第18章 網路管理和資訊安全

18-1 網路管理

網路管理五大功能領域 國際標準組織(ISO，International Standards Organization)在1989年發表ISO 7489-4號文件，定義了以下網路管理五大功能領域，包含： 組態管理 (Configuration Management) 故障管理 (Fault Management) 效能管理 (Performance Management) 會計管理 (Accounting Management) 安全管理 (Security Management)

圖18-1 網路管理的五大功能

組態管理 組態管理（Configuration Management），此一功能決定的是實體上和邏輯上的網路建置規劃。組態的內容包括連接到網路的各裝置、它們的配備(置)、它們的連接方式、以及用來連接它們的其它設施

圖18-2 很多公司的網路組態管理可能是靠Excel試算表或是Word文件

故障管理 如果網路上出現了某些問題對網路某服務造成了不良的干擾影響，那麼它就被視為是“故障”。 故障管理是最重要一種形式的系統或網路管理，能夠快速地偵測到影響網路服務的問題、向管理裝置回報，並且採取可能的改正措施的機制，其重要性當然遠超過其它形式的管理。

網路上故障排除作業，一般的步驟 1.排定優先順序。 2.收集相關資訊。 3.設想可能原因。 4.排除故障問題。 5.測試結果。 6.記錄相關資訊，以供下次參考。

圖18-3 企業一般都會制定故障處理程序

效能管理 網路的效能，直接影響使用者的生產力，你一定有或多或少碰到網路擁塞的情形而急得跳腳。 效能管理牽涉到監視網路效能和適當調整網路。

最常用的效能評估 最常用的效能評估資料通常屬於封包層級，包括以下各項： 傳輸的流量(Throughput)。 線路使用率(Utilization)。 傳輸正確率(Accuracy)。 回應時間(Response Time)。

圖18-4 網路流量統計圖

會計管理（Accounting Management） 會計管理（Accounting Management）包含資產管理(Asset Management)以用於決定網路運作和管理的成本（成本管理），並且監看使用率以為收費依據（收費管理，Chargeback Management）。

圖18-5 企業的會計管理系統的一部份

安全管理 安全管理（Security management）包括所有避免未經授權的個人存取、使用和變更網路的相關措施。其中包括了實體的安全管理、如隔離主要的網路元件，以及邏輯的安全管理、如系統密碼和網路資料加密處理。

圖18-6 諾頓個人防火牆 2006中文版

網路監控通訊協定SNMP和RMON SNMP(Simple Network Management Protocal，簡易網路管理協定) RMON(Remote Monitoring，遠端監視)

圖18-7 網路管理系統的畫面

18-2 網路犯罪種類

網路犯罪 利用網路無權侵入他人之電腦系統篡改、破壞資料、利用網路散佈病毒和蠕蟲、網路詐欺、阻斷服務、非法重製電腦程式或檔案、網路釣魚術、侵害網址名稱與商標權..等。

圖18-8 網路犯罪的種類

侵入他人電腦 常見駭客利用網路的木馬程式，無權侵入他人之電腦系統篡改、破壞資料 刑法第36章濫用電腦罪，本章共有五個條文。對於無故入侵電腦系統者，可處3年以下有期徒刑或併科10萬元以下罰金

圖18-9 入侵電腦案例

散佈病毒和蠕蟲 在網路上散佈病毒和蠕蟲，阻塞網路的通暢，造成個人或企業的巨額損失。 台灣2003年6月刑法三讀通過，意圖供自己或他人犯濫用電腦犯罪罪章之罪，製作電腦病毒、木馬程式、電腦蠕蟲程式等惡意之電腦程式，造成公眾或他人的損害，可處1年以上、7年以下徒刑。

圖18-10散佈病毒造成巨額損失

網路詐欺 再網路上由於是虛擬的社會，更容易假造身份來進行詐欺行為，例如：虛設電子商務網站。2000年網路信用卡交易的騙局至少讓美國威士卡(VISA)集團損失了四千八百萬美金以上。 所觸犯的是刑法三三九條普通詐欺罪，處七年以下有期徒刑。

圖18-11網路詐欺

阻斷服務 DoS(Denial-of-Service)攻擊的做法，就是利用網路系統資源有限( Memory/disk space，network bandwidth 等)，加上部分網路系統或者相關通信協定等，在設計或實作上的漏洞，在一段期間內透過大量且密集的封包傳送，達到使被攻擊的網站無法處理，以致許多正常想要連上該網站的用戶，都被阻絕在外，連不上該網站。 網路駭客最常使用的「分散式阻斷攻擊」或「封包洪流」等癱瘓網路攻擊手法，刑法第36章，可處3年以下徒刑。

圖18-12 阻斷服務攻擊案例

非法重製電腦程式或檔案 在網路上非法拷貝及散播盜版軟體，根據估計，透過網際網路拍賣網站銷售的軟體，高達90% 是非法製造或水貨。 可處三年以下有期徒刑、拘役，或科或併科新台幣七十五萬元以下罰金。

圖18-13 軟體侵權案例

網路釣魚 「網路釣魚術」（Phising）是從Fishing一字衍生而成，根據反網路釣魚工作小組（APWG）定義，「Phishing」（網路釣魚）是利用偽造電子郵件與網站作為誘餌，愚弄使用者洩漏如銀行帳戶密碼、信用卡號碼等個人機密資料。 2005年6月初，刑九隊也正式破獲國內首起利用網路釣魚手法，竊取網友銀行戶頭金錢的犯罪事件。

圖18-14 網路釣魚案例

侵害網址名稱與商標權 網址名稱和商標權的爭議，由國外一直延燒到國內，最近發生幾個較著名的案例在國外是美國著名影星Julia Roberts經由WIPO（世界智慧財產權組織），爭取到自己名字的網址名稱的使用權 國內則發生家樂福網址名稱被他人先登記雖未加以使用，但仍被公平會認為是違反公平交易法的案例。

圖18-15 侵害網址案例

其他 當場網路的犯罪多不勝舉，例如：散播販賣色情光碟，媒介色情，自行援交等。

圖18-16 色情網站案例

18-3資訊安全

資訊安全的目標 資訊安全的目標，就是維護資訊的隱密性、完整性、及可用性、以達到鞏固企業的利益，及維持企業的永續經營。

圖18-17 網路交易需具備的功能

共用企業資源重要相關的議題 1.識別使用者身份(帳號)、 2.管理使用者所能存取的資源。

圖18-18 各樣的隨身碟雖然方便卻是犯罪利器

ISO 17799 ISO 17799是國際標準-資訊安全管理(International Standard-Information Security Management)的標準，ISO17799涵蓋了以下資訊安全管理項目： 安全政策 安全組織團體 資產分類和控制 個人資料安全 實體環境安全 傳輸和作業管理 系統發展和維護 入徑控制 持續的商業管理 申訴管理

帳號與密碼 帳號通常會搭配一組密碼，讓使用者存取相關資源之前，一定要先確認該員的身份是不是合格，而登入和密碼認證就是確認使用者身份的步驟。

圖18-19 很多地方都用到帳號和密碼

帳號通常會分成 1. 管理者帳號 2. 一般帳號 3. 來賓帳號

圖18-20 各種帳號

設定密碼原則 設定密碼時請勿使用生日、電話、身份證字號、或具規則性排列，例如:1234，7777等，容易被有心人士猜到的數字。

密碼管理原則 應親自申請且妥善保管(或記憶)，不將該密碼交與他人保管。 不要將個人的任何密碼告知他人。 請勿將密碼書寫於明顯且易讓他人取得之處。 經常不定時變更密碼。

權限管理 權限管理係提供系統或電腦相關資源之權限，通常會搭配帳號的分類或群組來做管理。

圖18-21 最常見的是針對檔案和目錄做權限的管理

圖18-22 使用權限維護系統

表18-1 權限控制(規劃)清單

群組管理 通常權限的管理如果以一個一個個別的設定，太浪費時間，所以通常會將一群相同性質的人群組起來，使用群組管理，給予相同的群組權限，讓管理容易也更有效率。

圖18-23 FTP的帳號的群組管理

18-4 資料加密

加密 網路安全中，加密作為一把系統安全的鑰匙，是實現網路安全的重要手段之一，正確的使用加密技術可以確保資訊的安全。

專有名詞 原文或明文(Plaintext or Cleartext)：未經加密處理的原始資料。 密文(Ciphertext)：指的是經過加密處理的資料。 演算法(Algorithm)：進行資料加密或解密的數學演算法則。 金鑰(Key)：使用加密或解密時所需要的資訊，等同一把真正的鑰匙一樣。 加密(Encrypt)：是將明文資料(Plaintext)轉變為密文資料(Ciphertext) 之處理過程。 解密(Decrypt)：是將密文資料轉變為明文資料之處理過程。

加密依照使用金鑰又分兩大類 一. 對稱式加密， 二. 非對稱式加密。

對稱式加密 對稱式（Symmetric）金鑰密碼系統，又稱為祕密金鑰密碼系統(Secret Key Cryptographic System），加密端與解密端均要使用同一把金鑰（即Secret Key），為傳統之加密方式。 演算法有例如DES、Triple DES、IDEA、RC4..等。

圖18-24 對稱式加密

對稱式金鑰密碼系統原理 對稱式（Symmetric）金鑰密碼系統可以將明文轉換為密文。密文使用加密金鑰編碼，對於沒有解密金鑰的任何人來說它都是沒有意義的。 使用對稱金鑰加密通信的雙方，在交換加密資料之前必須先安全地交換金鑰。

圖18-25 金鑰其實是如圖中的一堆數字

非對稱式加密 非對稱式（Asymmetric）金鑰密碼系統，又稱為公開金鑰密碼系統（Public Key Cryptographic System），加密端與解密端使用不同的金鑰。這兩個不同金鑰，一個為私密金鑰(Private Key)由擁有人自行保存、另一個為公開金鑰(Public Key)公諸大眾，兩個金鑰彼此配對使用，稱為金鑰對（Key Pair）。 演算法有RSA、DSA..等。

非對稱式加密有兩種方式 一種是使用送方的私密金鑰加密，和使用送方的公開金鑰解密，可以確保送端的身份，如圖18-26； 另一種是使用收方公開金鑰的加密，和使用收方的私密金鑰解密，可以確保資料的隱密性，如圖18-27。

圖18-26 非對稱加密 (可以確保送端的身份 )

圖18-27 非對稱加密另一方式 (確保資料的隱密性 )

公鑰加密的原理 在公鑰加密中，公鑰可在通信雙方之間公開傳遞，或在公用資料庫中發佈，但相關的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的資料。使用私鑰加密的資料只能用公鑰解密。

18-5數位簽章

數位簽章(Digital Signature)

圖18-28 數位簽章

數位簽章的原理 數位簽章使用功能強大的加密技術，以及公開金鑰基礎結構，先簽章(Digital Sign)、後加密(Encrypting) 方式，使用自己（傳送方）的私密金鑰( Private Key)產生數位簽章，使用對方（傳送方）的公開金鑰(Public Key)再進行解密， 驗證成功：身份確認無誤且資料正確； 驗證失敗：身份無法確認或資料被篡改。

圖18-29 數位元簽章的流程

全球電子簽章法案 2000年5月日本國會通過了電子認證與電子簽章的系列配套法案；2000年6月30日，柯林頓也使用一枚智慧卡簽署了「全球及美國國內商務電子簽章法」；加上已通過電子簽章法的德國、新加坡、義大利、馬來西亞等[55]，我國也於2001年10月底通過的電子簽章法，自91.04.01開始施行。

圖18-30 微軟的OFFICE檔也可以加入電子簽章

18-6自然人憑證

自然人憑證 你就需要一張網路身分證，就是「自然人憑證」， 「憑證」包含了「數位簽章」跟「公開金鑰」， 「自然人憑證」具有身分認證、數位簽驗章、加解密的功能。

圖18-31 自然人憑證和讀卡機

自然人憑證申請 「自然人憑證」的申請很簡單，只要上「自然人憑證專屬網站」預約辦卡日期及地點，並攜帶身分證親到戶政事務所申請辦理就可以了

圖18-32「自然人憑證專屬網站」

本章結束 Thanks!!