教育中的計算機資訊系統/第3章/第9節 -- 安全

允許不在安全網路上的使用者執行通常需要在安全網路上執行的任務，例如交換資料和金錢。國防部和私營部門利用相同的網路基礎設施進行日常運營和商業實踐。由於私營部門控制著超過85%的基礎設施，因此行業和政府合作伙伴必須找到資訊安全和能力至關重要。行業正在從使用伺服器和網路計算機轉向整合系統，例如雲計算。維基百科將雲計算定義為基於網際網路的計算，其中共享資源、軟體和資訊按需提供給計算機和其他裝置，就像公共事業一樣。但是，雲計算存在安全和隱私問題，而目前的伺服器和網路計算機已經建立了安全措施來處理威脅。藉助公鑰基礎設施，我們可以擁有使用者身份、資料加密和接收者資料，以確保在IS域中正確處理資料。PKI最相關的應用之一在於數字簽名和電子郵件應用。

能夠將數字簽名附加到電子郵件和文件，確保傳送資訊或簽署文件的使用者與特定人員相關聯。這可以防止對敏感資訊的任意處理，併為使用者級別的資訊處理提供可靠的責任追究。例如，在Adobe Professional中，軟體使用者能夠向文件新增數字簽名，並允許該文件從文件生成路由到歸檔檔案，而無需硬複製製作。每個擁有簽名許可權或協調責任的人員的使用者資訊都將與文件一起記錄。此數字文件流程為協調鏈中的人員提供了法律和個人責任。許多公司正在轉向“無紙化文件流程”以減少對紙質產品的依賴。PKI使無紙化文件流程和電子郵件加密成為可能。

如果沒有數字簽名或加密流程，企業敏感資訊很容易被錯誤地路由到公司許可權範圍之外。無論是在Microsoft Outlook、Eudora、Mozilla Thunderbird還是許多其他包含數字簽名或加密功能的電子郵件軟體程式中，您的企業都必須瞭解如何利用這些流程。根據Network Computing，“數字簽名的電子郵件與不可否認性或文件認證不同，後者屬於2000年聯邦政府的電子簽名法案的範疇。電子簽名法案定義了線上交易中電子簽名的法律結構，不適用於日常電子郵件。 ”透過使用智慧卡，使用者身份和證書頒發機構包含在內，並透過使用者個人識別號碼（PIN）進行訪問。智慧卡讀卡器在PC和筆記型電腦中很普遍，並且是PKI解決方案中業務流程的關鍵專案。智慧卡也用作物理安全協議下個人身份的一部分，以訪問安全設施。在電子郵件領域，加密電子郵件訊息的接收者需要將他們的智慧卡插入他們的智慧卡讀卡器以解密訊息，從而識別接收者為同一證書頒發機構中的某個人。如果向未經授權的使用者傳送加密訊息而沒有證書頒發機構憑據，則無法讀取該訊息，因為無法使用正確的密碼。PKI結構依賴於證書頒發機構、一個或多個註冊機構、管理證書的軟體工具、用於公鑰、證書和證書管理資料的目錄、金鑰管理軟體以及建立在已頒發證書基礎上的信任模型。在本章中，我們將主要處理PKI結構中的註冊、證書和驗證機構。

註冊機構（RA）是使用者（透過證書頒發機構（CA））與頒發流程（透過驗證機構（VA）頒發的公鑰）之間的約束力。註冊機構（RA）是網路中一個機構，它驗證使用者對數字證書的請求，並指示證書頒發機構（CA）頒發該證書。RA是公鑰基礎設施（PKI）的一部分，PKI是一個網路系統，使公司和使用者能夠安全可靠地交換資訊和金錢。數字證書包含一個公鑰，用於加密和解密訊息以及數字簽名。證書頒發機構（CA）是網路中一個機構，它為訊息加密頒發和管理安全憑據和公鑰。作為公鑰基礎設施（PKI）的一部分，CA會與註冊機構（RA）核實數字證書請求者提供的資訊。如果RA驗證了請求者資訊，則CA可以頒發證書。

根據公鑰基礎設施的實現，證書包含所有者的公鑰、證書的過期日期、所有者的姓名以及有關公鑰所有者的其他資訊。驗證機構允許應用程式即時驗證數字證書的狀態，確保吊銷的憑據不能用於安全電子郵件、智慧卡登入、Web訪問、無線、VPN或其他電子交易。許多支援私營和政府部門的私營部門供應商包括Entrust、Tumbleweed和Verisign。在教育環境中，資訊系統能夠利用這些安全措施來保護個人學業成績、增強物理安全並維護校園內學生的個人責任。資訊系統還將支援企業單點登入計劃，將財務、學術、內部和外部電子郵件通訊以及線上程式繫結到一個登入流程中。支援PKI基礎設施的流程之一是載入程式，這些程式堆疊簡單的程式或增加演算法複雜性以增強安全性。以下是如何在IS安全環境中實施載入程式的概述。

引導是指一個簡單的系統啟動一個用於相同目的的更復雜系統的過程。“引導最初配置裝置，以便它可以由特權代理持續配置。持續配置是透過根據需要更新或更改配置設定和應用程式來持續配置移動裝置。裝置必須引導才能使用選擇的XML交付機制。引導由OEM執行，或使用OMA客戶端配置執行。有關如何為各種交付機制引導的資訊，請參閱引導裝置。預設情況下，移動裝置上的無線（OTA）引導處於停用狀態。裝置最初將不會接受透過無線應用協議（WAP）透過OTA傳送的配置訊息。"

引導移動裝置通常涉及使用以下資訊配置裝置：• 可信配置伺服器（TPS）• 特權推送代理閘道器• WAP連線• 通用分組無線業務（GPRS）/1x即時工具包（RTT）連線• 對預設安全模型的更改

引導還可以包括配置其他設定，例如瀏覽器收藏夾、電話應用程式程式設計介面（TAPI）、區域設定、時鐘和登錄檔。

隨著我們社會中移動裝置的激增，擁有此功能的學生和家長可以瞭解課程進度，並且教師可以隨時讓學生了解影響課程作業的任何更改或相關材料。引導是一種安全配置形式，但也有一些已知的安全措施可以使資訊免受未經授權的影響而保持私密和安全。

生物識別有多種形式，例如指紋、視網膜或虹膜光學識別。生物識別識別對每個人都是獨一無二的，有助於確保只有該使用者在使用這些憑據時才被授權訪問。透過生物識別形式訪問資訊系統通常與儲存在智慧卡或令牌中的PIN相結合。相同級別的安全性也可用於訪問設施或儲存資訊的設施的敏感區域。在學生資訊和管理系統中，必須採取安全措施來阻止更改系統內學業成績的企圖。確保對敏感區域和資訊的授權訪問支援學術機構的信譽。學術機構內的管理流程具有一定的官方職能，需要簽名才能完成文件。數字簽名允許對具有此責任的官員進行身份驗證。支援此流程的軟體包括Adobe Professional、Silanis Technology、E-Lock和其他行業標準。當註冊處辦公室簽署學位申請時，可以使用數字簽名，該簽名將為簽名塊分配唯一的識別符號，甚至分配註冊處簽名樣本。這不需要列印文件，但仍然允許檔案和歸檔文件。數字簽名還允許在軟體支援時進行電子郵件加密。

數字簽名用於驗證訊息或文件傳送者的身份。這並非用於普通電子郵件處理，而是用於對學術管理要求的正式回覆。電子郵件被加密以傳送給授權的接收者。要開啟電子郵件，接收者需要輸入他們的電子郵件憑據或智慧卡以解密訊息。只要傳送方和接收方都在同一證書頒發機構或相關的證書頒發機構下，資訊加密和解密都將支援電子郵件通訊。

企業單點登入允許使用者只需登入一次即可訪問所有已授權的系統。韋伯斯特大學線上課程登入（Connections）就是一個單點登入的例子，使用者可以透過它訪問財務和獎學金、學業進度/歷史、註冊、圖書館服務、線上課程以及構成Connections的許多其他資訊系統。將所有這些系統的訪問管理整合到一個登入流程中，消除了IT資源為每個系統重置密碼的需要，節省了大量的IT生產力時間。單點登入流程還可以為學生資訊管理系統提供一種在整個Connections/Blackboard網站上標準化防禦機制的方法。技術服務和資訊安全部門共同努力，制定流程以減輕對學生資訊管理系統的威脅。在下一節中，我們將介紹系統管理員需要利用的一些安全措施來保護資訊保障。

資訊安全意識提供了減輕資訊保障威脅的措施，例如內部威脅、克服程式防禦和物理安全滲透。每個資訊系統都存在被想要拒絕服務、破壞資料或竊取受隱私法和貿易法規保護的資訊的人攻擊的漏洞。必須制定針對使用者的流程和培訓，以保護資訊並確保所有授權使用者都能使用系統。以下幾個流程將說明如何提高系統可靠性和保護資訊免受未經授權的使用。 內部威脅是指公司內部員工透過惡意活動或鬆懈的資訊安全流程來獲取控制權並損害計算機系統和網路。許多時候，當員工即將被解僱時，服務會被拒絕或登入嘗試會失敗。此流程的目的是保護資訊系統免受心懷不滿的員工的惡意活動。資訊系統技術人員會監控員工活動，並在使用者嘗試訪問超出其授權範圍的區域或擾亂服務時進行干預。另一種形式的內部威脅是缺乏資訊安全意識的員工。在政府部門，威脅我們國家安全和海外利益的關鍵資訊必須在適當的級別和分類的安全的系統內處理。未分類的材料不能與機密資訊一起使用。由於各種儲存裝置的資訊可移植性，資訊可能會因計算機病毒和在內部網或未定期執行病毒檢查的計算機上發現的惡意程式而降級或丟失。資訊保障培訓可以極大地阻止對資訊系統的威脅，員工的意識將幫助使用者更高效、更主動地進行資訊保障。

員工資訊安全意識計劃對於資訊安全至關重要。瞭解資訊安全協議的員工可以在日常工作中積極主動地確保公司資訊得到保護，並在需要時隨時可用。資訊備份、計算機病毒檢查、限制行動式儲存裝置的使用（僅限公司所有）以及許多其他安全的資訊系統流程確保所有系統使用者都能使用這些工具。定期培訓讓每個人瞭解新技術、威脅和報告威脅或異常情況的流程。資訊系統經理必須將資訊安全措施納入使用者/員工培訓中，以提高意識並阻止資訊系統威脅。

物理安全包括保護硬體、程式和網路免受可能導致公司損失或損壞的事件。設施、機櫃和儲存單元上的鎖可以阻止資訊和資訊系統工具被盜。需要憑據才能進入設施的員工可以識別誰、什麼、為什麼以及何時授權訪問資訊。跟蹤系統記錄員工和裝置在設施內的移動情況。資料儲存設施也必須加強對環境危害的防護，以確保不間斷地訪問資訊。此類設施配備了先進的滅火系統、液壓或彈簧地板以吸收地震或爆炸，以及人員識別系統以阻止犯罪活動。資訊物理安全將需要針對客戶及其業務目標的需求進行開發、規劃和戰略構想。

總結

在學生方面，資訊安全是一個至關重要的議題。當學生使用網際網路和電腦時，他們必須瞭解在使用網際網路時存在某些風險。學生需要了解在網際網路上始終應遵循的基本原則。每個學生都需要熟悉資訊安全和資料保護。每個學生都應該知道，個人資料和主流資料都會使使用者在網際網路上變得脆弱，這就是資料保護如此重要的原因。瞭解哪些型別的資料應該受到保護將提高學生的意識。銀行業務、個人聯絡、健康、電子郵件和照片都是始終需要保護的資料型別。對於一些學生來說，這將是一個學習過程，但只要具備一些基本知識並花時間確保每個細節都得到考慮，學生就不應該有任何問題。在使用網際網路時，一個明確的理解是，每個人都有責任維護課堂和大學的資訊安全。學生必須認識到，在網際網路上進行任何活動時，都處於受信賴的位置，因此不再是普通學生。當學生在大學或學院校園時，他們對該機構資訊系統的訪問僅限於該學生本人。銀行和其他個人資訊的謹慎程度也應該體現在學生機構提供的使用者名稱和密碼上。學生對使用該賬戶進行的任何活動負責，因此務必不要洩露使用者名稱或密碼。學生還需要了解如何建立安全的密碼。在密碼方面，一個好的密碼總是容易記住的，但密碼的目標是難以猜測。寫下密碼似乎是最簡單的儲存方式，但這樣做將是一個嚴重的錯誤。對所有學生來說，盡力記住密碼至關重要，這樣只有您自己知道您的密碼。

問題：將下列術語與其正確的定義匹配

A. 公鑰基礎設施 B. 安全令牌 C. 生物識別 D. 內部威脅 E. 智慧卡

1. 由於員工無知、不良操作或惡意資訊安全活動而對資料和系統造成的損害 2. 建立、管理、分發、使用、儲存和撤銷數字證書所需的一套硬體、軟體、人員、策略和流程 3. 授權的計算機服務使用者獲得的物理裝置，用於簡化身份驗證。 4. 任何帶有嵌入式積體電路的小巧卡片，可以處理資料。 5. 用作身份訪問管理和訪問控制的一種形式。

答案：A-2, B-3, C-5, D-1, E-4

參考文獻

Andrea Siedsma, **聖地亞哥商業雜誌**。聖地亞哥：2010年3月29日。第31卷，第13期；第18頁 雲計算，**維基百科**。http://en.wikipedia.org/wiki/Cloud_computing，2010年4月28日 Curtis Franklin Jr. **網路計算**。曼哈塞特：2005年10月1日。第16卷，第20期；第69頁，3頁 Florence Olsen。**聯邦計算機週刊**。福爾斯徹奇：2005年9月5日。第19卷，第30期；第62頁，2頁