第18章 網路管理和資訊安全
18-1 網路管理
網路管理五大功能領域 國際標準組織(ISO,International Standards Organization)在1989年發表ISO 7489-4號文件,定義了以下網路管理五大功能領域,包含: 組態管理 (Configuration Management) 故障管理 (Fault Management) 效能管理 (Performance Management) 會計管理 (Accounting Management) 安全管理 (Security Management)
圖18-1 網路管理的五大功能
組態管理 組態管理(Configuration Management),此一功能決定的是實體上和邏輯上的網路建置規劃。組態的內容包括連接到網路的各裝置、它們的配備(置)、它們的連接方式、以及用來連接它們的其它設施
圖18-2 很多公司的網路組態管理可能是靠Excel試算表或是Word文件
故障管理 如果網路上出現了某些問題對網路某服務造成了不良的干擾影響,那麼它就被視為是“故障”。 故障管理是最重要一種形式的系統或網路管理,能夠快速地偵測到影響網路服務的問題、向管理裝置回報,並且採取可能的改正措施的機制,其重要性當然遠超過其它形式的管理。
網路上故障排除作業,一般的步驟 1.排定優先順序。 2.收集相關資訊。 3.設想可能原因。 4.排除故障問題。 5.測試結果。 6.記錄相關資訊,以供下次參考。
圖18-3 企業一般都會制定故障處理程序
效能管理 網路的效能,直接影響使用者的生產力,你一定有或多或少碰到網路擁塞的情形而急得跳腳。 效能管理牽涉到監視網路效能和適當調整網路。
最常用的效能評估 最常用的效能評估資料通常屬於封包層級,包括以下各項: 傳輸的流量(Throughput)。 線路使用率(Utilization)。 傳輸正確率(Accuracy)。 回應時間(Response Time)。
圖18-4 網路流量統計圖
會計管理(Accounting Management) 會計管理(Accounting Management)包含資產管理(Asset Management)以用於決定網路運作和管理的成本(成本管理),並且監看使用率以為收費依據(收費管理,Chargeback Management)。
圖18-5 企業的會計管理系統的一部份
安全管理 安全管理(Security management)包括所有避免未經授權的個人存取、使用和變更網路的相關措施。其中包括了實體的安全管理、如隔離主要的網路元件,以及邏輯的安全管理、如系統密碼和網路資料加密處理。
圖18-6 諾頓個人防火牆 2006中文版
網路監控通訊協定SNMP和RMON SNMP(Simple Network Management Protocal,簡易網路管理協定) RMON(Remote Monitoring,遠端監視)
圖18-7 網路管理系統的畫面
18-2 網路犯罪種類
網路犯罪 利用網路無權侵入他人之電腦系統篡改、破壞資料、利用網路散佈病毒和蠕蟲、網路詐欺、阻斷服務、非法重製電腦程式或檔案、網路釣魚術、侵害網址名稱與商標權..等。
圖18-8 網路犯罪的種類
侵入他人電腦 常見駭客利用網路的木馬程式,無權侵入他人之電腦系統篡改、破壞資料 刑法第36章濫用電腦罪,本章共有五個條文。對於無故入侵電腦系統者,可處3年以下有期徒刑或併科10萬元以下罰金
圖18-9 入侵電腦案例
散佈病毒和蠕蟲 在網路上散佈病毒和蠕蟲,阻塞網路的通暢,造成個人或企業的巨額損失。 台灣2003年6月刑法三讀通過,意圖供自己或他人犯濫用電腦犯罪罪章之罪,製作電腦病毒、木馬程式、電腦蠕蟲程式等惡意之電腦程式,造成公眾或他人的損害,可處1年以上、7年以下徒刑。
圖18-10散佈病毒造成巨額損失
網路詐欺 再網路上由於是虛擬的社會,更容易假造身份來進行詐欺行為,例如:虛設電子商務網站。2000年網路信用卡交易的騙局至少讓美國威士卡(VISA)集團損失了四千八百萬美金以上。 所觸犯的是刑法三三九條普通詐欺罪,處七年以下有期徒刑。
圖18-11網路詐欺
阻斷服務 DoS(Denial-of-Service)攻擊的做法,就是利用網路系統資源有限( Memory/disk space,network bandwidth 等),加上部分網路系統或者相關通信協定等,在設計或實作上的漏洞,在一段期間內透過大量且密集的封包傳送,達到使被攻擊的網站無法處理,以致許多正常想要連上該網站的用戶,都被阻絕在外,連不上該網站。 網路駭客最常使用的「分散式阻斷攻擊」或「封包洪流」等癱瘓網路攻擊手法,刑法第36章,可處3年以下徒刑。
圖18-12 阻斷服務攻擊案例
非法重製電腦程式或檔案 在網路上非法拷貝及散播盜版軟體,根據估計,透過網際網路拍賣網站銷售的軟體,高達90% 是非法製造或水貨。 可處三年以下有期徒刑、拘役,或科或併科新台幣七十五萬元以下罰金。
圖18-13 軟體侵權案例
網路釣魚 「網路釣魚術」(Phising)是從Fishing一字衍生而成,根據反網路釣魚工作小組(APWG)定義,「Phishing」(網路釣魚)是利用偽造電子郵件與網站作為誘餌,愚弄使用者洩漏如銀行帳戶密碼、信用卡號碼等個人機密資料。 2005年6月初,刑九隊也正式破獲國內首起利用網路釣魚手法,竊取網友銀行戶頭金錢的犯罪事件。
圖18-14 網路釣魚案例
侵害網址名稱與商標權 網址名稱和商標權的爭議,由國外一直延燒到國內,最近發生幾個較著名的案例在國外是美國著名影星Julia Roberts經由WIPO(世界智慧財產權組織),爭取到自己名字的網址名稱的使用權 國內則發生家樂福網址名稱被他人先登記雖未加以使用,但仍被公平會認為是違反公平交易法的案例。
圖18-15 侵害網址案例
其他 當場網路的犯罪多不勝舉,例如:散播販賣色情光碟,媒介色情,自行援交等。
圖18-16 色情網站案例
18-3資訊安全
資訊安全的目標 資訊安全的目標,就是維護資訊的隱密性、完整性、及可用性、以達到鞏固企業的利益,及維持企業的永續經營。
圖18-17 網路交易需具備的功能
共用企業資源重要相關的議題 1.識別使用者身份(帳號)、 2.管理使用者所能存取的資源。
圖18-18 各樣的隨身碟雖然方便卻是犯罪利器
ISO 17799 ISO 17799是國際標準-資訊安全管理(International Standard-Information Security Management)的標準,ISO17799涵蓋了以下資訊安全管理項目: 安全政策 安全組織團體 資產分類和控制 個人資料安全 實體環境安全 傳輸和作業管理 系統發展和維護 入徑控制 持續的商業管理 申訴管理
帳號與密碼 帳號通常會搭配一組密碼,讓使用者存取相關資源之前,一定要先確認該員的身份是不是合格,而登入和密碼認證就是確認使用者身份的步驟。
圖18-19 很多地方都用到帳號和密碼
帳號通常會分成 1. 管理者帳號 2. 一般帳號 3. 來賓帳號
圖18-20 各種帳號
設定密碼原則 設定密碼時請勿使用生日、電話、身份證字號、或具規則性排列,例如:1234,7777等,容易被有心人士猜到的數字。
密碼管理原則 應親自申請且妥善保管(或記憶),不將該密碼交與他人保管。 不要將個人的任何密碼告知他人。 請勿將密碼書寫於明顯且易讓他人取得之處。 經常不定時變更密碼。
權限管理 權限管理係提供系統或電腦相關資源之權限,通常會搭配帳號的分類或群組來做管理。
圖18-21 最常見的是針對檔案和目錄做權限的管理
圖18-22 使用權限維護系統
表18-1 權限控制(規劃)清單
群組管理 通常權限的管理如果以一個一個個別的設定,太浪費時間,所以通常會將一群相同性質的人群組起來,使用群組管理,給予相同的群組權限,讓管理容易也更有效率。
圖18-23 FTP的帳號的群組管理
18-4 資料加密
加密 網路安全中,加密作為一把系統安全的鑰匙,是實現網路安全的重要手段之一,正確的使用加密技術可以確保資訊的安全。
專有名詞 原文或明文(Plaintext or Cleartext):未經加密處理的原始資料。 密文(Ciphertext):指的是經過加密處理的資料。 演算法(Algorithm):進行資料加密或解密的數學演算法則。 金鑰(Key):使用加密或解密時所需要的資訊,等同一把真正的鑰匙一樣。 加密(Encrypt):是將明文資料(Plaintext)轉變為密文資料(Ciphertext) 之處理過程。 解密(Decrypt):是將密文資料轉變為明文資料之處理過程。
加密依照使用金鑰又分兩大類 一. 對稱式加密, 二. 非對稱式加密。
對稱式加密 對稱式(Symmetric)金鑰密碼系統,又稱為祕密金鑰密碼系統(Secret Key Cryptographic System),加密端與解密端均要使用同一把金鑰(即Secret Key),為傳統之加密方式。 演算法有例如DES、Triple DES、IDEA、RC4..等。
圖18-24 對稱式加密
對稱式金鑰密碼系統原理 對稱式(Symmetric)金鑰密碼系統可以將明文轉換為密文。密文使用加密金鑰編碼,對於沒有解密金鑰的任何人來說它都是沒有意義的。 使用對稱金鑰加密通信的雙方,在交換加密資料之前必須先安全地交換金鑰。
圖18-25 金鑰其實是如圖中的一堆數字
非對稱式加密 非對稱式(Asymmetric)金鑰密碼系統,又稱為公開金鑰密碼系統(Public Key Cryptographic System),加密端與解密端使用不同的金鑰。這兩個不同金鑰,一個為私密金鑰(Private Key)由擁有人自行保存、另一個為公開金鑰(Public Key)公諸大眾,兩個金鑰彼此配對使用,稱為金鑰對(Key Pair)。 演算法有RSA、DSA..等。
非對稱式加密有兩種方式 一種是使用送方的私密金鑰加密,和使用送方的公開金鑰解密,可以確保送端的身份,如圖18-26; 另一種是使用收方公開金鑰的加密,和使用收方的私密金鑰解密,可以確保資料的隱密性,如圖18-27。
圖18-26 非對稱加密 (可以確保送端的身份 )
圖18-27 非對稱加密另一方式 (確保資料的隱密性 )
公鑰加密的原理 在公鑰加密中,公鑰可在通信雙方之間公開傳遞,或在公用資料庫中發佈,但相關的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的資料。使用私鑰加密的資料只能用公鑰解密。
18-5數位簽章
數位簽章(Digital Signature)
圖18-28 數位簽章
數位簽章的原理 數位簽章使用功能強大的加密技術,以及公開金鑰基礎結構,先簽章(Digital Sign)、後加密(Encrypting) 方式,使用自己(傳送方)的私密金鑰( Private Key)產生數位簽章,使用對方(傳送方)的公開金鑰(Public Key)再進行解密, 驗證成功:身份確認無誤且資料正確; 驗證失敗:身份無法確認或資料被篡改。
圖18-29 數位元簽章的流程
全球電子簽章法案 2000年5月日本國會通過了電子認證與電子簽章的系列配套法案;2000年6月30日,柯林頓也使用一枚智慧卡簽署了「全球及美國國內商務電子簽章法」;加上已通過電子簽章法的德國、新加坡、義大利、馬來西亞等[55],我國也於2001年10月底通過的電子簽章法,自91.04.01開始施行。
圖18-30 微軟的OFFICE檔也可以加入電子簽章
18-6自然人憑證
自然人憑證 你就需要一張網路身分證,就是「自然人憑證」, 「憑證」包含了「數位簽章」跟「公開金鑰」, 「自然人憑證」具有身分認證、數位簽驗章、加解密的功能。
圖18-31 自然人憑證和讀卡機
自然人憑證申請 「自然人憑證」的申請很簡單,只要上「自然人憑證專屬網站」預約辦卡日期及地點,並攜帶身分證親到戶政事務所申請辦理就可以了
圖18-32「自然人憑證專屬網站」
本章結束 Thanks!!