新北市教育研究發展中心資訊組長資安課程網路弱點偵測.PDFVIP

新北市教育研究發展中心 資訊組長資安課程 網路弱點偵測與防護 日期：100/12/13 講師介紹 林志勇 ( Eric Lin )  專業資歷：  精誠資訊公司 顧問  昇達價值股份有限公司 經理  安永管理顧問股份有限公司 ( Ernst Young ) 經理  安侯企業管理股份有限公司 (KPMG) 副理  行政院主計處資通安全外部稽核團成員  ISO27001 Lead Auditor  ISO20000 Lead Auditor  BS10012 Implement Caurse Certified  DCSE（Dragon Soft Certified Security Engineer）  講授經驗：  政府單位與國營事業：立法院、法務部、外交部領事事務局 、衛生署、署立桃園醫院、國家衛生研究 院、國民健康局、臺北巿國稅局、高雄市國稅局、嘉義縣財政稅務局、臺灣電力公司、農委會林務局 及各林管處、農委會農林航空測量所、嘉義市政府、嘉義市環保局、嘉義市衛生局、嘉義縣政府、台 南縣政府、台南市政府、臺北縣教育研究發展中心、體育委員會、國防大學等  私人企業與組織：台灣大哥大、台灣客服、慈濟技術學院、高明國際、彰化銀行、台灣晶技  晨宇資訊 資安講師  中華電信訓練所/GSN政府服務網路特約講師 2 網路弱點  由於程式(軟體、韌體或硬體)設計或實作不良與疏忽， 導致程式運作出現不符預期結果的情況，而這種情況可 能造成程式效能上的損失，或進一步的權益損害。  弱點是一種設計、實作或操作上的錯誤或瑕疵。 3 網路弱點來源  不當的設計 (Bad Design) • 例：無線網路安全性協定-WEP易受攻擊 責任：設計者、規劃者  不當的實作 (Bad Implementation) • 例：程式緩衝區溢位 責任：程式員  不當的組態設定(Bad Configuration) • 例：防火牆的組態不符合安全政策 責任：管理員  過時的組態設定 (Stale Configuration) • 例：病毒沒有更新定義檔 責任：管理員 4 常被利用的弱點  TCP/IP通訊協定的弱點  作業系統的弱點  應用程式的弱點  人為設定管理不當 5 弱點常見名詞  許多產品由於程式設計或撰寫不當，而產生了弱點 (Vulnerability Created and Existed) 。  一旦某個系統或軟體的弱點被發現 (Discovered) ，系 統或軟體廠商在一段時間後會提供因應的修正檔 (Patcher) 。  網路安全機構 (如CERT)會發佈(Disclosure)相關的安全 通告(Adversiory) 。  若有駭客利用弱點(Exploit)發展出通用的攻擊程式 (Universal Exploit Code) ，則可能造成重大的網路資 安威脅(Threat) 。 6 弱點、威脅與攻擊的關係