信息安全威胁有哪些？10大常见资安问题、防护手法一次看！

信息安全威胁有哪些？10大常见资安问题、防护手法一次看！

随着互联网的普及和数字化时代的到来，信息安全已成为个人和企业不可或缺的重要议题。本文将为您全面解析信息安全的基本概念、重要性、三大要素、九种类型以及十大常见威胁和防护措施，帮助您建立完善的信息安全防护体系。

一、信息安全是什么？一起了解信息安全为何重要

（一）资安是什么？

在电脑或云端中的资料，理应具有隐私性与机密性，不能被他人窜改或公开，以保护这些资料免受未经授权的访问、使用、披露、破坏、修改、损失或其他形式的不当处理或损害，就需要加以保护，而相应的保护措施与技术就称为「信息安全」，简称「资安」。

也就是说，信息安全是指保护数据和信息免受未经授权的访问、使用、披露、破坏、修改、损失或其他形式的不当处理或损害的措施。

（二）资安的重要性

若我们的资料缺少信息安全的保护而暴露于危险之中，可能会遭不肖人士恶意窃取，或是使得网站遭黑客攻击。这些攻击或破坏可能会使重要信息泄露，导致社交媒体账号被黑，或是信用卡被盗刷等情況；若是企业资料遭人攻击，可能连带导致网站停摆，甚至使企业形象受损，失去客户信任。

因此无论是个人还是公司行号，信息安全都是使用网络时不可忽视的重要环节！

二、认识信息安全三要素：机密性、完整性、可用性

信息安全三要素包含「机密性 Confidentiality」、「完整性 Integrity」，以及「可用性 Availability」3 个项目，也被稱為 CIA 三要素，是设计和实施信息安全措施的基本原则。

（一）机密性 Confidentiality

机密性指的是「确保数据只能被授权的人或系统访问」。因此，为了保护资料只能被「已授权观看者」浏览或使用。若想要实现信息安全机密性，我们可以制定相关措施防止未经授权的访问，包括加密数据、实施访问控制、设置权限和身份验证机制等。

（二）完整性 Integrity

完整性指的是「保护数据免受不当修改或破坏」，也就是在数据传输和储存的过程中，不会被意外或恶意地修改、删除或损坏。实现数据完整性的方法包括使用数字签名、校验和监控数据的变化，以及实施存取控制和审计措施等。

（三）可用性 Availability

可用性指的是「确保数据在取得授权者需要时可被使用或存取」。想要维持信息可用性，除了维护硬件设备，也要定期升级软件系统，而定期备份也是实现可用性的方法之一。

三、信息安全种类有哪些？9 大资安重要项目一览

了解资安的重要后，作为现代网络使用相当重要一环的信息安全又包含哪些面向呢？以下带大家了解资安的 9 大类型：

（一）网络安全

网络安全指的是针对连接网络的设备、通过互联网传输的信息，以及任何通过互联网运作的系统加以保护，避免个人和企业的敏感资料被窃取或损害。

许多不肖人士会通过侵害网络安全的方式，窃取个资或破坏系统或装置，像是盗用身份以及网络诈骗等案例，都是网络安全受到侵害的情形。

（二）云安全（云计算安全）

云计算是指通过网络共享资源的一种运算技术，因为该技术是藉由互联网来实现共享软、硬件资源，因此也是信息安全相当重要的项目之一。

云运算安全也称为「云安全」，是指「保护使用云计算软硬件和资料的安全」。因此要确保云运算安全，必须在云共享信息的同时，在网络上提供安全的系统、应用程式和资料，并确保身份认证和资料加密等多個面向的安全能力。

（三）应用安全

我们生活中常会用到像是手机 APP、Word、Google Chrome 等各式各样的应用程式。虽然这些应用程式大幅提升了我们工作效率与上网需求，却也因此常被当作资安攻击的目标。

想确保使用的应用程式安全，避免有心人士利用漏洞侵害个人隐私或财产安全，那么使用者就需要确保应用程式来源可靠，以及应用程式的发布者是否能保障用户资料的安全性，保护因应用程式免受威胁。

（四）基础架构安全

基础架构安全通常被应用於企业信息技术环境，企业会通过预防性软件及措施，防止未经授权的存取、修改、删除和窃取资源和资料。其基础安全措施包括存取控制、防火墙、虚拟私人网络（VPN）和入侵防御系统等方式。

（五）系统安全

电脑或者网站的系统，可能会因为技术进步而出现新的资安漏洞，而遭受有心人士的攻击。为了防止系统漏洞被利用，侵害资料的机密性、完整性和可用性，系统的使用者须定期进行资安检测，扫描并且管理系统漏洞，以及时修补程式和监控异常网络行为。

（六）资料加密及身份认证授权

资料安全除了须确保重要档案能妥善储存外，也要防止被有心人士窃取。而资料加密及身份认证授权指的是使用加密技术保护资料安全，防止资料被窃取或外洩，同时确保身份认证和授权机制的可靠性，以避免未经授权的存取和使用。

现代生活中，许多手续都可以通过网络办理，像是银行开户、申请政府补助等，而身份认证与授权也因此变得格外重要。目前国际间已经有許多标准与規範，如：ISO27001 資訊安全管理國際標準，企業或政府可以參考這些規範來保護用户的资料。

（七）密码编译

密码编译是指「使用密码编译技术保护资料的机密性和完整性」，确保资料在传输和存储过程中不被窃取或篡改，密码编译会使用程式码来转换资料，让资料的收件者可以使用金鑰來檢視內容，最常見的方式為數位簽章。

美国联邦政府则是采用进阶加密标准（Advanced Encryption Standard, AES）来保护政府的重要资料，它是一种区块加密标准，可以防止预期收件者以外的人阅读资料，常被应用於保护政府的机密信息。

（八）漏洞管理

如同前面所说，电脑系统可能会因为技术进步而出现新的漏洞，因此定期扫描网络环境中的漏洞，并根据风险优先顺序修補程式漏洞，以减少信息外洩和系统受到攻击的风险也是非常重要的项目。

（九）事件回应

事件回应是信息安全的重要功能之一，主要是监控和调查潜在的恶意行为，并制定事件回应计划，计划需能够遏制威胁并还原网络，以迅速应对外洩事件，减少损失。

通常，事件回应计划需同时保存证据，以便分析事发原因与追究责任，防止未来再出现類似的外洩情况，同时协助 IT 人员发现潜在攻击者。

四、信息安全威胁有哪些？常见信息安全问题与防护原则一次看！

（一）10 大信息安全威胁与应对措施

信息安全威胁是所有网络使用者都可能会面临的问题，如果你也想知道资安问题如何解决，以下为大家列出了 10 个常见的资安威胁，以及各自的应对措施：

1. 勒索病毒威胁

勒索病毒是近年常见的信息安全威胁，也被称作「勒索软件攻击」。攻击者就像挟持人质一般，使用病毒或恶意软件破坏受骇者的存取权限，使其无法浏览或使用资料，并向受害人要求赎金以换取解密金鑰，否则将毁损或公开重要机密资料。例如：WannaCry 勒索病毒会通过加密使用者档案以勒索比特币，在全球造成大规模破坏。

信息安全防护措施：

• 定期备份资料
• 不要随意开启陌生电子邮件中的附件
• 使用防毒软件
• 开启防火墙
• 加密重要信息
• 控制和限制存取权限

2. 资料安全威胁

资料安全威胁是指可能导致资料被窃取、破坏或未经授权存取的威胁。例如：黑客入侵资料库并窥探用户個人資訊，如信用卡号码和密码等。近年来资料安全威胁案例频繁，知名企业如华航、微风、iRent 都曾出现灾情，可见资料安全防护措施对资安来说是相当重要的项目。

信息安全防护措施：

• 加密重要资料
• 定期备份资料
• 使用存取控制和身份验证技术
• 加密与监控档案
• 定期资安检测

3. 软件信息安全威胁

随着现代科技化的趋势影响，无论是人民生活或是企业运做都与电脑软件密不可分，因此软件受攻击的情况并不亚于电脑资料，其中包括软件漏洞、恶意软件和未经授权的软件使用等。例如：黑客使用恶意程式，够过漏洞攻击以操作系统或软件，从而窃取个人资料或破坏系统。

信息安全防护措施：

• 定期更新软件和应用程式
• 下载软件前确认来源可靠
• 使用防毒软件扫描档案
• 加密敏感资料
• 实施存取权控制

4. 网络钓鱼攻击

网络钓鱼攻击是指攻击者伪装成合法机构或假扮他人名义，通过电子邮件、简讯或社交媒体，试图诱骗用户提供個人資訊的方式，例如：你收到一封伪装成银行的电子邮件，欺骗你帐户出现问题，要求你点击链接并输入密码或信用卡号等信息加以验证，而当你输入资料的同时，黑客也成功窃取信息。

信息安全防护措施：

• 企业可训练员工辨识和避免钓鱼邮件
• 使用安全的电子邮件閘道和防护机制
• 定期更新密码
• 不要在不清楚来源的网页输入重要信息
• 检查网址的合法性
• 通过官方管道确认信息可信度

5. 云安全威胁

云共享功能为我们的生活带来许多便利性，分享资料不再需要长时间的邮寄，或是大家互相传送，但是如此方便的技术却也带来许多风险。

因为云服务的提供者，可能不具备相应安全措施；或是云服务出现故障或中断的情形，导致用户的资料暴露于危险之中；甚至有的云平台会提供商會蒐集、传输或洩漏用户的资料。

所有在云环境中，资料和应用程式所受到的威胁，都属于云安全威胁的范畴，例如：未经授权的人员通过猜测密码或其他手段入侵云账户，并窃取敏感资料。

信息安全防护措施：

• 使用加密保护云资料
• 设置强大的身份验证和存取权控制
• 监控和审核云活动
• 定期更新高强度密码
• 选择可靠的云服务系统

6. 僵尸网络

僵尸网络是指一组被恶意软件感染，而受到攻击者控制的电脑。我们会称呼每一个被感染的装置为「傀儡程式」，这些傀儡程式可用於发动分布式阻断服务攻击（DDoS）或传播恶意软件，包括传送垃圾邮件、勒索软件、诈骗广告等。

信息安全防护措施：

• 安装防火墙和入侵检测系统
• 定期更新防病毒软件
• 监控网络流量和不正常行为
• 定期更新作业系统及应用软件，以防软件上的弱点漏洞遭受攻击
• 定期更改密码

7. 进阶持续性威胁（APT）攻击

APT 攻击顾名思义就是一种复杂且不间断的攻击方式，它的目的在潜入特定组织的网络，并长期进行监控或窃取资料，通常是有组织的黑客集团所为。

且 APT 攻击并不局限於电脑入侵，也可能是通过电话窃听这類雷同手段。例如：一个由国家支持的黑客组织可能会通过渗透公司网络来窃取机密资料，并持续对其监控。

史上最著名的 APT 攻击案例，就是南韩的「暗黑首尔 Dark Korea」事件，该攻击一共有 32,000 台电脑同时当机，且导致电视台网络瘫痪、ATM 无法提款等状况。整起事件就是由黑客长期精心策划的进阶持续性攻击。

信息安全防护措施：

• 实施行为分析和威胁情报共享
• 监控和检测潜在的 APT 攻击活动
• 加强资安意识
• 定期更新防病毒软件
• 安装防毒软件

8. 内部威胁

内部威胁是指组织内部人员、合作商或离职员工等有资料存取权者，蓄意或无意间使系统或资料受到攻击而造成伤害的行为。例如：内部员工因对公司的不满，通过泄露公司机密资料，或故意破坏系统来对公司造成损害。

信息安全防护措施：

• 实施内部威胁检测
• 进行全企业风险评估
• 定期更新高强度密码
• 制定资安政策
• 监控内部使用者活动
• 教育员工有关信息安全的知识

9. 病毒和蠕虫

病毒和蠕虫都是电脑的恶意软件，可以在系统中植入恶意程式，从而窃取敏感资料或破坏系统。而蠕虫与病毒最大的不同就是「自我复制」能力，蠕虫可在没有人为主操作的情况下自动蔓延，因此破坏範围更广。

信息安全防护措施：

• 定期更新防病毒软件
• 定期进行程式修補
• 定期更新软件和应用程式
• 使用防毒软件扫描档案

10. 中间人攻击（Man-in-the-middle attack, MitM）

中间人攻击是指攻击者在通讯过程中，监视使用者的所有行为，并且在必要时截取或篡改通讯数据，因此也被称作「窃听攻击」。例如：攻击者截取用户与银行之间的通讯，以窃取用户的行账户登入信息。

信息安全防护措施：

• 使用加密连接和 SSL/TLS 协议
• 对所有通讯进行加密保护
• 使用安全的 VPN

（二）信息安全防护：NCC 传授「三不五要」原则

看完上面的 10 大资安威胁，你是否也相当担心自己的网络及电脑资料受到不法侵害呢？其实，一般网络使用者只要下载防毒软件，并且具有良好的资安常识，就可以大大杜绝被攻击的机会囉！此外，国家通讯传播委员会 NCC 也有针对信息安全防护宣导「三不五要」原则：

❌三不：

• 不浏览：不浏览可疑网站，避免装置自动下载恶意软件，窃取个资。
• 不连接：不连接可疑 Wi-Fi，因为恶意的网络存取点可能会监听使用者的通讯内容。
• 不下载：不下載可疑软件或 APP，因为若是其取得装置管理权限，可能导致所有个资及隐私遭窃。

⭕五要：

• 要更新：定期更新密码，并且使用不容易被破解的高强度密码。
• 要备份：定時更新软件程式及备份资料，避免旧版的程式漏洞被恶意程式所利用。
• 要关闭：关闭未使用的 Wi-Fi、蓝牙、NFC 等介面，减少被恶意设备连接的机会。
• 要加密：连接的 Wi-Fi 要开启加密防护，避免有心人士监听手机网络通讯。
• 要删除：手机不再使用时要确保删除其中的敏感资料，避免遭他人窃取。