网路安全与电脑病毒-网路安全与行动应用实验室.ppt

資訊安全與學網路安全 第 17 章 2 學習目標 看完本章, 您應該學會以下主題： 資訊安全的目標 資訊安全的基本觀念 認識網路安全與電腦病毒 個人增進資訊安全的技巧 3 17-1 CIA－資訊安全的目標 CIA－資訊安全的目標 17-1-1 機密性 17-1-2 完整性 17-1-3 可用性 4 CIA－資訊安全的目標 維護機密性是指：唯有獲得授權者才能知道資訊內容, 未經授權者無法知悉。例如：阿志發送檔案給阿賢時, 將檔案內容加密, 再用安全的方式將密碼告知阿賢, 阿賢便能解密得知正確內容。 告知密碼的行為相當於授權, 只有獲得授權者才能解碼而知悉正確內容；未獲授權者即使取得這份郵件, 也會因不知道密碼而無法解讀出正確內容。 5 CIA－資訊安全的目標 維護完整性是指：能判斷資訊內容是否保持原貌、未被竄改。有時候, 錯誤的資訊比沒有資訊還危險, 因此駭客入侵的目的未必在於破壞, 而是竄改。 舉例來說：入侵銀行帳戶資料庫, 將自己的存款增加100 倍, 其它人的存款都歸零；修改國防部的演習命令, 對民航機發射飛彈；修改入出境管理資料, 使恐怖份子和毒梟能自由出入海關等等, 這類竄改所導致的災難比破壞更可怕。 6 CIA－資訊安全的目標 維護可用性是指：我們在需要的時候隨時可以使用資訊。舉例而言：我們將機密光碟封存在深山的秘密洞穴中, 以維護保密性和完整性, 這的確很安全。 可是在戰爭、颱風、地震等等緊急狀態下, 我們可能因道路中斷而無法取得光碟, 這種連自己都拿不到的保護方式就矯枉過正了, 沒有考慮到可用性。 7 17-2 資訊安全的基本觀念 在進一步介紹資訊安全之前, 我們先澄清一些經常讓人混淆、似是而非的論點, 以協助讀者建立正確的基本觀念。 8 資訊安全的基本觀念 17-2-1 沒有絕對安全 17-2-2 代價不應高於保護對象的價值 17-2-3 沒有一成不變的方法 17-2-4 資安人員要有全方位的視野 17-2-5 縱深防禦才是上策 17-2-6 雙重管制降低風險 9 17-2-1 沒有絕對安全 大多數的資安專家都認為：倘若駭客有足夠的技術、時間和工具, 理論上可以破解任何一種安全機制。因此我們所做的任何防護措施, 只是增加破解的難度與時間, 並不能保證絕對安全。所以如果有廠商宣稱用了它們的產品之後, 企業主便可以高枕無憂, 毋須擔心資安問題, 請不要相信！ 10 17-2-2 代價不應高於保護對象的價值 既然沒有絕對安全, 那麼資安工作不就成了無底洞, 究竟要做到什麼程度、花掉多少經費呢？這就看保護對象的價值囉。舉例而言, 花五十萬元買個保險箱來保管五萬元的手錶, 這顯然不值得（除非該手錶對於當事人具有特殊意義）。 11 17-2-3 沒有一成不變的方法 許多大企業都流行制訂SOP（Standard Operation Procedure, 標準作業程序）, 將處理事情的流程一步一步地寫下來, 作為規範。有了SOP 之後, 即便是新手, 只要照著步驟做, 按圖施工、保證成功。不過, 在例行的行政事務可以如此；在執行資安工作則未必。 12 17-2-4 資安人員要有全方位的視野 一提到資安人員, 許多人就聯想到鑽研於各種稀奇古怪技術的程式員或系統管理員。其實, 技術固然是資訊安全的重要一環, 但並非全部。根據許多案例顯示, 資安事件往往導因於人性面的疏失, 而非技術面的失誤。 13 資安人員要有全方位的視野 14 17-2-5 縱深防禦才是上策 縱深防禦（Defense in Depth）是軍事術語, 應用到資安上則是指部署一層一層的不同保護措施, 以阻擋惡意行為。舉例而言：先在電腦機房外安排警衛管制進出、再用指紋辨識系統驗證身份、最後還要輸入正確的帳戶名稱與密碼, 才能使用機房的電腦, 這就是典型的縱深防禦。 15 17-2-6 雙重管制降低風險 所謂的雙重管制（Dual Control）, 是指重大的決策必須至少有兩人參與, 以避免因個人誤判情勢而釀成大災難。例如：更換主機系統的決策過程, 至少有兩位相關部門的主管參與。 16 17-3 認識網路安全與電腦病毒 很多人生活瑣事幾乎都靠網路處理, 例如購物、繳費等, 就連無聊時也會到網路上閒逛。可惜的是, 大家卻很少關心網路安全的議題。其實這些議題都與自身息息相關, 每個人都應該有所了解, 否則到了災難臨頭才懊悔不已, 就為時已晚了。 17 認識網路安全與電腦病毒 17-3-1 網路安全的重要議題 17-3-2 常見的網路安全技術 17-3-3 認識電腦病毒 18 17-3-1 網路安全的重要議題 網路安全的範疇很廣, 不論軟體、硬體都有各種安全問題存在, 而一般所討論的網路安全, 則以具「人為」、「惡意」、「刻意」、「主動侵犯」及「藉網路活動達成」等特性的威脅