中央大學資管系──范錚強

國立中央大學 . 資訊管理系范錚強

mailto: ckfarn@mgt.ncu.edu.tw

http://www.mgt.ncu.edu.tw/~ckfarn

2013.01 updated

資訊安全 Information Security: A Managerial

Perspective

9

中央大學資管系──范錚強 22

大綱

基本觀念安全的重要性取捨

一些安全防護技術和制度的基本原理你只需要知道原理你自己要有因應的措施

企業安全規範

中央大學資管系──范錚強 33

安全威脅有多大？

2010/11年電腦犯罪及安全調查來源： Computer Security Institute (CSI), 15th annual Computer Crime and

Security Survey 2010/11

2007 年美國企業因資訊安全問題而衍生的損失，平均高達 35 萬 (2006: 17 萬 )

近年的財務損失由於安全概念抬頭，有減緩趨勢 (8.9% 用戶 )

67.1% 用戶受到 Malware 攻擊46.5% 用戶遭受到資訊安全 targeted 攻擊

中央大學資管系──范錚強 4

受到的法規規範

中央大學資管系──范錚強 55

企業是否有資訊安全事件

中央大學資管系──范錚強 66

有標的的安全攻擊

中央大學資管系──范錚強 7

攻擊的種類

中央大學資管系──范錚強 88

資安環境

環境惡劣，你如何自保？公司資產如何保障？

中央大學資管系──范錚強 99

安全的迷思

防止駭客入侵防止病毒入侵隔離外來者…

中央大學資管系──范錚強 1010

資訊安全的威脅

惡意 非人為、無意硬體破壞 竊盜、搗毀 自然災害、儲存媒體

損毀

資料破壞 資料竄改、資料增刪、系統性更動資料

程式師無能、不小心、遺漏

資料外洩 資料複製、網路截取、詐騙

不小心

網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具

──

中央大學資管系──范錚強 1111

非人為、非惡意的破壞

水災地震…

莫非定理：只要可能發生，就會發生會在最不該發生的時間發生最壞的情況會發生！！

中央大學資管系──范錚強 1212

資訊安全的威脅

惡意 非人為、無意硬體破壞 竊盜、搗毀 自然災害、儲存媒體

損毀

資料破壞 資料竄改、資料增刪、系統性更動資料

程式師無能、不小心、遺漏

資料外洩 資料複製、網路截取、詐騙

不小心

網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具

──

資料安全不只是 MIS 的事！

中央大學資管系──范錚強 1313

安全的基本基本觀念

安全不是絕對的安全和易用性的兩難

安全是有價的你願意付出什麼樣的代價？你的安全風險 exposure 有多高？

資訊安全有技術面和人性面破壞安全者，都是「人」

主要是內部的人人性！！

中央大學資管系──范錚強 1414

安全和易用性

想一想，你回家和出門時…進門需要開十個鎖出門需要鎖十道門…

你十天之後會做什麼？

風險和安全措施的對稱

中央大學資管系──范錚強 1515

資訊安全的確保

評估風險和損失針對可能的威脅加以防護以技術加上制度（或習慣）來防範

瞭解技術的特性以技術來加強、以制度來確保

鏈條的強度，是最弱一環的強度

中央大學資管系──范錚強 1616

你花 100 萬買了一輛新車

請問：以下什麼行動是合理的？你花了 50 萬裝了一個防盜設備你雇用專人 24 小時輪班看守你花了 3 萬買失竊險

什麼叫合理？

中央大學資管系──范錚強 1717

你家附近最近小偷猖獗

你太太提議加裝一套新的鎖頭你檢驗後，發現新鎖頭雖然是你能負擔的鎖頭中最好的，但還是無法保障100% 安全請問，買不買？

中央大學資管系──范錚強 1818

最常聽到的安全管制

密碼加解密

Triple DES, RSA, …SSL, SET

PKI, CA

防火牆VPN

……

中央大學資管系──范錚強 1919

想想看… 2003 年發生的事

花旗銀行的網路信用卡資料洩密案進入網頁使用循序碼程式撰寫不當委外管理（系統上線的管制）疏忽

金資中心的大批密碼外洩案人員管理不當

ATM大批盜領案側錄密碼

中央大學資管系──范錚強 2020

另外一些實例

你休假、出差，主管和你要你的密碼…你該給嗎？你能不給嗎？你憑什麼能不給？

你管理電腦機房，總經理要帶朋友進入你該讓嗎？是否要辦什麼手續？你能不讓嗎？你憑什麼能不讓？

你的部屬將密碼寫在黃紙條，貼在電腦上你該管嗎？你憑什麼管？

中央大學資管系──范錚強 2121

企業環境

法律環境

保險

安全方案

國際標準

企業體

流程管制

人事管制

文件管制

使用者管制復原計畫

安全政策

應用軟體

輸入輸出管制

程式管制

稽核軌跡

進出管控

隔離

操作管制

安全的「洋蔥」

硬體資料

通訊管制

中央大學資管系──范錚強 2222

一些安全技術的簡單原理

防毒防止木馬程式木馬：希臘神話中，特洛依 Troy 的木馬屠城

加解密PKI/CA

身份確認備份

中央大學資管系──范錚強 2323

防止病毒

電腦程式

電子檔案

分析檔案比對病毒碼

防毒軟體

病毒碼

修補或隔離 通過檢驗

中央大學資管系──范錚強 2424

你需要知道的防毒行動

關鍵你的病毒碼是什麼時候更新的？

新的病毒無法防止檔案、程式、資料的來源是否可靠？

來源不明來源的儲存媒體（光碟、磁碟等）電子郵遞

執行檔、自動執行檔、文件中的巨集 (macro)

中央大學資管系──范錚強 2525

加密解密──一般觀念

例子：我的電話 0916059841簡單的加密， 乘積

乘上 13—011908777933

我送給你，你除以 13 就有答案了更簡單的方法，猜猜看如何解密？

980779711866420145509898894140142697598077971186642014550989889414014269759807797118664201455098988941401426975

關鍵：我們對加解密的方法需要保密──這世界有絕對機密嗎？

中央大學資管系──范錚強 2626

對稱式金鑰

信息明文

信息密文

加密

信息密文

信息明文

解密

S

R

中央大學資管系──范錚強 2727

一些對稱式金鑰相關的名詞

DES, 2DES, 3DES56bit, 112bit, 168bit密鑰長度

軟體加密成本低消耗電腦資源

硬體加密速度快

中央大學資管系──范錚強 2828

網際網路

我要付款 $$$

請出示身分證明

電子交易的安全需求

防止機密或敏感性資料外洩鑑別對方的身分防止資料被竄改或偽造防止事後否認

中央大學資管系──范錚強 2929

兩把鑰匙的觀念

你到銀行開個保險箱開戶身份確認取得鑰匙──私鑰

使用身份確認、使用登錄行員持公鑰，和你的私鑰一同開啟

你安全嗎？為何？

中央大學資管系──范錚強 3030

非對稱金鑰

又稱 RSA 加密由 R/S/A三位學者發明，由數學方式產生一對不相同的金鑰兩者之間無法經由任何數學運算獲得，必須同時產生其中之一由私人保存，另一個則公開經由私鑰加密者，只能由公鑰解密，反過來也一樣

中央大學資管系──范錚強 3131

非對稱式金鑰，防止外洩

信息明文

信息密文

R 公鑰加密

信息密文

信息明文

S

RR 私鑰解密

中央大學資管系──范錚強 3232

非對稱式金鑰，防止否認

信息明文

信息密文

R 公鑰加密

信息密文

信息明文

S

RR 私鑰解密

S 公鑰解密

S 私鑰加密

中央大學資管系──范錚強 3333

PKI/CA

PKI – Public Key Infrastructure 公開金鑰架構 利用非對稱金鑰來進行的加解密機制

CA – Certificate Authority 憑證中心：公鑰憑證發行單位 需要有公信力 有層級性的發行單位

中央大學資管系──范錚強 3434

事前向有公信力的憑證機構註冊，由其簽發公鑰憑證。

發證者名稱有效日期持有人姓名持有人公鑰

CA簽章

公開供鑑別簽署者身分

范錚強

X509

XXXX契約

電子文件

110111001數位簽章

( 類似印鑑登記 )

公鑰憑證

一對一配對關係

簽章私鑰 簽章公鑰

非對稱金鑰的發行

中央大學資管系──范錚強 3535

憑證中心

申請電子印鑑

電子證書

提供服務的企業

其他企業顧客

核發

0101010101

附上電子簽章

接受各界查詢並確認電子印鑑使用者的身分

電子文件

電子文件

0101010101

向認證中心查證電子印鑑之真偽

線上申請

線上處理

范錚強

15

網際服務網─提供線上申辦服務

1 2

3

4

5

電子認證

范錚強

范錚強

中央大學資管系──范錚強 3636

一些常用的安全機制

SSL Secure Socket Layer

SET Secure Electronic Transaction

中央大學資管系──范錚強 3737

SSL

利用使用者不需知覺的情況之下，在網路傳輸兩點之間，進行非對稱加密的傳輸安全機制的協定

向銀行請款

SSL加解密

密文

密文 SSL加解密

中央大學資管系──范錚強 3838

SET

消費者的資料經由電子商店傳遞給發卡銀行，由銀行解密，授權商店接受。電子商店無法讀取顧客的信用卡資料

加解密

密文向銀行請求授權

信用卡資料

加解密

中央大學資管系──范錚強 3939

SET vs SSL

SET 較為安全 兩大國際信用卡組織 (VISA, MasterCard)皆支

持 SET

世人都覺得未來電子交易必然依賴 SET

但 SET 在推廣方面卻面臨挫敗！ 使用者擁抱 SSL

為什麼 SET 不被使用者廣為接受？

中央大學資管系──范錚強 4040

問題：你不用網路，信用卡資料就安全了嗎？

你是否使用傳真授權表買機票？付旅行團費？

你是否在餐廳把信用卡交給店小二？ 他幫你到櫃臺結帳

你是否在加油站將信用卡交給工讀生？ 他幫你拿到另一個加油島去刷卡

你是否使用信用卡？ 你消費的商店裡保存了你的資料

中央大學資管系──范錚強 4141

個人身份確認

密碼 4碼？ 8碼？規定定期更改？

實體鑰匙加上密碼 生物辨識

指紋、聲音、眼珠、面貌等 身份確認的意義

資訊存取 稽核軌跡──法律證據

中央大學資管系──范錚強 4242

個人身份確認 2

很多人將密碼寫在容易取得的地方 以防忘記 甚至不設定密碼

有很多人將密碼交給主管 萬一有法律訴訟，請問法院認定誰做了那

些行為？ 誰負責？

中央大學資管系──范錚強 4343

SOP 怎麼規定的？

SOP: Standard Operating Procedure 標準作業程序

SOP 對洩漏密碼是否有規範？ 公司是否允許持有大門鑰匙的人，將鑰匙放在公司大門口旁的樹下？

SOP 是否允許提供密碼給主管、部屬或代理人？ 人工作業如何做的？

中央大學資管系──范錚強 4444

技術掛帥的環境

重視實體安全、通訊安全忽略管理面、人性面幸好…

資訊安全防護在 1999/2000 年，出現國際標準： BS7799/ISO17799

後來改為 ISO27001

中央大學資管系──范錚強 4545

Information Security Management

System ( 資訊安全管理系統 )

英國的資訊安全標準被國際標準組織接受內容：資訊安全的管控

從政策、程序、存取、復原等完整的資訊安全考量

中央大學資管系──范錚強 46

ISMS 演進歷史

1993 ：英國貿工部 (Department of Trade and Industry, DTI)發展「資訊安全管理實務準則」 (PD0005 Code of Practice)

1995 ： BS7799 標準頒行 1998 ： BS7799 part 2 標準頒行 (BS7799BS7799 part 1) 1999 ： BS7799 Part 1 & Part 2 增修改版 2000 ： BS7799 Part 1 ISO/IEC 17799 2002 ： BS7799 part 2 標準改版頒行 2005/06 : ISO/IEC 17799:2005 標準頒行 2005/10 : BS7799 part 2 ISO/IEC 27001:2005 標準頒行 2007/07 : ISO/IEC 17799 ISO/IEC 27002:2005 標準頒行

46

中央大學資管系──范錚強 47

ISO 27001 與 ISO 27002

․ ISO 27001 ： 2005 為資訊安全管理驗證規範 提供 ISMS 的建立實施與書面化之具體要求，依據個別組織的需求，規定要實施之安全控制措施。

不是技術標準，而是管理標準。․ ISO 27002 ： 2005 為資訊安全管理作業要點

主要是作為參考文件，提供廣泛性的安全控制措施，作為現行資訊安全之最佳作業方法。

不作為評鑑與驗證標準。

47

中央大學資管系──范錚強 48

A.5 – 安全政策A.6 – 資訊安全的組織

A.7 – 資產管理A.8 – 人力資源

安全A.9 – 實體與環

境安全A.10 – 通訊與

作業管理A.12 – 資訊系統獲取、開發

及維護A.11 – 存取控制A.13 – 資訊安全事故管理

A.14 – 營運持續管理A.15 – 遵循性

ISO/IEC 27001:2005 附錄 A

48

11 個領域、 39 個控制目標、 133 個控制項目

中央大學資管系──范錚強 49

ISO 27001 全球現況 (until 2009.12)

資料來源 http://www.iso27001certificates.com/

全球 :6,037家通過驗證

台灣 :344家通過驗證

49

中央大學資管系──范錚強 5050

安全管理重點

Process life cycle control 全程的管理和安全確保，而非侷限於技術面

SOP 做你說你要做的事，但你要做什麼？為何？

Check and balance 權責分離、制衡

Recovery 萬一出事，如何處理？

中央大學資管系──范錚強 5151

So What? 對您個人的意義呢？

你負責哪一些資訊資產？你的有哪些實體安全顧慮？

家用電腦？手提電腦？掌上電腦？你有哪些通訊安全措施？有什麼存取管制習慣？你是否有復原計畫？

備份？備份的安全？

中央大學資管系──范錚強 5252

結論

安全非常重要，但並非絕對 必須瞭解風險和替代方案

安全不一定「最」重要 必須瞭解安全計畫的目的

技術面只是「必要條件」 所有技術方案都可能有管理面的破解方法

配套的「制度」或「個人習慣」