991201资讯安全管理与个人资讯安全防护讲义2987KB.PPTVIP

大葉大學 網路安全實驗室 資訊安全管理與個人資訊安全防護 大綱 資訊安全到底有多重要？ 密碼系統 系統安全 網路安全 資訊安全迷思 常見之網路攻擊模式 資訊安全防護技術導入 成就高乘武功的第一步,就是先練好無趣的蹲馬步與索然無味的內功(資訊安全碁盤) 多采多姿與千變萬化的外功法門(進階資訊安全技術) 網路運作所需之安全機制 善用網路安全工具(Open Source) 網路安全工具簡介與展示 總結 資訊安全到底有多重要？ It’s a long time ago… 從歷史小故事談起 羅馬帝國凱撒大帝 偉大的軍事家、政治家?密碼學之父 召集前線指揮官及傳令兵彼此認識（身分識別） 秘密書寫命令，只有指揮官才看得懂（加解密） 命令彌封及簽印，以防止傳令兵偷窺（數位簽章） 派遣不同傳令兵經由不同路徑傳送命令，避免遭受敵方伏擊或捕獲（通信風險分擔） 我國應用密碼學或資訊安全之稗官野史 隱形墨水或無字天書 鳳遊禾蔭鳥飛去，馬走蘆邊草不生(清朝紀曉嵐，文字猜謎) 曹操在其宰相邸大門口寫了一個「活」(三國演義) 資訊安全四大核心 一知半解的安全迷思↓無法彌補的安全漏洞 資訊安全迷思 迷思之一 我已經設定了使用通行碼(password)，別人應該無法假冒我的身分吧！ 迷思之二 我已經架設了防火牆(firewall)，應該可以高枕無憂吧！ 迷思之三 我已經安裝了防毒軟體(anti-virus)，下載資料或接收訊息應該可以無牽無掛吧！ 迷思之四 我已經設定了使用通行密碼、架設了防火牆，也安裝了防毒軟體，這樣應該可以安全地發展電子商務應用了吧！ 常見之網路攻擊模式 網路攻擊的種類 暴力入侵(Brute force attack) 拒絕服務(Denial of service) 網路監聽(Sniffing) 離線猜測(off-line guessing) 主機掃瞄(Host scanning) 主機假冒(Spoofing) 木馬屠城(Trojan horse program) 常見之網路攻擊 未經授權者（駭客）侵入電腦系統，竊取或更改資料甚至更動原系統設定。 個人電腦感染殭屍病毒廣發mail。 誤植後門程式使磁碟開放共享。 感染電腦病毒，癱瘓電腦及網路系統 。 中釣魚mail詭計洩漏帳號、密碼。 利用「關鍵字廣告」網路搜尋以連結惡意網頁。 社交工程(Social Engineering) 專門指不用程式即可獲取帳號、密碼、信用卡密碼、身分證號碼、姓名、地址或其他可確認身分或機密資料的方法。這些方法多半是使用與人互動的技巧，並且針對您的帳號。 疆屍電腦(Zombie) 駭客利用各種手法在個人電腦中植入 惡意程式 後，使該電腦可被遠端控制在使用者不知的狀況下發送垃圾郵件、提供色情圖片甚至發動阻絕式服務的攻擊。 間諜軟體 通常包括兩種不受歡迎的行為模式，第一種一如其名，偷看使用者如何使用系統﹙如測錄敲擊鍵盤的習慣﹚； 第二種是「回傳」偷偷摸摸收集而來的機密資料。許多客戶成為間諜軟體宰割的祭品，完全不知自己的信用卡資料已被在遠端操控間諜軟體的不肖人士竊取。 網路釣魚（Phishing） 利用垃圾郵件的管道發送仿效知名網站的電子郵件，引誘無知的使用者進入偽裝的知名網站，藉此騙取使用者帳號、密碼或姓名、地址、電話及信用卡資料，然後再利用這些資料獲取不當利益。 資訊安全防護之整體架構 成就高乘武功的第一步就是先練好無趣的蹲馬步與索然無味的內功—資訊安全碁盤 資訊安全碁盤 加解密系統 數位簽章系統 公開金鑰基礎建設 加解密模式 密碼系統之分類 對稱(symmetric)密碼系統 僅使用一把金鑰，該金鑰必須秘密保存，又稱為密鑰(secret key) 大多為加解密系統，又稱為私密金鑰系統(private key system)或單鑰系統(one-key system) 速度較快，適合大量資料處理 以排列或組合難題作為設計原理 非對稱(asymmetric)密碼系統 使用兩把金鑰，可公開的金鑰稱為公鑰(public key)，必須秘密保存的金鑰稱為私鑰(private key)，公鑰與私鑰必須存在唯一成對關係 大多為數位簽章系統，亦可為加解密系統，又稱為公開金鑰系統(public key system)或雙鑰系統(two-key system) 公鑰可作為驗證簽章或保護密鑰之用，私鑰可作為簽署訊息或還原密鑰之用 速度較慢，適合少量資料處理，但適合開放式網路系統環境 以計算難題（因數分解、離散對數、橢圓曲線）作為設計原理 數位簽章模式 傳統簽章 VS. 數位簽章(憑證) 公開金鑰基礎建設 在認證部分可分為兩種方式： 簡單認證（Simple Certificate），即僅有ID-passw