1 / 32

Information Security Fundamentals and Practices 資訊安全概論與實務

Information Security Fundamentals and Practices 資訊安全概論與實務. 潘天佑博士 主編. 版權聲明:本教學投影片僅供教師授課講解使用,投影片內之圖片、文字及其相關內容 , 未經 著作權人許可,不得以任何形式或方法轉載使用 。. 第二篇 第 6 章. 資訊安全架構與設計. 組織管理架構 (I) – TQM.

miranda-lopez
Download Presentation

Information Security Fundamentals and Practices 資訊安全概論與實務

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Information Security Fundamentals and Practices資訊安全概論與實務 潘天佑博士 主編 版權聲明:本教學投影片僅供教師授課講解使用,投影片內之圖片、文字及其相關內容, 未經著作權人許可,不得以任何形式或方法轉載使用。

  2. 第二篇 第6章 資訊安全架構與設計

  3. 組織管理架構 (I)– TQM • TQM(total quality management) 中文翻譯為「全面品質管理」,由美國教授戴明 (Edward Deming) 在日本提出的品質改進循環,從1980年代開始就極受歡迎,它是 ISO9001 與許多其它管理標準的基礎。 • 國際標準組織 (ISO) 對它的定義為:「TQM 是以品質為中心的管理方法,以全員參與長期成功為基礎,由於客戶滿意,使得組織與社會共蒙其利。一個主要的目標是每個程序都能降低變化的程度,因此工作結果能有更大的一致性。」 • 簡單的說,TQM 的觀念是:1. 品質可以被管理;2. 管理應該程序化。 • ISO9001 的最新版為 2008 年之“ISO 9001:2008 Quality Management Systems – Requirements.” • 雖然這個標準一開始為製造業所訂定,但現今已被建置在各種不同行業組織中。在 ISO 詞彙中,一個需要品質要求的「產品」可以是一個實體物品、軟體、或服務。

  4. PDCA 循環 • PDCA 循環就是由規畫 (Plan)、執行 (Do)、檢查 (Check)、及行動 (Act) 四個程序所構成的一連串追求改善的行動,也稱為「戴明循環」。 • PDCA 是一個持續改善的循環: • 首先要做規劃,例如一個資訊安全管理計畫。 • 接著,要依據計畫作建置,例如人員刷卡進出、資料每週備份、安裝防火牆等。 • 在過程中,要不斷地檢查組織改善的狀況,並設法發現缺失。例如駭客入侵成功率是否降低,復原損失是否減少等。 • 發現缺失後,即採取處置行動、力求改善;這些改善措施會被整併到下個計畫裡。例如資訊安全管理計畫第二版裡,改為資料每天備份。PDCA 循環依此持續進行。 Plan Do Act Check

  5. 組織管理架構 (II)– ISMS • ISMS(Information Security Management System) 中文翻譯為「資訊安全管理系統」,它整理了資訊安全最佳實務 (best practice) 並予以條文化,訂定為國際標準 ISO 27001:2005。 • ISMS 依據以下六個步驟來建置: • 定義一個資訊安全政策:由組織最高層指定方向、展現決心。 • 定義一個實施 ISMS 的範圍:例如以電腦機房或是以資訊中心為範圍。 • 實施資訊安全風險評鑑:找出範圍內的安全弱點與可能遭遇的威脅。 • 管理風險:將風險分類後,有的風險需要降低、有的風險可以忽略等。 • 找出適合的控制項目來應用:ISMS 提供許多控制項目 (即安全防禦的做法),應依據範圍內所需要降低的風險,選擇適當的項目來實施。 • 將這些項目寫成「適用性聲明 (statement of applicability, SoA)」。

  6. ISMS 的領域與控制項目 • 依據ISO27001:2005的定義,ISMS包含以下11個領域,39個管理目標,和133個控制項目。 A.5 資訊安全政策 系統框架 A.6 資訊安全組織 A.7 資訊資產管理 管控作業 A.8 人力資源 安全 A.9 實體與環境 安全 A.10 通訊與作業 管理 A.12 資訊系統 取得、開 發、及維 護 A.11 存取控制 A.13 資訊安全事件管理 A.14 營運持續管理 未來風險 A.15 遵循性 符合有效

  7. 組織管理架構 (III)– ITSM • ITSM(Information Technology Service Management) 中文翻譯為「資訊技術服務管理」,是廣受支持的資訊服務最佳做法,並被訂為國際標準 ISO 20000。它的主要特色如下: • 將組織內、外各單位當做資訊部門的「客戶」;與客戶訂定服務約定,並量化各項服務的價值,藉此評估資訊部門的貢獻度與投資報酬率。 • 「技術」固然是資訊服務不可或缺的成分;但資訊服務還要從組織、流程、與人員等方面做管理,藉以降低人事與系統更動所帶來的衝擊。 • 強調完整服務 (end-to-end service) 的觀念。使用者只應感受到資訊服務的可用性,卻不需要看到複雜的基礎架構與技術。資訊部門有一套內部流程可以處理從簡單到複雜的問題,並且累積經驗。

  8. 組織管理架構 (IV)– CMMI • CMMI (Capability Maturity Model Integration) 是由美國國防部所支持,卡耐基美隆大學軟體工程學院 (SEI) 所制定。目的是為軟體產業建立一套工程制度,使個人及組織在軟體發展上能有持續改善的依據。 • CMMI 已成為許多大型軟體業者於改善組織內部軟體工程所採行的軟體評估標準,CMMI 亦陸續應用於系統工程、整合的產品與流程發展、及委外作業,成為國際間認同且廣泛通用的一種流程改善的標準。 • 流程改善的好處如下: • 改善時程與預算之預估能力 • 改進設計週期 • 提高生產力 • 改善品質 • 增加客戶滿意度 • 改善員工士氣 • 增加投資的回收 • 減少因品質問題所造成的成本

  9. CMMI 五個成熟等級 經過量化回饋機制,產生新的想法與新的技術,藉以最佳化相關流程。 第五級 最佳化階段 產品成果和發展過程都可以用數量方式控制;可以找出流程變異的原因,並矯正該原因。 第四級 量化管理階段 開發活動與管理活動已經標準化,且可以整理成為組織的標準作業流程。 第三級 已定義階段 建立了基本的專案管理過程,已可以依照進度發展系統並追蹤費用;相似的專案,可以重複使用以前的經驗。 第二級 已管理階段 沒有固定的流程,無法提供穩定的環境與資源;無法正確地評估人力,無法掌握時程與預算。無法重複成功經驗,偶而的成功也只有靠少數有經驗的人才能完成。 第一級 初始階段

  10. 機密等級劃分 (I) • 組織管理與資訊安全管理之間有一個重要的重疊處,就是資訊機密等級劃分 (information classification)。使用科技或獎懲讓每個人都只能讀或寫權限所允許的資訊,是維持機密性與完整性的有效方法。 • 一個組織中大約有七成的資訊是屬於內部使用或是私人的,包括一般電子郵件以及會議記錄等。這些資訊不該讓外人看到,卻不一定刻意設防。 • 大約有兩成的資訊是提供給外人用的,例如網站、廣告文宣、產品型錄等。公開訊息需要審批過程,以免機密誤遭公開。 • 最後大約有一成的資訊屬於機密性質,若被揭漏會嚴重傷害組織,例如營業秘密、重要製程配方、行銷策略等。 • 依據以上概念,一般美國企業將機密等級分為四種:不設限的是「公開 (public) 資訊」,不想公開的是「敏感 (sensitive) 資訊」,再高一些的是有隱私考量的「私密 (private) 資訊」,最高等級的是「機密 (confidential) 資訊」。

  11. 機密等級劃分 (II) 我國公務機密之等級區分法為:「絕對機密」、「極機密」、「機密」三等級 為國家機密;一般公務機密列為「密」等級。

  12. 安全程序裡的角色 • 除了資訊的機密性質需要劃分,在安全管理流程中每個人的角色與責任 (R&R) 也需要清楚劃分,以下是幾個主要的角色: • 所有人 (owner):資料的所有人決定資料該被如何使用和保護,通常由組織中的資深經理人或決策者擔任。 • 管理人 (custodian):資料的管理人負責維護與保護資料,通常是資訊部門的人員。 • 使用者 (user):資料的使用者是使用資料的人或部門。

  13. 瞭解主體與物件 • 主體 (subject) • 主體這個詞被用來描述一個實體,它會要求存取 (access) 一個資源,但必須要符合某些條件。 • 一位使用者或是一個電腦程式都可以是一個主體。當一個程式存取一個檔案時,程式是主體而檔案是資源 (或稱為物件)。 • 物件 (object) • 物件這個詞被用來描述一個系統中需要受到安全保護的資源。通常物件會被分級並標示,以識別它在組織內的價值。 • 資料庫、伺服器、檔案等都可以是物件。 使用者 程式 電腦 檔案 主體 物件 印表機 伺服器 磁碟片 檔案 資料庫 程式

  14. 可信任的運算基礎 • TCB (trusted computing base) 中文譯為「可信任的運算基礎」,為美國國防部橘皮書 (Orange Book, TCSEC) 所提出的概念:是指一個電腦系統中防禦機制的完全組合 (total combination of protection mechanism)。 • TCB 要確定不論使用者的輸入為何,它所涵蓋的組件 (包括硬體、軟體、與韌體) 都忠實地執行安全政策,並且能抵禦外部的干擾與攻擊。簡單的說:TCB 是一個可以識別的區域裡所有組件都是可以信任的。 • TCB 的概念最常被使用於作業系統的核心 (kernel),因為那裡最需要「可信任的運算」。早期的作業系統 DOS 或 Windows 3.1 都沒有TCB;Windows 95 進入 32-bit 後,即建置 TCB。

  15. 產品安全評估準則 • Trusted Computer System Evaluation Criteria (TCSEC) 又稱為橘皮書 (Orange Book),起源於美國軍方,用以驗證作業系統、應用軟體以及其他產品。檢查項目包括安全政策、責任性、保證性、與安全文件等四大項。TCSEC 以檢查產品的 confidentiality 為主。 • Information Technology Security Evaluation Criteria (ITSEC) 是歐洲制定之準則,目的是同時為政府及企業所採用,並且產品在一個國家評估的報告,可被所有會員國家採納。相較於 TCSEC,ITSEC 較富彈性,並且補充對 integrity 的評估。 • 共同準則 (Common Criteria, CC) 是全球最新也最嚴謹的安全系統評估準則,正逐步取代各區域性之安全評估準則。

  16. 共同準則的流程 • 「保護剖繪 (protection profile)」描述針對特定環境內所存在之威脅的一個安全需求。例如針對「防火牆」就可以有一套保護剖繪。 • 「評估目標」是指需要進行安全評估的產品。例如微軟ISA產品。 • 「安全目標」是廠商的書面說明為何安全的功能與安全的保證能符合安全需求。 • 評估則是針對產品與安全目標進行測試。 • 最後則是確認安全層級,並完成驗證報告。 保護剖繪 評估目標 安全目標 安全功能 需求 安全保證 需求 評估 確定安全 層級

  17. 共同準則的等級 • 共同準則的評估確認等級稱為 Evaluation Assurance Level (EAL) 。

  18. 狀態機模型 • 在狀態機模型 (state machine model) 裡,驗證一個系統的安全與否使用它的「狀態」,意思是每當一個主體存取一個物件時,就要捕捉下當時系統的狀態。 • 許多活動都會造成狀態轉變 (state transitions),例如下一頁的圖示中,一位使用者將某個程式的設定由 abc 改成了 xyz,系統狀態就轉變了。 • 系統設計者要建立狀態機模型,列出所有可能的狀態轉變,並評估這個活動是否造成一個安全的狀態被轉變成了不安全的狀態。如前例,系統進入新的狀態前應確認該使用者是否為合法使用者 (身分認證),是否有權限變更該程式的設定值,同時該程式之設定從 abc 改成 xyz 是否符合安全政策。 • 如果一個系統中所有被允許的活動都不會違背安全政策使系統陷入不安全的狀態,那麼這個系統就符合安全的狀態機模型。

  19. 狀態機模型示意圖 作業系統 應用軟體 A 設定變數 1:1022 設定變數 2:abc 設定變數 3:f311 其他軟體 系統的初始狀態必須是安全的。 系統查驗這個主體的身分認證。 系統確定這個變更不會使它陷入不安全的狀態。 系統允許狀態轉變。 作業系統 應用軟體 A 設定變數 1:1022 設定變數 2:xyz 設定變數 3:f311 其他軟體 一位使用者嘗試著要變更某個設定變數。 系統繼續處理其它的狀態轉變。 作業系統 應用軟體 A 設定變數 1:5000 設定變數 2:xyz 設定變數 3:f311 其他軟體

  20. Bell-LaPadula模型 • Bell-LaPadula 模型 (圖示於下頁) 由 David Bell 與 Leonard LaPadula 所創,這個模型形成了橘皮書的基礎。 • 這個模型是一種階層式的狀態機模型,它說明系統如何維護保密性。 • 存取 (access) 關係有三種基本模式: • 唯讀 (read-only) • 唯寫 (write-only) • 讀及寫 (read and write) • 一個主體與一個物件之間的存取關係的規則可被定義如下: • 主體的權限 (clearance) 與物件的機密等級 (classification) 有對應關係。 • 每個主體對某些物件會被給予一定的存取模式。 • 為避免機密資料未經授權地洩漏,資料只允許被擁有對應權限以上的主體所存取。

  21. Bell-LaPadula模型示意圖 • No read up:可以讀被指定的機密等級的物件或較低層,不能讀較高層的。 • No write down:可以寫被指定的或較高機密等級的物件,不能寫入較低機密等級的物件。 • Constrained:如果同時有讀與寫的權利,只能讀寫被指定的機密等級的物件。 較高層的 機密等級 被指定的 機密等級 讀 寫 讀與寫 較低層的 機密等級 No read up No write down Constrained

  22. Biba 模型 • Biba 模型 (圖示於下頁) 發表在 Bell-LaPadula模型之後,兩者的概念類似,但是一些特性正好相反。Bell-LaPadula模型關心的是資訊的保密性 (confidentiality),Biba 模型則關心資訊的完整性 (integrity)。 • 在考慮保密性時,情報官 (一個可以知道比較多機密的人) 可以讀下級幕僚的文件,但是下級幕僚不能偷看情報官的文件;同時,下級幕僚可以幫情報官寫日誌,但是情報官不能幫下級寫任何東西,(因為他知道的機密太多了)。這是 Bell-LaPadula模型。 • 但是在考慮完整性 (或正確性)時,就不同了。財務經理 (一個知道正確財務數字的人) 可以幫市場總監 (不太清楚財務數字的人) 寫公司年度財務計畫,但是市場總監不能變更財務報告,因為他的數字很可能是錯的;同樣的,市場總監可以讀財務經理的財報,但財務經理不該讀或引用市場總監不可靠的財務數字。這就是所謂的 Biba 模型。

  23. Biba 模型示意圖 • No read down:可以讀被指定的或較高層的正確等級的物件,不能讀較低層的。 • No write up:可以寫被指定的或較低正確等級的物件,不能寫入較高正確等級的物件。 • No higher invocation:禁止使用較高正確等級的服務或執行較高正確等級的程序。 較高層的 正確等級 被指定的 正確等級 讀 寫 送出服務命令 較低層的 正確等級 No read down No write up No higher invocation

  24. Bell-LaPadula & Biba 聯合模型 • 主要是「機密等級」與 「正確等級」並不相同,一個資訊可能有很高的保密性卻很低的正確性,例如許多軍事情報都是如此。 • 相反的,上市公司的公開財報並沒有保密性,但卻要求極高的正確性。 較高層的 機密等級 讀 寫 讀與寫 被指定的 機密等級 較低層的 機密等級 No read up No write down Constrained 較高層的 正確等級 讀 寫 送出服務命令 被指定的 正確等級 較低層的 正確等級 No read down No write up No higher invocation

  25. Clark-Wilson 模型 • 一個「主體」就是使用者。 • 一些「程式」稱做 transformation procedures (TP),包括讀、寫、變更等。 • 一些需要被保護的「物件」稱做 constrained data items (CDI) • 主體要透過程式才能讀寫被保護的物件。 • 還有不需要保護的物件 UDI(unconstrained data items) 與維護一致性的 IVP(integrity verification procedures)。 使用者 UDI CDI CDI 1 TP CDI 2 CDI 記錄 CDI IVP

  26. 存取控制矩陣 • 存取控制矩陣 (access control matrix) 可用來同時規範機密性與完整性。可以限制「讀」來維持機密性;限制「寫」來保護完整性。 • 如右圖所示,簡易的存取控制矩陣以主體為欄,物件為列。內容則是每個主體對每個物件的存取權限。 • 在實際的系統裡,通常主體不只一類,物件的成份也很多,此外,權限的類型除了讀與寫之外,還有變更與刪除等。因此,完整的矩陣相當複雜。 R: read-only; W: read and write

  27. 不干擾模型 • 不干擾模型 (noninterference model) 也是一種表達多層級安全屬性的方法。這個概念主要是確定在高安全等級的活動不會影響或干擾低安全等級的活動。如果任何低安全等級主體知道高安全等級的活動,就可能推導出太多上層的訊息,形成洩密。 • 這是個簡單的模型,但在實做上並不輕鬆。在一個系統中,許多資源是由不同主體所共用。一位擁有「最高機密」權限的將軍要與只有「機密」權限的幕僚做資訊隔離就極困難,他們可能共用一台傳真機且共用檔案伺服器,都有造成洩密的機會。 • 推斷攻擊 (inference attack) 是指沒有真正的洩密行動,但一些跡象讓旁人能推斷出機密。例如平時幕僚可以讀寫的機密級作戰計畫突然被改列為極機密,幕僚就能推斷作戰行動可能即將開始。

  28. Brewer & Nash 模型 • Brewer and Nash 模型又稱為「中國城牆 (Chinese wall)」模型,它是一種可以動態改變的存取控制,主要用於商業組織防範「利益衝突 (conflict of interest)」。 • 這個模型也建構於資訊流模型之上,任何主體及物件之間的資訊流動,如果會造成利益衝突,都不被允許。 • 這個模型陳述:一個主體被允許寫一個物件,唯有當他不能讀與該物件有利益衝突的任何物件。 • Brewer and Nash 模型在各行各業應用極廣。例如公司法所規範的「競業禁止條款」就是避免經理人同時知道兩家競爭公司的機密資訊,造成利益衝突。

  29. Brewer & Nash 模型示意圖 • 如下圖所示,一家會計師事務所同時幫兩家 IC 設計公司查帳,某會計師已經參與了 A 公司的查帳工作,就不可以再參與 B 公司的工作。這種要求 (亦即 Brewer & Nash 模型) 可以建置在該會計師事務所的檔案管理系統內。 中國城牆 公司 A 公司 B 公司資料 公司資料 公司資料 公司資料 公司資料 公司資料 公司資料 公司資料 會計師

  30. 安全模式 (I) • 在本章最後,我們討論安全模式 (security modes)。一個系統在考慮以下條件後,可選擇運作在不同的安全模式下: • 直接或間接與系統連結的使用者的種類。 • 系統上所處理的資料種類,例如它們的安全等級與分類等。 • 使用者的安全等級、正式存取授權、與知的必要性 (need-to-know) 等。 • 專屬安全模式 (dedicated security mode) • 系統內所有使用者的安全等級都與任何資料安全等級相等或更高。 • 系統內所有使用者對所有資料都具有正式存取授權。 • 系統內所有使用者對所有資料都具有知的必要性。 • 因此,所有的使用者可以存取所有的資料。一些軍事系統是運作在這種單一安全層級的模式。 後頁續

  31. 安全模式 (II) • 系統高安全模式 (system highsecurity mode) • 系統內所有使用者的安全等級,都與任何資料安全等級相等或更高;且對所有資料都具有正式存取授權。 • 但使用者對資料未必具有知的必要性。一些使用者可能可以存取所有的資料,但另一些使用者因業務關係不需要全知道。 • 隔間的安全模式 (compartmented security mode) • 系統內所有使用者的安全等級,都與任何資料安全等級相等或更高。 • 但使用者對資料未必具有正式存取授權或知的必要性。這時資料可以依類別隔開,在類別內所有的使用者可以存取所有的資料。 • 多層級安全模式 (multilevel security mode) • 使用者的安全等級、正式存取授權、與知的必要性都未必符合存取資料的條件。Bell-LaPadula 模型就運作在多層級安全模式。

  32. 安全模式-小結

More Related