咨询管理的挑战.pptVIP

溫金豐，組織理論與管理，第二章 第3章 資訊管理的挑戰 本章學習重點 資訊安全 資訊倫理 資訊與法律 電腦犯罪 網路犯罪 導讀—防不勝防，小心假網站 根據趨勢科技調查顯示，一些知名銀行、企業或組織的網站如匯豐銀行、中國工商銀行，或是線上金流支付網站PayPal等，皆有和真實網站相似網域的「分身」，這些分身其實都是釣魚網站，跟本尊相似度百分百，是專門等粗心網友上勾，若不慎登入，資料可能馬上外流。 這些分身假網站專門等網友輸入網址時，可能拼錯字或按錯鍵盤而進入，並以幾乎完全一樣的網頁來騙取網友的銀行密碼以及私密資料，一旦網友不小心疏忽未查，就會在渾然不知的情況下，將個人資訊曝露在網路駭客所架設的假網站上。 企業在考慮資訊安全時，必須重視幾種風險 1.物理破壞：例如火災、水災、電源損壞等 2.人為錯誤：偶然的或不經意的行為造成破壞 3.設備故障：系統及週邊設備的故障 4.內、外部攻擊：內部人員、外部駭客之有目的或無目的的攻擊 5.資料誤用：共用機密資料或資料被竊 6.資料遺失：故意或非故意的以破壞方式遺失資料 7.程式錯誤：計算錯誤、輸入錯誤、緩衝區溢出等 資訊安全的基本需求 1.隱密性（Confidentiality）：確保系統或網路中之資料，只會被經過授權的人所看到。 2.身份辨識（Authentication）：確認使用者身份。 3.不可否認（Non-repudiation）：驗證使用者確實已接受過某項服務，或使用過某項資源。 4.存取控制（Access Control）：使用者資料存取權限之設定應依使用者工作職權而給予，以降低未經授權存取系統資源之風險。 5.可獲得性（Availability）：確保當經過授權之人員，要求存取某項資源時，資源可經系統及傳輸媒介獲得。 6.完整性（Integrity）：確保系統或網路中之資料，不會被未經授權的人員修改。 7.稽核（Audit）：稽核是用來幫助系統管理者追查出可疑的行為 資訊安全管理標準—BS7799 國際標準制定機構英國標準協會（BSI），於1995年提出BS 7799資訊安全管理系統（Information Security Management Systems，稱ISMS），最新的一次修訂已於2005年完成，並經國際標準化組織（ISO）正式通過成為ISO 27001：2005資訊安全管理系統要求標準，為目前國際公認最完整之資訊安全管理標準。 ISO27001標準可幫助組織鑑別、管理和減少資訊所面臨的各種風險，尤其在高速網路化之資訊開放服務環境。通過ISO 27001國際標準驗證，是對於客戶及組織資訊的安全，提出最大的承諾與保證。 BS7799包含10大管控項目，36個管控目標及127個管控措施，目的是建立一套完整的資訊安全管理系統。 10大管控項目 1.安全政策（Security Policy） 2.安全組織（Organizational Security） 3.資產分類與控制（Asset Classification and Control） 4.人員安全（Personnel Security） 5.實體與環境安全（Physical and Environmental Security） 6.通訊與作業管理（Communications and Operations Management） 7.存取控制（Access Control） 8.系統開發及維護（Systems Development and Maintenance） 9.營運持續管理（Business Continuity Management） 10.符合性（Compliance） 主要的安全防護工具 使用者帳號與密碼 防火牆 虛擬私人網路 (VPN) 入侵偵測系統 基本上，防火牆可以分成三大類 1.封包過濾防火牆（Packet Filtering Firewall） 2.代理伺服器防火牆（Proxy Server Firewall） 3.狀態檢驗式防火牆（Stateful Inspection Firewall） 虛擬私人網路（VPN）運作架構 入侵偵測系統依不同的分類方式 1.主機式架構（Host Based）vs.網路式架構（Network Based） 2.線上即時偵測（On-line）vs.離線偵測（Off-line） 3.誤用式偵測（Misused Detection）vs.異常偵測（Anomaly Detection） 資訊倫理 「倫理」仍人倫之理，也就是做人的道理。倫理的英文為「Ethic」或「Ethics」；而道德的英文則為「Mortal」或「Mortality」。「倫理」與「道德」概念，無論是中文或英文的意思，大致為相同或相通的，在同詞