资讯安全的管理问题-中央大学管理学院-国立中央大学.PPT

* CNS 27002 　　BS 7799為英國標準協會(British Standards Institution, BSI)所製訂的資訊安全管理標準，被國際標準組織 (International Organization for Standardization, ISO) 收納成為國際之資訊安全管理標準。而原BS 7799標準分為兩個部份，一為BS 7799 Part1，一為BS 7799 Part2。BS7799 Part1被編納為國際標準「 ISO 17799：Information technology - Security techniques - Code of practice for information security management」，BS 7799 Part2被編納為國際標準「 ISO 27001： Information technology - Security techniques - Information security management systems - Requirements」。而ISO 17799於2007年7月，正式更名為ISO 27002。　　經濟部標準檢驗局參考ISO 27002 制定「CNS 27002：資訊技術－安全技術－資訊安全管理之作業規範標準」；參考ISO 27001 制定「CNS 27001：資訊技術－安全技術－資訊安全管理系統－要求事項標準」。CNS 27002是資訊安全管理之參考規範，內容包含11大管控項目（包括：安全政策、安全組織、資產分類與控制、人力資源安全、實體與環境安全、通訊與作業管理、存取控制、資訊系統之獲得發展與維護、資安事故管理、營運持續管理、遵循與稽核）、39個管控目標、133個管控措施。　　國家標準CNS 27002「資訊技術-安全技術--資訊安全管理之作業規範」於96年10月24日依據國際標準ISO 17799：2005內容完成修訂，並由經濟部公告。 * * * * * * * * * * * * * * * * * * * * * * * * * * 16 15 * * * * * * * * * * * * 兩把鑰匙的觀念 你到銀行開個保險箱 開戶 身份確認 取得鑰匙──私鑰 使用 身份確認、使用登錄 行員持公鑰，和你的私鑰一同開啟 你安全嗎？為何？ * * 非對稱金鑰 又稱RSA加密 由R/S/A三位學者發明，由數學方式產生一對不相同的金鑰 兩者之間無法經由任何數學運算獲得，必須同時產生 其中之一由私人保存，另一個則公開 經由私鑰加密者，只能由公鑰解密，反過來也一樣 * * 非對稱式金鑰，防止外洩 信息 明文 信息 密文 R公鑰加密 信息 密文 信息 明文 S R R私鑰解密 * * 非對稱式金鑰，防止否認 信息 明文 信息 密文 R公鑰加密 信息 密文 信息 明文 S R R私鑰解密 S公鑰解密 S私鑰加密 * * PKI/CA PKI – Public Key Infrastructure 公開金鑰架構 利用非對稱金鑰來進行的加解密機制 CA – Certificate Authority 憑證中心：公鑰憑證發行單位 需要有公信力 有層級性的發行單位 * * 事前向有公信 力的憑證機構 註冊，由其簽 發公鑰憑證。 發證者名稱 有效日期 持有人姓名 持有人公鑰 CA簽章 公開供鑑別 簽署者身分 范錚強 X509 XXXX契約 電子文件 110111001 數位簽章 (類似印鑑登記) 公鑰憑證 一對一配對 關係 簽章私鑰 簽章公鑰 非對稱金鑰的發行 * * 憑證 中心 申 請 電 子 印 鑑 電子 證書 提供服務的企業 其他企業 顧客 核 發 0101010101 附上電子簽章 接受各界查詢並確認 電子印鑑使用者的身分 電子文件 電子文件 0101010101 向認證中心查證 電子印鑑之真偽 線上申請 線上處理 范錚強 網際服務網 ─提供線上申辦服務 1 2 3 4 5 電子認證 范錚強 范錚強 * * 一些常用的安全機制 SSL Secure Socket Layer SET Secure Electronic Transaction * * SSL 利用使用者不需知覺的情況之下，在網路傳輸兩點之間，進行非對稱加密的傳輸安全機制的協定 向銀行請款 SSL 加解密 密文 密文 SSL 加解密 * * SET 消費者的資料經由電子商店傳遞給發卡銀行，由銀行解密，授權商店接受。電子商店無法讀取顧客的信用卡資料 加解密 密文 向銀行請 求授權 信用卡資料 加解密 * * SET vs SSL SET 較為安全 兩大國際信用卡組織(VISA, MasterCard)皆支