第十二章 網路安全的認識與防範 課前指引 隨著網路的盛行,除了帶給人們許多的方便外,也帶來許多安全上的問題,例如駭客、電腦病毒、網路竊聽、隱私權困擾等。當我們可以輕易取得外界資訊的同時,相對的外界也可能進入電腦與網路系統中。 在這種門戶大開的情形下,對於商業機密或個人隱私的安全性,都將岌岌可危。因此如何在網路安全的課題上 ,纔續努力與改善,將是本章討論的重點 ·
章節大綱 12-1 資訊安全的範圍 12-5 電腦防毒措施 12-2 常見網路犯罪模式 12-6 資料加密簡介 12-3 電腦病毒 12-1 資訊安全的範圍 12-5 電腦防毒措施 12-2 常見網路犯罪模式 12-6 資料加密簡介 12-3 電腦病毒 12-7 防火牆簡介 12-4 防毒軟體簡介 12-8 安裝免費網路安全軟體— Avira AntiVir 備註:可依進度點選小節
12-1 資訊安全的範圍 資訊安全所涉及的影響範圍包括了軟體與硬體層面,可區分成四類 天然災害 人為疏失 機件故障 惡意破壞
12-1 資訊安全的範圍 漫談資訊安全 實體安全:硬體建築物與週遭環境的安全與管制。例如對網路線路或電源線路的適當維護。 資料安全:確保資料的完整性與私密性,並預防非法入侵者的破壞,例如不定期做硬碟中的資料備份動作。 程式安全:維護軟體開發的效能、品管、除錯與合法性。例如提升程式寫作品質。 系統安全:維護電腦與網路的正常運作,例如對使用者宣導及教育訓練。
12-1 資訊安全的範圍 網路安全的定義 對於網路安全而言,很難有一個十分嚴謹而明確的定義或標準。例如就個人使用者,可能只是代表在網際網路上瀏覽時,個人資料或自己的電腦不被竊取或破壞。不過對企業組織而言,可能就代表著進行電子交易時的安全考量、系統正常運作與不法駭客的入侵等。
12-1 資訊安全的範圍 網路安全的定義 從廣義的角度來看,網路安全所涉及的範圍包含軟體與硬體兩種層面,例如網路線的損壞、資料加密技術的問題、伺服器病毒感染與傳送資料的完整性等。 如果從更實務面的角度來看,那麼網路安全所涵蓋的範圍,就包括了駭客問題、隱私權侵犯、網路交易安全、網路詐欺與電腦病毒等。
12-2 常見網路犯罪模式 雖然網路帶來了相當大的便利,但相對地也提供了一個可能或製造犯罪的管道與環境。 現在利用電腦網路犯罪的模式遠比早期的電腦病毒來得複雜,且造成的傷害也更為深遠與廣泛。
12-2 常見網路犯罪模式 駭客攻擊 駭客(hacker)就是專門侵入他人電腦,並且進行破壞的行為。目的可能為竊取機密資料或找出該系統防護的缺陷。 多半的駭客是藉由Internet 侵入對方主機,接著可能偷窺個人私密資料、毀壞網路、更改或刪除檔案、上傳或下載重要程式或攻擊「網域名稱們服器」(DNS)等等。 24小時寬頻上網,讓使用者隨時處於連線狀態,更製造了駭客侵的可能機會。
12-2 常見網路犯罪模式 駭客攻擊
網路竊聽 當封包從一個網路傳遞到另一個網路時,在所建立的網路連線路徑中,包含了私人網路區段(例如使用者電話線路、網站伺服器所在區域網路等)及公眾網路區段。 資料在這些網路區段中進行傳輸時,大部分都是採取廣播方式來進行,因此有心竊聽者不但可能擷取網路上的封包進行分析,也可以直接在網路閘道口的路由器設個竊聽程式,用來尋找例如IP位址、帳號、密碼、信用卡卡號等私密性質的內容,並利用這些來進行系統的破壞或取得不法利益。
網路釣魚 「網路釣魚」(Phishing)是phreak(偷接電話線的人)和fishing(釣魚)兩個字的組合。 利用偽造電子郵件與網站作為「誘餌」,輕則讓受害者不自覺洩漏私人資料,成為垃圾郵件業者的名單,重則電腦可能會被植入病毒,造成系統毀損或重要資訊被竊。 而最危險的情況則是誘騙受害者的個人機密資料,網路釣魚者再伺機盜領受害者的存款或盜刷信用卡。
個人私密資料的監視與濫用 網站在收集使用者資料之前應該告知使用者,資料內容將如何被收集及如何進一步使用處理資訊,並且要求資料的隱密性與完整性。而目前最常用來追蹤使用者行為的方式,就是使用Cookie這樣的小型文字檔。 它的作用是透過瀏覽器在使用者電腦上記錄使用者瀏覽網頁的行為,網站經營者可以利用Cookies來瞭解到使用者的造訪記錄,例如造訪次數、瀏覽過的網頁、購買過哪些商品等。 續下頁
續下頁
密碼的保護 另外有些較粗心的上網使用者往往會將帳號或密碼設定成類似的代號,或者以生日、身分證字號、有意義的英文單字等容易記憶的字來做為登入系統的驗證密碼。因此盜用密碼也是網路人侵者常用的手段之一。
密碼的保護 盜用密碼的方法除討可以利用「暴力式猜測工具」(Bruteforce tools)來進行類似字典檔方式的暴力對比,最後猜一出正確的密碼,也能利用網路監聽的方式來竊取封包內的私密資料(如帳號、密碼、信用卡資料等)。
12-3 電腦病毒 電腦病毒是一種入侵電腦的惡意程式,會造成許多不同種類的損壞,例如,刪除資料檔案、移除程式或摧毀在硬碟中發現的任何東西。並非所有的病毒都會造成損壞,有些只是顯示特定的訊息。 這個程式具有特定的邏輯,且具有自我複製、潛伏、破壞電腦系統等特性,這些行為與生物界中的病毒之行為模式確實極為類似,因此稱這類的程式碼為電腦病毒。
12-3 電腦病毒 電腦中毒徵兆
電腦病毒種類 開機型病毒 又稱系統型病毒,這類型的病毒會潛伏在硬碟的開機磁區,也就是硬碟的第0軌第1磁區處。 在開機後系統載入之前先行進入記憶體之中,有的會干擾您的系統而導致無法正常開機,有的則會讓您的系統正常執行,然而在開機後於背景從事傳染或破壞行為。 早期常見的開機型病毒有STONE、Brain、DISK KILLER、MUSICBUG等等。 續下頁
開機型病毒會在作業系統載入前先行進入記憶體
檔案型病毒
混合型病毒 具有開機型病毒與檔案型病毒的特性,它一方面會感染其它的檔案,一方面也會傳染系統的記憶體與開機磁區,感染的途徑通常是執行了含有病毒的程式,當程式關閉後,病毒程式仍然長駐於記憶體中不出來,當其它的磁片與此台電腦有存取的動作時,病毒就會伺機感染磁片中的檔案與開機磁區。 續下頁
混合型病毒會依附檔案中,也會潛伏於開機磁區
千面人病毒 正如它的名稱上所表明的,擁有不同的面貌,它每複製一次,所產生的病毒程式碼就會有所不同,因此對於那些使用病毒碼比對的防毒軟體來說,是頭號頭痛的人物,就像是帶著面具的病毒,例如Whale病毒、Flip病毒就是這類型的病毒。 續下頁
有如面具怪客的千面人病毒
巨集病毒 巨集病毒是一種新型態的檔案型病毒,巨集是一些指令的集合,可以協助文書處理者或應用程式使用者將一些經常性的指令加以組合,以完成特定的批次動作。 巨集病毒大都是以微軟的Word文書處理軟體中之巨集來設計的,由於在Word中可以使用程式碼來編輯巨集,雖然其所使用的VBA(Visual Basic for Applications)十分簡單,然後其具有程式語言編輯的特性,就足以構成有心人士用來設計病毒的條件,例如最著名的Taiwan No.1、美女拳病毒等。
蠕蟲 蠕蟲(Worm)病毒就如其名稱上所表明的,它會從一台電腦「爬行」至另一台電腦,今日的蠕蟲病毒主要是以網路為傳播的媒介,電腦蠕蟲會自行複製到許多網際網路上的主機電腦,最後讓網際網路癱瘓。 在二十一世紀初曾經造成了許多重大的網路災害,其攻擊的方式多為主動式的攻擊,特徵是在背景執行,使用者不易發現它的存在,在這邊依傳播的途徑可分為郵件蠕蟲與網路漏洞蠕蟲。
特洛伊式病毒 也稱之為木馬病毒,嚴格來說它並不算是病毒,基本上它不具有傳染或特別的破壞方式,它是有心人士特意撰寫的程式,也許是包裝為一封電子賀卡,也許是一個有趣的小遊戲,總之目的就是在引誘使用者開啟該程式,一旦執行了該程式,它就會在系統中長駐,並在系統上開啟一些漏洞,將使用者的資料送回至有心人士的手中,或是作為有心人士入侵系統的管道。
12-4 防毒軟體簡介 檢查病毒需要防毒軟體,這些軟體可以掃描磁碟和程式,尋找已知的病毒並清除它們。安裝在系統上並啟動後,有效的防毒程式在你每次插入任何種類磁片或使用你網路擷取檔案時,都會自動檢查以尋找受感染的檔案。此外,新型病毒幾乎每天隨時發佈,所以並沒有任何程式能提供絕對的保護。因此病毒碼必須定期加以更新。防毒軟體可以透過網路連接伺服器並自行判斷有無更新版本的病毒碼,如果有的話就會自行下載、安裝以完成病毒碼的更新。 續下頁
12-4 防毒軟體簡介 諾頓防毒 是由賽門鐵克(Symantec) 公司所研發的個人電腦防毒軟體,賽門鐵克公司總部位於美國加州Cupertino,其最方便的功能莫過於線上病毒碼的更新作業,讓使用者可以直接透過程式進行病毒碼的更新。 除了防毒軟體之外,該公司尚開發有電腦系統維護、防火牆、系統備份等相關的電腦安全程式,在世界各地都保有一定數量的使用者,賽門鐵克公司的網頁位址為:http://www.symantec.com/index.jsp,中文網頁位址為http://www.symantec.com/zh/tw/index.jsp。 續下頁
賽門鐵克的中文網頁
趨勢PC-cillin 趨勢科技的網頁位址為http://www.trend.com,在趨勢的網站上提供有詳細的電腦病毒基本常識,您可以連上該網站以取得更詳細的資訊: 趨勢科技中文網頁 圖片來源:http://tw.trendmicro.com/tw/home/
微軟校園授權防毒軟體
免費防毒軟體大放送 在「史萊姆的第一個家」(http://www.slime.com.tw/) 收錄許多實用的軟體資訊及下載路徑,並以完整分類的方式,簡介了各種軟體的優劣。 以防毒軟體為例,在這個網站中可以找到許多實用的防毒軟體,有的完全免費,有的個人版免費但商業版需要收費。
12-5 電腦防毒措施 不隨意下載檔案 病毒程式可能藏身於一般程式中,使用者透過FTP 或網頁將含有病毒的程式下載到電腦中,並且執行該程式,結果就會導致電腦系統及其它程式感染病毒。
不使用不明的儲存媒體 如果各位使用來路不明的儲存媒體( 軟式磁碟、用CD-R 系統製作的CD、高容量軟式磁碟等),病毒可能藏在磁片的開機區或藏在磁片上的可執行檔,也會將病毒感染到使用者電腦中的檔案或程式。
不透過電子郵件附加檔案傳遞 藏有病毒的附加檔案看起來可能僅是一般的文件檔案,例如Word 文件檔,但實際上此份文件中卻是包含了「巨集病毒」。 由於e-mail 病毒使得使用者可能自中毒的訊息感染病毒,為了避免電子郵件病毒,應該設定電子郵件程式不要收由HTML 格式所編碼的信件,除非知道送件者,否則避免打開附件檔案。 甚至在還沒有經過掃毒軟體掃描是否感染前,千萬不要開啟郵件附件。
安裝防毒軟體 安裝防毒軟體,並養成時常更新病毒碼與定期掃毒的習慣。 這個動作相當的重要, 防毒軟體雖然無法防堵所有的病毒,但是它可以為您建立起一道最基本的防線,在最低的限度上,至少可以少受一些舊病毒的侵擾。 除了購買防毒軟體之外,各位也可以直接連線到中華電信所提供的HiNet 掃毒網頁。
小心使用隨身碟 USB 隨身碟是一種可將常用的文件或資料隨身攜帶,並且在任何的電腦與作業系統中交換資料,使用者只要將它插入電腦的USB 插座中,即可存取其中的資料內容,而且不需要將電腦重新開機或關機,最近越來越多病毒會主動感染USB 隨身碟,由於使用普及,導致病毒快速傳播,造成連鎖的感染。 防毒的方法在插入隨身碟前,關閉Windows 的自動播放功能,或者放入隨身碟時請趕緊壓按 shift 鍵以暫時取消 autorun 的功能,當然也可在隨身碟中建立autorun.inf 資料夾,防止病毒寫入 autorun.inf 檔案。
12-6 資料加密簡介 資料在加密前稱為「明文」(Plaintext),經過加密後則稱為「密文」(Ciphertext)。 經過加密的資料在送抵目的端後,必須經過「解密」(Decrypt) 的程序,才能將資料還原成原來的內容,而這個加/ 解密的機制則稱為「金鑰」(Key)。至於資料加密及解密的流程如下圖所示:
對稱鍵值加密系統 是由資料傳送者利用「秘密金鑰」將文件加密,使文件成為一堆的亂碼後,再加以傳送。 而接收者收到這個經過加密的密文後,再使用相同的「秘密金鑰」,將文件還原成原來的模樣。 續下頁
常見的對稱鍵值加密系統演算法有DES(Data Encryption Standard,資料加密標準)、Triple DES、IDEA(International Data Encryption Algorithm,國際資料加密演算法)等。
非對稱鍵值加密系統 此種加密系統主要的運作方式,是以兩把不同的金鑰(Key) 來對文件進行加/ 解密。 例如使用者A 要傳送一份新的文件給使用者B,使用者A 會利用使用者B 的公開金鑰來加密,並將密文傳送給使用者B。 當使用者B 收到密文後,再利用自己的私密金鑰解密。過程如下圖所示: 續下頁
至於目前普遍使用的非對稱性加密法為RSA 加密法, 它是由Rivest、Shamir 及Adleman 所發明。RSA 加密法的鑰匙長度不固定,鑰匙的長度約在 40 個位元到 1024 位元間。
認證 為了避免使用者A發送資料後卻否認,或是有人冒用使用者A的名義傳送資料而不自知,我們需要對資料進行認證的工作。後來又衍生出了第三種加密方式,它是結合了上述兩種加密方式。 首先先以使用者B的公開鑰匙加密,接著再利用使用者A的私有鑰匙做第二次加密。使用者B在收到密文後,先以A的公開鑰匙進行解密,此舉可確認訊息是由A所送出。接著再以B的私有鑰匙解密,若能解密成功,則可確保訊息傳遞的私密性,這就是所謂的「認證」。
數位簽章 「數位簽章」的運作方式是以公開金鑰及雜湊函式互相搭配使用,使用者A先將明文的M以雜湊函數計算出雜湊值H,接著再用自己的私有鑰匙對雜湊值H加密,加密後的內容即為「數位簽章」。 想要使用數位簽章,當然第一步必須先向認證中心(CA)申請電子證書(Digital Certificate),它可用來證公開金鑰為某人所有及訊息發送者的不可否認性,而認證中心所核發的數位簽章則包含在電子證書上。
12-7 防火牆簡介 認識防火牆 防火牆最早是以硬體的形態出現,但是要架設防火牆需要投入相當大的硬體資金,且主要是用於保護由許多計算機所組成的大型網路。 然而隨著網路的快速發展,連接到網際網路的用戶不斷增加,防駭觀念開始受到重視,因此開始出現了以軟體形態為主的防火牆。 續下頁
12-7 防火牆簡介 認識防火牆 建立防火牆的主要目的是,保護屬於我們自己的網路不受來網路上的攻擊。 我們所要防備的是外部網路,因為可能會有人從外部網路對我們發起攻擊。所以我們需要在內部網路,與不安全的非信任網路之間築起一道防火牆。 續下頁
用防火牆阻擋非法的外部網路存取
防火牆運作原理 雖然防火牆是介於內部網路與外部網路之問,並保護內部網路不受外界不信任網路的威脅,但它並不是完全將外部的連線要求阻擋在外,如此一來便失去了連接到Internet的目的了。 就某些觀點來看,防火牆實際上代表了二個網路的存取原則。
防火牆運作原理 每個防火牆都代表一個單一進入點,所有進入網路的存取行為都會被檢查、並賦予授權及認證。防火牆會根據於一套設定好的規則來過濾可疑的網路存取行為,並發出警告。 防火牆會設置在公司網路和網際網路之間最容易受到攻擊的地方,並且可以由系統管理者設定為簡單或複雜。 可大致區分為「封包過濾型」及 「代理伺服器型」
封包過濾型 由於TCP/IP 協定傳輸方式中,所有在網路上流通的資料都會被分割成較小的封包(packet),並使用一定的封包格式來發送。這其中包含了來源IP 位置與目的IP 位置。使用IP 過濾型防火牆會檢查所有收到封包內的來源IP 位置,並依照系統管理者事先設定好的規則加以過濾。
封包過濾型 通常我們能從封包中內含的資訊來判斷封包的條件,再決定是否准予通過。例如傳送時間、來源/目的端的通訊連接埠號,來源/目的端的IP位址、使用的通訊協定等資訊,就是一種判斷資訊。 這類防火牆的缺點是無法登錄來訪者的訊息。
代理伺服器型 又稱為「應用層閘道防火牆」(Application Gateway Firewall),它的安全性比封包過濾型來的高,但只適用於特定的網路服務存取,例如HTTP、FTP 或是Telent 等等。 它的運作模式主要是讓網際網路中要求連線的客戶端與代理伺服器交談,然後代理伺服器依據網路安全政策來進行判斷,如果允許的連線請求封包,會間接傳送給防火牆背後的伺服器。接著伺服器再將回應訊息回傳給代理伺服器,並由代理伺服器轉送給原來的客戶端。
代理伺服器型 也就是說,代理伺服器是客戶端與伺服端之間的一個中介服務者。當代理伺服器收到客戶端 A 對某網站 B 的連線要求時,代理伺服器會先判斷該要求是否符合規則。若通過判斷,則伺服器便會去站台 B 將資料取回,並回傳客戶端 A 。 代理伺服器會重複所有連線的相關通訊,並登錄所有連線工作的資訊,這是與 IP 過濾型防火牆不同之處。
防火牆的漏洞
12-8 安裝免費網路安全軟體—Avira AntiVir 官方網址為http://www.avira.com/zh-tw/forhome: 續下頁
下載之後在檔案上雙按就開始了安裝流程: 續下頁
請接受授權合約,再按「下一步」鈕,進入右圖畫面: 續下頁
請按下「關閉」鈕, 會進行掃描動作,完成後會產生類似下圖的畫面: 續下頁
如果要啟動此免費版的防毒軟體,請要在桌面所產生的 捷徑圖示,按滑鼠兩下, 就會開啟下圖主視窗:
能力指標 瞭解資訊安全/網路安全的意義 瞭解網路犯罪模式 瞭解電腦病毒的基本運作以及原理 瞭解電腦該注意的的防毒措施為何 瞭解資料加密的基本原理 瞭解防火牆的種類及其運作原理