资讯安全之管理标准.ppt

資訊安全教育宣導與案例分享 凌羣電腦 資訊安全顧問 蔡坤家 Email: tsai_flyer@.tw 前言 邵曉鈴事件的啟示 風險管理的原則 Agenda 什麼是資訊安全？ 有了防火牆、弱點掃瞄…算不算做到資安？ 隔絕連線，不提供服務，安全性高，但是… 什麼是資安發展趨勢？ 資安資源有增加？ 資安有無受組織重視？ 什麼是成功的資安政策？ 是否有可能做到滴水不漏？ Fortinet 94年6月網路威脅報告 台灣網路安全威脅僅次於美、南韓 資策會的數據 94年大型企業平均資安支出37.3萬，佔IT支出5.1% 仍有八成的企業未對資安充分投資 以行業別看，金融服務業以70.6萬居首，製造業24.7萬居末 FBI與美國電腦安全協會（CSI）的統計，在美國有高達50～80%的攻擊來自防火牆內部 整合性服務/整合性分析工具將成為新趨勢 2005年全球資安威脅 資料來源:Sophos 2005年全球資安威脅管理報告 惡意程式的成長曲線 新惡意軟體威脅比去年增加 48% 惡意程序作者發出新版病毒，木馬 在掩飾下“重新包裝” 惡意程序 短時間下用新版取代 2005年中, Mytob 有200多種變種 反應時間越來越短 2001年 Nimda娜妲病毒從發現弱點到發作，相隔336天。 2003年Slammer病毒相隔185天。 2003年Blaster疾風病毒距離26天。 2004年殺手病毒，距離弱點公佈日期(4/13)，只有18天。 2004年Witty病毒，在安全漏洞發佈後，在不到48小時之內，病毒就開始在網路上蔓延。 ZeroDay、Botnet、SPAM 台灣有三分之一的電腦曾經是Bot SPAM:十封信件中就有九封是SPAM 2006.06 25億封，2006.11 暴增至70億封(US) 英國在2006.10暴增50% 真假難分 (Zero Day+RootKit+SPAM)*Botnet = Big Disaster 資料外洩/遭竊原因 資料外洩/遭竊的金額損失 2006年至今通報部分9300萬筆(US) 損失成本:平均每一筆客戶資料遺失約損失182美元，較2005年高出30% 包括向客戶歉意的免費服務或折扣、通知信及電話、法律稽核與會計費用，廣告的公關費用 生產損失:每筆資料約導致30美元的生產減損 客戶流失率約2%~7% 責任歸屬:53%由IT執行者與IT安全相關人員為意外事件負責 當今網路安全威脅已遠超過防火牆的防禦能力 資訊系統環境威脅 資訊安全威脅的來源 資訊安全所面對的衝擊 安全弱點空窗期的代價有多高？ 資安問題的解決成本 蓬萊國小資訊環境 弱點掃描高風險係數分布 資訊安全的挑戰 駭客活動持續上升。 缺乏有效嚇阻的法律規範。 高階管理層開始視資訊安全為整體風險管理的重要一部份。 資訊安全發展迅速，從單純網路安全到終端使用的安全，零時差攻擊、Spyware、Phishing、Spamming，應用程式安全 – 資訊安全為整個資訊產業中變動最劇烈的領域。 終端使用者更嚴苛的要求與挫敗。 資訊安全變成支撐所有電子化活動，如電子化政府、電子化銀行的主要支柱，而且沒有選擇。 更多資訊安全技術會被整合、消除或合併。 使用者將無法接受資訊安全只有技術沒有涵括服務。 網路安全發展週期 資訊技術治理之四個構面 策略性調準(IT Strategic Alignment) IT策略與企業策略、IT組織與企業組織、 IT作業與企業作業 價值提供(IT Value Delivery) 在預算內及時服務並產生預期效益，例如:競爭優勢、快速回應、客戶滿意、員工生產力及獲利率 風險管理(Risk Management) 包括技術風險與資訊安全，高階管理者首須有風險意識，並將風險管理機制建置於日常作業中。 績效衡量(Performance Measurement) 平衡計分卡(財務面、顧客面、流程面、創新面) 資訊安全治理 為整體IT Governance 重要之一環 消極性之防弊功用? 價值與機會之創造者 資訊安全不僅為技術問題而係管理問題 企業文化、管理階層之安全意識及行動均需考量 資安事件的原因與回應 安全的網路環境 安全政策： 安全政策的制定提供了整體環境安全的一個基礎與依歸，包括機房軟硬體、文件、員工等等，訂出這些資產使用的合法規則。安全政策的制定可以參考國內外的標準，如國外的「BS7799/ISO17799」，國內的「行政院所屬各機關資訊安全管理實施基準/要點」等等。 防火牆的架設： 區域的防火牆。區域防火牆是防禦外部攻擊的第一道門。 架設入侵偵測系統(IDS)與入侵防禦系統(IPS)： 弱點檢測掃描與弱點修補： 定期地檢測掃描主機上可能存在的弱點，並及時針對檢測報告中的弱點來更新。另外系統管理者也需