第七章 整體安全與存取控制設計
本章大綱 第一節 電腦犯罪與網路駭客 第二節 整體安全預防控制 第三節 運用資訊科技反制 第四節 安全失控之復原控制
學習目標 電腦犯罪與網路駭客之類型與電腦駭客攻擊法 整體安全預防控制包括存取控制、公用金鑰加密技 術等 如何運用資訊科技反制,包括架設網路防火牆之技術 電腦安全失控的復原措施 國際安全標準類別,與想要更深入研究的訊息
電腦犯罪舞弊之類型 竄改資料法(Data Diddling) 資料洩露法(Data Leakage) 暗渡陳倉法(Salami Techniques) 病毒傳染法(Computer Virus) 資料攔截法 邏輯炸彈法(Logic Bomb) 木馬屠城法(Trojan Horse) 潛入禁地法 李代桃僵法
非同步攻擊法(Asynchronous Attack) 電腦犯罪舞弊之類型(續) 非同步攻擊法(Asynchronous Attack) 搭線竊聽法(Wire Tapping) 無中生有法 抄錄軟體法
電腦駭客攻擊法 主動攻擊 癱瘓服務法(DOS, Denial of Service) 耗盡資源式攻擊手法 破壞組態式攻擊手法 破壞實體的攻擊法 入侵(Intrusion) 暴力破解法 社交工程法(Social Engineering) 連線截奪法(Session Hijacking) 被動攻擊
線上存取控制(Access Control) 整體安全預防控制 訂定安全管理政策 人事控制 實體安全控制 線上存取控制(Access Control) 身份辨識 通訊資料加密
訂定安全管理政策 建立安全目標 為資訊分級 評估安全風險 發展系統安全計畫 分配職務 定期進行滲透測試 評估系統安全
資料所有權(Data Ownership)之觀念 線上存取控制 客戶端個人電腦的實體安全 授權控制(Authorization) 資料所有權(Data Ownership)之觀念 程式授權使用與記錄 使用權限設定與使用記錄
R: Read Allowed, W: Write Allowed 圖7.1 權限檔(User Profile) R: Read Allowed, W: Write Allowed
身份辨識 密碼認證 生物認證法 電子認證 連線辨認
圖7.2 電腦回撥 1.撥通電話 2.輸入密碼後斷線 3.電腦檢查檔案 比對密碼 4.電腦撥回
商業往來夥伴間資料傳遞之保全應考量因素 隱密性 認證 交易不可否認 完整性 這些則有賴資訊之加密 網際網路 企業 商業往來 透過網際網路傳送 組織 商業往來 夥伴 透過網際網路傳送 特定格式之資料
圖7.3 將商業往來夥伴之 資料加密 加密 明文 密文 解密 收件人的 私鑰 公鑰 目錄 金鑰產生流程
圖7.4 數位簽章之認證 網際網路 企業 組織 商業往來 夥伴 透過網際網路傳送 特定格式之資料 電子認證中心 (CA) 數位簽章之註冊
帳號停用(Account Lockout) 運用資訊科技反制常用的 方法 安裝防毒軟體 存取控制(Access Control) 查核密碼 為密碼設定有效期限 帳號停用(Account Lockout) 查核登入登出情況 對照登入登出情況 資料做備份 架設防火牆
使用只能使用一次的密碼(One Time Password) 運用資訊科技反制常用的 方法(續) 掃描軟體 防入侵軟體 掃描竊聽設備 加密措施 數位簽名 使用只能使用一次的密碼(One Time Password) 敏感資料不連線 使用防寫磁碟 適當的軟體測試
網路防火牆 防火牆(Firewall)指位於受保護的網路與其他網路間用來限制存取的一個或一組設備,防火牆由功能面來談可分為四個部分: 封包過濾路由器 代理伺服器 線路閘道器 防禦主機 過濾 內部 外部 閘道器
電腦網路日誌 電腦日誌儲存了網路活動的資料,日誌通常由防火牆程式保管,並保存下列網路活動的軌跡:所有嘗試登入的紀錄,不論是登入成功或登入失敗。檔案複製、下載、移動或移除,與啟動程式。
安全失控之復原控制 實體設施之復原 離線人工備援措施