企业资讯安全ppt.ppt

企業資訊安全 鄭進興 TWCERT/CC 高雄第一科技大學資管系 jscheng@.tw 95. 09. 26 大綱 何謂資訊安全? 資訊安全威脅 資訊安全考量之議題 企業資訊安全投資與組織人力配置 最適當的資安投資 資訊安全組織架構 資訊安全制度建議 結論 何謂資訊安全 資訊是什麼 ? 企業或組織在營運時所收集， 產生， 或運用的資料。 它可以存在於任何形式，不論是有形或無形的。 它可以是存在於電腦中的資料， 列印或書寫在紙張上的資訊， 甚至是存在於通訊中。 資訊安全的定義(Information Security) 資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價值，因此需要持續給予妥善保護，達成C-I-A-N-A的目標。 資訊安全可保護資訊不受各種威脅，確保持續營運，將營運損失降到最低，得到最豐厚的投資報酬率和商機。 資訊安全的要素 機密性(Confidentiality) 資訊不得被未經授權之個人或程序所取得或揭露的特性。 完整性(Integrity) 對資訊之精確與完整安全保證的特性。 可用性(Availability) 已授權個人或程序在需要時可存取與使用之特性。 不可否認性(Non-repudiation) 對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。 鑑別性(Authenticity) 確保一主體或資源之識別就是其所聲明者的特性。 鑑別性適用於如使用者、程序、系統與資訊等實體。  維護資訊安全的障礙 日益複雜的安全技術 被大量資安資料所淹沒 缺乏優秀且技術純熟的專業人員 延伸的網路周邊使得安全需求不斷變化 威脅的多變性與複雜性與日俱增 符合效益的企業基礎架構防護機制需為 24X7 IT 人員因日常操作的例行性公事而疲於奔命 Vulnerabilities reported Incidents reported 資訊安全相關標準 資訊安全的生命週期 風險評估階段 資訊安全政策設計階段 執行階段 稽核階段 維護階段 資訊安全威脅 資訊安全的威脅 資訊安全的威脅(cont.) 軟體的缺點 作業系統: 系統設計不完善 應用程式: Buffer Overflow(緩衝區溢位) Denial of Service(阻絕性服務) 網路通訊協定的安全性不足 資訊安全的威脅(cont.) 保護環境的安全措施不足 網路芳鄰 帳號和密碼的設定 資訊管理不當 惡意程式 電腦病毒、電腦網蟲、木馬程式 資訊安全的威脅(cont.) 駭客入侵/內部惡意的使用者 系統漏洞或弱點 破解密碼 連線欺騙 基於二台主機之間的信任來騙取連線 實體破壞 天災、人禍 資訊安全威脅的趨勢 病毒、網蟲攻擊將更快速、更具破壞力、影響程面及範圍更大。 駭客攻擊的手法趨於多樣化及混和型的攻擊。 阻斷服務攻擊手法更先進、更具破壞力、影響程面及範圍更大。 安全漏洞增加的速度更快，修補時間縮短。 駭客攻擊目標轉向企業內部的個人電腦及利用寬頻上網的個人電腦。 具破壞力的工具被公開，且取得容易。 攻擊後，資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。 無線網路與網路基礎建設成為下一波攻擊標的。 保護及強化 管理 安全政策 安全規範 資訊科技 資訊技術 安全設定 教育訓練與安全觀念的灌輸 外部法律與罰責 資訊安全考量之議題 企業資安議題 提升企業網路服務安全 健全企業資訊基礎建設 提升企業應用系統安全 強化各部門資訊設施管理 提升使用者資訊安全認知與技能 資訊安全事件處理 事前的防護 事發的應變與處理 事後的鑑識及復原 事前的防護 政策管理 存取控制 實體安全機制 弱點檢測 稽核紀錄檔分析 防毒機制 防火牆 入侵偵測系統 … 事發的應變與處理 專責處理團隊 通報 紀錄 … 事後的鑑識及復原 鑑識及保全證據 快速復原系統及服務 紀錄及分析並修正相關安全策略分析 … 企業資訊安全投資 與組織人力配置 資訊安全的迷思? 安全只是一種感覺，一種虛無飄渺的概念，並沒有實實在在地像PC、 Printer等IT設備一樣，給人們的工作帶來改變。 企業網路安全與否，與投資多少錢的關係不大，因為種種案例表明，即便投入大量資金進行安全建設的企業，依然會因為各種威脅，使企業蒙受巨大損失。 資訊安全投資 專家建議，安全投入占企業基礎投入的5%～20% 國外及台灣的企業是如何?  IT budget spent on security  Security Expenditure per employee  2005年台灣大型企資安支出 以產業別觀察 資安投資主因 資安組織人力 企業資訊化程度愈高，資安管理與緊急應變等資安需求也相對提升，幾年來，企