资讯管理安全和保护观点.pptVIP

共15頁 第14章 資訊管理的安全與保護觀點 本章大綱 組織的資訊安全議題 防火牆與網路安全 資訊的加密系統與數位簽章 組織整體的資訊安全管理系統：ISO27001架構 組織的資訊安全議題(1/2) Symantec針對亞太地區2010年的資訊安全調查報告發現： 2009年有超過75%的企業機構在過去曾經受過駭客的攻擊。 在這些攻擊中，前三位最嚴重的損失報告，分別為「知識產權盜竊」、「客戶信用卡或其他財務資訊盜竊」，以及「客戶個人身份資料」被盜。 亞太區企業為對抗駭客攻擊，每年需要投入平均高達763,000美元。 組織的資訊安全議題(2/2) 組織資訊安全的主要議題 組織資訊安全的環境與背景 組織資訊安全的漏洞與弱點 網路安全的服務與目標 網路安全的威脅與攻擊的模式 當代網路安全的重要趨勢與主要挑戰 網路安全的主要防護機制 圖14-1 資訊安全的主要議題與架構 組織資訊安全的環境與背景 首先在資安的環境與背景方面，影響犯罪普及的主要原因有下列幾點： 企業電腦化之普及所潛藏之危機 Internet的開放性 匿名性與距離性 犯罪速度快、容易複製、波及面大 電腦犯罪容易潛伏及隱藏 法律的周延性不足 組織資訊安全的漏洞與弱點 作業系統本身的弱點(Vulnerabilities of OS) 通訊協定本身的弱點(Vulnerabilities of Commanication Protocds) 網路軟體上的弱點(Vulnerabilities of Network Sobtware) 管理制度上的弱點(Vulnerabilities of Managerial Policy) 人員的弱點(Vulnerabilities of Human) 網路安全的服務與目標 我們希望在網路上提供哪些服務的品質？」在此方面，主要包括下列五點： 安全隱密性(Confidentiality)：指的是當資料傳遞時，除了被授權的人，不會受到外力的擷取。 身分認證性(Authentication)：指的是當傳送方送出資訊時，就必須能確認傳送者的身分是否為冒名。 資料的完整性(Integrity)：指的是當資料送達時必須保證資料沒有被篡改的疑慮。 授權性(Authorization)：使用者只能擷取被授權部分的資訊。 不可否認性(Non-Repudiation)：使用者已使用或接受某項服務（例如下訂單）時，不能否認其未使用過。 網路安全的威脅與攻擊的模式(1/2) 網路上的主要攻擊模式 電腦病毒(Virus)的散布 阻絕服務(Denial of Service, DoS) 後門或特洛伊木馬程式(Trapdoor/Trojan Horse) 竊聽(Sniffer) 偽裝(Masquerade) 資料篡改(Data Manipulation) 否認(Repudiation) 網路釣魚(Phising) 網路安全的威脅與攻擊的模式(2/2) 雙面惡魔(Evil Twins) 網址轉嫁連結(Pharming) 點擊詐欺(Click Fraud) Rootkits 整合上述各種資安的弱點與攻擊的模式，一個企業Web-based的資訊流在不同的節點中主要的資安威脅如圖14-2。 圖14-2 Web-based系統各環節的資安威脅 當代網路安全的重要趨勢與主要挑戰(1/2) 網路門戶開放安全危機大 系統漏洞數量大 使用者疏於更新電腦系統 病毒的製造功力更強與變種更快 攻擊工具的普及與容易取得 蠕蟲(Worm)與傀儡模式(Bot)的聯手攻擊 DDos的威脅加大 結合搜尋引擎的攻擊(Search Engine Attack) 當代網路安全的重要趨勢與主要挑戰(2/2) 無線手機的攻擊(Cell Phone Attack) Web 2.0的攻擊(Web 2.0 Attack)：的社交網站面臨更多安全問題 雲端運算架構上的攻擊(Cloud Computing Aetach) 網路釣魚客的猖獗 間諜軟體與惡意程式的猖獗 惡意的SPAM 社交工程的攻擊 圖14-3 網路安全的新威脅與挑戰 網路門戶開放安全危機大 病毒可以透過超文件傳輸協定(Hypertext Transfer Protocol, HTTP)的特殊連接埠(port:80)建立與企業網頁伺服器的連結，進行破壞。 病毒可以透過寄信通訊協定(Simple Mail Transfer Protocol, SMTP)，進行惡意的郵件轉發，造成企業網路頻寬與郵件伺服器的傷害。 病毒可以任意更改網域名稱系統(Domain Name System, DNS)，使企業內部的網域名稱與IP位置無法順利相互映射，影響企業網路運作。 系統漏洞數量大 2009年調查報告中，64%的網站仍含有重大安全漏洞。發現了2.2萬個安全漏洞