410 likes | 476 Views
資訊安全導論. 王振生彙編. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 資訊安全涵蓋範圍.
E N D
資訊安全導論 王振生彙編
資訊安全涵蓋範圍 國際資訊系統安全認證聯盟(International Infor-mation Systems Security Certification Consortium (ISC)2)所核定的國際資訊安全管理師認證(Certified Information Systems Security Professional,CISSP)中,將資訊安全範圍界定於十項領域。 按上圖可連結至國際資訊系統安全認證聯盟網址
資訊安全涵蓋範圍 • 簡介CISSP 所涵蓋的十大領域,表列如下 • 存取控制安全(Access Control) • 程序應用安全(Application Security) • 企業永續計畫(Business Continuity and Disaster Recovery Planning) • 密碼學(Cryptography) • 安全與風險管理(Information Security and Risk Management) • 資訊法規(Legal, Regulations, Compliance and Investigations) • 操作安全(Operations Security) • 實體環境安全(Physical (Environmental) Security) • 安全架構與設計(Security Architecture and Design) • 通訊與網路安全(Telecommunications and Network Security)
涵蓋範圍簡介 • 存取控制安全(Access Control) 允許或拒絕某些資源的取用,並查驗索求者來源。 • 基本存取控制概念 識別(Identification) 認證(Authentication) 授權(Authorization) 檢證(Accountability)
涵蓋範圍簡介 • 程序應用安全(Application Security) 包含了防止錯誤的程序安全策略,或是於設計、開發與部署階段的缺陷管控。 • 基本程序應用安全策略 安全測試(Security Testing) 安全標準(Security Standards) 安全規範(Security Regulations)
涵蓋範圍簡介 • 企業永續計畫(Business Continuity and Disaster Recovery Planning) 有關企業體中資訊與系統相關部份,如何維繫整體,使其正常運作並提供服務。 • 企業永續計畫生命週期 部署維護(Maintenance) 優缺分析(Analysis) 解決方案(Solution Design) 方案實作(Implementation) 檢測驗證(Testing and Acceptance)
涵蓋範圍簡介 • 密碼學(Cryptography) 自古便是一門訊息隱藏的學門,今日則為資訊理論(Information Theory)的一個分支。 • 現代密碼學 對稱式密碼方法(Symmetric-key Cryptography) 非對稱式密碼方法(Public-key Cryptography) 密碼解譯(Cryptanalysis) 密碼學基礎(Cryptography Primitives) 密碼學協定(Cryptography Protocols)
涵蓋範圍簡介 • 安全與風險管理(Information Security and Risk Management) 風險管理是一道鑑定資訊資源弱點與威脅的程序,並施行對策,根據資訊資源的價值,來降低風險程度。 • 管理程序包含: 鑑別資源價值,包含人、物、場所、軟硬體、資料 進行威脅評量,天災、人禍、內外部惡意者 進行弱點評量,以標準、訓練、策略等來進行評估 風險損害管控,將損害程度以量化方式進行評估 採行適當措施 評量措施成效
涵蓋範圍簡介 • 資訊法規(Legal, Regulations, Compliance and Investigations) 對於處理、使用、存取資訊資源的人群,設立規範、作業標準、法律規範等,用以限制或保護個人與團體的利益。這些規範可以是公司或個人內部,或是具有公權力的司法機關所制定的。
涵蓋範圍簡介 • 操作安全(Operations Security) 關乎任何與資料、系統、訊息的處理、儲存、維護、傳遞與備援等動作的安全考量,設定限制以保護資源的完整性。
涵蓋範圍簡介 • 實體環境安全(Physical (Environmental) Security) 從實際環境中針對持有之資料、系統、作業環境等資源、設備或設施進行保護措施。 • 安全工程(Security Engineering)定義之實體安全要素 施放障礙,以防止或延遲入侵或降低損害程度 威脅警告,設置警鈴或警衛等措施以通報威脅 威脅回應,對入侵行為進行驅逐、拖延或鎖定 安全工程(Security Engineering)是一門處理實體世界系統的安全性與完整性的工程領域。
涵蓋範圍簡介 • 安全架構與設計(Security Architecture and Design) 將安全性以層級方式分類,並對不同層級進行安全策略的部屬、安全技術的研發、安全規範的制定、安全領域的劃分。
網路安全的迫切性 • 網際網路已成為資訊快速交換的媒介 • 網路應用及複雜性的增加 • 網路資訊系統的漏洞層出不窮 • 網路蠕蟲與電腦病毒、木馬、側錄或間諜等惡意程式相互結合所衍生的混合式攻擊
網路安全環境的構成 • 個人電腦 • 作業系統 • 使用者 • 防火牆 • 組織政策
網路安全威脅 網路所存在的安全威脅幾乎涵蓋了以ISO/OSI 所定義的TCP/IP七層架構中的每一層。
網路安全威脅類型 • 資訊蒐集 • 竊聽 • 欺騙 • 連線劫持 • 拒絕服務
網路威脅成因(弱點) • 資訊蒐集 • TCP/IP通訊協定固有的不安全性 • 系統所提供的服務資訊(BANNER) • 應該封鎖的暴露服務 • 個人資訊的暴露
網路威脅成因(弱點) • 竊聽 • 安全性不足的實體安全性 • 傳送機密資料時缺乏加密 • 以純文字或安全性不足的加密或雜湊演算法來傳輸重要資訊
網路威脅成因(弱點) • 欺騙 • TCP/IP通訊協定固有的不安全性 • 缺乏連線來源與目的篩選限制 • 不安全的使用者身份辨識方法
網路威脅成因(弱點) • 連線劫持 • 實體的安全性不足 • TCP/IP通訊協定固有的不安全性 • 未加密的通訊 • 未鑑別的連線
網路威脅成因(弱點) • 拒絕服務 • TCP/IP通訊協定固有的不安全性 • 安全性不足的路由器及交換器設定 • 未加密的通訊 • 服務軟體的錯誤
網路威脅方式(攻撃手段) • 資訊蒐集 • Tracert • Telnet • 掃瞄 • 廣播要求 • 代理程式
網路威脅方式(攻撃手段) • 竊聽 • 攻擊者將封包竊聽工具放在目標網路上,以擷取所有資料傳輸
網路威脅方式(攻撃手段) • 欺騙 • 修改封包 • 偽冒使用者
網路威脅方式(攻撃手段) • 連線劫持 • 攻擊者使用工具來結合欺騙、路由變更及封包處理
網路威脅方式(攻撃手段) • 拒絕服務 • 暴力式封包溢流 • SYN 溢流攻擊 • 服務剝削 • 蠕蟲、病毒、木馬
學好資訊安全必備的技術 • 熟悉網路協定,尤其 TCP/IP協定 • IP、ICMP、ARP、TCP/UDP(連接埠)、HTTP、FTP • 熟悉程式設計觀念 • C語言的程式呼叫流程 • 網頁程式的執行流程
TCP/IP通訊協定概論 • IP位址(IP address) • 子網路遮罩(subnet mask) • IP路由器(IP router)
IP位址(IP Address) • 192.168.81.31/24(電腦編號 8-1) • Network ID: 網路辨識碼, 192.168.81.0 • Host ID: 主機辨識碼, 31