资讯安全-中央大学管理学院-国立中央大学.PPT

資訊安全 國立中央大學.資訊管理系 范錚強 Tel: (03)426-7250 mailto: ckfarn@.tw .tw/~ckfarn 2004 大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 安全威脅有多大？ 2002年電腦犯罪及安全調查 來源：Computer Secrity Institute (CSI), Computer Crime and Security Survey 2002 90%電腦受過各種安全破壞 40%偵測到系統外部入侵(2000年為25%) 85%電腦偵測到病毒 環境惡劣，你如何自保？ 公司資產如何保障？ 安全的迷思 防止駭客入侵 防止病毒入侵 隔離外來者 … 資訊安全的威脅 非人為、非惡意的破壞 水災 地震 … 莫非定理：只要可能發生，就會發生 會在最不該發生的時間發生 最壞的情況會發生！！ 資訊安全的威脅 安全的基本基本觀念 安全不是絕對的 安全和易用性的兩難 安全是有價的 你願意付出什麼樣的代價？ 你的安全風險 exposure 有多高？ 資訊安全有技術面和人性面 破壞安全者，都是「人」 主要是內部的人 人性！！ 安全和易用性 想一想，你回家和出門時… 進門需要開十個鎖 出門需要鎖十道門… 你十天之後會做什麼？ 風險和安全措施的對稱 資訊安全的確保 評估風險和損失 針對可能的威脅加以防護 以技術加上來制度（或習慣）來防範 瞭解技術的特性 以技術來加強、以制度來確保 鏈條的強度，是最弱一環的強度 你花100萬買了一輛新車 請問：以下什麼行動是合理的？ 你花了50萬裝了一個防盜設備 你雇用專人24小時輪班看守 你花了3萬買失竊險 什麼叫合理？ 你家附近最近小偷猖獗 你太太提議加裝一套新的鎖頭 你檢驗後，發現新鎖頭雖然是你能負擔的鎖頭中最好的，但還是無法保障100%安全 請問，買不買？ 最常聽到的安全管制 密碼 加解密 Triple DES, RSA, … SSL, SET PKI, CA 防火牆 VPN …… 想想看…2003年發生的事 花旗銀行的網路信用卡資料洩密案 進入網頁使用循序碼 程式撰寫不當 委外管理（系統上線的管制）疏忽 金資中心的大批密碼外洩案 人員管理不當 ATM大批盜領案 側錄密碼 另外一些實例 你休假、出差，主管和你要你的密碼… 你該給嗎？你能不給嗎？你憑什麼能不給？ 你管理電腦機房，總經理要帶朋友進入 你該讓嗎？是否要辦什麼手續？ 你能不讓嗎？你憑什麼能不讓？ 你的部屬將密碼寫在黃紙條，貼在電腦上 你該管嗎？你憑什麼管？ 安全的「洋蔥」 一些安全技術的簡單原理 防毒 防止木馬程式 木馬：希臘神話中，特洛依Troy的木馬屠城 加解密 PKI/CA 身份確認 備份 防止病毒 你需要知道的防毒行動 關鍵 你的病毒碼是什麼時候更新的？ 新的病毒無法防止 檔案、程式、資料的來源是否可靠？ 來源 不明來源的儲存媒體（光碟、磁碟等） 電子郵遞 執行檔、自動執行檔、文件中的巨集(macro) 我個人的防護 兩步驟郵件讀取 Webmail 用瀏覽器讀取 保留有用的郵件、刪除其他 用Netscape Communicator 收信 非主流的系統 定期更新Windows系統更新 定期更新病毒碼 加密解密──一般觀念 例子：我的電話 0916059841 簡單的加密， 乘積 乘上13—011908777933 我送給你，你除以13就有答案了 更簡單的方法，猜猜看如何解密？ 9807797118664201455098988941411426975 對稱式金鑰 一些對稱式金鑰相關的名詞 DES, 2DES, 3DES 64bit, 128bit, 256bit密鑰長度 軟體加密 成本低 消耗電腦資源 硬體加密 速度快 電子交易的安全需求 防止機密或敏感性資料外洩 鑑別對方的身分 防止資料被竄改或偽造 防止事後否認 兩把鑰匙的觀念 你到銀行開個保險箱 開戶 身份確認 取得鑰匙──私鑰 使用 身份確認、使用登錄 行員持公鑰，和你的私鑰一同開啟 你安全嗎？為何？ 非對稱金鑰 又稱RSA加密 由R/S/A三位學者發明，由數學方式產生一對不相同的金鑰 兩者之間無法經由任何數學運算獲得，必須同時產生 其中之一由私人保存，另一個則公開 經由私鑰加密者，只能由公鑰解密，反過來也一樣 非對稱式金鑰，防止外洩 非對稱式金鑰，防止否認 PKI/CA PKI – Public Key Infrastructure 公開金鑰架構 利用非對稱金鑰來進行的加解密機制 CA – Certificate Authority 憑證中心：公鑰憑證發行單位 需要有公信力 有層級性的發行單位 非對稱金鑰的發行 電子認證 一些常用的安全機制 SSL Se