【教学课件】第14章资讯管理的安全与保护观点.ppt

上传人:wuy****n92 文档编号:69867521 上传时间:2023-01-10 格式:PPT 页数:55 大小:581.50KB
返回 下载 相关 举报
【教学课件】第14章资讯管理的安全与保护观点.ppt_第1页
第1页 / 共55页
【教学课件】第14章资讯管理的安全与保护观点.ppt_第2页
第2页 / 共55页
点击查看更多>>
资源描述

《【教学课件】第14章资讯管理的安全与保护观点.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第14章资讯管理的安全与保护观点.ppt(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著第14章 資訊管理的安全與保護觀點ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著本章大綱q組織的資訊安全議題q防火牆與網路安全q資訊的加密系統與數位簽章q組織整體的資訊安全管理系統:ISO27001架構ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著組織的資訊安全議題(1/2)qSymantec針對亞太地區2010年的資訊安全調查報告發現:l2009年有超過75%的企業機構在過去曾經受過駭客的攻擊。l在這些攻

2、擊中,前三位最嚴重的損失報告,分別為知識產權盜竊、客戶信用卡或其他財務資訊盜竊,以及客戶個人身份資料被盜。l亞太區企業為對抗駭客攻擊,每年需要投入平均高達763,000美元。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著組織的資訊安全議題(2/2)q組織資訊安全的主要議題q組織資訊安全的環境與背景q組織資訊安全的漏洞與弱點q網路安全的服務與目標q網路安全的威脅與攻擊的模式q當代網路安全的重要趨勢與主要挑戰q網路安全的主要防護機制ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-1 資訊安全的主要

3、議題與架構ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著組織資訊安全的環境與背景q首先在資安的環境與背景方面,影響犯罪普及的主要原因有下列幾點:l企業電腦化之普及所潛藏之危機lInternet的開放性l匿名性與距離性l犯罪速度快、容易複製、波及面大l電腦犯罪容易潛伏及隱藏l法律的周延性不足ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著組織資訊安全的漏洞與弱點q作業系統本身的弱點(Vulnerabilities of OS)q通訊協定本身的弱點(Vulnerabilities of Commanica

4、tion Protocds)q網路軟體上的弱點(Vulnerabilities of Network Sobtware)q管理制度上的弱點(Vulnerabilities of Managerial Policy)q人員的弱點(Vulnerabilities of Human)ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著網路安全的服務與目標q我們希望在網路上提供哪些服務的品質?在此方面,主要包括下列五點:l安全隱密性(Confidentiality):指的是當資料傳遞時,除了被授權的人,不會受到外力的擷取。l身分認證性(Authenticati

5、on):指的是當傳送方送出資訊時,就必須能確認傳送者的身分是否為冒名。l資料的完整性(Integrity):指的是當資料送達時必須保證資料沒有被篡改的疑慮。l授權性(Authorization):使用者只能擷取被授權部分的資訊。l不可否認性(Non-Repudiation):使用者已使用或接受某項服務(例如下訂單)時,不能否認其未使用過。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著網路安全的威脅與攻擊的模式(1/2)q網路上的主要攻擊模式l電腦病毒(Virus)的散布l阻絕服務(Denial of Service,DoS)l後門或特洛伊木馬程式

6、(Trapdoor/Trojan Horse)l竊聽(Sniffer)l偽裝(Masquerade)l資料篡改(Data Manipulation)l否認(Repudiation)l網路釣魚(Phising)ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著網路安全的威脅與攻擊的模式(2/2)l雙面惡魔(Evil Twins)l網址轉嫁連結(Pharming)l點擊詐欺(Click Fraud)lRootkitsq整合上述各種資安的弱點與攻擊的模式,一個企業Web-based的資訊流在不同的節點中主要的資安威脅如圖14-2。ISBN 978-957-

7、729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-2 Web-based系統各環節的資安威脅 ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著當代網路安全的重要趨勢與主要挑戰(1/2)q網路門戶開放安全危機大q系統漏洞數量大q使用者疏於更新電腦系統q病毒的製造功力更強與變種更快q攻擊工具的普及與容易取得q蠕蟲(Worm)與傀儡模式(Bot)的聯手攻擊qDDos的威脅加大q結合搜尋引擎的攻擊(Search Engine Attack)ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清

8、著當代網路安全的重要趨勢與主要挑戰(2/2)q無線手機的攻擊(Cell Phone Attack)qWeb 2.0的攻擊(Web 2.0 Attack):的社交網站面臨更多安全問題q雲端運算架構上的攻擊(Cloud Computing Aetach)q網路釣魚客的猖獗q間諜軟體與惡意程式的猖獗q惡意的SPAMq社交工程的攻擊ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-3 網路安全的新威脅與挑戰ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著網路門戶開放安全危機大q病毒可以透過超文件傳輸協定(

9、Hypertext Transfer Protocol,HTTP)的特殊連接埠(port:80)建立與企業網頁伺服器的連結,進行破壞。q病毒可以透過寄信通訊協定(Simple Mail Transfer Protocol,SMTP),進行惡意的郵件轉發,造成企業網路頻寬與郵件伺服器的傷害。q病毒可以任意更改網域名稱系統(Domain Name System,DNS),使企業內部的網域名稱與IP位置無法順利相互映射,影響企業網路運作。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著系統漏洞數量大q2009年調查報告中,64%的網站仍含有重大安全漏洞。

10、發現了2.2萬個安全漏洞。q安全漏洞比例最高的網站類別是社交網站(Social Network Site)。其次是教育網站,有重大安全漏洞的比例占了83%。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著使用者疏於更新電腦系統q大部分使用者都沒有為電腦進行系統更新。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著攻擊工具的普及與容易取得q例如,其中一個名為 Zeus 的殭屍網路攻擊套件,電腦使用者只需花費少至700美元便可買到。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力

11、(四版)林東清 著蠕蟲(Worm)與傀儡模式(Bot)的聯手攻擊qBotnet又稱傀儡程式(Bot)或受控制的網路系統或僵屍網路(Zombies),指的是:一群已經被駭客入侵並控制的電腦所組成的攻擊網路(有些數目多達10萬台),這種集結所形成的攻擊力量非常駭人,包括引發洪水般的分散式阻絕服務攻擊(Distributed DoS,DDoS)的大量寄發、難以追蹤的垃圾郵件(SPAM)或是大量散布惡意程式(Malicious Code)。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著DDos的威脅加大qWorm散布BotqBot散布Worm,Worm再

12、散布Bot的持續循環q利用Bot散布Worm,入侵攻陷後,再由Worm散布及植入更多的Bot,如此所形成的散布循環,其波及的威力可想而知。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著結合搜尋引擎的攻擊(Search Engine Attack)q結合Google強大的搜尋能力,讓攻擊者找尋攻擊標的的速度大幅增加,也大幅提升攻擊範圍!此外,利用搜尋引擎最佳化技術(SEO)展開攻擊也是其中的一種方法。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著無線手機的攻擊(Cell Phone Attack)q手

13、機的病毒威脅q手機與電腦同時下毒q簡訊網釣(SMiShing)ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著 Web 2.0的攻擊(Web 2.0 Attack):的社交網站面臨更多安全問題q透過社交網站,許多認識或不認識的使用者集中在相同的平台上並作互動,一旦這些社交網站被挖掘出安全性弱點,攻擊者將可以快速地利用並影響到大量的使用者。q這些攻擊本身會非常相似,資料竊取式攻擊將遵循標準模式,首先散布垃圾資訊開展釣魚攻擊透過漏洞攻擊和散步惡意軟體來達到目的。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清

14、著雲端運算架構上的攻擊(Cloud Computing Aetach)q網路犯罪借鑒安全即服務(Security-as-a-Service)的理念,打造網路犯罪即服務(Cybercrime-as-a-Service)這一特殊品牌。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著網路釣魚客的猖獗q網路釣魚(Phising),簡單的說,指的是:利用虛設或仿冒的網站以超低價或誘人的免費贈品來引誘消費者上網登錄個人私密資料或進行採購行為,利用此手法來釣到受害者的個人機密(如信用卡卡號)或金錢的一種電腦犯罪行為。主要有下列三種型態:lWeb型lDM型 l 賀

15、卡型ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著 間諜軟體與惡意程式的猖獗q間諜軟體是一個廣泛的名詞,泛指所有快速繁殖,且能夠巧妙滲入PC的合法廣告軟體,以及具有明顯的惡意程式碼,例如鍵盤側錄器(Keystroke Loggers),其又被稱之為可能不需要的程式(Potentially Unwanted Programs,PUPs)。雖然其惡意攻擊性不如病毒,但仍會造成使用者隱私資料及網頁瀏覽行為的被盜取,並會收到及代傳大量的垃圾廣告郵件(SPAM)。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著

16、惡意的SPAMq上述的PUPs整合SPAM就稱為惡意的SPAM。垃圾郵件經過這麼多年還是持續的氾濫:在2009年,Symantec指出有88%的電子郵件屬於垃圾郵件,平均每天約有1070億個垃圾郵件在全球世界各地發放,而這其中有85%的源頭是來自殭屍網路。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著社交工程的攻擊q所謂社交工程(Social Engineering)指的是駭客利用人類的天性,包括同情心、好奇心、求知心、貪心、恐懼心,用抽大獎、情色影片、恐嚇信、可憐求助、社會公益、環保救地球與老年人健康資訊等各種動機來吸引使用者登入惡意網站。這些

17、網站繼而攻擊受害使用者所採用的網頁瀏覽器,再找出觀看影片或文件檔案插件的漏洞再發動攻擊。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著表14-1 網路安全服務項目、威脅與防護法ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著防火牆與網路安全q防火牆的基本概念q防火牆的技術與架構q防火牆的基本目標q防火牆的主要問題ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-4 防火牆示意圖ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能

18、力(四版)林東清 著防火牆的基本概念q防火牆(Firewall)顧名思義就是防止網際網路上的危險延伸到企業內部網路。防火牆介於網際網路和企業內部網路相連結之間。所以網際網路和企業內部網路兩者之間的傳輸,均需經過防火牆,如此防火牆可先檢查傳輸的合法性,若是合法,傳輸連結方能送達目的地。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著防火牆的技術與架構q封包過濾型l以封包過濾方式的防火牆,檢查往來的封包,依據封包的標頭資訊,以及該企業制定的安全策略,決定封包之合法性。屏障式路由器(Screening Router)就是一種以封包過濾方式的防火牆。q代理

19、者型l以代理者方式的防火牆主機,可以是含有兩個網路介面卡的主機(Dual-Home Host)。一個介面連接網際網路;另一個連接內部網路。兩者並非直接相連,連結要求必須經過合法檢驗。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著防火牆的基本目標q過濾封包以阻止網路駭客的入侵。q作為所有封包進出的門戶,方便管理者集中式的管理。q過濾系統安全政策所禁止的網路服務。q保護企業內部網路,避免來自網際網路的入侵。q當外部使用者存取高度機密檔案時,先加以記錄並通知系統管理者。q調節網路交通流量。ISBN 978-957-729-810-2資訊管理 e化企業的

20、核心競爭能力(四版)林東清 著防火牆的主要問題q較難提供全面性的安全q無法提供資料隱密性q無法確認資料來源的認證性q無法預防內部威脅q無法保護那些不經過防火牆的網路連結ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著資訊的加密系統與數位簽章q資訊加密的主要機制q數位簽章與資訊安全q數位信封與SSLISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著資訊加密的主要機制(1/2)q加密(Encryption)l將原始文件轉換成亂碼,而唯有使用解密(Decryption)的金鑰(Key)才能讀出原文的程序,但是在

21、傳輸前使用一個 Key的參數來執行原始文件數位碼的轉換程式(Transform Program)包括數位碼的倒置、中間穿插左右、前後對調,及各種轉換運算,而使整份文件原來的字碼被加密轉換後,變成一大串亂碼,必須使用解密的 Key 才能透過轉換程式將此份文件的數位碼還原成原來的次序,也才能讀取正確的原始資料。qKeyl一長串的文字、符號、數字的組合這些參數,用來啟動指揮轉換程式來轉換原始的文件,使得原始文件變成亂碼。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-5 資訊的加密與解密ISBN 978-957-729-810-2資訊管理 e化企

22、業的核心競爭能力(四版)林東清 著資訊加密的主要機制(2/2)q對稱式加密法(Symmetric Encryption)l此為傳統的加密法,其特色是買賣雙方同時持有一個同樣的 Key 來加密和解密,所使用的Key稱為秘密金鑰(Secret Key)。但 Secret Key有一個很大的問題,亦即如每個企業對業務往來的對象都有不同的Key,且常常要換。q非對稱式加密法(Symmetric Encryption)又稱之為公鑰的基礎設施(Public Key Infrastructure,PKI)。此法的特色主要是使用兩把對應配對的Key,即公鑰(Public Key)與私鑰(Private Key

23、),互相可加密解密對方。在這個機制中,Public Key是公開的,可以讓業務往來的客戶、廠商、消費者和銀行知道的;而Private Key只有自己知道,不能洩露給任何人。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-6 非對稱式的加密法ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著數位簽章與資訊安全q數位簽章(Digital Signature,DS),簡單的說,指的是:利用PKI的機制來保護資料傳遞的隱密性與不可否認性的一種通訊安全機制。而支援數位簽章的主要機制,包括下列幾點:l碎映函式

24、l數位簽章l電子認證中心l安全電子交易協定ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著碎映函式q所謂碎映函式(Hash Function),指的是:對於任一長度的訊息,將其映射成一個固定長度(例如128 Bits)的數值。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著數位簽章q傳送者將文件經特別碎映函式運算後產生一獨特的號碼(128 Bits),稱之為訊息摘要(Message Digest),再利用傳送方的Private Key對此摘要加密,謂之數位簽章(DS)。ISBN 978-957-729-

25、810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-7 數位簽章流程圖ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著電子認證中心q所謂電子認證中心(Electronic Certificates Authority,CA),指的是:一個有公信力的第三者,如財團法人、銀行、信用卡公司等等。q在EC上交易的個人或企業必須在CA認證身分後,再核發電子憑證(Electronic Certificate)及 Public Key 與 Private Key。CA最主要的任務是管理買賣雙方的認證問題。ISBN 978-957-729-810-

26、2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-8 電子憑證的主要內容ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著安全電子交易協定(Secure Electronic Transaction Protocol,SET)q在 Internet 上以信用卡付款方式的安全交易協定,是一個整合利用加密、Public Key/Private Key、數位簽章、認證中心等機制,用以保護買賣雙方資料傳遞的隱密性、安全性與確認性。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-9 SET的交易結

27、構ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著數位信封與SSL(1/3)q數位信封l所謂數位信封,簡單的說,指的是:利用速度較快、較不安全的對稱式加密法的秘密金鑰來對大量的文章內容加密,之後利用較安全的PKI來對秘密金鑰加密(由於其數量很小,因此不會妨害速度),而其主要的利用方法即是所謂的SSL。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著數位信封與SSL(2/3)qSSLlSSL(Secure Sockets Layer)是數位信封的應用,其是目前最被普及利用的安全機制,主要的安全防護程序如下

28、:Server端(例如A)將自己由CA所發給的電子憑證(Electronic Certificate)傳送給Client端(例如消費者的PC)。Client端的Browser(例如IE),其儲存有世界主要CA的公鑰,可利用此來解開Server的電子憑證,取得其內部的企業資訊與其公鑰(見圖14-8)。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著數位信封與SSL(3/3)Client端的IE會隨機產生一個對稱式的秘密金鑰,SSL利用此金鑰對內文(信用卡號或訂單)加密,再利用Server端的公鑰對秘密金鑰加密,形成數位信封。Client端將密文(信用

29、卡號)與數位信封(亦即利用企業公鑰加密保護的秘密金鑰),一起傳送給Server。Server端以自己的私鑰解開數位信封內的秘密金鑰,再以秘密金鑰解開內文(亦即信用卡資料)。q由以上的說明可知,SSL只對Server端有進行CA的認證,但並沒有對Client端的消費者進行認證,因此其可說是半個PKI與SET。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著組織整體的資訊安全管理系統:ISO27001架構qISO27001的主要控管架構q資安的政策與組織構面q資安的作業控管面q反應與回復面ISBN 978-957-729-810-2資訊管理 e化企業的

30、核心競爭能力(四版)林東清 著ISO27001的主要控管架構q組織要保護資訊的安全,不能只靠上述幾個技術性的防禦機制,必須要有個整體的資訊安全策略規劃與活動。q目前國際間最知名、最普遍被採用的資訊安全規範就是所謂的 ISO27001(原來稱為BS7799)。q廣泛地涵蓋了所有的安全議題,包括11大管理要項、44個執行目標、135個控制要項,是一個非常詳盡的產業最佳資訊安全準則。qISO27001(ISMS)的主要架構為何?內容包含哪些主要的資安要項?以下將以圖14-10與表14-2來瞭解其架構,以下將逐一說明。ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著圖14-10 ISO27001的主要11個資安架構ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)林東清 著表14-2 ISO27001的主要11個資安控管要項

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 大学资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁