5.2 整體安全與預防控制

(1)

第五章第五章

整體安全與存取控制設計整體安全與存取控制設計

5 1 電腦犯罪與網路駭客

5.1 電腦犯罪與網路駭客

5.2 整體安全與預防控制

5.3 運用資訊科技反制

5 4 安全失控之復原控制

5.4 安全失控之復原控制

(2)

電腦犯罪舞弊之類型電腦犯罪舞弊之類型

1 竄改資料法(d t diddli ) 潛入禁地法 1.竄改資料法(data diddling)

2.資料洩露法(data leakage)

8.潛入禁地法 9.李代桃僵法 3.暗渡陳倉法(salami

techniques)

10.非同步攻擊法

(asynchronous attack) 4.病毒傳染法(computer virus)

5 資料攔截法

( y )

11.搭線竊聽法(wire tapping)

5.資料攔截法

6.邏輯炸彈法(logic bomb)

tapping) 12.無中生有法 7.木馬屠城法(trojan horse) 13抄錄軟體法

(3)

電腦駭客攻擊法電腦駭客攻擊法

一主動攻擊 (一)主動攻擊

1.癱瘓服務法(DoS, Denial of 2.入侵(Intrusion) Service)

(1)耗盡資源式攻擊手法

(1)暴力破解法

(2)社交工程法(S i l ( )

(2)破壞組態式攻擊手法破壞實體的攻擊法

(2)社交工程法(Social Engineering)

(3)連線截奪法(S i (3)破壞實體的攻擊法 (3)連線截奪法(Session

Hijacking) (二)被動攻擊

(4)

整體安全預防控制整體安全預防控制

一、訂定安全管理政策二人事控制

二、人事控制

三、實體安全控制三、實體安全控制

四、線上存取控制(access control) 四線上存取控制(access control) 五、身分辨識

六、通訊資料加密

(5)

一、訂定安全管理政策一、訂定安全管理政策

(一)建立安全目標 (二)為資訊分級 (二)為資訊分級 (三)評估安全風險

(四)發展系統安全計劃 (五)分配職務

(六)定期進行滲測試

(七)評估系統安全

(6)

四、線上存取控制(access control) 四、線上存取控制(access control)

(一)客戶端個人電腦的實體安全 (二)授權控制(authorization)

(二)授權控制(authorization)

(三)資料所有權(data ownership)之觀念 (四)程式授權使用與記錄

(五)使用權限設定與使用記錄

(7)

圖5 1 權限檔(user profile) 圖5.1 權限檔(user profile)

檔案一檔案二檔案三檔案四

程式A R/W R

使用者甲 R/W R/W

電腦工作B R/W R

R: Read Allowed, W: Write Allowed

(8)

五、身分辨識五、身分辨識

(一)密碼認證

(二)生物認證法

(三)電子認證

(四)連線辨認

(9)

圖5 2 簡易的使用者身份驗證程序圖5.2 簡易的使用者身份驗證程序

帳號密碼

請輸入使用者帳號和密碼

User A 26548675 請輸入使用者帳號和密碼

User B 12345678 User C 32546481 受驗者

使用者帳號=User B 密碼=12345678

… …

受驗者密碼 12345678

驗證者 (如銀行)

(10)

圖5 3 電腦回撥圖5.3 電腦回撥

1.撥通電話

2.輸入密碼後斷線

4.電腦撥回

3.電腦檢查檔案比對密碼

(11)

圖5 4 將商業往來夥伴之資料加密圖5.4 將商業往來夥伴之資料加密

金鑰產生流程

收件人的私鑰公鑰

收件人的目錄公鑰

金鑰產生流程

加密解密

(12)

圖5 5 數位簽章之認證圖5.5 數位簽章之認證

電子認證中心數位簽章之註冊電子認證中心

(CA)

數位簽章之註冊

網際網路

商業往來夥伴企業

組織

夥伴透過網際網路傳送

特定格式之資料

(13)

運用資訊科技反制常用的方法運用資訊科技反制常用的方法

1.安裝防毒軟體 10.掃瞄軟體 1.安裝防毒軟體

2.存取控制(access control) 查核密碼

11.防入侵軟體 12 掃瞄竊聽設備 3.查核密碼

4.為密碼設定有效期限

12.掃瞄竊聽設備 13.加密措施

5.帳號停用(account lockout) 6 查核登入登出情況

14.數位簽名

15 使用只能使用一次的密 6.查核登入登出情況

7.對照登入登出情況

15.使用只能使用一次的密碼(One time password)

16 敏感資料不連線

8.資料做備份 16.敏感資料不連線

17.使用防寫磁碟

(14)

網路防火牆網路防火牆

防火牆(Firewall)指位於受保護的網路與其他網路間用防火牆(Firewall)指位於受保護的網路與其他網路間用來限制存取的一個或一組設備，防火牆由功能面來談可分為四個部分：

1.封包過濾路由器 2.代理伺服器

3.線路閘道器 4.防禦主機

過濾過濾

閘道器

(15)

5.2 整體安全與預防控制

第五章 第五章

整體安全與存取控制設計 整體安全與存取控制設計

5 1 電腦犯罪與網路駭客

5.1 電腦犯罪與網路駭客

5.2 整體安全與預防控制

5.3 運用資訊科技反制

5 4 安全失控之復原控制

5.4 安全失控之復原控制

電腦犯罪舞弊之類型 電腦犯罪舞弊之類型

電腦駭客攻擊法 電腦駭客攻擊法

整體安全預防控制 整體安全預防控制

一、訂定安全管理政策 二 人事控制

二、人事控制

三、實體安全控制 三、實體安全控制

四、線上存取控制(access control) 四 線上存取控制(access control) 五、身分辨識

六、通訊資料加密

一、訂定安全管理政策 一、訂定安全管理政策

(一)建立安全目標 (二)為資訊分級 (二)為資訊分級 (三)評估安全風險

(四)發展系統安全計劃 (五)分配職務

(六)定期進行滲測試

(六)定期進行滲測試

(七)評估系統安全

四、線上存取控制(access control) 四、線上存取控制(access control)

(一)客戶端個人電腦的實體安全 (二)授權控制(authorization)

(二)授權控制(authorization)

(三)資料所有權(data ownership)之觀念 (四)程式授權使用與記錄

(五)使用權限設定與使用記錄

圖5 1 權限檔(user profile) 圖5.1 權限檔(user profile)

五、身分辨識 五、身分辨識

(一)密碼認證

(二)生物認證法

(二)生物認證法

(三)電子認證

(四)連線辨認

圖5 2 簡易的使用者身份驗證程序 圖5.2 簡易的使用者身份驗證程序

圖5 3 電腦回撥 圖5.3 電腦回撥

圖5 4 將商業往來夥伴之資料加密 圖5.4 將商業往來夥伴之資料加密

圖5 5 數位簽章之認證 圖5.5 數位簽章之認證

運用資訊科技反制常用的方法 運用資訊科技反制常用的方法

網路防火牆 網路防火牆

電腦網路日誌 電腦網路日誌

電腦日誌儲存了網路活動的資料，日 誌通常由防火牆程式保管 並保存下 誌通常由防火牆程式保管，並保存下 列網路活動的軌跡：所有嘗試登入的 紀錄 不論是登入成功或登入失敗 紀錄，不論是登入成功或登入失敗。

檔案複製、下載、移動或移除，與啟 動程式

動程式。

安全失控之復原控制 安全失控之復原控制

(一)實體設施之復原 (一)實體設施之復原

(二)離線人工備援措施

(二)離線人工備援措施

第五章第五章

整體安全與存取控制設計整體安全與存取控制設計

電腦犯罪舞弊之類型電腦犯罪舞弊之類型

電腦駭客攻擊法電腦駭客攻擊法

整體安全預防控制整體安全預防控制

一、訂定安全管理政策二人事控制

三、實體安全控制三、實體安全控制

四、線上存取控制(access control) 四線上存取控制(access control) 五、身分辨識

一、訂定安全管理政策一、訂定安全管理政策

五、身分辨識五、身分辨識

圖5 2 簡易的使用者身份驗證程序圖5.2 簡易的使用者身份驗證程序

圖5 3 電腦回撥圖5.3 電腦回撥

圖5 4 將商業往來夥伴之資料加密圖5.4 將商業往來夥伴之資料加密

圖5 5 數位簽章之認證圖5.5 數位簽章之認證

運用資訊科技反制常用的方法運用資訊科技反制常用的方法

網路防火牆網路防火牆

電腦網路日誌電腦網路日誌

電腦日誌儲存了網路活動的資料，日誌通常由防火牆程式保管並保存下誌通常由防火牆程式保管，並保存下列網路活動的軌跡：所有嘗試登入的紀錄不論是登入成功或登入失敗紀錄，不論是登入成功或登入失敗。

檔案複製、下載、移動或移除，與啟動程式

安全失控之復原控制安全失控之復原控制