资讯安全概念-台南区域网路中心.PDFVIP

資訊安全概念 成大計網中心 楊峻榮 2004/5/20 本校常見之資安事件 病毒或worm DoSor DDoS（阻絕服務） 入侵(被當跳板較多，成為目地較少） 匿名信件或廣告信 誹謗事件 * 依事件處理統計約有90%未裝設防毒軟體或未 更新病毒碼及未修補Patch，10%為權限設定或 管理不當 。 資訊安全弱點 系統漏洞 人為疏失 因服務需要或過於注重便利性 無危機意識（事前預防） 無所謂（事發之處理及心態） 無專人負責之系統 Windows系統應用漏洞 未裝設防毒軟體或病毒碼未更新 。 office Update) 。 系統或應用軟體組態設定不良(ex: IE之安全性設定)。 瀏覽不當網頁及Download不當軟體。 帳號權限設定不良(未設密碼或不明之帳號與不當之權 限) 。 檔案分享未設限 。 接收不當之郵件 。 上次遭入侵所建之後門未阻絕 。 傳統病毒Life-cycle 管道：一切可接觸感染源的方式與途徑 感染：確定經由管道感染病毒 病發：待病發條件成立時，將形成破壞 擴散：向外擴散 防堵：阻絕再次感染之途徑 清除：清除已存在之病毒 偵測：持續偵測預防病毒再次感染 入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控 入侵之定義 凡舉非系統所有人所願之對於主機(PC)存取資料，植入 程式或資料，程式與組態更改。 造成運作失常或系統失效，資料毀損或業務中斷或資料 外洩資料之行為。 一般之存取或試探活動大都以網路從事，但以非網路活 動之存取及試探活動也屬入侵行為（例如由主控台登 入）。 入侵型態 固定模式：以病毒或worm方式，其入侵及破壞與所植 入之檔案（檔名或擺放位置也許有異）皆是固定行為 模式，故大部份可由防毒軟體偵測出來(已裝有該入侵 行為之病毒碼) 人為模式：入侵之目的主要為非法行為，如資料竊取， 破壞，或當成其他入侵之跳板，其入侵之模式不定， 故較難偵測 。入侵試探手法可能固定（ex 利用即有之 系統漏洞），但入侵後所擺放之後門程式是可變的。 入侵或病毒之程序 原有漏洞 (1)經由原有漏洞入侵或感染 (1) (2)建立檔案或修改組態 (2) (3) (3)破壞及向外感染或攻擊 (4) (4)開啟新漏洞或後門 開啟新後門 安全邊界 病毒或入侵清除措施可解決(2),(3)及部份(4) 。 必須清除或阻絕原有漏洞。 疑似中毒或遭入侵之徵兆 系統反應速度變慢。 系統重新開機或不正常關機。 出現不正常之提示或視窗或網頁。 軟體或程式無傳輸資料卻有大量網路傳輸。 工作列有非預期之啟動圖示。 中毒怎麼辦? 更新病毒碼。 使其為離線狀態，如拔除網路線或將網卡Disable。 重新啟動電腦至安全模式或 VGA 模式。 掃描和刪除受感染檔案。 額外之手動程序，例如編輯登錄表。