Transcript Module 7：系統安全

Module 7：系統安全
電子商務安全
7-1
學習目的
• 本模組目的在於簡介系統安全基本觀念與涵蓋的
知識範圍。含安全管理人員日常之系統管理、資
訊系統內軟體的安全與硬體的安全、常見之整合
安全系統、與可信賴電腦之課題。目標是讓學生
能對系統安全有一概略性的瞭解。
電子商務安全
1-2
Module 7：系統安全
• Module 7-1：系統安全
• Module 7-2：可信賴電腦
電子商務安全
7-3
Module 7-1：系統安全
本模組內容係引用教育部顧問室資通安全聯盟「系統安全」課程教材
之「Module 1-系統安全概論」
電子商務安全
7-4
Module 7-1：系統安全
• 系統安全管理
• 軟體安全-十大軟體安全守則與常見軟體攻擊
方式
• 硬體安全--如何防止駭客攻擊
• 整合安全系統--常見之不當安全設定
電子商務安全
7-5
系統安全管理
•實體設備安全管理
•主機系統安全管理
•網路安全管理
•憑證安全管理
電子商務安全
7-6
系統安全管理(Cont.)
•實體設備安全管理政策：
–機房內設備例行性檢查。
–機房內資訊設備及資訊媒體使用管理。
–門禁管理。
–設備安全管理。
電子商務安全
7-7
系統安全管理(Cont.)
•主機系統(大型電腦、伺服器、資料庫等)安全
管理政策：
–作業平台建置標準，安裝、修補、更新。
–日常操作管理、系統日誌處理。
–異常狀況排除。
電子商務安全
7-8
系統安全管理(Cont.)
•網路安全管理政策：
–網路設備安裝維護。
–防火牆建置與管理。
–網路安全監控。
–電腦病毒防治。
–入侵偵測系統建置。
電子商務安全
7-9
系統安全管理(Cont.)
•憑證(Certificate)安全管理：
–憑證申請。
–憑證簽發。
–憑證下載。
–憑證管理。
–憑證註銷。
電子商務安全
7-10
軟體安全
•定義：指安裝或企業內部設計不當的應用軟體系
統，因軟體設計瑕疵而發生安全上的顧慮。
•軟體安全的十大原則
•駭客攻擊三大階段
電子商務安全
7-11
軟體安全-十大原則
原則1：保全最弱環節(Securing the weakest link)
一個系統或軟體最弱的環節即為一個系統的安全度
– 一個駭客一旦選定入侵目標，一定是利用最簡單的
方式(即最明顯的弱點)來進行入侵。
– 通常鎖定在軟體的緩衝區溢位問題(Buffer
Overflow)
– 軟體的弱點不少，很容易成為被攻擊的目標。
• 定期並持續進行分析弱點的工作，以確保最新的
弱點被修復。
電子商務安全
7-12
原則1：保全最弱環節(cont.)
• 最普遍的弱點-社交工程攻擊(Social Engineering
Attack)
– 建立權限控管的規範並且要求企業人員徹底執行之
。
– 軟體上線運作前，必須先徹底分析各種人員角色的
權限規範政策。
電子商務安全
7-13
原則2：深度防禦(Defense in depth)
• 系統安全的防禦工作適當的多層化(Multi Level)，
可以確保不同層級保護的工具或策略不會同時失
效。進一步降低成為入侵目標的可能性。
• 適當層次的管理關卡(愈多不代表愈好!)
• 愈多的管理關卡愈安全愈麻煩愈不符合實
際的效益。
電子商務安全
7-14
原則3：系統錯誤情況處理設計(Secure
failure)
• 系統的錯誤(Failure)模式設計
– 某一些軟體或系統設計時對於使用者發生操作上的
錯誤時，當下的安全機制安全度會低於正常運作時
。
– 例如：早期磁條式信用卡消費時，小偷得到信用卡
後，只要不違背原持有人的「正常消費習慣」即不
會被發現。
– 解決方案是：對「商家」進行落實的風險管理，甚
至商家要對發生偽卡或盜刷事件時負相當的則任。
電子商務安全
7-15
原則3：系統錯誤情況處理設計(Secure
failure)
• 一個系統因功能不足以應付需求，面臨淘汰的時
視為一個錯誤情形
• 必須注意原本的系統建立了相當大的使用者資料
庫及資料，在汰換成新的系統時必須要設計完善
的計畫，聰明的駭客可以利用在汰換的過程中為
自己爭取到新系統的使用者帳號。
• 工作：確實檢驗新系統建立的每個帳號及新加入
運作的客戶端程式，是屬於信任的使用者及機器
。
電子商務安全
7-16
原則4：最小額度的使用權限控制(Least
privilege)
• 只允計使用者得到適當等級的權限且只有在規範
的時間內去操作系統。
• 「權限下放」是一種高風險行為，譬如全家出遊
後，將鑰匙交給好朋友保管，必須將放有貴重物
品的房間另外上鎖。
• 權限控管的文件也必須妥善的管理，操作者、管
理者、決策者只知道其範圍內的權限。
電子商務安全
7-17
原則5：權限劃分(Compartmentalization)
• 權限有適度劃份的系統安全性勝過於權限只有「
有與沒有」(anything or nothing)的管理。
• 對於權限管理適度的劃分，可以在發生被入侵時
將損害降到最低。
• 例：Unix系統的權限只有二種，若有root帳號可
以做所有的事情，不是root帳號都是一般user，
並沒有進行良好的權限區分。
• 例：Trusted Solaris系統有建立權限劃分政策，
因此會有很多種不同角色稱為角色群(roles set)。
透過將不同的角色功能設限達到權限劃分的目的
。
電子商務安全
7-18
原則6：簡單化(Simplicity)
• 系統的設計應該簡單化，程序過於複雜愈可能發
生漏洞。
• 元件再利用(component reuse)：系統已完成的子
元件應盡量重複利用，比再重寫來得有效率及安
全。
• 附加的產品功能(Bells and Whistles)往往可能造
成額外的風險及系統漏洞
電子商務安全
7-19
原則6：簡單化( Simplicity )(cont.)
• 建立瓶頸點(Choke Point)決定執行某些有優先權
的安全機制該被保留並執行，哪些不用安全機制
不必實施 。
• 例：球場只設立一定數量的收票口，以能有效且
確實的收到票，而不是完全開放，否則無法有效
管理門票事務。
• 可用性評估與測試：一般的軟體工程師最常犯的
錯誤是因使用者覺得功能已夠、介面亦夠簡單而
覺得系統完全了；此時卻完全忽略到較安全的系
統因安全機制有時應該要造成使用者不適的反應
卻沒有，如果這樣則顯示系統的安全機制可能有
電子商務安全
7-20
所不足。
原則7：保護使用者隱私(Promote privacy)
• 應用系統裡的個人資料通常容易成為駭客入侵後
的目標，因此對於個人隱私資料的保護需要有較
完善的設計及強化。
• 使用者隱私的保護與易用性通常在功能上相制衡
(trade-off)，保護完善有時造成使用困難，相反地
使用方便往往在資料保護上尚所不足。
• 交易的信用卡號等金融資訊於交易完成後須儘速
刪除。
• 除了使用者個人資料外，應用系統的設計及相關
定義亦為隱私保護的一環。
電子商務安全
7-21
原則8：機密難以保護(It's hard to hide
secrets)
• 一般談到安全(Security)都是以保護機密(secret)
為目的；因此應用系統在設計時都會結合密碼學
金鑰來加強保護機密避免被竊聽及破解。
• 除了保護個人隱私，軟體系統上的技術也是軟體
商要保護的商業機密。
• 雖然大部份軟體被編譯成(Binary Code)，但是仍
有許多駭客擅長逆向工程(Reverse Engineering)
，並破解後將軟體散佈在網站上。有時甚至與軟
體發行時間相距不遠。
電子商務安全
7-22
原則9：勿輕易擴大信任度(Don't extend
trust easily)
• 雖然軟體是花錢採購的，但不一定就代表它的安
全可靠。
• 客服部門(Customer Service)通常是最易發生誤信
的部門，常發生駭客利用社交工程攻擊法便可以
從不熟練的客服人員得到機密資料。
電子商務安全
7-23
原則9：勿輕易擴大信任度
(Don't extend trust easily) (cont.)
• 不能輕易相信安全軟體廠商(Security Vendor)，
為了提高產品銷售量，他們有可能傳達錯誤的資
訊。
• 網路上許許多多標榜各項工能的軟體可以看成是
江湖膏藥，而軟體商可比喻成江湖郎中(Snake
Oil)可以瞭解，這些軟體安全廠商中，有些通常是
利用大家擔心被入侵的心態來作生意。(FUD，
Fear, Uncertainly, and Doubt)
• Snake Oil FAQ，可參考下列網址
http://www.interhack.net/people/cmcurtin/snakeoil-faq.html
電子商務安全
7-24
原則10：相信團隊(Trust the
community)
• 原則10與原則9要二者擇一遵守。大部份時間是
以原則9為準，但在某些評估工作時，則應以團體
或大部份人的評估結論為主。畢竟大眾的審核會
比個人的審核來得客觀、全面。
• 例：公司自行開發的保密系統可以採用經過學術
研究討論而公開的一些加密演算法，如RSA、
3DES或IDEA等，因為這些演算法都已經經過長
時間的檢驗與討論分析。
電子商務安全
7-25
軟體安全-常見軟體攻擊方式
•準備階段：
–主要是在獲取目標主機上各種資訊之行為，對於
主機一般還未造成任何損害。
•攻擊及攻佔後之階段：
–主要是在設法取得、提升、利用目標主機之存取
權，這個部份對目標主機所造成之損害需視駭客取
得之權限大小而定。
•阻絕階段：
–主要是阻絕服務，讓合法使用者不能使用目標主
機之服務。這種行為可能是駭客在無法完成上一階
段之攻擊時所作。
電子商務安全
7-26
軟體安全-常見軟體攻擊方式(cont.)
• WHOIS、NSLOOKUP查詢工具：可藉此類工
具調查入侵或攻擊目標的基本網路資料及相關
公司資訊。
• IPSPOOFING：藉此手段來偽造來源端，以
擾亂司法人員調查的方向並隱藏自己的真實位
址。
• IP/PORT SCANNING：藉由IP或通訊埠掃瞄
的工具來提供的服務及DMZ區各種的安全機制
(如防火牆POLICY、弱點掃瞄及應用系統伺服
器等資訊)。
電子商務安全
7-27
軟體安全-常見軟體攻擊方式(cont.)
• 網路監聽：如Ethereal 、Sniffer等封包監聽工具
常被利用來做為駭客工具最重要的資訊蒐集工具
，可以透過封包的擷取，建立企業網路的各項交
易封包複本，做為後續各種分析及破解的資訊來
源。
• 漏洞調查：結合已知開放的服務、系統版本及監
聽到封包可以分析到攻擊目標可能存在的系統或
軟體漏洞，最常見的是緩衝區溢位問題。
• 密碼破解：如Stake公司的LC4/LC5系列軟體，常
被用來做為破解工具。
電子商務安全
7-28
軟體安全-常見軟體攻擊方式
• 木馬程式(Trojan)：被入侵的主機被建立一個開放遠端控
制的後門，進行不法的破壞。
• 間諜程式(Spyware)或p2p程式：被植入的主機會將資訊開
放分享，提供植入者或不特定者使用。至於p2p則是在商
業公司管理下的程式，當被惡意使用，亦能變為入侵的工
具。
• 傀儡程式(Bot-Net) ：利用傀儡程式來替代傳統的
IPSPOOFING工具，使攻擊者的身份更加隱匿，達到更高
的匿名性，及調查的難度。
• 開放代理伺服器(Open Proxy Server)：利用公/民機關較
封閉的網管政策，在開放網路架設不同服務(如P2P、
MSN、網路遊戲)的代理伺服器，吸引無知使用者在連線
過程中留下機密資料。
電子商務安全
7-29
硬體安全
• 硬體安全的概念可以是將安全機制或安全軟體
轉向產品化。也可以解釋成透過搭配不同的硬
體設備來提高企業系統及網路的安全度。
– 網路安全裝置
• 防火牆軟體、防火牆硬體
• 掃毒軟體、防毒閘道
• 入侵偵測軟體、入侵偵測及弱點掃瞄閘道
– 人員管理裝置
• 身份金鑰、IC卡
• 生物特徵辨識設備
電子商務安全
7-30
硬體安全-網路安全裝置
• (動/靜)態防火牆、入侵偵測防禦、VPN、多線寬
頻負載平衡、伺服器負載平衡及頻寬管理等多種
安全機制的硬體裝置。
• 防火牆：提供封包過濾、阻擋、協定開放及關閉
、各種連線情況(成功、失敗、特定服務)的日誌
記錄等。
• 入侵偵測系統：通常建立有相當大的特徵資料庫
來比對線上的連線活動是否符合特徵，來判斷為
合法或惡意的連線，排除潛在的攻擊活動。
電子商務安全
7-31
硬體安全-網路安全裝置
• VPN( Virtual Private Network)：硬體式的VPN將
IPsec的概念轉換成硬體線路，提供企業建立總公
司與各地分公司的企業內部網路。
• 多線寬頻負載平衡、伺服器負載平衡及頻寬管理
：依靠網路服務為主要業務的公司(如入口網站、
網路遊戲、部落格網站)對於頻寬管理尤期重視，
不能讓線上服務塞車、中斷。
電子商務安全
7-32
硬體安全-人員管理裝置
• 硬體安全模組(Hardware Security Module、
Host Security Module，HSM)：是一種符合
RS232、SCSI或USB的外接硬體，提供一般
電腦某些特定的資訊安全功能。
– HSM通常會結合密碼學公開金鑰系統來提供使
用者在建立、修改、儲存、刪除等工作上的資
料安全，或者以對稱金鑰的演算法管理硬體的
安全。
– 常見的如使用者的USB Tokey或儲有軟體授權
金鑰的硬體鎖、憑證IC卡、iButton及SIM卡。
電子商務安全
7-33
硬體安全-人員管理裝置
• HSM的開發主要有二個方向：
– 自動櫃員機(Automated Teller Machines，
ATM)與銷售點終端機(Point of Sale，POS)
• 主要功能是著重在晶片卡上的加密元件電路設計
與保護載入存有金鑰的記憶體。
– 授權及個人化模組
• 認證線上的PIN資料庫與加密PIN碼相符。
• 至少支援一種Smart Card要應用的加密函數介面
。(如Europay、Master、Visa所提的EMV標準)。
• 可以針對一張Smart Card產生金鑰集(KeySet)並
支援個人化的處理工作。
電子商務安全
7-34
硬體安全-硬體攻擊概念
•
•
•
•
時序攻擊法
物理密碼攻擊法
電力攻擊法
硬體錯誤攻擊法
電子商務安全
7-35
整合安全系統(Integrated security System)
• 整合二種以上的安全機制與技術建立而成的系統
，可以稱之為整合安全系統。常見有以下幾種：
• PKI公開金鑰基礎建設
• 電子商務安全
• VPN技術
• PGP
• Kerberos
電子商務安全
7-36
整合安全系統(Integrated security System)(cont.)
• PKI公開金鑰基礎建設
– 應用公開金鑰密碼學(Public Key Cryptography)技
術與憑證管理機制，建立而成的網路交易平台。可
以透過密碼學的機制提高交易的安全性並且利用憑
證管理中心(Certification Authority)讓進行網路交
易的成員信任彼此，而達成交易。
– 目前在我國已利用「自然人憑證」IC卡，做為國民
的電子憑證，透過內政部自然人憑證管理中心建立
PKI的網路交易平台。
– 可進行的交易如「監理服務」、「戶役政服務」等
。
電子商務安全
7-37
整合安全系統(Integrated security System) (cont.)
• 電子商務安全
– 指透過應用安全電子交易協定(Security Electronic
Transactions，SET)並在網路平台進行付款的交易
活動。
• SET的特色
– 機密性(Confidentiality)：在Internet 為開放式的網
路環境，任何人都可以由任何地點連上Internet，
運用加密的方式將其資料亂編成亂碼傳送，使破密
者即使擷取到資料也無法在有效的時間內破密。
– 完整性(Integrity)：即資料傳送過程中不會遭到竄
放。對於許多交易資料而言，些微的誤差會造成極
大的損失以及持卡人及特約商店的名譽掃地等問題
，因此資料完整性是非常重要的保障，此部分可透
過數位簽章機制中的HASH函數
達成。
電子商務安全
7-38
整合安全系統(Integrated security System)(cont.)
– 身分鑑別(Authentication)：在SET 協定下進行電
子商務時，唯有身分鑑別無誤時才可進行交易，以
密碼機制中的公開金鑰觀念來達成。
– 不可否認(Non-Repudiation)：其用意是避免交易
雙方否認已送出或接收到資料，以確保雙方的權益
，此部分為數位簽章機制中須要求達到的訴求之一
。
– 存取控制(Access Control)：主要是定義使用者的
權限，避免資料被竄改，透過密碼機制中的階層存
取來達成。
電子商務安全
7-39
整合安全系統(Integrated security System)(cont.)
• VPN技術(Virtual Private Network)
– 一種提供公司或機關建立私人通訊網路，主要是透
過建立通訊隧道(Tunnel)的方式，達到在開放式網
路(Public Network，如Internet)進行秘密資訊的傳
送，如資料及多媒體檔案。
– VPN可以讓企業分公司或員工以較經濟(cost
effictive)的方式連線到企業內部網路，使用企業的
內部應用系統及服務且不必花費建置專線
(Dedicated Line)就可以享受到專線的優點。
電子商務安全
7-40
整合安全系統(Integrated security System)(cont.)
• VPN安全系統是整合加密演算法、通道技術及鑑別機制的
整合安全系統。
• VPN通訊頻道(Tunnel)的建立可能採用的協定種類如下：
–
–
–
–
–
–
IPSec(IP Security)
SSL/TLS(Secure Socket Layer)
OpenVPN：一種開放式的VPN標準
PPTP(Point to Point Tunneling Protocol)
L2TP/ L2TP3：Layer 2 Tunneling Protocol
多協議標籤交換 (Multiple Protocol Label Switch VPN，
MPLS)
• VPN Quarantine：如微軟ISA伺服器(Internet Security
and Acceleration Server)，在客戶終端執行此項服務，
將具入侵風險的客戶終端配置到隔離區中禁止連線，直到
客戶端機器恢復正常為止。
電子商務安全
7-41
整合安全系統(Integrated security System)(cont.)
• PGP(Pretty Good Privacy)
– 1991年Philip Zimmermann 參考Open PGP標準
(RFC2440) 並整合公開金鑰密碼學(如RSA或DH)
的加密及認證技術設計而成。主要用來加密電子郵
件以提供秘密通訊的工具。
– 2002年後，有許多其它類似的軟體如：Patrick
Townsend & Associates, Authora Inc., EasyByte
Cryptocx, Veridis等。
– 加密時包含郵件內容、附件、數位簽章等都會包含
在同一郵件的連線中傳送。
電子商務安全
7-42
整合安全系統(Integrated security System)(cont.)
• http://upload.wikimedia.org/wikipedia/en/d/d8/PGPgui1.png
電子商務安全
7-43
整合安全系統(Integrated security System)(cont.)
• Kerberos：電腦網路所使用的一種鑑別協定，提
供給開放網路的使用者來辨識遠端使用者的身份
，由Massachusetts Institute of Technology (MIT
)所設計。
• 主要功能是避免網路通訊遭遇竊聽及重送攻擊，
並確保資料的完整性(Integrity)。
• Kerberos整合安全系統，在設計時主要以主從式
架構為預設環境，並結合對稱式密碼技術
(Symmetric Key Cryptography)及一可信任的第
三方(Trusted Third Party)，二者齊全後便能執行
該協定。
電子商務安全
7-44
整合安全系統(Integrated security System)(cont.)
• 支援Kerberos工具的軟體及系統如下：
–
–
–
–
Apache
Eudora
Microsoft Windows 2000 and Later
有一些伺服器的POP3、IMAP4、OPENLDAP等
也都支援Kerberos協定。
電子商務安全
7-45
整合安全系統(Integrated security System)(cont.)
• 其它
– 一般的安全系統的概念可能包括門禁系統、影像監
視系統、消防系統甚至結合員工差勤系統。就常見
結合密碼學技術的整合系統而論，建立整合門禁、
監視等應用系統的安全整合系統基本上可以縮短資
安事件發生時的應變時間，並加快通報及應變作為
。
電子商務安全
7-46
Module 7-2：可信賴電腦
本模組內容係引用教育部顧問室資通安全聯盟「資訊安全導論」
課程教材之「Module 3-5-可信賴電腦簡介」
電子商務安全
7-47