Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
2
Outline
資訊安全案例
資訊安全基本概念
攻擊的類型
自我安全防護
98/6/3 3
中共網軍
http://n.yam.com/tlt/china/200812/20081209393328.html
中國軍方吸收民間頂尖駭客視其專長編組,依任務別使用「間諜程式」、「蠕蟲程式」、「木馬程式」、「釣魚程式」與「電腦病毒」等,透過網路入侵各國。受害者包含德國、美國、英國等政府官方網站,但中國官方對外一概否認到底。
98/6/3 4
民進黨官網遭駭 ! 五星旗變首頁
http://www.itis.tw/node/2419
民進黨中央黨部的網站,驚傳遭到中國駭客入侵 !2008-12-23 日上午 7 點多,民進黨官網首頁竟然出現中國五星旗圖樣
98/6/3 5
彩虹橋程式 窺女子房內舉止
http://tw.news.yahoo.com/article/url/d/a/081201/78/1ad71.html
新竹縣的曾姓大學生,坦承於 97 年 4 月 10 日自不詳來源取得「彩虹橋木馬程式」,藉由不詳影片散佈在網路上各大論壇,供人下載藉機植入他人電腦,因陳女的電腦中此木馬程式,訊號即傳回曾某電腦系統。
98/6/3 6
鍵盤駭客入侵網路銀行安全堪虞
http://www.cib.gov.tw/news/news01_2.aspx?no=790
陳姓駭客專門在網路上販賣虛擬銀行、ATM 的讀卡機,然後在驅動程式中加入自己設計的鍵盤側錄程式,只要民眾在網路上使用晶片卡,條碼就會被完全側錄。
98/6/3 7
資訊安全的基本概念(Information Security Concept)
98/6/3 8
資訊安全三要素
機密性(Confidentiality)完整性 (Integrity)可用性
(Availability)C.I.A.
98/6/3 9
機密性 (Confidentiality)
確保資訊不可被未授權的個人、實體或流程所取得的特性。
如學生資料的就屬於有機密性
98/6/3 10
完整性 (Integrity)
將資訊資產依風險等級分類,並提供適當的保護以確保資訊資產的完整性。
如學生資料、學籍資料就必須有足夠的完整性,不可輕易被更改
98/6/3 11
可用性 (Availability)
確保被授權的個體要求時可取得並使用的特性。
當被授權承辦人員必須可有足夠權限去使用
98/6/3 12
資訊資產 (Asset)
http://www.pvbtconsulting.com/Chinese/publish.htm
電子化資訊
軟體
硬體
技術服務
書面文件
人員
98/6/3 13
安全是一種程序而非產品
防毒軟體
–Basic but Intruder?防火牆
–Avoid inside attack?入侵偵測
–Exception?漏洞掃描
–Update and repair?策略管理
–People
存取控制
–Something you know智慧卡
–Something you have生物特徵
–Something you are加密
–Easy to use?實體安全機制
–People
98/6/3 14
資訊安全的弱點
http://www.pvbtconsulting.com/Chinese/publish.htm
弱點是導致威脅發生的原因,不會直接導致資訊資產的損害。
常見的弱點如下 :–未受訓練或具備安全認知的人員
–錯誤的選擇及使用密碼
–缺乏存取控制、資料沒有備份 ...
98/6/3 15
資訊安全最弱的一環是什麼 ?
如果你有美金一百萬元,你會如何破解最高等級的安全系統
98/6/3 16
Ex.1 網路芳鄰
98/6/3 17
Ex.2 個人資料
在公用電腦上操作任何文件,請記得帶什麼來,要帶什麼走 !!
以免個資外洩
98/6/3 18
Ex.3 個人 mail 外漏
98/6/3 19
資訊安全的威脅
http://www.pvbtconsulting.com/Chinese/publish.htm
威脅是直接導致資訊資產受到損害的人、事、物。
常見的威脅如下 :–人員操作錯誤、惡意破壞資訊及設備
–病毒感染、駭客入侵
–社交工程
98/6/3 20
攻擊的類型 (Types of Attacks)
http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4
98/6/3 21
攻擊的類型 (Types of Attacks)
http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4
監聽 (Eavesdropping)掃描 (Scanning)社交工程 (Social
Engineering)密碼破解 (Password
Cracking)漏洞 (Vulnerability)惡意軟體 (malicious
code, malware)
病毒 (Virus)阻斷服務 (Denial of
Service)IP欺騙 (IP Spoofing)會議劫持 (Hijacking)
98/6/3 22
監聽 (Eavesdropping)
https://www.owasp.org/index.php/Network_Eavesdropping
鍵盤記錄攻擊(Keylogger attack)
98/6/3 23
監聽 (Eavesdropping)
https://www.owasp.org/index.php/Network_Eavesdropping
●封包監聽 (Sniffer)
98/6/3 24
掃描 (Scanning)
https://www.owasp.org/index.php/Network_Eavesdropping
Port ScanOS FingerprintVersion Detection
98/6/3 25
社交工程 (Social Engineering)
https://www.owasp.org/index.php/Network_Eavesdropping
非技術手段,利用人性弱點
騙術,假冒身分,假冒情境
98/6/3 26
密碼破解 (Password Cracking)
http://www.itis.tw/node/1023
以暴力攻擊 (brute force attack)法設計的密碼破解器 Ophcrack能在 160秒內破解『 Fgpyyih804423』這個密碼
攻擊者可以用 Rainbow Hash Tables 來攻擊密碼透過龐大的、針對各種可能的字母組合,預先計算好其雜湊值
98/6/3 27
漏洞 (Vulnerability)
https://www.owasp.org/index.php/Network_Eavesdropping
緩衝區溢位攻擊(buffer overflow)零時差攻擊 (Zero
day attack)Web 安全威脅
(Web Threats)定期修補漏洞
98/6/3 28
Web 安全威脅 (Web Threats)
跨站腳本攻擊 (Cross-Site Scripting, XSS)–網路釣魚 (Phishing)
SQL注入式攻擊 (SQL Injection)Cracker為何喜歡攻擊 Web AP
–防火牆與入侵偵測系統無法阻擋
–Web 程式設計師忙於功能與效能,缺乏資安素養
–只要入侵一個知名網站,等於成功入侵數十萬台 PC
98/6/3 29
惡意軟體 (malicious code, malware)
https://www.owasp.org/index.php/Network_Eavesdropping
特洛伊木馬程式 (Trojan Horses)–有特別的目的
–不會感染其他程式,也不會自我複製
邏輯炸彈 (Logic bombs)義大利臘腸式詭計 (Salami
Methods)後門程式 (Backdoor)資料竄改 (Data diddling)
98/6/3 30
惡意軟體 (malicious code, malware)
https://www.owasp.org/index.php/Network_Eavesdropping
間諜軟體(spyware)–在未經使用者同意的情況之下,藉由網路對使用者進行廣告,或者會收集使用者的電腦操作行為或個人資訊,甚至進而修改電腦設定的程式。
–Cookie
98/6/3 31
惡意軟體 (malicious code, malware)
https://www.owasp.org/index.php/Network_Eavesdropping
蠕蟲 (Worm)–蠕蟲的行為和病毒非常類似 ( 會複製 ) ,但是病毒會感染並依附著「宿主」程式,而蠕蟲不需要宿主,是個可以獨立執行的程式
–蠕蟲病毒會利用一些媒介大量的自我複製。例如郵件通訊錄
98/6/3 32
惡意軟體 (malicious code, malware)
https://www.owasp.org/index.php/Network_Eavesdropping
病毒 (Virus)–電腦病毒的特徵是根據生物界的病毒而來
–通常具備潛伏、繁殖、觸發、執行等特性,而當病毒進入執行階段,往往也就開始竊取或破壞使用者資料,甚至損毀系統而造成無法開機
郵件炸彈 (Email bombs)
98/6/3 33
自我安全防護
資訊保護全體動員 .資訊安全人人有責
98/6/3 34
微軟安全情報報告
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=b2984562-47a2-48ff-890c-edbeb8a0764c
微軟安全情報報告(Microsoft Security Intelligence Report)軟體弱點逐漸減少,但
更容易被利用。
木馬程式仍是最大的威脅。
中國的電腦感染瀏覽器惡意軟體的比率最高。
98/6/3 35
資訊安全新知
資安之眼
大砲開講
資通安全會報
98/6/3 36
防毒軟體 (AntiVirus Software)
免費還是授權?
– AntiVir– http://freesf.tnc.edu.tw/
antivir/
– Avast– http://www.avast.com/index_
cnt.html
病毒碼更新
–
98/6/3 37
個人防火牆 (Personal Firewall)
免費還是授權?
內建防火牆
port, TCP, UDPAP base
98/6/3 38
安全的密碼 (Robust Password)
定期更新
密碼強度
–利用特殊符號
–避免使用簡單且字典查得到的單字或學校名稱縮寫
避免重複使用已使用過的密碼
98/6/3 39
螢幕保護程式 (Screen Saver)
設定電腦不使用後幾分鐘啟動螢幕保護程式
需輸入密碼解除螢幕保護程式
06/03/09 40
作業系統更新 (OS Update)
Windows Update設定自動更新
避免弱點攻擊
41
結論
定期更新軟體、密碼
安裝防毒軟體、防火牆
正確瀏覽網站,不任意下載來路不明的軟體
資訊安全,不僅是資訊技術 !!