Download presentation
Presentation is loading. Please wait.
1
© The McGraw-Hill Companies, Inc., 2007 資訊與網路安全概論 (An Overview of Information and Network Security)
2
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 2 本章內容 1.1 前言 1.2 資訊系統之安全分析 1.3 資訊安全的威脅 1.4 資訊安全基本需求 1.5 資訊安全之範疇 1.6 安全的資訊系統架構 1.7 法律觀點 © The McGraw-Hill Companies, Inc., 2005
3
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 3 1.1 前言 資訊訊科技為人類帶來便利的生活,我們在享受 這些科技帶來的便利之餘,卻常常忽略了這些科 技背後所潛在的安全問題。 網路對於生活影響程度與日俱增,駭客利用網路 從事電腦犯罪也屢見不鮮。 – 陳冠希事件 擁有 ? 散佈 ? – 教育部體適能網站入侵事件 – 駭客攻擊 – 羅莉 ?
4
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 4 要如何保護在網路中傳遞及儲存於電腦系統之機密 資料,免於遭受未經授權人員之竊取、篡改、偽造, 則是資訊時代當務之急。 機密資料 : 加密保護 授權把關 : 密碼防護,認證技術 竄改資料 : 數位簽章,訊息認證碼 入侵偵測 : 防火牆防範,登入監控,防毒軟體
5
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 5 1.2 資訊系統之安全分析 一般資訊系統安全分析流程的四個步驟 : 弱點分析 威脅分析 對策分析 風險分析
6
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 6 弱點分析 硬體 : Router, Bridge, Gateway, FireWall 軟體 : OS, 網路協定 (TCP/IP, Ethernet, …), 應用軟體 (FTP, WWW, …) 使用者 : 權限為何 ? 找出系統弱點所在,以了解攻擊者所具有的優勢與 管道。 可使用系統安全管理工具,以偵測出系統安全上的 弱點。 攻擊手法日新月異,道高一尺魔高一丈,正反雙方 的戰爭將持續延燒。罪魁禍首是 ?
7
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 7 威脅分析 了解攻擊者所具有的優勢與管道後,進而分析系統 可能遭受到的安全威脅與攻擊。 常見的入侵管道有 : – 電子郵件 – 色情網站 – 遠端登入,取得更高權限以控制電腦 – 電腦病毒,特洛伊木馬 – 假冒網站 – 新硬碟下毒
8
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 8 對策分析 針對前兩項分析所找出的弱點與安全威脅,研擬安 全策略。 存取控制 使用者認證 資料加密 數位簽章 訊息確認碼 進一步對成本效益作分析
9
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 9 風險分析 評估並分析資訊系統所面臨的風險 對於重要資料進行定期備份與回復,以防止系統發 生安全事件時,可確保重要資料的正確性,將損失 降到最低。 有形損失 : 軟硬體破壞,人力資源,工作延誤等損 失。 無形損失 : 公司形象。 合理的資訊安全投資費用應介於,資安漏洞造成的 損失與該損失的十分之一之間。
10
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 10 1.2 資訊系統之安全分析
11
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 11 1.3 資訊安全的威脅 保護的對象 ? 有價值的資訊 : 防止盜拷與散佈。 電腦資源被盜用,或者設備遭受到破壞
12
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 12 天然或人為 天然的威脅導因:天然災害 ( 水火災,地震, …) 人為的威脅導因:管理人員的疏失 蓄意或無意 蓄意的威脅導因:企圖破解系統安全 ( 駭客,違法 ) 無意的威脅導因:系統管理不良 ( 產生漏洞 ) 主動或被動 被動的威脅行為:不會更改電腦系統資料 ( 窺視 ) 主動的威脅對象:電腦系統上資料會被篡改 ( 違法 ) 實體或邏輯 實體的威脅對象:實際存在之硬體設備 邏輯的威脅對象:電腦系統上的資料 1.3 資訊安全的威脅
13
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 13 1.4 資訊安全基本需求 機密性 完整性 鑑別性 可用性 不可否認性 存取控制 稽核
14
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 14 機密性與完整性 機密性 : 防止機密資訊洩漏給未經授權的使用者, 所謂洩漏包含讀出,瀏覽,列印。甚或是機密文件 的存在與否亦不能為人得知。 – 國防機密 – 商業機密 – 個人隱私 完整性 : 防止資料備位經授權者擅自更改,更改包 含了新增、更正、更新、移除等 – 私自增加使用者 – 私自更改帳戶金額 – 私自新增帳戶 – 私自移除存戶資料
15
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 15 鑑別性與可用性 鑑別性 : 確認使用者身分或資料來源 – 快速且正確的驗證使用者身分,預防暴力攻擊。 進一步可使用存取控制技術,進而限制各種等級 使用者之權限。 – 訊息來源鑑定則是防止惡意者,假冒合法使用者 欺騙其他的使用者。 ( 假網站,假提款機 ) 可用性 : 確保資訊系統運作過程的正確性,以防止 惡意行為對資訊系統的破壞或延遲。 (Dos 攻擊 ) 因 此必須確保遭受攻擊時,資料內容與格式不能遭受 破壞,導致系統無法正常運作。
16
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 16 不可否認性、存取控制與稽核 不可否認性 : 傳輸雙方均不能否認曾經傳送或接收 資料。 ( 公開金鑰基礎架構 Public Key Infrastructure 簡稱 PKI) 存取控制 : 資訊系統內每位使用者依其服務等級而 有不同的使用權限。 (Super User, Administrator, Guest) 稽核 : 根據稽核紀錄 (Audit Log) 追蹤入侵者,以找 出入侵管道進行防堵,並且回復系統。
17
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 17 1.4 資訊安全基本需求 資訊安全 基本需求 資訊安全 基本需求 稽核 (Audit) 稽核 (Audit) 機密 (Confidentiality) 機密 (Confidentiality) 辨識 (Authentication) 辨識 (Authentication) 完整性 (Integrity) 完整性 (Integrity) 不可否認 (Non-repudiation) 不可否認 (Non-repudiation) 存取控制 (Access Control) 存取控制 (Access Control) 有效性 (Availability ) 有效性 (Availability )
18
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 18 資訊安全的領域相當廣泛,所有可確保資訊系 統正常運作及確保機密資料之保密及完整性的 機制都涵蓋在內。 1.5 資訊安全之範疇
19
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 19 現今 MIS 語資料庫系統已不需建構於同ㄧ台主機, 因此資料庫分散餘各地主機,透過網際網路來存取 各地的資料。 因此安全的 MIS 需要包含資料庫安全,作業系統安 全,管理資訊系統安全,更要涵蓋網路安全。 因此系統安全將用以下四個不同面象進行討論 : – 使用者 – 操作介面 – 後端處理程式 – 資料庫
20
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 20 組織中完整的安全系統元件 使用者 – 系統的使用人員可能是組織中的員工或顧客。 – 可攜式儲存體的管制,內外網的區隔, 操作介面 – 對於不同等級的使用者,必須要提供不同的頁面。以避 免惡意使用者有機可乘。 後端程式 – 負責處理回應使用者所要求的服務,若使用者要取得資 料庫中的資料,也必須透過此系統元件存取,後端程式 可說是系統中之靈魂。 ( 物件導向 ) 資料庫 – 系統主要資料來源的部分,即為最大儲存單位資料庫, 負責保存重要資料與一般資料,依據不同需求,而有不 同的資料格式與儲存方式。
21
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 21 1.6 安全的資訊系統架構 外圍層牽涉到有關電腦系統周邊 外圍之環境因素。 外部層是使用者與系統間介面層 次,所牽涉到是個別使用者所能 操作到的系統。 中心層則是內部層與外部層溝通 橋樑。 內部層牽涉到資料實際儲存及管 理的方式。 分析層牽涉到系統之管理及安全 威脅之分析。 法律層牽涉到有關資訊安全相關 的法律條文。
22
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 22 電腦作業系統安全架構 ( 以角色觀點 )
23
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 23 電腦作業系統安全架構 ( 以技術觀點 )
24
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 24 1.7 法律觀點 電腦系統的安全架構除了要有外圍層、外部層、 中心層、內部層、及分析層外,還需要有相關的 法律來約束使用者的行為。
25
資訊與網路安全概論 © The McGraw-Hill Companies, Inc., 2007 25 電腦犯罪 依據電腦處理個人資料保護法,入侵他人系統以竊取機密 或竄改、偽造電子資訊將可能構成下列犯罪行為: – 毀損罪: 毀棄、損壞他人文書或致令不堪用,致生損 害於公眾或他人者,處三年以下有期徒刑、拘役或一 萬元以下罰金。 – 妨害書信秘密罪:無故洩漏利用電腦或其他相關設備 知悉或持有他人之祕密者,處二年以下有期徒刑、拘 役或五千元以下罰金。 – 妨害工商秘密罪:利用電腦犯洩漏業務上知悉他人祕 密或工商祕密者,加重其刑責至二分之一。 – 詐欺罪: 意圖為自己或第三人不法之所有,以不正當 方法將虛偽資料或不正當指令輸入電腦或其相關設備, 製作財產權之得喪、變更紀錄,而取得他人財產者, 處七年以下有期徒刑。
Similar presentations
© 2025 SlidePlayer.com Inc.
All rights reserved.