Download
1 / 82
820 likes | 934 Views
第十五章 資訊安全管理. 近年來,網際網路的快速發展,使得資訊交流的速度大幅提升。然而在開放式的網路架構下,未受保護的電腦主機,以及主機內的重要企業檔案、個人機密資料,也往往是駭客進行非法入侵與攻擊的對象。為了要強調資訊安全的重要性,加強防禦措施,以有效降低被入侵、攻擊的風險,本章將介紹包含駭客、病毒、防火牆設定與電子商務等與資訊安全管理相關的議題。. 第十五章 資訊安全管理.
E N D
第十五章 資訊安全管理 近年來,網際網路的快速發展,使得資訊交流的速度大幅提升。然而在開放式的網路架構下,未受保護的電腦主機,以及主機內的重要企業檔案、個人機密資料,也往往是駭客進行非法入侵與攻擊的對象。為了要強調資訊安全的重要性,加強防禦措施,以有效降低被入侵、攻擊的風險,本章將介紹包含駭客、病毒、防火牆設定與電子商務等與資訊安全管理相關的議題。
第十五章 資訊安全管理 • 網際網路的無遠弗屆,讓資訊交流以十倍速甚至百倍速的速度向上提升,然而在面對各式各樣的資訊之前,很多人察覺到了在方便性的背後,潛藏了不少危機。沒錯,即使僅僅只是瀏覽全球資訊網,也有可能無意中下載了有害的程式碼,這些程式碼輕則竊取使用者資料,重則破壞電腦作業系統,在使用者察覺時通常已經為時已晚。另外,眾多的電腦病毒與木馬軟體被有心人士散播在網路上,憑藉著人為的疏失與電腦作業系統的安全漏洞,在網路上橫行霸道,造成經濟上的重大損失。在二十一世紀的現在,這都已經不是新鮮的話題。 • 簡單來說,只要使用電腦,連上網路,我們就會面對這些風險,所以我們首先要清楚什麼是資訊安全,並且認識駭客、病毒、蠕蟲,熟悉防毒軟體、防火牆的操作,並且進一步了解與我們息息相關的購物網站、銀行網站利用什麼方式,確保我們的資訊安全。 • 因為無法預測何時會出現新種的病毒,但也不能消極的處於挨打的局面,唯有主動的了解敵人,積極加強防禦措施,有效降低被駭客攻擊的風險,這才是正確的資訊安全觀念。
大綱 • 15.1 資訊安全 • 15.1.1 資訊安全的定義 • 15.1.2 資訊安全策略 • 15.1.3 如何建立安全策略 • 15.2 電腦病毒與駭客 • 15.2.1 電腦病毒 • 15.2.2 駭客攻擊 • 15.2.3 蠕蟲 • 15.3 如何阻絕病毒入侵 • 15.3.1 防毒軟體介紹 • 15.3.2 安裝個人防毒軟體 • 15.3.3 更新微軟作業系統
大綱 • 15.4 防火牆 • 15.4.1 防火牆的類型 • 15.4.2 防火牆的安全機制 • 15.4.3 安裝個人防火牆 • 15.5 電子商務安全機制 • 15.5.1 加密 • 15.5.2 身分驗證 • 15.5.3 Secure Http 和 SSL
15.1 資訊安全 • 只要使用電腦,連上網路,我們就會面對電腦病毒與駭客入侵這些風險, 所以我們要清楚什麼是資訊安全,並且認識駭客、病毒、蠕蟲,熟悉防毒軟體、防火牆的操作。
15.1.1 資訊安全的定義 • 資訊安全的定義 • 了解自身的安全缺陷,並且有效的進行補救。 • 清楚識別威脅的來源,並且有效的進行預防。 • 積極預測、規劃並且學習任何有助於提升資訊安全技術的一切措施。 • 資訊沒有絕對的安全
15.1.2 資訊安全策略 • 資訊安全策略包含了高階與低階的安全策略 • 高階的安全策略又稱作服務層次的存取策略,也就是在規劃初期,完全由網路使用者的不同需求,來決定不同的存取資源的權限 • 低階的安全策略通常是指實作層次的存取策略,這些是屬於低層存取動作的安全保護行為。對於整體的資訊安全來說,這一類的策略對公司內外的資訊互通方式作了周密的過濾。
15.1.2 資訊安全策略 表15-1 發展高層次安全策略的問題
15.1.2 資訊安全策略 表15-2 發展低層次安全策略的問題
15.1.2 資訊安全策略 • 建立安全策略的步驟 • 評估系統等級: • 根據每一項系統對公司的重要性,評估它們的等級,並依據此等級去分配資源。 • 確定風險及分配資源: • 依照不同的風險承受度來判斷,最容易遭受到攻擊、最危險的系統,應該擁有最高的權重,並且得到最多的資源分配。 • 定義安全規範: • 安全策略必須針對安全措施,定義各項安全的行為規範, • 使用者教育: • 依照使用者的工作等級,教育使用者如何遵循規範 • 安全策略執行與稽核: • 高階的管理者主導公司安全策略的建立,稽核單位定義的稽核工作執行項目及執行確實度,經由適當的檢討來反應策略是否應該進行修正。
15.2 電腦病毒與駭客 • 提到電腦病毒與駭客,有電腦使用經驗的人無不膽戰心驚,尤其現在的網際網路是完全的開放式架構,只要一連上網路就可能隨時遭受攻擊,最嚴重時有可能破壞檔案及硬體,讓系統癱瘓無法使用。隨著程式撰寫技術的交流速度提高,現在的病毒越來越刁鑽,越來越難預防。在本節我們要針對電腦病毒和駭客攻擊,提出概略的介紹。
15.2.1 電腦病毒 • 什麼是病毒 • 電腦病毒是惡意編寫出來的程式碼,被設計用來破壞電腦內的檔案、感染系統、損壞網路設備 • 電腦病毒必須具備兩項功能,第一是能夠自動找尋未被感染的對象並且加以攻擊,第二是能夠不停自我複製。
15.2.1 電腦病毒 • 病毒的類型 • 檔案型病毒: • 專門感染系統內的相關檔案,尤其以微軟辦公室系列(Microsoft Office)的軟體(如.doc檔案、.xls檔案或.ppt檔案)為最常見的感染目標。 • 開機型病毒: • 開機型病毒專門感染硬碟的啟動磁區,只要一開機馬上就感染系統,並且對系統產生干擾。 • 巨集型病毒: • 非常容易透過辦公室軟體的檔案進行傳染。只要一開啟附件,巨集程式就會發作並且感染其他的檔案。
15.2.1 電腦病毒 • 程序型病毒: • 程序型病毒與巨集病毒相當類似,是以VBScript或是Java Script程式語言撰寫的程式,使用者便有可能因為開啟了夾帶的文件、電子郵件,或者是閱覽受感染的HTML格式電子郵件訊息,甚至瀏覽受到感染的網站而受到感染。 • 木馬病毒: • 木馬病毒於網站上散播,它們看起來像是有用的軟體等無害的程式,以鼓勵使用者下載並執行它們。外面的駭客可透過這個漏洞入侵電腦
15.2.1 電腦病毒 • 一旦電腦受到電腦病毒的感染時,有可能會馬上發作,其病狀是可能是下面的某一種: • 自動重新開機。 • 工作速度變得緩慢。 • 很容易當機,失去回應。 • 無法使用網路,或網路速度非常慢。 • 無法執行某些程式。 • 有些病毒非常狡猾,並不一定在使用者執行程式之後,就開始感染系統或破壞系統,而是選擇一年之中的某個日期才啟動發作,像是著名的"十三號星期五"。有些病毒則有邏輯上的發作方式,,只有在使用者試圖開啟某些程式等才發作。這些病毒就是為了讓使用者失去戒心,認為無關緊要而疏於防範,結果往往造成更嚴重的損失。
15.2.2 駭客攻擊 • 缺陷的主機與網路架構包括: • 第一是因錯誤安全策略所造成的人為疏失,像是太過簡單的密碼原則、不受防的後門等等 • 第二是未經修補的漏洞,像是微軟作業系統的安全性漏洞。 • 常見的駭客攻擊方式 • 暴力猜測密碼 • 植入木馬 • 鍵盤記錄 • 系統缺陷 • IP哄騙(IP spoofing) • 中間者攻擊 • 拒絕服務(DoS, Denial of service)
15.2.3 蠕蟲 • 什麼是蠕蟲 • 蠕蟲又稱病蟲,是一種會自動大量複製而不感染其他程式的程式。佔據電腦記憶體,然後自行建立大量的分身 • 也有蠕蟲會自行尋找IIS伺服器上的漏洞,如果管理者沒有自行修補,它就會從這台有漏洞的伺服器向外快速傳播,很快的就因為網路無法處理大量散佈封包,而癱瘓掉整個網路,著名的Nimda蠕蟲就是使用這樣的方式造成世界經濟的嚴重損失。
15.3 如何阻絕病毒入侵 • 網際網路上到處散播的病毒,令人眼花撩亂、防不勝防,要怎樣才能主動預防,避免自己的電腦遭受到病毒攻擊呢?這是我們本節要介紹的主題,包含安裝防毒軟體以及windows系統更新。
15.3.1 防毒軟體介紹 • 防毒軟體可以防止電腦病毒的肆虐,最主要可以從這三個方面來討論。 • (1)防止病毒入侵的能力 • (2)偵測病毒的能力 • (3)解毒的能力
15.3.1 防毒軟體介紹 • 有效的防止病毒 • 不任意下載不明功用的程式。 • 不任意開啟不明寄件者的電子郵件,也不開啟不明的附加檔案。 • 使用磁片時,要注意是否遭受感染。 • 時常到網站下載病毒碼,保持病毒碼的最新狀態。 • 如果防毒軟體有自動更新病毒碼的機制則設定為開啟。 • 留意防毒軟體的自動防護功能是否正常啟動。 • 設定防毒軟體能自動掃描電子郵件,防止寄發感染的附件。 • 每隔一段時間自動排程掃描,檢查是否有病毒隱藏在系統裡。 • 時常留意報章雜誌或是網站的病毒消息。 • 除非特殊需要,否則不任意關閉防護功能。
15.3.2 安裝個人防毒軟體 • 下面我們舉賽門鐵克的Norton AntiVirus2004個人防毒軟體為例,告訴大家如何安裝防毒軟體。 • 實例一、安裝諾頓防毒軟體 • Step1.將 Norton AntiVirus 2004光碟插入光碟機中。如果沒有光碟,請執行檔案裡的Setup檔案。 • Step2.在 Norton AntiVirus 視窗中,按下「安裝 Norton AntiVirus」。 • Step3. 在安裝之前,系統會詢問您是否掃描系統,請按一下【是】鈕,系統會自動執行掃描,若您的系統是全新安裝,您可以按【否】鈕,跳過這個步驟。
15.3.2 安裝個人防毒軟體 • Step4.系統開啟的安裝視窗,會提醒您關閉所有的其他正在執行中的Windows程式,請按【下一步】鈕。
15.3.2 安裝個人防毒軟體 • Step5. 系統顯示「授權許可協議」,點選『我同意』,然後按【下一步】鈕。
15.3.2 安裝個人防毒軟體 • Step6.在這個對話方框,選擇您要安裝Norton AntiVirus的資料夾,建議使用預設的資料夾,請按【下一步】鈕。
15.3.2 安裝個人防毒軟體 • Step7.系統要求確認安裝位置,請按【下一步】鈕,系統會自動執行安裝作業。
15.3.2 安裝個人防毒軟體 • Step8.安裝完成,請按【下一步】鈕。
15.3.2 安裝個人防毒軟體 • Step9.按下【完成】鈕,結束安裝。 • 安裝防毒軟體的過程在這裡告個段落,但為了要讓防毒軟體可以辨識新種的病毒,我們必須馬上透過網際網路,更新病毒碼。不同的防毒軟體有個別的更新過程,這邊我們還是舉Norton AntiVirus 個人防毒軟體的更新病毒碼過程來說明。
15.3.2 安裝個人防毒軟體 • 實例二、更新病毒碼 • Step1.延續實例一、選擇LiveUpdate,請按【下一步】鈕。
15.3.2 安裝個人防毒軟體 • Step2.Liveupdate正在搜尋哪些元件尚未更新。請稍候(因為時間有點長,如果您無法等候時,請按【取消】鈕)。
15.3.2 安裝個人防毒軟體 • Step3.列出可供更新的元件,您可以勾選全部,也可以勾選病毒定義檔即可。請按【下一步】鈕。
15.3.2 安裝個人防毒軟體 • Step4.若您僅勾選病毒定義檔,此時就會針對病毒定義檔開始下載。(此時勿按【取消】鈕。)
15.3.2 安裝個人防毒軟體 • Step5.更新完畢,系統會將您更新完的項目打勾。請按【完成】鈕。
15.3.3 更新微軟作業系統 • Windows XP推出之後,有越來越多的駭客和病毒作者對此全球化的作業平台感到興趣,因此集中火力猛找其中的漏洞並破壞,Windows系統更新變的非常重要,然而很多使用者往往忽略了「系統更新」這個良好的習慣 • 實例三、更新微軟作業系統 • Step1.在IE瀏覽器的視窗中,執行【工具/Windows Update】指令。
15.3.3 更新微軟作業系統 • Step2.IE會自動連結到微軟的Windows update網站,在經過自動程序的步驟之後,請按下網頁中間的『掃描更新檔項目』超連結。
15.3.3 更新微軟作業系統 • Step3.系統會將所有可用的更新項目列出清單,您可以針對您希望進行更新的項目做個人化的調整,按下【新增】鈕,將項目列入更新內容中。如果該項目已經自動選取了,則項目右方只會顯示【移除】按鈕,而【新增】按鈕則是反白的。調整完畢後請按下『檢視並安裝更新檔』超連結按鈕。
15.3.3 更新微軟作業系統 • Step4.系統將已經選取的項目列出清單,您可以選擇【立即安裝】鈕,進行下一步驟,或者按【移除】鈕,將已選取項目移除掉。
15.3.3 更新微軟作業系統 • Step5.Windows update會自動安裝更新檔到您的電腦,這個步驟的時間會依選取更新檔的性質與數量不同而有時間的差異,若您從未更新,這個步驟可能會長達半小時。(請耐心等候)
15.3.3 更新微軟作業系統 • Step6.安裝完畢,系統提示您是否要重新啟動。方才更新的部份都要重新啟動電腦之後才會生效。請按【確定】鈕重新啟動,或是【取消】鈕稍後再重新啟動。
15.3.3 更新微軟作業系統 • Step7.如果剛才按下的是【取消】鈕,系統會顯示安裝完成畫面,您可以關閉這個視窗。
15.3.3 更新微軟作業系統 • Windows Update到此告一個段落,然而要提醒大家,因為系統的缺陷會陸續被發現出來,新病毒也會不斷出現,持續的維持系統更新是相當重要的。為了保險起見,最好每週都檢查一次是否有提供更新。 • 您可以開啟【控制台/系統】內容,並且點選自動更新頁籤。勾選『將我的電腦保持在最新狀態,啟動這個設定,在套用任何其他更新之前,Windows Update軟體可以自動更新』。在設定部份,若您希望每次要安裝更新前通知您,您可以點選『自動下載更新並在準備好安裝時通知我』。
15.4 防火牆 • 防火牆是一個用來加強網路間的存取控制策略的系統,它置於兩個網路之間如公司網路以及Internet,檢查所有通過兩網路間的資料流,而且允許授權的資料流(如由安全策略所定義的)通過。防火牆加強了確認系統,僅允許授權的個人可存取私人網路。
15.4.1 防火牆的類型 • 防火牆的類型 • 封包過濾式防火牆: • 是最普遍的防火牆型態,我們在網路入口處安裝了封包過濾路由器,使用過濾原則來阻止指定的通訊協定及IP位址通行。 圖15-1 封包過濾式防火牆
15.4.1 防火牆的類型 • 雙重閘道式防火牆: • 在一台主機中,安裝兩張網路介面卡的雙重架構,並使主機不具IP轉送能力,完全阻擋了網際網路與內部網路間的IP資料流。 圖15-2雙重閘道式防火牆
15.4.1 防火牆的類型 • 屏蔽式主機防火牆: • 結合了一台封包過濾路由器及一台做為防禦主機的伺服器,屏蔽式路由器負責濾除任何未經允許的外部封包及協定,而且防止它們到達個別公共伺服器 圖15-3屏蔽式主機防火牆
15.4.1 防火牆的類型 • 屏蔽式子網路防火牆: • 增加一個周圍網路,進一步的將內部網路與網際網路隔離。要侵入這種結構的內部網路,攻擊者必須通過兩個路由器。 圖15-4屏蔽式子網路防火牆
15.4.2 防火牆的安全機制 • 防火牆不是一種安裝後就忘記它的裝置。針對防火牆的規劃可能是複雜的,冗長而且單調工作,事先需要很細密的計劃。 • 基本存取控制 • 防火牆的目的是要保護以主機位址和網站服務為基礎的網路。例如,你可以用基本的存取控制讓某些主機或外部使用者以遠端登入的服務去存取內部網路。所有的防火牆都提供某些清單控制存取行為,通常也提供其他管理架構使存取控制更有效、更容易管理。 • 存取規則及存取清單 • 「以主機為基礎的清單」描述了讓每一個主機或網路可以使用的服務。 • 以服務為基礎的清單」則指出了可以使用某些服務的特定主機或網路。 • 稽核與警示 • 稽核紀錄對於安全政策而言是一項有用的工具,它可以指出應該在哪些部分加強管制。基本的稽核要能紀錄來源和目的端的主機位址、協定、應用程式埠、時間、存取時間以及所採取的行動。
15.4.3 安裝個人防火牆 • 防火牆隨著硬體配備或者是功能的多寡而有不同的等級,企業使用的防火牆構造嚴謹,不管是軟體防火牆(微軟ISA Server)或是硬體的防火牆(如思科系統的PIX Firewall),除了存取限制等,還多了NAT或是PAT的功能,以便企業的內部網路與網際網路接軌,然而這些功能在個人電腦上略顯多餘。在這裡我們要介紹的是符合個人需求的賽門鐵克Norton Internet Security個人防火牆。 • 實例四、安裝諾頓Internet Security個人防火牆 • Step1.將 Norton Systemwork光碟插入光碟機中。 • Step2.在視窗中,按下「安裝 Norton Internet Security」。 • Step3. 在安裝之前,系統會詢問您是否掃描系統,請按一下【是】鈕,系統會自動執行掃描,若您的系統是全新安裝,您可以按【否】鈕,跳過這個步驟。
15.4.3 安裝個人防火牆 • Step4. 安裝視窗,會提醒您關閉所有的其他正在執行中的Windows程式,請按【下一步】鈕。
15.4.3 安裝個人防火牆 • Step5. 系統顯示「授權許可協議」,點選『我同意』,然後按【下一步】鈕。
