信息管理的角色定位与安全观点.pptVIP

防火牆與網路安全 防火牆的基本概念 防火牆的技術與架構 防火牆的基本目標 防火牆的主要問題 第三十一页，共六十六页。 防火牆的基本概念 防火牆，顧名思義就是防止網際網路上的危險延伸到企業內部網路。防火牆介於網際網路和企業內部網路相連結之間。 第三十二页，共六十六页。 圖15-4 防火牆示意圖 第三十三页，共六十六页。 防火牆的技術與架構 基本上防火牆可分兩種型態：封包過濾和代理者方式。 封包過濾型 以封包過濾方式的防火牆，檢查往來的封包，依據封包的標頭資訊，以及該企業制定的安全策略。 代理者型 以代理者方式的防火牆主機，可以是含有兩個網路介面卡的主機。一個介面連接網際網路；另一個連接內部網路。兩者並非直接相連，連結要求必須經過合法檢驗。 第三十四页，共六十六页。 防火牆的基本目標 過濾封包以阻止網路駭客的入侵。 作為所有封包進出的門戶，方便管理者「集中式」的管理。 過濾系統安全政策所禁止的網路服務。 保護企業內部網路，避免來自網際網路的入侵。 當外部使用者存取高度機密檔案時，先加以記錄並通知系統管理者。 調節網路交通流量。 第三十五页，共六十六页。 防火牆的主要問題 較難提供全面性的安全 無法提供資料隱密性 無法確認資料來源的認證性 無法保護那些不經過防火牆的網路連結 第三十六页，共六十六页。 資訊的加密系統與數位簽章 資訊加密的主要機制 數位簽章與資訊安全 數位信封與SSL 第三十七页，共六十六页。 資訊加密的主要機制 加密 指的是：將原始文件轉換成亂碼，而唯有使用解密的金鑰才能讀出原文的程序。 Key 指的是：一長串的文字、符號、數字的組合，用其來轉換原始的文件使得原始文件變成亂碼。 第三十八页，共六十六页。 資訊加密的主要機制 （續） 對稱式加密法 對稱式加密法，此為傳統的加密法，其特色是買賣雙方同時持有一個同樣的 Key 來加密和解密，所使用的Key稱為秘密金鑰。 非對稱式加密法 非對稱式加密法，又稱之為公鑰的基礎設施(PKI)。此法的特色主要是使用兩把對應配對的Key，即公鑰與私鑰，互相可加密／解密對方，也就是以Public Key 加密後可以使用 Private Key 將其解開，而使用 Private Key 加密後也可以使用 Public Key 將其解開，兩者是一對的。 第三十九页，共六十六页。 圖15-6 非對稱式加密法 第四十页，共六十六页。 數位簽章與資訊安全 數位簽章(DS)，指的是：利用PKI的機制來保護資料傳遞的隱密性與不可否認性的一種通訊安全機制。而支援數位簽章的主要機制，包括下列幾點： 碎映函式：指的是：對於任一長度的訊息，將其映射成一個固定長度（例如128 Bits）的數值。 數位簽章：傳送者將文件經特別碎映函式運算後產生一獨特的號碼(128 Bits)，稱之為訊息摘要，再利用傳送方的Private Key對此摘要加密，謂之數位簽章(DS)。 第四十一页，共六十六页。 圖15-7 數位簽章流程圖 第四十二页，共六十六页。 數位簽章與資訊安全（續） 電子認證中心 所謂電子認證中心(CA)，指的是：一個有公信力的第三者，如財團法人、銀行、信用卡公司等等。要在EC上交易的個人或企業必須在CA認證身分後，再核發電子憑證及 Public Key 與 Private Key。CA最主要的任務是管理買賣雙方的認證問題，包括發放、儲存及管理註冊者的電子證書、Public Key及個人資料，使用者要先註冊登記，取得電子憑證，只准許在有效期間內於EC上交易付款。 第四十三页，共六十六页。 數位簽章與資訊安全（續1） 安全電子交易協定 安全電子交易協定(SET)是 Visa 與 Master Card 兩大信用卡組織並結合 IBM、Microsoft、Netscape 等公司於1996年2月協議發展出在 Internet 上以信用卡付款方式的安全交易協定，是一個整合利用加密、Public Key/Private Key、數位簽章、認證中心等機制，用以保護買賣雙方資料傳遞的隱密性、安全性與確認性。 SET的執行步驟 第四十四页，共六十六页。 圖15-9 SET的交易結構 第四十五页，共六十六页。 數位信封與SSL 數位信封 所謂數位信封，簡單的說，指的是：利用速度較快、較不安全的對稱式加密法的秘密金鑰來對大量的文章內容加密，之後利用較安全的PKI來對秘密金鑰加密（由於其數量很小，因此不會妨害速度），而其主要的利用方法即是所謂的SSL。 SSL SSL是數位信封的應用，其是目前最被普及利用的安全機制，主要的安全防護程序如下： Server端（例如Amazon）將自己由CA所發給的電子憑證傳送給Client端（例如消費者的PC）。 第四十六页，共六十六页。 數位信封與SSL（續） Client端的Browser（