资讯安全.ppt-道客多多_道客多多docduoduo.com

资源描述

1、,資訊安全,國立中央大學.資訊管理系范錚強 Tel: (03)426-7250 mailto: ckfarnmgt.ncu.edu.tw http:/www.mgt.ncu.edu.tw/ckfarn2004,您知道您已經是資訊安全事件的共犯了嗎？,1,大綱,基本觀念安全的重要性取捨一些安全防護技術和制度的基本原理你只需要知道原理你自己要有因應的措施企業安全規範,2,安全威脅有多大？,2002年電腦犯罪及安全調查來源：Computer Secrity Institute (CSI), Computer Crime and Security Survey 2002 90%電腦受

2、過各種安全破壞 40%偵測到系統外部入侵(2000年為25%) 85%電腦偵測到病毒環境惡劣，你如何自保？公司資產如何保障？,3,安全的迷思,防止駭客入侵防止病毒入侵隔離外來者 ,4,資訊安全的威脅,5,非人為、非惡意的破壞,水災地震莫非定理：只要可能發生，就會發生會在最不該發生的時間發生最壞的情況會發生！,6,資訊安全的威脅,資料安全不只是資訊單位的事！,7,安全的基本基本觀念,安全不是絕對的安全和易用性的兩難安全是有價的你願意付出什麼樣的代價？你的安全風險 exposure 有多高？資訊安全有技術面和人性面破壞安全者，都是人主要是內部的人人性！,8,安全和易用

3、性,想一想，你回家和出門時進門需要開十個鎖出門需要鎖十道門你十天之後會做什麼？風險和安全措施的對稱,9,資訊安全的確保,評估風險和損失針對可能的威脅加以防護以技術加上來制度（或習慣）來防範瞭解技術的特性以技術來加強、以制度來確保鏈條的強度，是最弱一環的強度,10,你花100萬買了一輛新車,請問：以下什麼行動是合理的？你花了50萬裝了一個防盜設備你雇用專人24小時輪班看守你花了3萬買失竊險什麼叫合理？,風險和安全措施對稱,11,你家附近最近小偷猖獗,你太太提議加裝一套新的鎖頭你檢驗後，發現新鎖頭雖然是你能負擔的鎖頭中最好的，但還是無法保障100%安全請問，買不買？,是否

4、有效的改善現況？,12,最常聽到的安全管制,密碼加解密 Triple DES, RSA, SSL, SET PKI, CA 防火牆 VPN ,13,想想看2003年發生的事,花旗銀行的網路信用卡資料洩密案進入網頁使用循序碼程式撰寫不當委外管理（系統上線的管制）疏忽金資中心的大批密碼外洩案人員管理不當 ATM大批盜領案側錄密碼,14,另外一些實例,你休假、出差，主管和你要你的密碼你該給嗎？你能不給嗎？你憑什麼能不給？你管理電腦機房，總經理要帶朋友進入你該讓嗎？是否要辦什麼手續？你能不讓嗎？你憑什麼能不讓？你的部屬將密碼寫在黃紙條，貼在電腦上你該管嗎？你憑什麼管？,15,

5、安全的洋蔥,硬體資料,16,一些安全技術的簡單原理,防毒防止木馬程式木馬：希臘神話中，特洛依Troy的木馬屠城加解密 PKI/CA 身份確認備份,17,防止病毒,電腦程式,電子檔案,分析檔案比對病毒碼,防毒軟體,病毒碼,修補或隔離,通過檢驗,18,你需要知道的防毒行動,關鍵你的病毒碼是什麼時候更新的？新的病毒無法防止檔案、程式、資料的來源是否可靠？來源不明來源的儲存媒體（光碟、磁碟等）電子郵遞執行檔、自動執行檔、文件中的巨集(macro),19,我個人的防護,兩步驟郵件讀取 Webmail 用瀏覽器讀取保留有用的郵件、刪除其他用Netscape Communica

6、tor 收信非主流的系統定期更新Windows系統更新定期更新病毒碼,20,加密解密一般觀念,例子：我的電話 0916059841 簡單的加密，乘積乘上13011908777933 我送給你，你除以13就有答案了更簡單的方法，猜猜看如何解密？ 9807797118664201455098988941411426975,9807797118664201455098988941411426975,9807797118664201455098988941411426975,關鍵：我們對加解密的方法需要保密這世界有絕對機密嗎？,21,對稱式金鑰,信息明文,信息密文,加密,信息密文,信

7、息明文,解密,S,R,22,一些對稱式金鑰相關的名詞,DES, 2DES, 3DES 64bit, 128bit, 256bit密鑰長度軟體加密成本低消耗電腦資源硬體加密速度快,23,網際網路,我要付款 $,請出示身分證明,電子交易的安全需求,防止機密或敏感性資料外洩鑑別對方的身分防止資料被竄改或偽造防止事後否認,24,兩把鑰匙的觀念,你到銀行開個保險箱開戶身份確認取得鑰匙私鑰使用身份確認、使用登錄行員持公鑰，和你的私鑰一同開啟你安全嗎？為何？,25,非對稱金鑰,又稱RSA加密由R/S/A三位學者發明，由數學方式產生一對不相同的金鑰兩者之間無法經由任何數學

8、運算獲得，必須同時產生其中之一由私人保存，另一個則公開經由私鑰加密者，只能由公鑰解密，反過來也一樣,26,非對稱式金鑰，防止外洩,信息明文,信息密文,R公鑰加密,信息密文,信息明文,S,R,R私鑰解密,27,非對稱式金鑰，防止否認,信息明文,信息密文,R公鑰加密,信息密文,信息明文,S,R,R私鑰解密,S公鑰解密,S私鑰加密,28,PKI/CA,PKI Public Key Infrastructure 公開金鑰架構利用非對稱金鑰來進行的加解密機制 CA Certificate Authority 憑證中心：公鑰憑證發行單位需要有公信力有層級性的發行單位,29,事前向

9、有公信力的憑證機構註冊，由其簽發公鑰憑證。,發證者名稱有效日期持有人姓名持有人公鑰,CA簽章,公開供鑑別簽署者身分,范錚強,X509,XXXX契約,電子文件,110111001,數位簽章,(類似印鑑登記),公鑰憑證,一對一配對關係,簽章私鑰,簽章公鑰,非對稱金鑰的發行,30,憑證中心,申請電子印鑑,電子證書,提供服務的企業,其他企業,顧客,核發,0101010101,附上電子簽章,接受各界查詢並確認電子印鑑使用者的身分,電子文件,電子文件,0101010101,向認證中心查證電子印鑑之真偽,線上申請,線上處理,范錚強,15,網際服務網,提供線上申辦服務,1,

10、2,3,4,5,電子認證,范錚強,范錚強,31,一些常用的安全機制,SSL Secure Socket LayerSET Secure Electronic Transaction,32,SSL,利用使用者不需知覺的情況之下，在網路傳輸兩點之間，進行非對稱加密的傳輸安全機制的協定,33,SET,消費者的資料經由電子商店傳遞給發卡銀行，由銀行解密，授權商店接受。電子商店無法讀取顧客的信用卡資料,加解密,密文,向銀行請求授權,信用卡資料,加解密,34,SET vs SSL,SET 較為安全兩大國際信用卡組織(VISA, MasterCard)皆支持SET 世人都覺得未來電子交易必然依賴SET

11、但SET在推廣方面卻面臨挫敗！使用者擁抱SSL為什麼SET不被使用者廣為接受？,易用性決定！,35,問題：你不用網路，信用卡資料就安全了嗎？,你是否使用傳真授權表買機票？付旅行團費？你是否在餐廳把信用卡交給店小二？他幫你到櫃臺結帳你是否在加油站將信用卡交給工讀生？他幫你拿到另一個加油島去刷卡你是否使用信用卡？你消費的商店裡保存了你的資料,36,個人身份確認,密碼 4碼？8碼？規定定期更改？實體鑰匙加上密碼生物辨識指紋、聲音、眼珠、面貌等身份確認的意義資訊存取稽核軌跡法律證據,37,個人身份確認2,很多人將密碼寫在容易取得的地方以防忘記甚至不設定密碼有很多人將密碼

12、交給主管萬一有法律訴訟，請問法院認定誰做了那些行為？誰負責？,安全漏洞！,破壞稽核軌跡、無法重現犯罪現場,38,SOP怎麼規定的？,SOP: Standard Operating Procedure 標準作業程序 SOP 對洩漏密碼是否有規範？公司是否允許持有大門鑰匙的人，將鑰匙放在公司大門口旁的樹下？ SOP 是否允許提供密碼給主管、部屬或代理人？人工作業如何做的？,39,技術掛帥的環境,重視實體安全、通訊安全忽略管理面、人性面幸好資訊安全防護在1999/2000年，出現國際標準：BS7799/ISO17799,40,BS7799/ISO17799,英國的資訊安全標準被國際標

13、準組織接受內容：資訊安全的管控從政策、程序、存取、復原等完整的資訊安全考量,41,BS7799 的安全十大項目,安全政策：提供管理面的指導性原則安全組織資產分類與管理依風險和損害對資產採取分級分類人事管制減少人為錯誤、偷竊、欺詐或濫用設施的風險實體和環境安全,42,BS7799 的主要內容2,通訊與操作管制存取管制安全體系的建立和維持復原計畫防止商業活動的中斷，並保護關鍵的業務過程免受重大故障或災難的影響符合法律和規章,43,安全管理重點,Process life cycle control 全程的管理和安全確保，而非侷限於技術面 SOP 做你說你要做的事，但你要做什麼？為何？ Check and balance 權責分離、制衡 Recovery 萬一出事，如何處理？,44,So What? 對您個人的意義呢？,你負責哪一些資訊資產？你的有哪些實體安全顧慮？家用電腦？手提電腦？掌上電腦？你有哪些通訊安全措施？有什麼存取管制習慣？你是否有復原計畫？備份？備份的安全？,45,結論,安全非常重要，但並非絕對必須瞭解風險和替代方案安全不一定最重要必須瞭解安全計畫的目的技術面只是必要條件所有技術方案都可能有管理面的破解方法配套的制度或個人習慣,

展开阅读全文