资讯安全的管理面思考-中央大学管理学院-国立中央大学.PPT

資訊安全的管理面思考 國立中央大學.資訊管理系 范錚強 Tel: (03)426-7250 mailto: ckfarn@.tw .tw/~ckfarn 2004 安全的基本管理理念 安全不是絕對的 安全和易用性的兩難 安全是有價的 你願意付出什麼樣的代價？ 你的安全風險 exposure 有多高？ 破壞安全者，都是「人」 主要是內部的人 人性！！ 安全和易用性 想一想，你回家和出門時… 進門需要開十個鎖 出門需要鎖十道門… 你會做什麼？ 風險和安全措施的平衡 為什麼SET不被使用者廣為接受？ 最常聽到的安全管制 密碼 加解密 Triple DES, RSA, … SSL, SET KPI, CA 防火牆 VPN …… 安全的迷思 防止駭客 防止病毒 隔離外來者 … 想想看… 花旗銀行的網路信用卡資料洩密案 進入網頁使用循序碼 程式撰寫不當 金資中心的大批密碼外洩案 人員管理不當 ATM大批盜領案 側錄密碼 另外一些實例 你休假、出差，主管和你要你的密碼… 你給嗎？你能不給嗎？你憑什麼能不給？ 你管理電腦機房，總經理要求進入 你讓嗎？你能不讓嗎？你憑什麼能不讓？ 安全的「洋蔥」 基本的保護 實體管制 進出管控、實體隔離 操作管制 通訊網路 通訊管制 加解密 密碼、PKI, CA 應用軟體 輸入管制 輸出管制 程式管制 測試環境vs生產環境 表單管制 實體表單、流水號 企業本體