資料加密(檔案、磁碟) | 金鑰交換、數位簽章 |
實務上多採用混合加密:先以非對稱加密交換對稱金鑰,再以對稱加密傳輸資料,兼顧安全性與效率。SSL/TLS 即為典型範例。
雜湊 (Hash)#
| 項目 | 說明 |
|---|---|
| 定義 | 將任意長度的資料轉換為固定長度的摘要值(Digest) |
| 特性 | 不可逆、微小輸入變動導致輸出巨大差異(雪崩效應) |
| 代表演算法 | SHA-256、SHA-3、MD5(已不建議用於安全用途) |
| 用途 | 驗證資料完整性、密碼儲存、數位簽章 |
數位簽章 (Digital Signature)#
數位簽章結合雜湊與非對稱加密,同時達成完整性與不可否認性:
- 發送端以雜湊函數產生資料摘要。
- 以發送端的私鑰加密摘要,形成數位簽章。
- 接收端以發送端的公鑰解密簽章,取得摘要。
- 接收端自行對資料計算雜湊,與解密後的摘要比對;若一致,表示資料未被竄改且確實來自發送端。
電子證書 (Digital Certificate) 與 PKI#
電子證書用於證明公鑰的擁有者身分,由憑證授權中心 (CA, Certificate Authority) 簽發。
sequenceDiagram
participant User as 使用者
participant Server as 伺服器
participant CA as 憑證授權中心 (CA)
Server->>CA: 1. 提交公鑰與身分資料申請憑證
CA->>CA: 2. 驗證身分後以 CA 私鑰簽署憑證
CA->>Server: 3. 核發電子證書
User->>Server: 4. 請求建立安全連線
Server->>User: 5. 回傳電子證書(含伺服器公鑰)
User->>CA: 6. 以 CA 公鑰驗證憑證簽章
User->>User: 7. 確認伺服器身分合法
User->>Server: 8. 以伺服器公鑰加密對稱金鑰並傳送
Server->>User: 9. 雙方以對稱金鑰進行加密通訊- PKI (Public Key Infrastructure):管理金鑰與憑證的整套架構,包含 CA、註冊機構 (RA)、憑證撤銷清單 (CRL) 等。
- SSL/TLS:基於 PKI 的傳輸層安全協定,HTTPS 即 HTTP over TLS。
瀏覽器內建受信任的根 CA 清單。若伺服器憑證的簽發 CA 不在信任清單中,瀏覽器會顯示安全警告。
防範非法入侵#
常見攻擊手法#
| 攻擊類型 | 說明 |
|---|---|
| 暴力破解 (Brute Force) | 逐一嘗試所有可能的密碼組合 |
| 字典攻擊 (Dictionary Attack) | 以常見密碼清單進行嘗試 |
| 中間人攻擊 (MITM) | 攻擊者介入通訊雙方之間,攔截或竄改資料 |
| 阻斷服務 (DoS/DDoS) | 以大量請求癱瘓目標系統的服務能力 |
| SQL Injection | 在輸入欄位注入惡意 SQL 語句,存取或竄改資料庫 |
| 跨站腳本 (XSS) | 在網頁中注入惡意腳本,竊取使用者資訊 |
| 跨站偽造請求 (CSRF) | 利用已認證的使用者身分,執行未授權的操作 |
| 竊聽 (Sniffing) | 擷取網路封包以取得敏感資訊 |
防範措施#
| 措施 | 說明 |
|---|---|
| 強化認證 | 多因素認證(MFA)、密碼複雜度要求、帳戶鎖定機制 |
| 加密通訊 | 全面採用 TLS/SSL,避免明文傳輸 |
| 存取控制 | 最小權限原則(Principle of Least Privilege)、網路分段 |
| 漏洞管理 | 定期更新修補程式(Patch)、弱點掃描 |
| 日誌監控 | 記錄並分析系統與網路日誌,及早發現異常行為 |
單一防禦手段無法抵擋所有攻擊。應採用縱深防禦 (Defense in Depth) 策略,在不同層級部署多重安全機制。
惡意程式 (Malware)#
惡意程式泛指任何意圖對系統造成損害、竊取資訊或未經授權控制裝置的軟體。
| 類型 | 傳播方式 | 特徵 | 主要危害 |
|---|---|---|---|
| 病毒 (Virus) | 附著於正常檔案,需人為觸發 | 具自我複製能力,寄生於宿主程式 | 破壞檔案、癱瘓系統 |
| 蠕蟲 (Worm) | 透過網路自動傳播,無需宿主 | 獨立執行,大量複製佔用資源 | 消耗頻寬、癱瘓網路 |
| 木馬 (Trojan) | 偽裝為正常程式誘騙安裝 | 不自我複製,但開啟後門 | 竊取資料、遠端控制 |
| 勒索軟體 (Ransomware) | 郵件附件、惡意連結、漏洞利用 | 加密受害者檔案並要求贖金 | 資料加密勒索、營運中斷 |
| 間諜軟體 (Spyware) | 捆綁安裝、惡意網站 | 隱匿運行,監控使用者行為 | 竊取個資、鍵盤側錄 |
| 廣告軟體 (Adware) | 捆綁安裝、免費軟體 | 強制顯示廣告,收集瀏覽習慣 | 干擾使用、隱私洩漏 |
| Rootkit | 利用漏洞或搭配其他惡意程式 | 隱藏自身與其他惡意程式的存在 | 持續控制系統、規避偵測 |
| 殭屍程式 (Bot) | 漏洞利用、惡意下載 | 受控於遠端指揮伺服器 (C&C) | 組成殭屍網路 (Botnet) 發動 DDoS |
勒索軟體攻擊近年急速增長。除了防毒軟體外,離線備份與備份驗證是降低損害的關鍵手段。即使支付贖金,也不保證能還原資料。
防火牆與 DMZ#
防火牆 (Firewall)#
防火牆是部署於網路邊界的安全裝置或軟體,依據預設的規則 (Rule/Policy) 控制進出的網路流量。
防火牆分類#
| 類型 | 運作層級 | 原理 | 優缺點 |
|---|---|---|---|
| 封包過濾 (Packet Filtering) | 網路層 / 傳輸層 | 依據 IP 位址、Port、協定等標頭資訊決定放行或阻擋 | 速度快,但無法檢查應用層內容 |
| 狀態檢測 (Stateful Inspection) | 網路層 ~ 傳輸層 | 追蹤連線狀態,僅允許屬於已建立連線的封包通過 | 比封包過濾更安全,可防偽造封包 |
| 應用層閘道 (Application Gateway / Proxy) | 應用層 | 代理所有應用層通訊,逐一檢查內容 | 安全性最高,但效能負擔大 |
| 電路層閘道 (Circuit-level Gateway) | 會談層 | 驗證連線建立程序(如 TCP 三方交握)是否合法 | 不檢查封包內容,適合特定場景 |
DMZ (Demilitarized Zone,非軍事區)#
DMZ 是介於外部網路(Internet)與內部網路之間的隔離區域,用於放置需對外提供服務的伺服器(如 Web Server、Mail Server、DNS Server)。
graph LR
Internet["Internet<br/>外部網路"]
FW1["外部防火牆"]
DMZ["DMZ<br/>(Web / Mail / DNS Server)"]
FW2["內部防火牆"]
LAN["內部網路<br/>(員工電腦、資料庫)"]
Internet --- FW1
FW1 --- DMZ
DMZ --- FW2
FW2 --- LANDMZ 的存取原則:
- 外部網路可存取 DMZ 中的公開服務。
- 外部網路不得直接存取內部網路。
- 內部網路可存取 DMZ 與外部網路。
- DMZ 中的伺服器若被入侵,攻擊者仍被內部防火牆阻隔,無法直達內部網路。
DMZ 的核心價值在於隔離風險。即便 DMZ 伺服器淪陷,內部網路仍有第二道防火牆保護。實務上常以雙防火牆架構或單防火牆三介面架構實現。
病毒防護#
防毒軟體的運作原理#
| 偵測方式 | 說明 |
|---|---|
| 特徵碼比對(Signature-based Detection) | 將檔案與已知惡意程式特徵碼資料庫比對,發現匹配即判定為惡意 |
| 啟發式分析(Heuristic Analysis) | 分析程式行為模式,偵測未知或變種惡意程式 |
| 沙箱分析(Sandbox) | 在隔離環境中執行可疑檔案,觀察其行為後再判定 |
病毒防護策略#
| 策略 | 說明 |
|---|---|
| 即時更新病毒碼 | 特徵碼資料庫必須保持最新,否則無法偵測新威脅 |
| 多層部署 | 在閘道端(Gateway)、郵件伺服器、端點(Endpoint)分別部署防護 |
| 使用者教育 | 不開啟可疑附件、不點擊不明連結、不安裝來路不明的軟體 |
| 定期掃描 | 排程全系統掃描,搭配即時監控 |
傳統特徵碼比對對零日攻擊 (Zero-day Attack) 效果有限。現代端點防護 (EDR, Endpoint Detection and Response) 結合行為分析與機器學習,可更有效偵測未知威脅。
內容過濾 (Content Filtering)#
內容過濾透過檢查網路流量的內容(而非僅標頭資訊),阻擋不當或有害的資訊。
常見過濾類型#
| 類型 | 說明 |
|---|---|
| URL 過濾 | 依據網站分類資料庫,封鎖特定類別網站(如賭博、色情、惡意網站) |
| 郵件過濾 | 掃描郵件內容與附件,攔截垃圾郵件(Spam)與含惡意程式的信件 |
| 應用程式過濾 | 識別並控制特定應用程式的流量(如即時通訊、P2P 下載) |
| 資料外洩防護(DLP) | 偵測並阻止敏感資料(如個資、機密文件)透過網路外流 |
內容過濾不僅是資安措施,也是企業管理工具。透過 URL 過濾與應用程式控管,可提升員工生產力並降低法律風險。
IDS / IPS#
定義#
- IDS (Intrusion Detection System,入侵偵測系統):監控網路或系統活動,偵測可疑行為或攻擊並發出警報。
- IPS (Intrusion Prevention System,入侵防禦系統):在 IDS 的基礎上增加主動阻斷能力,可即時封鎖攻擊流量。
IDS vs IPS 比較#
| 比較項目 | IDS | IPS |
|---|---|---|
| 部署方式 | 旁聽模式 (Mirror/Span),不在流量路徑上 | 串接模式 (Inline),位於流量路徑上 |
| 偵測後動作 | 發出警報、記錄日誌 | 即時阻斷攻擊流量 |
| 對網路效能影響 | 低(不處理即時流量) | 較高(需即時分析每個封包) |
| 誤判影響 | 僅產生誤報,不影響正常流量 | 誤判可能阻斷合法流量 |
| 適用場景 | 監控分析、事後鑑識 | 即時防禦、自動回應 |
偵測方法#
| 方法 | 原理 | 優缺點 |
|---|---|---|
| 特徵式偵測(Signature-based) | 比對已知攻擊特徵 | 精確,但無法偵測未知攻擊 |
| 異常式偵測(Anomaly-based) | 建立正常行為基線,偏離即視為可疑 | 可偵測未知攻擊,但誤報率較高 |
部署類型#
- NIDS/NIPS (Network-based):監控網路流量,通常部署於網路邊界或關鍵節點。
- HIDS/HIPS (Host-based):安裝於個別主機,監控系統日誌、檔案變更與程序行為。
IPS 的誤判 (False Positive) 會直接阻斷正常流量,導致服務中斷。部署初期應以偵測模式運行,待規則調校穩定後再切換為阻斷模式。
UTM 及新世代防火牆#
UTM (Unified Threat Management,統一威脅管理)#
UTM 將多種安全功能整合於單一設備中,包含防火牆、IDS/IPS、防毒、內容過濾、VPN 等,適合中小型企業以較低成本取得全面防護。
NGFW (Next-Generation Firewall,新世代防火牆)#
NGFW 在傳統防火牆的基礎上加入應用層識別、使用者身分整合與進階威脅防護,強調深度封包檢測 (DPI) 與應用程式感知能力。
UTM vs NGFW 比較#
| 比較項目 | UTM | NGFW |
|---|---|---|
| 設計理念 | 多功能合一,單一設備涵蓋所有安全功能 | 以防火牆為核心,深化應用層檢測能力 |
| 效能 | 啟用多功能時效能下降明顯 | 架構針對高效能設計,啟用多功能時效能較佳 |
| 應用程式識別 | 基本 | 進階,可辨識特定應用程式(如區分 Facebook 聊天與 Facebook 影片) |
| 使用者身分整合 | 有限 | 可與 AD/LDAP 整合,依使用者身分制定策略 |
| 適用規模 | 中小型企業 | 中大型企業與資料中心 |
| 管理複雜度 | 較低,集中管理介面 | 較高,但策略制定更精細 |
UTM 與 NGFW 的界線日趨模糊。許多 NGFW 產品已具備 UTM 的功能集,而 UTM 也逐漸強化應用層感知能力。選擇時應依據組織規模、效能需求與管理能力評估。
社交工程 (Social Engineering)#
社交工程是利用人性弱點(信任、恐懼、好奇、急迫感)而非技術漏洞來取得機密資訊或系統存取權限的攻擊方式。
常見手法#
| 手法 | 說明 | 典型情境 |
|---|---|---|
| 釣魚郵件 (Phishing) | 偽裝為合法寄件者,誘導點擊惡意連結或輸入帳密 | 假冒銀行通知、IT 部門要求更新密碼 |
| 魚叉式釣魚 (Spear Phishing) | 針對特定對象量身打造的釣魚攻擊 | 偽裝為主管寄信給特定員工 |
| 語音釣魚 (Vishing) | 透過電話假冒身分騙取資訊 | 假冒客服要求提供帳號資料 |
| 簡訊釣魚 (Smishing) | 透過簡訊誘導點擊惡意連結 | 假冒物流通知、中獎訊息 |
| 假冒身分 (Pretexting) | 編造情境取得信任後騙取資訊 | 假冒 IT 維修人員進入機房 |
| 尾隨進入 (Tailgating) | 跟隨授權人員通過門禁 | 假裝同事一起進入管制區域 |
| 誘餌攻擊 (Baiting) | 放置含惡意程式的 USB 等裝置 | 在停車場放置標有「薪資明細」的隨身碟 |
防範對策#
| 對策 | 說明 |
|---|---|
| 資安意識訓練 | 定期進行社交工程模擬演練與教育 |
| 驗證流程 | 對任何敏感操作要求建立獨立驗證管道(如電話回撥確認) |
| 實體安全 | 門禁管控、訪客登記、禁止使用不明 USB 裝置 |
| 郵件安全 | 部署 SPF、DKIM、DMARC 驗證機制,降低偽造郵件風險 |
社交工程攻擊的成功率往往高於技術攻擊。再強固的技術防線,只要一位員工點擊了釣魚連結,整條防禦鏈即可能被突破。人是資安最脆弱的環節。
標靶型攻擊 (Targeted Attack / APT)#
標靶型攻擊(又稱進階持續性威脅,APT, Advanced Persistent Threat)是針對特定組織、長期潛伏、多階段進行的高度精密攻擊。與一般無差別攻擊不同,APT 具有明確目標、充足資源與高度耐心。
攻擊鏈 (Cyber Kill Chain)#
graph TD
R["1. 偵察<br/>Reconnaissance"]
W["2. 武器化<br/>Weaponization"]
D["3. 遞送<br/>Delivery"]
E["4. 利用<br/>Exploitation"]
I["5. 安裝<br/>Installation"]
C2["6. 命令與控制<br/>Command & Control"]
A["7. 目標行動<br/>Actions on Objectives"]
R --> W --> D --> E --> I --> C2 --> A
R -.- R1["蒐集目標組織資訊、員工名單、技術架構"]
W -.- W1["製作惡意程式、植入漏洞利用碼"]
D -.- D1["透過釣魚郵件、惡意網站、USB 遞送武器"]
E -.- E1["觸發漏洞、執行惡意程式碼"]
I -.- I1["安裝後門程式、建立持久化機制"]
C2 -.- C21["與攻擊者的 C&C 伺服器建立加密通道"]
A -.- A1["竊取資料、破壞系統、橫向移動"]APT 的特徵#
| 特徵 | 說明 |
|---|---|
| 目標明確 | 鎖定特定組織或產業(政府、金融、高科技) |
| 長期潛伏 | 入侵後可能數月甚至數年不被發現 |
| 多階段攻擊 | 結合社交工程、零日漏洞、客製化惡意程式等多種手法 |
| 橫向移動(Lateral Movement) | 入侵單一端點後,在內部網路中擴展控制範圍 |
防禦策略#
| 策略 | 說明 |
|---|---|
| 端點偵測與回應(EDR) | 監控端點行為,偵測異常活動 |
| 網路流量分析(NTA) | 分析內部網路流量,識別橫向移動與 C&C 通訊 |
| 零信任架構(Zero Trust) | 不信任任何內部或外部的存取請求,每次存取皆需驗證 |
| 威脅情報(Threat Intelligence) | 整合外部威脅情報,提前掌握攻擊者的手法與指標(IoC) |
| 事件回應計畫(Incident Response Plan) | 建立標準化的事件處理流程,縮短偵測與回應時間 |
APT 的防禦不能僅依賴單一產品。需要建立涵蓋預防、偵測、回應與復原的完整資安框架,並持續進行紅藍隊演練以驗證防禦有效性。
個人反思與延伸:從被動防禦到主動治理
- 網路安全的本質並非追求「零風險」,而是風險管理。應先識別組織的關鍵資產與最大威脅,再依風險等級配置有限的資安資源。
- 技術工具(防火牆、IDS/IPS、UTM)是基礎,但制度面(資安政策、存取控制流程、事件通報機制)與人的因素(資安意識、社交工程防範)同等重要。
- 現代資安趨勢:
- 零信任 (Zero Trust):「永不信任,始終驗證」取代傳統的邊界防禦思維。
- SIEM (Security Information and Event Management):集中收集與關聯分析各設備日誌,提升威脅可見性。
- SOC (Security Operations Center):專責的資安監控中心,7x24 監控與回應。
- 下一步:將本章的安全概念與前幾章的網路架構結合,例如在 DMZ 設計中套用防火牆規則、在 TCP/IP 通訊中理解 TLS 的運作位置,以建立完整的安全網路架構視角。