在整个信息安全机制里面,我们可以粗略的分为两个部分:认证机制与系统安全,前者偏向于算法的数据加密与解密机制(Encryption/ Decryption )与身分验证(Authentication),透过CA认证中心,来作统一标准的认证单位,使采用同一算法的使用单位,透过其唯一的识别证,藉以保护数据的隐密性,使未经授权的用户,不能掌握数据内容,并确保在信息化作业中用户身份的不可否认性,在应用上包含网络传输的SSL及VPN加密信道机制、应用的PKI、PGP等,是较为国人所熟知的安全机制。
系统安全机制则是偏向实际运作的信息系统本身的安全防护,就是一般信息人员经常会触及的网络、操作系统、应用系统及数据库这四个部分的安全防护机制,包含网络规划上使用的Router、Switch、防火墙,乃至于操作系统、应用程序、数据库等的设计瑕疵或系统管理者的细部调整不足等,所暴露出来的安全弱点。
由于信息系统的发展,一直以功能与应用面为焦点,所以,信息系统所承担的安全风险,反而相对被忽略,这也是大家致力于数据加密机制的同时,黑客入侵事件却讽刺的接连发生的主因,而信息安全的防治,除了透过安全弱点扫描软件(Security Scanner,如ISS Internet Scanner)做好事前预防性措施外,当属入侵实时侦测系统(Intrusion Detections,IDS)最能提供第一时间的紧急应变机制。
...
...
另一名雇主 |
限られたニュース |
文章閱讀限制 |
出版品優惠 |
一般使用者 |
10/ごとに 30 日間 |
0/ごとに 30 日間 |
付费下载 |
VIP会员 |
无限制 |
25/ごとに 30 日間 |
付费下载 |