第五章-资讯安全概述课件.pptVIP

5-1-2 認識駭客 駭客（hacker）一詞最初是為優秀的程式設計師所取的稱呼，他能夠把一個應用程式組合起來或拆開來去解決問題。如今，駭客被定義為非法搜尋和滲透電腦網路存取和使用資料的人。 5-1-3 資源保護 資源保護的分類 1.終端用戶資源 2.網路資源 3.伺服器資源 4.資訊儲存資源 5-2 安全標準 安全標準是強制性執行的，指出了硬體、軟體產品應當如何使用。它提供了一種手段來保證企業中應用程式、特定技術等以規定的方式執行。 5-2-1 ISO 7498-2 在ISO 7498－2安全體系結構文件中將安全（security）定義為將財產和資源缺陷最小化。其中財產（asset）定義為有價值的東西，缺陷（vulnerability）是指任何允許侵入的可利用的缺陷。威脅（threat）是一種潛在的安全破壞活動。 ISO又進一步把威脅分為：偶然的或故意的，以及主動的或被動的。 ISO 7498-2文件對安全服務的定義 身份驗證。身份驗證是證明個人或伺服器身份的過程 存取控制。決定用戶或服務可以使用、瀏覽或改變哪些系統的資源。 資料保密。這項服務通常使用加密技術保護資料免於未授權的洩漏。 資料完整性。資料完整性服務透過檢驗或維護資訊的一致性，避免主動威脅。 非拒絕。拒絕是指拒絕參與全部或部分事務的能力。 (1)專用安全機制 加密 數位簽名 存取控制 資料完整性 身份驗證 流量填充 （2）廣泛安全機制 信任功能 安全標籤 稽核追蹤 安全恢復 5-2-2 ITSEC文件BS7799 在歐洲，資訊技術安全評估準則（ITSEC）文件中的英國標準（BS）7799概述了網路威脅和各種可以使用的控制，這些控制減少被攻擊的可能性。 國內政府機關大力推動BS7799的認證制度與標準。 BS7799的資訊安全管理架構 5-2-3 可信任電腦系統評估準則（TCSEC） 在美國，國家電腦安全中心（NCSC）負責建立可信任電腦產品的準則。NCSC建立了對信任電腦系統評估準則（TCSEC）。 TCSEC指出了一些不同的安全層次，稱作安全等級（security levels），它的範圍從等級A到等級D，其中A是最高等級。 5-2-4 公共準則（CC） 公共準則（Common Criteria）是一個標準，它統一了各式各樣的地區和國家安全準則，如ISO把ITSEC和TCSEC統一到一個標準文件中。 CC詳細說明和評估了電腦產品和系統的安全特徵，是第一個國際上接受的IT安全標準。 5-2-5 健康保險可移植性和可計算性條例 1996年，美國政府通過了健康保險可移植性和可計算性條例（HIPAA）。這是一組對所有健康關懷組織（如醫院和診所等）的強制規範，目的在於保證所有病人紀錄的機密性。由於這不是一個技術標準，HIPAA要求健康關懷的提供者採取足夠的措施控制資訊的存取。 5-3 安全元件 5-3-1 安全策略 安全策略是建立任何成功安全系統的基礎。有了合適的安全策略並不能保證能夠消除侵擾和資訊損失，但安全策略提供了所有隨後行動的基礎，並允許建立可以認真稽核網路的步驟。 安全策略的內容 明確說明個人或個人群組對建立、修改和實現策略所應付的責任。 保護資源安全，包括當前系統本身，還有儲存在上面的資訊。 允許員工能儘快地完成工作。 詳細說明實現安全策略所必需的正確設備和措施。 減少資訊安全風險的步驟 劃分系統等級。 確定風險和劃分資源優先順序。 指定風險要素。 定義可接受行為和不可接受行為。 根據員工在公司中的角色進行教育。 確定誰將執行安全策略。 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 第五章 資訊安全概述 5-1 安全定義 5-2 安全標準 5-3 安全元件 5-1 安全定義 開放式網路環境中的安全是指一種能力，可以做到兩件事情： 1.把你的LAN或WAN從其他的網路中區分開。 2.識別並消除安全威脅和缺陷。 5-1-1 沒有絕對的安全 任何一個系統都不可能作到絕對的安全，只要有連通性（Connectivity）就意味著風險。 安全原則的關鍵是使用有效的解決方案，但不會增加合法用戶存取所需資源的負擔。 使用繁瑣的安全技術並不難，但會造成合法用戶漠視甚至廢棄這些安全協定。 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。 * 。。