Information Security

歡迎來到資訊保安的世界！

你好！今天我們將深入探討資訊保安 (Information Security) 的領域。在這個數碼時代，數據的價值等同於金錢。試想想你的社交媒體私人訊息、銀行賬戶資料，甚至是你的公開考試成績——我們都希望確保這些資料安全、準確，並在需要時能隨時存取。這正是資訊保安的核心目的！如果覺得內容很多也不用擔心，我們會把它拆解成小部分來學習。

1. 基礎：CIA 三要素

為了理解保安，我們使用一個簡單的模型，稱為 CIA 三要素 (CIA Triad)。它並不是指那個情報機構！它代表的是機密性 (Confidentiality)、完整性 (Integrity) 和 可用性 (Availability)。這三者是任何保安系統的三大目標。

機密性 (Confidentiality)

這關乎隱私。它確保敏感資料只會被授權的人士存取。例子：只有你和你的醫生才有權查看你的醫療紀錄。

完整性 (Integrity)

這關乎準確性。它確保數據不會被未經授權的人更改或篡改。例子：如果你轉帳 $10 給朋友，你一定不希望黑客在交易過程中將金額篡改為 $1,000！

可用性 (Availability)

這關乎可靠性。它確保授權用戶能在需要時隨時存取數據和系統。例子：當你想透過應用程式查看巴士到站時間時，伺服器必須運作正常，不能崩潰。

快速回顧：
- 機密性：保持秘密。
- 完整性：保持準確。
- 可用性：保持可用。

重點總結：如果這三個支柱中任何一個被破壞，就會發生保安事故 (Security breach)。

2. 保護機密性：守護秘密

我們該如何阻止他人查看不該看的東西呢？以下是最佳實踐：

身份驗證 (Authentication)

這是證明你是誰的過程。你可能每天都在做這件事！
- 密碼 (Passwords)：最常見的方法。（提示：請使用包含符號和數字的「強」密碼！）。
- 多重驗證 (Multi-Factor Authentication, MFA)：這需要兩項或以上的證明。例如，除了密碼外，還需要手機接收到的驗證碼。這就像在正門安裝了鑰匙鎖加上指紋掃描器一樣。

存取控制 (Access Control)

一旦確認了你的身份，存取控制就會決定你有權做什麼。公司內並非每個人都需要查看薪酬表！比喻：學生可以查看自己的成績（讀取權限），但只有老師可以更改成績（寫入權限）。

加密 (Encryption)

加密會將數據「攪亂」成密文，即使黑客竊取了資料，沒有「密鑰」也無法讀取。
- 對稱加密 (Symmetric Encryption)：發送者和接收者使用相同的密鑰來加鎖和解鎖訊息。它的速度快，但你必須先找到一個安全的方法分享密鑰。
- 非對稱加密 (Asymmetric Encryption)：使用一對密鑰——公開密鑰 (Public Key)（任何人都能用它來加密訊息）和私有密鑰 (Private Key)（只有你擁有，用來解密）。就像郵箱一樣，任何人都可以投信進去，但只有箱主才有鑰匙打開。

防火牆 (Firewalls)

防火牆是一種保安系統，根據預設規則監控和控制進出網絡的流量。你可以把它想像成大廈入口處的保安員，在讓人進入前會先檢查每個人的身份證。

你知道嗎？
大多數網站都使用非對稱加密 (HTTPS) 來保護你的連線。瀏覽器網址列那個小小的「鎖頭」圖示，就代表你的資料正在被加密！

重點總結：機密性是透過身份檢查（驗證）、許可權（存取控制）、攪亂數據（加密）和網絡守衛（防火牆）來共同保護的。

3. 驗證完整性和不可否認性

我們如何知道檔案在傳輸過程中是否被修改過？這時就要用到「數碼指紋」。

雜湊值與檢查碼 (Hashes and Checksums)

雜湊 (Hash) 是一種數學函數，將一段數據轉換成固定長度的字串。如果原始檔案中即使只有一個字母被改動，產生的雜湊值看起來也會完全不同！檢查碼 (Checksum) 是它的簡易版本，通常用於檢查資料傳輸過程中的錯誤。

數碼簽署 (Digital Signatures)

數碼簽署利用加密技術來證明兩件事：
1. 訊息確實來自宣稱的發送者（真實性 Authenticity）。
2. 訊息自簽署後未經修改（完整性 Integrity）。

這帶來了不可否認性 (Non-repudiation)。這是一個高級術語，意思是發送者事後無法否認曾發送過該訊息。例子：如果你對一份合約進行了數碼簽署，事後就不能辯稱「這不是我做的！」，因為只有你的私有密鑰才能產生該簽署。

快速回顧：
- 雜湊：數據的「指紋」。
- 數碼簽署：證明發送者身份且內容未受改動的「印章」。

重點總結：雜湊用來檢查數據是否正確；數碼簽署則用來證明身份並確認數據完整。

4. 針對可用性的攻擊

有時候，黑客並不想竊取你的資料，他們只是想阻止你使用系統。

拒絕服務攻擊 (Denial-of-Service, DoS)

在 DoS 攻擊中，黑客會用海量的偽造流量湧入伺服器，導致伺服器崩潰或對正常用戶變得極慢。比喻：想像有 100 個人擠進一家小小的珍珠奶茶店，但沒人真正買東西；真正的顧客根本無法靠近櫃檯！
- 分散式拒絕服務攻擊 (DDoS)：這是當攻擊來自全球各地數以千計的不同電腦（稱為 Botnet，殭屍網絡）同時發動。這使得攻擊更難阻擋。

惡意軟件 (Malware)

惡意軟件（Malware 是 Malicious Software 的簡稱）也會損害可用性。例如，勒索軟件 (Ransomware) 會加密你的所有檔案並要求贖金來解鎖。如果你無法存取自己的檔案，你的「可用性」就消失了！

重點總結：DoS 和 DDoS 攻擊試圖「塞住」互聯網的管道，而勒索軟件則把你鎖在自己的數據之外。

5. 恢復與緩解：保持韌性

別擔心！我們有方法進行反擊並確保系統維持可用。

冗餘與容錯 (Redundancy and Fault-tolerance)

冗餘意味著擁有「備用方案」。如果一個硬碟壞了，你有另一個裝有相同數據的硬碟隨時準備上陣。容錯是指系統在組件損壞時仍能繼續運作的能力。例子：飛機有兩個引擎，即使其中一個失效，它依然可以飛行。

定期備份 (Regular Backups)

這是計算機科學的金科玉律！務必將資料副本存放在獨立的位置（如雲端或外部硬碟）。如果電腦遭受惡意軟件攻擊或硬體故障，你可以直接從備份還原。

監控與維護 (Monitoring and Maintenance)

系統應 24/7 全天候監控。警報系統能在發現異常的瞬間通知工程師，而系統測試則有助於在「壞人」發現之前找出漏洞。

避免常見錯誤：
學生常以為防火牆只為了機密性。事實上，防火牆還能透過攔截 DoS 攻擊中使用的「垃圾流量」來保護可用性！

重點總結：為了保持數據可用，我們使用備份、準備備用零件（冗餘），並不斷監控潛在問題。

總結檢查清單

考試前，確保你能：
- 解釋 CIA 三要素（機密性、完整性、可用性）。
- 比較對稱與非對稱加密。
- 解釋數碼簽署如何提供不可否認性。
- 區分 DoS 與 DDoS 攻擊。
- 列舉恢復可用性的方法（備份、冗餘）。