1 / 41

資訊安全導論

資訊安全導論. 王振生彙編. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 為何資訊安全很重要. 資訊安全涵蓋範圍.

Download Presentation

資訊安全導論

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 資訊安全導論 王振生彙編

  2. 為何資訊安全很重要

  3. 為何資訊安全很重要

  4. 為何資訊安全很重要

  5. 為何資訊安全很重要

  6. 為何資訊安全很重要

  7. 為何資訊安全很重要

  8. 為何資訊安全很重要

  9. 資訊安全涵蓋範圍 國際資訊系統安全認證聯盟(International Infor-mation Systems Security Certification Consortium (ISC)2)所核定的國際資訊安全管理師認證(Certified Information Systems Security Professional,CISSP)中,將資訊安全範圍界定於十項領域。 按上圖可連結至國際資訊系統安全認證聯盟網址

  10. 資訊安全涵蓋範圍 • 簡介CISSP 所涵蓋的十大領域,表列如下 • 存取控制安全(Access Control) • 程序應用安全(Application Security) • 企業永續計畫(Business Continuity and Disaster Recovery Planning) • 密碼學(Cryptography) • 安全與風險管理(Information Security and Risk Management) • 資訊法規(Legal, Regulations, Compliance and Investigations) • 操作安全(Operations Security) • 實體環境安全(Physical (Environmental) Security) • 安全架構與設計(Security Architecture and Design) • 通訊與網路安全(Telecommunications and Network Security)

  11. 涵蓋範圍簡介 • 存取控制安全(Access Control) 允許或拒絕某些資源的取用,並查驗索求者來源。 • 基本存取控制概念 識別(Identification) 認證(Authentication) 授權(Authorization) 檢證(Accountability)

  12. 涵蓋範圍簡介 • 程序應用安全(Application Security) 包含了防止錯誤的程序安全策略,或是於設計、開發與部署階段的缺陷管控。 • 基本程序應用安全策略 安全測試(Security Testing) 安全標準(Security Standards) 安全規範(Security Regulations)

  13. 涵蓋範圍簡介 • 企業永續計畫(Business Continuity and Disaster Recovery Planning) 有關企業體中資訊與系統相關部份,如何維繫整體,使其正常運作並提供服務。 • 企業永續計畫生命週期 部署維護(Maintenance) 優缺分析(Analysis) 解決方案(Solution Design) 方案實作(Implementation) 檢測驗證(Testing and Acceptance)

  14. 涵蓋範圍簡介 • 密碼學(Cryptography) 自古便是一門訊息隱藏的學門,今日則為資訊理論(Information Theory)的一個分支。 • 現代密碼學 對稱式密碼方法(Symmetric-key Cryptography) 非對稱式密碼方法(Public-key Cryptography) 密碼解譯(Cryptanalysis) 密碼學基礎(Cryptography Primitives) 密碼學協定(Cryptography Protocols)

  15. 涵蓋範圍簡介 • 安全與風險管理(Information Security and Risk Management) 風險管理是一道鑑定資訊資源弱點與威脅的程序,並施行對策,根據資訊資源的價值,來降低風險程度。 • 管理程序包含: 鑑別資源價值,包含人、物、場所、軟硬體、資料 進行威脅評量,天災、人禍、內外部惡意者 進行弱點評量,以標準、訓練、策略等來進行評估 風險損害管控,將損害程度以量化方式進行評估 採行適當措施 評量措施成效

  16. 涵蓋範圍簡介 • 資訊法規(Legal, Regulations, Compliance and Investigations) 對於處理、使用、存取資訊資源的人群,設立規範、作業標準、法律規範等,用以限制或保護個人與團體的利益。這些規範可以是公司或個人內部,或是具有公權力的司法機關所制定的。

  17. 涵蓋範圍簡介 • 操作安全(Operations Security) 關乎任何與資料、系統、訊息的處理、儲存、維護、傳遞與備援等動作的安全考量,設定限制以保護資源的完整性。

  18. 涵蓋範圍簡介 • 實體環境安全(Physical (Environmental) Security) 從實際環境中針對持有之資料、系統、作業環境等資源、設備或設施進行保護措施。 • 安全工程(Security Engineering)定義之實體安全要素 施放障礙,以防止或延遲入侵或降低損害程度 威脅警告,設置警鈴或警衛等措施以通報威脅 威脅回應,對入侵行為進行驅逐、拖延或鎖定 安全工程(Security Engineering)是一門處理實體世界系統的安全性與完整性的工程領域。

  19. 涵蓋範圍簡介 • 安全架構與設計(Security Architecture and Design) 將安全性以層級方式分類,並對不同層級進行安全策略的部屬、安全技術的研發、安全規範的制定、安全領域的劃分。

  20. 網路安全的迫切性 • 網際網路已成為資訊快速交換的媒介 • 網路應用及複雜性的增加 • 網路資訊系統的漏洞層出不窮 • 網路蠕蟲與電腦病毒、木馬、側錄或間諜等惡意程式相互結合所衍生的混合式攻擊

  21. 網路安全環境的構成 • 個人電腦 • 作業系統 • 使用者 • 防火牆 • 組織政策

  22. 網路安全威脅 網路所存在的安全威脅幾乎涵蓋了以ISO/OSI 所定義的TCP/IP七層架構中的每一層。

  23. 網路安全威脅

  24. 網路安全威脅類型 • 資訊蒐集 • 竊聽 • 欺騙 • 連線劫持 • 拒絕服務

  25. 網路威脅成因(弱點) • 資訊蒐集 • TCP/IP通訊協定固有的不安全性 • 系統所提供的服務資訊(BANNER) • 應該封鎖的暴露服務 • 個人資訊的暴露

  26. 網路威脅成因(弱點) • 竊聽 • 安全性不足的實體安全性 • 傳送機密資料時缺乏加密 • 以純文字或安全性不足的加密或雜湊演算法來傳輸重要資訊

  27. 網路威脅成因(弱點) • 欺騙 • TCP/IP通訊協定固有的不安全性 • 缺乏連線來源與目的篩選限制 • 不安全的使用者身份辨識方法

  28. 網路威脅成因(弱點) • 連線劫持 • 實體的安全性不足 • TCP/IP通訊協定固有的不安全性 • 未加密的通訊 • 未鑑別的連線

  29. 網路威脅成因(弱點) • 拒絕服務 • TCP/IP通訊協定固有的不安全性 • 安全性不足的路由器及交換器設定 • 未加密的通訊 • 服務軟體的錯誤

  30. 網路威脅方式(攻撃手段) • 資訊蒐集 • Tracert • Telnet • 掃瞄 • 廣播要求 • 代理程式

  31. 網路威脅方式(攻撃手段) • 竊聽 • 攻擊者將封包竊聽工具放在目標網路上,以擷取所有資料傳輸

  32. 網路威脅方式(攻撃手段) • 欺騙 • 修改封包 • 偽冒使用者

  33. 網路威脅方式(攻撃手段) • 連線劫持 • 攻擊者使用工具來結合欺騙、路由變更及封包處理

  34. 網路威脅方式(攻撃手段) • 拒絕服務 • 暴力式封包溢流 • SYN 溢流攻擊 • 服務剝削 • 蠕蟲、病毒、木馬

  35. 學好資訊安全必備的技術 • 熟悉網路協定,尤其 TCP/IP協定 • IP、ICMP、ARP、TCP/UDP(連接埠)、HTTP、FTP • 熟悉程式設計觀念 • C語言的程式呼叫流程 • 網頁程式的執行流程

  36. TCP/IP通訊協定概論 • IP位址(IP address) • 子網路遮罩(subnet mask) • IP路由器(IP router)

  37. IP 等級

  38. 子網路遮罩(subnet mask)

  39. IP位址(IP Address) • 192.168.81.31/24(電腦編號 8-1) • Network ID: 網路辨識碼, 192.168.81.0 • Host ID: 主機辨識碼, 31

  40. Network ID與subnet mask

  41. Private IP

More Related