View
238
Download
5
Embed Size (px)
Citation preview
2中央大學資管系──范錚強
大綱
基本觀念安全的重要性取捨
一些安全防護技術和制度的基本原理你只需要知道原理你自己要有因應的措施
企業安全規範
3中央大學資管系──范錚強
安全威脅有多大?
2007 年電腦犯罪及安全調查來源: Computer Security Institute (CSI), CSI Survey 2007
美國企業因資訊安全問題而衍生的損失,平均高達 35 萬 (2006: 17 萬 )
46% 企業遭受到資訊安全破壞 (2006:53%; 2005: 56%)
52% 電腦偵測到非法使用
4中央大學資管系──范錚強
企業是否有資訊安全事件
5中央大學資管系──范錚強
安全破壞的損失
6中央大學資管系──范錚強
資安環境
環境惡劣,你如何自保?公司資產如何保障?
7中央大學資管系──范錚強
安全的迷思
防止駭客入侵防止病毒入侵隔離外來者…
8中央大學資管系──范錚強
資訊安全的威脅
惡意 非人為、無意硬體破壞 竊盜、搗毀 自然災害、儲存媒體
損毀
資料破壞 資料竄改、資料增刪、系統性更動資料
程式師無能、不小心、遺漏
資料外洩 資料複製、網路截取、詐騙
不小心
網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具
──
9中央大學資管系──范錚強
非人為、非惡意的破壞
水災地震…
莫非定理:只要可能發生,就會發生會在最不該發生的時間發生最壞的情況會發生!!
10中央大學資管系──范錚強
資訊安全的威脅
惡意 非人為、無意硬體破壞 竊盜、搗毀 自然災害、儲存媒體
損毀
資料破壞 資料竄改、資料增刪、系統性更動資料
程式師無能、不小心、遺漏
資料外洩 資料複製、網路截取、詐騙
不小心
網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具
──
資料安全不只是MIS的事!
11中央大學資管系──范錚強
安全的基本基本觀念
安全不是絕對的安全和易用性的兩難
安全是有價的你願意付出什麼樣的代價?你的安全風險 exposure 有多高?
資訊安全有技術面和人性面破壞安全者,都是「人」
主要是內部的人人性!!
12中央大學資管系──范錚強
安全和易用性
想一想,你回家和出門時…進門需要開十個鎖出門需要鎖十道門…
你十天之後會做什麼?
風險和安全措施的對稱
13中央大學資管系──范錚強
資訊安全的確保
評估風險和損失針對可能的威脅加以防護以技術加上制度(或習慣)來防範
瞭解技術的特性以技術來加強、以制度來確保
鏈條的強度,是最弱一環的強度
14中央大學資管系──范錚強
你花 100萬買了一輛新車
請問:以下什麼行動是合理的?你花了 50 萬裝了一個防盜設備你雇用專人 24 小時輪班看守你花了 3 萬買失竊險
什麼叫合理?
15中央大學資管系──范錚強
你家附近最近小偷猖獗
你太太提議加裝一套新的鎖頭你檢驗後,發現新鎖頭雖然是你能負擔的鎖頭中最好的,但還是無法保障100% 安全請問,買不買?
16中央大學資管系──范錚強
最常聽到的安全管制
密碼加解密
Triple DES, RSA, …SSL, SET
PKI, CA
防火牆VPN
……
17中央大學資管系──范錚強
想想看… 2003年發生的事
花旗銀行的網路信用卡資料洩密案進入網頁使用循序碼程式撰寫不當委外管理(系統上線的管制)疏忽
金資中心的大批密碼外洩案人員管理不當
ATM大批盜領案側錄密碼
18中央大學資管系──范錚強
另外一些實例
你休假、出差,主管和你要你的密碼…你該給嗎?你能不給嗎?你憑什麼能不給?
你管理電腦機房,總經理要帶朋友進入你該讓嗎?是否要辦什麼手續?你能不讓嗎?你憑什麼能不讓?
你的部屬將密碼寫在黃紙條,貼在電腦上你該管嗎?你憑什麼管?
19中央大學資管系──范錚強
企業環境
法律環境
保險
安全方案
國際標準
企業體
流程管制
人事管制
文件管制
使用者管制復原計畫
安全政策
應用軟體
輸入輸出管制
程式管制
稽核軌跡
進出管控
隔離
操作管制
安全的「洋蔥」
硬體資料
通訊管制
20中央大學資管系──范錚強
一些安全技術的簡單原理
防毒防止木馬程式木馬:希臘神話中,特洛依 Troy 的木馬屠城
加解密PKI/CA
身份確認備份
21中央大學資管系──范錚強
防止病毒
電腦程式
電子檔案
分析檔案比對病毒碼
防毒軟體
病毒碼
修補或隔離 通過檢驗
22中央大學資管系──范錚強
你需要知道的防毒行動
關鍵你的病毒碼是什麼時候更新的?新的病毒無法防止
檔案、程式、資料的來源是否可靠?來源
不明來源的儲存媒體(光碟、磁碟等)電子郵遞執行檔、自動執行檔、文件中的巨集 (macro)
23中央大學資管系──范錚強
我個人的防護
兩步驟郵件讀取Webmail 用瀏覽器讀取保留有用的郵件、刪除其他
用 Netscape Communicator 收信非主流的系統
定期更新 Windows 系統更新定期更新病毒碼
24中央大學資管系──范錚強
加密解密──一般觀念
例子:我的電話 0916059841簡單的加密, 乘積乘上 13—011908777933
我送給你,你除以 13就有答案了更簡單的方法,猜猜看如何解密?
980779711866420145509898894140142697598077971186642014550989889414014269759807797118664201455098988941401426975
關鍵:我們對加解密的方法需要保密──這世界有絕對機密嗎?
25中央大學資管系──范錚強
對稱式金鑰
信息明文
信息密文
加密
信息密文
信息明文
解密
S
R
26中央大學資管系──范錚強
一些對稱式金鑰相關的名詞
DES, 2DES, 3DES56bit, 112bit, 168bit密鑰長度
軟體加密成本低消耗電腦資源
硬體加密速度快
27中央大學資管系──范錚強
網際網路
我要付款 $$$
請出示身分證明
電子交易的安全需求
防止機密或敏感性資料外洩鑑別對方的身分防止資料被竄改或偽造防止事後否認
28中央大學資管系──范錚強
兩把鑰匙的觀念
你到銀行開個保險箱開戶身份確認取得鑰匙──私鑰
使用身份確認、使用登錄行員持公鑰,和你的私鑰一同開啟
你安全嗎?為何?
29中央大學資管系──范錚強
非對稱金鑰
又稱 RSA 加密由 R/S/A三位學者發明,由數學方式產生一對不相同的金鑰兩者之間無法經由任何數學運算獲得,必須同時產生其中之一由私人保存,另一個則公開經由私鑰加密者,只能由公鑰解密,反過來也一樣
30中央大學資管系──范錚強
非對稱式金鑰,防止外洩
信息明文
信息密文
R公鑰加密
信息密文
信息明文
S
RR私鑰解密
31中央大學資管系──范錚強
非對稱式金鑰,防止否認
信息明文
信息密文
R公鑰加密
信息密文
信息明文
S
RR私鑰解密
S公鑰解密
S私鑰加密
32中央大學資管系──范錚強
PKI/CA
PKI – Public Key Infrastructure公開金鑰架構利用非對稱金鑰來進行的加解密機制
CA – Certificate Authority憑證中心:公鑰憑證發行單位需要有公信力有層級性的發行單位
33中央大學資管系──范錚強
事前向有公信力的憑證機構註冊,由其簽發公鑰憑證。
發證者名稱有效日期持有人姓名持有人公鑰
CA簽章
公開供鑑別簽署者身分
范錚強
X509
XXXX契約
電子文件
110111001數位簽章
( 類似印鑑登記 )
公鑰憑證
一對一配對關係
簽章私鑰 簽章公鑰
非對稱金鑰的發行
34中央大學資管系──范錚強
憑證中心
申請電子印鑑
電子證書
提供服務的企業
其他企業顧客
核發
0101010101
附上電子簽章
接受各界查詢並確認電子印鑑使用者的身分
電子文件
電子文件
0101010101
向認證中心查證電子印鑑之真偽
線上申請
線上處理
范錚強
15
網際服務網─提供線上申辦服務
1 2
3
4
5
電子認證
范錚強
范錚強
35中央大學資管系──范錚強
一些常用的安全機制
SSLSecure Socket Layer
SETSecure Electronic Transaction
36中央大學資管系──范錚強
SSL
利用使用者不需知覺的情況之下,在網路傳輸兩點之間,進行非對稱加密的傳輸安全機制的協定
向銀行請款
SSL加解密
密文
密文 SSL加解密
37中央大學資管系──范錚強
SET
消費者的資料經由電子商店傳遞給發卡銀行,由銀行解密,授權商店接受。電子商店無法讀取顧客的信用卡資料
加解密
密文向銀行請求授權
信用卡資料
加解密
38中央大學資管系──范錚強
SET vs SSL
SET 較為安全兩大國際信用卡組織 (VISA, MasterCard)皆支持 SET
世人都覺得未來電子交易必然依賴 SET
但 SET 在推廣方面卻面臨挫敗!使用者擁抱 SSL
為什麼 SET 不被使用者廣為接受?
39中央大學資管系──范錚強
問題:你不用網路,信用卡資料就安全了嗎?
你是否使用傳真授權表買機票?付旅行團費?你是否在餐廳把信用卡交給店小二?他幫你到櫃臺結帳
你是否在加油站將信用卡交給工讀生?他幫你拿到另一個加油島去刷卡
你是否使用信用卡?你消費的商店裡保存了你的資料
40中央大學資管系──范錚強
個人身份確認
密碼4碼? 8碼?規定定期更改?
實體鑰匙加上密碼生物辨識指紋、聲音、眼珠、面貌等
身份確認的意義資訊存取稽核軌跡──法律證據
41中央大學資管系──范錚強
個人身份確認 2
很多人將密碼寫在容易取得的地方以防忘記甚至不設定密碼
有很多人將密碼交給主管萬一有法律訴訟,請問法院認定誰做了那些行為?誰負責?
42中央大學資管系──范錚強
SOP怎麼規定的?
SOP: Standard Operating Procedure標準作業程序
SOP 對洩漏密碼是否有規範?公司是否允許持有大門鑰匙的人,將鑰匙放在公司大門口旁的樹下?
SOP 是否允許提供密碼給主管、部屬或代理人?
人工作業如何做的?
43中央大學資管系──范錚強
技術掛帥的環境
重視實體安全、通訊安全忽略管理面、人性面幸好…
資訊安全防護在 1999/2000 年,出現國際標準: BS7799/ISO17799
後來改為 ISO27001
44中央大學資管系──范錚強
BS7799/ISO17799
英國的資訊安全標準被國際標準組織接受內容:資訊安全的管控從政策、程序、存取、復原等
完整的資訊安全考量
45中央大學資管系──范錚強
BS7799 的安全十大項目
安全政策:提供管理面的指導性原則安全組織資產分類與管理依風險和損害對資產採取分級分類
人事管制減少人為錯誤、偷竊、欺詐或濫用設施的風險
實體和環境安全
46中央大學資管系──范錚強
BS7799 的主要內容 2
通訊與操作管制存取管制安全體系的建立和維持復原計畫
防止商業活動的中斷,並保護關鍵的業務過程免受重大故障或災難的影響
符合法律和規章
47中央大學資管系──范錚強
安全管理重點
Process life cycle control全程的管理和安全確保,而非侷限於技術面
SOP做你說你要做的事,但你要做什麼?為何?
Check and balance權責分離、制衡
Recovery萬一出事,如何處理?
48中央大學資管系──范錚強
So What? 對您個人的意義呢?
你負責哪一些資訊資產?你的有哪些實體安全顧慮?
家用電腦?手提電腦?掌上電腦?你有哪些通訊安全措施?有什麼存取管制習慣?你是否有復原計畫?
備份?備份的安全?
49中央大學資管系──范錚強
結論
安全非常重要,但並非絕對必須瞭解風險和替代方案
安全不一定「最」重要必須瞭解安全計畫的目的
技術面只是「必要條件」所有技術方案都可能有管理面的破解方法
配套的「制度」或「個人習慣」