在現今的企業中,已經進入所謂的資訊時代,也就是代表著企業資料、資訊、知識都在電子化,並且隨著網路與資料庫的發達,管理資訊系統的資訊安全之議題隨之產生。而資訊安全是在於保護資訊及其支援處理設備、系統及網路的機密性、完整性與可用性等三大目標,不受到各種方式的威脅,使可能發生的損害降至最低,確保企業組織的營運發展。而其中三大目標說明為:
1.機密性(Confidentiality):及資料或資訊,在時間與行為授權的情況之下,公開給授權人員、物件及過程運用。有鑑於資料庫內容大多以明文(Plaintext)型式存放,舉凡具機密性質的資料如未藉由適當的保護方法防範,將輕易被有心人士或入侵者洩露,因此,對於資料庫內凡具敏感性的資料應加以防範以免被非法得知,例如將資料加密,即使被人盜取也無法解讀;或是經由存取控制,無權限者無法取得該資料內容。
2.完整性(Integrity):即資料或資訊確保其精確性及完全性。為了維持資料的正確性,應防範被有意或無意的使用者破壞或篡改資料,以防止資料損毀繼續擴大。為確保使用者在存取資料時正確無誤,所採用的方式可利用事先存放的檢查碼進行驗證,即得知資料的正確與否。
3.可用性(Availability):即資料、資訊及資訊系統在需要用的時間裡都能使用及存取。可用性是一旦資料庫遭受攻擊造成某種程度的損毀時,應能迅速恢復正常運作的能力,例如定期的備份或資料庫復原措施。
因此,在管理資訊系統時,所需要注意下列資訊安全的問題。而資訊安全之議題可以分為:
1.硬體安全:包含硬體環境控制及人為管理控制等。也就是對於資訊系統的人為的控管,限制使用人數與權限問題。而在伺服器放置也需要嚴格與安全的管制,避免人為的破壞以及外部的突發狀況,例如:火災以及溫度與溼度的掌控,另外電力的提供也是一項問題。
2.軟體安全:包含資料安全、程式安全及通訊安全等。因此對於網路的環境之下,在資訊的交換需要透過資料傳輸的憑證中心,來做加密的動作,這可以保護資料不受他人擷取,這就是基於該系統的公開金鑰基礎建設(PKI;Public Key Infrastructure),可說是目前唯一同時符合並達到上述資訊安全原則的解決方案。而為防範電腦遭到非法侵入,應該要設置防火牆(FireWall)。還有連線設備應使用防毒及合法版權軟體,嚴禁更動原系統設定。另外設定警示訊號,隨時提醒系統管理或使用人員處理突發狀況。
3.個人安全防護:包含人身安全、個人隱私權安全、通訊(網路)安全等。以使用者的角度來說,必須做到身份識別(Authentication)、授權(Authorization)以及不可否認性(Non-repudiation),亦即當進入資料庫使用前必須先以身份識別法證明使用者本身身份,並且在使用資料庫系統時,建立合理的授權範圍,以及在所有存取作業後不能夠加以否認。其
建議解決方案:
●網路個人使用帳號,應由權責部門統籌管理設定。
●網路密碼必須定期更換,且不得洩露他人,並於人員異動及職務變更時,註銷帳號或調整其使用權限。
●下載資料或程式必須先確認無病毒感染後,再行下載。
作者簡介
豐碩講師陣容:
管理類:丘文老師 創新管理、通路稱王..各種管理的新顯學,讓丘文老師幫你一手掌握。
財金類:許堯老師 巧用各式解題手法,讓您輕鬆洞悉併購、公司治理與金融創新等各式複雜考題。
工管類:林群老師 SCM、Lean Production、6-sigma熟悉學理卻不會套用?超強心法要你一試就通。
社科類:李華老師 政經情勢、外交戰略、公行實務,精彩的案例分析,讓你馬上舉一反三。會統類:方行老師 錯綜複雜的數字與思維,方行老師的精闢立論,要你3分鐘就上手。
資管類:許隆老師 「計算機概論」、「資訊管理」各式熱門考題一次總覽。