資訊安全概論與實務 第一篇：認識問題.

Presentation on theme: "資訊安全概論與實務 第一篇：認識問題."— Presentation transcript:

1 資訊安全概論與實務 第一篇：認識問題

2 第一章 資訊安全概論

3 資訊科技與資訊安全的演進 資訊科技從1960年代才算正式開始。80年代初電腦還在較封閉的環境中由少數人操作，安全風險低。
80年代開始普及的個人電腦並未考慮存取控制，而且軟碟經常交換使用，資訊安全事件開始浮現。 90年代網際網路蓬勃發展，也為病毒與駭客提供絕佳的攻擊管道。 2000年之後，隨著電子商務蓬勃發展，攻擊電腦或網路的目的也從惡作劇轉變為非法利益之取得。

4 幾個誤導的觀念 推動資訊安全會增加工作負擔，並影響組織的正常作業。資訊安全事件不會這麼巧就發生在我身上吧！
資訊安全就是要花錢，一次把錢花夠了，就能建立一套完美無缺的防禦體系。 資訊安全靠產品，只要有功能強大的「防火牆 (firewall)」和「防毒軟體 (anti-virus)」就夠了。

5 人員若不遵守資訊安全程序，產品就無從發揮功效。
資訊安全的三個 P 人員若不遵守資訊安全程序，產品就無從發揮功效。 產品 (Product) 程序 (Process) 人員 (People) 資訊安全

6 資訊安全的三元素 實體安全 Physical Security 營運安全 Operational Security 資訊安全 三元素
Security triad 管理與政策Management and Policies

7 資訊安全的目標 資訊安全的目標 (Goals) 預防 (Prevention)：預防電腦或資訊被違規使用，事先預防比事後處理容易。
偵測 (Detection)： 事件發生時，要能夠即時的偵測到。 反應 (Response)： 發展策略與技巧來因應遭受的攻擊或造成的損失。

8 設計網路安全的四個考量 制定設計目標 建立安全區域 融入新科技 考量業務需要
制定目標時應考慮四項「安全元件 (security components)」。 建立安全區域 將複雜的網路環境切割成安全區域，便於管理區域間的通訊權限。 融入新科技 使用新科技常能有效的強化網路安全。 考量業務需要 各種安全的設計與努力，其目的不外乎保護組織的利益，降低風險。

9 資訊安全的四個元素 保密性 (confidentiality)：保密性的目的在防止未經授權的人或系統存 取資料或訊息。
完整性 (integrity)：完整性在於確保被使用的為正確資料，若資料不確 實或是遭到未經授權之人的竄改，組織將蒙受巨大損失。 可用性 (availability)：可用性在保護資料不致流失，無法使用的資訊等 於沒有資訊。如果網路或資料庫不能運作 (不論是受攻擊或只是意 外)，全組織的資訊都無法正常存取，業務也將停擺。 責任性 (accountability)：組織內有許多部門與個人，當事件發生時該由 誰負責處理必須明確規定。資料或系統的負責人應該在平時對所負責 之事、物持續地監看與紀錄。

10 多層次防禦方法 網路環境越來越複雜，在環境的每一層都可能有弱點。資訊安全要在 每一層都做適當的防禦。
只在個人電腦上安裝防毒軟體不算多層次防禦 (layered defense)；應該 在每台個人電腦、檔案伺服器、郵件伺服器上都裝防毒軟體，並在代 理主機上 (proxy server) 做內容篩檢，才算多層次防禦。 僅只設定使用者與檔案的存取權限不算多層次防禦；應該做到： 為所有檔案建立較細節的存取控制單 (access control list, ACL)。 以電腦系統來設定每位使用者對檔案的存取權限。 為存放資料的電腦規畫實體安全，避免資訊或系統遭竊取。 建立使用者登入機制，確保使用者身分之認證。 監控使用者對重要檔案之存取，並留下紀錄。