CIA

所謂資訊安全,是一種防止與偵測未經授權而使用、竊取、破壞您的資訊系統的一種過程與程序[1],意為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀[2]。我國資通安全管理法第3條第3款定義「資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。」此定義中包含二組核心觀念,分別是CIA(Confidentiality, Integrity, Availability)及AAA。而CIA即為學者早在2003年即於《電磁紀錄無權取得行為之刑法規範》乙文認為「刑法應跳原有之法益框架,而以電磁紀錄、電腦系統等之私密性、完整性與可使用性為新的法益。[3]」,因此,過往認為「電腦或資料不是電腦詐欺罪所要保護的法益[4]」容有修正的必要。

早在1991年,國際電信聯盟(International Telecommunication Union)下設國際電報電話諮詢委員會(International Telegraph and Telephone Consultative Committee)制訂的X.800建議書中,已經定義了驗證性、存取控制、資料保密性、資料完整性與不容否認性(authentication, access control, data confidentiality, data integrity, and non-repudiation)等五大類資訊安全服務。[5]但依NIST的定義,作為資訊安全保護的核心元素係機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),稱為CIA triad[6]

圖 五‑14 CIA tria

資料來源:Jennifer Cawthra,Michael Ekstrom,Lauren Lusty,Julian Sexton,John Sweetnam,Anne Townsend,Data Integrity:Identifying and Protecting Assets Against Ransomware and Other Destructive Events,Volume A:Executive Summary,NIST,2020年12月,頁1。

機密性(Confidentiality):指訊息不為其他不應獲得者獲得,保障訊息在對的人、對的時間、對的裝置和對的地點上被存取,用以維護用戶資訊的保密性,亦即免於受到未授權人探知獲悉。亦即牽涉到的是設備與資料開放給各人員或程序存取使用的程度,用於確保只有具備存取權限的人,才能存取相應的資源。

完整性(Integrity):指在傳輸、儲存資訊或資料的過程中,資訊或資料不被未授權的篡改,亦即免於受到無權竄改。換言之,在未經適當授權的情況下,設備與資料都不會被隨意改動。舉例來說,一般資料庫伺服器裡的各個項目,就不可能隨意被改動。

可用性(Availability):簡單的說,可用性就是讓一個系統處隨時可工作狀態,資訊服務不因任何因素而中斷/停止,亦即權利人得隨時予以運用,免於受到不正之阻礙。換言之,為了讓工作順利進行,確保在需要的時候,一定要能夠可以順利存取所需的設備或資料。

簡言之,CIA各要素的核心概念及資安潛在威脅與漏洞判別如下圖所示[7]

圖 五‑15 CIA資安潛在威脅與漏洞

資料來源:郭儀蕙,萬物皆可駭 風險管理更勝防禦威脅,外貿協會,經貿透視雙周刊,2022年7月,第597期,頁75。

而AAA各要素的核心概念及資安潛在威脅與漏洞判別如下圖所示:

圖 五‑16 AAA資安潛在威脅與漏洞

資料來源:郭儀蕙,萬物皆可駭 風險管理更勝防禦威脅,外貿協會,經貿透視雙周刊,2022年7月,第597期,頁75。

常見於資訊安全領域中關於的虛偽資料或不正指令的安全性攻擊,對應的CIA的侵害如下圖[8]

圖 五‑17 CIA的攻擊態樣

資料來源:ITL Education Solutions Limited,Cryptography Network Security Express Learning,PEARSON INDIA,2012年1月,1st edition,頁7,Figure 1.4 Categorization fo Attacks in Relation to Security Goals。

為了達成CIA,會採取AAA的防護機制:

圖 五‑18 CIA的AAA防護機制/資料來源:本文繪製

其中Authentication用來驗證使用者合不合法,惡意用戶假裝一般使用者即屬對認證的攻擊,Authorization規定使用者能做甚麼事情,惡意的使用操作即屬對授權的攻擊,Accounting 則紀錄這個使用者做了甚麼事情[9]

圖 五‑19 AAA的作用/資料來源:網頁:O’Reilly網站,https://www.oreilly.com/library/view/microsoft-windows-security/9781118114575/c05-anchor-1.xhtml(最後瀏覽日:111年11月16日)。

為了確保系統資訊安全(information security, InfoSec),業界通常以OWASP(The Open Web Application Security Project)的OWASP Top 10為規範標準,根據OWASP的調查,失效的身分認證(Broken Authentication)成為資訊安全的風險在2017年是Top 2,而2021年則為Top 7。Authentication所在的存取控制是系統安全管理的主要工作,包括帳號管理、活動追蹤與權限管理,近年來存取控制失效成為資安的風險,已由2017年的TOP 5,至2021年已提升為Top 1[10]

圖 五‑20 OWASP資安風險的變化/資料來源:網頁:OWASP中文官網,https://owasp.org/Top10/zh_TW/(最後瀏覽日:111年5月26日)。

存取控制之前需要先作認證,以辨識使用者身分,此為帳號管理。透過帳號管理,可以稽核(audit)與追蹤使用者的行為,同時確認身分之後再給予存取控制權限,以保護系統資源不被非授權人員使用。即使通過身分認證,由於並非每個帳號都具備所有存取權限[11],基於「最小權限原則(principle of least privilege; POLP)」,開放給用戶帳號的權限,宜發給足以完成該項所需即可,不必給予多餘的權限。使用者帳戶因權限不同,為避免擁有不同權限的個人進行非授權工作,管理層面的安全機制有其必要性。系統安全管理中建立辨識(identification)、認證(authentication)、授權(authorization)及和活動追蹤,此為加諸於使用者帳號之「行為責任」或「可究責性(accountability,aka accounting)。」[12]存取控制各要素間形成下面的關係:

圖 五‑21 身分與認證

資料來源:https://ars.els-cdn.com/content/image/3-s2.0-B9780128024379000023-f02-04-9780128024379.jpg。https://ars.els-cdn.com/content/image/3-s2.0-B9780128024379000023-f02-05-9780128024379.jpg。https://www.f5.com/content/dam/f5-labs-v2/article/articles/edu/20220208_access_control/Identity_AAA_v2.png

最後,總結如下:一、CIA與AAA二者關係如下[13]

圖 五‑22 CIA與AAA的關係/資料來源:網頁:IERG4210 Web Programming and Security (Spring 2021)網站,https://staff.ie.cuhk.edu.hk/~smchow/4210/lec1.html(最後瀏覽日:111年11月16日)。

關於資訊安全有一點需要特別說明的是,資安政策是屬於成本與利益衝突與妥協的產物,公司的資安存取控制政策不可能同時完美滿足可用必須在可用性、完整性、機密性中取得平衡性、完整性、機密性[14],因此,不能推論出「如果銀行非常在乎是否時持卡人本人或經合法授權,就必須採取更嚴格驗證程序……從此可以推論的是銀行只在乎是否止兩項資料是否正確,因此,只要輸入之這兩項資料正確,並不構成「輸入虛偽資料[15]」,因為如何等級的機密性是權衡後的結果,不能因為某種措施不能完全降低風險就推論出組織「不在乎」。

圖 五‑23 CIA的權衡/資料來源:陳彥宏,身分識別與存取控制,ACW資安網路學院,https://www.acwacademy.org.tw/course/identity-and-access-control/,頁7。

[1]  行政院農業委員會農業金融局網站,https://www.boaf.gov.tw/site/boaf/public/Attachment/532510155671.pptx(最後瀏覽日:111年5月2日)。

[2]  維基百科網頁,https://zh.wikipedia.org/zh-tw/信息安全(最後瀏覽日:111年5月2日)。

[3] 蔡蕙芳,電磁紀錄無權取得行為之刑法規範,國立中正大學法學集刊,2003年10月,第13期,頁97-196。

[4] 蔡蕙芳,電腦詐欺行為之刑法規範,東海大學法學研究,2003年6月,第18期,頁23-98。

[5]  P. J. Denning,Fault tolerant operating systems, ACM Computing Surveys, 8(4),1976年12月,頁359–389。

[6]  Jennifer Cawthra,Michael Ekstrom,Lauren Lusty,Julian Sexton,John Sweetnam,Anne Townsend,Data Integrity:Identifying and Protecting Assets Against Ransomware and Other Destructive Events,Volume A:Executive Summary,NIST,2020年12月,頁1。藍子軒(譯),Sam Grubb(著),網路時代人人要學的資安基礎必修課,碁峰資訊股份有限公司,2022年2月,初版,頁2。學者徐育安於《資訊風險與刑事立法》乙文第117頁分別使用:資訊的保密性、資訊的完整性及資訊的可用性。

[7] 郭儀蕙,萬物皆可駭 風險管理更勝防禦威脅,外貿協會,經貿透視雙周刊,2022年7月,第597期,頁75。

[8] ITL Education Solutions Limited,Cryptography Network Security Express Learning,PEARSON INDIA,2012年1月,1st edition,頁7。

[9]  O’Reilly網站,https://www.oreilly.com/library/view/microsoft-windows-security/9781118114575/c05-anchor-1.xhtml(最後瀏覽日:111年11月16日)。具體落實這樣的機制者,例如,金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法第10條第1項:非公務機關提供電子商務服務系統,應採取下列資訊安全措施:一、使用者身分確認及保護機制。二、個人資料顯示之隱碼機制。三、網際網路傳輸之安全加密機制。四、應用系統於開發、上線、維護等各階段軟體驗證與確認程序。五、個人資料檔案及資料庫之存取控制與保護監控措施。六、防止外部網路入侵對策。七、非法或異常使用行為之監控與因應機制。第14條第1項:非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措施,應記錄其個人資料使用情況,留存軌跡資料或相關證據。

[10]  OWASP中文官網,https://owasp.org/Top10/zh_TW/(最後瀏覽日:111年5月26日)。

[11] 學者Gollmann針對電腦安全的操作型定義:電腦安全在處理電腦系統的使用者之非授權行為的預防與發現。定義中就特別強調「授權行為」。原文:Computer security deals with the prevention and detection of unauthorized actions by users of a computer system.。頁39。

[12] 林祝興、張明信,資訊安全概論,旗標科技股份有限公司,2021年4月,第四版,頁9-2~9-15。

[13] IERG4210 Web Programming and Security (Spring 2021)網站,https://staff.ie.cuhk.edu.hk/~smchow/4210/lec1.html(最後瀏覽日:111年11月16日)。

[14] 陳彥宏,身分識別與存取控制,ACW資安網路學院,https://www.acwacademy.org.tw/course/identity-and-access-control/,頁7。

[15] 蔡蕙芳,電腦詐欺行為之刑法規範,東海大學法學研究,2003年6月,第18期,頁23-98。頁76。