第十一章 網路安全 (Network Security)
11.1 簡介 指防止網路上非法的資料存取與病毒破壞包括截取、竊聽、偽冒、篡改等,而具體的作法有:病毒的散播、識別碼與通行碼的破解、 封包窺視、利用授權入侵、假冒IP、序號預測、交易截取篡改、利用科技弱點、利用作業系統的缺失等。 天然災害如地震、火災、水災、斷電等。
11.2 網路犯罪 包括修改或偷取資料、電腦病毒、摧毀資料或軟體等 特性是犯者不須置身現場、所遺留的證據不若傳統犯罪的多、其有效性也較低
電腦病毒 對電腦系統的安全性與完整性造成威脅的一種軟體,不但會造成資料的損壞而且也會危害到軟體內部的資料和程式。不需透過人力即可在程式之間、文件之間與電腦系統之間或經由網際網路來傳播。 1999年4月26日,具毀滅性的『CIH』病毒,共計 3 種版本,CIH 1.2 、CIH 1.3在 4 月 26日發病, CIH 1.4版在每月26日發病 在發病日開機即會將整顆硬碟重新格式化,甚至會造成主機板晶片損毀。
11.3網路相關法規 網路色情與暴力--傳遞色情圖文、販賣色情光碟、媒介色情交易、煙毒、槍砲製作技術及販賣、賭博 複製網路上的軟體或文章--侵害著作權 詐欺、不實廣告、匿名毀謗、恐嚇 駭客行為與製造電腦病毒--妨害秘密、偽造文書、電腦處理個人資料保護法
11.4網路安全控制 預防控制:緩和一個人所想要採取的行動。例如:密碼的設定,避免非法的存取資料或是進入到私人的系統裡。 偵測控制:發現有害的事件,如:尋找非法網路入口的或病毒的軟體可以偵測這些問題。偵測軟體必須即時地描述發生了什麼問題。 校正控制:矯正一些我們所不期待發生的事情或是非法的侵入。如:當資料的傳達失敗時,軟體可以自動地恢復和重新啟動通訊電路。
11.5 網路安全控制技術 防火牆--目的在於提供企業連結網際網路時能有一個安全的防護,阻止有心人士由外部網路入侵,並且讓合法的資訊能夠順利通關。 封包過濾(Packet Filter)--檢查通過它之每一封包起點和終點的位址,一般而言,封包的位址只在網路層才會被檢查。 應用閘道(Application Gateway)--介於網際網路和組織網路中間的媒介,能夠在防火牆授權給它的存取權限內存取組織的資訊。 兩者混合皆有--介於上述二者間的一種型式,作用於較低的層次,如市面上所看到利用SOCKS 技術所作的防火牆。
防火牆的架設 單一防火牆架構--常見於中小企業的防火牆架構
雙防火牆架構--較複雜但安全等級較高
防火牆的資料應用 使網路安全管理焦點集中 可記錄及統計網際網路的使用狀況 監視網路上不正常的使用 可以落實網際網路安全政策
資料加密--利用數學規則演算法來將資訊加以隱藏。
11.6使用者的網路安全控制 使用者教育訓練 使用者權限設定
11.7網路交易的安全 如EDI (Electronic Data Interchange)、網路購物、電子銀行等,貿易伙伴之間都經由電腦網路進行各項商業交易活動,包括採購訂貨、貨款支付、電子轉帳等。
考量的因素 簡單的付款工具 交易的安全性 交易的方便性 目前在網路交易的安全性議題上,常見的安全電子交易(SET)、電子簽章、SSL 等技術
安全電子交易(SET)--(Secure Electronic Transactions) 由 VISA 與 MasterCard 兩大信用卡組織提出 第一步驟:申請SET 認證 第二步驟:安裝SET 軟體 第三步驟:申請SET 交易 (1) 前置作業 (2) 交易資料送出 (3) 身分確認 (4) 付款確認
數位簽章
數位簽名的信件樣本
SSL(Secure Socket layer) 目前已應用在Netscape 公司的Navigator 瀏覽器與Microsoft 公司的Explorer瀏覽器中。 SSL協定由Netscape Communication 公司於1994年10月所提出 主要目的在提供網路上交易過程中基本的點對點(End-to-End)通訊安全機制,避免交易訊息在通訊過程中被攔截、竊取、偽造及破壞