第九章 網路安全、加密、病毒與駭客
網路交易特性與安全顧慮 銀行/券商 其他金融機構 客戶 網際網路 電子資料取代紙本文件 經由電腦與網路進行交易 人工作業減少,自動化程度高 前端 系統 (Front-end) 金資中心(證交所) 後台 主機 網際網路 專屬網路 . 電子資料取代紙本文件 經由電腦與網路進行交易 人工作業減少,自動化程度高 資料傳輸與電子交易的安全性 洩密、篡改、冒名交易 事後否認交易 網路入侵 電子文件的法律效力 是否為一合法文書 證據能力與證據力為何
10-1 網路安全性環境
一、網路不安全的原因 (一)用戶端的電腦通常是不安全的 (二)區域網路容易被入侵 (三)網際網路的中間網路是公開的 (四)目的地伺服器可能也是不安全的
二、網路安全風險的來源 (一)物理破壞 -------- 火災、水災、電源損壞等 (二)人為錯誤 -------- 偶然的或不經意的行為造成破壞 (三)設備故障 -------- 系統及週邊設備的故障 (四)內、外部攻擊 ---- 內部人員、外部駭客的有無目的的攻擊 (五)資料誤用 -------- 共用機密資料,資料被竊 (六)資料遺失 -------- 故意或非故意的以破壞方式遺失資料 (七)程式錯誤 -------- 計算錯誤、輸入錯誤、緩衝區溢出等
三、網路安全服務 企業在e化前,應先了解網路安全服務,方能制定適合企業安全的解決方案。主要網路安全服務有: (一)認證(Authentication):確認使用者身份。 (二)授權(Authorization):決定使用者權限。 (三)隱密性(Confidentiality):確保系統或網路中之資料,只會被經授權的人所看到。 (四)完整性(Integrity):確保系統或網路中之資料,不會被未經授權的人員修改。 (五)可獲得性(Avilability):確保當經過授權之人員,要求存取某項資源時,系統及傳輸媒介是可獲得的。 (六)不可否認性(Non-Repudiation):驗證使用者確實已接受過某項服務,或使用過某項資源。
10-2 網路交易中的安全性威脅
一、網路交易所衍生的風險與安全需求 美國國家電腦安全協會(NCSA)提出安全網路交易的基石在於: (一)隱私性(Privacy) 。 (二)確實性(assurance) (三)完整性 (四)不可否認性
而一個成功且安全的網際網路交易的四項基本要求,則是 (一)隱私性(Privacy) (二)身分驗證(Authentication) (三)完整性(Integrity) (四)不可否認性(Non-Repudiation)
目前網路上交易安全的需求考量可分兩個方面來探討: (一)使用者的身分鑑別:只有經過身分鑑別(Authenticity)與合法授權(Authorized)的使用者,才能在合理的範圍內進行資料的存取(Access control)。 (二)資料與交易安全的保護:即在電子商務交易時,資料傳遞的機密性(Confidentiality)、完整性(Integrity)與不可否認性(Non-repudiation)的要求。
資訊安全服務及使用技術 服務項目 解決威脅 採用技術 完整性 身份鑑別(Authentication) 不可否認性 (Integrity) 篡改、重送、遺失 序碼、時間、安全雜湊函數、數位簽章 身份鑑別(Authentication) 冒名傳送假資料 資料識別碼、數位簽章 不可否認性 (Non-repudiation) 否認已收、送資料 數位簽章 隱密性(Confidentiality) 竊聽、非法取得資料、洩露 數位信封加/解密 存取控制 (Access Control) 非法存取資料 可信賴的作業環境、防火牆系統、身份卡 可用性(Availability) 系統可用性的降低或癱瘓 可信賴的作業環境、 入侵偵測、異地備援、加密及身份鑑別
二、資訊系統存在之威脅 隨著電腦科技之快速發展,人類和電腦之關係愈形密切,對電腦之依賴也日益漸深,企業利用電腦來增進本身的效能與效率,因此許多重要的資料也隨之存放在電腦裡,但是當企業一旦連上網路時,許多資料便可透過網路傳輸至其他人的電腦,因此有心人士便可能透過網路來存取企業的機密資料;也就是說當網路的組合越來越大時,使得本來是區域性小範圍的漏洞,轉變成整個網路上的一大威脅。
網路上的威脅有很多種類,但大致上來說可分為下列兩種類型: (一)服務提供的威脅 (二)資料傳輸的威脅
10-4 資料加密、解密與驗證
資料加密技術主要是將資料與訊息變成亂碼,使得不相關之他人無法解讀。變成亂碼的過程需要一個運算的法則(algorithms),此運算法則是要使欲從亂碼演譯回原始的訊息,即變成一項非常複雜又耗時間的工作,以致於在實務上用猜測的方法來解讀一個加密過的訊息,幾乎變成不可能。資料加密方法的種類很多,但均有一相同的特性,就是要有一支金鑰(key),沒有金鑰則無法將訊息解密。現代的加密方法之中,運算法則是公開的;但是需要有一個參數的輸入至運算法則之中,這個參數就是金鑰。公鑰加密法以公鑰加密,以私鑰解密。加密技術通常以演算法產生。
密碼學名詞解釋 加密 Encryption 明文 Plaintext 密文 Ciphertext 加/解密鑰匙 Key 解密 Decryption
密碼學應用架構 應用 數位簽章, 認證, SSL,SET 加解密技術 DES,RAS 密碼學/演算法 同步 / 非同步 密碼學
一、對稱式(Symmetric)密碼系統—私密金鑰演算法 二、非對稱式(Asymmetric)密碼系統—公開金鑰演算法 三、數位信封(Digital Envelope) 四、數位簽章(Digital Signature) 五、雜湊函數(Hash Function) 六、盲目簽章(Blind Signature) 七、X.509金鑰管理協定 八、Key Escrow金鑰託管系統 九、網路安全守門員—認證授信機構 十、公共金鑰基礎建設(Public Key Infrastructure,PKI)
雜湊函數(Hash Function) 輸入任意大小的訊息,輸出固定大小的訊息摘要(Message Digest) 單向函數(one-way function) 抗碰撞(collision resistance) 計算速度快 (固定長度)
雜湊函數(Hash Function)
加密法分類 對稱式Symmetric Cryptography 加密解密使用同一組鑰匙 換位,代換 DES (Data Encryption Standard) 非對稱式Asymmetric Cryptography 加密解密使用不同組鑰匙,又稱公開鑰匙(Public Key)加密法 RSA (Rivest, Shamir, and Adleman)
對稱式加密系統 010101010 010101010 明 文 明 文 密 文 送收雙方使用相同金鑰進行加解密 資料處理速度較有效率 證交稅率將自九月一日起調降 010101010 010101010 明 文 明 文 加密解密使用同一組鑰匙 證交稅率將自九月一日起調降 發文者 受文者 密 文 Kja47y18b -985`=jfLERIT=206598 送收雙方使用相同金鑰進行加解密 資料處理速度較有效率 金鑰分配問題 金鑰數目太大(管理問題) 無法達到不可否認性
對稱式加密系統 收方 送方 明文 明文 加密 密文 解密 不安全通訊線 金鑰 安全通訊線
對稱式加密法技術-DES DES(Data Encryption Standard)為美國國家標準局於1976年公佈的加密標準,屬於對稱式加密法,DES主要用於業界及美國政府當局的非機密(unclassified)應用。DES的鑰匙長64位元,但因其中每個位元組皆取1位元作為同位(parity)核對,故有效鍵長56位元,DES的基本運算是以連續16次的位元代換及移位及與Key相運算。
非對稱式加密法 非對稱式 加密又名公開鑰匙(Public Key)加密法, 在1976年由 Whitfield Diffie 及 Martin Hellman 提出。加密與解密使用不同鑰匙,解決了傳統加密法必須傳送解密鑰匙的風險問題。 加密與解密使用成對的兩個不同鑰匙,其中一組由個人保存,不對外公開,稱為私密鑰匙(Private Key);另一組則對外公開,稱為公開鑰匙(Public Key)。
數位信封 非對稱式加密技術由於使用不同的加密與解密鑰匙,因此適合於網路上傳遞使用,但也由於其演算法一般較對稱式加密技術複雜,所以加解密需要花費較多時間。 數位信封則結合兩種加密技術的優點,應用對稱式加密處理速度較快的優點,先對本文加密。再將對稱式加密技術所使用的加解密鑰匙,以非對稱式加密技術加密,如此即可增加傳解密鑰匙的安全性。
10-5 防火牆
防火牆(Firewall)為一軟體或硬體之系統,可管制外部使用者對企業網路的連結及存取。防火牆的目的是用以保護區域網路(LAN)不受網路外的人所入侵。防火牆的工作原理是在Internet與Intranet之間建立一個屏障,因此防火牆通常置於網路閘道點上。一般可分為封包過濾型及代理人型。
安全區域 Internet Untrusted Firewall / VPN Server Farm DMZ Meeting Room ERP CRM E-Mail Database Server Farm Attacks Web FTP Firewall / VPN DMZ Meeting Room VPN Remote Mail Relay Trusted
一、封包過濾器 封包過濾器型的防火牆是屬於網路層(Network-Level)的防衛機制,如同H.Julkunen,C.E. Chow所介紹的一般,是一個類似路由器的網路裝置,負責將網路封包由外部網路轉送到受保護的內部網路。所不同的是,它會將過濾規則中所不允許通過的封包過濾掉並記錄其封包資訊,傳統的封包過濾器型防火牆主要是針對封包標頭的四項欄位作檢查: 來源端的IP位址(Source IP Address) 目的端的IP位址(Destination IP Address) 來源端的TCP/UDP埠(Source TCP/UDP Port) 目的端的TCP/UDP埠(Destination TCP/UDP Port)
防火牆的作用 防火牆 1. 檢查身份 2. 檢查權限 外部網路 內部網路 存取控管 Access Security
防火牆是第一層防護 Firewall provides access control Deny Traffic Corporate Network 00000000000000000000000000000 000000000000000000000000000 000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000 000000000000000000000 Firewall provides access control Deny Traffic Allow Traffic Deny Some Attacks
病毒入侵途徑 Firewall Internet 1. 病毒從 Internet(HTTP, SMTP, FTP, POP3)進入公司內部 Proxy Server 2. 病毒通過 Firewall 的檢查,闖關抵達 Proxy Server File Server 6. 最後將檔案備份回 File Server時連Server也跟著中毒了!!! 3. 此時分派email至公司內部的 Mail Server上,病毒也因此存在Mail Server的 Mailbox裏面 4. 此時任何一台位員工開email讀取時 PC便中毒了 !!! Mail Server 5. 同事之間的檔案互傳更是將病毒擴散出去 !!! Client
有防毒牆網路安全保護才完整 防毒牆 防火牆 防毒牆 檢查內容讓病毒 與木馬 無所遁形 存取控管 內容控管 外部網路 內部網路 Access Security 內容控管 Content Security 外部網路 內部網路
有防毒牆網路安全保護才完整 網路防毒牆 Email/File Servers Firewall Inbound Traffic INTERNET 網路防毒牆 Switch Email/File Servers Firewall 使用者 電腦 Inbound Traffic SMTP(傳送信件服務) HTTP (網頁連線服務) POP3 (接收信件服務) FTP (檔案傳輸服務)
有防毒牆網路安全保護才完整 網路防毒牆 E-Mail/File Servers Firewall Outbound Traffic INTERNET Switch 網路防毒牆 E-Mail/File Servers Firewall 使用者 電腦 Outbound Traffic SMTP(傳送信件服務) HTTP (網頁連線服務) POP3 (接收信件服務) FTP (檔案傳輸服務)
二、連線閘道器 連線閘道器型防火牆是屬於連線層(Circuit-Level)的防衛機制,它本身先與提供服務的所有內部網路主機建立連線,並開放與這些服務相對應的TCP連線埠給外部網路真正要求服務的主機使用。其運作情形如圖7-8所示。
然而連線閘道器型防火牆亦有下列缺點: 不適用於使用UDP 作傳輸的應用程式。 新增網路服務時必須花費更多的時間在設定上。 連線閘道器可能形成網路上頻寬的瓶頸。 連線閘道器對每個連線封包都必須處理兩次,容易造成使用該應用程式的效能降低。
三、應用程式代理器 應用程式代理器型防火牆是屬於應用層(Application-Level)的防衛機制,一般又稱為代理伺服器,它負責提供符合安全政策規範的客戶端相對的應用服務,圖7-9為應用程式代理器的運作原理。當客戶端向代理服務端提出服務要求後,代理服務端會先檢查該要求是否符合安全政策的規範,若符合則由代理顧客端轉送服務要求給真正提供服務的主機,而該主機回應後,同樣再由代理服務端轉送回應給客戶端。
應用程式代理器型防火牆亦有以下缺點: 必須為內部網路所提供的每一個服務都架設相對的應用程式代理器。 設定安全規範較為複雜而費時。 無法適用於非主從式(client-server)的應用程式。
而常用的屏障式閘道(Screen Host Gateway)防火牆過濾規則就屬於封包過濾器與應用代理器的組合,其綜合兩類優點,更進一步提升其安全性。其過濾動作需滿足下列四項規則: (一)允許外界封包輸至內部閘道器 (二)不允許外界封包輸至內部其他主機 (三)允許閘道器的封包輸出至外界網路 (四)不允許其他內部主機的封包輸出至外界網路。