资讯系统安全My数位学习.PPTVIP

存取控制(access control) 包括所有公司用來防止內部或外部未經授權的存取企業內部資料的政策和程序。使用者需經授權並身分認證後，才得進入企業內部系統。 身分認證（authentication） 許可證 (token) 智慧卡(smart card) 生物辨識認證 (biometric authentication) 8.4　保護資訊資源的技術和工具 防火牆、入侵偵測系統與防毒軟體 防火牆 來防止外界未授權的使用者存取私有網路。 是硬體與軟體的結合，控制網路內部與外部間的交通。 偵測入侵系統 是一個全天候對可能受攻擊的點，或者對公司網路內非常重要的部分，持續監視及防止入侵的工具。 防毒軟體與反間諜軟體 用來檢查電腦系統和顯示電腦病毒存在的一種軟體。 整合式威脅管理系統 整合不同安全防護工具的單一包裝，包括防火牆、虛擬私有網路、 入侵偵測系統與網頁內容過濾與垃圾郵件過濾軟體。 8.4　保護資訊資源的技術和工具 8.4　保護資訊資源的技術和工具 無線網路的安全 WEP 仍能提供有限度的安全防護。當公司存取內部資料時，可以進一步利用 WEP 與虛擬私有網路(virtual private network, VPN) 技術結合，以改善無線網路的安全。 加密與公開金鑰架構 加密 (encryption) 是將明文或資料轉成密文的一種過程，除了發文者和指定得收文者外，其他任何人均無法讀取。 資料利用一種秘密的數字碼加密，叫做加密金鑰，將明文轉成密文。這份訊息必須由接收者來解密。 數位認證（digital certificates）是一種資料檔案用來辨識身分和電子資產用來保護線上交易的進行。 8.4　保護資訊資源的技術和工具 8.4　保護資訊資源的技術和工具 8.4　保護資訊資源的技術和工具 確保系統可用度 容錯電腦系統（fault-tolerant computer systems）包括備援的硬體、軟體和電源供應元件，用來創造一個持續且無中斷服務的環境。 控管網路流量：深度封包檢測（deep packet inspection, DPI）的技術能幫助檢查資料檔案並排序找出重要性低的線上資料，並將關鍵的商業檔案標示為較高的優先順序。 資訊安全委外：將許多資訊安全功 能委外給專業的資訊安全管理服務供應商（managed security service providers, MSSPs）處理， 8.4　保護資訊資源的技術和工具 確保軟體品質 軟體評量指標是以 量化的量測形式針對系統所做的客觀評估。持續使用評量指標可讓資訊系統部門與終端使用者一同量測系統績效，並確認所發生的問題。 當錯誤發現時，透過除錯（debugging）程序找到其根源並予以消除。 8.4　保護資訊資源的技術和工具 第八章 　資訊系統安全 1.為什麼資訊系統易於遭受破壞、錯誤與 濫用？ 2.什麼是安全與控制的企業價值？ 3.安全與控制的組織架構有哪些元件？ 4.什麼是防護資訊資源最重要的工具與技 術？ 學習目標 在讀完本章之後，你將能夠回答下列問題： 波士頓塞爾提克在與間諜軟體的對戰中大勝 8.1　系統漏洞與濫用 安全性（security）是指用於防止資訊系統被未授權的使用者進入、篡改、偷竊或實體損害的政策、程序及技術手段。控制（controls）包含所有的方法、政策與組織程序，用來確保組織的資產安全、記錄的準確與可靠，以及依照管理標準的運作。 為什麼系統容易受到破壞 8.1　系統漏洞與濫用 為什麼系統容易受到破壞_網際網路的攻擊 大型公眾網路如網際網路，比其他內部網路更易遭到破壞，因為它是對任何人都開放的。 網際網路技術的電話服務，除非是在安全的私有網路之下，會比傳統交換機式的網路更易遭到破壞。 電子郵件和即時傳訊 (instant messaging, IM) 更大幅增加了受到破壞的可能性。 8.1　系統漏洞與濫用 為什麼系統容易受到破壞_無線傳輸安全的挑戰 8.1　系統漏洞與濫用 組織視窗最嚴重的資料竊取事件？ 列出並描述 TJX 公司安全控管的缺點。 哪些管理、組織與技術上的因素造成了這些缺點？ TJX 的資料遺失對於 TJX、消費者與銀行有哪些商業上的衝擊？ TJX 如何有效的處理這些問題？ 在這個案例中，誰應該要對使用偽造信用卡的損失負擔法律責任？ TJX、信用卡的發行銀行、或消費者？評論你的答案。 你會建議哪些解決方案來預防這些問題？ 惡意軟體( malware)︰病毒、蠕蟲、木馬程式和間諜軟體 電腦病毒 (computer virus) 是一種流氓軟體程式，通常在使用者不知情或未經使用者許可的情況下，附加在其他軟體程式或資料檔案上來 執行。多數的電腦病毒會傳遞一份「裝載」(payload)。這份裝載有時 可能較不具威