第九章 網路安全、加密、病毒與駭客.

Slides:



Advertisements
Similar presentations
電子商務安全防護 線上交易安全機制.
Advertisements

公共金鑰基礎建設之介紹與應用 指導老師:吳有龍 老師 姓名:潘祈良 B 科系:進修資管四B.
電子商務概論 Chapter 6 電子商務安全與加密 祝天雄 博士 100年07月 日.
06資訊安全-加解密.
Security and Encryption
電子戶籍謄本申辦及驗證實務作業與問題討論
電子付款與安全機制 曾光輝.
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
校園網路管理實電務 電子計算機中心 謝進利.
CH 6 五大網路管理功能.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
第五章 電子商務安全與加密 電子商務與網路行銷 (第2版).
计算机应用专业系列教材 计算机网络.
資訊安全.
Views ,Stored Procedures, User-defined Function, Triggers
密碼學簡介與簡單生活應用 Introduction to Cryptography & Simple Applications in Life 2010 Spring ADSP 05/07.
資訊安全-資料加解密 主講:陳建民.
第9章 電子商務安全防範.
密碼學 黃胤誠.
David liang 数据通信安全教程 防火墙技术及应用 David liang
通訊 授課:方順展.
华南师范大学 防火墙 华南师范大学
Transparent proxy 班級:資傳四A 組員:林佳辰 陳星宇 邱鈺翔
TCP協定 (傳輸層).
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
Module 2:電子商務之安全.
網站建置與資訊安全 電子商務資訊安全.
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
Socket () and TCP client-server
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
家用網路所遇到的問題 與解決方案 演講者:徐子浩 指導老師:梁明章 老師.
SSL加解密原理 姓名:林子鈞 指導老師:梁明章老師
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
TCP/IP介紹 講師:陳育良 2018/12/28.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
電子商務 Electronic Commerce
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
區 域 網 絡 ( Local Area Network )
FTP檔案上傳下載 實務與運用.
網際網路與電腦應用 林偉川 2001/11/08.
DHCP for W2K.
網路安全技術期末報告 Proxy Server
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
ISA Server 2004.
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
Firewall-pfsense Mars Su
資訊安全 與 線上付款機制 Part 1: 網路資訊安全.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
探測工具:NetCat.
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
資訊安全技術 課程簡介.
資訊安全和資訊倫理宣導 永康區復興國小教務處.
電子商務資訊安全 網路資訊安全.
moica.nat.gov.tw 內政部憑證管理中心
朱延平 東海大學資訊工程系教授 教育研究所教授
網路安全技術 A 林建宏 指導教授:梁明章老師
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
Common Security Problems in Business and Standards
整合線上軟體開發工具、線上廣播與加密技術之軟體工程線上考試系統
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
第四章 通訊與網路管理 授課老師:褚麗絹.
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
ARP攻擊 A 吳峻誠.
長期照護機構如何應用資訊工具協助管理 主講:周中和.
第一章 電子商務簡介 第一篇 電子商務概論篇.
Computer Security and Cryptography
Website: 第1章 密码学概论 Website: 年10月27日.
《现代密码学》导入内容 方贤进
Presentation transcript:

第九章 網路安全、加密、病毒與駭客

網路交易特性與安全顧慮 銀行/券商 其他金融機構 客戶 網際網路 電子資料取代紙本文件 經由電腦與網路進行交易 人工作業減少,自動化程度高 前端 系統 (Front-end) 金資中心(證交所) 後台 主機 網際網路 專屬網路 . 電子資料取代紙本文件 經由電腦與網路進行交易 人工作業減少,自動化程度高 資料傳輸與電子交易的安全性 洩密、篡改、冒名交易 事後否認交易 網路入侵 電子文件的法律效力 是否為一合法文書 證據能力與證據力為何

10-1 網路安全性環境

一、網路不安全的原因 (一)用戶端的電腦通常是不安全的 (二)區域網路容易被入侵 (三)網際網路的中間網路是公開的 (四)目的地伺服器可能也是不安全的

二、網路安全風險的來源 (一)物理破壞 -------- 火災、水災、電源損壞等 (二)人為錯誤 -------- 偶然的或不經意的行為造成破壞 (三)設備故障 -------- 系統及週邊設備的故障 (四)內、外部攻擊 ---- 內部人員、外部駭客的有無目的的攻擊 (五)資料誤用 -------- 共用機密資料,資料被竊 (六)資料遺失 -------- 故意或非故意的以破壞方式遺失資料 (七)程式錯誤 -------- 計算錯誤、輸入錯誤、緩衝區溢出等

三、網路安全服務 企業在e化前,應先了解網路安全服務,方能制定適合企業安全的解決方案。主要網路安全服務有: (一)認證(Authentication):確認使用者身份。 (二)授權(Authorization):決定使用者權限。 (三)隱密性(Confidentiality):確保系統或網路中之資料,只會被經授權的人所看到。 (四)完整性(Integrity):確保系統或網路中之資料,不會被未經授權的人員修改。 (五)可獲得性(Avilability):確保當經過授權之人員,要求存取某項資源時,系統及傳輸媒介是可獲得的。 (六)不可否認性(Non-Repudiation):驗證使用者確實已接受過某項服務,或使用過某項資源。

10-2 網路交易中的安全性威脅

一、網路交易所衍生的風險與安全需求 美國國家電腦安全協會(NCSA)提出安全網路交易的基石在於: (一)隱私性(Privacy) 。 (二)確實性(assurance) (三)完整性 (四)不可否認性

而一個成功且安全的網際網路交易的四項基本要求,則是 (一)隱私性(Privacy) (二)身分驗證(Authentication) (三)完整性(Integrity) (四)不可否認性(Non-Repudiation)

目前網路上交易安全的需求考量可分兩個方面來探討: (一)使用者的身分鑑別:只有經過身分鑑別(Authenticity)與合法授權(Authorized)的使用者,才能在合理的範圍內進行資料的存取(Access control)。 (二)資料與交易安全的保護:即在電子商務交易時,資料傳遞的機密性(Confidentiality)、完整性(Integrity)與不可否認性(Non-repudiation)的要求。

資訊安全服務及使用技術 服務項目 解決威脅 採用技術 完整性 身份鑑別(Authentication) 不可否認性 (Integrity) 篡改、重送、遺失 序碼、時間、安全雜湊函數、數位簽章 身份鑑別(Authentication) 冒名傳送假資料 資料識別碼、數位簽章 不可否認性 (Non-repudiation) 否認已收、送資料 數位簽章 隱密性(Confidentiality) 竊聽、非法取得資料、洩露 數位信封加/解密 存取控制 (Access Control) 非法存取資料 可信賴的作業環境、防火牆系統、身份卡 可用性(Availability) 系統可用性的降低或癱瘓 可信賴的作業環境、 入侵偵測、異地備援、加密及身份鑑別

二、資訊系統存在之威脅 隨著電腦科技之快速發展,人類和電腦之關係愈形密切,對電腦之依賴也日益漸深,企業利用電腦來增進本身的效能與效率,因此許多重要的資料也隨之存放在電腦裡,但是當企業一旦連上網路時,許多資料便可透過網路傳輸至其他人的電腦,因此有心人士便可能透過網路來存取企業的機密資料;也就是說當網路的組合越來越大時,使得本來是區域性小範圍的漏洞,轉變成整個網路上的一大威脅。

網路上的威脅有很多種類,但大致上來說可分為下列兩種類型: (一)服務提供的威脅 (二)資料傳輸的威脅

10-4 資料加密、解密與驗證

資料加密技術主要是將資料與訊息變成亂碼,使得不相關之他人無法解讀。變成亂碼的過程需要一個運算的法則(algorithms),此運算法則是要使欲從亂碼演譯回原始的訊息,即變成一項非常複雜又耗時間的工作,以致於在實務上用猜測的方法來解讀一個加密過的訊息,幾乎變成不可能。資料加密方法的種類很多,但均有一相同的特性,就是要有一支金鑰(key),沒有金鑰則無法將訊息解密。現代的加密方法之中,運算法則是公開的;但是需要有一個參數的輸入至運算法則之中,這個參數就是金鑰。公鑰加密法以公鑰加密,以私鑰解密。加密技術通常以演算法產生。

密碼學名詞解釋 加密 Encryption 明文 Plaintext 密文 Ciphertext 加/解密鑰匙 Key 解密 Decryption

密碼學應用架構 應用 數位簽章, 認證, SSL,SET 加解密技術 DES,RAS 密碼學/演算法 同步 / 非同步 密碼學

一、對稱式(Symmetric)密碼系統—私密金鑰演算法 二、非對稱式(Asymmetric)密碼系統—公開金鑰演算法 三、數位信封(Digital Envelope) 四、數位簽章(Digital Signature) 五、雜湊函數(Hash Function) 六、盲目簽章(Blind Signature) 七、X.509金鑰管理協定 八、Key Escrow金鑰託管系統 九、網路安全守門員—認證授信機構 十、公共金鑰基礎建設(Public Key Infrastructure,PKI)

雜湊函數(Hash Function) 輸入任意大小的訊息,輸出固定大小的訊息摘要(Message Digest) 單向函數(one-way function) 抗碰撞(collision resistance) 計算速度快 (固定長度)

雜湊函數(Hash Function)

加密法分類 對稱式Symmetric Cryptography 加密解密使用同一組鑰匙 換位,代換 DES (Data Encryption Standard) 非對稱式Asymmetric Cryptography 加密解密使用不同組鑰匙,又稱公開鑰匙(Public Key)加密法 RSA (Rivest, Shamir, and Adleman)

對稱式加密系統 010101010 010101010 明 文 明 文 密 文 送收雙方使用相同金鑰進行加解密 資料處理速度較有效率 證交稅率將自九月一日起調降 010101010 010101010 明 文 明 文 加密解密使用同一組鑰匙 證交稅率將自九月一日起調降 發文者 受文者 密 文 Kja47y18b -985`=jfLERIT=206598 送收雙方使用相同金鑰進行加解密 資料處理速度較有效率 金鑰分配問題 金鑰數目太大(管理問題) 無法達到不可否認性

對稱式加密系統 收方 送方 明文 明文 加密 密文 解密 不安全通訊線 金鑰 安全通訊線

對稱式加密法技術-DES DES(Data Encryption Standard)為美國國家標準局於1976年公佈的加密標準,屬於對稱式加密法,DES主要用於業界及美國政府當局的非機密(unclassified)應用。DES的鑰匙長64位元,但因其中每個位元組皆取1位元作為同位(parity)核對,故有效鍵長56位元,DES的基本運算是以連續16次的位元代換及移位及與Key相運算。

非對稱式加密法 非對稱式 加密又名公開鑰匙(Public Key)加密法, 在1976年由 Whitfield Diffie 及 Martin Hellman 提出。加密與解密使用不同鑰匙,解決了傳統加密法必須傳送解密鑰匙的風險問題。 加密與解密使用成對的兩個不同鑰匙,其中一組由個人保存,不對外公開,稱為私密鑰匙(Private Key);另一組則對外公開,稱為公開鑰匙(Public Key)。

數位信封 非對稱式加密技術由於使用不同的加密與解密鑰匙,因此適合於網路上傳遞使用,但也由於其演算法一般較對稱式加密技術複雜,所以加解密需要花費較多時間。 數位信封則結合兩種加密技術的優點,應用對稱式加密處理速度較快的優點,先對本文加密。再將對稱式加密技術所使用的加解密鑰匙,以非對稱式加密技術加密,如此即可增加傳解密鑰匙的安全性。

10-5 防火牆

防火牆(Firewall)為一軟體或硬體之系統,可管制外部使用者對企業網路的連結及存取。防火牆的目的是用以保護區域網路(LAN)不受網路外的人所入侵。防火牆的工作原理是在Internet與Intranet之間建立一個屏障,因此防火牆通常置於網路閘道點上。一般可分為封包過濾型及代理人型。

安全區域 Internet Untrusted Firewall / VPN Server Farm DMZ Meeting Room ERP CRM E-Mail Database Server Farm Attacks Web FTP Firewall / VPN DMZ Meeting Room VPN Remote Mail Relay Trusted

一、封包過濾器 封包過濾器型的防火牆是屬於網路層(Network-Level)的防衛機制,如同H.Julkunen,C.E. Chow所介紹的一般,是一個類似路由器的網路裝置,負責將網路封包由外部網路轉送到受保護的內部網路。所不同的是,它會將過濾規則中所不允許通過的封包過濾掉並記錄其封包資訊,傳統的封包過濾器型防火牆主要是針對封包標頭的四項欄位作檢查: 來源端的IP位址(Source IP Address) 目的端的IP位址(Destination IP Address) 來源端的TCP/UDP埠(Source TCP/UDP Port) 目的端的TCP/UDP埠(Destination TCP/UDP Port)

防火牆的作用 防火牆 1. 檢查身份 2. 檢查權限 外部網路 內部網路 存取控管 Access Security

防火牆是第一層防護 Firewall provides access control Deny Traffic Corporate Network 00000000000000000000000000000 000000000000000000000000000 000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000 000000000000000000000 Firewall provides access control Deny Traffic Allow Traffic Deny Some Attacks

病毒入侵途徑 Firewall Internet 1. 病毒從 Internet(HTTP, SMTP, FTP, POP3)進入公司內部 Proxy Server 2. 病毒通過 Firewall 的檢查,闖關抵達 Proxy Server File Server 6. 最後將檔案備份回 File Server時連Server也跟著中毒了!!! 3. 此時分派email至公司內部的 Mail Server上,病毒也因此存在Mail Server的 Mailbox裏面 4. 此時任何一台位員工開email讀取時 PC便中毒了 !!! Mail Server 5. 同事之間的檔案互傳更是將病毒擴散出去 !!! Client

有防毒牆網路安全保護才完整 防毒牆 防火牆 防毒牆 檢查內容讓病毒 與木馬 無所遁形 存取控管 內容控管 外部網路 內部網路 Access Security 內容控管 Content Security 外部網路 內部網路

有防毒牆網路安全保護才完整 網路防毒牆 Email/File Servers Firewall Inbound Traffic INTERNET 網路防毒牆 Switch Email/File Servers Firewall 使用者 電腦 Inbound Traffic SMTP(傳送信件服務) HTTP (網頁連線服務) POP3 (接收信件服務) FTP (檔案傳輸服務)

有防毒牆網路安全保護才完整 網路防毒牆 E-Mail/File Servers Firewall Outbound Traffic INTERNET Switch 網路防毒牆 E-Mail/File Servers Firewall 使用者 電腦 Outbound Traffic SMTP(傳送信件服務) HTTP (網頁連線服務) POP3 (接收信件服務) FTP (檔案傳輸服務)

二、連線閘道器 連線閘道器型防火牆是屬於連線層(Circuit-Level)的防衛機制,它本身先與提供服務的所有內部網路主機建立連線,並開放與這些服務相對應的TCP連線埠給外部網路真正要求服務的主機使用。其運作情形如圖7-8所示。

然而連線閘道器型防火牆亦有下列缺點: 不適用於使用UDP 作傳輸的應用程式。 新增網路服務時必須花費更多的時間在設定上。 連線閘道器可能形成網路上頻寬的瓶頸。 連線閘道器對每個連線封包都必須處理兩次,容易造成使用該應用程式的效能降低。 

三、應用程式代理器 應用程式代理器型防火牆是屬於應用層(Application-Level)的防衛機制,一般又稱為代理伺服器,它負責提供符合安全政策規範的客戶端相對的應用服務,圖7-9為應用程式代理器的運作原理。當客戶端向代理服務端提出服務要求後,代理服務端會先檢查該要求是否符合安全政策的規範,若符合則由代理顧客端轉送服務要求給真正提供服務的主機,而該主機回應後,同樣再由代理服務端轉送回應給客戶端。

應用程式代理器型防火牆亦有以下缺點: 必須為內部網路所提供的每一個服務都架設相對的應用程式代理器。 設定安全規範較為複雜而費時。 無法適用於非主從式(client-server)的應用程式。

而常用的屏障式閘道(Screen Host Gateway)防火牆過濾規則就屬於封包過濾器與應用代理器的組合,其綜合兩類優點,更進一步提升其安全性。其過濾動作需滿足下列四項規則: (一)允許外界封包輸至內部閘道器 (二)不允許外界封包輸至內部其他主機 (三)允許閘道器的封包輸出至外界網路 (四)不允許其他內部主機的封包輸出至外界網路。