【網管學堂】資訊安全入門第一課-資安是什麼、資安工作、常見資安風險

何謂資安？
基本的資安觀念
企業中常見的資安風險
常見的資安架構
資安網管相關證照

一、何謂資安?資訊安全是什麼？

資訊安全( Information Security)，資安應用範圍極廣，從我們熟知的網路上的個人帳號密碼、各種資訊設備(Server、Router、NAS、Firewell、….等等)、上網的IP位置發送的封包、甚至包含我們個人電腦的帳號密碼、手機的密碼，通通都包含在資安的範疇之內，亦可說在我們生活範圍之內都充斥著資安曝露的風險。

二、基本的資安觀念

既然我們的隨時都有著資安曝露的風險，那我們都不是專業的資安人士，是否就束手無策了？其實在我們生活中，早已被強迫教育對基本的資安進行保護動作，您是否有發現舉凡現在您在網站上註冊會員，要求的密碼規則越來越複雜，從早期的可能強制6-8個位元、到必須包含英文、到必須有英文大小寫區分、現在則必須英文+數字且超過幾個位元，甚至更嚴格的還會要求必須包含特殊符號例如(@#$%^&…等)，這些日趨嚴格的要求全部都是為了保護您個人的資安。

或者是當我們在解鎖手機時，常常會使用到的指紋 or臉部辨識，在快速解鎖的同時，其實有有著另一層保護，因為我們所制定的密碼終究跳脫不出鍵盤的範圍，可以用暴力破解法(Brute-force attack)去破解，而指紋或臉部特徵，則是一組更精密的數據，且每個人的數據都不一樣，以達到更好的資安防護，所以我們其實都有著基礎的資安的觀念。

那既然我們大家其實都有資安觀念，那我是不是就可以去企業應徵資安人員了？答案當然是否定的，雖然我們日常生活中都會應用到資安，但那些終究只是基礎中的基礎而已，企業需要的資安人員需要的遠遠不止於此，包含內部資訊設備權限的控管、網路封包的加密、IP位置的加密、企業內部電腦的病毒防範、資訊設備在網路上的風險控管、資安辦法的制定、資安危機的通報應變…等，這些都是企業資安人員需負責的事項，且只會更多不會更少！

三、企業中常見的資安風險

以下列舉幾個企業中最常見到的資安風險

員工點開釣魚郵件

◎ 可能導致郵件密碼外洩，進而讓信箱變成跳板發送垃圾信

網站或主機未使用SSL加密連線

◎ 可能導致主機容易被攻擊，竄改或竊取資料

資料主機未確實做好權限控管

◎ 可能導致內部員工容易竊取資料資料

防火牆規則未確實設定

◎ 可能導致員工下載病毒檔案，進而感染整個內部網域

四、資訊人、資安人員與公司常見的資安架構

我們了解了一些企業中常見的資安風險之後，您可能會想問，怎麼看起來這些防範的方式都是資訊人員常常在做的事，事實上資訊人員與資安人員確實有著密不可分的關係，我們可看一下大概的架構圖

資安單位架構圖

根據金管會的規定，規模達到一定比例的公司(詳細分級請參考金管會網站公告，收錄於本文最下方)，須配置資安人員，而在架構圖中我們可以看到資訊部門與資安部門是分開的，稽核部門則根據公司狀況而定，整理來說，筆者認為資訊部門較強調在執行技術類的東西，例如上述的SSL的加密設定、防火牆的規則設定。而資安部門則較強調在制定資安的方法，例如公司的資安規範、資安事件通報的流程..等等！