Outline

• Security Management Concept
• Security
  • Monitoring
  • Auditing

Security Management

• 請來上課聽取關於 Security Management 的核心觀念。

Security

• 資訊安全在控制 (control) 層面上可以操作的層面很廣也很多樣，但現今企業、組織、國家對於數位資產的保護日益注重，很多資訊安全的主體已經漸漸著重在電腦設備（不限於電腦、手執裝置、物聯網、網通設備等）以及電子化資料 (data) 上。我們在這裡僅討論電腦設備與資料的安全，至於其他關鍵基礎設施（例如：電站、水廠、金融、交通等實體的安全），尤其是實體安全的部分則暫不討論。
• 資訊安全的前幾個問題通常是：我的設備或是資料是怎麼遭受到攻擊的？攻擊來自哪裡？駭客使用什麼手法？受害的範圍有多大？我們如何回復到未受攻擊的狀態？以及我們要如何防範未來可能的攻擊？回答這些問題實際上不容易的 (nontrivial )。在數位鑑識 (forensics) 中，最重要的關鍵點是我們是否「事先」安排好的監視 (monitoring) 的機制，好讓我們「事後」能夠進行證據的蒐集與鑑識分析。但很可惜的是，幾乎在很多場合裡，這些監視的機制都不存在。這就是為什麼很多駭客都喜歡在有 free Wi-Fi 的地方進行攻擊活動，因為這些地方（咖啡店、公共場所）很難得有完善的網路監視裝置（或是幾乎沒有監視機制），或是僅儲存很少量的訊息而不足以進行鑑識分析，或是僅儲存少量天數的資料並很快就刪除了。
• 因此在資訊安全的課題當中，第一件重要的事情就是設置監視的機制。監視的機制其實相當的複雜，因為監視的主體 (subject) 有很多種，例如：人、電腦主機、網路、作業系統、手機、物聯網裝置、軟體等。而每一個不同的主體可能必須要實做不一樣的監視器。例如：同樣是對象是智慧型手機，但監控的主體可能是手機電信通訊的對象、手機使用的 Apps 有哪些、手機上各種 sensor (GPS、陀螺儀) 的 data、手機網路通訊的對象 (IP) 等。再更複雜的是，即使是同一個監視的主體，在不同 security expert 的眼中，蒐集資料的內容也大相逕庭。例如若你要徹底的了解一個手機 App，你可以監視的資料就可能包含：App 通訊的對象、App 使用記憶體的樣態、App 是否操作過那些系統參數、App 是否引用不適當的函式庫、App 甚麼時候存取了聯絡人清單、App 是否包含了不適當的權限等。你一定可以提出很多關於一個 App 在運作時的問題，複雜的程度不啻於了解一個活生生的人。所以們在進行鑑識之前，先來縱觀資訊安全監控在學術界上有哪一些主流的手段。

Security Monitoring

• 由於電腦設備的活動都是以軟體執行為主要的方法。在學界上，我們針對軟體的運行，有兩種主流的監視方法：靜態分析 (static analysis) 以及動態分析 (dynamic analysis)。

To be continued.

This page was last updated on 23 September 2019, at 22:45 (UTC+8).