第十六章资讯安全.ppt

第十六章 資訊安全 第十六章 資訊安全 前言 　　資訊系統的普遍，增加了人們在各式各樣作業上的便利性，也提高了企業的競爭力與生產力。然而便利性的背後卻也代表了人們對資訊系統的依賴與對作業細節的漠不關心。但是往往問題就是由一些小小的細節開始，逐漸造成了一些無法彌補的缺憾，當缺憾產生時，資訊系統無法正常運作，企業的損失也開始一點一滴的造成了。「安全」則是隱藏在便利性後，一個相當重要的課題，因為當人們開始享受資訊系統所帶來便利性的同時，如何維護、保護資訊系統的運作，都將是一件重要的事情，然而安全的本身是一套持續運作的程序，而不是一個執行結束後便不予理會的方法。 本章學習重點 資訊安全 資料加密與身份驗證 網路安全 防火牆 資訊的定義 一般的定義： 「經由各種管道所取得的知識」 電腦領域中的定義： 「經過儲存、處理或是傳輸的資料」 資訊呈現的方式 以書面方式所呈現的資料，也就是傳統的紙張資料。 以數位方式所呈現的資料，包括電腦系統中的磁碟、光碟或是磁帶。 以通訊方式所呈現的資料，包括電話中的交談、以傳真機傳送的資料或是電子郵件。 何謂資訊安全 對企業而言，資訊可以是一種經驗的傳承、知識的累積，它也可以是企業持續運作的根本，甚至是企業創造出的成果。當然它也可以是一個比較實際的結果，例如企業的業務資料、市場行銷資料、財務報表甚至是商業機密。資訊安全的目標，就是維護這些資訊的隱密性、完整性及可用性，以達到鞏固企業的利益及維持企業的永續經營。 資訊安全的目標 安全的等級 相關的標準 BSi BS7799 ISO/IEC 17799 10大管理要項 36種執行目標 127種管制方式 風險評估 找出潛在的風險 評估可能的影響 提出防禦的方式 建立作業的程序 找出潛在的風險 可能面臨的威脅： 威脅的來源有可能是來自於競爭的對手、外部的攻擊者、內部的員工、天災或是人禍。 現有運作的弱點： 弱點的產生，有可能是因為一些小瑕疵或是已知的問題所造成，例如，人員控管的不確實、安全控管的不嚴謹、系統運作的不穩定等，這些問題有些容易被發現有些則不然，唯有不斷的稽核，才有可能發現並即時解決問題。 評估可能的影響 找出潛在的風險後，接著要評估這些風險可能造成的影響及損失。 有形的損失包括金錢與設備 無形的損失有人力、時間、商譽及商機。 提出防禦的方式 確認過可能的風險後，接下來要提出適當的防禦方式，針對潛在的威脅必須予以消除，而已知的弱點也要想辦法解決。至於一些無法解決的部分，如天災或是人禍，就是試法將損失降到最低，或是在問題發生後採取替代方案，以維持企業的正常運作。 建立作業的程序 制訂清楚且明確的目標 依照需求建立出相關的程序 反覆的測試 公布施行與演練 資料加密與身份驗證 加密的基本概念 相關名詞 原文或明文（plaintext or clear text） 密文（ciphertext） 演算法（algorithm） 金鑰（key） 加密（encryption） 解密（decryption） 加密的種類 加密的種類，依其使用金鑰方式的不同可分為： 對稱式加密（Symmetric Encryption）或稱為秘密金鑰加密（Secret Key Encryption） 非對稱式加密（Asymmetric Encryption）或稱為公開金鑰加密（Public Key Encryption） 對稱式加密 非對稱式加密 非對稱式加密-身份驗證 雜湊函數 訊息驗證碼 數位簽章 網路安全 相較於資訊安全，網路安全只是資訊安全的一小部分，目的是希望藉由適當的防護與管理，讓網路環境變得更安全。另外，相較於資訊安全的全方位，網路安全更趨近於探討利用一些技術來加強網路環境的安全性，這些技術包含了：防火牆、入侵偵測系統、弱點掃描器、虛擬私有網路、密碼學、防毒軟體、備份軟體與備援機制等。 網路的方便與危機 恆網的威脅 行動通訊與無線網路的技術越加成熟 恆網時代（Evernet Era）的來臨 安全的隱憂 網路安全策略 安全的網路環境，需要的是一套完善且持續運作的安全機制，而不是一個用過就不予以理會的解決方案，因為對於安全管理而言，一時的安全，並不代表永遠的安全，今天被判定為安全的系統，到了明天也許就會被人發現有安全上的瑕疵。 常用的安全技術 防火牆 入侵偵測系統 弱點掃描器 虛擬私人網路 防毒軟體 備份程式 備援機制 入侵偵測系統 弱點掃描器 虛擬私人網路 防毒軟體 防毒軟體的功能 偵測並且防止惡性程式感染電腦系統 針對已經遭受感染的程式進行清除或隔離 檢查的機制 即時 手動 排程 備份程式 需要備份的資料 作業系統 應用程式 使用者資料 資料備份的方法 一般（Normal） 增量（Incremental