Transcript 網路安全設備介紹
資訊安全基本防護介紹 東區服務課 資深工程師 吳啟銘 大同資訊系統業務處 台東分公司 課程大綱 何謂資訊安全? 資訊安全有哪些威脅? 資訊安全的範圍 網路安全的定義 網路安全設備介紹 系統安全的定義與管理 如何加強個人電腦資訊安全? Q&A 何謂資訊安全? 為發揮資訊的最大價值,必須有效的防止資訊遭竊取、竄改、 滅失或遺失。簡單來說,就是要確保資訊的三大要素: 1.機密性(Confidentiality)-保護資訊不被非法存取或揭露。 2.完整性(Integrity)-確保資訊在任何階段沒有不適當的修改損毀。 3.可用性(Avaliability)-經授權的使用者能適時的存取所需資料。 資訊安全有哪些威脅? 資訊安全的範圍 定義保護及維護資料的安全,包含: 資料的使用 資料的傳遞 資料的處理 資料的儲存 網際網路普及化後,資料的傳遞安全變的愈來愈重要。 資訊安全的範圍 資訊安全包含: 網路安全:資料傳遞間的安全管理。如:PKI、自然人憑證…等。 系統安全:資料處理系統方面。如:駭客攻防、稽核管理、儲存系統…等。 安全管理:確保資訊安全的機制。如:管理機制、安全認證…等。 網路安全的定義 網路安全的定義:意指資料在網路中傳遞與處理的安全 網路的威脅有: 1.竊聽,可利用傳輸內容加密保護。 2.竄改,可利用簽章防止。 3.重送,可利用身分驗證來防止。 目前的網路安全技術有: 1.加密技術-傳輸資料加密、通道加密(SSL、SSLVPN、 VPN、IPSec) 2.身分認證-電子簽章、憑證(如GCA憑證、自然人憑證) 常見網路安全設備 常見的網路安全設備有: UTM防火牆 入侵偵測防禦系統 LANPOLICY 無線網路認證路由器 防毒軟體-Pc-cillin2010、諾頓網路安全大師、 Kaspersky Internet Security2010…等 網路安全設備介紹-UTM防火牆 UTM防火牆 UTM防火牆除了基本的防火牆功能之外,也包含了其他功能,有病 毒掃描(AV)、入侵偵測、負載平衡、垃圾郵件(Anti-Spam)、內容 過濾…等。 病毒掃描:故名思義可針對多種協定如HTTP、FTP、POP3及SMTP等 流量進行即時掃描以確保不受潛藏於網頁與郵件中的病毒、蠕蟲及 惡意程式危害。 入侵偵測:通常以資料庫內的攻擊特徵碼做防禦,大部份皆支援線 上線更新特徵碼,亦可自行定義攻擊特徵以應變多變的入侵威脅。 網路安全設備介紹-UTM防火牆 負載平衡:可針對企業網頁、郵件服務或特定伺服器提供流量負衡 的功能,而針對內部上網流量亦可自行定義規格以有效利用網路頻 寬。 垃圾郵件:透過防火牆內建的資料庫掃描收進來的郵件並即時掃描, 亦可自行定義白名單、黑名單規則以應對不同過瀘條件。 內容過濾:IM(即時通軟體),P2P(點對點傳輸軟體)通常會造成企 業資安漏洞及佔用網路頻寬,可透過防火牆限制相關IM、P2P軟體 傳輸,亦可針對HTTP、HTTPS網頁內容過濾,或針對特定的附檔名 下載檔案做限制,以達到企業內部的網路安全。 (成功案例) 網路安全設備介紹-入侵偵測防禦 入侵偵測防禦系統 常見的有Juniper、Redwall、o2…等各家知名廠商,入侵偵測防禦 主要特徵都是以資料庫內的特徵碼來達到防禦的效果,且會自動線 上更新特徵碼以便應變各種攻擊手法,使用者亦可自行定義攻擊特 徵以應變多元的入侵威脅,亦可透過報表來查看相關入侵威脅,以 利管理者追蹤特定攻擊來源 網路安全設備介紹-LanPolicy LanPolicy(可阻絕異常流量與封包) 為有效保護企業內部網路安全,大多數的企業都已經架設了防火牆來保護 來自Internet上的不明或惡意的存取行為;但是對於內部網路的存取控制 行為卻沒有一套有效的方法與工具可以協助網路管理人員來進行這方面的 管理工作。 LAN Policy (名稱為Lock Access Network Policy)是專門設計用來保護內 部網路不會受到病毒或者惡意的網路程式來破壞整體網路的執行效能。 網路安全設備介紹-LanPolicy 網路安全設備介紹-LanPolicy 網路安全設備介紹-LanPolicy 網路安全設備介紹-無線網路認證匣道器 無線網路認證匣道器 有無線網路環境的地方,任意存取無線網路存取點固然方便,但是 各位有沒有想過呢?如果任何一個人可以任意存取無線網路點造成 的網路安全問題? 無線網路認證匣道器提供了多種認證機制,可將單位內所有的無線 基地台統一集中管理,提供相同的SSID漫遊機制,使用者不需要重 新登入。 網路安全設備介紹-無線網路認證匣道器應用 產品 - DSA-3600 - DES-1026G - DWL-3200AP • 特色 - DSA-3600具備無線 安全認證機制,有效 增加網路安全。 - 透過DWL-3200AP提 供有效率與穩定性的 無線傳輸,確保無線 傳輸品質。 - 利用DES-1026G Gigabit介面整合串接 各樓層骨幹,加速資 料傳輸。 系統安全的定義與管理技術 系統安全的定義:指資料在處理過程中的安全。 目前已知系統安全管理技術: 系統安全需以全面的觀點來看,有制度的管理、技術與工 具、人員訓練 資安制度:CNS17799、ISO27001 資安管理:資安政策、ISMS 資安稽核:內部與外部稽核 資安工具:Firewall、IDS/IPS、IDP 資安認知與教育訓練:有效提升資安意識與觀念 防毒軟體介紹 現在許多防毒軟體亦有網路安全防護的功能,主要常 見的防毒軟體有officescan8.0、pc-cillin2010、諾 頓網路安全大師、kaspersky internet security、 Avast 目前市面上的防毒軟體不僅僅單純防毒的功能了,透 過防毒軟體也能有簡易的網路安全防護功能,增加電 腦使用上的安全,確保個人資料不被駭客攻擊或是內 部網路散佈的蠕蟲病毒所攻擊!! 防毒軟體介紹-officescan 防毒軟體介紹-pc cillin 2010 Pc-cillin2010網路安全軟體 防毒軟體介紹-諾頓網路安全大師 如何加強個人電腦資訊安全? 減少開啟來路不明之郵件(收信軟體安全性設定) 開啟自動更新功能/手動線上更新 啟動系統內建防火牆及啟動資料執行防止(DEP) 安裝防毒軟體、及定期更新及掃描。(NOD32、小紅傘、費 爾托斯特…等) 安裝隨身碟防護程式。 設定開機登入密碼及螢幕保護裝置(含密碼) 網路軟體下載注意事項 不知明網頁勿隨意開啟或連結,減少惡意程式被植入 釣魚攻擊手法介紹 Outlook & Outlook Express關閉預覽窗格 Outlook & Outlook Express關閉預覽窗格 收信軟體封鎖圖片設定方法 1.開啟Outlook Express 2.點選”工具”下中的”選項” 收信軟體封鎖圖片設定方法 3.選擇”安全性”標籤 4.”下載圖片”的區塊中: 阻擋HTML電子郵件…. =>確認有勾選 5.按”套用” 6.再按”確定”,完 成設定 手動更新微軟hotfix 手動更新微軟hotfix 手動更新微軟hotfix 設定自動更新 防止資料執行防止(DEP) 我的電腦→右鍵→內容→進階→效能(設定)→資料執行防止(DEP) 安裝防毒軟體及定期更新、掃描 安裝防毒軟體及定期更新、掃描 安裝防毒軟體及定期更新、掃描 下載usb防護程式 安裝usb防護程式 (http://of.openfoundry.org/projects/9 06/download) usb防護程式常駐圖示/掃描過程 插入隨身碟後隨即掃描隨身碟是否 有KAVO病毒 網路釣魚手法及其防制 網路釣魚手法及其防制 隨著網際網路的快速發展,電子商務也逐漸成熟而普及。 但是交易安全的問題,卻如影隨形的伴著電子商務,在市 場利基不斷擴大的同時,有些心懷不軌的人,開始利用網 路釣魚 等手段,從事密碼截取、入侵…等破壞行為,深 深影響網路購物的安全性,也讓消費大眾開始擔心自身權 益保障,進而影響對於網路使用程度的意願。讓我們來看 看網路釣魚的手法與防制措施吧!. 網路釣魚手法及其防制 網路釣魚是什麼? 近年來,利用假冒網頁或郵件以帳戶重新認證等名義,騙 取民眾密碼、信用卡等機密資訊的詐騙行為越來越多,這 種犯罪行為有個專屬的英語名詞「 phishingh 」,音同 英文的釣魚(fishing),所以譯作「網路釣魚」。 網路釣魚手法及其防制 網路釣魚是什麼? 既然是釣魚,當然也是願者上「鉤」。「網路釣魚」的詐 騙手段,就是引誘被害人連結至假網站,而造成重要資料 外洩,進而使財產損失的一種行為。這種犯罪手法的技術 性並不高,有心犯罪者可以輕易的執行網路釣魚的行為。 國際性網站─「反網路釣魚工作小組」(Anti-Phishing Working Group, APWG :http:// www.antiphishing. org/),這是一個時常發佈「網路釣魚相關趨勢報告」 (Phishing Attach Trends Report)及熱心網友即時通報 全球有害網路釣魚事件的網站。時常注意相關手法,可避 免遭受網路釣魚手法欺騙。 網路釣魚手法及其防制 網路釣魚手法 網路釣魚事件頻傳,駭客將重要資料騙取後,將利用網路 交易沒有實質審查身份的特性來犯案,造成受害者的損失。 以下將探討典型的網路釣魚手法,並將舉出相關的實際案 例。 網路釣魚手法及其防制 手法一:在郵件中連結上幾可亂真的造假網站,知名的代 收款網站 Paypal.com 就是詐騙郵件中常見的案例。網 路釣客在網址上以數字0取代英文字O、以數字1取代英文 字l,或者在電子郵件中顯示正確網站連結,卻私底下連 結至私人網站主機[圖一],謊稱升級客戶服務,或是更新 帳戶資料,騙取受害人的帳戶密碼,及相關隱私資料。然 後網路釣客再至真實之網站竊取客戶的錢財,或者從事大 筆消費,讓受害者蒙受巨大損失。事件發生時,被害人還 以為是網站業者疏失,其實是因為自己使用行為不當而造 成的。 網路釣魚手法及其防制 網頁中撰寫惡意程式碼,讓使用者的瀏覽器被安裝不安全元件,首頁被 取代,往後每次一開瀏覽器,就會被帶到這些惡意網站;部分網站會提 供一些小程式,宣稱可加速上網、強化系統、免費看色情網站等功能, 但若網友執行這些程式,瀏覽器或微軟windows登錄檔都會被植入綁架程 式。可能會導致瀏覽器無法正確連結,而將網址轉向至釣魚網站,讓使 用者誤以為自己進入正確網站而輸入資料。 網路釣魚手法及其防制 手法二:難以查覺的網頁置換技術,利用 JavaScript 技術,置換 靜態的URL網址,讓偽造網站的網址列與官方相同,難以辨認真假。 當使用者上鉤並輸入資料時,相關資料將被竊取。在圖二中,駭客 隱藏了真正的偽造網址,使用者所見的確實是銀行的官方網址[圖 二]。由於網頁程式碼可能是利用JavaScript寫定的,使用者瀏覽 時無需另外安裝ActiveX元件,讓使用者失去戒心,相當難以查覺。 網路釣魚手法及其防制 高明的網址轉嫁手法。近來網路釣客又衍生出一種更高明的手法 ──網址轉嫁(Pharming)。這種手法是透過向「DNS快取記憶體下 毒」(DNS Cache Poisoning)的方式,向其他DNS伺服器提供合法網 域名稱的錯誤IP位置,也就是透過DNS更新的時間,直接竊取網站 名稱來使用。這時就算用戶自己開啟瀏覽器輸入正確的網址,一樣 是被引導至釣魚網站。 網路釣魚手法及其防制 防止網路釣魚工具 為了防止網路釣魚攻擊,防毒軟體及瀏覽器皆推出新版,強調防止 網路釣魚的功能。透過軟體的警示,可以讓使用者提高警覺,而不 要落入陷阱。 (1)防毒軟體 當使用者已安裝有防止網路釣魚的防毒軟體,防毒軟體廠商會透過 以下幾種技術來警示網站是否為仿冒網站,或是警示電子郵件是否 為釣魚郵件。 網路釣魚手法及其防制 防止網路釣魚工具 1. 黑白名單: 利用軟體內建的資料庫,來判別網站及電子郵件地址是否在黑名單 內。如此,可以擋掉一些釣魚陷阱,缺點是名單不夠即時。 2. 網址及網頁分析: 檢測包括使用者所瀏覽的網址正確性、進行的交易流程是否符合 SSL認證等,預防使用者受引導至偽造網站進行交易。 3.行為模式安全防護技術: 行為模式安全防護技術透過其行為及特徵來判別網路威脅,包括病 毒、蠕蟲、特洛依木馬、鍵盤側錄程式及網路釣魚網站等。 網路釣魚手法及其防制 防止網路釣魚工具 (2)瀏覽器及外掛功能 網路釣魚主要是透過瀏覽器來引導至假網站,所以從瀏覽器本身加 強安全全防護,是有必要的。 1.新版瀏覽器: 廠商包含FireFox、Microsoft、Netscape、Opera都已在2009下半 年推出新的瀏覽器,針對網路釣魚攻擊做一個防護措施。 2.瀏覽器外掛工具列: 除了安裝新版瀏覽器,也可在瀏覽器安裝工具列。微軟提供了MSN Search Toolbar與Phishing Filter 來防止網路釣魚攻擊。在使用 者可能進入一個會竊取個人資訊的網站前加以阻撓與警告。而在使 用者進入疑似釣魚網站之前,也會看到警告, IE8瀏覽器已內建此 功能。 網路釣魚手法及其防制 居安思危,小心網釣 小心上鉤──網路釣魚陷阱就在你身邊,為了提高電子 交易安全,除了運用資訊科技、加強法律約束,嚇阻不 法交易之發生外,也需要使用者改變本身習慣。在使用 網路便利性的同時,小心每個可能的陷阱,瞭解網路釣 魚攻擊的常用手法,並配合相關工具的防護,才能夠讓 電子交易更加安全。 網路軟體下載注意事項 不要任意安裝來路不明的軟體,小心中毒 無版權之軟體應避免任意安裝及散佈,以免中 毒及觸犯法律 下載共享及自由軟體宜至官方網站下載 下載後安裝前宜先用防毒軟體掃描 下載共享軟體於試用期滿後應立即從電腦中移 除,以免觸犯法律 總結 資訊安全的加強,除了透過軟硬體設備來加強保護之外,不外 乎人員的教育也是很重要的!透過教育訓練來加強人員對資訊 安全的重視。 假設電腦安裝了許多防護軟體,但不明軟體隨意下載就安裝, 未經掃描就執行,這就就算裝了許多防護軟體,也是多餘的!! 資訊防護 人人有責 感謝貴單位提供本公司服務機會 台東分公司 950台東市豐榮路300號 TEL:(089) 323978 FAX:(089) 346390 E-mail:[email protected]