字體:小 中 大 |
|
|
|
| 2009/10/22 20:57:29瀏覽1388|回應0|推薦0 | |
Seven Concepts Privacy (隱私權) 隱私權是很多樣化的,所以它不太好定義,但是我們還是得給出一個概括性的定義。隱私權的意義是:免於「被觀察、跟監或檢查而造成不必要之困擾、不快或恐懼」的權利,以及個人隱密性資料免於「未經授權而被使用」的權利。 個人的隱私權與公司的資訊安全,兩者之間有著一程度的衝突,資安政策與標準的制訂者,必須從中去取得適當的平衡點。無論兩者的平衡點為何,最重要的是:事前一定要先和員工溝通,把不得不做但會損及隱私權的資安機制講清楚,並與員工簽下同意書,以避免橫生枝節。 Identification (你是誰?) 大部分的電腦系統,都是使用 identification 來辨認某個主體是誰,並據此來紀錄該主體做了哪些事情、建立了哪些資料等等。例如,Unix 或 Microsoft Window 之登入畫面中的 user name,就是一個 identificaiton;我們透過 user name 向電腦系統宣稱我們是誰,而電腦系統則是根據 user name 來記錄該名主體的登入與登出時間、哪些檔案是該名主體所建立的、該名主體做了哪些事情等等。 Authentication (真的是你嗎?) 由於「我是誰的宣稱」可以造假,所以電腦系統必須透過驗證程序來檢驗該次宣稱的真實性,以防止不懷好意的主體假冒他人的 identification。目前較常使用的驗證方法可以歸納成三種,分別為:一、something you know;二、something you have;三、something you are。 Something You Know 例如身份證字號、生日、結婚紀念日、身高、體重、胸圍、腰圍、肩寬、體脂肪率、血型、車牌號碼、信用卡的卡號、擁有幾張信用卡等等。 Something You Have 例如駕照、信用卡、門禁卡、鑰匙等實際存在的物品。 Something You Are 個人的生理或生物特徵,例如指紋 (finger print)、掌紋 (palm print)、聲紋 (voice print) 以及虹紋 (retina scan) 等等。 Authorization (可做、可看、可改否?) authorization 是指「主體被授權允許去做哪些事、去讀取或修改哪些資料」。一般而言,資安機制會為每一個 identificaiton 配置一個 access control matrix,這個 matrix 會詳實地紀錄該名 identificaiton 的授權資訊,以管控其執行、讀取與寫入的運作。 Auditing (稽核) 為了迫使每個主體必須為自己的行為負責,所以資安機制必須確保「凡做過的必定留下痕跡」,而這些痕跡就是 auditing 的素材。所謂的 auditing,就是去檢查與分析 log files 與攸關檔案的內容,以查明企業組織的作業活動是否遵循資安的政策、標準、規範以及程序。 Accountability (為自己做過的事情負責) accountability 是指「每一位員工都必須為自己做過的事情負責」。基於人性的黑暗面,accountability 要能成立的前提必須仰賴 identification 與 activity logs。 Nonrepudiation (不容否認性) nonrepudiation 的意思是:「主體無法否認它所曾經做過的活動或所引發的事件」。norepudiation 必須仰賴:一、identification;二、authentication;三、authorization;四、accountability;五、auditing。此外,nonrepudiation 可以透過 digital certificates、session identifiers 與 transaction logs 來加以強化。 |
|
| ( 創作|其他 ) |
