2015年台湾信息安全之回顾与前瞻.pptVIP

一、前言 二、1995~2000之回顾 三、2000~2007之回顾与前瞻 四、深度防御与存活性 五、结论 讲员简介：异术科技股份有限公司信息长　樊国桢博士 专业资格： 1.1 ISO/IEC 27001稽核员/主导稽核员训练课程主导讲员(Lead Tutor)。 1.2 信息安全专利10件。 1.3 新竹交通大学信息管理研究所讲授信息安全管理系统与稽核课程10年。 专业经验： 2.1 曾任信息安全与计算机稽核学/协会理事、常务监事、秘书长。 2.2 信息安全管理协会创会秘书长。 著作： 3.1 电子商务高阶安全防护(1997) 信息工业策进会信息与计算机出版社等信息安全专书(含共同作者共5本)。 3.2 信息安全管理系统标准化期刊论文(SCI、EI)8篇(2003~2007)。 发动攻击所需具备之知识门坎示意图 信息系统安全风险关连图示意 1. 2003瑞士日内瓦召开之信息社会世界高峰会(World Summit on the Information Society，简称WSIS )：提出原则性声明(Declaration for Principles)与行动计划(Plan of Action)。 2. WSIS与信息安全相关之原则性声明与行动计划的主要项目: 「建立通信息技术的信赖与安全」。 「建立各层面足以发展的环境」。 3. ISO/IEC JTC1/SC27之因应： 3.1 2004年10月4日，ISO/IEC JTC1/SC27主席Walter Fumy应WSIS之邀请提出6层次其第4层标准组件：ISO/IEC 27000标准系列之信息安全管理模型。 3.2 2005年10月15日出版之「信息安全管理系统需求(ISO/IEC 27001:2005(E))」，成为ISO/IEC 27000系列标准之第1份标准。 3.3 2005年11月，ISO/IEC JTC1/SC27主席Walter Fumy正式提出SC27工作框架调整方案议题，请各个会员国讨论，预定在2006年ISO/IEC JTC1/SC27年会中决定新工作组织。 信息安全管理系统验证之ISO观点 ISO/IEC JTC1/SC27信息安全管理模型观点之CNS标准对照 ISMS稽核宜具备之深层知识例 1. 2004年7月，数字签章曾常用之碎映(Hashing)算法MD5的破解算法电子版论文发表。 資料來源：Wang, X., D. Feng, X. Lai and H. Yu(2004) Collisions for hash function MD4, MD5, HAVAL-128 and RIPEMD, Cryptology ePrint Archive, Report 2004/199, /(2005-07-07)。 2. 2005年5月，针对Postscript之MD5碎映算法伪造之有意义文件的数字签章实作公开展示。 资料来源： 1. Lenstra, A., X. Wang and B. de Weger(2005) Colliding X.509 Certificates(2005), /2005/067.pdf/(2005-03-01)。 2. Stefan Lucks and Magnus Daum(2005) Eurocrypt’05 Rump Session。 3. 来学嘉(2007) Justified “security”，ICS 2007，大会主讲。 3. 2005年，数字签章仍在使用之碎映算法SHA-1的破解演算算法电子版论文发表，2006年5月12日，ISO/IEC JTC 1/SC27 N5147号「Statement on SHA-1 (National Body Proposal for Defect Report)声明，于已公布之密码算法国际(ISO/IEC)标准中SHA-1停止使用。 资料来源：Wang, X., Y. L. Yin, H. Yu(2005) Collision Search Attacks on SHA1, /paper/Collision Search Attacks on SHA1.pdf/(2005-02-13)。 深度防御(Defense in Depth，简称DiD)构面 1. 进不来(例：实体隔离，硬件符记(Token)之鉴/识别等)。 2. 看不见(例：区间化分隔(Compartmentalization)样式(Mode)之水平防御，操作系统几均提供，惟我国几无人使用，请参见CNS 12717 [ISO/IEC 2382-8]，进一步的作法，可参见：IEEE Computer, Vol.33, No.8, pp.61-68, August 2000)。 3. 带不走(例：输