根據 ChatGPT 安排的建議,接下來要學習的是:
- 資安三要素:CIA(三要素:機密性、完整性、可用性)
- 網路基礎:HTTP/HTTPS、IP、DNS 等,了解攻擊通常針對哪個層級
接下來就開始吧!
資安三要素有「機密性(Confidentiality)」、「完整性(Integrity)」、「可用性(Availability)」,且三者需要維持平衡的狀態。
機密性(Confidentiality)
- 擁有權限的使用者才能取用資訊,保護敏感資訊不被洩漏。
- 常見攻擊
- 資料竊取(Data Breach):駭客未經授權存取企業資料庫,竊取客戶個資。
- 嗅探攻擊(Sniffing):攻擊者透過監聽網路封包攔截未加密的資料。
✅ 好的機密性管理:
- 你公司的系統有「角色權限管理」,只有 HR 能夠存取員工薪資資料,而工程師無法看到。
❌ 機密性不足的風險:
- 某員工的筆電被偷了,但沒有加密硬碟,導致裡面的公司機密文件被駭客存取。
PM 如何管理機密性?
✔ 確保團隊使用適當的權限控管(RBAC, Role-Based Access Control)。
✔ 要求敏感資訊要加密(如資料庫內的密碼應該雜湊儲存(Hashing Storage),而不是明文)。
雜湊是一種單向函數(One-way Function),可以將輸入資料轉換為固定長度的字串,但無法逆向還原原始資料。
舉例來說,假設你有一組密碼 MySecureP@ssword123,經過 SHA-256(常見的雜湊演算法)計算後,會變成:6dcd4ce23d88e2ee9568ba546c007c63e3b32b7e273b5f77c62b47f86b57d36f
這個雜湊值看起來完全不同,且無法透過演算法逆推回 MySecureP@ssword123。
---
完整性(Integrity)
- 維護資訊在傳輸或儲存過程中不被未授權的修改、刪除或偽造。
- 常見攻擊
- 中間人攻擊(MITM):攻擊者攔截並篡改傳輸的資料。
- SQL 注入(SQL Injection):惡意修改資料庫中的資料。
- 硬碟故障造成資料損失
- 人為操作錯誤或刪除
✅ 好的完整性管理:
- 公司內部的財務報表,系統會使用「數位簽章」來確保內容沒有被修改過。
❌ 完整性不足的風險:
- 駭客發動 中間人攻擊(MITM, Man-in-the-Middle),在使用者連線 Wi-Fi 時竄改資料,讓客戶轉帳時金額變成駭客的帳戶。
- SQL Injection 攻擊:攻擊者輸入惡意指令,改變資料庫內容(例如:更改用戶密碼,或在你的系統中新增一筆假交易)。
PM 如何管理完整性?
✔ 要求系統使用 HTTPS(加密通訊),避免 MITM 攻擊。
✔ 確保團隊有使用 Hashing & 數位簽章,來驗證關鍵資料的完整性。
✔ 要求開發團隊做好輸入驗證(Input Validation),避免 SQL Injection 或 XSS 攻擊。
---
可用性(Availability)
- 妥善維護資訊,以達到資料隨時是可取用的狀態,避免受到攻擊或系統故障影響。
- 常見攻擊
- DDoS 攻擊(分散式阻斷服務攻擊):透過大量流量癱瘓系統。
- 勒索軟體(Ransomware):加密企業資料並勒索贖金。
✅ 好的可用性管理:
- 你的公司有「**異地備援(Disaster Recovery, DR)」,當台北機房掛掉時,系統會自動切換到美國機房,確保服務不中斷。
- 團隊有設定 DDoS 防護機制((分散式阻斷服務攻擊,Distributed Denial of Service),如 Cloudflare, AWS WAF),防止駭客透過大量請求癱瘓系統。
❌ 可用性不足的風險:
- 你公司 沒有 DDoS 防禦,結果某天駭客發動流量攻擊,導致網站整天無法運作,造成公司重大損失。
- 你們的 系統沒有定期備份,結果工程師誤刪資料時,完全無法復原,影響業務運行。
PM 如何管理可用性?
✔ 確保團隊有備份策略(Backup & Disaster Recovery),避免數據遺失。
✔ 確保有 DDoS 防禦機制(如 WAF, CDN),避免流量攻擊影響服務。
✔ 定期做系統負載測試,確保能承受高流量狀況(如雙 11 促銷)。
總結:PM 如何運用 CIA?
