资讯安全入门手册ppt课件

按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,資訊安全入門手冊,第,1,章資訊安全流程,資訊安全入門手冊第 1 章資訊安全流程,1,第 1 章資訊安全流程,資訊安全無法保證您的企業、資訊或電腦系統的安全，資訊安全也不能為您的資訊提供安全防護。,建置適當的資訊安全並無任何竅門，而且這些概念也不是什麼先進的尖端科技。,從很多方面看來資訊安全是一種心態上的問題。它是一種檢視威脅、組織弱點，以及適當管理這些問題的一種心態。,本章重點如下：,1-1,資訊安全定義,1-2,安全是一種程序，而不是商品,第 1 章資訊安全流程 資訊安全無法保證您的企業、資訊或電,2,1-1 資訊安全定義,本節重點如下：,1-1-1,安全史概觀,實體安全,通訊安全,電磁波安全,電腦安全,網路安全,資訊安全,1-1 資訊安全定義本節重點如下：,3,1-1 資訊安全定義,Merriam-Webster,線上字典,資訊,的定義如下：,透過研究、學習，或教導、消息、新聞、論據、資料、表示資料的訊號或符號（例如通訊系統或電腦），利用（如訊息、實驗資料或圖像）並以某些形式（如計劃或理論）來證明結構的改變（如計劃或理論），其表現實體或精神的經驗或利用其他形式表現。,安全,的定義如下：,遠離危難即為安全；免於恐懼或憂慮,綜合上列敘述而得的資訊安全定義如下：,利用某些措施來防止未經授權的使用、濫用、竄改或其他阻絕知識、真相、資料或才能的使用。,1-1 資訊安全定義 Merriam-Webster線上字典,4,1-1-1 安全史概觀,社會與技術隨著時間的演變，如何處理資訊和其他資產安全的方法也隨著演變。,了解這些演變是了解今日我們如何達到安全的一個很重要的方法。,後續的章節內容，大致上是依照年代的順序排列。,若能從歷史中記取教訓，也就能讓我們避免重蹈覆轍。,1-1-1 安全史概觀 社會與技術隨著時間的演變，如何處理資,5,實體安全,歷史初期，所有資產皆為實體資產。,重要的資訊也是實體，例如依樣畫葫蘆實際撰刻在石板或寫在紙上。,為求保護資產就必須利用像城牆、護城河、守衛等，來保護這些資產。,歷史上大多數的領袖，都不會將敏感重要資訊以恆久的方式加以保存，這也是為什麼冶金術相當罕見的原因了。若非嫡傳弟子，他們不會和任何人討論，畢竟知識就是力量。或許，這就是最安全的保護方式。如孫子所說：,兩人以上知道的秘密，就不再是秘密了,。,實體安全 歷史初期，所有資產皆為實體資產。歷史上大多數的領袖,6,通訊安全,實體安全有其缺陷。訊息若在遞送的過程中遭到攔截，敵人也可從訊息中獲得資訊。早在凱薩大帝的年代，就已證實此一缺陷，其解決方式即為通訊安全。,凱薩大帝創造出凱薩密碼（第,12,章會詳加討論此種密碼和其他加密系統）。此種密碼可讓凱薩大帝傳送訊息，即便是訊息遭到攔截也無法解讀。,這種概念一直延續到第二次世界大戰。德軍使用一種稱為,Engima,的機器（詳見圖,1-1,），在各軍事單位之間傳遞加密訊息。,通訊安全 實體安全有其缺陷。訊息若在遞送的過程中遭到攔截，敵,7,Engima 機器,德國人認為若正確地使用密碼機，加密訊息一定牢不可破。即便如此，但由於操作員所造成的錯誤，同盟國仍然可以讀取某些訊息（在動用可觀的資源之後，這個錯誤還是被同盟國利用了）。,Engima 機器德國人認為若正確地使用密碼機，加密訊息一定,8,訊息並非唯一採用加密的電訊傳遞類型。為確保敵軍不會監聽到語音訊息，美國軍事單位使用一種稱為“納瓦荷”密碼兵（,navaho code talker,）。納互荷發話人以母語傳送訊息，即便敵軍監聽到無線電也無法瞭解訊息的內容。,二次大戰之後，蘇聯間諜使用,one-time pad,來保護傳遞的資訊。,one-time pad,是一種在每一頁文件中，使用隨機數字做為文件的襯底。每一則訊息使用一頁，且若正確使用此種加密方法，理論上是很難破解的。但蘇聯也同樣犯了使用不當的錯誤（重覆使用,one-time pad,），某些訊息因而被破解。,訊息並非唯一採用加密的電訊傳遞類型。為確保敵軍不會監聽到語音,9,電磁波安全,撇開不當操作密碼演算系統的錯誤不談，良好的演算法是非常難以破解的。,有些人試圖從加密的訊息中，找出擷取資訊的其他方法。在1950年代，藉由檢視電話線上的電訊，即可獲取訊息的內容。,電磁波安全 撇開不當操作密碼演算系統的錯誤不談，良好的演算法,10,所有電子系統都會散發電磁波，電報機和用來傳送加密訊息的加密器也不例外。,加密器會接收訊息、加密，然後透過電話線傳送出去。然而卻發現到原始訊息的電子訊號，也同樣會出現在電話線上。這也意味著使用精密的設備，是可以還原原始訊息的。,針對電磁波的安全問題，美國設計出一套稱為,TEMPEST,的計劃。該計劃是針對每一個極機密的環境中，所有電腦系統建立一套電磁波標準。其目的是要防止因電磁波，而產生資訊洩漏的問題。,所有電子系統都會散發電磁波，電報機和用來傳送加密訊息的加密器,11,美國政府在某些非常機密的應用上，TEMPEST系統非常重要。但並不是多數商業機構必須擔憂的問題，因為與大多數商業機構從事的工作並不相似，況且利用系統擷取電腦電磁波的費用也非常昂貴。,美國政府在某些非常機密的應用上，TEMPEST系統非常重要。,12,電腦安全,在1970年代早期，David Bell和Leonard La Padula發展出安全的電腦操作模式，這個模式是以美國政府的資訊分類等級（未保密、機密、極機密和最高機密）與許可權等級的概念，做為模式的基礎。,若某人（主角）具有檔案（目標）的許可權等級（或更高），此人就得以開啟特定檔案。,若某人的許可權等級比檔案要來得低，就會拒絕存取。,電腦安全 在1970年代早期，David Bell和Leon,13,計算機系統可信賴度評估標準 橘皮書,1983年美國國防部5200.28標準 計算機系統可信賴度評估標準（Trusted Computing System Evaluation Criteria，TCSEC，俗稱橘皮書）。橘皮書依據下列規範定義電腦系統：,等級,規範,D,最低限度防護或未制訂防護規範,Cl,任意,安全防護,C2,存取控制防護,B1,標示安全防護,B2,結構性防護,B3,安全領域,A1,驗證過的設計,計算機系統可信賴度評估標準 橘皮書1983年美國國防部,14,1989年德國的綠皮書、1991年加拿大標準、1991年資訊技術安全評估標準（Information Technology Security Evaluation Ctriteria，ITSEC），和1992年聯邦標準（著名的共同標準）等其他標準，都是嘗試區隔功能性和規格擔保。,這些努力都是希望找出可以證明電腦系統安全性的方法，ITSEC和共同標準甚至刪除實際上沒有定義的功能性。這也就是目前共同標準內含的概念。,1989年德國的綠皮書、1991年加拿大標準、1991年資訊,15,網路安全,電腦安全評估標準的另一個缺陷，即為網路認知的不足。當電腦需要透過網路連結在一起，會產生新的安全問題，而老問題也以新的面貌呈現。,和許多共同媒體連線的連線方式，會擁有較高的通訊速度。,室內或建物的電線也會散播電磁波，此時專用的加密器或許已經無法提供令人滿意的解決方法。,使用者不需透過單一中央電腦控制系統，即可從各種不同系統存取資訊或媒體。,網路安全 電腦安全評估標準的另一個缺陷，即為網路認知的不足。,16,網路存取已經超出橘皮書的認證規範。,1987年TCSEC的網路信賴度詮釋（Trusted Network Interpretation，TNI，或稱紅皮書），可用來答覆前述網路安全的問題。,紅皮書涵蓋橘皮書所有的規範，並嘗試定位出電腦的網路環境，因而可用來建立網路安全的概念。,紅皮書也含有規格擔保和功能性的問題。,網路存取已經超出橘皮書的認證規範。,17,資訊安全,沒有一種方案可以解決所有的安全問題,。,良好的資訊安全是結合所有的解決方案（詳見圖,1-3,）,文件記錄和系統這類實體資產，需要良好的實體安全。,傳輸中的資訊，需要受到通訊安全（,Communication Security,，,COMSEC,）的保護。,資訊安全 沒有一種方案可以解決所有的安全問題。,18,若敵方具有讀取我們電腦系統電磁波的能力時，就需要採用電磁波安全（Emission Security，EMSEC）。,我們的電腦上，需要電腦安全（Computer Security，COMPUSEC）控制存取能力；,區域網路的存取，需要採用網路安全加以控管。,整合前述各種保護方法，即為資訊安全（Information Security，INFOSEC）的概念。,若敵方具有讀取我們電腦系統電磁波的能力時，就需要採用電磁波安,19,资讯安全入门手册ppt课件,20,1-2,安全是一種程序，而不是商品,單一的安全類型是不足以保護組織的資訊安全。,不要依靠單一產品，提供電腦和網路系統必要的安全。,本節重點如下：,1-2-1,防毒軟體（,Anti-virus,）,1-2-2,存取控制（,Access Control,）,1-2-3,防火牆（,Firewall,）,1-2-4,智慧卡（,Smart Card,）,1-2-5,生物特徵（,Biometrics,）,1-2 安全是一種程序，而不是商品單一的安全類型是不足以保護,21,1-2-6,入侵偵測（,Intrusion Detection,）,1-2-7,管理策略（,Policy Management,）,1-2-8,漏洞掃瞄（,Vulnerability Scanning,）,1-2-9,加密（,Encryption,）,1-2-10,實體安全機制（,Physical Security Mechanisms,）,1-2-6 入侵偵測（Intrusion Detection,22,1-2-1 防毒軟體（Anti-virus）,防毒軟體是良好的安全程序中不可或缺的部分。,如果能正確的定義和設定，可以有效地降低惡意程式的困擾（還記得梅麗莎病毒的困擾？還有最近打得火熱的培果病毒和天網病毒）。,防毒軟體無法防止入侵者，使用惡意程式存取企業系統的困擾。,防毒軟體也不能阻止一個合法的使用者，存取他無權存取的檔案。,1-2-1 防毒軟體（Anti-virus）防毒軟體是良好,23,1-2-2,存取控制（,Access Control,）,企業內的每一部電腦，都應該限制每個帳號可以存取檔案的權限。,如果正確設定系統和檔案存取權限，存取控制可有效限制使用者，無法越級存取權限範圍外的檔案。,檔案存取控制無法防止他人利用取得系統管理者權限，或這類系統弱點而存取系統內的所有檔案。,就算是完善的存取權限控制系統，仍不能阻止上述非法手段取得合法身分的方式。,1-2-2 存取控制（Access Control）企業內,24,1-2-3 防火牆（Firewall）,防火牆是網路的存取控制設備，也可用來保護組織內部網路免遭受外部網路的攻擊。,防火牆的本質是邊界安全商品，這代表著防火牆是做為區隔內部網路和外部網路的用途。,若設定正確，防火牆可做為必要的安全設備。,防火牆無法阻隔攻擊者透過許可連線攻擊系統。,1-2-3 防火牆（Firewall）防火牆是網路的存取控,25,1-2-4 智慧卡（Smart Card）,結合,你所知道的事情,、,你所擁有的事物,或,你的個人特徵,等方式，做為個人身分認證,電腦系統使用密碼（,Something you know,）來辨認系統中個別使用者的身分。,隨著時間的演進組織也發現到,Something you know,，並非認證個人身分的最佳方式。,密碼可能被猜測，而你也可能將密碼寫下。為降低這樣的問題，安全已轉變成,Something you have,、,Something you are,這類驗證方式。,1-2-4 智慧卡（Smart Card）結合你所知道的,26,1-2-5 生物特徵（Biometrics）