資訊安全.

Slides:



Advertisements
Similar presentations
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
Advertisements

第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
資通安全 林文宗博士 明新科技大學資訊管理學系助理教授 明新科技大學計算機中心網路組組長 工研院電通所無線通訊技術組顧問
電子商務安全防護 線上交易安全機制.
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
電子商務:數位時代商機‧梁定澎總編輯‧前程文化 出版
資訊安全.
Chapter 1: 概論 1.1 密碼學術語簡介及假設
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
第十章 电子支付.
第 13 章 電子商務.
電子資料保護 吳啟文 100年6月7日.
06資訊安全-加解密.
第五章电子商务安全管理.
Security and Encryption
電子戶籍謄本申辦及驗證實務作業與問題討論
Information Security Fundamentals and Practices 資訊安全概論與實務
大專院校校園e 化 PKI、智慧卡應用與整合.
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
CH 6 五大網路管理功能.
電子商務 11-1 電子商務概論 11-2 電子商務交易安全與 加密機制 11-3 電子商務交易付費機制
資訊安全-資料加解密 主講:陳建民.
密碼學 黃胤誠.
第三章 公钥基础设施PKI 本章学习重点掌握内容: 密码学基本术语 密码体制分类 私钥密码体制的主要特点 公钥密码体制的主要特点
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
Module 2:電子商務之安全.
網站建置與資訊安全 電子商務資訊安全.
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
電子商務付費系統 講師:王忍忠.
電子商務基本概念 電子商務的定義 1-1 電子商務的特性 1-2 電子商務的演進 1-3.
马昌社 华南师范大学计算机学院 网络安全—Web安全 马昌社 华南师范大学计算机学院
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
SSL加解密原理 姓名:林子鈞 指導老師:梁明章老師
第四章 電子商務付費系統 電子商務與網路行銷 (第2版).
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
OpenID與WordPress使用說明
基礎密碼學 數位簽章及其應用 樹德科技大學 資訊工程系 林峻立 助理教授.
電子商務 Electronic Commerce
FTP檔案上傳下載 實務與運用.
第18章 網路管理和資訊安全.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
公開金鑰密碼系統 (Public-Key Cryptosystems)
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第 4 章 電子商務的金流與安 全機制.
公钥密码学与RSA.
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
浅析云计算中的密码技术 马春光 哈尔滨工程大学 教授、博导
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
網路交易與網站安全 國立臺灣大學生物產業機電工程學系 林 達 德.
資訊安全和資訊倫理宣導 永康區復興國小教務處.
電子商務交易安全 A 楊凱翔.
moica.nat.gov.tw 內政部憑證管理中心
網路安全技術 A 林建宏 指導教授:梁明章老師
Common Security Problems in Business and Standards
整合線上軟體開發工具、線上廣播與加密技術之軟體工程線上考試系統
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
固若金湯的多層次防禦 謝長明 技術總監 長成資訊顧問股份有限公司.
長期照護機構如何應用資訊工具協助管理 主講:周中和.
Introduction to Computer Security and Cryptography
Computer Security and Cryptography
《现代密码学》导入内容 方贤进
網路安全技術 淺談金鑰系統的應用 A 陳靖宇.
Presentation transcript:

資訊安全

資訊安全案例 1988年,美國康乃爾大學學生施放Network Warm,造 成Internet上近6000部電腦系統當機。 1994年,俄國電腦專家利用網路進入美國花旗銀行自動轉帳電腦系統,竊取40多筆總額一千多萬美元的客戶存款,轉存到國外帳戶中。 1996年,港商「愛普生(EPSON)」公司電腦上的積體電路佈局資料,遭離職員工經由網路入侵篡改,而生產出錯誤晶片。 1999年,電腦駭客控制一枚英國軍事通信衛星,更改衛星路線,並發出勒索金錢的威脅。 1999年八月,國內監察院, 營建署, 勞委會, 工研院….等多個政府網站遭駭客入侵。

網路安全的威脅 根據資訊週刊(Information Week)的全球安全調查報告指出,去年全球各地企業由於安全入侵、病毒感染等原因產生的修復或營運停擺,已造成$1.6兆美元的利潤損失,但是同一份調查指出,僅有38%的企業相信其安全性政策相當符合其營運目標的需求。也就是說,另外有將近2/3的企業正處於眾多安全性入侵的威脅下。

資訊安全的範疇 網路安全 交易安全 管理程序安全 網路應用過程中相關的資訊安全 如防火牆、電腦病毒、入侵偵防、VPN等 電子交易與資料交換時所牽涉的資訊安全 如身分確認、交易資料的安全性等 管理程序安全 作業程序與人員管理的安全問題

10-1 網路世界充滿危機? 目前網路上的安全問題分類: 入侵與破壞系統 資料竊取 資料阻擋或竄改 假冒身份 否認事實 病毒、特洛伊木馬程式

系統安全整體架構 偷竊 軟體錯誤 天然災害 意外損害 刑法 身份辨認 系統 與 資料 稽核 追蹤 存取 控制 隱私法 保險 人員與操作安全 組織與 行政安全 身份辨認 實體與環 環境安全 系統 與 資料 稽核 追蹤 存取 控制 隱私法 保險 資料保密 金匙管理 人員與操作安全 道德與教育 惡意破壞 非法洩露 詐欺 電腦玩家

特洛伊木馬程式的威脅 「特洛伊木馬程式」可以經由遠端遙控開啟,控制端就可竊取使用端的撥接帳號密碼、電腦資料、竄改系統程式以及進行電腦活動的監控。由於木馬程式既不屬於病毒,因此不會被掃毒程式給發現,而木馬程式存在電腦當中,也不會影響電腦的運作及速度,並且可以隱藏在其他的程式檔中,所以不會輕易被發現。據瞭解,除了駭客入侵外,只要使用者從網站Download共享軟體,或進入色情網站下載,就有可能被植入「木馬程式」!

電子商務特性與安全顧慮 客戶 銀行/券商 其他金融機構 金資中心證交所 網際網路 電子資料取代紙本文件 經由電腦與網路進行交易 前端 系統 (Front-end) 金資中心證交所 後台 主機 專屬網路 網際網路 . 電子資料取代紙本文件 經由電腦與網路進行交易 人工作業減少,自動化程度高 資料傳輸與電子交易的安全性 洩密、篡改、冒名交易 事後否認交易 網路入侵 電子文件的法律效力 是否為一合法文書 證據能力與證據力為何

10-1 網路世界充滿危機? 防止安全問題的方式: 利用密碼學將資料加密 防火牆(Firewall) 認證(Authentication) 防毒軟體、資料備份 制訂安全規範與政策

10-2 密碼學 加密(Encryption) 將可閱讀的文章(明文;plaintext)透過特定程序轉換成不可閱讀的密碼文(密文;ciphertext)的過程 解密(Decryption) 將不可閱讀的文章(密文;ciphertext)透過特定程序轉換回可閱讀的原文(密文;ciphertext)的過程

交易安全的基礎技術 密碼學演算法 數位簽章(Digital Signature) 數位信封(Digital Envelope) 資料摘取產生 對稱式加密法 非對稱式加密法 數位簽章(Digital Signature) 數位信封(Digital Envelope)

10-2-1 雜湊函數加密法 雜湊函數加密法 又稱“訊息摘要”,把任何長度的資料透過函示轉換成固定大小的訊息 碰撞: 長度大於訊息長度的資料轉換成訊息長度的資料時,會有一個以上的資料轉換成相同訊息的問題,一般雜湊函數必須設計讓碰撞的機率小於10-6才可以

10-2-1 雜湊函數加密法 單向(One way )雜湊函數 把任意長度的資料映射到固定長度資料 其過程不可逆 產生碰撞的機率微乎其微 訊息可證明資料的正確性 無法防止擁有相同雜湊函數的第三者竄改資料

對稱式與非對稱式加密法 傳送端(甲) 接收端(乙) 對稱性 加密法 加密 解密 傳送端(甲) 接收端(乙) 非對稱性 加密法 加密 解密 明文 密文 對稱性 加密法 加密 解密 安全管道 秘密金鑰(K甲乙) 秘密金鑰(K甲乙) 傳送端(甲) 接收端(乙) 明文 密文 非對稱性 加密法 加密 解密 公開金鑰(PK乙) 秘密金鑰(SK乙) 公開管道

10-2-2 秘密鑰匙加密法 秘密鑰匙 (secret key) 加密法 加密與解密都是使用相同的金鑰,又稱“對稱式”加密法,其中最有名的就是DES加密法。 圖10.3 使用單一金鑰加密法

10-2-3 公眾鑰匙加密法 公眾鑰匙加密法 起源於1976年,加密與解密所使用的金鑰是不同的(一對金鑰),又稱“非對稱”式加密法。加密時用公眾鑰匙 (public key) 加密,而解密則需要私密鑰匙 (private key)。

10-2-3 公眾鑰匙加密法 公眾鑰匙與私密鑰匙可互相交換 圖10.5 使用公眾鑰匙加密法;Key B為公眾鑰匙,Key A為秘密鑰匙

10-2-5 認證(Authentication) 為何要認證? 為確保收件者或傳送者為真實而非由第三者所假冒,必須要使用盤問與回應的方式來確保收件者或傳送者的真實身份 利用秘密鑰匙加密法做認證 甲傳送一訊息給乙 乙利用甲乙的秘密鑰匙將訊息加密會傳回給甲 甲利用甲乙的秘密鑰匙將訊息解密對照原訊息來確認乙的身份 乙可以利用相同方式確認甲的身份

10-2-5 認證(Authentication) 利用公眾鑰匙加密法認證 甲用乙的公眾鑰匙將訊息加密後傳給乙 乙解密後利用其私密鑰匙加密後傳給甲 甲利用乙的公眾鑰匙解密後對照訊息確認乙的身份 為避免他人得知乙傳送給甲的加密文件遭到竊取,可在認證的過程中約定一暫時性的秘密鑰匙,利用此秘密鑰匙進行資料加密

10-2-6 正確性 正確性 為了確保資料能正確無誤的傳送到接收者 雜湊函數 資料透過雜湊函數產生一訊息傳送給接收者,讓接收者能用相同的雜湊函數來驗證所接收到資料的正確性 將訊息加密 為避免擁有相同雜湊函數的第三者竄改資料,可先將訊息加密後傳送給接收者,讓第三者無法更動訊息

數位簽章 數位簽章特性 他人無法偽造 與本文內容完全相關 安全保護功能 防止資料內容被篡改 防止冒名傳送假資料 防止事後否認交易 簽署者(甲) (發送者) 驗證者(乙) (接收者) .... ..... 本文 簽章 .... ..... 本文 簽章 .... ..... 本文 簽 署 驗 證 秘密金鑰(SK甲) 公開金鑰(PK甲)   數位簽章特性 他人無法偽造 與本文內容完全相關 安全保護功能 防止資料內容被篡改 防止冒名傳送假資料 防止事後否認交易

傳統簽章 v.s. 數位簽章 發送者 接收者 傳統印章 與 印鑑證明 數位簽章 與 電子憑證 戶政事務所 CA認證中心 姓名 姓名 比對 文件 印章 文件 印章 文件 印章 CA認證中心 公開金鑰 數位簽章 與 電子憑證 電子憑證 秘密金鑰 姓名 公開金鑰 姓名 公開金鑰 驗證 電子文件 電子文件 電子文件 數位簽章 數位簽章 數位簽章

CA認證中心扮演的角色 數位簽章使用上的問題 驗證者如何確認所取得的公開金鑰的真實性 如何防止簽署者事後否認簽章及逃避責任 解決方法 戶政事務所 數位簽章使用上的問題 驗證者如何確認所取得的公開金鑰的真實性 如何防止簽署者事後否認簽章及逃避責任 解決方法 由公信第三者提供CA認證服務 印鑑 登記 印鑑證明 文件 簽署 紙本文件 發送/ 簽署者 接收/ 驗證者 簽章 CA認證中心 金鑰 登記 電子憑證 文件 簽署 發送/ 簽署者 電子文件 接收/ 驗證者 數位簽章

數位憑證內容 張 三 序 號 使用者名稱 公開金鑰 效 期 CA單位名稱 CA數位簽章 . 數位憑證 印鑑證明

CA認證中心主要功能 CA認證系統 憑證保存 證據提供 憑證簽發、 展期與註銷 憑證查詢與分送 電子交易 防止資料篡改、洩密 有效憑證 糾紛處理單位 已註銷憑證 過期憑證 憑證簽發、 展期與註銷 憑證查詢與分送 電子交易 使用者 使用者 數位憑證 身份識別 防止資料篡改、洩密 防止事後否認交易 數位憑證

CA系統特性與相關標準 憑證格式採X.509 V3標準 採用RSA 、 SHA 及3-DES等密碼演算法 密碼運算在一獨立硬體設備上執行,金鑰長度為1024/2048bits及112bits CA間交互認證界面採用PKCS#7、PKCS#10標準 金鑰可由用戶自行產生或由CA產生,秘密金鑰存入IC卡中(CA具備發卡功能)

10-4-1 什麼是防火牆 何謂防火牆? 為防止一般個人電腦或是公司行號內的內部網路遭到駭客的入侵與破壞,在外部網路與內部網路之間使用一個過濾器來過濾具有攻擊意圖或不懷好意的資訊或程式,這個過濾器就是防火牆

交易安全

交易安全的需求 完整性(Integrity) 身份之確認(Authentication) 不可否認性(Non-repudiation) 資料在網路傳送的過程中,不會遭偽造或竄改 身份之確認(Authentication) 能辨識交易雙方當事人的身分 不可否認性(Non-repudiation) 必須能夠防止交易任何一方,事後否認曾有進行 交易的事實 隱密性(Confidentiality) 能防止機密性或敏應性的資料在傳輸的過程中洩密

10-3 網路系統加密認證 網路系統加密認證 SSL(Secure Sockets Layer) 在電子商務中,最重要的就是安全問題。利用SSL與SET來可以保障使用者在網路上所傳送的機密性資料 SSL(Secure Sockets Layer) 由Netscap所提出 應用於HTTP、SMTP等協定中 針對TCP/IP中的傳輸層運作

10-3 網路系統加密認證 SSL的特性 SSL的使用步驟 資料的保密性 使用者的認證 資料的正確性 與舊有系統相容 客戶端向伺服端發送“ClientHello”訊息 伺服端向客戶端傳送“ServerHello”與相關訊息 伺服端傳送其認證與公眾鑰匙給客戶端 確認伺服端身份後,客戶端傳送“ClientKeyExchange”訊息給伺服端

10-3 網路系統加密認證 伺服端收到訊息後,雙方會傳送”ChangeCipherSpec”與”Finished”訊息給對方 開始利用雙方所談好的對稱式加密方式與秘密鑰匙值,將以後連線中的資料加密後傳送給對方。

10-3 網路系統加密認證 SET SET的使用步驟 由VISA、Mastercard、Netscap、Microsoft一起共同開發 主要應用在電子商務中的信用卡交易 主要有消費者、網路商店、消費者信用卡發卡銀行與網路商店銀行四個成員 SET的使用步驟 使用者選定交易商品、啟動SET安全軟體 SET用商店與使用者的秘密鑰匙將訂單加密後再用網路商店的公開鑰匙加密,付款資訊則用網路商店銀行公開鑰匙加密 網路商店用其秘密鑰匙將付款資料加密後傳給網路商店銀行

10-3 網路系統加密認證 網路商店銀行收到並確定網路商店所傳送的付款資訊後,根據付款資訊向信用卡發卡銀行查核授權 信用卡銀行確認網路商店銀行身份後,確認消費者信用,若是良好則授權此交易 網路商店銀行收到信用卡銀行授權後,授權網路商店此筆交易 網路商店收到授權後,告知使用者此筆交易完成並處理相關訂單

How SSL Works: Establish a secure session: Know Who you are talking to Proposal 1: use public key A  B random-message B  A {random-message}bobs-private-key Alice decrypts it by using Bob's public key. By comparing the decrypted message with the one Alice originally sent to Bob, she can be sure who she's talking. Don’t encrypt anything you are not confident with--any thing you said can be used against you.

Digest function (one-way hash function) The digest is easy to compute, but difficult to reverse. It’s hard to find a different message that computed to the same digest value. Two widely used digest functions: MD5: produces a 128-bit digest. SHA (Secure Hash Algorithm): produces a 160-bit digest. It is adopted for standardization by the US National Institute for Standards and Technology. e.g., % homer $md5 /usr/bin/ls % MD5 (/usr/bin/ls) = 1eabd3dbc0746c8a4b5467f99a4f8823

Establish a secure session: Know Who you are talking to (cont.) Proposal 2: use public key and digest A  B hello, are you bob? B  A Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key Question: How does Alice knows Bob’s pubic key?

How to hand out public keys? Proposal 3:How to hand out public keys? A  B hello B  A Hi, I'm Bob, bobs-public-key A  B prove it B  A Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key Anybody can be Bob---all you need is a public and private key!

Certificates A certificate has the following content: The certificate issuer's name The entity for whom the certificate is being issued (aka the subject) The public key of the subject Some timestamps The certificate is signed using the certificate issuer's private key. Everybody knows the certificate issuer's public key.

How to hand out public keys? Proposal 4: A  B hello B  A Hi, I'm Bob, bobs-certificate A  B prove it B  A Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key If Mallet wants to impersonate Bob, ... A  M hello M  A Hi, I'm Bob, bobs-certificate A  M prove it M  A ???

A secure session has been established! A  B hello B  A Hi, I'm Bob, bobs-certificate A  B prove it B  A Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key A  B ok bob, here is a secret {secret}bobs-public-key B  A {some message}secret-key The secret can be another key, e.g., a key to a symmetric cryptographic algorithm (such as DES, RC4, or IDEA), for further communication.

Wait a moment, Mallet can still mangle some messages! A  M hello M  B hello B  M Hi, I'm Bob, bobs-certificate M  A Hi, I'm Bob, bobs-certificate A  M prove it M  B prove it B  M Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key M  A Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key A  M ok bob, here is a secret {secret}bobs-public-key M  B ok bob, here is a secret {secret}bobs-public-key B  M {some message}secret-key M  A Garble {some message}secret-key

Introduce a message authentication code (MAC) A MAC is a piece of data that is computed by using a secret and some transmitted data. MAC := Digest[ some message, secret] A  B hello B  A Hi, I'm Bob, bobs-certificate A  B prove it B  A Alice, This Is bob, {digest[Alice, This Is Bob]}bobs-private-key A  B ok bob, here is a secret {secret}bobs-public-key B  A {some message, MAC}secret-key

One Time Password 可防止密碼被竊聽、盜取 每次要進入系統或辨識身分時, 透過Token產生一個Password Server 端可驗證該密碼的正確性 可防止密碼被竊聽、盜取

管理程序安全

ISO17799 ISO17799 is to be used as a comprehensive standard range of controls needed for most situations involving Products and Systems.

ISO17799 主要內容 Business Continuity Planning System Access Control System Development and Maintenance Physical and Environmental Security Compliance Personnel Security Security Organization Computer & Network Management Asset Classification and Control Security Policy