Lab Experiments and Quasi (Field) Experiments 中央大學. 資訊管理系 范錚強 mailto: [email protected] 2010.03 6.
國立中央大學 . 資訊管理系 范錚強 mailto: [email protected] mgt.ncu.tw/~ckfarn 2013.01...
description
Transcript of 國立中央大學 . 資訊管理系 范錚強 mailto: [email protected] mgt.ncu.tw/~ckfarn 2013.01...
中央大學資管系──范錚強
國立中央大學 . 資訊管理系范錚強
mailto: [email protected]
http://www.mgt.ncu.edu.tw/~ckfarn
2013.01 updated
資訊安全 Information Security: A Managerial
Perspective
9
中央大學資管系──范錚強 22
大綱
基本觀念安全的重要性取捨
一些安全防護技術和制度的基本原理你只需要知道原理你自己要有因應的措施
企業安全規範
中央大學資管系──范錚強 33
安全威脅有多大?
2010/11年電腦犯罪及安全調查來源: Computer Security Institute (CSI), 15th annual Computer Crime and
Security Survey 2010/11
2007 年美國企業因資訊安全問題而衍生的損失,平均高達 35 萬 (2006: 17 萬 )
近年的財務損失由於安全概念抬頭,有減緩趨勢 (8.9% 用戶 )
67.1% 用戶受到 Malware 攻擊46.5% 用戶遭受到資訊安全 targeted 攻擊
中央大學資管系──范錚強 4
受到的法規規範
中央大學資管系──范錚強 55
企業是否有資訊安全事件
中央大學資管系──范錚強 66
有標的的安全攻擊
中央大學資管系──范錚強 7
攻擊的種類
中央大學資管系──范錚強 88
資安環境
環境惡劣,你如何自保?公司資產如何保障?
中央大學資管系──范錚強 99
安全的迷思
防止駭客入侵防止病毒入侵隔離外來者…
中央大學資管系──范錚強 1010
資訊安全的威脅
惡意 非人為、無意硬體破壞 竊盜、搗毀 自然災害、儲存媒體
損毀
資料破壞 資料竄改、資料增刪、系統性更動資料
程式師無能、不小心、遺漏
資料外洩 資料複製、網路截取、詐騙
不小心
網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具
──
中央大學資管系──范錚強 1111
非人為、非惡意的破壞
水災地震…
莫非定理:只要可能發生,就會發生會在最不該發生的時間發生最壞的情況會發生!!
中央大學資管系──范錚強 1212
資訊安全的威脅
惡意 非人為、無意硬體破壞 竊盜、搗毀 自然災害、儲存媒體
損毀
資料破壞 資料竄改、資料增刪、系統性更動資料
程式師無能、不小心、遺漏
資料外洩 資料複製、網路截取、詐騙
不小心
網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具
──
資料安全不只是 MIS 的事!
中央大學資管系──范錚強 1313
安全的基本基本觀念
安全不是絕對的安全和易用性的兩難
安全是有價的你願意付出什麼樣的代價?你的安全風險 exposure 有多高?
資訊安全有技術面和人性面破壞安全者,都是「人」
主要是內部的人人性!!
中央大學資管系──范錚強 1414
安全和易用性
想一想,你回家和出門時…進門需要開十個鎖出門需要鎖十道門…
你十天之後會做什麼?
風險和安全措施的對稱
中央大學資管系──范錚強 1515
資訊安全的確保
評估風險和損失針對可能的威脅加以防護以技術加上制度(或習慣)來防範
瞭解技術的特性以技術來加強、以制度來確保
鏈條的強度,是最弱一環的強度
中央大學資管系──范錚強 1616
你花 100 萬買了一輛新車
請問:以下什麼行動是合理的?你花了 50 萬裝了一個防盜設備你雇用專人 24 小時輪班看守你花了 3 萬買失竊險
什麼叫合理?
中央大學資管系──范錚強 1717
你家附近最近小偷猖獗
你太太提議加裝一套新的鎖頭你檢驗後,發現新鎖頭雖然是你能負擔的鎖頭中最好的,但還是無法保障100% 安全請問,買不買?
中央大學資管系──范錚強 1818
最常聽到的安全管制
密碼加解密
Triple DES, RSA, …SSL, SET
PKI, CA
防火牆VPN
……
中央大學資管系──范錚強 1919
想想看… 2003 年發生的事
花旗銀行的網路信用卡資料洩密案進入網頁使用循序碼程式撰寫不當委外管理(系統上線的管制)疏忽
金資中心的大批密碼外洩案人員管理不當
ATM大批盜領案側錄密碼
中央大學資管系──范錚強 2020
另外一些實例
你休假、出差,主管和你要你的密碼…你該給嗎?你能不給嗎?你憑什麼能不給?
你管理電腦機房,總經理要帶朋友進入你該讓嗎?是否要辦什麼手續?你能不讓嗎?你憑什麼能不讓?
你的部屬將密碼寫在黃紙條,貼在電腦上你該管嗎?你憑什麼管?
中央大學資管系──范錚強 2121
企業環境
法律環境
保險
安全方案
國際標準
企業體
流程管制
人事管制
文件管制
使用者管制復原計畫
安全政策
應用軟體
輸入輸出管制
程式管制
稽核軌跡
進出管控
隔離
操作管制
安全的「洋蔥」
硬體資料
通訊管制
中央大學資管系──范錚強 2222
一些安全技術的簡單原理
防毒防止木馬程式木馬:希臘神話中,特洛依 Troy 的木馬屠城
加解密PKI/CA
身份確認備份
中央大學資管系──范錚強 2323
防止病毒
電腦程式
電子檔案
分析檔案比對病毒碼
防毒軟體
病毒碼
修補或隔離 通過檢驗
中央大學資管系──范錚強 2424
你需要知道的防毒行動
關鍵你的病毒碼是什麼時候更新的?
新的病毒無法防止檔案、程式、資料的來源是否可靠?
來源不明來源的儲存媒體(光碟、磁碟等)電子郵遞
執行檔、自動執行檔、文件中的巨集 (macro)
中央大學資管系──范錚強 2525
加密解密──一般觀念
例子:我的電話 0916059841簡單的加密, 乘積
乘上 13—011908777933
我送給你,你除以 13 就有答案了更簡單的方法,猜猜看如何解密?
980779711866420145509898894140142697598077971186642014550989889414014269759807797118664201455098988941401426975
關鍵:我們對加解密的方法需要保密──這世界有絕對機密嗎?
中央大學資管系──范錚強 2626
對稱式金鑰
信息明文
信息密文
加密
信息密文
信息明文
解密
S
R
中央大學資管系──范錚強 2727
一些對稱式金鑰相關的名詞
DES, 2DES, 3DES56bit, 112bit, 168bit密鑰長度
軟體加密成本低消耗電腦資源
硬體加密速度快
中央大學資管系──范錚強 2828
網際網路
我要付款 $$$
請出示身分證明
電子交易的安全需求
防止機密或敏感性資料外洩鑑別對方的身分防止資料被竄改或偽造防止事後否認
中央大學資管系──范錚強 2929
兩把鑰匙的觀念
你到銀行開個保險箱開戶身份確認取得鑰匙──私鑰
使用身份確認、使用登錄行員持公鑰,和你的私鑰一同開啟
你安全嗎?為何?
中央大學資管系──范錚強 3030
非對稱金鑰
又稱 RSA 加密由 R/S/A三位學者發明,由數學方式產生一對不相同的金鑰兩者之間無法經由任何數學運算獲得,必須同時產生其中之一由私人保存,另一個則公開經由私鑰加密者,只能由公鑰解密,反過來也一樣
中央大學資管系──范錚強 3131
非對稱式金鑰,防止外洩
信息明文
信息密文
R 公鑰加密
信息密文
信息明文
S
RR 私鑰解密
中央大學資管系──范錚強 3232
非對稱式金鑰,防止否認
信息明文
信息密文
R 公鑰加密
信息密文
信息明文
S
RR 私鑰解密
S 公鑰解密
S 私鑰加密
中央大學資管系──范錚強 3333
PKI/CA
PKI – Public Key Infrastructure 公開金鑰架構 利用非對稱金鑰來進行的加解密機制
CA – Certificate Authority 憑證中心:公鑰憑證發行單位 需要有公信力 有層級性的發行單位
中央大學資管系──范錚強 3434
事前向有公信力的憑證機構註冊,由其簽發公鑰憑證。
發證者名稱有效日期持有人姓名持有人公鑰
CA簽章
公開供鑑別簽署者身分
范錚強
X509
XXXX契約
電子文件
110111001數位簽章
( 類似印鑑登記 )
公鑰憑證
一對一配對關係
簽章私鑰 簽章公鑰
非對稱金鑰的發行
中央大學資管系──范錚強 3535
憑證中心
申請電子印鑑
電子證書
提供服務的企業
其他企業顧客
核發
0101010101
附上電子簽章
接受各界查詢並確認電子印鑑使用者的身分
電子文件
電子文件
0101010101
向認證中心查證電子印鑑之真偽
線上申請
線上處理
范錚強
15
網際服務網─提供線上申辦服務
1 2
3
4
5
電子認證
范錚強
范錚強
中央大學資管系──范錚強 3636
一些常用的安全機制
SSL Secure Socket Layer
SET Secure Electronic Transaction
中央大學資管系──范錚強 3737
SSL
利用使用者不需知覺的情況之下,在網路傳輸兩點之間,進行非對稱加密的傳輸安全機制的協定
向銀行請款
SSL加解密
密文
密文 SSL加解密
中央大學資管系──范錚強 3838
SET
消費者的資料經由電子商店傳遞給發卡銀行,由銀行解密,授權商店接受。電子商店無法讀取顧客的信用卡資料
加解密
密文向銀行請求授權
信用卡資料
加解密
中央大學資管系──范錚強 3939
SET vs SSL
SET 較為安全 兩大國際信用卡組織 (VISA, MasterCard)皆支
持 SET
世人都覺得未來電子交易必然依賴 SET
但 SET 在推廣方面卻面臨挫敗! 使用者擁抱 SSL
為什麼 SET 不被使用者廣為接受?
中央大學資管系──范錚強 4040
問題:你不用網路,信用卡資料就安全了嗎?
你是否使用傳真授權表買機票?付旅行團費?
你是否在餐廳把信用卡交給店小二? 他幫你到櫃臺結帳
你是否在加油站將信用卡交給工讀生? 他幫你拿到另一個加油島去刷卡
你是否使用信用卡? 你消費的商店裡保存了你的資料
中央大學資管系──范錚強 4141
個人身份確認
密碼 4碼? 8碼?規定定期更改?
實體鑰匙加上密碼 生物辨識
指紋、聲音、眼珠、面貌等 身份確認的意義
資訊存取 稽核軌跡──法律證據
中央大學資管系──范錚強 4242
個人身份確認 2
很多人將密碼寫在容易取得的地方 以防忘記 甚至不設定密碼
有很多人將密碼交給主管 萬一有法律訴訟,請問法院認定誰做了那
些行為? 誰負責?
中央大學資管系──范錚強 4343
SOP 怎麼規定的?
SOP: Standard Operating Procedure 標準作業程序
SOP 對洩漏密碼是否有規範? 公司是否允許持有大門鑰匙的人,將鑰匙放在公司大門口旁的樹下?
SOP 是否允許提供密碼給主管、部屬或代理人? 人工作業如何做的?
中央大學資管系──范錚強 4444
技術掛帥的環境
重視實體安全、通訊安全忽略管理面、人性面幸好…
資訊安全防護在 1999/2000 年,出現國際標準: BS7799/ISO17799
後來改為 ISO27001
中央大學資管系──范錚強 4545
Information Security Management
System ( 資訊安全管理系統 )
英國的資訊安全標準被國際標準組織接受內容:資訊安全的管控
從政策、程序、存取、復原等完整的資訊安全考量
中央大學資管系──范錚強 46
ISMS 演進歷史
1993 :英國貿工部 (Department of Trade and Industry, DTI)發展「資訊安全管理實務準則」 (PD0005 Code of Practice)
1995 : BS7799 標準頒行 1998 : BS7799 part 2 標準頒行 (BS7799BS7799 part 1) 1999 : BS7799 Part 1 & Part 2 增修改版 2000 : BS7799 Part 1 ISO/IEC 17799 2002 : BS7799 part 2 標準改版頒行 2005/06 : ISO/IEC 17799:2005 標準頒行 2005/10 : BS7799 part 2 ISO/IEC 27001:2005 標準頒行 2007/07 : ISO/IEC 17799 ISO/IEC 27002:2005 標準頒行
46
中央大學資管系──范錚強 47
ISO 27001 與 ISO 27002
․ ISO 27001 : 2005 為資訊安全管理驗證規範 提供 ISMS 的建立實施與書面化之具體要求,依據個別組織的需求,規定要實施之安全控制措施。
不是技術標準,而是管理標準。․ ISO 27002 : 2005 為資訊安全管理作業要點
主要是作為參考文件,提供廣泛性的安全控制措施,作為現行資訊安全之最佳作業方法。
不作為評鑑與驗證標準。
47
中央大學資管系──范錚強 48
A.5 – 安全政策A.6 – 資訊安全的組織
A.7 – 資產管理A.8 – 人力資源
安全A.9 – 實體與環
境安全A.10 – 通訊與
作業管理A.12 – 資訊系統獲取、開發
及維護A.11 – 存取控制A.13 – 資訊安全事故管理
A.14 – 營運持續管理A.15 – 遵循性
ISO/IEC 27001:2005 附錄 A
48
11 個領域、 39 個控制目標、 133 個控制項目
中央大學資管系──范錚強 49
ISO 27001 全球現況 (until 2009.12)
資料來源 http://www.iso27001certificates.com/
全球 :6,037家通過驗證
台灣 :344家通過驗證
49
中央大學資管系──范錚強 5050
安全管理重點
Process life cycle control 全程的管理和安全確保,而非侷限於技術面
SOP 做你說你要做的事,但你要做什麼?為何?
Check and balance 權責分離、制衡
Recovery 萬一出事,如何處理?
中央大學資管系──范錚強 5151
So What? 對您個人的意義呢?
你負責哪一些資訊資產?你的有哪些實體安全顧慮?
家用電腦?手提電腦?掌上電腦?你有哪些通訊安全措施?有什麼存取管制習慣?你是否有復原計畫?
備份?備份的安全?
中央大學資管系──范錚強 5252
結論
安全非常重要,但並非絕對 必須瞭解風險和替代方案
安全不一定「最」重要 必須瞭解安全計畫的目的
技術面只是「必要條件」 所有技術方案都可能有管理面的破解方法
配套的「制度」或「個人習慣」