Presentation is loading. Please wait.

Presentation is loading. Please wait.

新北市教育研究發展中心 新北市資訊組長增能研習 - 校園及個人資安實務應用 - 昇達價值管理股份有限公司 簡報人:林志勇 經理

Similar presentations


Presentation on theme: "新北市教育研究發展中心 新北市資訊組長增能研習 - 校園及個人資安實務應用 - 昇達價值管理股份有限公司 簡報人:林志勇 經理"— Presentation transcript:

1 新北市教育研究發展中心 新北市資訊組長增能研習 - 校園及個人資安實務應用 - 昇達價值管理股份有限公司 簡報人:林志勇 經理
簡報人:林志勇 經理 簡報日期:2015/05/26

2 講師介紹 林志勇 ( Eric Lin ) 專業資歷: 昇達價值股份有限公司 經理
安永管理顧問股份有限公司 ( Ernst & Young ) 經理 安侯企業管理股份有限公司 (KPMG) 副理 行政院主計處資通安全外部稽核團成員 ISO27001 Lead Auditor ISO20000 Lead Auditor BS10012 Implement Course Certified、BS10012 Lead Auditor CISSP 政府單位與國營事業:立法院、法務部、廉政署、矯正署、行政執行署、外交部領事事務局、衛生署、署立桃園醫院、國家衛生研究院、國民健康局、臺北巿國稅局、高雄市國稅局、嘉義縣財政稅務局、臺灣電力公司、農委會林務局及各林管處、農委會農林航空測量所、嘉義市政府、嘉義市環保局、嘉義市衛生局、嘉義縣政府、台南縣政府、台南市政府、臺北縣教育研究發展中心、體育委員會、國防大學等 私人企業與組織:台灣大哥大、台灣客服、慈濟技術學院、高明國際、彰化銀行、台灣晶技 晨宇資訊 資安講師 中華電信訓練所/GSN政府服務網路特約講師

3 Agenda. 學校網站管理之安全防護實務 個人電腦安全管理面面觀 行動裝置之安全防範

4 政府機關資安管理將法治化,行政院下半年將制訂資訊安全管理法
今年下半年,行政院將優先制定資訊安全管理法作為政府資安管理的主要法源依據,主管機關則是科技部 行政院資通安全辦公室主任蕭秀琴今(26)日在一場臺灣惠普舉辦的資訊安全研討會中表示,預計今年下半年,行政院將優先制定資訊安全管理法作為政府資安管理的主要法源依據,資安主管機關則是行政院在2014年指定的科技部。 先制定具備作用法性質的資訊安全管理法 蕭秀琴指出,在2014年底時,行政院原本已經草擬一份資安基本法,希望能夠作為政府資安作為的參考依據,不過,在法務部資訊處處長陳泉錫等人的鼓吹下,資安只是資訊的其中一個環節,應該要朝制定資訊基本法的方向努力。 iThome

5 趨勢科技 2015 年暨未來預測 - 隱藏的威脅浮上檯面
更多的網路犯罪集團將利用黑暗網路(Darknet) 和專門的地下論壇來分享和販售犯罪軟體。 網路犯罪活動的熱絡將催生出功能更強、規模更大、效果更好的駭客工具及攻擊手法。 隨著行動裝置漏洞逐漸成為重要的裝置感染途徑,漏洞攻擊套件將開始鎖定 Android 平台。 鎖定目標攻擊將變得和一般網路犯罪一樣普遍。

6

7 勒索軟體 iThome CryptoLocke,史上最狠毒,台灣企業陸續傳出受害災情,該軟體透過釣魚郵件入侵,會將受害者電腦的檔案用高超的加密技術加密,無法自行復原,並限期3天支付9,000元(300美金)贖金,否則將毀損解密金鑰,受害者苦不堪言。 CryptoLocker綁架最常使用的檔案類型,像是微軟文件格式如Excel、Word、PPT,以及JPG圖檔、PDF等。 2014 勒索軟體和比特幣竊盜程式合併成 BitCrypt,它會從各種電子貨幣錢包內偷錢。 Sophos臺灣區技術經理詹鴻基表示,目前市面上多數的防毒軟體都已經可以偵測到這支勒索軟體,使用者無須過度擔憂,即便不慎點選惡意連結,防毒軟體也會偵測到,讓它無法安裝。 根據目前已經受害的案例,資安專家們建議,一旦使用者發現電腦受到CryptoLocker感染,第一個動作就是斷絕網路連線,盡早中斷加密程序,也可避免CryptoLocker對內網的其他電腦造成威脅。 被感染的電腦,若有定期備份,還可從備份中找到最新版的資料,若是沒有定期備份,可嘗試使用Shadow Explorer軟體復原檔案,不過,僅能回覆部分內容,而且過程相當繁瑣費工,這套軟體僅適用Windows XP SP2以上的版本。 為了回復檔案,受害者最後的選擇,就是支付贖金,使用者亦可從BIOS中將系統時間往前調整,為自己爭取最後一搏的機會。根據已經支付贖金的受害者指出,駭客會在3~4小時內確認款項,然後開始解密,解密過程則依據檔案大小、內容,所需的時間長短不一。 根據McAfee發布的2013年第二季安全威脅報告,可以發現勒索軟體在今年大量出現,2012年第四季被發現的勒索數量不到10萬支,今年第一季則增加至15萬支,第二季更是32萬支,沈志明表示,勒索軟體的數量一直都很多,但從今年開始,數量呈現倍數增長的幅度。 由此可見,使用者必須更謹慎提防釣魚信件中的檔案,平常也要養成資料定期備份的習慣。 預防社交工程 2012 第4季 10萬支 2013 第1季 15萬支 2013 第2季 32萬支 快速成長 防毒軟體 中斷網路連線 防止散布 資料備份

8 Android手機出現更多勒索軟體 iThome 去年底一款被稱為史上最囂張的勒索軟體CryptoLocker,透過將電腦裡的檔案加密,藉此勒索使用者付費300美元,包括臺灣在內等多家國內外公司、企業都深受其害。 名為Simplocker的惡意木馬程式出現Android平臺上,一旦使用者安裝上此款惡意App後,會將儲存於手機內的各式文件、照片、影片加密,造成資料無法開啟使用,必須要求支付22美元贖金才能復原。

9 不給錢就讓手機變磚塊 趨勢 Reveton是純粹的勒索軟體,它具有系統層級的存取能力,能導致受害者的手機無法運作。被害者為了讓手機恢復原狀,必須透過歹徒指定的付款機制支付300美元贖金,才能取回手機使用權。 被害者為了讓手機恢復原狀,必須「透過難以追查的付款機制」(如Paysafecard或Ukash)來支付300美元。 並不像一般電腦上的CryptoLocker勒索軟體 Ransomware會加密手機上的所有資料,行動版Reveton是純粹的勒索軟體。「它在所有介面和使用者介面中加入一中介程式,」 因為惡意軟體具有系統層級的存取能力,所以使用者無法做任何事情。 手機可能會因為瀏覽受感染的色情網站而被面臨到勒索軟體,Botezatu解釋。不過需要經過一些使用者的互動才可以將這惡意應用程式安裝到手機上。

10 趨勢科技 2015 年暨未來預測 - 隱藏的威脅浮上檯面
新的行動交易支付方法將帶來全新威脅。 將見到更多試圖利用開放原始碼應用程式漏洞的攻擊。 IoE/IoT 裝置的科技多樣性將使得它們免於大規模廣泛性攻擊,但這些裝置所處理的資料可就沒這麼幸運。 未來將出現更嚴重的網路銀行及其他金融相關威脅。

11

12 學校網站管理 之安全防護實務

13 問題討論 1 您最覺得困擾的學校網站管理問題是?

14 從存取來看風險

15 從網路架構來看 DMZ Server Farm PCs Internet

16 檔案存取控制基本概念

17 Hacking 有多簡單? Google Hacking! 攻擊的門檻到底有多低呢?利用Google Hacking這樣的手法,就可以對一個網站進行攻擊。 幾個簡單的 google 搜尋指令應用: Filetype:pdf site:www.ntpc.edu.tw filetype: xls password 密碼表ext:xls inurl:/admin/login.asp site:www.abc.com.tw

18 範例: Filetype:pdf site:www.ntpc.edu.tw

19 範例: 密碼表ext:xls

20 Google Hacking 測試 請參考前述 google 指令來查查學校網站裡有沒有什麼發現? 溫馨小提醒:
請不要去嘗試撈別人家的秘密或嘗試登入/連線行為,這樣會違法的喲!

21 OWASP Top 10十大網站安全弱點 A1 – Injection(注入攻擊)
A2 – Cross Site Scripting (XSS)(跨站腳本攻擊) A3 – Broken Authentication and Session Management(身分驗證功能缺失) A4 – Insecure Direct Object References(不安全的物件參考) A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求) A6 – Security Misconfiguration(安全性設定疏失) A7 – Failure to Restrict URL Access(限制URL存取失敗) A8 – Unvalidated Redirects and Forwards(未驗證的導向) A9 – Insecure Cryptographic Storage(未加密的儲存設備) A10 – Insufficient Transport Layer Protection(傳輸層保護不足)

22 A1 – Injection(注入攻擊) 網站應用程式執行來自外部包括資料庫在內的惡意指令,SQL Injection與Command Injection等攻擊包括在內。因為駭客必須猜測管理者所撰寫的方式,因此又稱「駭客的填空遊戲」。

23 A1 – Injection(注入攻擊) 舉例來說,原本管理者設計的登入頁面資料庫語法如下: $str = "SELECT * FROM Users WHERE Username='“.$user."' and Password=‘”.$pass."'“; 如果說$user以及$pass變數沒有做保護,駭客只要輸入「’ or ‘‘=’」字串,就會變成以下: $str = “SELECT * FROM Users WHERE Username='' or ''='' and Password= '' or ‘’=‘’”; 如此一來,這個SQL語法就會規避驗證手續,直接顯示資料。

24 A1 – Injection(注入攻擊) 簡述駭客攻擊流程: 找出未保護變數,作為注入點 猜測完整Command並嘗試插入
推測欄位數、Table名稱、SQL版本等資訊 完整插入完成攻擊程序 

25 A1 – Injection(注入攻擊) 防護建議:
使用Prepared Statements,例如Java PreparedStatement(),.NET SqlCommand(), OleDbCommand(),PHP PDO bindParam() 使用Stored Procedures 嚴密的檢查所有輸入值 使用過濾字串函數過濾非法的字元,例如mysql_real_escape_string、addslashes 控管錯誤訊息只有管理者可以閱讀 控管資料庫及網站使用者帳號權限

26 A2 – Cross Site Scripting(XSS)(跨站腳本攻擊)
網站應用程式直接將來自使用者的執行請求送回瀏覽器執行,使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。 此為目前受災最廣的攻擊。攻擊流程如下圖: 受害者登入一個網站 從Server端取得Cookie 但是Server端上有著XSS攻擊,使受害者將Cookie回傳至Bad Server 攻擊者從自己架設的Bad Server上取得受害者Cookie 攻擊者取得控制使用受害者的身分

27 A2 – Cross Site Scripting(XSS)(跨站腳本攻擊)
防護建議: 檢查頁面輸入數值 輸出頁面做 Encoding 檢查 使用白名單機制過濾,而不單只是黑名單 PHP 使用 htmlentities 過濾字串 .NET使用 Microsoft Anti-XSS Library OWASP Cross Site Scripting Prevention Cheat Sheet 各種XSS攻擊的Pattern參考

28 A3 – Broken Authentication and Session Management(身分驗證功能缺失)
網站應用程式中自行撰寫的身分驗證相關功能有缺陷。例如,登入時無加密、SESSION無控管、Cookie未保護、密碼強度過弱等等。 例如: 應用程式SESSION Timeout沒有設定。使用者在使用公用電腦登入後卻沒有登出,只是關閉視窗。攻擊者在經過一段時間之後使用同一台電腦,卻可以直接登入。 網站並沒有使用SSL / TLS加密,使用者在使用一般網路或者無線網路時,被攻擊者使用Sniffer竊聽取得User ID、密碼、SESSION ID等,進一步登入該帳號。

29 A3 – Broken Authentication and Session Management(身分驗證功能缺失)
管理者必須做以下的檢查: 所有的密碼、Session ID、以及其他資訊都有透過加密傳輸嗎? 憑證都有經過加密或hash保護嗎? 驗證資訊能被猜測到或被其他弱點修改嗎? Session ID是否在URL中暴露出來? Session ID是否有Timeout機制?

30 A3 – Broken Authentication and Session Management(身分驗證功能缺失)
防護建議: 使用完善的 COOKIE / SESSION 保護機制 不允許外部 SESSION 登入及修改資訊頁面使用 SSL 加密 設定完善的 Timeout 機制 驗證密碼強度及密碼更換機制

31 A4 – Insecure Direct Object References(不安全的物件參考)
攻擊者利用網站應用程式本身的檔案讀取功能任意存取檔案或重要資料。進一步利用這個弱點分析網站原始碼、系統帳號密碼檔等資訊,進而控制整台主機。 例如: 防護建議: 避免將私密物件直接暴露給使用者 驗證所有物件是否為正確物件 使用Index / Hash等方法,而非直接讀取檔案

32 A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求)
已登入網站應用程式的合法使用者執行到惡意的HTTP指令,但網站卻當成合法需求處理,使得惡意指令被正常執行。 舉例來說,攻擊者在網站內放置了 <img src=”http://server.com/send.asp?to=...”> ,受害者讀取到此頁面之後,就會去server.com主機執行send.asp惡意行為。 例如 Web 2.0 時代的社交網站等等,都是 CSRF 攻擊的天堂。

33 A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求)
防護建議: 確保網站內沒有任何可供XSS攻擊的弱點 在Input欄位加上亂數產生的驗證編碼 在能使用高權限的頁面,重新驗證使用者 禁止使用GET參數傳遞防止快速散佈 使用Captcha等技術驗證是否為人為操作 或者參考OWASP所提供的CSRF Solution OWASP CSRFTester Project OWASP CSRFGuard Project OWASP CSRF Prevention Cheat Sheet

34 A6 – Security Misconfiguration(安全性設定疏失)
系統的安全性取決於應用程式、伺服器、平台的設定。因此所有設定值必須確保安全,避免預設帳號、密碼、路徑等。甚至被 Google Hacking 直接取得攻擊弱點。 防護建議: 軟體、作業系統是否都有更新到最新版本?上最新Patch? 不需要的帳號、頁面、服務、連接埠是否都有關閉? 預設密碼是否都有更改? 安全設定是否都完備? 伺服器是否都有經過防火牆等設備保護? 各種設備、系統預設密碼都可在網路上找到一些整理資料。  http://www.phenoelit-us.org/dpl/dpl.html  http://www.routerpasswords.com/  http://www.defaultpassword.com/

35 A7 – Failure to Restrict URL Access(限制URL存取失敗)
網頁因為沒有權限控制,使得攻擊者可透過網址直接存取能夠擁有權限或進階資訊的頁面。例如管理介面、修改資料頁面、個人機敏資訊頁面洩漏等等。 舉例來說,  /admin  /backup  /logs  /phpmyadmin  /phpinfo.php  /manage 這些都是常見的路徑及檔案。攻擊者只要猜測到,就可以操弄主機。

36 A7 – Failure to Restrict URL Access(限制URL存取失敗)
防護建議: HTTP Service直接限制來源 IP 使用防火牆阻擋 密碼授權加密頁面 網站架構最佳化

37 A8 – Unvalidated Redirects and Forwards(未驗證的導向)
網頁應用程式經常將使用者 Forward 或 Redirect 至其他頁面或網站,沒有驗證的機制。攻擊者可將受害者導向至釣魚網站或惡意網站,甚至存取受限制的資源。 例如: 防護建議: 非必要時避免使用 Redirect 及 Forward 驗證導向位置及存取資源是合法的

38 A9 – Insecure Cryptographic Storage(未加密的儲存設備)
網站應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。加密演算法是安全防護的最後一道防線,當駭客取得了帳號密碼,可以簡單地使用一些破解軟體甚至線上服務進行破解。例如Cain & Abel,MD5 Reverse Lookup等。 防護建議: 使用現有公認安全的加密演算法 減少使用已有弱點的演算法,例如MD5 / SHA-1,甚至更簡單的加密法 安全的保存私鑰

39 A10 – Insufficient Transport Layer Protection(傳輸層保護不足)
網頁應用程式未在傳輸機敏資訊時提供加密功能,或者是使用過期、無效的憑證,使加密不可信賴。 例如:攻擊者竊聽無線網路,偷取使用者cookie;網站憑證無效,使用者誤入釣魚網站。 防護建議: 盡可能的使用加密連線 Cookie使用Secure Flag 確認加密憑證是有效並符合domain的 後端連線也使用加密通道傳輸

40 A10 – Insufficient Transport Layer Protection(傳輸層保護不足)
Cookie Secure Flag設定: PHP setcookie ("TestCookie", "", time() , “/", ".example.com", 1); JSP cookie.setSecure(true); ASP.NET cookie.Secure = True;

41 網路弱點掃描 利用自動化工具檢查網路環境中設備和系統是否存在已知的弱點 可自我檢測或委外進行測試 並非一勞永逸,需要定期進行測試
從網際網路和區域網路測試的結果會有所不同 常見的類型包括:通訊埠掃描、弱點掃描、網站掃描、無線掃描及資料庫掃描…等

42 常用漏洞掃描工具 工具類型 工具名稱 網路、主機弱點掃描 Nessus OpenVAS CoreImpact NeXpose
GFI LanGuard QualysGuard 網站、網頁程式弱點掃描 Burp Suite Nikto w3af Paros proxy Acunetix WebInspect 無線網路弱點掃描 Aircrack Kismet NetStumbler inSSIDer KisMAC

43 Nessus-官網

44 Paros Proxy 軟體名稱:PAROS PROXY 網站:(www.parosproxy.org) 功能:網站弱點掃描和偵測能力
軟體類別: 免費軟體

45 弱點檢測工具示範

46 網站如何防駭? 頁面可輸入欄位的定義與驗證 SQL Injection、XSS攻擊
導入認證與加密機制 Cookie、session 偽造與劫持 清除網站上多餘檔案、元件 建立網站錯誤訊息定義與重新導向 軟體升級與修補 上傳資料審查與限制手動修改網址

47 資訊安全服務相關的單位 技術服務中心資安論壇網站 (forum.icst.org.tw/phpBB2/index.php)
公佈最新資訊安全相關訊息 資訊安全基礎知識討論 提供系統安全及漏洞相關討論 提供資訊安全工具討論 提供資訊安全活動討論

48 資訊安全服務相關的單位(cont.) 中華民國資訊安全學會 (www.ccisa.org.tw) 從事資訊安全之研究
協助政府研議資訊安全相關標準 鼓勵學術單位從事該指定領域之研究 舉辦國內資訊安全教育訓練會 參與國際性資訊安全學術活動

49 資訊安全服務相關的單位(cont.) 資通安全區域聯防中心 (www.sss.org.tw) 接受並處理政府及學術單位之資安服務申請
訂定資安相關文件 蒐集資安相關的軟體工具 舉辦國內資訊安全教育訓練會

50 資訊安全服務相關的單位(cont.) 台灣電腦網路危機處理中心 (www.cert.org.tw) 接受並處理各單位之資安服務申請
公佈最新資訊安全相關訊息 舉辦資訊安全相關之訓練會 提供技術討論專欄之資訊

51 資訊安全服務相關的單位(cont.) 網路安全危機處理研發中心 (gsn-cert.nat.gov.tw) 公佈最新資訊安全相關訊息
電腦緊急事故處理建議 與學者專家或業者合作,尋求電腦弱點的解決方案 舉辦資訊安全相關之訓練會

52 個人電腦安全管理面面觀

53 個人電腦安全 個人電腦安全可分為兩個層面: 系統安全 資料安全 孰輕孰重?

54 系統安全 何謂安全? 系統安全與網路安全 個人電腦網路安全與伺服器網路安全有何不同?

55 資料安全 資料竊取途徑有哪些? 系統一旦被入侵,資料將無所遁形 ! 防堵辦法有哪些? 資料安全與系統安全密不可分

56 帳號、密碼是什麼? 在網路世界,您使用的帳號及密碼相當於您的身分證 若被人盗用帳號、密碼就是被人盜用網路上的身份證 被盜用的後果
您使用的資料可能外流或被惡意破壞 可能導致工作不保或受牢獄之災 56

57 密碼設定的安全性( 2 core CPU ) 密碼遭破解之統計數據 密碼設定要穩固 加強密碼的強度 定期更換不暴露 密碼長度 26 英文字母
52大小寫 英文字母 52大小寫英文字母+10 數字 96 可印出字元 4 2 秒 8 秒 5 4 秒 90 秒 13 分鐘 6 30 秒 3 分鐘 90 分鐘 22 小時 7 3 小時 4 天 87 天 8 348分鐘 6 天 253 天 23 年 9 322 天 51 年 2100年 10 163天 45838 年 1159 年 15萬年 密碼設定要穩固 加強密碼的強度 定期更換不暴露 Intel 提供之密碼測試網站: https://www-ssl.intel.com/content/www/tw/zh/forms/passwordwin.html

58 如何保護密碼? 第一招 選擇好的密碼 好的密碼 不好的密碼 >= 8 個文數字 不是有意義的字 字母大小寫加文數字混合
Xup654m/3 不好的密碼 NewTaipei 58

59 如何保護密碼?(續) 第二招 不要讓別人知道您的帳號與密碼 不要將帳號密碼寫在明顯的地方 密碼輸入? 明碼張貼!!
不要將密碼貼在螢幕、鍵盤、桌面或隔板上 不要和別人共同持有同一組帳號及密碼 密碼輸入? 明碼張貼!! 59

60 如何保護密碼?(續) 第三招 使用電腦要設定螢幕保護 設定密碼保護 設定10分鐘後自動啟動螢幕保護 定期更換密碼 10 60

61 如何保護密碼?(續) 第四招 使用完應用系統立即登出 (Log-off或Logout) 61

62 如何保護密碼?(續) 第五招 在機關與家裡不要使用相同的密碼 一般來說,家中電腦的保護程度較差 萬一被入侵或截取可能危及機關的資通安全 62

63 如何保護密碼?(續) 第六招 不要使用系統自動儲存密碼功能 瀏覽器大多有自動儲存帳號與密碼功能
萬一有人能夠使用您的電腦就可以自動登入應用系統 63

64 檔案備份 除了惡意入侵,導致資料外流或遭破壞,是否還有其他可能? 所以必須養成檔案備份的好習慣

65 系統在網路之安全性 系統更新 防毒軟體安裝與病毒碼更新 個人防火牆的架設 IE與網路安全

66 系統更新 最方便的好朋友 Windows Update ! 修補系統先天存在的漏洞

67 防毒軟體 安裝與病毒碼更新

68 個人防火牆的架設 若是直接連接Internet的電腦,建議開啟防火牆功能。反之,區域網路內的電腦若開啟防火牆功能則會妨礙與區網內其他電腦的存取 如何設計?

69 IE與網路安全 IE ActiveX 安全層級的設定 過濾危險網站 Cookie 紀錄(History) 自動填充功能

70 IE ActiveX ActiveX是微軟所推出的一項網站技術,遵從此一技術所開發出來的Windows元件,可以不必安裝其他的程式,就能與使用者透過網路建立互動關係 透過這樣的一個網路互動技術,使用者可以得到視覺化的網路互動效果

71 Cookie Cookie可以將使用者的資料保留在使用者的電腦裡,其中會保留部分的個人喜好與設定,甚至是個人的網站密碼或個人資料,當又再一次瀏覽到該網站時,Server就會從以前留下的Cookie中讀取相關資訊,為使用者提供個性化的服務,以及完成相關的輸入操作

72 資料在單機使用之安全性 BIOS密碼設定 螢幕保護程式應用 Microsoft網路登入介紹 資源分享密碼設定

73 檔案的隱私 NTFS與檔案安全 設定檔案的安全性 檔案與資料夾加密

74 設定檔案的安全性 簡單模式 只限於「我的文件」資料夾 進階模式 可與某人共享指定的資料夾

75 檔案與資料夾加密 加密資料夾時,系統會詢問是否加密其中的所有檔案及其子資料夾 加密某一檔案時,則會詢問是否加密其所在的資料夾

76 如何解密? 可分為以下三種情況: 加密後沒有透過「電腦管理」修改使 用者密碼 使用者是網域中的漫游用戶 非網域使用者在其他電腦上使用加密
檔案 「數位憑證」(certmgr.msc)

77 設定重要資料夾的位置 個人文件夾(我的文件) Outlook Express 如何匯入?

78 備份「我的最愛」和「通訊錄」 IE Outlook Express 匯出與匯入

79 製作備份 「開始」→「所有程式」→「附屬應用程式」→「系統工具」→「製作備份」 備份與還原 進階設定

80 公務用個人電腦資安基本環境檢測工具 國家資通安全會報 技術服務中心提供 目的 適用作業系統平台
提供免安裝之檢測工具,供公務同仁瞭解其所使用之公務用個人電腦於基本設定、防毒軟體、套裝軟體、安全性更新及組態設定等5類基本資安環境之現況,以為各該機關瞭解其資安現況及尋求提升資安防護之參據 適用作業系統平台 Windows 7 Windows Vista Windows XP Windows Server 2003 Windows Server 2008

81 檢測內容 檢測範圍 檢測報表 電腦基本資訊 防毒軟體資訊 安裝軟體清單 資安基本環境(組態設定) 未安裝安全性更新 產生PDF檔
產生XML檔 產生XLS檔

82 執行步驟 1 Vista 、Win 7及Win Server 2008需以系統管理員身分執行 EnvSensor.exe
請按右鍵選取「以系統管理員身分執行」

83 執行步驟 2 1. 勾選選項 2. 點擊開始檢測 同意使用聲明 開始檢測

84 執行步驟 3 開始掃描

85 電腦基本資訊 電腦名稱 電腦IP 使用者帳號 作業系統 CPU規格 RAM規格 IE版本

86 防毒軟體資訊 已安裝的防毒軟體名稱 可識別防毒軟體名稱包含: Avira Kaspersky McAffee NOD 32 Norton
Trend Micro OfficeScan

87 安裝軟體清單 已安裝軟體名稱

88 資安基本環境(1/2) 結果統計圖 結果內容 項目詳細資料 圓餅圖 柱狀圖 規則名稱 行政院版設定值 目前設定值 比對結果 CCE ID
規範值 內容描述

89 資安基本環境(2/2) 政府共通組態(GCB) 項次 作業系統平台/應用程式 項數 1 Windows XP 153 2
Windows Vista 185 3 Windows 7 291 4 Windows Server 2003 119 5 Windows Server 2008 182 6 Internet Explorer 8 87 7 Internet Explorer 9 88 合計 1105

90 未安裝安全性更新 未安裝之安全性更新 發佈日期

91 掃描報表 產生PDF報表 PDF報表路徑 檢視PDF報表 產生XML檔案 產生Excel檔案

92 PDF報表 報表存放路徑: 建議使用Adobe Reader開啟PDF檔
%Temp%\SecurityChecker\report\Report.pdf 建議使用Adobe Reader開啟PDF檔

93 XML檔案 檔案存放路徑: %Temp%/SecurityChecker/report/ComparedScanResult.xml

94 Excel檔案 檔案存放路徑: %Temp%/SecurityChecker/report/ComparedScanResult.xls

95 Temp路徑 Windows XP Windows 7

96 問題討論 2 校園中有關個人電腦安全管理常見問題?

97 行動裝置之安全防範

98 何謂行動裝置?

99 行動裝置三大安全議題 系統管理 App 管理 資料管理

100 行動裝置平台簡介 Android IOS Windows Phone
Android是一個基於開放原始碼的Linux平台的作業系統,受Google及參與開放手機聯盟的主要硬體和軟體開發商(如Sony、宏達電、三星等)支援。 IOS iPhone、iPod Touch、iPad和Apple TV都是以源自OS X的iOS作為操作系統。 Windows Phone 微軟的行動作業系統,取代Windows Mobile。

101 行動裝置管理-管理問題 安全問題 潛在的未授權存取(遺失, 遭竊) 移動手持設備與企業內網連接不可控制 缺乏加密控制手段 敏感性資料易洩露

102 行動裝置管理-解決方案 Endpoint Manager for Mobile Devices 密碼安全遵從策略 設備資料加密 強制備份加密
禁用同步 按照公司安全性原則對公 司內網,郵件,應用程式進 行存取 假如設備丟失或者被竊, 可進行遠端抹除

103 行動裝置安全注意事項 - from 國家資通安全會報技服中心
保持機器的更新 保持軟體在最新版本:行動裝置上所執行的作業系統、安全軟體、應用程式(apps)及網頁瀏覽器,保持在最新的版本,是對抗惡意程式、病毒及其他線上威脅的最佳防禦方式

104 行動裝置安全注意事項 - from 國家資通安全會報技服中心
保護個人資料 保護設備安全:智慧型手機與平板電腦建議使用強固的密碼上鎖 保護帳戶安全:如果行動裝置提供雙因子驗證設定,請啟動該項功能。若曾在不熟悉的網路中進行存取行為後,請變更該帳號之密碼 使用應用程式考量:下載應用程式前,應瞭解該應用程式會存取與分享那些資訊(如位置、社群網路基本資料等) 備份:每週將行動裝置內的聯絡人、圖片、影像及其他資料,與其他裝置或雲端服務同步備份

105 假民調真蒐集個資

106 假民調真蒐集個資

107 簡訊也可以動手腳

108 簡訊也可以動手腳 接下來….. 以手機號碼申請小額消費 攔截認證碼簡訊 完成線上交易 取得聯絡人清單 發送更多惡意簡訊

109 行動裝置安全注意事項 - from 國家資通安全會報技服中心
小心連線 使用Wi-Fi熱點:當使用公共或不安全的無線連線時,避免使用需要個人資訊(如登入帳密)的網站與應用程式 停用自動連線:網路自動連線容易受到駭客或其他攻擊,因此,當不使用網路連線時,請關閉Wi-Fi與藍芽連線 有可疑,就不予考慮:當發覺可疑的線上通訊(包括文字、電子郵件、社群媒體郵件)時,即使知道來源,建議仍刪除線上通訊 保護財務:當使用網路銀行與網路購物時,使用僅受信任的應用程式與網站或加密連線(即以https://為開頭的網站)

110 攻擊原來可以這麼近

111 QR Code ?

112 行動裝置安全注意事項 - from 國家資通安全會報技服中心
良好的線上公民 黃金規則:當發送簡訊、打電話及在社群網路發表評論時,善待他人如同你想被善待一樣 小心分享:以行動裝置透過簡訊或社群網路分享包含朋友在內的圖片與影像時,應取得朋友的同意。 網路智者:取得最新的更新通知,並即時更新行動裝置與應用程式至最新版本。

113 Android安裝APP注意事項 安裝來源 該選項不要勾選 (當該選項為勾選時, 將有很大的風險下載 惡意程式。)
儘可能確保軟體來自 於合法的官方軟體商 店(如App Store、 Google Play)

114 Android安裝APP注意事項 注意星級與評等數
Google store 有提供星級與評等來了解APP的優劣狀況,但並非4星或5星就是好的APP,應該配合總評數及使用者評論,更進一步了解該APP的安全及可用度。 https://play.google.com/store/apps/details?id=com.gameloft.android.ANMP.GloftDMHM&hl=zh_TW https://play.google.com/store/apps/details?id=org.tonee.massager&hl=zh_TW

115 假的Flash程式 Google Play上出現假的Adobe Flash Player,是內含一堆廣告的惡意程式,請勿下載安裝!

116 Android安裝APP注意事項 查看APP存取權限
https://play.google.com/store/apps/details?id=org.tonee.massager&hl=zh_TW

117 蘋果App Store一定安全嗎? 蘋果首支惡意app發現!木馬程式偷取聯絡人資料 放送垃圾簡訊
(2012/07/06) iOS發生漏洞 惡意程式Jekyll突襲App Store成功 (2013/08/07)

118 行動裝置DEMO Android安裝惡意軟體 新 iOS 7.0.2 越修洞越多 [新聞]講解IOS7漏洞
https://www.youtube.com/watch?v=xEiLq3mgL9A 新 iOS 越修洞越多 鎖也沒有用!! https://www.youtube.com/watch?feature=player_embedded&v=fVpfdYYy1Dg 方法如下: 1. 用 Siri/Voice Control 撥電話。 2. 按 FaceTime 按鍵。 3. 當 FaceTime App 出現時按 Sleep。 4. 將 iPhone 解鎖。 5. 回應及終止 Facetime 通話。 6. 等數秒。 7. 現在你可以使用該 iPhone 的電話 App 打電話了! [新聞]講解IOS7漏洞

119 行動裝置安全設定檢核表

120 行動裝置安全設定檢核表(續)

121 行動裝置安全設定檢核表(續)

122 行動裝置安全設定檢核表(續)

123 行動裝置安全設定檢核表(續)

124 行動裝置安全設定檢核表(續)

125 行動裝置安全設定檢核表(續)

126 另一個應關注議題 - BYOD

127 推動BYOD的3大安全管控作法 員工使用自己的設備上班,對公司與員工都有好處,但前提就是要有完善的安全控管機制,要做好行動應用的完全管理,則可從行動裝置控管、虛擬桌面統一派送、雲端服務集中存取等3大做法下手。 企業讓員工自帶設備(Bring Your Own Device,BYOD)上班,是一個雙面刃的議題。員工使用自己的電腦或行動裝置對個人或公司都有好處,一方面員工使用自己喜歡、熟悉的設備,可以提升工作的生產效率,另一方面,公司不需要為員工採購相關的設備,可以節省成本。但缺點則是資訊安全控管的難題,因為企業勢必得面臨管理多種設備存取企業系統的挑戰。

128 推動BYOD的3大安全管控作法 行動裝置控管,避免手機資料外洩
最基本的作法是在手機安裝行動裝置管控軟體,許多資安廠商都已經跨足行動裝置管理這個市場,目前技術上都能做到遠端控管,例如當手機遺失的時候,可以自動鎖住手機,限制手機的使用,或者是直接刪除手機裏的資料,避免資料外洩的可能性。

129 推動BYOD的3大安全管控作法 桌面虛擬化,運算環境統一派送
透過桌面虛擬化的方式,可以讓員工以VPN安全的連線方式連回公司,系統即會推送虛擬桌面到使用者的行動裝置,讓使用者在獨立的環境中存取系統的資料。

130 推動BYOD的3大安全管控作法 雲端服務,存取控管集中處理
第三種企業推動BYOD的方式,是將企業內部的系統透過公有雲服務的方式,讓員工以自己的行動裝置存取。當企業把內部資料和系統都往公有雲上丟,所有員工認證也都由公有雲平臺進行認證,因此,不論員工使用私人或者是公司配發的任何裝置,都可以直接連上該服務取得所需資料、系統和服務。像是微軟的 Office 365 可滿足大部分中小企業的需求,所有應用都可以上網存取,如此一來,員工使用何種裝置就沒有差別了。

131 USB行動儲存裝置 行動儲存裝置具備以下特性: 體積輕巧 攜帶方便 儲存容量大 可任意連接任何電腦設備 隨插即用

132 USB行動儲存裝置 行動儲存裝置主要安全問題: 病毒感染、散布 資料外洩

133 USB行動儲存裝置病毒預防 電腦端: 停用「自動執行」登錄機碼 更新Windows 中自動播放的功能 安裝防毒軟體並定期更新 隨身碟端:
設立唯讀autorun.inf 變更隨身碟的圖示

134 USB行動儲存裝置資料遺失預防 重要資料不儲存於隨身碟 不以隨身碟做為資料唯一存放處 製作識別標籤並妥善保管 攜出時可考慮佩掛其他重要物品
不到處連接電腦 資料加密 定期清理隨身碟內的資料檔案

135 AxCrypt檔案加密軟體使用簡介 檔案(資料夾)加密 打開欲加密的檔案或資料夾,按右鍵→AxCrypt→Encrypt 。

136 AxCrypt檔案加密軟體使用簡介 在Enter passphrase鍵入密碼, Verify passphrase再輸入一次相同 密碼,Key-File則是除了密碼外, 再使用一個第三方的檔案作為鑰 匙檔。 若勾選Remember this for decryption,之後加、解密即不用 再輸入一次密碼(相對風險較高, 密碼亦容易忘記),若勾選Use as defalut for encryption,則未來加密 都使用目前設定,點選OK後即完 成加密。建議兩個選項皆不要勾 選,加密時自行鍵入密碼較不易 忘記。

137 AxCrypt檔案加密軟體使用簡介 完成加密的檔案會在原本副檔名後多加上.axx以識別為 AxCrypt加密後的檔案。
建議將所需加密之檔案置入同一資料夾,未來只要對資 料夾進行上述加密動作,資料夾內的所有檔案皆會被加 密,若已加密後的檔案則不再重複加密。 加密密碼請妥善保存,若遺失檔案則無法解密。

138 AxCrypt檔案加密軟體使用簡介 編輯檔案 打開加密後的檔案非常容易,對著以加密過的檔案點 兩下,輸入密碼後按OK後,即可打開該檔案。
編輯結束後,關閉檔案自動回到加密狀態,不須重新 加密。

139 AxCrypt檔案加密軟體使用簡介 解密 可直接對檔案或資料夾解密。 對著檔案或資料夾案右鍵→AxCrypt→Decrypt。

140 AxCrypt檔案加密軟體使用簡介 若是對資料夾解密,則將資料夾中的所有檔案皆解密 ,但若資料夾內的檔案是用不同密碼所加密的,此功 能將會要求使用者分別輸入密碼以解開所有檔案。

141 問題與討論! 林志勇 昇達價值管理股份有限公司


Download ppt "新北市教育研究發展中心 新北市資訊組長增能研習 - 校園及個人資安實務應用 - 昇達價值管理股份有限公司 簡報人:林志勇 經理"

Similar presentations


Ads by Google