资讯安全.pptVIP

  1. 1、本文档共31页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
资讯安全

黃明祥 資訊與網路安全簡介 本章內容 0.1前言 資訊訊科技為人類帶來便利的生活,我們在享受這些科技帶來的便利之餘,卻常常忽略了這些科技背後所潛在的安全問題。 網路對於生活影響程度與日俱增,駭客利用網路從事電腦犯罪也屢見不鮮。 要如何保護在網路中傳遞及儲存於電腦系統之機密資料,免於遭受未經授權人員之竊取、篡改、偽造,則是資訊時代當務之急。 資通安全注重的三種資料類型 機密資料 只允許經授權的人存取,禁止非經授權者存取或閱讀。 例如軍事、情報、以及有關國家安全之資料。 敏感資料 政府、機構、企業等具敏感性之資料。 正確資料 保護該資料之正確性及有效性,禁止該資料被破壞、偽造以及篡改。 弱點分析 對整個系統架構進行瞭解及測試,系統架設了哪些硬體(例如:路由器(Router))、使用哪一種作業系統(例如:Linux)、使用了哪些通訊協定(例如:TCP/IP)、哪些人會使用本系統、授權了哪些權限給使用者等等。 管理者瞭解這些資訊後,進而分析系統的弱點在那裡、哪些人有可能會來攻擊此系統、他們的目的是什麼、以及要攻擊哪些地方。 威脅分析 瞭解系統的弱點之後,進而要分析系統所可能遭受的安全威脅及攻擊,常見入侵並危及系統安全的方式,包含利用電子郵件、利用Telnet遠端登入、施放電腦病毒、試圖得到具有高存取權限的帳號、刪除或移動檔案等。 有關電腦網路安全相關威脅及事件,請參考美國電腦網路危機處理暨協調中心 (/)及臺灣電腦網路危機處理暨協調中心 (TWCERT/CC) (.tw/)。 對策分析 針對這些弱點及所面臨的安全威脅,研擬安全策略及所需的安全機制。例如, 存取控制、使用者認證等。 風險分析 評估系統風險,對於重要資料我們可以採取更進一步的防護。例如,備份、回復處理等,以防止系統發生安全問題時,可以確保重要資料的正確性, 以降低問題發生時所帶來的損失。 安全漏洞所造成之損失包括有形損失及無形損失。 有形損失包括硬體及軟體設備、人力成本、雜支成本、及其他因工作延宕所造成之損失。 無形的損失則是指公司形象受到影響,其損失費用無從計算。 通常投資在資訊安全之費用,應小於系統發生安全漏洞後所造成之損失,但要大於其損失十分之一。 資訊安全的威脅 保密性或機密性 (Confidentiality) 確保資訊的機密,防止機密資訊洩漏給未經授權的使用者。機密性資料內容不能被未經授權者所竊知,僅能被授權者所存取。 存取包括讀出、瀏覽、及列印。另外「資料是否存在於系統」也是一項很重要資訊。 可透過資料加密程序來達到資料的保密性或機密性。 完整性(Integrity) 資料內容僅能被合法授權者所更改,不能被未經授權者所篡改或偽造。 資料完整性必需要確保資料傳輸時,不會遭受竄改,以保證資料傳輸內容之完整性。 數位簽章,可用來確保資料傳輸過程中,不會被駭客篡改及偽造,以確保資料之完整性。 鑑別性 (Authentication) 包括身份鑑別(Entity Authentication)及資料(或訊息)來源鑑別(Data or Message Authentication)。 訊息來源的鑑別 是要能確認資料訊息之傳輸來源,以避免有惡意的傳送者假冒原始傳送者傳送不安全的訊息內容。 一般利用數位簽章或資料加密等方式來解決訊息的來源鑑別問題。 身份鑑別 使用者身份的識別是要能快速且正確地驗證使用者身份。 為了預防暴力攻擊的惡意侵犯,對於使用者身份驗證的時效性比起訊息驗證要來得嚴謹。 可用性 (Availability) 確保資訊系統運作過程的正確性,以防止惡意行為導致資訊系統毀壞(Destroy)或延遲(Prolong)。 不可否認性 (Non-repudiation) 在資訊安全需求中,對於傳送方或接收方,都不能否認曾進行資料傳輸或接收,意即傳送方不得否認其未曾傳送某筆資料,而接收方亦無法否認其確實曾接收到某訊息資料。 數位簽章及公開金鑰基礎架構(Public Key Infrastructure,簡稱PKI)對使用者身份及訊息來源做身份驗證及資料來源驗證 ,並可再與使用者在系統上的活動進行連結,以達權責歸屬及不可否認性。 存取控制 (Access Control) 資訊系統內每位使用者依其服務等級而有不同之使用權限。服務等級越高者其權限越大,相反的,服務等級越小者其權限越小。 存取控制主要是根據系統之授權策略,對使用者作授權驗證,以確認是否為合法授權者,防止未授權者來存取電腦系統及網路資源。 稽核 (Audit) 資訊系統不可能達到絕對安全(百分之百)。 我們必須藉由稽核紀錄(Audit Log)來追蹤非法使用者,一旦發生入侵攻擊事件,可以盡快找到發生事件之原因,以做為回復系統(Recovery)及未來能偵測此類入侵手法,以防止再一次入侵系統

文档评论(0)

daoqqzhuan3 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档