網路安全技術期末報告資訊安全.pptVIP

網路安全技術期末報告資訊安全 姓名:陳皓昕 學號:A0953302 教授:梁明章教授 * 內容大綱 1.1 前言 1.2 資訊安全的威脅 1.3 資訊安全基本需求 1.4 資訊安全之範疇 1.5 資訊安全相關法律 * 1.1 前言 資訊訊科技為人類帶來便利的生活，我們在享受這些科技帶來的便利之餘，卻常常忽略了這些科技背後所潛在的安全問題。 網路對於生活影響程度與日俱增，駭客利用網路從事電腦犯罪也屢見不鮮。 要如何保護在網路中傳遞及儲存於電腦系統之機密資料，免於遭受未經授權人員之竊取、篡改、偽造，則是資訊時代當務之急。 1.2 資訊安全的威脅 資訊安全的目的：保護所有資訊系統的資源 防止未經授權者得到有價值的資訊 防止未經授權者偷竊或拷貝軟體 避免電腦資源（印表機、記憶體）被盜用 避免電腦設備受到災害的侵襲 * * ?天然或人為 ?天然的威脅導因：天然災害 ?人為的威脅導因：管理人員的疏失 ?蓄意或無意 ?蓄意的威脅導因：企圖破解系統安全 ?無意的威脅導因：系統管理不良 ? 實體或邏輯 ?實體的威脅對象：實際存在之硬體設備 ?邏輯的威脅對象：電腦系統上的資料 1.2 資訊安全的威脅 * 1.3 資訊安全基本需求 資訊安全 基本需求 稽核 (Audit) 機密 (Confidentiality) 辨識 (Authentication) 完整性 (Integrity) 不可否認 (Non-repudiation) 存取控制 (Access Control) 有效性 (Availability ) 保密性或機密性(Confidentiality) 確保資訊的機密，防止機密資訊洩漏給未經授權的使用者。 讀出、瀏覽、列印。 「資料是否存在於系統」也是一項很重要資訊，必須加以保密，不得直接或間接被不法人士所知悉。 為確保資料傳輸的隱私，可透過資料加密的程序以達到此目標 * 完整性(Integrity) 資料內容僅能被合法授權者所更改，不能被未經授權者所篡改或偽造。 其中「更改」包括新增、更正、更新、及刪除等等。 資料完整性必須要確保資料傳輸時，不會遭受竄改、以保證資料傳輸內容之完整性。 * 辨識性(Authentication) 包括身份驗證及資料（或訊息）來源驗證。 對於訊息的來源辨識，必須是要能確認資料訊之傳輸來源，以避免有惡意的傳送者假冒原始傳送者傳送不安全的訊息內容。 數位簽章或資料加密 * 可用性(Availability) 確保資訊系統運作過程的正確性，以防止惡意行為導致資訊系統毀壞或延遲。 資料內容和資料格式均不能被破壞，導致系統不能正常運轉，系統必須提供有效及正確的資料給合法使用者。 這裡所謂的「有效資料」必須藉助保護控制機制和完整性檢查。 * 不可否認性(Non-repudiation) 傳送方或接收方，都不能否認曾進行資料傳輸或接收 傳送方不得否認其未曾傳送某筆資料 接收方亦無法否認其確實曾接收到某訊息資料。 PKI, HMAC * 存取控制(Access Control) 資訊系統內每位使用者依其服務等級而有不同之使用權限。 服務等級越高者其權限越大， 服務等級越小者其權限越小。 存取控制主要是根據系統之授權策略，對使用者作授權驗證，以確認是否為合法授權者，防止未授權者來存取電腦系統及網路資源。 * 稽核(Audit) 資訊系統不可能達到絕對安全，也就是百分之百的安全。 任何廠商對其資訊安全的產品絕對不敢向客戶保證安裝其產品後，客戶的系統就可百分之百的高枕無憂，不用再擔心駭客入侵。 因此我們必須藉由稽核紀錄來追蹤非法使用者，一旦發生入侵攻擊事件，可以盡快找到發生事件之原因，以做為回復系統及未來能偵測此類入侵手法，以防止再一次入侵系統。 * * 資訊安全的領域相當廣泛，所有可確保資訊系統正常運作及確保機密資料之保密及完整性的機制都涵蓋在內。 1.4 資訊安全之範疇 * 組織中完整的安全系統元件 使用者 系統的使用人員可能是組織中的員工或顧客。 操作介面 對於不同等級的使用者，必須要提供不同的頁面。 後端程式 負責處理回應使用者所要求的服務，若使用者要取得資料庫中的資料，也必須透過此系統元件存取，後端程式可說是系統中之靈魂。 資料庫 系統主要資料來源的部分，即為最大儲存單位資料庫，負責保存重要資料與一般資料，依據不同需求，而有不同的資料格式與儲存方式。 * 1.5 資訊安全相關法律 電腦系統的安全架構除了範疇中各個元件須妥善管理以外，還需要有相關的法律來約束使用者的行為。 * 電腦犯罪 依據電腦處理個人資料保護法，入侵他人系統以竊取機密或竄改、偽造電子資訊將可能構成下列犯罪行為： 毀損罪： 毀棄、損壞他人文