资讯安全管理Ination-Security-Managementppt课件

按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,台灣科大資訊安全實驗室,*,*,資訊安全管理,Information Security Management,吳宗成 教授,國立台灣科技大學管理學院資訊管理系暨研究所,tcwucs.ntust.edu.tw,Tel:(02)27376780,台灣科大資訊安全實驗室,1,資訊安全管理Information Security Ma,安全,信任 SECURITY,TRUST,台灣科大資訊安全實驗室,2,安全 信任 SE,從電影情節談起,戰爭遊戲,(War Game)：美國高中生無意間進入國防部系統，玩起美蘇戰爭遊戲,神鬼尖兵,(Sneakers)：美國國安局為了奪取一個超級解密器，以免落入恐怖份子手裡，在前科犯中找出一群具有資訊科技專長的小組人員，展開爾虞我詐的爭奪戰,網路上身,(The NET)：一位程式設計師，幫某一公司解決病毒問題，無端陷入陰謀紛爭，一覺醒來發現信用卡不能用了，存款不見了，自己也變成吸毒犯,台灣科大資訊安全實驗室,3,從電影情節談起戰爭遊戲(War Game)：美國高中生無意間,一知半解的迷思無法彌補的漏洞,台灣科大資訊安全實驗室,4,一知半解的迷思無法彌補的漏洞台灣科大資訊安全實驗室4,資訊安全迷思,迷思之一,我已經設定了,通行碼,或,通行密碼,(password)，別人應該無法假冒我的身分吧！,迷思之二,我已經架設了,防火牆,(firewall)，應該可以高枕無憂吧！,迷思之三,我已經安裝了,防毒軟體,(anti-virus)，下載資料或接收訊息應該可以無牽無掛吧！,迷思之四,我已經設定了通行密碼、架設了防火牆，也安裝了防毒軟體，這樣總該可以安心地坐在螢幕前工作了吧！,台灣科大資訊安全實驗室,5,資訊安全迷思迷思之一台灣科大資訊安全實驗室5,必也正名乎,台灣科大資訊安全實驗室,6,必也正名乎台灣科大資訊安全實驗室6,資通系統與網域空間,資訊,狀態：儲存與傳輸,應用：公用與私有,內容：機密與非機密（classified&unclassified）,系統,組件：資料、軟體、硬體、程序、人員、實體環境,連接：有線與無線,運作：封閉式系統與開放式系統,網域空間,（cyberspace）,經由電腦或自控設備所架構出之虛擬空間,台灣科大資訊安全實驗室,7,資通系統與網域空間資訊台灣科大資訊安全實驗室7,何謂資訊安全？,狹義 技術面(1970年代以前),保護機密或敏感資料，以防制未授權的揭露,注重資料的機密性,應用範圍：國防、軍事或外交等政府機構,廣義 技術面+管理面(1980年代以後),保護機密或敏感資料，以防制未授權的揭露、修改與運用，並兼顧,安全管理,議題,注重資料及系統資源的機密性、完整性、可取用性,應用範圍；政府機構(電子化政府)、民間企業活動(電子商務)、個人居家生活,台灣科大資訊安全實驗室,8,何謂資訊安全？狹義 技術面(1970年代以前)台灣,找出源頭才能決定對策,台灣科大資訊安全實驗室,9,找出源頭才能決定對策台灣科大資訊安全實驗室9,資訊安全威脅類別(I),中斷(interruption),使系統資源遺失、不可取用、不堪使用,惡意破壞硬體設備、刪除程式或資料檔、使作業系統阻絕服務(denial of services,DoS),A,B,台灣科大資訊安全實驗室,10,資訊安全威脅類別(I)中斷(interruption)AB台,資訊安全威脅類別(II),截取(interception),未授權者能非法存取系統資源,非法拷貝程式或資料、網路截聽,A,B,C,台灣科大資訊安全實驗室,11,資訊安全威脅類別(II)截取(interception)AB,資訊安全威脅類別(III),更改(modification),未授權者能更改系統資源,更改儲存或傳輸資料之數值、或更改程式以執行額外運算,A,B,C,台灣科大資訊安全實驗室,12,資訊安全威脅類別(III)更改(modification)A,資訊安全威脅類別(IV),仿造(fabrication),未授權者仿造資料，使得資料使用者無法分辨真偽,插入額外的交易訊息、偽造資料記錄,A,B,C,(Act as,A,),台灣科大資訊安全實驗室,13,資訊安全威脅類別(IV)仿造(fabrication)ABC,資訊安全之實務範疇,範疇之一：資料保護,未經授權無法存取應用系統之儲存與傳輸的任何私有資料,確保資料的機密性(confidentiality)與完整性(integrity),密碼學(cryptography)：加解密(encryption/decryption)、數位簽章(digital signature),範疇之二：系統保護,未經授權無法使用系統之有限資源(軟體、硬體或資料存取),維護系統之完整性與可取用性(availability),鑑別協定(authentication protocol)、存取控制(access control),範疇之三：犯罪或破壞防制,防制利用電腦或通訊系統的犯罪或破壞行為,防制對電腦或通訊系統與其所處理之資料的破壞行為,法律、規範,台灣科大資訊安全實驗室,14,資訊安全之實務範疇範疇之一：資料保護台灣科大資訊安全實驗室1,安全控管效益評量,使用者必須知道安全控管需求為何,使用者必須知道如何使用安全控管機制,安全控管機制必須是有效率且容易施行的,安全控管程序必須是連續的,使用交叉(dual)控管或重疊(duplicate)控管方式，以期完全涵蓋安全領域,管理者或執行者必須定期檢視與稽核安全控管成效,台灣科大資訊安全實驗室,15,安全控管效益評量使用者必須知道安全控管需求為何台灣科大資訊安,安全,S,成本,方便,C,效率,效益,E,X,Y,台灣科大資訊安全實驗室,16,安全成本效率XY台灣科大資訊安全實驗室16,稽核之目的,事前防範事中偵測事後補救,台灣科大資訊安全實驗室,17,稽核之目的事前防範事中偵測事後補救台灣科大資訊安全實驗,安全控管稽核之範疇,參考規範,BS7799,ISO 17799,ISO 15408,稽核方式,內部稽核 VS 外部稽核,技術稽核 VS 管理稽核,稽核組織,部門內部稽核：該部門主管或授權人員,組織內部稽核：各部門主管及各業務主管部門（資訊單位、政風單位、人事單位等）專業人員共同組成,部門外部稽核：外聘或組織內業務主管部門之專業人員共同組成,組織外部稽核：外聘稽核專家,稽核頻率,定期稽核（每月、每季、每年）,非定期稽核（偶發重大事件）,稽核地點,系統所在地（實體、硬體、機房）,端末所在地（端末設備、應用系統外圍）,台灣科大資訊安全實驗室,18,安全控管稽核之範疇參考規範台灣科大資訊安全實驗室18,安全控管稽核要點,資訊安全政策,資訊安全組織,資產分類與控管,人員安全,實體與環境安全,通訊與作業管理,存取控制,系統開發與維護,營運持續管理,符合性,台灣科大資訊安全實驗室,19,安全控管稽核要點資訊安全政策台灣科大資訊安全實驗室19,資訊安全政策之稽核要項,資訊安全政策涵蓋範圍,資訊安全定義、目標、涵蓋範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程等,人、事、時、地、物、為何,管理階層是否瞭解資訊安全之目的並予支持？,資訊安全政策文件是否完備？,作業程序或要點、控管文件或表單、應遵守安全規則或事項、違反安全規定處置等,資訊安全政策是否轉知所有內部員工或外部使用者？,內部員工：公文簽名傳閱或公佈欄公告,外部使用者：標語傳遞或張貼（電腦螢幕之省電背景或首頁跑馬燈）,委外契約是否載明安全需求、法律責任、安全控管措施等？,台灣科大資訊安全實驗室,20,資訊安全政策之稽核要項資訊安全政策涵蓋範圍台灣科大資訊安全實,資訊安全組織之稽核要項,是否指定高階主管人員或成立跨部門組織負責推動、協調及監督資訊安全管理事項？,是否指定專人或專責單位負責規劃、執行及控管資訊安全工作？,是否辦理風險評估、安全分級、系統安全控管措施？,是否依據資訊安全政策訂定相關作業程序、處理流程、員工權責劃分等？,因業務需要開放給外單位（其他機關、維護廠商、委外廠商、臨雇人員等）使用之資訊，其存取權限是否嚴加控管？,台灣科大資訊安全實驗室,21,資訊安全組織之稽核要項是否指定高階主管人員或成立跨部門組織負,資產分類與控管之稽核要項,人員與重要資產（資訊、軟體、硬體）是否做適當的安全分級與風險評鑑？,各安全全分級是否建立符合需要的保護措施？,重要資產是否指定專人負責？是否建立資產清冊並隨時更新？,資產擁有者、管理者、使用者是否做好權責區分？安全分級是否標示清楚？,台灣科大資訊安全實驗室,22,資產分類與控管之稽核要項人員與重要資產（資訊、軟體、硬體）是,人員安全之稽核要項,對人員之進用與調派是否做適當的安全評估？,對人員之調動、離職或退休是否立即取消其存取權限？敏感或機密職務是否建立人力備援機制？,對員工之品德、行為及家庭狀況等是否確實加以考核？,員工是否瞭解單位之資訊安全政策？是否進行適當的資訊安全講習與訓練？是否隨時公告資訊安全相關訊息？,員工私人資訊設備及對外電子郵件是否實施控管？該控管是否兼顧個人隱私及執行公務需要？（如何才不會造成Big Brother之疑慮？）,台灣科大資訊安全實驗室,23,人員安全之稽核要項對人員之進用與調派是否做適當的安全評估？台,實體與環境安全之稽核要項,機房之防火、防水、防震等保護措施是否確實？各項措施與保護設備是否保持可用狀態？（定期檢查與維修記錄）,資訊處理設備之設置是否做安全考量？一般設備與特殊設備（機密性與敏感性）是否加以區隔？特殊設備是否定有特別的管理措施？,電源之供應與備援是否做安全考量？,機房門禁管制與環境監控系統是否確實？（人員辨識系統或出入管制記錄）,報廢之資訊處理設備是否確實進行必要的除敏措施？（電腦硬碟與儲存媒體報廢時，應進行銷毀或消磁）,台灣科大資訊安全實驗室,24,實體與環境安全之稽核要項機房之防火、防水、防震等保護措施是否,通訊與作業管理之稽核要項,資訊處理設備是否訂有操作程序與管理責任？是否建立系統變更之程序？,是否訂定電腦當機與服務中斷之緊急處理程序？是否訂定資訊安全事件通報程序？事件通報與處理過程是否留有完整紀錄？,是否遵守軟體授權規定，禁止使用未授權之軟體或下載來源不明之軟體？（排除木馬程式或病毒程式的植入與感染）,是否使用防病毒、防入侵、防火牆系統？該系統是否維持最新狀態並隨時或定期進行掃毒或漏洞檢測？（病毒碼與入侵偵測程式應隨時更新）,重要資料與軟體是否遵循備份標準？,對於敏感性或機密性資料之輸出或處理過程是否採用加密或數位簽章等保護措施？,是否要求員工在接收敏感性之電子郵件後立即自郵件伺服器中刪除該郵件？,台灣科大資訊安全實驗室,25,通訊與作業管理之稽核要項資訊處理設備是否訂有操作程序與管理責,存取控制之稽核要項,是否依據工作性質與職務建立存取控制政策？是否將存取控制政策列入員工手冊？,是否依據系統安全需求訂立適當的存取授權管理？（內部人員與外部人員）,是否有共同帳號或共同通行密碼（切忌貪圖方便設定空白通行密碼）？是否選定安全的通行密碼（長度至少七位字元以上）？通行密碼輸入錯誤的次數是否加以限制？是否定期變更通行密碼（至少每六個月進行變更）？,網路中繼節點設備是否列入管制與鑑別的範疇，並施行適當的鑑別方法？,是否限制登入作業，在一定時間內未操作即予中斷連線？,是否定期檢視登入程序日誌檔案（log file）並加以紀錄？,台灣科大資訊安全實驗室,26,存取控制之稽核要項是否依據工作性質與職務建立存取控制政策？是,一個在實務上兼具安全與易記之通行碼產生方式,Knuth:Randomness is the best secrecy,亂數就是最好的安全性,利用一個亂數函數將易記的通行碼轉換,f,(,x,)=,ax,+,i,mod,n,其中gcd(,a,n,)=1，,i,為動態選擇,例子：,f,(,x,)=3,x,+,i,mod 10，,i,為字元位置,2737678