440 likes | 565 Views
親愛的老師您好. 感謝您選用本書作為授課教材,博碩文化準備本書精選簡報檔,特別摘錄重點提供給您授課專用。 說明: 1 、本教具為非賣品,不得作為商業之用。 2 、本教具僅授權使用原著作為授課教材之教師作為教學或研究等學術用途。 3 、本教具未授權提供學生任何拷貝、影印、引用、翻印等行為。 4 、教師若需申請網站或內容授權,可透過您的博碩業務協助處理,謝謝。. 博碩文化: 總公司:台北縣汐止市新台五路一段 112 號 10 樓 A 棟 電話: (02) 2696-2869 分機 313 傳真: (02) 2696-2867
E N D
親愛的老師您好 感謝您選用本書作為授課教材,博碩文化準備本書精選簡報檔,特別摘錄重點提供給您授課專用。 說明: 1、本教具為非賣品,不得作為商業之用。 2、本教具僅授權使用原著作為授課教材之教師作為教學或研究等學術用途。 3、本教具未授權提供學生任何拷貝、影印、引用、翻印等行為。 4、教師若需申請網站或內容授權,可透過您的博碩業務協助處理,謝謝。 博碩文化: 總公司:台北縣汐止市新台五路一段112號10樓A棟 電話:(02) 2696-2869 分機 313 傳真:(02) 2696-2867 網址:www.drmaster.com.tw客服信箱:school@drmaster.com.tw 出書提案信箱 schoolbook@drmaster.com.tw
計算機概論 請老師填入姓名主講 課本:資訊能力的養成與應用 博碩文化出版發行
第五章 網路安全實務與應用 課前指引 網際網路的設計目的是為了提供最自由的資訊、資料和檔案交換,而網際網路的成功也超乎設計者的預期,除了帶給人們許多的方便外,也帶來許多安全上的問題,例如駭客、電腦病毒、網路竊聽、隱私權困擾等。本章中著眼於各種和安全性有關的議題,各位可以了解各種工具如何讓線上交易更為安全,同時協助企業保護公司的敏感資料。
章節大綱 5-5防火牆簡介 5-1網路安全與犯罪模式 5-6防火牆的分類 5-2電腦病毒 5-7資料加密簡介 5-3防毒軟體簡介 5-4電腦防毒措施 備註:可依進度點選小節
5-1 網路安全與犯罪模式 駭客與怪客 駭客不僅攻擊大型的網站和公司,也會攻擊家庭或企業中的個人電腦。駭客會使用各種方法破壞和使用用戶的電腦。 駭客在開始攻擊之前,必須先能夠存取用戶的電腦,其中一個最常見的方法就是使用名為「特洛伊式木馬」的程式。駭客在使用此程式之前,必須先將其植入用戶的電腦,然後伺機執行如格式化磁碟、刪除檔案、竊取密碼等惡意行為,此種病毒模式多半是E-mail的附件檔。 續下頁
密碼與心理學 當各位在設定密碼時,建議您依照下列幾項原則來建立:
服務拒絕攻擊 DoS 阻斷攻擊是單憑一方的力量對ISP 的攻擊之一,若被攻擊者的網路頻寬小於攻擊者,DoS攻擊往往可在兩三分鐘內見效。但若攻擊的是頻寬比攻擊者還大的網站,那就有如以每秒10 公升的水量注入水池,但水池裡的水卻以每秒30 公升的速度流失,不管再怎麼攻擊都無法成功。 例如駭客使用大量的垃圾封包塞滿ISP 的可用頻寬,進而讓ISP 的客戶將無法傳送或接收資料、使用電子郵件、瀏覽網頁和其他網際網路服務。
網路竊聽 由於在「分封交換網路」 (Packet Switch) 上,當封包從一個網路傳遞到另一個網路時,在所建立的網路連線路徑中,包含了私人網路區段( 例如使用者電話線路、網站伺服器所在區域網路等) 及公眾網路區段( 例如ISP 網路及所有Internet 中的站台)。 而資料在這些網路區段中進行傳輸時,大部分都是採取廣播方式來進行,因此有心竊聽者不但可能擷取網路上的封包進行分析( 這類竊取程式稱為Sniffer),也可以直接在網路閘道口的路由器設個竊聽程式,來尋找例如IP 位址、帳號、密碼、信用卡卡號等私密性質的內容,並利用這些進行系統的破壞或取得不法利益。
網路釣魚(1) Phishing 一詞其實是「Fishing」和「Phone」 的組合,中文稱為「網路釣魚」,簡單的說是一種網路詐騙行為,網路釣魚主要是讓受害者自己送出個人資料,輕者導致個人資料外洩,侵範資訊隱私權,重則危及財務損失,最常見的伎倆有兩種:
網路釣魚(2) 想要防範網路釣魚首要方法,必須能分辨網頁是否安全,一般而言有安全機制的網站網址通訊協定必須是https://,而不是http://,https 是組合了SSL 和http 的通訊協定,另一個方式是在螢幕右下角,會顯示SSL 安全保護的標記,在標記上快按兩下滑鼠左鍵就會顯示安全憑證資訊。 續下頁
5-2 電腦病毒 電腦中毒徵兆
電腦病毒種類(1) 開機型病毒 又稱系統型病毒,這類型的病毒會潛伏在硬碟的開機磁區,也就是硬碟的第0 軌第1 磁區處,它會在開機後系統載入之前先行進入記憶體之中,有的會干擾您的系統而導致無法正常開機,有的則會讓您的系統正常執行,然而在開機後於背景從事傳染或破壞行為。 早期常見的開機型病毒有STONE、Brain、DISK KILLER、MUSICBUG 等。 續下頁
電腦病毒種類(2) 檔案型病毒 早期通常寄生於可執行檔之中,不過隨著電腦技術的演進、程式、語言新工具等的提出,使得檔案型病毒的種類也越來越趨多樣化,甚至連文件檔案也會感染病毒,一般會將檔案型病毒依傳染方式的不同,分為「長駐型病毒」(Memory Resident Virus)與「非長駐型病毒」(Non-memory Resident Virus),分別說明如下:
電腦病毒種類(3) 混合型病毒 具有開機型病毒與檔案型病毒的特性,它一方面會感染其它的檔案,一方面也會傳染系統的記憶體與開機磁區,感染的途徑通常是執行了含有病毒的程式,當程式關閉後,病毒程式仍然長駐於記憶體中不出來,當其它的磁片與此台電腦有存取的動作時,病毒就會伺機感染磁片中的檔案與開機磁區。 續下頁
電腦病毒種類(4) 千面人病毒 擁有不同的面貌,它每複製一次,所產生的病毒程式碼就會有所不同,因此對於那些使用病毒碼比對的防毒軟體來說,是頭號頭痛的人物,就像是帶著面具的病毒,例如Whale 病毒、Flip 病毒就是這類型的病毒。
電腦病毒種類(5) 巨集病毒 是一種新型態的檔案型病毒,巨集是一些指令的集合,可以協助文書處理者或應用程式使用者將一些經常性的指令加以組合,以完成特定的批次動作。 然而今日的巨集病毒大都是以微軟的Word 文書處理軟體中之巨集來設計的,由於在Word 中可以使用程式碼來編輯巨集,雖然其所使用的VBA(Visual Basic for Applications)十分簡單,然後其具有程式語言編輯的特性,就足以構成有心人士用來設計病毒的條件,例如最著名的Taiwan No.1、美女拳病毒等。
電腦病毒種類(6) 蠕蟲 它會從一台電腦「爬行」至另一台電腦,今日的蠕蟲病毒主要是以網路為傳播的媒介,電腦蠕蟲會自行複製到許多網際網路上的主機電腦,最後讓網際網路癱瘓。在二十一世紀初曾經造成了許多重大的網路災害,其攻擊的方式多為主動式的攻擊,特徵是在背景執行,使用者不易發現它的存在,在這邊依傳播的途徑可分為郵件蠕蟲與網路漏洞蠕蟲。
電腦病毒種類(7) 特洛伊式病毒 也稱之為木馬病毒,嚴格來說它並不算是病毒,基本上它不具有傳染或特別的破壞方式,它是有心人士特意撰寫的程式,也許是包裝為一封電子賀卡,也許是一個有趣的小遊戲,總之目的就是在引誘使用者開啟該程式,一旦執行了該程式,它就會在系統中長駐,並在系統上開啟一些漏洞,將使用者的資料送回至有心人士的手中,或是作為有心人士入侵系統的管道。
電腦病毒種類(8) 殭屍網路病毒 侵入方式與木馬程式雷同,不但會藉由網路來攻擊其他電腦,只要遇到主機或伺服器有漏洞,就會開始展開攻擊。當中毒的電腦越來越多時,就形成由放毒者所控制的殭屍網路。 Autorun 病毒 屬於一種隨身碟病毒,也有人稱為KAVO病毒,可以透過寫入autorun.inf讓病毒或木馬自動發作,會感染給所有插過這個隨身碟的設備,中毒之後可以讓系統無法開機,或者無法開啟隨身碟。如果隨身碟接上電腦後,使用滑鼠左鍵雙按隨身碟圖示沒有反應,就可能已經感染該病毒。
5-3 防毒軟體簡介 諾頓防毒 是由賽門鐵克(Symantec)公司所研發的個人電腦防毒軟體,賽門鐵克公司總部位於美國加州Cupertino,其最方便的功能莫過於線上病毒碼的更新作業,讓使用者可以直接透過程式進行病毒碼的更新。 除了防毒軟體之外,該公司尚開發有電腦系統維護、防火牆、系統備份等相關的電腦安全程式,在世界各地都保有一定數量的使用者,賽門鐵克公司的網頁位址為http://www.symantec.com/index.jsp,中文網頁位址為http://www.symantec.com/zh/tw/index.jsp 續下頁
趨勢PC-cillin 其防毒軟體PC-cillin 在近幾年來大放異彩,與賽門鐵克的諾頓防毒軟體足以並駕齊驅,近來趨勢科技更跨足網路安全服務,為使用者與網站提供防火牆等各式安全服務,趨勢科技的網頁位址為http://www.trend.com,在趨勢的網站上提供有詳細的電腦病毒基本常識,您可以連上該網站以取得更詳細的資訊: 續下頁
免費防毒軟體大放送 在「史萊姆的第一個家」(http://www.slime.com.tw/) 收錄許多實用的軟體資訊及下載路徑,並以完整分類的方式,簡介了各種軟體的優劣,以防毒軟體為例,在這個網站中可以找到許多實用的防毒軟體,有的完全免費,有的個人版免費但商業版需要收費,每套防毒軟體都有其特殊的防禦能力。
5-4 電腦防毒措施 不隨意下載檔案 病毒程式可能藏身於一般程式中,使用者透過FTP 或網頁將含有病毒的程式下載到電腦中,並且執行該程式,結果就會導致電腦系統及其它程式感染病毒。因此對於來路不明的程式不要隨意下載或開啟,以免遭受病毒的侵害。 不使用不明的儲存媒體 如果各位使用來路不明的儲存媒體(軟式磁碟、用CD-R 系統製作的CD、高容量軟式磁碟等),病毒可能藏在磁片的開機區或藏在磁片上的可執行檔,也會將病毒感染到使用者電腦中的檔案或程式。 續下頁
不透過電子郵件附加檔案傳遞 有些電腦病毒會藏身於電子郵件的附加檔案中,並且使用聳動、吸引人的標題來引誘使用者點選郵件,並開啟附加檔案。 藏有病毒的附加檔案看起來可能僅是一般的文件檔案,例如Word 文件檔,但實際上此份文件中卻是包含了「巨集病毒」。 由於e-mail 病毒使得使用者可能自中毒的訊息感染病毒,為了避免電子郵件病毒,應該設定電子郵件程式不要收由HTML 格式所編碼的信件,除非知道送件者,否則避免打開附件檔案。 續下頁
安裝防毒軟體 安裝防毒軟體,並養成時常更新病毒碼與定期掃毒的習慣。這個動作相當的重要,防毒軟體雖然無法防堵所有的病毒,但是它可以為您建立起一道最基本的防線,在最低的限度上,至少可以少受一些舊病毒的侵擾。
5-5 防火牆簡介 認識防火牆 主要是用於保護由許多計算機所組成的大型網路。 建立防火牆的主要目的是,保護屬於我們自己的網路不受來網路上的攻擊。 我們所要防備的是外部網路,因為可能會有人從外部網路對我們發起攻擊。所以我們需要在內部網路,與不安全的非信任網路之間築起一道防火牆。
防火牆運作原理 防火牆實際上代表了一個網路的存取原則。 每個防火牆都代表一個單一進入點,所有進入網路的存取行為都會被檢查、並賦予授權及認證。 防火牆會根據於一套設定好的規則來過濾可疑的網路存取行為,並發出警告。意即確定那些類型的資訊封包可以進出防火牆,而什麼類型的資訊封包則不能通過防火牆。
5-6 防火牆的分類 封包過濾型 封包過濾型防火牆會檢查所有收到封包內的來源IP 位置,並依照系統管理者事先設定好的規則加以過濾。 若封包內的來源IP 在過濾規則內為禁止存取的話,則防火牆便會將所有來自這個IP 位置的封包丟棄。 種封包過濾型的防火牆,大部份都是由路由器來擔任。例如路由器可以阻擋除了電子郵件之外的任何封包。同時還可以阻擋通往和來自可疑位置以及來自特定用戶的流量。
代理伺服器型 又稱為「應用層閘道防火牆」(Application Gateway Firewall),它的安全性比封包過瀘型來的高,但只適用於特定的網路服務存取,例如HTTP、FTP 或是Telnet 等等。事實上,此類型的防火牆就是透過代理伺服器來進行存取管制。 代理伺服器是客戶端與伺服端之間的一個中介服務者。當代理伺服器收到客戶端A 對某網站B的連線要求時,代理伺服器會先判斷該要求是否符合規則。若通過判斷,則伺服器便會去站台B 將資料取回,並傳回客戶端A。 續下頁
軟體防火牆 軟體防火牆所採用的技術與封包過濾型如出一轍,但它包括了來源IP 位置限制,與連接埠號限制等功能。例如Windows 7 本身也有內建防火牆功能,如下所示:
5-7 資料加密簡介 對稱鍵值加密系統 又稱為「單一鍵值加密系統」(Single Key Encryption)或「秘密金鑰系統」(Secret Key)。這種加密系統的運作方式,是由資料傳送者利用「秘密金鑰」(Secret Key)將文件加密,使文件成為一堆的亂碼後,再加以傳送。 而接收者收到這個經過加密的密文後,再使用相同的「秘密金鑰」,將文件還原成原來的模樣。因為如果使用者B能用這一組密碼解開文件,那麼就能確定這份文件是由使用者A 加密後傳送過去,如下圖所示: 續下頁
這種加密系統的運作方式較為單純,因此不論在加密及解密上的處理速度都相當快速。常見的對稱鍵值加密系統演算法有DES(Data Encryption Standard,資料加密標準)、Triple DES、IDEA(International Data Encryption Algorithm,國際資料加密演算法) 等。
非對稱鍵值加密系統 也是金融界應用上最安全的加密系統,或稱為「雙鍵加密系統」(Double key Encryption)。 此種加密系統主要的運作方式,是以兩把不同的金鑰(Key)來對文件進行加/ 解密。例如使用者A 要傳送一份新的文件給使用者B,使用者A 會利用使用者B的公開金鑰來加密,並將密文傳送給使用者B。當使用者B 收到密文後,再利用自己的私密金鑰解密。過程如下圖所示: 續下頁
至於目前普遍使用的非對稱性加密法為RSA 加密法,它是由Rivest、Shamir 及Adleman 所發明。RSA 加密法的鑰匙長度不固定,鑰匙的長度約在 40 個位元到 1024 位元間。若考慮安全性,可用長度較長的鑰匙;若考量到效率問題,則選擇長度較短的鑰匙。
認證 首先先以使用者B 的公開鑰匙加密,接著再利用使用者A 的私有鑰匙做第二次加密。 使用者B 在收到密文後,先以A 的公開鑰匙進行解密,此舉可確認訊息是由A 所送出。 接著再以B 的私有鑰匙解密,若能解密成功,則可確保訊息傳遞的私密性,這就是所謂的「認證」。認證的機制看似完美,但是使用公開鑰匙作加解密動作時,計算過程卻是十分複雜,對傳輸工作而言不啻是個沈重的負擔。
數位簽章 運作方式是以公開金鑰及雜湊函式互相搭配使用,使用者A 先將明文的M 以雜湊函數計算出雜湊值H,接著再用自己的私有鑰匙對雜湊值H 加密,加密後的內容即為「數位簽章」。 想要使用數位簽章,當然第一步必須先向認證中心(CA) 申請電子證書(Digital Certificate),它可用來證公開金鑰為某人所有及訊息發送者的不可否認性,而認證中心所核發的數位簽章則包含在電子證書上。
Q&A討論時間 本章結束