第十五章資訊安全(InformationSecurity).pptVIP

第十五章　 資訊安全 (Information Security) 資訊安全是國家安全的一環 學習目標 了解何謂資訊安全 了解資訊安全的重要性 了解網路犯罪的型態 了解網路駭客攻擊的類型 了解資訊安全標準 前言 如何加強資料的安全實是目前最為重要的一環。 章節 資訊安全的意義 影響資訊安全的因素 資訊安全的項目 資訊安全的重要性 網路犯罪型態 資訊安全標準 認識駭客 網路攻擊的種類 病毒軟體 資訊安全的意義 保密性：資訊被允許存取(Access)的多少。 完整性：資訊在利用、傳輸、儲存等過程中不被篡改、遺失、毀損。 可用性：資訊在授權人需要時可以立即取得。 影響資訊安全的因素 天然災害：水災、風災、地震、雷電等意外災害。 人為疏失：操作人員無意犯的錯誤。 人為破壞：故意或非法的竊取、竄改、刪除資料或洩密、病毒散播等，是資訊安全最為脆弱的一環。 環境因素：疏於防護造成潮濕、過熱、灰塵、斷電等硬體的損壞。是可以避免的。 資訊安全的項目 實體安全：指硬體實際設備的安全。 資料安全：指各種資料庫或檔案的安全。 程式(軟體)安全：指保持程式運作的穩定與安全。 系統安全：指整個資訊作業的安全 資訊安全的重要性 資訊安全是可以預防的，其重要性為： 資訊安全就是國家安全。 資訊安全是組織持續發展的基礎。 資訊安全是保護個人隱私與財產的需求。 基本防制措施可以歸納為： 防止資訊被竊聽 機密資料應專人保管 維護電腦的正常作業 加裝UPS 重要檔案要定期備份 加裝防火牆(Fire Wall) 網路犯罪型態 竊取電腦記錄 散播電腦病毒 網路販賣盜版光碟 洩露秘密 偷閱他人電子文件 網路色情 網路恐嚇 網路誹謗 網路詐欺 網路入侵 資訊安全標準 ISO 7498-2： 安全(Security)：財產和資源缺陷最小化。 財產(Asset)：有價值的東西。 缺陷(Vulnerability)：任何允許侵入的可利用的缺陷。 威脅(Threat)：潛在的安全破壞活動。 資訊安全標準 ITSEC文件BS 7799(British Standard)「英國標準」： 資訊技術安全評估準則(Information Technology Security Evaluation Criteria，ITSEC) TCSEC(Trust Computer System Evaluation Criteria，可信任電腦系統評估準則) 安全等級(Security Levels)：「」 A(A1)高：多重驗證性安全保護。 B(B1、B2、B3)：強制性安全管制 C(C1、C2)：自主性安全維護，如：C1要求用戶登錄和允許群組ID，C2要求個人用戶使用密碼登錄網路及稽核(Audit)機制。。 D低：開放性安全保護，指完全沒有管制保護的電腦系統。 資訊安全標準 CC(Common Criteria)「公共準則」：統一各項準則。最新標準可參考如下網站： /cc(電腦安全資源中心、Computer Security Resource Center) http://www.iso.ch(國際標準組織、International Organization of Standardization) HIPAA(Health Insurance Portability and Accountability Act )「健康保險可移植性和可計算性條例」 認識駭客 白駭客(White Hat Hacker)：Good 黑駭客(White Hat Hacker)：Bad，Cracker 臨時駭客(Casual Hacker)：出於好奇成為駭客。 堅定駭客(Determined Hacker)：出於經濟或思想上的動機，使用複雜的技術，很難追蹤。 網路攻擊的種類 哄騙(Proofing，偽裝) 中間人攻擊(Man-in-the-middle attack) 拒絕(或抑制)服務攻擊(Denial of Service attack，DoS) 內部攻擊(Insider attacks) 系統故障的攻擊(System bug attack) 鍵盤記錄攻擊(Keylogger attack) 暴力攻擊(brute force attack) 特洛伊(Trojan)(木馬程式) 病毒(Virus) 蠕蟲(Worm) 資料掉包(Data diddling) 義大利臘腸式詭計(Salami Methods) 邏輯炸彈(Logic bombs) 郵件炸彈(Email bombs) 病毒軟體 流行的防毒程式如下： 趨勢防毒軟體Trend Micro Pc-cillin。(/tw/home/enterprise.htm ) 賽門鐵克Norton