1 / 39

第八章 資訊系統安全

第八章 資訊系統安全. 學習目標. 在讀完本章之後,你將能夠回答下列問題:. 1. 為什麼資訊系統易於遭受破壞、錯誤與 濫用? 2. 什麼是安全與控制的企業價值? 3. 安全與控制的組織架構有哪些元件? 4. 什麼是防護資訊資源最重要的工具與技 術?. 波士頓塞爾提克在與間諜軟體的對戰中大勝. 8.1 系統漏洞與濫用. 安全性( security )是指用於防止資訊系統被未授權的使用者進入、篡改、偷竊或實體損害的政策、程序及技術手段。控制( controls )包含所有的方法、政策與組織程序,用來確保組織的資產安全、記錄的準確與可靠,以及依照管理標準的運作。.

makala
Download Presentation

第八章 資訊系統安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第八章 資訊系統安全

  2. 學習目標 在讀完本章之後,你將能夠回答下列問題: 1.為什麼資訊系統易於遭受破壞、錯誤與 濫用? 2.什麼是安全與控制的企業價值? 3.安全與控制的組織架構有哪些元件? 4.什麼是防護資訊資源最重要的工具與技 術?

  3. 波士頓塞爾提克在與間諜軟體的對戰中大勝

  4. 8.1系統漏洞與濫用 安全性(security)是指用於防止資訊系統被未授權的使用者進入、篡改、偷竊或實體損害的政策、程序及技術手段。控制(controls)包含所有的方法、政策與組織程序,用來確保組織的資產安全、記錄的準確與可靠,以及依照管理標準的運作。

  5. 8.1系統漏洞與濫用 為什麼系統容易受到破壞

  6. 8.1系統漏洞與濫用 為什麼系統容易受到破壞_網際網路的攻擊 大型公眾網路如網際網路,比其他內部網路更易遭到破壞,因為它是對任何人都開放的。 網際網路技術的電話服務,除非是在安全的私有網路之下,會比傳統交換機式的網路更易遭到破壞。 電子郵件和即時傳訊 (instant messaging, IM) 更大幅增加了受到破壞的可能性。

  7. 8.1系統漏洞與濫用 為什麼系統容易受到破壞_無線傳輸安全的挑戰

  8. 組織視窗最嚴重的資料竊取事件? 列出並描述 TJX 公司安全控管的缺點。 哪些管理、組織與技術上的因素造成了這些缺點? TJX 的資料遺失對於 TJX、消費者與銀行有哪些商業上的衝擊? TJX 如何有效的處理這些問題? 在這個案例中,誰應該要對使用偽造信用卡的損失負擔法律責任? TJX、信用卡的發行銀行、或消費者?評論你的答案。 你會建議哪些解決方案來預防這些問題?

  9. 8.1系統漏洞與濫用 惡意軟體( malware)︰病毒、蠕蟲、木馬程式和間諜軟體 電腦病毒 (computer virus) 是一種流氓軟體程式,通常在使用者不知情或未經使用者許可的情況下,附加在其他軟體程式或資料檔案上來 執行。多數的電腦病毒會傳遞一份「裝載」(payload)。這份裝載有時 可能較不具威脅性,如執行指令去顯示一些文字訊息或影像,或是非常具有破壞性--像是銷毀程式或資料、阻礙電腦記憶體運作、重新格式化 硬碟、或是讓程式不正常執行。

  10. 8.1系統漏洞與濫用 蠕蟲(worms),是一種獨立的電腦程式,它可以透過網路將病毒從一台電腦自行複製到其他電腦。與病毒不同的是,蠕蟲能自己運作,並且不需依附在其他電腦程式檔案上,也不太需要透過人們的操作行為就能在電腦之間傳播。 木馬程式 (Trojan horse) 看起來似乎是溫和無害的軟體程式,但會做一些超出想像的事。木馬程式本身不是病毒,因為它本身並不複製,但卻是其他病毒或惡意程式碼侵入電腦系統的媒介。 間諜軟體 (Spyware) 也扮演著惡意軟體的角色。這些小程式偷偷的自行安裝在電腦上,它們會監視著你上網的活動,並跳出廣告。

  11. 8.1系統漏洞與濫用 駭客與電腦犯罪 駭客 (hacker) 是個人企圖未經授權而擅自存取他人的電腦系統。 怪客 (cracker) 通常用來指具有犯罪意圖的駭客。 電腦暴力行為(cybervandalism)、蓄意破壞、 毀損甚至是摧毀網站或公司資訊系統等。

  12. 8.1系統漏洞與濫用 駭客與電腦犯罪_偽裝和網路竊聽 駭客經常隱藏他們的真實身分來進行欺騙、或試圖用偽裝的電子郵件位址或假冒其他人傳送訊息。 偽裝 (spoofing) 的方式,有時是將原來的網址連接至其他的網站,假裝成是要連接的目的地。 網路竊聽器 (sniffer) 是一種偷聽的程式,它監控網路上資訊的流動。

  13. 8.1系統漏洞與濫用 駭客與電腦犯罪_阻斷服務攻擊 阻斷服務攻擊 [denial-of-service (DoS) attack] 是指駭客送出成千上萬件假的訊息或是服務需求到網路伺服器或是網站伺服器,造成網路壅塞甚至癱瘓。被攻擊的網站,會在瞬間收到大量的查詢需求而處理效率無法跟得上,使得電腦主機無法服務正常的需求。 DoS 的攻擊者常利用數千台「殭屍」(zombie)電腦,它們通常 都是在使用者不知情狀況下受惡意軟體感染的電腦,而被駭客級成組成殭屍網路(又稱傀儡網路,botnet)。

  14. 駭客與電腦犯罪_電腦犯罪 電腦犯罪(computer crime)為:「任何涉及以電腦技術的知識進行犯罪、調查或行 動,而違反法律者。」 8.1系統漏洞與濫用

  15. 8.1系統漏洞與濫用 駭客與電腦犯罪_電腦犯罪

  16. 8.1系統漏洞與濫用 駭客與電腦犯罪_身分盜用 身分盜用(identity theft) :是非法取得他人個人隱私資訊的一種犯罪行為。 網路釣魚(phishing)。此手法包含設立假的網站或是發送看起來像是合法公司發的電子郵件,向使用者要求個人的機密資料。 雙面惡魔 (evil twins) 是一種假裝可提供值得信任的無線網路連線至網際網路,詐騙者試圖讓不知情的使用者在登入這個網路的同時,竊取他們密碼或是信用卡號碼。 網址轉嫁連結 (pharming) 轉接使用者至一個偽造的網站上,即使當使用者在瀏覽器上鍵入正確的網址。

  17. 駭客與電腦犯罪_點擊詐欺 點擊詐欺 點擊詐欺 (click fraud)是個人或電腦程式故意地點選線上廣告,但是並不想 瞭解這個廣告或是購買產品。 電腦恐怖份子與電腦戰爭 8.1系統漏洞與濫用

  18. 8.1系統漏洞與濫用 內部威脅︰員工 常以為企業組織的安全威脅來自於組織之外。事實上,公司內部的人員也經常會引起嚴重的安全問題。 使用者安全知識的缺乏常是網路安全的最大問題來源。 軟體漏洞 軟體錯誤也經常會對資訊系統造成威脅,導致無數的生產力減少。 軟體的主要問題就是隱藏的軟體臭蟲(bugs)或是程式碼的瑕疵。 一經發現瑕疵,為了修正軟體,軟體供應商會撰寫一些小的修 補程式(patches),在不影響軟體正常使用的情形下來修正瑕疵。

  19. 8.2安全與控制的企業價值 資訊系統的保護對於企業的營運是卻是非常的重要。 企業組織不只需保護公司內部的資訊資產,同時也需保護顧客、員工與合夥人的相關資訊;否則將使公司暴露於資訊曝光或資料被偷竊的昂貴法律訴訟的風險之中。 一個適當的保護企業資訊資產的安全與控制架構,可以為公司產生很高的投資報酬。

  20. 8.2安全與控制的企業價值 電子記錄管理的法律與規範需求 企業組織面臨對電子記錄管理和文件保存與保護隱私的新法律義務。 電子記錄管理 (electronicrecords management, ERM) 健康保險可攜性與責任法案 (Health Insurance Portability and Accountability Act, HIPAA) 葛蘭法案 (Gramm-Leach-BlileyAct) 沙賓法案 (Sarbanes-Oxley Act)

  21. 8.2安全與控制的企業價值 電子證據和電腦鑑識 安全、控制與電子記錄管理已成為回應法律行動的重點。 電腦鑑識(computer forensics) 是針對握有的資料或儲存於電腦媒體的資料,進行科學化的蒐證、檢驗、認證、保存與分析,以作為日後法庭能據以判決的法律證據。 電子證據會以電腦檔案與周遭相關的資料(如找尋檔案的目錄、指標或是加解密的演算法和參數等)存在於電腦的儲存媒體中

  22. 8.3建立安全與控制的管理架構 資訊系統控制 一般控制(general controls)指的是整個組織資訊科技基礎架構的設計、安全和電腦程式的使用與資料檔案的安全。一般控制適用於所有電腦化的應用,包含有硬體、軟體和建立整體控制環 境的操作程序。 應用控制(application controls)是針對每一個電腦應用系統特定的控制,如薪資系統或是排序系統。應用控制包含自動與人工的程序,以確保只有經過授權的資料被應用系統完整與正確地處理。應用控制可分為:(1) 輸入控制,(2) 處理控制,和 (3) 輸出控制。

  23. 8.3建立安全與控制的管理架構

  24. 8.3建立安全與控制的管理架構

  25. 8.3建立安全與控制的管理架構 風險評估(risk assessment) 決定如果公司特定的活動與程序沒有恰當的控制其風險的層級。 安全政策(securitypolicy) 包括資訊風險等級的定義敘述、確認可接受的安全目標、並確認可達成這些目標的機制。

  26. 8.3建立安全與控制的管理架構 災難復原規劃與營運持續經營規劃 災難復原規畫 (disaster recovery planning)主要規劃在電腦與通訊服務終止後如何恢復正常的運作。災難復原規劃的重點主要在災後如何 啟動系統並持續運作的技術問題。 企業持續經營規畫 (business continuity planning) 主要重點在如何在災後重新恢復公司的正常營運。企業持續經營計畫確認營運的關鍵企業流程與決定行動計畫,以便在系統當機時,能處理營運上的關鍵功能。

  27. 8.3建立安全與控制的管理架構 稽核的角色 管理資訊系統稽核 (MIS audit) 不但檢驗公司的整個安全環境,同時也會檢視管理個別資訊系統的控制機制。 稽核者應該追蹤系統的某些交易案例的流程,並執行測試,如果適當的話,使用自動化稽核軟體來進行檢測。

  28. 8.4保護資訊資源的技術和工具 存取控制(access control) 包括所有公司用來防止內部或外部未經授權的存取企業內部資料的政策和程序。使用者需經授權並身分認證後,才得進入企業內部系統。 身分認證(authentication) 許可證 (token) 智慧卡(smart card) 生物辨識認證 (biometric authentication)

  29. 8.4保護資訊資源的技術和工具 防火牆、入侵偵測系統與防毒軟體 防火牆 來防止外界未授權的使用者存取私有網路。 是硬體與軟體的結合,控制網路內部與外部間的交通。 偵測入侵系統 是一個全天候對可能受攻擊的點,或者對公司網路內非常重要的部分,持續監視及防止入侵的工具。 防毒軟體與反間諜軟體 用來檢查電腦系統和顯示電腦病毒存在的一種軟體。 整合式威脅管理系統 整合不同安全防護工具的單一包裝,包括防火牆、虛擬私有網路、 入侵偵測系統與網頁內容過濾與垃圾郵件過濾軟體。

  30. 8.4保護資訊資源的技術和工具

  31. 8.4保護資訊資源的技術和工具 無線網路的安全 WEP 仍能提供有限度的安全防護。當公司存取內部資料時,可以進一步利用 WEP 與虛擬私有網路(virtual private network, VPN) 技術結合,以改善無線網路的安全。 加密與公開金鑰架構 加密 (encryption) 是將明文或資料轉成密文的一種過程,除了發文者和指定得收文者外,其他任何人均無法讀取。 資料利用一種秘密的數字碼加密,叫做加密金鑰,將明文轉成密文。這份訊息必須由接收者來解密。 數位認證(digital certificates)是一種資料檔案用來辨識身分和電子資產用來保護線上交易的進行。

  32. 8.4保護資訊資源的技術和工具

  33. 8.4保護資訊資源的技術和工具

  34. 確保系統可用度 容錯電腦系統(fault-tolerant computer systems)包括備援的硬體、軟體和電源供應元件,用來創造一個持續且無中斷服務的環境。 控管網路流量:深度封包檢測(deep packet inspection, DPI)的技術能幫助檢查資料檔案並排序找出重要性低的線上資料,並將關鍵的商業檔案標示為較高的優先順序。 資訊安全委外:將許多資訊安全功 能委外給專業的資訊安全管理服務供應商(managed security service providers, MSSPs)處理, 8.4保護資訊資源的技術和工具

  35. 確保軟體品質 軟體評量指標是以 量化的量測形式針對系統所做的客觀評估。持續使用評量指標可讓資訊系統部門與終端使用者一同量測系統績效,並確認所發生的問題。 當錯誤發現時,透過除錯(debugging)程序找到其根源並予以消除。 8.4保護資訊資源的技術和工具

More Related