1 / 55

資訊安全實務

資訊安全實務. 國立空中大學 管理資訊學系 助理教授 & 電算中心 網路組組長 郭秋田 博士 2002/10/02. 大綱. 認識網路安全危害種類 認識駭客攻擊 認識資訊安全防衛 工具介紹 資訊安全政策與策略 網路安全的未來發展趨勢. 網路安全危害問題的來源. 網路資訊愈發重要 愈來愈多的資訊系統應用於工作與生活 網路愈來愈普及 管理複雜化 作業平台種類增加 網路服務種類增加 網安工具容易取得 網路行動不易察覺. 網路安全危害種類. 功能癱瘓- DOS, DDOS Attack 資料洩密- Unauthorized access

summer
Download Presentation

資訊安全實務

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊安全實務 國立空中大學 管理資訊學系 助理教授 & 電算中心 網路組組長 郭秋田 博士 2002/10/02

  2. 大綱 • 認識網路安全危害種類 • 認識駭客攻擊 • 認識資訊安全防衛 • 工具介紹 • 資訊安全政策與策略 • 網路安全的未來發展趨勢 資訊安全實務

  3. 網路安全危害問題的來源 • 網路資訊愈發重要 • 愈來愈多的資訊系統應用於工作與生活 • 網路愈來愈普及 • 管理複雜化 • 作業平台種類增加 • 網路服務種類增加 • 網安工具容易取得 • 網路行動不易察覺 資訊安全實務

  4. 網路安全危害種類 • 功能癱瘓- DOS, DDOS Attack • 資料洩密- Unauthorized access • 資料損壞- Formatting, deleting… • 資料篡改- Homepage hacking • 指令執行- Code execution • 管理權控制- Admin. control 資訊安全實務

  5. 安全的顧慮何在 • 使用者疏忽 • 軟體設計或網路協定缺陷 • 網路軟體設計問題 • 網路服務的錯誤設定 • 沒人能保證安全 資訊安全實務

  6. 駭客攻擊 • 步驟 • 任務目的-確認攻擊的目的 • 環境偵測-了解欲攻擊環境的概況 • 鎖定目標-選定攻擊標的 • 知己知彼-查探攻擊目標的各項資訊與弱點 • 對症下藥-選定方法進行攻擊 • 後續作為-匿蹤與反追查 資訊安全實務

  7. 駭客攻擊 • 攻擊方法 • 社交工程- 資安金光黨 • 身分偽冒- 三類身分識別的方法 • 資料監聽- 隔網有耳 • 弱點攻擊- 攻擊工具易得 • 電腦病毒與蠕虫- 防不勝防 • 破密- 如何設定安全的密碼 資訊安全實務

  8. 社交工程 • 資訊安全的金光黨 • 以人文技巧進行 • 假冒身分 • 騙取資訊 • 熟悉作業方式的人最可疑 資訊安全實務

  9. 身分偽冒 • 識別身分的方法 • What you know? • 帳號密碼:不好記,易忘,太簡單易被猜出來 • What you have? • 鑰匙,卡片: 會遺失,可被複製,必須隨身攜帶 • What you are? • 指紋,虹彩,聲紋辨識: 很安全,昂貴,失誤率 • Hybrid approach 資訊安全實務

  10. 資料監聽 • 原理: 網路封包未加密, 廣播特性 • 軟體: Sniffer, NetXray, … • 可直接獲得資料 • 受網路拓樸限制 • 解決之道 • 以加解密方法加密資料 • 偵測監聽-反監聽 資訊安全實務

  11. 資訊安全實務

  12. 資訊安全實務

  13. 資訊安全實務

  14. 資訊安全實務

  15. 弱點攻擊 • 何謂弱點 • 電腦軟硬體被發現的設計缺陷 • 可用於攻擊電腦使產生異常行為 • 預防 • 時時注意弱點公佈的資訊-CERT, TWCERT • 勤於修補- service pack, patch, hotfix • 注意主機的安全記錄 資訊安全實務

  16. 資訊安全實務

  17. 威脅來源 • 駭客入侵 • 有特殊目的-長期佈局、不易察覺、追查困難 • 展示實力與惡作劇-篡改網頁 • 惡意破壞-低程度駭客 • 離職的員工-挾怨報復或有機可圖 資訊安全實務

  18. 資訊安全實務

  19. 資訊安全實務

  20. 威脅來源 • 資訊專業承包廠商 • 熟悉作業環境與系統價值- 有動機 • 具有使用權限- 方便 • 專業知識高於使用者- 易矇混使用者 • 預留後門容易- 不易被發覺 • 使用者必須仰賴之- 有所憑藉與理由 資訊安全實務

  21. 威脅來源 • 不當的使用習慣 • 電子郵件濫用- 轉載信件,郵件附檔 • 任意下載檔案- 未經檢驗 • 網頁瀏覽- script,applet…的執行 • 未注意權限管控 • 帳號與密碼- 易被破解 (如何設安全的密碼) • 資源分享- 不安全 (netbroute & pqwak2) 資訊安全實務

  22. 資訊安全實務

  23. 資訊安全實務

  24. 會綁架首頁的網站 http://*.xxxtw.com/ http://*.topzone.net/ http://*.ccwl.net/ http://*.1stfree.com/ http://*.8u8.com/ 資訊安全實務

  25. 資訊安全防禦 • 安全政策與危機處理 • 人員訓練 • 加解密系統 • 防火牆 • 入侵偵測系統 • 實體安全 • 日常性工作 • 網路安檢 資訊安全實務

  26. 安全政策與危機處理 • 危機處理組織 • CERT, TWCERT, GSN-CERT • 全名: • Computer Emergency Response Team • 任務: • 協助解決電腦安全事件 • 降低事件發生機率 資訊安全實務

  27. 安全政策與危機處理 • IRT • Incident Response Team • 區域網路的系統安全的負責單位 • 成員:電腦系統管理者 • 安全事件回報 資訊安全實務

  28. Web 站台 資料庫 事故處理組 技術研發組 教育/訓練組 顧問群 秘書組 網路使用者 媒體/警調單位 GSN-CERT組織架構 諮詢 處理建議 事故訊息 系統維護 意見諮詢 資料更新 問題 技術支援 解決方案 提供資料 事件警告 宣導資訊 提供資料 資訊安全實務

  29. 資訊安全實務

  30. 安全政策與危機處理 • 標準 • BS7799, ISO17799 • Information Security Management • 1995/2 PART 1 發表 • 1998/2 PART 2 發表 • 2000/ PART 1 成為 ISO-17799 資訊安全實務

  31. BS7799 • PART 1:Code of Practice for Information Management • PART 2:Specification for Information Security Management Systems • 內容 • 10 Detailed Control Clauses • 36 Control Objectives • 127 Controls 資訊安全實務

  32. 人員訓練 • 困難 • MIS部門人力問題 • 專業人員培訓不易 • 技術重點 • 系統管理- OSs,Databases,Networking • 漏洞修補- TWCERT • 工具使用- Firewall,IDS,Scanner… 資訊安全實務

  33. 加解密系統 • SSL (Secure socket layer) • 文件加解密 • Office, winzip 軟體加密安全嗎? • Cracker 工具 • 使用PGP系列工具… • 驗證性, 不可否認性, 完整性, 保密性 資訊安全實務

  34. SSL • 傳輸過程加密 • 避免監聽攻擊 • 廣泛用於電子商務, 金融業界 • 密鑰愈長愈好 40 bits or 128 bits? • 不易破解,有了SSL就很安全? • 何必從加解密著手 • 財金公司的例子 資訊安全實務

  35. 文件加解密 • 加密演算法不複雜 • 可以暴力破解 • 關鍵在於密碼的設定 • 各種加密軟體都有相對的破密工具 • Unix password cracker • LC4, 破office, pkzip軟體的加解密 資訊安全實務

  36. 資訊安全實務

  37. 防火牆 • 隱藏式保全 • 沒有人知道系統狀況-包括它的存在、它的內容、它的安全措施,或它的任何其他事。 • 主機保護與網路保護 • 防火牆不是萬靈丹 資訊安全實務

  38. 防火牆 • 防火牆必須量身設定 • 方法 • 控制進入 • 防止攻擊者接近防禦物 • 限制出去 • 安裝於隔離點 資訊安全實務

  39. 防火牆 • 無法防內賊 • 必須連線經過方能管控 • 能log網路上的活動 • 提供警示, 及時處理 • 不需訓練一般使用者 • 與安全政策搭配 資訊安全實務

  40. 防火牆功能 • 封包過濾 • 利用協定, 發送與接收端的IP位址 • NAT轉換-優點 • 原有IP不需修改減少管理維護的麻煩。 • 隱藏內部的IP位址使得外界不易入侵。 • 多個內部的IP位址可以對應到一個NIC核發的IP位址可以使有限的IP位址分配給眾多的主機使用 資訊安全實務

  41. 入侵偵測系統 • 簡稱IDS • 察覺異常通聯或惡意的入侵狀況並快速破壞該攻擊, 減少傷害 • Snort, ZoneAlarm, Real secure, BlackIce • 可能會誤判 • 與防火牆搭配 資訊安全實務

  42. 資訊安全實務

  43. 實體安全 • 威脅 • 天災 • 地震, 水災, 火災之預防與因應之道 • 人禍 • 小偷, 離職員工 • 硬體補強, 政策面修改 資訊安全實務

  44. 日常工作 • 資料與系統備份 • 定期修補漏洞 • 帳號管理 • 資料管理 • 記錄查核 • 安全掃瞄 資訊安全實務

  45. 網路安檢 • 了解目前網路的狀態並加以補強 • 檢查動作亦為入侵者採用的手法 • 項目 • 網路上有那些電腦 ? • 他們提供了那些服務 ? • 那些服務不安全 ? 有多不安全 ? 資訊安全實務

  46. 安檢工具 • NMAP • SATAN/SAINT • ISS Internet/Intranet Scanner • Nessus • Web scanner, database scanner… • http://www.networkintrusion.co.uk/ 資訊安全實務

  47. NMAP • http://www.insecure.org/nmap • 最新版本 3.0 (3.10 alpha3) • Unix, Windows 平台 • 免費使用 資訊安全實務

  48. SAINT • http://www.wwdsi.com/saint/ • 最新版本 3.6.3 • The Security Administrator's Integrated Network Tool • Unix平台 • 可搭配NMAP • 試用版 資訊安全實務

  49. 資訊安全實務

More Related