资讯安全之动向-台日科技资讯网.PDF

資訊安全之動向 2008年7月18日 中央大學理工學部 產業技術總和研究所資訊安全研究中心 今井秀樹 對IT社會造成威脅的動向 ‧從犯罪中得到快感演變成經濟違法行為（商務模 型的確立） ‧攻撃的組織化、高度化 ‧攻撃手法的大衆化 ‧攻撃手法的多樣化（標的型攻撃等） ‧威脅的潛在化（惡意軟體Malware等） ‧寬頻的普及 ‧系統的黑盒子化 ‧資訊分享的發展 ‧安全對策、安全意識付之闕如 2 IPA：2007年的10大威脅 第1名 逐漸升高的「誘導型」攻撃之威脅 第2名 鎖定網站為攻擊目標的普遍化 第3名 習以為常的資料外洩 第4名 越來越巧妙的標的型攻撃 第5名 再也無法信賴的正規網站 第6名 難以檢測到的攻擊型軟體Bot、隱藏的電腦病毒 第7名 從搜尋引擎誘導至惡意軟體傳輸網站 第8名 日本國內製品品質脆弱情況頻頻發生 第9名 有增無減的垃圾郵件 第10名 內建式產品品質低劣的情況增加 http://www.ipa.go.jp/security/vuln10threats.html 3 何謂資訊安全？ ‧所謂的資訊安全，指的是擁有正當權力的個人 或組織能夠依照自己的意圖來控制資訊系統。 • 所謂的資訊安全，指的是將蓄意的、組織性的 犯罪行為或非法行為、大規模災害等導致的風 險降到最低。 ‧機密性(confidentiality)、完整性(integrity)、可用 性(availability) 的整合概念 4 資訊安全的條件 ‧機密性 ： 維持資訊之存取依照規定進行，其餘 情況皆無法存取之狀態。也稱為保密性、隱匿 性。 ‧完整性 ：維持資訊與儲存該資訊之資訊系統正 確而安全、沒有被偽造或竄改之狀態，也稱為 一貫性。 ‧可用性 ：需要系統時，維持能適時以規定之方 法進行利用之狀態。 ‧鑑別性(authenticity: 責任歸屬明確），包含可歸 責性(accountability)，不可否認性(non- repudiation)等。 5 可靠性(Dependability) ‧能夠提供適切且可信賴之服務 ‧服務優良且值得信賴，能讓人類與社會安 心依靠之資訊系統屬性 –可用性、完整性、可信度（reliability: 持續正 常的服務）、安全性（safety: 不造成使用者或 環境等嚴重破壞的事態）、可修護性 （maintainability: 系統容易修復、改良）是重要 的條件 6 資訊安全與可靠性 ‧資訊安全與可靠性都是以實現資訊以及資訊系統 的安全為目的。 ‧資訊安全原是以蓄意的犯罪行為或非法行為為主 要對象，而可靠性則是以非蓄意之過失或偶發性 故障為主。也就是說，原本資訊安全是以非機率 性的事件為主，而可靠性是以機率性的事件為 主。 ‧但是，有時候在資訊安全的範圍中，也必須處理 利用人為過失或偶發性故障來進行的攻擊行為； 在可靠性的範圍內，如果不多加考慮，可用性與 可靠度也就更難達到，所以兩者必須加以整合。