第8章資訊系統安全

Download Report

Transcript 第8章資訊系統安全 

第八章
資訊系統安全
學習目標

瞭解為何資訊系統易於遭受破壞、錯誤與濫用

瞭解什麼是安全與控制的企業價值

瞭解安全與控制的組織架構有哪些元件

瞭解什麼是資訊資源防護上最重要的工具與技術
東華書局│www.tunghua.com.tw
2
本章大綱
8.1 系統漏洞與濫用
8.2 安全與控制的企業價值
8.3 建立安全與控制的管理架構
8.4 保護資訊資源的技術與工具
8.5 管理資訊系統專案的實務演練
東華書局│www.tunghua.com.tw
3
當你在用Facebook時要小心
東華書局│www.tunghua.com.tw
4
8.1 系統漏洞與濫用
安全性(security)是指用於防止資訊系統被未授權的
使用者進入、篡改、偷竊或實體損害的政策、程序及
技術手段。
控制(controls)包含所有的方法、政策與組織程序,
用來確保組織的資產安全、記錄的準確與可靠,以及
依照管理標準的運作。
東華書局│www.tunghua.com.tw
5
8.1 系統漏洞與濫用
•
為什麼系統容易受到破壞
東華書局│www.tunghua.com.tw
6
8.1 系統漏洞與濫用
•
為什麼系統容易受到破壞_網際網路的攻擊
– 大型公眾網路如網際網路,比其他內部網路更易
遭到破壞,因為它是對任何人都開放的。
– 網際網路技術的電話服務,除非是在安全的私有
網路之下,會比傳統交換機式的網路更易遭到破
壞。
– 電子郵件和即時傳訊 (instant messaging, IM) 更
大幅增加了受到破壞的可能性。
東華書局│www.tunghua.com.tw
7
8.1 系統漏洞與濫用
•
為什麼系統容易受到破壞_無線傳輸安全的挑戰
東華書局│www.tunghua.com.tw
8
8.1 系統漏洞與濫用
•
惡意軟體( malware)︰病毒、蠕蟲、木馬程式和間諜
軟體
– 電腦病毒 (computer virus) 是一種流氓軟體程式,通
常在使用者不知情或未經使用者許可的情況下,附
加在其他軟體程式或資料檔案上來執行。多數的電
腦病毒會傳遞一份「裝載」(payload)。這份裝載有
時 可能較不具威脅性,如執行指令去顯示一些文
字訊息或影像,或是非常具有破壞性--像是銷毀程
式或資料、阻礙電腦記憶體運作、重新格式化 硬
碟、或是讓程式不正常執行。
東華書局│www.tunghua.com.tw
9
8.1 系統漏洞與濫用
–
蠕蟲(worms)
一種獨立的電腦程式,它可以透過網路將病毒從一
台電腦自行複製到其他電腦。與病毒不同的是,蠕
蟲能自己運作,並且不需依附在其他電腦程式檔案
上,也不太需要透過人們的操作行為就能在電腦之
間傳播。
東華書局│www.tunghua.com.tw
10
8.1 系統漏洞與濫用
–
木馬程式 (Trojan horse)
看起來似乎是溫和無害的軟體程式,但會做一些超
出想像的事。木馬程式本身不是病毒,因為它本身
並不複製,但卻是其他病毒或惡意程式碼侵入電腦
系統的媒介。
東華書局│www.tunghua.com.tw
11
8.1 系統漏洞與濫用
–
間諜軟體 (Spyware)
也扮演著惡意軟體的角色。這些小程式偷偷的自
行安裝在電腦上,它們會監視著你上網的活動,
並跳出廣告。
東華書局│www.tunghua.com.tw
12
東華書局│www.tunghua.com.tw
13
8.1 系統漏洞與濫用
•
駭客與電腦犯罪
– 駭客 (hacker) 是個人企圖未經授權而擅自存取他人
的電腦系統。
– 怪客 (cracker) 通常用來指具有犯罪意圖的駭客。
– 電腦暴力行為(cybervandalism)、蓄意破壞、 毀
損甚至是摧毀網站或公司資訊系統等。
東華書局│www.tunghua.com.tw
14
8.1 系統漏洞與濫用
•
駭客與電腦犯罪_偽裝和網路竊聽
– 駭客經常隱藏他們的真實身分來進行欺騙、或
試圖用偽裝的電子郵件位址或假冒其他人傳送
訊息。
– 偽裝 (spoofing) 的方式,有時是將原來的網址連
接至其他的網站,假裝成是要連接的目的地。
– 網路竊聽器 (sniffer) 是一種偷聽的程式,它監控
網路上資訊的流動。
東華書局│www.tunghua.com.tw
15
8.1 系統漏洞與濫用
•
駭客與電腦犯罪_阻斷服務攻擊
– 阻斷服務攻擊 [denial-of-service (DoS) attack] 是指
駭客送出成千上萬件假的訊息或是服務需求到網
路伺服器或是網站伺服器,造成網路壅塞甚至癱
瘓。被攻擊的網站,會在瞬間收到大量的查詢需
求而處理效率無法跟得上,使得電腦主機無法服
務正常的需求。
– DoS 的攻擊者常利用數千台「殭屍」(zombie)
電腦,它們通常 都是在使用者不知情狀況下受惡
意軟體感染的電腦,而被駭客級成組成殭屍網路
(又稱傀儡網路,botnet)。
東華書局│www.tunghua.com.tw
16
8.1 系統漏洞與濫用

駭客與電腦犯罪_電腦犯罪
 電腦犯罪(computer crime)為:「任何涉及以電
腦技術的知識進行犯罪、調查或行 動,而違反法
律者。」
東華書局│www.tunghua.com.tw
17
8.1 系統漏洞與濫用
駭客與電腦犯罪_電腦犯罪
東華書局│www.tunghua.com.tw
18
8.1 系統漏洞與濫用
•
駭客與電腦犯罪_身分盜用
– 身分盜用(identity theft) :是非法取得他人個人隱
私資訊的一種犯罪行為。
• 網路釣魚(phishing)。此手法包含設立假的網
站或是發送看起來像是合法公司發的電子郵
件,向使用者要求個人的機密資料。
東華書局│www.tunghua.com.tw
19
8.1 系統漏洞與濫用
•
駭客與電腦犯罪_身分盜用
• 雙面惡魔 (evil twins) 是一種假裝可提供值得
信任的無線網路連線至網際網路,詐騙者試
圖讓不知情的使用者在登入這個網路的同時,
竊取他們密碼或是信用卡號碼。
東華書局│www.tunghua.com.tw
20
8.1 系統漏洞與濫用
•
駭客與電腦犯罪_身分盜用
• 網址轉嫁連結 (pharming) 轉接使用者至一個
偽造的網站上,即使當使用者在瀏覽器上鍵
入正確的網址。
東華書局│www.tunghua.com.tw
21
8.1 系統漏洞與濫用

駭客與電腦犯罪_點擊詐欺
 點擊詐欺
 點擊詐欺
 (click fraud)是個人或電腦程式故意地點選
線上廣告,但是並不想 瞭解這個廣告或是購
買產品。
 電腦恐怖份子與電腦戰爭
東華書局│www.tunghua.com.tw
22
8.1 系統漏洞與濫用
•
內部威脅︰員工
– 常以為企業組織的安全威脅來自於組織之外。事
實上,公司內部的人員也經常會引起嚴重的安全
問題。
– 使用者安全知識的缺乏常是網路安全的最大問題
來源。
東華書局│www.tunghua.com.tw
23
8.1 系統漏洞與濫用
•
軟體漏洞
– 軟體錯誤也經常會對資訊系統造成威脅,導致無
數的生產力減少。
– 軟體的主要問題就是隱藏的軟體臭蟲(bugs)或
是程式碼的瑕疵。
– 一經發現瑕疵,為了修正軟體,軟體供應商會撰
寫一些小的修 補程式(patches),在不影響軟體
正常使用的情形下來修正瑕疵。
東華書局│www.tunghua.com.tw
24
當防毒軟體癱瘓你的電腦
1.
2.
3.
4.
哪些管理、組織與技術上的因素造成此次
McAfee的軟體問題?
對McAfee及其客戶來說,此次的軟體問題在企
業經營上造成什麼衝擊?
假設你是McAfee的企業客戶,你覺得該公司對
於此一問題的回應是可接受的嗎?可接受或不
可接受的原因為何?
McAfee未來該採取什麼措施以避免類似問題再
發生?
東華書局│www.tunghua.com.tw
25
8.2 安全與控制的企業價值
•
•
•
資訊系統的保護對於企業的營運是卻是非常的
重要。
企業組織不只需保護公司內部的資訊資產,同
時也需保護顧客、員工與合夥人的相關資訊;
否則將使公司暴露於資訊曝光或資料被偷竊的
昂貴法律訴訟的風險之中。
一個適當的保護企業資訊資產的安全與控制架
構,可以為公司產生很高的投資報酬。
東華書局│www.tunghua.com.tw
26
8.2 安全與控制的企業價值
•
電子記錄管理的法律與規範需求
– 企業組織面臨對電子記錄管理和文件保存與保
護隱私的新法律義務。
• 電子記錄管理 (electronic records management,
ERM)
• 健康保險可攜性與責任法案 (Health Insurance
Portability and Accountability Act, HIPAA)
• 葛蘭法案 (Gramm-Leach-Bliley Act)
• 沙賓法案 (Sarbanes-Oxley Act)
東華書局│www.tunghua.com.tw
27
8.2 安全與控制的企業價值
•
電子證據和電腦鑑識
– 安全、控制與電子記錄管理已成為回應法律行
動的重點。
– 電腦鑑識(computer forensics) 是針對握有的資
料或儲存於電腦媒體的資料,進行科學化的蒐
證、檢驗、認證、保存與分析,以作為日後法
庭能據以判決的法律證據。
– 電子證據會以電腦檔案與周遭相關的資料(如
找尋檔案的目錄、指標或是加解密的演算法和
參數等)存在於電腦的儲存媒體中
東華書局│www.tunghua.com.tw
28
8.3 建立安全與控制的管理架構
•
資訊系統控制
– 一般控制(general controls)指的是整個組織資
訊科技基礎架構的設計、安全和電腦程式的使
用與資料檔案的安全。一般控制適用於所有電
腦化的應用,包含有硬體、軟體和建立整體控
制環 境的操作程序。
東華書局│www.tunghua.com.tw
29
8.3 建立安全與控制的管理架構
•
資訊系統控制
– 應用控制(application controls)是針對每一個
電腦應用系統特定的控制,如薪資系統或是排
序系統。應用控制包含自動與人工的程序,以
確保只有經過授權的資料被應用系統完整與正
確地處理。應用控制可分為:(1) 輸入控制,(2)
處理控制,和 (3) 輸出控制。
東華書局│www.tunghua.com.tw
30
8.3 建立安全與控制的管理架構
東華書局│www.tunghua.com.tw
31
8.3 建立安全與控制的管理架構
東華書局│www.tunghua.com.tw
32
8.3 建立安全與控制的管理架構
•
•
風險評估(risk assessment)
– 決定如果公司特定的活動與程序沒有恰當的控
制其風險的層級。
安全政策(security policy)
– 包括資訊風險等級的定義敘述、確認可接受的
安全目標、並確認可達成這些目標的機制。
東華書局│www.tunghua.com.tw
33
東華書局│www.tunghua.com.tw
34
8.3 建立安全與控制的管理架構
•
災難復原規劃與營運持續經營規劃
– 災難復原規畫 (disaster recovery planning)主要規
劃在電腦與通訊服務終止後如何恢復正常的運
作。災難復原規劃的重點主要在災後如何 啟動
系統並持續運作的技術問題。
東華書局│www.tunghua.com.tw
35
8.3 建立安全與控制的管理架構
•
災難復原規劃與營運持續經營規劃
– 企業持續經營規畫 (business continuity planning)
主要重點在如何在災後重新恢復公司的正常營
運。企業持續經營計畫確認營運的關鍵企業流
程與決定行動計畫,以便在系統當機時,能處
理營運上的關鍵功能。
東華書局│www.tunghua.com.tw
36
8.3 建立安全與控制的管理架構
•
稽核的角色
– 管理資訊系統稽核 (MIS audit) 不但檢驗公司的
整個安全環境,同時也會檢視管理個別資訊系
統的控制機制。
– 稽核者應該追蹤系統的某些交易案例的流程,
並執行測試,如果適當的話,使用自動化稽核
軟體來進行檢測。
東華書局│www.tunghua.com.tw
37
東華書局│www.tunghua.com.tw
38
8.4 保護資訊資源的技術和工具
•
存取控制(access control)
– 包括所有公司用來防止內部或外部未經授權的存
取企業內部資料的政策和程序。使用者需經授權
並身分認證後,才得進入企業內部系統。
• 身分認證(authentication)
• 許可證 (token)
• 智慧卡(smart card)
• 生物辨識認證 (biometric authentication)
東華書局│www.tunghua.com.tw
39
8.4 保護資訊資源的技術和工具
•
防火牆、入侵偵測系統與防毒軟體
– 防火牆
• 來防止外界未授權的使用者存取私有網路。
• 是硬體與軟體的結合,控制網路內部與外部間
的交通。
– 偵測入侵系統
• 是一個全天候對可能受攻擊的點,或者對公司
網路內非常重要的部分,持續監視及防止入侵
的工具。
東華書局│www.tunghua.com.tw
40
8.4 保護資訊資源的技術和工具
•
防火牆、入侵偵測系統與防毒軟體
– 防毒軟體與反間諜軟體
• 用來檢查電腦系統和顯示電腦病毒存在的一種
軟體。
– 整合式威脅管理系統
• 整合不同安全防護工具的單一包裝,包括防火
牆、虛擬私有網路、 入侵偵測系統與網頁內
容過濾與垃圾郵件過濾軟體。
東華書局│www.tunghua.com.tw
41
8.4 保護資訊資源的技術和工具
東華書局│www.tunghua.com.tw
42
8.4 保護資訊資源的技術和工具
•
無線網路的安全
–
WEP 仍能提供有限度的安全防護。當公司存
取內部資料時,可以進一步利用 WEP 與虛擬
私有網路(virtual private network, VPN) 技術結
合,以改善無線網路的安全。
東華書局│www.tunghua.com.tw
43
8.4 保護資訊資源的技術和工具
•
加密與公開金鑰架構
–
–
–
加密 (encryption) 是將明文或資料轉成密文的一
種過程,除了發文者和指定得收文者外,其他
任何人均無法讀取。
資料利用一種秘密的數字碼加密,叫做加密金
鑰,將明文轉成密文。這份訊息必須由接收者
來解密。
數位認證(digital certificates)是一種資料檔案
用來辨識身分和電子資產用來保護線上交易的
進行。
東華書局│www.tunghua.com.tw
44
8.4 保護資訊資源的技術和工具
東華書局│www.tunghua.com.tw
45
8.4 保護資訊資源的技術和工具
東華書局│www.tunghua.com.tw
46
8.4 保護資訊資源的技術和工具

確保系統可用度
 容錯電腦系統(fault-tolerant computer systems)
包括備援的硬體、軟體和電源供應元件,用來
創造一個持續且無中斷服務的環境。
東華書局│www.tunghua.com.tw
47
8.4 保護資訊資源的技術和工具

確保系統可用度
 控 管 網 路 流 量 : 深 度 封 包 檢 測 ( deep packet
inspection, DPI)的技術能幫助檢查資料檔案並
排序找出重要性低的線上資料,並將關鍵的商
業檔案標示為較高的優先順序。
 資訊安全委外:將許多資訊安全功 能委外給專
業 的 資 訊 安 全 管 理 服 務 供 應 商 ( managed
security service providers, MSSPs)處理。
東華書局│www.tunghua.com.tw
48
8.4 保護資訊資源的技術和工具

雲端運算與數位行動平台之安全性議題
 雖然處理程序在雲端完成,保護敏感資料的責任
與義務仍然是擁有這些資料的公司所當承擔。
 雲端服務使用者必須確定不論資料如何被儲存與
傳輸,都必須滿足企業所要求的資料保護層級。
東華書局│www.tunghua.com.tw
49
8.4 保護資訊資源的技術和工具

雲端運算與數位行動平台之安全性議題
 行動平台安全防護
 行動平台執行了許多原本在電腦上執行的功能,
那麼就必須如一般桌機與筆記型電腦一樣針對惡
意軟體、偷竊、意外遺失、未經授權存取與意圖
駭入進行防護動作。
東華書局│www.tunghua.com.tw
50
8.4 保護資訊資源的技術和工具

雲端運算與數位行動平台之安全性議題
 公司必須確定企業資訊安全政策已包含行動裝
置,並應另外詳列行動裝置該如何進行技術支
援、防護與使用。需要各類工具以針對所有使
用中的裝置進行授權,詳細且精確地記錄所有
行動裝置、使用行動裝置的人員與使用的應用
程式,控制應用程式的更新,且當裝置失竊時
可以進行鎖定以防洩密。
東華書局│www.tunghua.com.tw
51
8.4 保護資訊資源的技術和工具

確保軟體品質
 軟體評量指標是以 量化的量測形式針對系統所
做的客觀評估。持續使用評量指標可讓資訊系
統部門與終端使用者一同量測系統績效,並確
認所發生的問題。
 當錯誤發現時,透過除錯(debugging)程序找
到其根源並予以消除。
東華書局│www.tunghua.com.tw
52
MWEB事業部:被駭
1.
2.
3.
4.
何種種技術議題導致MWEB的安全漏洞?
對MWEB及其客戶來說,此次安全漏洞事件可能對
企業造成什麼影響?
如果您是MWEB的客戶,您認為MWEB對這次安全
性漏洞的回應是可接受的嗎? 可接受或不可接受的
原因為何?
MWEB應採取什麼措施以防止類似事件再次發生?
東華書局│www.tunghua.com.tw
53
8.5 管理資訊系統專案的實務演練
改善決策制定:
使用試算表軟體執行安全風險評量
軟體技術:試算表公式與圖表
商業技術:風險評量
東華書局│www.tunghua.com.tw
54
9.5 管理資訊系統專案的實務演練
改善決策制定:
評估委外服務的安全
軟體技術:網路瀏覽器與簡報軟體
商業技術:評估企業委外服務
東華書局│www.tunghua.com.tw
55
本章摘要
1.
2.
3.
4.
為何資訊系統易於遭受破壞、錯誤與濫用?
什麼是安全與控制的企業價值?
安全與控制的組織架構有哪些元件?
什麼是資訊資源防護上最重要的工具與技術?
東華書局│www.tunghua.com.tw
56
問題討論
1.
2.
3.
安全不僅只是技術問題,同時也是企業問
題。請討論。
如果你正替公司發展企業持續經營計畫,
你將從什麼地方著手?哪些企業經營的重
點應包含在計畫中?
假設你的公司有個銷售商品並接受信用卡
付款的電子商務網站。討論這樣一個網站
的主要安全性威脅以及其潛在的影響。哪
些做法可以降低這些威脅?
東華書局│www.tunghua.com.tw
57
個案研究
歐洲的資訊安全威脅與政策
東華書局│www.tunghua.com.tw
58