资讯安全管.pptVIP

資訊安全管理-個人篇 資訊安全的意義 資訊安全的本質 威脅來源的來源與動機 駭客 電腦病毒 電腦蠕蟲 木馬程式 社交工程 犯罪三要素 十大資訊安全習慣 1.不明人士要盤查 防止非法破壞 2.社交工程要小心 3.電腦不用要登出 防止非法存取 4.機密資料要保護 清桌作業 電子檔案文件保護 5.密碼設定要穩固 密碼遭破解之統計數據 帳號與密碼 密碼設定小技巧 密碼設定範例 6.重要資料要備份 7.應用系統要更新 8.電腦防毒要更新 防止電腦病毒及木馬的危害 電腦中毒的徵兆 9.瀏覽網路要提防 預防網路釣魚 使用網路服務需知 小心cookie的潛在危機 小心msn也會駭人 ? 不隨便接收來路不明的檔案 ? 不隨便點選陌生的網址 ? 不要傳送個人資料，例如身分證字號、信用 卡號碼等 10.電子郵件要過濾 處理電子郵件附件 ? 處理電子郵件附件的五大祕訣 　– 除非您瞭解附件的來源且您知道會收到該附件，否 　則請勿開啟任何附件。 　– 如果電子郵件附件係由不知名人士寄出，請立即刪 　除該郵件。 　– 使用防毒軟體並時時更新。 　– 如果您必須寄送電子郵件附件給別人，請告知收件 　人，以免您的信件被誤認為病毒。 　– 使用垃圾郵件篩選功能協助您阻擋有害的電子郵 　件，很多這類郵件都含有危險附件。 資訊安全概論 資訊安全概念簡介(1/4) 資訊對組織而言就是一種資產，和其它重要的 營運資產一樣有價值，因此需要持續給予妥善 保護。資訊安全可保護資訊不受各種威脅，確 保持續營運，將營運損失降到最低，得到最豐 厚的投資報酬率和商機。 BS 7799標準定義 資訊安全概念簡介(2/4) 資訊安全的重要 ?企業資訊化的過程，資料以電腦處理、傳遞和 儲存並不安全。 – 會被攻擊 – 會被入侵 – 會被攔截 ?資料的不當揭露、破壞及無法正確提供服務將 導致企業重大損失。 資訊安全概念簡介(3/4) 資訊安全 –資訊安全是一種防止與偵測未經授權而使用、竊 取、破壞您的資訊系統的一種過程與程序。 –資訊安全的工作必需事先妥善規劃、確實謹慎實行 各項必要的資訊安全措施，並且持續不斷的檢討修 正實施，以確保隨著時間的演進，仍可以維持資訊 的安全性。 資訊安全概念簡介(4/4) 安全管理概念 –安全管理是將公司組織的風險降低到一個可以接受 的程度並且持續維持這個可接受的程度的過程。 –安全管理必需由上往下(Top-down)實施，由上層管 理人員至一般員工必需參與。 –為達到安全性管理目標，安全性管理的工作必需區 分為下面三個控制層面： ?管理控制 ?技術控制 ?實體控制 資訊安全管理要件(1/7) C. I. A. 資訊安全的基本功能及目的不外在提供資料和資 源的機密性、完整性、可用性。 安全性機制所提供的基本服務： – Confidentiality (機密性) – Integrity (完整性) – Availability (可用性) 其它安全性服務 – Non-repudiation (不可否認性) – Authentication (身分鑑別) – Authority (存取權限控制) 資訊安全管理要件(2/7) Confidentiality (機密性) ? Prevent disclosure of data. ? 確保資料傳遞與儲存的私密性。 ? 避免未經授權的使用者有意或無意的揭露資料內涵。 　例如資料於網路傳送時被攔截竊取，或公司不小心公佈不該公佈 　的訊息均是違反資料的機密性。 ? 機密性資料傳遞和儲存時務必加密處理。 ? 採用安全性協定(eg. SSL、IPSec) 資訊安全管理要件(3/7) Integrity (完整性) ? Prevent modification of data. ? 避免非經授權的使用者或處理程序篡改資料。 ? 所使用的文件經傳送或儲存過程中必需證明其內容並未遭到竄改或偽造才能稱為完整性。 資訊安全管理要件(4/7) Availability (可用性) Ensure reliable timely access to data. 讓資料隨時保持可用狀況。 企業資料必需即時並可靠的提供給企業內部各個層級的使用需求。 系統的高度可用性通常指的是必需確保不能中斷服務。 資訊安全管理要件(5/7) Non-repudiation (不可否認性) 防止存心不良的使用者否認其所做過的事，包括送出信件，接收文件，存取資料等。 即交易的收發雙方參與安全管制並無法否認執行過的交易 　例如數位簽署就具備不可否認性。 資訊安全管理要件(6/7) Authentication(身分鑑別) 辨別資訊使用者的身份 即可以記錄資訊是被誰使用過 例如帳號、身份字號、員工編號。 資訊安全管理要件(7/7) Authority(存取權限控制