歡迎來到數據安全的世界!

在這個章節中,我們將學習如何保護電腦系統及其內部的數據。試想一下你的數位生活——你的照片、訊息和銀行資料。我們該如何防止他人竊取,又該如何確保數據不會損壞?讀完這些筆記後,你將會明白數位世界中用來守護資訊的「盾牌」與「利劍」。

如果有些術語聽起來很陌生,別擔心!我們會透過大量的例子,一步步為你拆解!

1. 三大支柱:安全性 (Security)、隱私權 (Privacy) 與完整性 (Integrity)

在深入探討「如何做」之前,我們必須先釐清「是什麼」。學生經常混淆這三個術語,但它們其實大不相同!

安全性 (Security)

安全性是指保護數據和系統免受未經授權的存取或損壞。這就像是你家大門的鎖以及警報系統一樣。

隱私權 (Privacy)

隱私權是指誰有權利查看這些數據。即使數據是安全的,但如果公司在未經許可的情況下將你的電郵地址賣給廣告商,這就侵犯了你的隱私。這在於將你的個人事務保持在私人狀態。

完整性 (Integrity)

完整性是指準確性一致性。如果數據正確且未因錯誤或駭客攻擊而被修改,則該數據具有完整性。如果你轉帳 100 元給朋友,但銀行的電腦意外將其變更為 10 元,那麼該數據就失去了完整性。

記憶小撇步:「鎖上的盒子」比喻

想像日記放在保險箱裡:
1. 安全性:保險箱已上鎖,所以沒有人能偷走日記。
2. 隱私權:只有你擁有鑰匙,因為你是唯一獲准閱讀日記的人。
3. 完整性:沒有人偷偷溜進去胡亂塗改你的字句;文字與你留下時一模一樣。

快速複習:
安全性:防止未經授權的存取。
隱私權:控制誰能查看數據。
完整性:確保數據準確且未被更改。

2. 威脅:誰(或什麼東西)試圖入侵?

為了防禦系統,我們需要知道對手是誰。以下是課程大綱中提到的常見威脅:

駭客 (Hackers)

駭客是指試圖獲取電腦系統未經授權存取權限的人。有些人純粹為了好玩,有些人為了竊取資訊,而有些人則是為了找出弱點以協助修復。

惡意軟體 (Malware)

是「惡意軟體」(Malicious Software) 的縮寫。這是專門用來干擾或破壞系統的程式碼。兩個關鍵類型包括:
病毒 (Virus):一段會自我複製並附著在其他程式上的程式碼。它會「感染」電腦,通常會刪除檔案或拖慢電腦運作速度。
間諜軟體 (Spyware):隱藏在電腦中並監視你的軟體。它可以記錄你的鍵盤按鍵(鍵盤記錄,Keylogging),藉此竊取密碼和信用卡號碼。

網路釣魚 (Phishing)

這是一種詐騙手法,犯罪分子發送偽造的電郵或訊息,假冒成真實公司(例如你的銀行)。他們試圖「誘騙」你點擊連結並輸入你的私人登入資料。

網址嫁接 (Pharming)

這比網路釣魚更「高科技」。網址嫁接會在電腦或伺服器上安裝惡意程式碼,即使你在瀏覽器中輸入了正確的網址,也會把你導向偽造的網站!你以為你在 www.mybank.com,但實際上你是在駭客製作的複製品網站上。

關鍵區別:網路釣魚利用偽造訊息來誘騙你;網址嫁接利用惡意程式碼來重新導向你。

3. 安全措施:建立盾牌

我們該如何保護獨立的電腦或網路呢?我們需要結合多種措施。

使用者帳戶與密碼 (User Accounts and Passwords)

最基礎的安全層級。每個使用者都有唯一的使用者 ID密碼。這確保了系統能精確辨識登入者是誰。

生物辨識 (Biometrics)

利用獨特的生理特徵來識別個人。例子包括指紋掃描面部辨識視網膜掃描。這些比起密碼,更難被竊取或「猜到」!

防火牆 (Firewalls)

防火牆充當你的電腦/網路與網際網路之間的守門人。它會檢查所有進出的數據(流量),並根據一系列規則決定允許通過還是攔截。

數位簽章 (Digital Signatures)

這用於驗證電子文件或訊息是否真實。它證明了發送者確實是其所稱的身分,且訊息未遭到篡改。

加密 (Encryption)

加密將數據打亂成稱為密文 (ciphertext) 的「秘密代碼」。即使駭客竊取了數據,如果沒有解密金鑰 (decryption key),他們也無法讀取。

防毒與反間諜軟體 (Anti-virus and Anti-spyware)

掃描你的檔案和傳入數據中是否存在已知惡意軟體「特徵碼」的軟體。如果發現病毒,它會將其「隔離」(鎖住)或刪除。

你知道嗎?沒有單一的安全措施是完美的。這就是為什麼專家會使用多層式安全防護 (layered security)——將這些方法綜合使用!

4. 數據完整性:保持數據正確

即使沒有駭客介入,數據也可能因輸入時的人為錯誤或傳輸過程中的電氣干擾而變得不正確。我們使用驗證 (Validation)核對 (Verification) 來防止此類情況。

數據驗證 (Data Validation)

驗證是由電腦執行的自動檢查,以確保輸入的數據是合理的且符合某些規則。它無法檢查數據是否 100% 正確,只能檢查其是否「被允許」。

常見的驗證檢查:
範圍檢查 (Range Check):檢查數值是否在兩個值之間(例如,月份必須在 1 到 12 之間)。
格式檢查 (Format Check):檢查數據是否符合特定模式(例如,郵遞區號必須是 LLNN NLL)。
長度檢查 (Length Check):檢查數據是否包含正確數量的字元(例如,密碼必須至少 8 個字元)。
存在檢查 (Presence Check):確保欄位沒有留空。
檢查位數 (Check Digit):由數字中的其他位數計算出來的額外數字(就像條碼一樣)。如果數字輸入錯誤,計算出的結果將與檢查位數不符。

數據核對 (Data Verification)

核對是檢查輸入的數據是否與原始來源相符

數據輸入期間:
視覺檢查 (Visual Check):使用者查看螢幕並與紙本文件進行比對。
雙重輸入 (Double Entry):輸入兩次數據(例如建立新密碼時)。如果兩次輸入不相符,電腦會標記錯誤。

數據傳輸期間:
當數據從一台電腦移到另一台電腦時,可能會因線路中的「雜訊」而損壞。我們使用以下方法進行檢查:
同位檢查 (Parity Check):在位元組中加入一個同位位元 (parity bit)。在偶同位 (Even Parity) 中,該位元會被設定,使位元組中 1 的總數為偶數。如果收到的位元組中 1 的數量為奇數,電腦就會知道發生了錯誤。
檢查總和 (Checksum):在數據傳送前,先從數據塊計算出一個數值。接收端會執行相同的計算。如果「總和」不符,表示數據已損壞。

偶同位檢查範例:

待傳送數據:\(1011001\)
計算 1 的數量:共有四個 1(為偶數)。
加入同位位元:\(0\)
最終位元組:\(10110010\)

常見錯誤:以為驗證 (Validation) 與核對 (Verification) 是一回事。
驗證 (Validation):是否符合規則?(例如:你的年齡是數字嗎?)
核對 (Verification):這是否是你原本想輸入的內容?(例如:你是不是把 51 打成 15 了?)

快速複習盒:
範圍/格式/長度/存在檢查:驗證方法。
視覺/雙重輸入:輸入核對。
同位檢查/檢查總和:傳輸核對。

最終總結

安全性是關於保護系統(防火牆、密碼),隱私權是關於保護權利,而完整性是關於保護準確性(驗證、核對)。像惡意軟體網路釣魚這樣的威脅不斷進化,因此我們使用多層防禦來確保數位世界安全運行!

做得好!你剛剛掌握了電腦科學安全的核心概念。休息一下,試著向朋友解釋網路釣魚 (Phishing) 和網址嫁接 (Pharming) 之間的區別——這是鞏固知識的最好方法!