第十一章 網路安全第十一章 網路安全(Network Security)(Network Security)

11.1 11.1 簡介簡介 指防止網路上非法的資料存取與病毒破指防止網路上非法的資料存取與病毒破壞包括截取、竊聽、偽冒、篡改等，而壞包括截取、竊聽、偽冒、篡改等，而具體的作法有：病毒的散播、識別碼與具體的作法有：病毒的散播、識別碼與通行碼的破解、 封包窺視、利用授權入通行碼的破解、 封包窺視、利用授權入侵、假冒侵、假冒 IPIP 、序號預測、交易截取篡改、、序號預測、交易截取篡改、利用科技弱點、利用作業系統的缺失等。利用科技弱點、利用作業系統的缺失等。

天然災害如地震、火災、水災、斷電等。天然災害如地震、火災、水災、斷電等。

11.2 11.2 網路犯罪網路犯罪 包括修改或偷取資料、電腦病毒、摧毀包括修改或偷取資料、電腦病毒、摧毀資料或軟體等資料或軟體等

特性是犯者不須置身現場、所遺留的證特性是犯者不須置身現場、所遺留的證據不若傳統犯罪的多、其有效性也較低據不若傳統犯罪的多、其有效性也較低

電腦病毒電腦病毒

對電腦系統的安全性與完整性造成威脅的一種對電腦系統的安全性與完整性造成威脅的一種軟體，不但會造成資料的損壞而且也會危害到軟軟體，不但會造成資料的損壞而且也會危害到軟體內部的資料和程式。不需透過人力即可在程式體內部的資料和程式。不需透過人力即可在程式之間、文件之間與電腦系統之間或經由網際網路之間、文件之間與電腦系統之間或經由網際網路來傳播。來傳播。

19991999 年年 44 月月 2626 日，具毀滅性的『日，具毀滅性的『 CIHCIH 』病毒，』病毒，共計 共計 3 3 種版本，種版本， CIH 1.2 CIH 1.2 、、 CIH 1.3CIH 1.3 在 在 4 4 月 月 2626 日發病， 日發病， CIH 1.4CIH 1.4 版在每月版在每月 2626 日發病日發病– 在發病日開機即會將整顆硬碟重新格式化，甚至在發病日開機即會將整顆硬碟重新格式化，甚至會造成主機板晶片損毀。會造成主機板晶片損毀。

11.311.3 網路相關法規網路相關法規 網路色情與暴力網路色情與暴力 ---- 傳遞色情圖文、販賣色情光傳遞色情圖文、販賣色情光

碟、媒介色情交易、煙毒、槍砲製作技術及販賣、賭碟、媒介色情交易、煙毒、槍砲製作技術及販賣、賭博博

複製網路上的軟體或文章複製網路上的軟體或文章 ---- 侵害著作權侵害著作權 詐欺、不實廣告、匿名毀謗、恐嚇詐欺、不實廣告、匿名毀謗、恐嚇 駭客行為與製造電腦病毒駭客行為與製造電腦病毒 ---- 妨害秘密、偽造妨害秘密、偽造

文書、電腦處理個人資料保護法文書、電腦處理個人資料保護法

11.411.4 網路安全控制網路安全控制

預防控制：預防控制：緩和一個人所想要採取的行動。例如：緩和一個人所想要採取的行動。例如：密碼的設定，避免非法的存取資料或是進入到私人密碼的設定，避免非法的存取資料或是進入到私人的系統裡。的系統裡。

偵測控制：偵測控制：發現有害的事件，如：尋找非法網路發現有害的事件，如：尋找非法網路入口的或病毒的軟體可以偵測這些問題。偵測軟體入口的或病毒的軟體可以偵測這些問題。偵測軟體必須即時地描述發生了什麼問題。必須即時地描述發生了什麼問題。

校正控制：校正控制：矯正一些我們所不期待發生的事情或矯正一些我們所不期待發生的事情或是非法的侵入。如：當資料的傳達失敗時，軟體可是非法的侵入。如：當資料的傳達失敗時，軟體可以自動地恢復和重新啟動通訊電路。以自動地恢復和重新啟動通訊電路。

11.5 11.5 網路安全控制技術網路安全控制技術 防火牆防火牆 ----目的在於提供企業連結網際網路時能有目的在於提供企業連結網際網路時能有

一個安全的防護，阻止有心人士由外部網路入侵，一個安全的防護，阻止有心人士由外部網路入侵，並且讓合法的資訊能夠順利通關。並且讓合法的資訊能夠順利通關。

封包過濾封包過濾 (Packet Filter)--(Packet Filter)-- 檢查通過它之每一封包起點和終點檢查通過它之每一封包起點和終點的位址，一般而言，封包的位址只在網路層才會被檢查。的位址，一般而言，封包的位址只在網路層才會被檢查。

應用閘道應用閘道 (Application Gateway)--(Application Gateway)-- 介於網際網路和組織網路中介於網際網路和組織網路中間的媒介，能夠在防火牆授權給它的存取權限內存取組織的間的媒介，能夠在防火牆授權給它的存取權限內存取組織的資訊。資訊。

兩者混合皆有兩者混合皆有 ---- 介於上述二者間的一種型式，作用於較低的介於上述二者間的一種型式，作用於較低的層次，如市面上所看到利用層次，如市面上所看到利用 SOCKS SOCKS 技術所作的防火牆。技術所作的防火牆。

防火牆的架設防火牆的架設

單一防火牆架構單一防火牆架構 ---- 常見於中小企業的防火牆架構常見於中小企業的防火牆架構

網際網路

路由器 企業內網路的電腦與伺服器

防火牆架在這裡

雙防火牆架構雙防火牆架構 ---- 較複雜但安全等級較高較複雜但安全等級較高

網際網路

企業內網路的電腦

伺服器

路由器 路由器

非軍事區DMZ

防火牆的資料應用防火牆的資料應用使網路安全管理焦點集中使網路安全管理焦點集中可記錄及統計網際網路的使用狀況可記錄及統計網際網路的使用狀況監視網路上不正常的使用監視網路上不正常的使用可以落實網際網路安全政策可以落實網際網路安全政策

資料加密資料加密 ---- 利用數學規則演算法來將資訊加以隱藏利用數學規則演算法來將資訊加以隱藏。。

控制者

DES

控制者

DES

控制者

DES

控制者DES DES

控制者

控制者

中間節點

控制者

DES

控制者

DESDES

控制者

DES

控制者

DES

沒有加密

11.611.6 使用者的網路安全控制使用者的網路安全控制 使用者教育訓練使用者教育訓練 使用者權限設定使用者權限設定

11.711.7 網路交易的安全網路交易的安全

如如 EDI (Electronic Data Interchange)EDI (Electronic Data Interchange) 、網、網路購物、電子銀行等，貿易伙伴之間都路購物、電子銀行等，貿易伙伴之間都經由電腦網路進行各項商業交易活動，經由電腦網路進行各項商業交易活動，包括採購訂貨、貨款支付、電子轉帳等。包括採購訂貨、貨款支付、電子轉帳等。

考量的因素考量的因素 簡單的付款工具簡單的付款工具 交易的安全性交易的安全性 交易的方便性交易的方便性

目前在網路交易的安全性議題上，常見目前在網路交易的安全性議題上，常見的的安全電子交易安全電子交易 ((SET)SET) 、電子簽章、、電子簽章、 SSL SSL 等技術等技術

安全電子交易安全電子交易 (SET)--(Secure Electronic Tra(SET)--(Secure Electronic Transactions)nsactions)

由 由 VISA VISA 與 與 MasterCard MasterCard 兩大信用卡組織提出兩大信用卡組織提出

– 第一步驟：申請第一步驟：申請 SET SET 認證認證– 第二步驟：安裝第二步驟：安裝 SET SET 軟體軟體– 第三步驟：申請第三步驟：申請 SET SET 交易交易

(1) (1) 前置作業前置作業 (2) (2) 交易資料送出交易資料送出 (3) (3) 身分確認身分確認 (4) (4) 付款確認付款確認

發卡銀行

PaymentGateway

金融網路

網際網路認證中心

(Certificate Authority)

網際網路

特約商店(Merchant)持卡人

(Cardholder)

網際網路

網際網路

網際網路

付款閘道器

數位簽章數位簽章

原始文件

雜湊函數

訊息摘要

數位簽章使用者的秘密金鑰

原始文件

將原始文件與數位簽章結合為『複合文件』傳送出去

原始文件

數位簽章

訊息摘要使用者的公開金鑰

雜湊函數

訊息摘要

兩者相比對確認文件完整性

數位簽名的信件樣本數位簽名的信件樣本

SSLSSL （（ Secure Socket layerSecure Socket layer ））

目前已應用在目前已應用在 Netscape Netscape 公司的公司的 Navigator Navigator 瀏覽瀏覽器與器與 Microsoft Microsoft 公司的公司的 ExplorerExplorer 瀏覽器中。瀏覽器中。

SSLSSL 協定由協定由 Netscape Communication Netscape Communication 公司於公司於 19919944 年年 1010 月所提出月所提出

主要目的在提供網路上交易過程中基本的點對點主要目的在提供網路上交易過程中基本的點對點(End-to-End)(End-to-End) 通訊安全機制，避免交易訊息在通通訊安全機制，避免交易訊息在通訊過程中被攔截、竊取、偽造及破壞訊過程中被攔截、竊取、偽造及破壞