漫谈资讯安全.pdfVIP

附錄D 漫談資訊安全 計算機概論編輯小組 內容 D.1 電腦系統的弱點 D.7 網路安全防護 D.2電腦安全的威脅 D.8災難復原計劃 D.3 安全的電腦系統 D.9 個人電腦安全防護 D.4 電腦機房安全防護 D.10 使用電腦的道德規範 D.5 硬體安全防護 D.11密碼學 D.6 軟體安全防護 D.1 電腦系統的弱點 硬體的弱點 電腦系統中可看見的部分被人或自然所破壞 軟體的弱點 惡意盜拷、刪除或竄改 資料的弱點 蓄意或非蓄意的破壞 人的弱點 惡意入侵 週邊耗材的弱點 未銷毀就丟棄 D.2 電腦安全的威脅 電腦安全的目的是保障電腦系統的 (Authorized) 使用者存取 的使用者修改 的使用者所使用，不能被中斷 電腦安全的威脅(續) 對電腦安全構成威脅的有下列各項： 天然災害 電腦當機 電腦犯罪 操作完整性 資訊存取 阻斷服務(denial of service) 資料曝光 D.3 安全的電腦系統 美國國防部「可信任電腦系統評估準則」的電腦安全等 級： D級 ：這一級電腦的硬體沒有保護，作業系統容易侵 入，沒有使用者認證程序和存取控制權的設定，是不可 信任的系統。 C級 ：此級系統提供能由使用者設定的任意存取控制 二級。 安全的電腦系統 (續) B 級：此級系統除了具有C級的規格外，還提供由系統管理者 成B1、B2、B3三級。 B1級提供標籤式安全保護(Labeled Security Protection)； A 級：此級系統從上至下的元件都必須有嚴謹的設計、控制及 數學模式之驗證的過程，是可信度最高的電腦系統。 上述電腦安全等級由低到高依序是D、C1、C2、B1、 B2、B3、A 安全的電腦系統 (續) 標準 其它國家如德國英國、法國、荷蘭等也有自己 的電腦安全標準。 建立安全的電腦系統 建立安全政策 使用確保安全的措施： 存取使用控制 認證（Authentication ） 保護程式與資料 加密（Encryption ） 雇用安全的員工。 擬定災害復原計畫 D.4 電腦機房安全防護 防災處理 水災防護 火災防護 地震防護 備份媒體防護 環境與設備 機房環境 設備 電腦機房安全防護(續) 門禁管理 機房人員。 裝設閉路監視系統以記錄進出人員。 記錄訪客到訪日期、時間與目的。 門禁可以智慧卡、指紋辨識、聲音辨識、掌紋辨 識、視網膜辨識等做身分確認。 D.5 硬體安全防護 硬體控制四個層次 預防（Prevention）：限制被授權使用者只能以被授權的 指令或功能來存取資訊。 現象 限制（Limitation）：控制被入侵時損害的程度。 復原（Recovery）：依據災難復原計畫迅速地進行資訊重 建工作。 硬體安全防護(續) 確認使用者的方法