520 likes | 713 Views
9. 資訊安全 Information Security: A Managerial Perspective. 國立中央大學 . 資訊管理系 范錚強 mailto: ckfarn@mgt.ncu.edu.tw http://www.mgt.ncu.edu.tw/~ckfarn 2013.01 updated. 大綱. 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範. 1. 安全威脅有多大?. 2010/11 年電腦犯罪及安全調查
E N D
9 資訊安全Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強 mailto: ckfarn@mgt.ncu.edu.tw http://www.mgt.ncu.edu.tw/~ckfarn 2013.01 updated
大綱 • 基本觀念 • 安全的重要性 • 取捨 • 一些安全防護技術和制度的基本原理 • 你只需要知道原理 • 你自己要有因應的措施 • 企業安全規範 1
安全威脅有多大? • 2010/11年電腦犯罪及安全調查 來源:Computer Security Institute (CSI), 15th annual Computer Crime and Security Survey 2010/11 • 2007年美國企業因資訊安全問題而衍生的損失,平均高達35萬 (2006: 17萬) • 近年的財務損失由於安全概念抬頭,有減緩趨勢 (8.9% 用戶) • 67.1%用戶受到Malware 攻擊 • 46.5% 用戶遭受到資訊安全 targeted 攻擊 2
有標的的安全攻擊 5
資安環境 • 環境惡劣,你如何自保? • 公司資產如何保障? 7
安全的迷思 • 防止駭客入侵 • 防止病毒入侵 • 隔離外來者 • … 8
資訊安全的威脅 9
非人為、非惡意的破壞 • 水災 • 地震 • … • 莫非定理:只要可能發生,就會發生 • 會在最不該發生的時間發生 • 最壞的情況會發生!! 10
資訊安全的威脅 資料安全不只是MIS的事! 11
安全的基本基本觀念 • 安全不是絕對的 • 安全和易用性的兩難 • 安全是有價的 • 你願意付出什麼樣的代價? • 你的安全風險 exposure 有多高? • 資訊安全有技術面和人性面 • 破壞安全者,都是「人」 • 主要是內部的人 • 人性!! 12
安全和易用性 • 想一想,你回家和出門時… • 進門需要開十個鎖 • 出門需要鎖十道門… • 你十天之後會做什麼? • 風險和安全措施的對稱 13
資訊安全的確保 • 評估風險和損失 • 針對可能的威脅加以防護 • 以技術加上制度(或習慣)來防範 • 瞭解技術的特性 • 以技術來加強、以制度來確保 • 鏈條的強度,是最弱一環的強度 14
你花100萬買了一輛新車 • 請問:以下什麼行動是合理的? • 你花了50萬裝了一個防盜設備 • 你雇用專人24小時輪班看守 • 你花了3萬買失竊險 • 什麼叫合理? 風險和安全措施對稱 15
你家附近最近小偷猖獗 • 你太太提議加裝一套新的鎖頭 • 你檢驗後,發現新鎖頭雖然是你能負擔的鎖頭中最好的,但還是無法保障100%安全 • 請問,買不買? 是否有效的改善現況? 16
最常聽到的安全管制 • 密碼 • 加解密 • Triple DES, RSA, … • SSL, SET • PKI, CA • 防火牆 • VPN • …… 17
想想看…2003年發生的事 • 花旗銀行的網路信用卡資料洩密案 • 進入網頁使用循序碼 • 程式撰寫不當 • 委外管理(系統上線的管制)疏忽 • 金資中心的大批密碼外洩案 • 人員管理不當 • ATM大批盜領案 • 側錄密碼 18
另外一些實例 • 你休假、出差,主管和你要你的密碼… • 你該給嗎?你能不給嗎?你憑什麼能不給? • 你管理電腦機房,總經理要帶朋友進入 • 你該讓嗎?是否要辦什麼手續? • 你能不讓嗎?你憑什麼能不讓? • 你的部屬將密碼寫在黃紙條,貼在電腦上 • 你該管嗎?你憑什麼管? 19
企業環境 人事管制 安全政策 國際標準 通訊管制 輸入輸出管制 保險 進出管控 流程 管制 程式 管制 稽核 軌跡 文件 管制 隔離 操作管制 應用軟體 使用者 管制 安全方案 復原計畫 法律環境 企業體 安全的「洋蔥」 硬體 資料 20
一些安全技術的簡單原理 • 防毒 • 防止木馬程式 • 木馬:希臘神話中,特洛依Troy的木馬屠城 • 加解密 • PKI/CA • 身份確認 • 備份 21
防止病毒 電子檔案 病毒碼 電腦程式 防毒軟體 分析檔案 比對病毒碼 修補或隔離 通過檢驗 22
你需要知道的防毒行動 • 關鍵 • 你的病毒碼是什麼時候更新的? • 新的病毒無法防止 • 檔案、程式、資料的來源是否可靠? • 來源 • 不明來源的儲存媒體(光碟、磁碟等) • 電子郵遞 • 執行檔、自動執行檔、文件中的巨集(macro) 23
加密解密──一般觀念 • 例子:我的電話 0916059841 • 簡單的加密, 乘積 • 乘上13—011908777933 • 我送給你,你除以13就有答案了 • 更簡單的方法,猜猜看如何解密? • 9807797118664201455098988941401426975 9807797118664201455098988941401426975 9807797118664201455098988941401426975 關鍵:我們對加解密的方法需要保密──這世界有絕對機密嗎? 24
對稱式金鑰 加密 S 信息 明文 信息 密文 解密 R 信息 密文 信息 明文 25
一些對稱式金鑰相關的名詞 • DES, 2DES, 3DES • 56bit, 112bit, 168bit密鑰長度 • 軟體加密 • 成本低 • 消耗電腦資源 • 硬體加密 • 速度快 26
電子交易的安全需求 • 防止機密或敏感性資料外洩 • 鑑別對方的身分 • 防止資料被竄改或偽造 • 防止事後否認 • 請出示 • 身分證明 網際網路 • 我要付款 $$$ 27
兩把鑰匙的觀念 • 你到銀行開個保險箱 • 開戶 • 身份確認 • 取得鑰匙──私鑰 • 使用 • 身份確認、使用登錄 • 行員持公鑰,和你的私鑰一同開啟 • 你安全嗎?為何? 28
非對稱金鑰 • 又稱RSA加密 • 由R/S/A三位學者發明,由數學方式產生一對不相同的金鑰 • 兩者之間無法經由任何數學運算獲得,必須同時產生 • 其中之一由私人保存,另一個則公開 • 經由私鑰加密者,只能由公鑰解密,反過來也一樣 29
非對稱式金鑰,防止外洩 R公鑰加密 S 信息 明文 信息 密文 R私鑰解密 R 信息 密文 信息 明文 30
非對稱式金鑰,防止否認 R公鑰加密 S 信息 明文 信息 密文 S私鑰加密 R私鑰解密 R 信息 密文 信息 明文 S公鑰解密 31
PKI/CA • PKI – Public Key Infrastructure • 公開金鑰架構 • 利用非對稱金鑰來進行的加解密機制 • CA – Certificate Authority • 憑證中心:公鑰憑證發行單位 • 需要有公信力 • 有層級性的發行單位 32
非對稱金鑰的發行 公鑰憑證 電子文件 發證者名稱 有效日期 持有人姓名 持有人公鑰 事前向有公信 力的憑證機構 註冊,由其簽 發公鑰憑證。 XXXX契約 CA簽章 數位簽章 110111001 X509 (類似印鑑登記) 范錚強 一對一配對 關係 公開供鑑別 簽署者身分 簽章私鑰 簽章公鑰 33
電子認證 提供服務的企業 憑證 中心 線上處理 5 電子文件 接受各界查詢並確認 電子印鑑使用者的身分 0101010101 范錚強 核 發 申 請 電 子 印 鑑 1 2 向認證中心查證 電子印鑑之真偽 4 范錚強 網際服務網 電子 證書 ─提供線上申辦服務 3 線上申請 附上電子簽章 電子文件 范錚強 0101010101 其他企業 15 顧客 34
一些常用的安全機制 • SSL • Secure Socket Layer • SET • Secure Electronic Transaction 35
向銀行請款 密文 SSL 加解密 SSL 加解密 密文 他可靠嗎? SSL • 利用使用者不需知覺的情況之下,在網路傳輸兩點之間,進行非對稱加密的傳輸安全機制的協定 36
SET • 消費者的資料經由電子商店傳遞給發卡銀行,由銀行解密,授權商店接受。電子商店無法讀取顧客的信用卡資料 加解密 向銀行請 求授權 密文 信用卡資料 加解密 37
SET vs SSL • SET 較為安全 • 兩大國際信用卡組織(VISA, MasterCard)皆支持SET • 世人都覺得未來電子交易必然依賴SET • 但SET在推廣方面卻面臨挫敗! • 使用者擁抱SSL • 為什麼SET不被使用者廣為接受? 易用性決定! 38
問題:你不用網路,信用卡資料就安全了嗎? • 你是否使用傳真授權表買機票?付旅行團費? • 你是否在餐廳把信用卡交給店小二? • 他幫你到櫃臺結帳 • 你是否在加油站將信用卡交給工讀生? • 他幫你拿到另一個加油島去刷卡 • 你是否使用信用卡? • 你消費的商店裡保存了你的資料 39
個人身份確認 • 密碼 • 4碼?8碼?規定定期更改? • 實體鑰匙加上密碼 • 生物辨識 • 指紋、聲音、眼珠、面貌等 • 身份確認的意義 • 資訊存取 • 稽核軌跡──法律證據 40
個人身份確認2 • 很多人將密碼寫在容易取得的地方 • 以防忘記 • 甚至不設定密碼 • 有很多人將密碼交給主管 • 萬一有法律訴訟,請問法院認定誰做了那些行為? • 誰負責? 安全漏洞! 破壞稽核軌跡、無法重現犯罪現場 41
SOP怎麼規定的? • SOP: Standard Operating Procedure • 標準作業程序 • SOP 對洩漏密碼是否有規範? • 公司是否允許持有大門鑰匙的人,將鑰匙放在公司大門口旁的樹下? • SOP 是否允許提供密碼給主管、部屬或代理人? • 人工作業如何做的? 42
技術掛帥的環境 • 重視實體安全、通訊安全 • 忽略管理面、人性面 • 幸好… • 資訊安全防護在1999/2000年,出現國際標準:BS7799/ISO17799 • 後來改為ISO27001 43
Information Security Management System (資訊安全管理系統) • 英國的資訊安全標準 • 被國際標準組織接受 • 內容:資訊安全的管控 • 從政策、程序、存取、復原等 • 完整的資訊安全考量 44
ISMS演進歷史 • 1993:英國貿工部(Department of Trade and Industry, DTI)發展「資訊安全管理實務準則」(PD0005 Code of Practice) • 1995:BS7799 標準頒行 • 1998:BS7799 part 2 標準頒行(BS7799BS7799 part 1) • 1999:BS7799 Part 1 & Part 2增修改版 • 2000:BS7799 Part 1 ISO/IEC 17799 • 2002:BS7799 part 2 標準改版頒行 • 2005/06 : ISO/IEC 17799:2005 標準頒行 • 2005/10 : BS7799 part 2 ISO/IEC 27001:2005 標準頒行 • 2007/07 : ISO/IEC 17799 ISO/IEC 27002:2005 標準頒行 45
ISO 27001與ISO 27002 • ISO 27001:2005為資訊安全管理驗證規範 • 提供ISMS的建立實施與書面化之具體要求,依據個別組織的需求,規定要實施之安全控制措施。 • 不是技術標準,而是管理標準。 • ISO 27002:2005為資訊安全管理作業要點 • 主要是作為參考文件,提供廣泛性的安全控制措施,作為現行資訊安全之最佳作業方法。 • 不作為評鑑與驗證標準。 46
ISO/IEC 27001:2005 附錄A • 11個領域、39個控制目標、133個控制項目 47
ISO27001全球現況(until 2009.12) 全球:6,037家通過驗證 台灣:344家通過驗證 48 資料來源 http://www.iso27001certificates.com/
安全管理重點 • Process life cycle control • 全程的管理和安全確保,而非侷限於技術面 • SOP • 做你說你要做的事,但你要做什麼?為何? • Check and balance • 權責分離、制衡 • Recovery • 萬一出事,如何處理? 49