ch08

Views:
 
Category: Entertainment
     
 

Presentation Description

No description available.

Comments

Presentation Transcript

第八章 保護資訊系統:

第八章 保護資訊系統

學習目標:

學習目標 說明資訊系統為何需要特別保護,以免於被破壞、錯誤與濫用。 評估安全與控制的企業價值。 設計一套兼具安全與控制的組織架構。 評估保護資訊資源最重要的工具與技術。

網路釣魚:網際網路用戶昂貴的新運動:

網路釣魚:網際網路用戶昂貴的新運動

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 為什麼系統容易受到破壞 網頁上的應用架構通常包括一位上網的客戶,一台伺服器和連接到 資料庫的公司資訊系統。這些組成元件代表著對安全的挑戰與易受 攻擊的漏洞。水災、火災、停電和其他電氣問題會在網路上的任一 點引起當機。

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 為什麼系統容易受到破壞 _ 網際網路的弱點 大型公眾網路如網際網路,比其他內部網路更易遭到破壞,因為它是對任何人都開放的。 網際網路技術的電話服務,除非是在安全的私有網路之下,會比傳統交換機式的網路更易遭到破壞。 電子郵件和即時傳訊 (instant messaging, IM) 更大幅增加了受到破壞的可能性。

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 為什麼系統容易受到破壞 _ 無線傳輸安全的挑戰 許多 Wi-Fi 網路易被侵入者滲透,利用側錄程式取得網址,以便未經授權來存取網路的資源。

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 惡意軟體 ( 又叫做 malware)︰ 病毒、蠕蟲、木馬程式和間諜軟體 電腦病毒 (computer virus) 是一種流氓軟體程式,通常在使用者不知情或未經使用者許可的情況下,附加在其他軟體程式或資料檔案上來執行。多數的電腦病毒會傳遞一份「裝載」 (payload) 。這份裝載有時可能較不具威脅性,如執行指令去顯示一些文字訊息或影像,或是非常具有破壞性 -- 像是銷毀程式或資料、阻礙電腦記憶體運作、重新格式化硬碟、或是讓程式不正常執行。 蠕蟲 (worms) ,是一種獨立的電腦程式,它可以透過網路將病毒從一台電腦自行複製到其他電腦。與病毒不同的是,蠕蟲能自己運作,並且不需依附在其他電腦程式檔案上,也不太需要透過人們的操作行為就能在電腦之間傳播。 木馬程式 (Trojan horse) 看起來似乎是溫和無害的軟體程式,但會做一些超出想像的事。木馬程式本身不是病毒,因為它本身並不複製,但卻是其他病毒或惡意程式碼侵入電腦系統的媒介。 間諜軟體 (Spyware) 也扮演著惡意軟體的角色。這些小程式偷偷的自行安裝在電腦上,它們會監視著你上網的活動,並跳出廣告。

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 駭客與電腦暴力行為 駭客 (hacker) 是個人企圖未經授權而擅自存取他人的電腦系統。 破壞者 (cracker) 通常用來指具有犯罪意圖的駭客。

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 駭客與電腦暴力行為 _ 偽裝和網路竊聽 駭客經常隱藏他們的真實身分來進行欺騙、或試圖用偽裝的電子郵件位址或假冒其他人傳送訊息。 偽裝 (spoofing) 的方式,有時是將原來的網址連接至其他的網站,假裝成是要連接的目的地。 網路竊聽器 (sniffer) 是一種偷聽的程式,它監控網路上資訊的流動。

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 駭客與電腦暴力行為 _ 阻斷服務攻擊 阻斷服務攻擊 [denial of service (DoS) attack] 是指駭客送出成千上萬件假的訊息或是服務需求到網路伺服器或是網站伺服器,造成網路壅塞甚至癱瘓。被攻擊的網站,會在瞬間收到大量的查詢需求而處理效率無法跟得上,使得電腦主機無法服務正常的需求。

Slide 11:

這張圖顯示自 1999 年起,全世界平均每年來自駭客、惡意軟體和垃圾郵件的損 失。這些資料是基於 mi2G 與作者所提供的歷史成長率推出。

科技視窗:機器人軍團與殭屍網路:

研究問題 殭屍網路對企業經營的衝擊為何? 在避免殭屍網路攻擊的計畫中,有哪些管理上、組織上、以及技術上的因素要考量? 對小企業而言,如何很容易去對抗這樣的殭屍網路攻擊呢?對大企業而言,那又是怎麼樣的情況呢? 科技視窗:機器人軍團與殭屍網路

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 電腦犯罪與電腦恐怖主義 身分盜用 (identity theft) : 是非法取得他人個人隱私資訊的一種犯罪行為。 網路釣魚 (phishing) 。此手法包含設立假的網站或是發送看起來像是合法公司發的電子郵件,向使用者要求個人的機密資料。 雙面惡魔 (evil twins) 是一種假裝可提供值得信任的無線網路連線至網際網路,詐騙者試圖讓不知情的使用者在登入這個網路的同時,竊取他們密碼或是信用卡號碼。 網址轉嫁連結 ( pharming ) 轉接使用者至一個偽造的網站上,即使當使用者在瀏覽器上鍵入正確的網址。 點擊詐欺 電腦恐怖份子與電腦戰爭

8.1系統漏洞與濫用:

8.1 系統漏洞與濫用 內部威脅 ︰ 員工 常以為企業組織的安全威脅來自於組織之外。事實上,公司內部的人員也經常會引起嚴重的安全問題。 使用者安全知識的缺乏常是網路安全的最大問題來源。 軟體漏洞 軟體錯誤也經常會對資訊系統造成威脅,導致無數的生產力減少。

8.2安全與控制的企業價值:

資訊系統的保護對於企業的營運是卻是非常的重要。 企業組織不只需保護公司內部的資訊資產,同時也需保護顧客、員工與合夥人的相關資訊;否則將使公司暴露於資訊曝光或資料被偷竊的昂貴法律訴訟的風險之中。 一個適當的保護企業資訊資產的安全與控制架構,可以為公司產生很高的投資報酬。 8.2 安全與控制的企業價值

8.2安全與控制的企業價值:

電子記錄管理的法律與規範需求 企業組織面臨對電子記錄管理和文件保存與保護隱私的新法律義務。 電子記錄管理 (electronic records management, ERM) 健康保險可攜性與責任法案 (Health Insurance Portability and Accountability Act, HIPAA) 葛蘭法案 (Gramm-Leach-Bliley Act) 沙賓法案 (Sarbanes-Oxley Act) 8.2 安全與控制的企業價值

8.2安全與控制的企業價值:

電子證據和電腦鑑識 安全、控制與電子記錄管理已成為回應法律行動的重點。 電腦鑑識 (computer forensics) 是針對握有的資料或儲存於電腦媒體的資料,進行科學化的蒐證、檢驗、認證、保存與分析,以作為日後法庭能據以判決的法律證據。 8.2 安全與控制的企業價值

8.3建立安全與控制的管理架構:

技術不是資訊系統安全與控制的主要議題。 資訊資源的保護是需要適當的資訊安全政策與一連串的管制。 國際安全與控制的標準 17799 (現已更新為 ISO27001 )提供了很有幫助的指導方針。詳細說明了資訊系統的安全與控制的最佳實務,包括安全策略、企業永續營運計畫、實體環境安全、存取控制、遵循並建立組織內部的安全功能。 8.3 建立安全與控制的管理架構

8.3建立安全與控制的管理架構:

風險評估 (risk assessment) 決定如果公司特定的活動與程序沒有恰當的控制其風險的層級。 安全政策 (security policy) 包括資訊風險等級的定義敘述、確認可接受的安全目標、並確認可達成這些目標的機制。 8.3 建立安全與控制的管理架構

8.3建立安全與控制的管理架構:

確保永續經營 公司的營收和經營越來越仰賴數位化網路,因此需要採取額外的措施,以確保證他們的系統和應用軟體隨時都能正常運作。 災難復原計畫與企業持續經營計畫 災難復原計畫 (disaster recovery planning) 主要規劃在地震,洪水或恐怖份子的攻擊等事件後,如何恢復電腦與通訊服務的正常運作。 企業持續經營計畫 (business continuity planning) 主要重點在如何在災後重新恢復公司的正常營運。企業持續經營計畫確認營運的關鍵企業流程與決定行動計畫,以便在系統當機時,能處理營運上的關鍵功能。 8.3 建立安全與控制的管理架構

8.3建立安全與控制的管理架構:

確保永續經營 ( 續 ) 資訊安全委外:可以將許多資訊安全功能委外給專業的資訊安全管理服務供應商 } (managed security service providers, MSSPs) 處理,由他們負責監視所有網路上的活動,並進行漏洞測試和入侵偵測等。 8.3 建立安全與控制的管理架構

8.3建立安全與控制的管理架構:

稽核的角色 管理資訊系統稽核 (MIS audit) 不但檢驗公司的整個安全環境,同時也會檢視管理個別資訊系統的控制機制。 稽核者應該追蹤系統的某些交易案例的流程,並執行測試,如果適當的話,使用自動化稽核軟體來進行檢測。 8.3 建立安全與控制的管理架構

8.4安全的技術和工具:

存取控制 (access control) 包括所有公司用來防止內部或外部未經授權的存取企業內部資料的政策和程序。使用者需經授權並身分認證後,才得進入企業內部系統。 許可證 (token) 智慧卡 (smart card) 生物辨識認證 (biometric authentication) 8.4 安全的技術和工具

8.4安全的技術和工具:

防火牆、入侵偵測系統與防毒軟體 防火牆 來防止外界未授權的使用者存取私有網路。 是硬體與軟體的結合,控制網路內部與外部間的交通。 偵測入侵系統 是一個全天候對可能受攻擊的點,或者對公司網路內非常重要的部分,持續監視及防止入侵的工具。 防毒軟體與反間諜軟體 是一種用來檢查電腦系統和顯示電腦病毒存在的一種軟體。 8.4 安全的技術和工具

Slide 25:

防火牆被安置在公司的私有網路和公用網際網路或其他不可信任網路之間,以防止未經授權的通訊。

8.4安全的技術和工具:

無線網路的安全 WEP 仍能提供有限度的安全防護。當公司存取內部資料時,可以進一步利用 WEP 與虛擬私有網路 (virtual private network, VPN) 技術結合,以改善無線網路的安全。 加密與公開金鑰架構 加密 (encryption) 是將明文或資料轉成密文的一種過程,除了發文者和指定得收文者外,其他任何人均無法讀取。 資料利用一種秘密的數字碼加密,叫做加密金鑰,將明文轉成密文。這份訊息必須由接收者來解密。 8.4 安全的技術和工具

Slide 27:

公開金鑰加密系統可以視為是一連串的公共與私人金鑰,用來在傳輸資料時鎖住資料,而在接收到資料時則解開資料。發送者在目錄中找到接收者的公開金鑰,並用它來加密訊息;訊息在網際網路上或私人網路上以加密的形式傳送,當加密的訊息抵達,接收者可以利用他(她)的私人金鑰解密並讀取資料。

Slide 28:

數位認證可以用來確認個人及電子資產。他們透過提供安全、隱密、線上的傳輸環境來保護線上的交易。

管理視窗:聯合利華 (Unilever) 如何保全它的行動裝置:

研究問題 聯合利華高層所使用的無線手持設備與公司的營運績效有何種關連? 試討論在聯合利華公司中可能會有的安全漏洞。 在建立針對無線手持設備所制訂的安全政策與程序時,有哪些管理、組織與技術上的因素要考量? 你認為允許聯合利華的高層同時使用黑莓機與行動電話是一個好方法嗎?請說明贊成或是反對的理由。 管理視窗:聯合利華 (Unilever) 如何保全它的行動裝置

authorStream Live Help