9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強

Slides:



Advertisements
Similar presentations
97 下學期刑法分則 教學綱要 研究生:范嘉紋製作. 刑法分則 犯罪 財產法益犯罪 人格法益犯罪 社會法益犯罪 國家法益犯罪.
Advertisements

图说 毕业生档案 学生工作部 2016 年 5 月. 毕业生档案 毕业前 文字记载 书面材料 家庭情况政治思想 身体状况学习成绩 高校毕业前文字记载的书面材料 用人单位选拔、聘用毕业生的重 要人事依据 工作后人事档案的基础和雏形 什么是毕业生档案?
1 Chapter 6 網際網路安全協定 Internet Security Protocols.
Public key infrastructure
人生的资产负债表.
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
電子商務安全防護 線上交易安全機制.
第八讲信息安全技术基础 教学目的与要求: 1.了解计算机病毒的概念及特征 2.掌握计算机病毒的防治 教学重点: 1. 计算机病毒的概念及特征
第3章 电子商务的技术基础 3.1 电子商务与计算机网络技术 3.2 电子商务与Web技术 3.3 电子数据交换(EDI)技术
電子商務:數位時代商機‧梁定澎總編輯‧前程文化 出版
資訊安全.
电子商务基础(第二版).
第二讲 电子商务技术 Internet和www技术(重点掌握) 信息处理技术(重点掌握) EDI技术(熟悉) 电子支付系统(熟悉)
第九章 電子金融 2017/3/6.
明志科技大學 總務行政簡報 中華民國 100 年 12 月 15 日.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
第十章 电子支付.
电子金融 第四章 银行卡 第四章 银行卡 第四章 银行卡.
電子商務 Chapter 電子商務的意義 13-2 電子商務的模式 13-3 行動商務 13-4 電子付款系統
宜蘭縣政府衛生局暨十二鄉鎮市衛生所檢驗品質通過ISO15189 醫學領域認證計劃
第18章 网络安全III —身份认证和公钥基础设施
如何準備校務評鑑— 校方處室觀點 土城國小輔導處主任 林德姮.
计算机网络 第 7 章 计算机网络的安全.
中低收入老人生活津貼 中低收入老人生活津貼SOP 應計人口 申請人及其配偶。 負有扶養義務之子女及其配偶。 前款之人所扶養之無工作能力子女。
實施勞退金提撥專案檢查 查核資料說明 報告人:徐維聰.
王品集團 指導老師:吳桂桂老師 組員: 宋宛臻 鄭淑樺 何玉鶯 林貝芯
第五章 电子商务支付技术 本章主要内容: 技术篇 电子支付与电子货币 电子现金、电子钱包、信用卡、电子支票等 支付技术 网上银行与支付网关
农事学实践教程 主讲:XXXX 作物繁种技术.
06資訊安全-加解密.
建设数字化的卫生监督体系 深 圳 市 卫 生 监 督 所 2006年4月.
第五章电子商务安全管理.
Security and Encryption
電子戶籍謄本申辦及驗證實務作業與問題討論
电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制.
大專院校校園e 化 PKI、智慧卡應用與整合.
我的狗為何不汪只咩 日本一隻小貴賓狗要七、八萬台幣。很多有錢的女人都想跟電影明星一樣,牽一隻貴賓狗出門炫耀。 有個聰明的男人於是想出在網上賣小綿羊騙錢的把戲。一隻從英國或是澳洲進口的小綿羊只賣三萬多台幣。一下子有兩千多個女人買了小綿羊回家當貴賓犬養。 後來有個電影明星川上麻衣子上電視談話節目抱怨,他養的小貴賓犬不會汪汪的叫也不吃狗食。眼尖的來賓看出蹊蹺,告訴川上他養的是羊不是狗。
原型法 原型法概述: 原型是一个可以实际运行、反复修改,可以不断完善的系统。.
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
第十一章 網路安全 (Network Security)
理財達人社群.
電子商務 11-1 電子商務概論 11-2 電子商務交易安全與 加密機制 11-3 電子商務交易付費機制
友達光電廠顯影液儲槽事故案 (資料來源:蘋果日報)
第一類學校輔導訪視流程SOP 104年度區域防災及氣候變遷調適 教育服務推廣團計畫 北區防災教育服務團執行,中區與南區服務團協辦
谈一谈: 你的金钱观. 谈一谈: 你的金钱观 中国银行 长城卡 中国工商银行 牡丹卡 中国建设银行 龙卡 中国农业银行 金穗卡.
專題講座 『圖書館學生志工服務簡介』 主講人:朱嫺玢 國立雲林科技大學圖書館 館務發展組組長 國家考試-圖書博物管理職系
医学寄生虫总论 (二).
以憑證中心機制強化跨校無線漫遊認證環境安全 ;
報告單位:會計室 100年09月14日 資料來源:行政院主計總處
資訊安全-資料加解密 主講:陳建民.
電子商務 E-Commerce 梁榮亮 B
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
電子商務付費系統 講師:王忍忠.
计算机安全与保密 (Computer Security and Applied Cryptography )
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第四章 電子商務付費系統 電子商務與網路行銷 (第2版).
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
網路安全期末報告─SSL/TLS 指導教授:梁明章 報告學生:A 徐英智.
Mailto: 資訊安全的管理面思考 國立中央大學.資訊管理系 范錚強 Tel: (03) mailto:
從消費者觀點談 食品安全問題何時了? 江 文 章 臺大食品科技研究所 名譽教授 臺灣保健食品學會 創會理事長
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
電子商務 Electronic Commerce
第4章 电子商务交易安全 电子商务安全概述 电子商务的安全问题 1.卖方面临的问题 (1)中央系统安全性被破坏
Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1)
學生學習檔案製作經驗分享 國際貿易實務課程研習 -- 多元升學與技能證照 2010 /04 /30 台中家商
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
醫療資訊安全 郭士民 作者:劉 立.
2015年雪佛兰经销商7-8月夏季市场活动激励政策 执行手册及模板
深圳信息职业技术学院《电子商务基础》课程组版权所有
Presentation transcript:

9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強 mailto: ckfarn@mgt.ncu.edu.tw http://www.mgt.ncu.edu.tw/~ckfarn 2009.11 updated

大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範

安全威脅有多大? 2007年電腦犯罪及安全調查 美國企業因資訊安全問題而衍生的損失,平均高達35萬 (2006: 17萬) 來源:Computer Security Institute (CSI), CSI Survey 2007 美國企業因資訊安全問題而衍生的損失,平均高達35萬 (2006: 17萬) 46%企業遭受到資訊安全破壞 (2006:53%; 2005: 56%) 52%電腦偵測到非法使用

企業是否有資訊安全事件

安全破壞的損失

資安環境 環境惡劣,你如何自保? 公司資產如何保障?

安全的迷思 防止駭客入侵 防止病毒入侵 隔離外來者 …

資訊安全的威脅 惡意 非人為、無意 硬體破壞 資料破壞 資料外洩 網路入侵 竊盜、搗毀 自然災害、儲存媒體損毀 資料竄改、資料增刪、系統性更動資料 程式師無能、不小心、遺漏 資料外洩 資料複製、網路截取、詐騙 不小心 網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具 ──

非人為、非惡意的破壞 水災 地震 … 莫非定理:只要可能發生,就會發生 會在最不該發生的時間發生 最壞的情況會發生!!

資訊安全的威脅 惡意 非人為、無意 硬體破壞 資料破壞 資料外洩 網路入侵 資料安全不只是MIS的事! 竊盜、搗毀 自然災害、儲存媒體損毀 資料竄改、資料增刪、系統性更動資料 程式師無能、不小心、遺漏 資料外洩 資料複製、網路截取、詐騙 不小心 網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具 ── 資料安全不只是MIS的事!

安全的基本基本觀念 安全不是絕對的 安全是有價的 資訊安全有技術面和人性面 破壞安全者,都是「人」 安全和易用性的兩難 你願意付出什麼樣的代價? 你的安全風險 exposure 有多高? 資訊安全有技術面和人性面 破壞安全者,都是「人」 主要是內部的人 人性!!

安全和易用性 想一想,你回家和出門時… 進門需要開十個鎖 出門需要鎖十道門… 你十天之後會做什麼? 風險和安全措施的對稱

資訊安全的確保 評估風險和損失 針對可能的威脅加以防護 以技術加上制度(或習慣)來防範 鏈條的強度,是最弱一環的強度 瞭解技術的特性 以技術來加強、以制度來確保 鏈條的強度,是最弱一環的強度

你花100萬買了一輛新車 風險和安全措施對稱 請問:以下什麼行動是合理的? 什麼叫合理? 你花了50萬裝了一個防盜設備 你雇用專人24小時輪班看守 你花了3萬買失竊險 什麼叫合理? 風險和安全措施對稱

你家附近最近小偷猖獗 是否有效的改善現況? 你太太提議加裝一套新的鎖頭 你檢驗後,發現新鎖頭雖然是你能負擔的鎖頭中最好的,但還是無法保障100%安全 請問,買不買? 是否有效的改善現況?

最常聽到的安全管制 密碼 加解密 Triple DES, RSA, … SSL, SET PKI, CA 防火牆 VPN ……

想想看…2003年發生的事 花旗銀行的網路信用卡資料洩密案 金資中心的大批密碼外洩案 ATM大批盜領案 進入網頁使用循序碼 程式撰寫不當 委外管理(系統上線的管制)疏忽 金資中心的大批密碼外洩案 人員管理不當 ATM大批盜領案 側錄密碼

另外一些實例 你休假、出差,主管和你要你的密碼… 你管理電腦機房,總經理要帶朋友進入 你的部屬將密碼寫在黃紙條,貼在電腦上 你該給嗎?你能不給嗎?你憑什麼能不給? 你管理電腦機房,總經理要帶朋友進入 你該讓嗎?是否要辦什麼手續? 你能不讓嗎?你憑什麼能不讓? 你的部屬將密碼寫在黃紙條,貼在電腦上 你該管嗎?你憑什麼管?

安全的「洋蔥」 通訊管制 企業環境 法律環境 保險 安全方案 國際標準 企業體 流程 管制 人事管制 文件 使用者 復原計畫 安全政策 應用軟體 輸入輸出管制 程式 管制 稽核 軌跡 進出管控 隔離 操作管制 硬體 資料

一些安全技術的簡單原理 防毒 防止木馬程式 木馬:希臘神話中,特洛依Troy的木馬屠城 加解密 PKI/CA 身份確認 備份

防止病毒 電子檔案 病毒碼 電腦程式 防毒軟體 分析檔案 比對病毒碼 修補或隔離 通過檢驗

你需要知道的防毒行動 關鍵 來源 你的病毒碼是什麼時候更新的? 檔案、程式、資料的來源是否可靠? 不明來源的儲存媒體(光碟、磁碟等) 新的病毒無法防止 檔案、程式、資料的來源是否可靠? 來源 不明來源的儲存媒體(光碟、磁碟等) 電子郵遞 執行檔、自動執行檔、文件中的巨集(macro)

加密解密──一般觀念 例子:我的電話 0916059841 簡單的加密, 乘積 更簡單的方法,猜猜看如何解密? 乘上13—011908777933 我送給你,你除以13就有答案了 更簡單的方法,猜猜看如何解密? 9807797118664201455098988941401426975 9807797118664201455098988941401426975 9807797118664201455098988941401426975 關鍵:我們對加解密的方法需要保密──這世界有絕對機密嗎?

對稱式金鑰 S 加密 信息 明文 信息 密文 解密 R 信息 密文 信息 明文

一些對稱式金鑰相關的名詞 DES, 2DES, 3DES 軟體加密 硬體加密 56bit, 112bit, 168bit密鑰長度 成本低 消耗電腦資源 硬體加密 速度快

電子交易的安全需求 防止機密或敏感性資料外洩 鑑別對方的身分 防止資料被竄改或偽造 防止事後否認 請出示 網際網路 身分證明 我要付款 $$$

兩把鑰匙的觀念 你到銀行開個保險箱 開戶 使用 你安全嗎?為何? 身份確認 取得鑰匙──私鑰 身份確認、使用登錄 行員持公鑰,和你的私鑰一同開啟 你安全嗎?為何?

非對稱金鑰 又稱RSA加密 由R/S/A三位學者發明,由數學方式產生一對不相同的金鑰 兩者之間無法經由任何數學運算獲得,必須同時產生 其中之一由私人保存,另一個則公開 經由私鑰加密者,只能由公鑰解密,反過來也一樣

非對稱式金鑰,防止外洩 S R公鑰加密 信息 明文 信息 密文 R私鑰解密 R 信息 密文 信息 明文

非對稱式金鑰,防止否認 S R公鑰加密 信息 明文 信息 密文 S私鑰加密 R私鑰解密 R 信息 密文 信息 明文 S公鑰解密

PKI/CA PKI – Public Key Infrastructure CA – Certificate Authority 公開金鑰架構 利用非對稱金鑰來進行的加解密機制 CA – Certificate Authority 憑證中心:公鑰憑證發行單位 需要有公信力 有層級性的發行單位

非對稱金鑰的發行 公鑰憑證 電子文件 事前向有公信 XXXX契約 力的憑證機構 註冊,由其簽 CA簽章 發公鑰憑證。 110111001 發證者名稱 有效日期 持有人姓名 持有人公鑰 事前向有公信 力的憑證機構 註冊,由其簽 發公鑰憑證。 XXXX契約 CA簽章 數位簽章 110111001 X509 (類似印鑑登記) 范錚強 一對一配對 關係 公開供鑑別 簽署者身分 簽章私鑰 簽章公鑰

電子認證 憑證 中心 網際服務網 提供服務的企業 接受各界查詢並確認 電子印鑑使用者的身分 核 申 發 請 向認證中心查證 電 線上處理 5 電子文件 接受各界查詢並確認 電子印鑑使用者的身分 0101010101 范錚強 核 發 1 申 請 電 子 印 鑑 2 向認證中心查證 電子印鑑之真偽 4 范錚強 網際服務網 電子 證書 ─提供線上申辦服務 3 線上申請 電子文件 附上電子簽章 范錚強 0101010101 其他企業 15 顧客 15 16

一些常用的安全機制 SSL Secure Socket Layer SET Secure Electronic Transaction

SSL 利用使用者不需知覺的情況之下,在網路傳輸兩點之間,進行非對稱加密的傳輸安全機制的協定 向銀行請款 SSL 加解密 密文 他可靠嗎?

SET 消費者的資料經由電子商店傳遞給發卡銀行,由銀行解密,授權商店接受。電子商店無法讀取顧客的信用卡資料 加解密 向銀行請 求授權 密文

SET vs SSL 易用性決定! SET 較為安全 兩大國際信用卡組織(VISA, MasterCard)皆支持SET

問題:你不用網路,信用卡資料就安全了嗎? 你是否使用傳真授權表買機票?付旅行團費? 你是否在餐廳把信用卡交給店小二? 他幫你到櫃臺結帳 你是否在加油站將信用卡交給工讀生? 他幫你拿到另一個加油島去刷卡 你是否使用信用卡? 你消費的商店裡保存了你的資料

個人身份確認 密碼 實體鑰匙加上密碼 生物辨識 身份確認的意義 4碼?8碼?規定定期更改? 指紋、聲音、眼珠、面貌等 資訊存取 稽核軌跡──法律證據

個人身份確認2 安全漏洞! 破壞稽核軌跡、無法重現犯罪現場 很多人將密碼寫在容易取得的地方 有很多人將密碼交給主管 以防忘記 甚至不設定密碼 萬一有法律訴訟,請問法院認定誰做了那些行為? 誰負責? 安全漏洞! 破壞稽核軌跡、無法重現犯罪現場

SOP怎麼規定的? SOP: Standard Operating Procedure SOP 對洩漏密碼是否有規範? 標準作業程序 SOP 對洩漏密碼是否有規範? 公司是否允許持有大門鑰匙的人,將鑰匙放在公司大門口旁的樹下? SOP 是否允許提供密碼給主管、部屬或代理人? 人工作業如何做的?

技術掛帥的環境 重視實體安全、通訊安全 忽略管理面、人性面 幸好… 資訊安全防護在1999/2000年,出現國際標準:BS7799/ISO17799 後來改為ISO27001

BS7799/ISO17799 英國的資訊安全標準 被國際標準組織接受 內容:資訊安全的管控 從政策、程序、存取、復原等 完整的資訊安全考量

BS7799 的安全十大項目 安全政策:提供管理面的指導性原則 安全組織 資產分類與管理 人事管制 實體和環境安全 依風險和損害對資產採取分級分類 人事管制 減少人為錯誤、偷竊、欺詐或濫用設施的風險 實體和環境安全

BS7799 的主要內容2 通訊與操作管制 存取管制 安全體系的建立和維持 復原計畫 符合法律和規章 防止商業活動的中斷,並保護關鍵的業務過程免受重大故障或災難的影響 符合法律和規章

安全管理重點 Process life cycle control SOP Check and balance Recovery 全程的管理和安全確保,而非侷限於技術面 SOP 做你說你要做的事,但你要做什麼?為何? Check and balance 權責分離、制衡 Recovery 萬一出事,如何處理?

So What? 對您個人的意義呢? 你負責哪一些資訊資產? 你的有哪些實體安全顧慮? 你有哪些通訊安全措施? 有什麼存取管制習慣? 家用電腦?手提電腦?掌上電腦? 你有哪些通訊安全措施? 有什麼存取管制習慣? 你是否有復原計畫? 備份?備份的安全?

結論 安全非常重要,但並非絕對 安全不一定「最」重要 技術面只是「必要條件」 配套的「制度」或「個人習慣」 必須瞭解風險和替代方案 必須瞭解安全計畫的目的 技術面只是「必要條件」 所有技術方案都可能有管理面的破解方法 配套的「制度」或「個人習慣」