Chapter 11 EC 之安全

1. Chapter 11 EC之安全 第十組 組員: D93225104 林宛陵 二管四A D93225130 范振彥 二管四A D91432238 許朝翔 子四B D92421203 蘇瑞筠 國貿三B 第十組

2. EC安全的加速需求 電腦安全機構 (CSI) 非營利的組織，位於舊金山，加州， 那是專門提供服務和資訊及電腦和專業的網路安全。 電腦緊急回應小組 (CERT) 卡內基美隆大學的三個小組以監督網路社群攻擊的方式, 分析網路弱點並提供對抗網路攻擊及保護的方式。 第十組

3. 安全是每個人的職責 國家安全局提出了五個優先的策略 : • 一個國家的網際網路空間安全回應制度 • 一種國家的網際網路空間安全威脅和弱點減少規劃 • 一個國家的網際網路空間安全覺察和訓練計劃 • 固定政府的網際網路空間 • 國家安全和國際的安全合作 第十組

4. 安全是每個人的職責 國際網際安全區分(NCSD) 推行美國網際空間安全策略的國家安全局的區分 第十組

5. 基本的安全議題 認證 一個實體驗證另一個實體是不是就是其所宣稱單位或人的程序 授權 確定某個人有權利取得特定的資源的程序 稽核 搜集關於存取某些特定資源、或執行某些安全動作的資訊過程 第十組

6. 11.1 EC網站的一般安全性議題 第十組

7. 威脅與攻擊的類型 非技術性攻擊 使用詭計或假表格來欺騙使用者透露安全資料，或執行某些動作來通過網路安全性檢查 第十組

8. 威脅與攻擊的類型 技術性攻擊 一次攻擊使用軟體和系統知識或者專門技能 安全漏洞揭露 (CVEs) 眾所周知的計算機安全性危險，相關資訊被收集，列 舉，並與全世界安全社群人員分享 國家基礎設施保護中心(NIPC) 由在政府和私人工業之間的FBI 主持的一次共同合作， 用於防止並且保護國家基礎設施 第十組

9. 威脅與攻擊的類型 服務的否定的(DoS)攻擊 對一個網站的攻擊， 為了超載它的資源，一個 攻擊者使用專業化的軟體把大批數據包送到目 標計算機 分發否定ofservice(DDoS)攻擊 一次服務的否定的攻擊， 在哪個攻擊者 獲得 不合法的管理的儘可能多的在網際網路上的計 算機的入口和使用多計算機把大批數據包送到 目標計算機 P465 第十組

10. 在分散式阻斷服務攻擊中利用Zombie 第十組

11. 威脅與攻擊的類型 惡意軟體 存心不良的軟體的一個一般的術語 許多原素已經有助於惡意程式碼的增加。 在這些原素中，下列是最高的︰ 混合數據和可執行的指示越來越homogenous 計 算環境空前的連接性更大的無知的用戶基礎 第十組

12. 威脅和攻擊的類型 病毒 把它自己插入一個主機中的一條軟體代碼，包括作業系 統， 為了傳播； 它要求它的主程式被運轉開動它 蠕蟲 為了保持自己，獨立運轉的一個軟體程式，消耗它的主人 的資源， 那能自行傳播一個完整的工作的版本到另一台 機器上 第十組

13. 管理EC 安全 • 在管理安全危險過程中的常犯下的錯誤︰ • 低估資訊的價值 • 狹窄地定義安全邊界 • 被動的安全管理 • 註明安全管理流程的日期 • 安全責任通報的缺乏 第十組

14. 管理EC 安全 安全風險管理 為確定各種各樣的安全攻擊的可能和為鑑定需要 防止或者減輕那些攻擊的行動的一個有系統的過 程 安全風險管理由三相組成︰ • 資產鑑定 • 風險估計 • 建置 第十組

15. 保護 EC 通訊 存取控制 確定誰能合法使用網路資源的機製 被動的標誌 包含在一個兩個原素的驗証系統使用的一條密 碼的存儲設備(例如，磁條) 活躍的標誌 產生在一個兩個原素的驗証系統使用的過去密 碼的獨立電子儀器 第十組

16. 保護EC 通訊 biometric系統 透過一種生物學的特性的測量鑑定一個人的驗証系統，例如 手印，虹膜(眼睛)圖案，面部的特徵或聲音 生理的生物統計學 直接從身體(例如，指紋，虹膜，手，面部的特性)的不同的 部分得到的尺寸 行為的生物統計學 從各種各樣的行動得到的尺寸和間接從各種各樣的身體部分 (例如，聲音掃描或者擊鍵監控) 第十組

17. 保護EC 通訊 指紋掃描 特別的演算法用來轉換測量的不連續性為一數字集，然 後將此數字集儲存為樣本。 虹膜掃描 在虹膜(染色的眼睛的部分)裡的獨特的點的測量，然後 變為一數字集，這些數字可用來被建構成虹膜掃描的樣 本。 第十組

18. 保護EC 通訊 公鑰加密基礎設施(PKI) 一種轉換或拼湊(加密)資料的過程，用這種方法對一個未 授權的人想要使它恢復原狀(亦即解密)是困難的、昂貴 的、或耗時的。 第十組

19. 保護EC 通訊 密文 一條明文消息在它已經被加密成一種機器可讀 形式之後，加密算法數學公式過去常常把明文 加密成密文，反之亦然 鑰匙 過去常常加密的密碼和解讀一條消息 。 第十組

20. 保護EC 通訊 對稱的(私人) 關鍵系統 要加密的使用相同的鑰匙的一個加密系統和解讀消息 數據加密標準(DES) 數據加密標準由美國政府機構支持的標準對稱式加密算 法支援國家標準技術局直到2000年10月2號 第十組

21. 展覽11.4 對稱的(私人) 加密 第十組

22. 展覽11.5個數字簽名 第十組

23. 保護EC 通訊 數位化的認證 確認一把公共或者私人鑰匙的持有者是本人 認證中心(CAs) 發行數位化認證的第三方 第十組

24. 保護EC 通訊 安全通道層通訊協定(SSL) 利用驗証和數據加密的標準證明書保證隱私或 者機密性的協議 運輸層安全性(TLS) 自1996起，SSL 協議的另一個名字 第十組

25. 保護EC 網路 最小特權(POLP)的政策 阻止參與網路資源的政策除非進入被要求經營 第十組

26. 展覽11.6分層的安全 第十組

27. Securing EC Networks 技術的選擇和操作應該根據某些設計觀念 , 包括: • 安全層 • 控制儲存 • 特別作用的安全 • 監控 • 保持系統更新 • 答覆團隊 第十組

28. Securing EC Networks 防火牆 隔離與外部網路連接的軟體和硬體 過濾封包的路由器 是過濾封包和要求根據電腦的網址傳送或接收資料從外部網際網路到一個私有區域網路, 第十組

29. Securing EC Networks 封包 資料的數段從一臺電腦被傳送到另一個網際網路, 包括傳送和接受電腦的網際網路地址資料和其它辨認資訊 過濾封包 根據來源目的位址和辨認資訊,規定是否接受或拒絕接踵而來的封包 第十組

30. Securing EC Networks 應用層代理伺服器 防火牆允許網頁從外面網際網路連接到內部網路的要 求 防禦閘道器 特別的硬體伺服器,利用應用層代理伺服器來限制外部網際網路通過內部網路 代理伺服器 是在閘道器和執行重新包裝的封包,從一個區網通到另一個區網 第十組

31. Exhibit 11.7 應用層代理伺服器 (防禦閘道主機) 第十組

32. Securing EC Networks 隔離區 (DMZ) 介於內部網路與外部網路之間的網路區塊,藉由防火牆的設定控制來隔離這兩網路之間的通訊 個人防火牆 保護使用者的作業系統,監控所有通過電腦網路介面卡的外部網路資訊. 第十組

33. Exhibit 11.8 隔離區 (DMZ) 第十組

34. Securing EC Networks 虛擬私有網路 (VPN) 使用網際網路抓取資料,藉由編成的密碼來干擾通訊而保有私有網路並保證資訊未被竄改和控制存取審核任何使用網路的身分 協定通道 將資料封包加密後傳送封包存取於網際網路之間,並在目的位址解密來確保機密和完整的資料傳送給網際網路 第十組

35. Securing EC Networks 入侵偵測系統 (IDSs) 它是一個特別的軟體能在主機電腦上限制網路的存取運作來尋找可疑的入侵者,根據入侵者的行為自動的採取處理動作 第十組

36. Securing EC Networks 虛擬攻防網路系統honeynet 藉由學習不同的攻擊型態來評估系統弱點, 由honeypots組織設定網路系統內容 虛擬攻防系統honeypots 產品系統(即, 防火牆、路由器、網路伺服器, 資料庫伺服器) 主要工作是當網路入侵發生時可以查看和學習 第十組

37. 總結 • 攻擊電腦的趨向. • 安全是每個人的職責. • 基本的安全性問題. • 基本的網路攻擊類型. • 安全的管理電子商務. • 安全的電子商務通訊. • 技術對於網路的安全. 第十組