Ch5網路的安全與管理 網際網路的迅速發展,改變了傳統的工作模式,從個人、公司、學校及其他單位也感受到這種資訊力量影響,許多工作藉由網路的連接後,變成無遠弗屆的資訊世界,而且提升了整體資訊交換的效率。
5-1網路的安全問題 當網際網路成為資訊大量流通管道時,ㄧ些不該有的、令人擔憂的問題也隨之而來,由於網路四通八達且資料、資訊流通廣泛、其傳播速度迅疾,網路資訊的正確、合宜性、與私密性都是造成使用者不安的來源。
網路的安全問題可分為兩大類: 網路安全 資訊安全
網路安全的基本概念 11-1-1 網路通訊安全 11-1-2 網路資訊安全 11-1-3 網路素養與網路禮節 11-1-4 網路人身安全
5-1-1網路安全 自有網路世界以來,網路安全已變成大家熱門的話題,對於個人電腦遭到侵入而言,可能是損失一些檔案或資料,造成日後要使用此資料或檔案的不便。如果是企業或公司的電腦遭到入侵,那可能會是一筆巨額金錢的損失,嚴重的話可能這家公司會關門大吉,因此網路安全的防範就更顯的重要。
網路有哪些安全的威脅呢: 安全威脅 系統漏洞 入侵 犯罪
11-1-1 網路通訊安全 惡意程式(Malicious Code) 惡意程式是指所有不懷好意的程式碼。 例如:電腦病毒、電腦蠕蟲、特洛伊木馬程式、後門程式、間諜軟體等。
11-1-1 網路通訊安全 電腦病毒(Computer Virus):是指一種具有自我複製與傳染特性的電腦程式。 電腦蠕蟲(Worm):可以自我複製出許多「分身」,並透過網路連線或電子郵件進行散播。 特洛伊木馬(Trojan Horse):是一種透過網路的遠端遙控程式,通常潛伏在惡意網頁中,或是偽裝成有趣的小程式。
11-1-1 網路通訊安全 各種惡意程式比較
11-1-1 網路通訊安全 怪客入侵(Cracker) 怪客是指一群未經許可便透過網路入侵他人電腦系統,進行竊取機密資料或去篡改資料等犯罪行為的人。 駭客(Hacker)則是指熱衷於程式撰寫與熟悉作業系統的專業人士,他們並不會惡意破壞他人電腦。
11-1-1 網路通訊安全 常見的怪客攻擊大致可分為: 散布惡意程式:散布惡意程式,藉此盜取他人機密資料以獲取不法利益。 入侵網站:透過網路入侵他人的網站或電腦系統,篡改或盜取資料或紀錄。 殭屍網路(BotNet):透過網路散播木馬程式,待集結大批受感染的電腦,形成殭屍網路後,再遠端操控這些被控制的電腦,使其成為犯罪工具,進行惡意的攻擊行為。
11-1-1 網路通訊安全 阻斷服務攻擊(Denial of Service, DoS):主要目的是癱瘓系統主機或網站,使其無法正常運作。 零時差攻擊(Zero-day Attack):是指電腦怪客利用尚未被發現或公開的軟體安全漏洞,進行植入惡意程式等攻擊行為。 網站掛馬攻擊:會設立一個網站或部落格,吸引民眾瀏覽,或是在一般正常網站中植入隱藏性的惡意程式。
11-1-1 網路通訊安全 網域名稱伺服器攻擊:會擅改網域名稱伺服器上的資訊,達到誤導使用者的目的。 跨站腳本攻擊(Cross-Site Scripting, XSS):是一種網頁漏洞攻擊方式,電腦怪客利用合法網站上的漏洞,在某些網頁中插入惡意的HTML與Script語言,藉此散布惡意程式,或是引發惡意攻擊。
11-1-1 網路通訊安全 如何預防電腦病毒與惡意軟體 不使用來路不明的檔案或盜版軟體。 在電腦中安裝防毒軟體與間諜軟體防護程式,將防毒軟體設定為經常性地進行掃描,並時時更新防毒軟體的病毒碼。 下載網路上的檔案時,先對該檔案進行掃毒的動作。
11-1-1 網路通訊安全 資料要經常備份,避免資料因為中毒而損毀。 不要隨便開啟來路不明的電子郵件。 隨時注意特殊檔案(例如:COMMAND.com、EMM386.exe、WIN.com、SMARTDRV.com等)的長度與日期,以及記憶體使用情形,並重視電腦系統所發生的異狀。
5-1-2資訊安全 資訊安全就是為了確保資料傳遞或是資料儲存的正確性並不會被他人有意或無意的破壞或是竊取,達到資料安全防護和管理程序的方法。而為害資訊安全的方式有電腦硬體故障、軟體設計不良、人為過失、天然災害及電腦犯罪,為了防止這些災害發生,資訊安全的相關措施就越顯的重要。
資訊安全的種類有: 實體安全:門禁、網路線、硬體設備、消防設備等。 資料安全:資料備份、資料加密、權限分級、密碼設定、人員記錄等。 程式安全:限制非法軟體使用。 系統安全:使用者資訊安全教育訓練及定期檢查管理。
資訊安全的防範有 偶發事件防範 蓄意破壞防範 資料備份原則 密碼使用原則 架設防火牆 資料加密解密 憑證管理
偶發事件防範 定期或不定期。 備份資料不可放置同一個地點。 人員門禁管制及管制使用。 定期維護硬體減少硬體故障。
蓄意破壞防範 設定使用者權限及密碼以限制未授權使用者。 使用加密及解密技術。 安裝防毒軟體。 設置防火牆。 使用光纖網路連接。
資料備份原則 完整及正確備份資料。 資料備份維持三代以上。 備份資料注意實體安全。 定期測試備份資料以維持可用性。
密碼使用原則 密碼設定不要少於六個字元,且數字文字交叉使用。 不同系統或機器使用不同密碼。 不可使用單字、縮寫字等。 不可使用家人、自己的生日、電話或身分證號。 不可紀錄於紙張或檔案中。 不定期變更密碼。
架設防火牆 防火牆為硬體設備或軟體程式,做為內部網路與外部網路隔離的一個安全機制。
架設防火牆 用來加強網路之間存取的硬體或軟體的安全機制。 資料傳遞經過防火牆確定資料可更加安全。 具有雙向的安全管理機制。 可加強內部網路安全。 避免外界入侵。
資料加密解密
憑證管理 憑證管理中心(CA)為一個具公信力的第三者,對個人、機關提供認證及發證。 網路憑證個人或團體申請,可做為網路身份識別。 網路憑證可做為個人或團體的公開鑰匙。
11-1-2 網路資訊安全 網路謠言 網路謠言是一種未經證實的訊息,它可能引起相當可怕的效應。 一般民眾在收到網路謠言訊息時,可能沒有深入追查其來源與真實性,而又流傳給更多人知道,無心成為散布謠言的幫凶。
11-1-2 網路資訊安全 網路上流傳許多謠言,一時之間很難分辨其內容真假,若沒有審慎查證,就任意轉寄不實謠言,當謠言內容涉及某產品、公司行號或品牌時,就有可能涉及誹謗、散布不實訊息等法律責任。 當收到存疑的電子郵件內容時,可以在網路上搜尋相關資訊。
11-1-2 網路資訊安全 垃圾郵件 是指未經電子郵件收信者同意或訂閱而大量寄發的電子郵件。 使用具過濾郵件功能的收信系統。 不在網站上公開自己的電子郵件地址。 不要回覆垃圾郵件,也不要點選廣告信中的連結或網站。 不轉寄連鎖信或幸運信等垃圾信件給他人。
11-1-2 網路資訊安全 網路隱私權 個人的姓名、身分證字號、病歷、財務資料,或者是在網路上所交談的對話、匿名所發表的文章等,都屬於網路隱私權應保障的內容。 在瀏覽或使用網站時,不要輕易洩露個人的資料,不要進入一些不知名的網站,才能避免隱私權外洩。
11-1-2 網路資訊安全 現在很多網站都會宣告該網站對資訊隱私權的使用原則,或是保護政策。
11-1-3 網路素養與網路禮節 網路素養 具備了解網路資源、應用網路資源、檢索、處理、利用和評估網路資源的能力。 網路素養尚須加入網路禮節的概念,包括了:使用者是否明瞭在網路上該怎麼說話、該怎麼自律、怎樣才不會觸犯法條的規範等。
11-1-3 網路素養與網路禮節 網路禮節(Netiquette) 網路禮節是指網路世界中的禮儀規範,主要是在使用的過程中,使用者彼此間的互動禮儀。 在網路上我們應遵守一些基本的規範,例如:尊重他人的隱私權、尊重著作權、不散播謠言、勿從事非法行為等。
11-1-3 網路素養與網路禮節 寄送電子郵件時記得給對方尊稱及署名。 未經當事人同意,請勿將私人往來的電子郵件公布於網路上。 不傳送「連鎖信」、「幸運信」或是來路不明的「病毒警告信」。 要將文章及資訊再轉寄給朋友,別忘了先將他人的基本資料刪除。
11-1-3 網路素養與網路禮節 使用即時通訊交談時,一次不要輸入太多的文字,應該讓對方有回應的機會。 使用即時通訊或聊天室交談時,儘量不要使用縮寫,例如:886(拜拜囉!)等。 使用留言板或討論區時,避免發出不適合的言論。批評要委婉,避免失禮或不當的言論,對自己的言論要負責。
11-1-3 網路素養與網路禮節 不在聊天室解決私人事務、不強迫他人回答你的問題。 對方在輸入密碼時,不應有窺視的動作,以尊重對方的隱私權。
11-1-4 網路人身安全 認識網路沉迷 若發現自己在使用網路時,沒辦法控制使用時間,一上網便無法停止,且若是想要上網,卻沒辦法上網時,就會變得焦躁不安、易怒、沮喪等情形發生時,那麼可能得了網路沉迷或成癮症(Internet Abuse or Addiction Disorder)了。
11-1-4 網路人身安全 網路沉迷的原因 尋求自我認同 人際關係的渴求 體驗新生活型態 好奇心的推動 同儕的壓力 偶像的崛起
11-1-4 網路人身安全 網路沉迷的影響 近視加深、眼乾、眼酸、肩膀酸痛、睡眠不足、飲食不正常等,且長時間坐在電腦前可能還會導致血管栓塞、中風、過勞死等。 會變得憂鬱、注意力缺損、無成就感等,嚴重者甚至還會導致社交退縮、自我封閉等人格問題。 影響功課、延誤上學時間、人際關係疏離、生活作息不正常、語文能力退化等問題。
11-1-4 網路人身安全 網路沉迷的預防 正確地使用網路,若發現自己有了網路沉迷等徵兆時,請加強自己的人際關係與溝通技巧,多接觸人群。 詳細規劃自己的生活目標與學習時間,不要過度使用網路。 多參與家庭活動並培養正當的休閒娛樂,多參與正向的資訊活動。
11-2 網路犯罪與相關法規 11-2-1 網路服務犯罪 11-2-2 網路破壞行為 11-2-3 網路侵權
11-2-1 網路服務犯罪 網路詐欺 網路詐欺是網路上最常見的犯罪行為。
11-2-1 網路服務犯罪 常見的網路詐騙手法 個人資料保護 網路交友詐騙 網路綠卡抽獎 網路援交詐騙
11-2-1 網路服務犯罪 網路色情 常見的網路色情犯罪事件,是利用網路散播色情圖片。 觸犯刑法第234條的公然猥褻罪,以及刑法第235條之散布、販賣猥褻物品及製造持有罪等。
11-2-1 網路服務犯罪
11-2-1 網路服務犯罪 網路援交 網路援交是指透過網路散播訊息,以尋求提供性服務來換取金錢的援助交際行為。
11-2-1 網路服務犯罪 網路不當言論 在網路上以公開或匿名方式發表不實報導、網路恐嚇、公然毀謗或辱罵他人、侵犯他人權益、妨害他人名譽等,都可能觸犯刑法的公然侮辱罪、誹謗罪,或是恐嚇罪等。
11-2-1 網路服務犯罪
11-2-1 網路服務犯罪 網路賭博 在網路上架設網頁,並提供賭博網站之功能,供群眾上網賭博財物者,就會觸犯刑法第268條的賭博罪。
11-2-2 網路破壞行為 入侵他人網站 可能觸犯刑法第358條之入侵電腦或其相關設備罪,及第359條的破壞電磁紀錄罪。
11-2-2 網路破壞行為 散布電腦病毒 在網路上散播電腦病毒,致使他人的電腦當機、檔案毀損或硬碟格式化等情形。
11-2-3 網路侵權 侵害他人智慧財產權 若是未經所有權人同意,是不能任意引用或改製的,以免不小心觸法。
11-2-3 網路侵權 他人著作的合理使用權 獲得同意權:使用他人著作時一定要先獲得對方同意。 註明資料出處:使用他人著作時,應清楚註明出處、作者、書名、出版商等。 合理的引用量:著作權法並無明文規定合理的引用量,故在引時,最好是在授權書中約定。
11-2-3 網路侵權 注意著作標示:「××公司 版權所有© 2000-2009 All Rights Reserved.」,這段文字指的是該公司對於該著作於上述期間享有著作財產權。
11-2-3 網路侵權 網路販賣盜版光碟
11-2-3 網路侵權 販賣個人資料 基於個人網路隱私權的保障,任何人均不得在未經當事人同意下,擅自蒐集個人資料供作其他用途或販售他人圖利。 若是非法蒐集並販售個人資料,則已觸犯電腦處理個人資料保護法第18、19條之規定,並須處以第33條之罰則。
11-2-3 網路侵權
5-2網路的安全措施與管理 網路發展至今,事實上「網路」是安全的,網路世界中的電話線、電纜、或是光纖的組合,「網路」其實沒有什麼危險性。網路不安全的問題大都是人為因素所造成,網路傳遞資料是否遺失、毀損、或是被人截取盜用等 。 技術層面社會層面(使用者)無心之過軟體設計不良、當機、病毒忘記密碼、人為疏忽惡意為之密碼破解、病毒、 木馬駭客、職員故意破壞
5-2-1 系統管理者安全措施 系統管理者應由主管人謹慎評估後,交付可以信賴之人。 需負責網路安全規範之訂定,執行網路管理之設定與操作,確保資料安全。 負責規劃使用者帳號及製發帳號,提供授權之使用者使用。 開放業務有關人員可遠端登錄內部系統服務,且嚴格身分辨識。 保留所有人員登入登出紀錄,且只能由系統之終端機登入系統。 未經使用者同意,不得新增、刪除、修改他人資料、亦不得變更稽核資料檔案。
5-2.2 使用者安全措施 只能在授權的範圍存取資料。 應遵守網路安全規定,了解權利及義務以及相關法規。 不可將帳號及密碼交付他人使用。 禁止任何方式竊取他人之帳號及密碼。 禁止使用任何工具或軟體竊聽網路通訊。 禁止使用未經授權的檔案或程式。 不得於網路散播色情文字、圖片、影音檔案。 禁止發送垃圾郵件。 禁止偽造他人身份發送檔案或文件。 不得蓄意干擾或妨礙網路系統,造成系統癱瘓。 應確實遵守網路連線作業程序及網路安全之規定。
個人的安全防護如下: 使用密碼管理電腦使用者,並且密碼避免過於簡單或容易猜測。 不要隨便安裝或執行來路不明的程式(如附加程式)。 過濾有害郵件,對於不明來源的郵件先加以過濾。 關閉瀏覽器的任意開啟視窗程式,避免受到不良網站的惡意程式攻擊。 訂定嚴謹的存取規定,如使用者憑證。
5-2-3 環境安全措施 信賴較知名網站做連結 登錄身分時先查證網站 透過大眾媒介報導追蹤 網路討論區公告及自律 垃圾郵件的過濾 修補系統與軟體的漏洞,減少駭客或病毒的入侵。 定期更新系統,使系統軟體處在最佳狀態。 掃毒軟體的自動偵測。 定期更新防毒軟體的病毒碼。 加裝個人防火牆,保護電腦降低被攻擊或植入程式的機會。
5-2-4 網路安全管理 在網路安全上,最終要的因素還是在於人的問題,硬體是死的設備,有了網路作業系統及防火牆後,最難管理規範的還是使用者-『人』。
網路安全管理的方法,有下列幾種: 防火牆隔離架設 不斷電系統維護 備份系統的檢查 檔案傳輸加解密 系統管理者責任 遠端連線的控管 病毒碼更新維護 人員認知與訓練 網路位址的偽裝 電腦的門禁管制
網路安全需求決定 網路安全技術,不論是哪一種網路安全技術如何去發展,都必須靠人才能得到最佳的防護效果,但「成也人也,敗也人也」,人只要善用這些網路資訊安全並且用於該用的地方,進而改善網路通訊協定及網路安全等相關技術,讓網路使用更加安全。
11-3-1 網路安全的防範設備 防火牆(Firewall) 防火牆是網路安全的防護設備,它是內部網路和外部網路之間的橋樑。
11-3-1 網路安全的防範設備 入侵防護系統(IPS) 是一種企業用來防禦網路攻擊的安全設備,它可以對網路中傳送的資料進行即時監控與分析,並阻絕未經授權或惡意的網路封包,以維持網路的正常運作。
11-3-1 網路安全的防範設備 IPS的型態可分為以下兩類:
11-3-1 網路安全的防範設備 虛擬私有網路(VPN) 企業在組織內傳送電子商務訊息時,為了安全上的考量,可能會建構一個屬於企業私用的私有數據網路,以專線連接各地分公司,來保障資料的傳輸安全。
11-3-1 網路安全的防範設備 VPN的型態同樣可區分為以下兩種: 軟體式VPN:是指架設在伺服器或作業系統上的應用程式。
11-3-2 網路安全措施 帳號與密碼的使用 不要使用個人的資料當作密碼,例如:英文名字、電話號碼、生日、身分證字號等懶人密碼。 密碼長度最好不要少於6個字元,密碼要夾雜使用字母及數字的方式設定,不要使用規則性的單字或連續的數字。 密碼不要儲存在電腦檔案中或是寫在某個地方。 定期更換密碼。
11-3-2 網路安全措施 防毒軟體的使用 防毒軟體掃毒的方式,是透過比對電腦中的檔案及防毒軟體中已登錄的病毒碼,來確認檔案是否遭到感染,因此必須常常要進行掃描引擎與病毒碼的更新,才能讓電腦得到最佳的保護。
11-3-2 網路安全措施 ClamWin:該防毒軟體具有排程掃描、線上更新病毒碼、即時偵測等功能。
11-3-2 網路安全措施 Microsoft Security Essentials:為微軟提供的免費防毒軟體,提供了即時防護,可防範病毒、間諜軟體及其他惡意軟體。
11-3-2 網路安全措施 Avira AntiVir:俗稱「小紅傘」,免費版提供了一些基本的防護,例如:阻擋各種不同的病毒攻擊、可清除廣告軟體和間諜軟體、偵測隱藏的Rootkit等。
11-3-2 網路安全措施 架設防火牆 網路上會有一些防火牆軟體可供使用者下載使用。
11-3-2 網路安全措施 作業系統與軟體更新 透過作業系統和軟體的更新,才能減少被病毒感染或怪客入侵的機會。
11-3-3 網路安全守則 在電腦中務必安裝防毒軟體,並隨時更新病毒碼,可有效減少惡意程式的攻擊。 不要隨便開啟來路不明的網站連結,以免不小心被引導到釣魚網站。 留意所在網站是否為正確的官方網站,最好是在瀏覽器中手動輸入網址,再進行相關操作。 不要隨便下載來路不明的軟體。
11-3-3 網路安全守則 不要在網路上輕易透露自己和家人的個人資料,包括姓名、電話、住址、學校系級、手機號碼、信用卡號碼等。 要勇敢拒絕不良資訊。 避免在公用電腦中進行個人資料的操作。
私密金鑰加密法(Secret_key Cryptography) 11-3-4 加裝加密及解密裝置 私密金鑰加密法(Secret_key Cryptography) 也稱為對稱式加密法。 所使用的加密解密的金鑰是相同的。 傳送及接收資料者,都擁有相同的金鑰,才能開啟資料。 若有第三者取得金鑰,也可以開啟此份資料。
11-3-4 加裝加密及解密裝置
公開金鑰加密法(Public_key Cryptography) 11-3-4 加裝加密及解密裝置 公開金鑰加密法(Public_key Cryptography) 也稱為非對稱式加密法。 此種技術所使用的加密解密的金鑰是不相同的,分別是公開金鑰和私有金鑰。 公開金鑰是每個人都可以取得的,而私有金鑰則是由個人所擁有並保存。
11-3-4 加裝加密及解密裝置 以公開金鑰加密法傳送機密資料示意圖
11-3-4 加裝加密及解密裝置 以公開金鑰加密法確認發文者身分示意圖
11-4-1 網路上的個人隱私─Cookie Cookie是一種協助我們方便瀏覽網站內容的工具,它是一個非常小的文字檔案。 會記錄你上網的習慣、喜好等,記錄在電腦中的「Cookies」資料夾內,並以文字檔方式儲存起來。 Cookie並不會擷取使用者的任何資訊,它只是儲存及讀取資訊而已。
11-4-1 網路上的個人隱私─Cookie
11-4-1 網路上的個人隱私─Cookie 清除Cookie
11-4-1 網路上的個人隱私─Cookie 變更Cookie設定 將Cookie的隱私權設定到最高,以封鎖所有的Cookie,但有些網站會強制在使用者電腦上建立Cookie,以確認身分,若你封鎖了該網站的Cookie後,那麼可能會無法瀏覽該網站。
11-4-2 安全區域設定 IE提供了「網際網路」、「近端內部網路」、「信任的網站」、「限制的網站」等四種安全區域。
11-4-2 安全區域設定 設定安全區域 我們可以針對這四種安全區域,設定安全的層級,安全層級可區分為「高安全性」、「中安全性」、「中低安全性」、「低安全性」等四個等級。 這四個安全性層級可以設定「ActiveX控制項與插件」、「下載」、「使用者驗證」、「指令碼處理」、「雜項」等項目。
11-4-2 安全區域設定 網際網路區域:在預設下,網際網路區域設定的安全性層級會套用到所有網站,此區域預設的安全層級是「中安全性」。 近端內部網路區域:「近端內部網路」所指的是公司內部的網站,此區域預設的安全層級是「中低安全性」。
11-4-2 安全區域設定 信任的網站區域:當網站加入此區域時,表示你可以很放心地在網站中下載或執行某些程式,執行這些程式時,也不會讓電腦中的資料受損或破壞,此區域預設的安全層級是「低安全性」。 限制的網站區域:可以將某些令人厭惡的網站,或是會造成困擾的網站,加入此區域中,當不小心進入了該網站時,IE會提醒你,此區域預設的安全層級是「高安全性」。
11-4-2 安全區域設定 安全性設定
11-4-2 安全區域設定 信任與限制的網站設定 在網路上有信任的網站時,可以直接將該網站加入「信任的網站」區域中,當然也可以將某網站加入「限制的網站」區域中。
11-5-1 行動上網安全守則 無線網路設密碼 行動上網工具是靠著無線網路系統與網際網路連線,而無線網路在傳輸資料和訊息的過程中,可能被不明人士占用上網頻寬,甚至被不懷好意的人士入侵而竊取資料內容。 家中裝有無線網路設備時,請記得為它設定連線密碼,以保障全家人的網路資料安全及網路頻寬品質。
11-5-1 行動上網安全守則 公眾無線網路安全性 臺灣有許多地點都有提供免費、不加密、無密碼保護的Wi-Fi,當在這些公共場合使用免費的Wi-Fi時,儘量不要進入那些需要輸入帳號、密碼、金融卡、信用卡或其他敏感資料的網站,以避免這些資料在傳輸過程中,被不懷好意的人竊取,造成重大損失。當不需要上網時,記得關閉與無線網路的連線。
11-5-1 行動上網安全守則 下載App的潛在風險 智慧型手機下載App之前,務必檢查該App要求的權限是否與該App的功能相關,在下載App時,通常都會明確地列出該App所需的權限。
11-5-2 行動裝置防毒軟體 2012年行動裝置網路釣魚威脅研究報告中發現,有超過4,000個網路釣魚網址是專門針對行動裝置而設計,顯示智慧型手機與平板電腦等行動裝置已成為駭客網路釣魚攻擊的鎖定目標。 建議可安裝專門為行動裝置所設計的防毒軟體,保護行動裝置與資料的安全,並攔截網路釣魚威脅,防止惡意或高風險的網址和App。
11-5-2 行動裝置防毒軟體