资讯安全概论.ppt

資訊安全概論 梁明章 國家高速網路與計算中心 助理技術師 安全問題的影響 CSI/FBI 2003 電腦犯罪與安全調查 實作安全性檢測的花費不貲，但是發生安全性意外事件時，這些費用僅佔了減少損失支出的一小部分。 識別安全性威脅 - STRIDE 組織安全性的架構 採用分層方式： 加強偵測攻擊者的風險 減少攻擊者成功入侵的機會 人往往是最大的安全弱點 (1) 人往往是最大的安全弱點 (2) 加強人的安全性 實體安全性層級保護 外部網路層級保護 內部網路層級保護 主機層級保護 應用程式層級保護 資料層級保護 安全的王道 備份～災害復原之能力 密集度的問題 可用性之檢查 安全的維護 備援～業務持續營運之能力 投資成本與損失的權衡（類似買意外險） 接手時間之長短？ 備援程度之評估？ 演習 唯有良好的災害復原能力與業務持續能力才是安全的王道 * * 營收損失 投資者信心動搖 組織聲譽受損 遺失或洩漏資料 商務處理流程 中斷 影響顧客對組織的信任 法律後果 刪除重要的檔案並加以否認 購買商品之後，卻否認購買行為 Repudiation (否認) 在錯誤訊息中洩漏資訊 在網頁上因處理不當洩漏機密 Information Disclosure (洩漏資訊) 範例 威脅類型 利用緩衝區溢位以取得系統權限 非法取得系統管理員權限 Elevation of Privilege (提高權限) 使用 SYN 封包阻塞網路 使用偽造的 ICMP 封包阻塞網路 Denial of Service (拒絕服務) 在傳輸過程中變更資料 更改檔案中的資料（例如網頁） Tampering (竄改) 偽造電子郵件 重新執行驗證封包 Fishing網路釣魚 Spoofing (詐騙) 人 加強OS、修補管理、驗證、HIDS… 防火牆、VPN….. 警衛、上鎖、追蹤…. 網路區隔、IPSec、NIDS…… 加強應用程式、防毒….. ACL、加密….. 使用者的教育訓練，流程…. 實體安全性 外部網路 內部網路 主機 應用程式 資料 我想用我的名字當做密碼。 嘿，我想要設定一個防火牆。我應該封鎖哪幾個連接埠呢？ 我想把電腦室的門留一個縫隙。這樣就容易多了。 他們把我最愛的網站封鎖了。真幸運，我有數據機。 嗯，我也有一個網路環境。你怎麼設定你的防火牆呢？ 我怎麼樣都想不出來好密碼。你是怎麼設定密碼的？ 嗨，你知道電腦機房在哪裡嗎？ 嘿，數據機很不錯喔！ 那條線路是幾號啊？ 安全教育訓練對使用者確實遵守安全性原則會很有幫助 使用者資訊的安全性 原則 裝置要求 程序 防火牆設定程序 實際存取的安全性原則 制訂各種標準程序書與規範文件，並要求人員確實遵守執行，且定期查核 門要上鎖且安裝警鈴 雇用保全人員 加強進出程序管理 監視進出過程 減少資料輸入裝置 透過遠端存取工具加強安全性 Transparent firewall Non-transparent firewall (NAT) VPN IDS IDP 異地備援 實作相互驗證 分割網路 加密網路通訊 僅開放必要的通訊連接埠 控制網路裝置的存取，尤其無線網路 簽署網路封包 實作相互驗證 加強作業系統，安裝安全性更新程式 定期查核作業系統檔案完整性 實作稽核 僅啟用必要的服務 建立異地異機備援機制 僅啟用必要的服務與功能 設定應用程式安全性設定 安裝應用程式的安全性更新程式 定期查核應用程式的完整性 使用最低的權限執行應用程式 加密檔案 使用存取控制清單限制資料的存取 從預設位置移動檔案 建立資料備份與修復計劃 建立異地備援 定期查核資料與備份資料的完整性與版本 安全性缺口會在不同層面對組織造成影響。常見的影響如下： 營收損失 組織聲譽受損 遺失或洩漏資料 商務處理流程中斷 影響顧客對組織的信任 投資者信心動搖 法律上的後果 - 在許多州 / 國家中，系統安全故障會造成相關的法律後果，例如，Sarbanes Oxley、HIPAA、GLBA、California SB 1386。 安全性缺口可能會造成相當廣泛的影響。一旦察覺或實際發生了安全性弱點時，組織必須立即採取行動，以便確實將弱點移除，使傷害降到最低。 目前許多組織均提供客戶服務，例如，網站。很可能會是客戶先發現攻擊結果，因此，客戶會接觸到的商業服務層面必須盡可能地維持安全性。 最近，「電腦安全協會 / 聯邦調查局 (CSI/FBI) 電腦犯罪與安全調查」中提到幾項有關電腦攻擊事件導致組織財務損失的重要數據。 該調查顯示，資訊竊取與拒絕服務 (DoS) 攻擊所造成的損失佔了絕大多數。 所以必須了解，雖然實作安全性保護措施所費不貲，但比起修補安全性入侵事件的費用，可就小巫見大巫了。 解決安全性問題最有效的辦法就是建置一個分層環境，以便隔離任何一層所遭受的攻擊。攻擊必