企业网路安全新方向资讯安全因应和突破.ppt

企業網路安全新方向:資訊安全的因應與突破 國立政治大學資訊科學系 胡毓忠 教授 Email: jong@.tw URL: .tw/~jong 演講者簡介 現任國立政治大學資訊科學系教授 曾任： 國立政治大學資訊科學系系主任 國立政治大學資訊科學系副教授 國立政治大學資訊管理系副教授 研究興趣： 網際網路安全 語意網與資訊網服務 軟體代理者系統 演講大綱 背景知識介紹 資訊安全的含意 資訊安全的具體目標 資訊安全的現有機制 密碼學的概念 電腦系統安全的概念 網路與通訊安全的概念 可能面臨的挑戰 具體的因應之道 結論 背景知識介紹 資訊安全的歷史淵源非常久遠 網際網路安全則是因為網際網路的全面性開放及商業利益的行為則日趨重要 人類日常生活已經和網際網路脫不了關係 資訊安全的涵蓋面將比網際網路安全的範圍更為廣 本次（4月22日）的演講內容將以介紹資訊安全有關的本體論知識及其安全防護的機制與因應之道為主 4月30日的演講將以資訊安全的未來主要趨勢，如現有電子商務及未來資訊網服務的安全為主 資訊安全的含意 資訊安全的本體論知識將同時包含：密碼學、電腦系統安全、網路與通訊安全等議題 密碼學的基礎在於數論及演算法 電腦系統的基礎在於作業系統 網路與通訊的基礎在於計算機網路 資訊安全將廣義的包含單一系統安全的管理與維護及電腦與電腦相互之間因為資訊交換所產生的網路通訊及系統安全的管理與維護 資訊安全的具體目標 資訊安全的具體主要目標是要滿足： 資訊的隱密性 (Confidentiality) 資訊的完整性 (Integrity) 資訊來源的可認證性 (Authentication) 資訊發送者的不可抵賴性（Non-Repudiation) 其它一些相關連的目標： 　　隱私性、匿名性、授權、使用控管等等 資訊安全的現有機制 資訊安全的現有機制包含有： 加密/解密: DES, 3DES, AES, RC4, RSA 電子簽章: RSA, DSA, ElGamal, ECC 訊息指紋: MD4, MD5, SHA 密碼：Password, Bio-Password 其它一些相關連的機制： HMAC, Digital Certificate, PKI, etc 　　 密碼學的概念 密碼學演算法的分類包含對稱性與非對稱性兩大類，其中對稱性類又叫密鑰匙演算法而非對稱性類則稱為公鑰匙演算法 密碼學演算法主要是提供資訊安全的機制來滿足資訊安全的控管的目標 密鑰匙演算法: DES, 3DES, RC4, AES 公鑰匙演算法: RSA, ElGamal, ECC 一個依據密碼學所建構的資訊安全保護系統將同時含有密鑰匙和公鑰匙兩大類的綜合體 密碼學演算法的安全機制 電腦系統安全的概念 一般性作業系統能夠提供的安全機制非常有限 身份認證及資源使用的控管往往是分開的，利用帳號及密碼來作身份，利用資源控管表來比對資源使用的權限，因為密碼通常以名碼的方式在傳送所以不安全 作業系統通常不接受外來的可執行的程式碼 作業系統本身因為程式碼量多且龐大，所以或多或少都有一些漏洞產生，需要時常補漏洞 病毒的防範、駭客的入侵有待系統管理人員的事前預防、隨時觀察及事後處置 電腦系統安全的概念（續） 一般性作業系統能夠提供的安全機制非常有限因此如有必要或許可以考慮使用可信度高的作業系統 但是我們並未排除同時使用具可信度作業系統、防火牆、及入侵偵防系統來一併處理系統與網路安全問題，主要是因為電腦系統及網路系統安全兩者是相互依存且具有相輔相成的關係 我們要有成本效益及投資成本及風險管理效益的概念 人和組織的管理在資訊安全的考量上也扮演非常重要的角色 網路與通訊安全的概念 網路安全在現有的作業系統的核心程式之中並未能夠提供完整且具體的功能 利用外加的安全軟硬體模組來滿足個別的需求 選擇不同的通訊協定層來作安全防護和處理可以達成不同的效應 防火牆軟（硬）體的功能在於設定介於兩個網路之間資源存取控管原則的並且加以執行，因此其目的主要是進行事前安全防範的工作 入侵偵防軟體的功能則是用來監控及示警已經直接侵入到系統或者以網路來入侵系統的事件，主要分為單機版架構和網路架構兩種 網際網路安全協定層 資訊安全可能面臨的挑戰：知名密碼學演算法的破解 所謂破解就是可以找到比原來正面解法更有效且快速的方法來找到秘密鑰匙，因為安全演算法是公開的 這是一個難度較高的任務，但是只要成功就是世界的主要新聞，因此其影響層面較為廣泛 密碼學家往往同時扮演密碼演算法設計者及破解者的雙重角色 世界上沒有完全不能被破解的密碼演算法，問題是你是否有足夠的金錢買具有足夠效能的電腦設備並在有限的短時間之內完成破解任務 資訊安全可能面臨的挑戰： 系統資訊安全 電腦病毒透過網路或者