成為資訊安全神隊友
在數位時代,網路安全威脅不斷演變,成為團隊中的資安守護者至關重要。本次研習將深入探討資安關鍵知能、全球十大網路安全威脅,並剖析人工智慧在資安領域的最新發展。我們將以簡單易懂的方式介紹個人資安防護基本技巧,並以木桶理論提升學校團隊的資安意識。最後,更透過實作與案例討論,加強學員面對網路威脅的應對能力。一起成為資訊安全神隊友,保護自己與團隊的數位資產!
https://is1.go38.net
何謂資訊安全?

Mentimeter

Voting

Vote on a Mentimeter question

資安神話 Information Security Myths
常見迴避說詞 Common Excuses:
  • "不關我的事" - 這不是我的責任
  • "不要問我" - 我不想要參與
  • "我不知道" - 我對資安一無所知
常見迷思 Common Misconceptions:
  • 一般員工誤認資訊安全只是資訊部門的責任,忽略每個人都應該參與
  • 高階主管往往認為資安投資報酬率低,看不到立即效益
關鍵建議 Key Recommendations:
  • 長期未發生資安事件容易導致警覺性下降,應持續保持警惕
  • 適度的資安演練和可控的資安事件,有助於提升組織資安意識
  • 資安長應以務實態度執行任務,避免過度張揚或低估風險
動態平衡 Security vs Convenience
安全與便利的三大考量面向
  • 時間:系統反應時間與安全檢查的平衡
  • 空間:資料儲存安全性與存取便利性的取捨
  • 規模:安全控制程度與組織營運彈性的權衡
資訊安全不是追求絕對的防護,而是在便利性與安全性之間尋找最適切的平衡點。這個平衡點會隨著威脅環境、組織需求和技術發展而不斷調整。
避免倖存者謬論的陷阱
我們不能只看到「沒事」的案例就輕忽資安,應該要:
  • 深入研究資安事件案例,從失敗中學習
  • 理解攻擊手法的演進,預先做好防護
  • 持續關注新興威脅,適時調整防禦策略
資訊安全是一個持續的過程,需要在風險控制(Risk)、系統效能(Performance)與成本投入(Cost)三者之間取得動態平衡。生活中的每個環節都與資安息息相關,需要以務實的態度持續調整與改善。
Achilles' heel 阿基里斯腱
資訊安全就像希臘神話中的英雄阿基里斯 - 即使整體防禦再強大,一個弱點就足以致命。
Security is like a chain - 資安就像一條鐵鍊,整體強度取決於最弱的一環。攻擊者只需要找到並突破最脆弱的部分,就能使整個防禦體系崩潰。
資安攻防具有本質上的不對等性:
  • 防守方需要面面俱到,保護所有可能的弱點
  • 攻擊方只需要找到並利用其中一個漏洞
  • 防守方必須永遠保持警惕,攻擊方可以選擇最佳時機
因此,完善的資安防禦必須採取全方位的防護策略,不能有任何疏忽。
木桶理論
木桶理論(又稱短板理論)說明了系統安全性取決於最弱的環節,就像木桶盛水的容量取決於最短的木板。在資安防禦中,這個概念特別重要:
短板效應
任何系統中的薄弱環節都可能成為安全漏洞。就像一個團隊中的弱點會影響整體表現,資安防護也不能有明顯短板。
基礎建設重要性
木桶的底板代表資安的基礎建設,必須格外堅固。確保基層人員具備資安意識和培訓,是建立穩固資安防線的關鍵。
系統整合
木桶的縫隙象徵系統整合的挑戰。過多供應商或解決方案可能造成安全漏洞,應謹慎評估並確保各個組件之間的緊密配合。
因此,建立完善的資安防護必須全面性思考,確保每個環節都經過縝密規劃與執行,不留防護缺口。
另外,「木桶理論」啟發我們去思考企業與團體之間的問題,例如團隊精神建立的重要性,如何去補強最薄弱的那部分,並且持續維持或增強原有的優勢。
Management 60% + Technology 40% = Total Security
資訊安全 = 管理 60% + 技術 40%
資訊安全不僅是技術問題,更是管理課題。良好的管理機制與政策佔整體資安成效的60%,而技術實作則佔40%。沒有完善的管理,再先進的技術都可能形同虛設。
Information security is not just about technology, but primarily about management. While technical implementation accounts for 40% of security effectiveness, proper management policies and procedures contribute 60%.
技術層面 Technical Components:
  • 網路安全 Network Security - 防火牆、入侵偵測、加密通訊
  • 系統安全 System Security - 作業系統強化、存取控制、更新管理
  • 應用程式安全 Application Security - 程式碼檢測、漏洞修補、安全開發
資安是持續性的管理流程,而不是一次性的產品採購
縱深防禦 Defence in depth
縱深防禦是一種多層次的安全防護策略,就像城堡的多重防禦工事,通過部署多重安全控制措施來保護資訊資產。
攻防思維
採用主動積極的攻防思維,建立全方位的防護機制。(Adopt a proactive security mindset to establish comprehensive protection mechanisms.)
  1. 一定會發生資安事件
    以「事件必然發生」的思維來規劃防禦 資安事件不再是「如果」而是「何時」發生的問題 除了預防之外,更要著重在事件的及早偵測與快速應變能力 (Plan defenses assuming incidents will occur - focus on detection and rapid response, not just prevention)
  1. 假設會被入侵
    採取「假設突破」的防護策略 即使外部防線被攻破,也要確保核心資產的安全 透過加密等密碼技術作為最後一道防線,保護關鍵資料 (Assume breach strategy - ensure core asset security through encryption even if perimeter is compromised)
資訊安全的目標 (C.I.A.)
Confidentiality 保密性
確保資訊只能被授權的人存取
Integrity 完整性
確保資料未被未經授權的修改
Availability 可用性
確保系統服務持續可用
安全實務 Security Best Practice
Need-to-know 知需原則
只提供執行工作所需的資訊
Least privilege 最小權限
僅給予必要的最小權限
Separation of duties 職責分離
關鍵任務需多人執行
Job rotation 工作輪調
定期調動工作職務
Mandatory vacation 強制休假
規定必須休假的時間
風險管理 Risk Management
風險管理是指識別,評估和降低潛在風險的過程。這包括確定對組織目標和業務運作有損害的可能風險,並採取相應的控制措施來減少這些風險的影響。通過實施有效的風險管理措施,組織可以更好地保護其資產,維護業務連續性並確保資訊安全。
風險處理 Risk Treatment
規避 Avoidance
完全避開風險,例如停止危險活動或不實施有風險的專案。Through complete elimination of the risk by ceasing risky activities or not implementing vulnerable projects.
移轉 Transfer
將風險轉移給其他單位承擔,如購買保險或委外服務。Shifting the risk to another party through insurance policies or outsourcing arrangements.
降低 Mitigation
採取控制措施來減輕風險的衝擊或發生機率,如建立防火牆或備份機制。Implementing controls to reduce either the likelihood or impact of the risk, such as installing firewalls or creating backup systems.
接受 Acceptance
在評估後選擇承擔風險,通常用於處理低影響度的風險或控制成本過高的情況。Choosing to accept the risk after assessment, typically for low-impact risks or when control costs exceed potential losses.
談談帳號驗證
密碼驗證
強密碼設定與安全性檢查
生物辨識
指紋與臉部辨識等生物特徵驗證
郵件驗證
透過電子郵件確認身份
雙重認證
透過多重驗證方式確保帳號安全
I.A.A.A.
識別 Idenfication
驗證 Authentication
授權 Authorization
問責 Accountability
驗證方法 Authentication Methods
多因子驗證
雙因子驗證
資料的生命週期
Information Lifecycle Management
1
建立/蒐集
資料透過各種管道被創建或收集,包括使用者輸入、系統生成或外部匯入等方式。
2
儲存/管理
將資料以適當的格式和安全措施進行存儲,確保資料的完整性和可用性。
3
使用/分享
資料被授權使用者存取、處理和分享,同時確保符合隱私權和安全政策。
4
封存/銷毀
依據保存政策將不常用資料進行封存,或是在資料已無價值時安全地進行銷毀。
每個階段都需要適當的安全控制措施,以確保資料在整個生命週期中都受到保護。良好的資料生命週期管理不僅可以提高組織效率,還能確保法規遵循並降低資安風險。
密碼學的應用
在現代資訊安全中,密碼學扮演著關鍵角色,主要應用包括:
非對稱式加密
使用公鑰和私鑰的配對機制,確保資料傳輸的機密性,廣泛應用於電子郵件加密和安全通訊
雜湊 (Hash)
將任意長度的資料轉換成固定長度的數值,用於驗證資料完整性和密碼儲存
數位簽章
結合非對稱加密和雜湊技術,提供身份驗證和不可否認性,確保電子文件的真實性
VPN (虛擬私人網路)
運用加密技術建立安全通道,使遠端使用者能夠安全地存取網路資源
這些技術相互配合,共同構建了現代網路安全的重要基礎。
全球Top 10網路安全威脅
隨著科技的快速發展,網路安全威脅也不斷演變。了解當前最常見的安全威脅,是建立有效防禦機制的第一步。
1. 勒索軟體攻擊
利用惡意程式加密受害者的資料,要求支付贖金才能解密。影響企業營運並造成重大財務損失。
2. 釣魚攻擊
透過偽裝的電子郵件或網站騙取使用者敏感資訊,手法日益精密化。
3. 物聯網設備漏洞
智慧設備安全防護不足,容易成為駭客入侵的跳板。
4. 供應鏈攻擊
透過破壞軟體供應鏈,影響大量下游用戶。
5. 雲端服務威脅
雲端系統配置錯誤或存取控制不當導致資料外洩。
6. 身分盜用
竊取或冒用他人身分資料,進行詐騙或未經授權的交易。
7. 分散式阻斷服務攻擊
利用大量請求癱瘓目標系統,導致服務中斷。
8. 零日漏洞攻擊
利用未修補的系統漏洞進行攻擊,防禦難度高。
9. 內部威脅
來自組織內部人員的故意或無意的安全威脅。
10. AI相關威脅
利用人工智慧技術進行的新型態攻擊,如深偽技術詐騙。
這些威脅往往相互關聯,需要組織採取全面性的安全防護措施,並持續更新安全策略。
討論活動
請從上一頁「全球Top 10網路安全威脅」中選擇一項主題,進行深入研究與分析。
您的報告應包含:
  • 威脅項目
  • 該威脅的具體案例與影響範圍
  • 最新的攻擊手法與趨勢
  • 企業或個人可採取的防護對策
  • 未來可能的發展與挑戰
建議以3-5頁簡報形式呈現,並準備5分鐘口頭報告。
Made with