《{企业文化}智胜文化事业公司制作1》由会员分享,可在线阅读,更多相关《{企业文化}智胜文化事业公司制作1(65页珍藏版)》请在金锄头文库上搜索。
1、第十五章 資訊管理的功能角色與安全觀點,本章大綱,第一節 資訊部門的角色定位 第二節 CEO在MIS上的角色定位 第三節 CIO的角色定位 第四節 組織的資訊安全議題 第五節 防火牆與網路安全 第六節 資訊的加密系統與數位簽章 第七節 組織整體的資訊安全策略與活動 第八節 國際資訊安全管理標準:BS7799,資訊部門的角色定位,資訊部門角色定位的錯誤會影響整個組織的資訊化方向與績效。 e化時代,MIS部門應有的角色定位為何?與傳統的MIS角色有何區別?,表15-1 傳統e化時代MIS角色的比較,CEO在MIS上的角色定位,CEO角色的重要性 CEO在資訊化時應有的角色與任務,CEO角色的重要性
2、,為何高階主管參與與支持MIS很重要?可歸納下列幾點來說明: IT已成為一種重要的策略性資源 只有CEO瞭解策略方向 只有CEO清楚外在環境的變化 推動IT常有很大的阻力 投資IT需要長期支援 文化與風氣的形成,表15-2 CEO在e化(資訊化)應扮演的角色與任務,CIO的角色定位,CIO的角色與主要任務 CIO面臨的挑戰,表15-3 CIO的角色與主要任務,圖15-1 CIO的角色與關係網路圖,CIO面臨的挑戰,外部環境的瞭解與反應力 外部環境的瞭解 IT變化的瞭解 產業競爭的瞭解 內部經營與策略的瞭解與參與 經營模式的瞭解 進入策略核心 IT價值的推廣,CIO面臨的挑戰(續),IT所扮演之
3、角色的瞭解與提升 IT影響力的瞭解 IT策略角色的瞭解 MIS地位的提升 IT資源的管理與能力提升 變革代理人 e化成熟度的提升 IT願景的推銷 IT架構的規劃,組織的資訊安全議題,60%企業皆曾遇過未經授權而被使用資訊系統的情形。 77%發現到電腦安全入侵事件。 74%企業表示受攻擊的來源點是網際網路連線。 近30%受訪者表示沒有能力察覺資訊安全事件的來源。 2002年企業在資訊安全相關損失金額約為45億6,000萬美元,其中損失最嚴重的項目是智慧財產權資料的失竊。,組織的資訊安全議題(續),組織資訊安全的主要議題 組織資訊安全的環境與背景 組織資訊安全的漏洞與弱點 網路安全的服務與目標 網
4、路安全的威脅與攻擊的模式 當代網路安全的重要趨勢與主要挑戰 網路安全的主要防護機制,圖15-2 資訊安全的主要議題與架構,組織資訊安全的環境與背景,企業電腦化之普及所潛藏之危機 Internet的開放性 匿名性與距離性 犯罪速度快、容易複製、波及面大 電腦犯罪容易潛伏及隱藏 法律的周延性不足,組織資訊安全的漏洞與弱點,作業系統本身的弱點 通訊協定本身的弱點 網路軟體上的弱點 管理制度上的弱點 人員的弱點,網路安全的服務與目標,77%的電腦犯罪,是由網路上進行攻擊的,然而在瞭解資通安全的威脅與攻擊之前,首先我們要瞭解網路安全的服務與目標為何?亦即,我們希望在網路上提供哪些服務的品質?在此方面,主
5、要包括下列五點: 安全隱密性:指的是當資料傳遞時,除了被授權的人,不會受到外力的擷取。 身分認證性:指的是當傳送方送出資訊時,就必須能確認傳送者的身分是否冒名。 資料的完整性:指的是當資料送達時必須保證資料沒有被篡改的疑慮。 授權性:使用者只能擷取被授權部分的資訊。 不可否認性:使用者已使用或接受某項服務(例如下訂單)時,不能否認其未使用過。,網路安全的威脅與攻擊的模式,資訊安全的威脅指的是:組織可能遭受到天災人禍的攻擊,而對正常營運所可能產生的損失與影響。如果損失愈大,表示此種威脅程度愈嚴重。 網路上的主要攻擊模式 電腦病毒的散布:電腦病毒可能會自行複製,或更改應用軟體或系統的可執行元件,或
6、是刪除檔案、更改資料、拒絕提供服務,其常伴隨著電子郵件。 阻斷式攻擊:指的是:系統或應用程式的存取被中斷或是阻止,讓使用者無法獲得服務,或是造成某些即時系統的延誤或中止。,網路安全的威脅與攻擊的模式(續),後門或特洛伊木馬程式:指的是:未經授權的流程或程式,可以透過合法程式的掩護,而偽裝成經過授權的流程,來執行程式。 竊聽:指的是:使用者之識別資料或其他機密資料,在網路傳輸過程中被非法的第三者得知或取得重要的機密資訊。 偽裝:指的是:攻擊者假裝是某合法使用者,而獲得使用權限。 資料篡改:指的是:儲存或傳輸中的資料,其完整性被毀壞。 否認:使用者拒絕承認曾使用過某一電腦或網路資源,或曾寄出(收到
7、)某一文件。,網路安全的威脅與攻擊的模式(續1),網路攻擊與竊盜的主要手法 電子郵件挾帶病毒法:亦即利用電子郵件引發網友開啟來路不明的郵件與檔案,然後植入惡意程式。 攻擊漏洞散播病毒法:亦即針對特定系統(例如Windows及IE)的漏洞,製造病毒程式,然後入侵並大量散播。 鎖定對象直接入侵法:直接針對特定的對象,例如金融單位,直接以駭客程式入侵個人電腦或伺服器主機。,網路安全的威脅與攻擊的模式(續2),網路釣魚法:此法主要是建立色情網站或者虛設、仿冒的網路商店,引誘網友線上消費,並輸入信用卡卡號與密碼,以此來輕易獲取網友的機密資料。 公用電腦盜取機密法:此法主要是先在公用電腦(例如網咖)植入駭
8、客程式,然後等待後續的網友使用後,伺機盜錄並竊取個人的機密資料。,圖15-3 網路安全的新威脅與挑戰,當代網路安全的重要趨勢與主要挑戰,網路門戶開放安全危機,繼續延燒 網路威脅將會持續以透過防火牆必開之門,例如HTTP、SMTP、POP3及DNS等網路應用協定來無所不用其極的繼續大肆攻擊。 系統漏洞數量大,持續威脅個人及企業用戶 從20022004年每年發現的系統漏洞都將近三、四千個。 網路電腦病毒的製造與變種速度加快 2004年後網路上的大病毒一再的變種,Sasser有22種、Netsky有87種、MyDoom有99種。,當代網路安全的重要趨勢與主要挑戰(續),機器蟲網的猖獗 Botnet又
9、稱傀儡程式(Bot)或受控制的網路系統或僵屍網路,指的是:一群已經被駭客入侵並控制的電腦所組成的攻擊網路(有些數目大到十萬台)。 蠕蟲與Bot聯手攻擊及分散式阻斷服務攻擊的威脅加大 蠕蟲是透過E-mail在網路上大量傳播的病毒。Worm與Bot最近發展出了下列兩種聯手攻擊的方式: Worm散布Bot 僅僅一隻發信Worm便可以將Bot傳播到數以千計的Botnet。,當代網路安全的重要趨勢與主要挑戰(續1),Bot散布Worm,Worm再散布Bot的持續循環 利用Bot散布Worm,入侵攻陷後,再由Worm散布及植入更多的Bot。 間諜軟體的猖獗 間諜軟體是一個廣泛的名詞,泛指所有快速繁殖,且能
10、夠巧妙滲入PC的合法廣告軟體,以及具有明顯惡意的工具,例如鍵盤側錄器,其又被稱之為可能不需要的程式(PUPs)。 無限網路安全漸成威脅 手機的病毒威脅 手機與電腦同時下毒 P2P檔案交換的病毒攻擊威脅加劇,當代網路安全的重要趨勢與主要挑戰(續2),網路釣魚客的猖獗 網路釣魚,指的是:利用虛設或仿冒的網站以超低價或誘人的免費贈品來引誘消費者上網登錄個人私密資料或進行採購行為,利用此手法來釣到受害者的個人機密(如信用卡卡號)或金錢的一種電腦犯罪行為。網路釣魚信件最常被利用的是金融服務產業,常利用的方式(型態)包括: Web型:以仿冒名牌的網站,或幾可亂真超低價的商品網站,來引誘消費者上網採購。,當
11、代網路安全的重要趨勢與主要挑戰(續3),DM型:以超低特價折扣的eDM,讓消費者直接點選信件內的網址並完成交易,詐取錢財或資料。 賀卡型:提供免費賀卡內藏Spyware,植入消費者電腦,而擷取受害者的銀行帳號,或E-mail的內容等。 網安的犯罪比率快速上升,然而防制力量與法律則明顯不足,表15-4 網路的安全服務項目、威脅與防護法,防火牆與網路安全,防火牆的基本概念 防火牆的技術與架構 防火牆的基本目標 防火牆的主要問題,防火牆的基本概念,防火牆,顧名思義就是防止網際網路上的危險延伸到企業內部網路。防火牆介於網際網路和企業內部網路相連結之間。,圖15-4 防火牆示意圖,防火牆的技術與架構,基
12、本上防火牆可分兩種型態:封包過濾和代理者方式。 封包過濾型 以封包過濾方式的防火牆,檢查往來的封包,依據封包的標頭資訊,以及該企業制定的安全策略。 代理者型 以代理者方式的防火牆主機,可以是含有兩個網路介面卡的主機。一個介面連接網際網路;另一個連接內部網路。兩者並非直接相連,連結要求必須經過合法檢驗。,防火牆的基本目標,過濾封包以阻止網路駭客的入侵。 作為所有封包進出的門戶,方便管理者集中式的管理。 過濾系統安全政策所禁止的網路服務。 保護企業內部網路,避免來自網際網路的入侵。 當外部使用者存取高度機密檔案時,先加以記錄並通知系統管理者。 調節網路交通流量。,防火牆的主要問題,較難提供全面性的
13、安全 無法提供資料隱密性 無法確認資料來源的認證性 無法保護那些不經過防火牆的網路連結,資訊的加密系統與數位簽章,資訊加密的主要機制 數位簽章與資訊安全 數位信封與SSL,資訊加密的主要機制,加密 指的是:將原始文件轉換成亂碼,而唯有使用解密的金鑰才能讀出原文的程序。 Key 指的是:一長串的文字、符號、數字的組合,用其來轉換原始的文件使得原始文件變成亂碼。,資訊加密的主要機制 (續),對稱式加密法 對稱式加密法,此為傳統的加密法,其特色是買賣雙方同時持有一個同樣的 Key 來加密和解密,所使用的Key稱為秘密金鑰。 非對稱式加密法 非對稱式加密法,又稱之為公鑰的基礎設施(PKI)。此法的特色
14、主要是使用兩把對應配對的Key,即公鑰與私鑰,互相可加密解密對方,也就是以Public Key 加密後可以使用 Private Key 將其解開,而使用 Private Key 加密後也可以使用 Public Key 將其解開,兩者是一對的。,圖15-6 非對稱式加密法,數位簽章與資訊安全,數位簽章(DS),指的是:利用PKI的機制來保護資料傳遞的隱密性與不可否認性的一種通訊安全機制。而支援數位簽章的主要機制,包括下列幾點: 碎映函式:指的是:對於任一長度的訊息,將其映射成一個固定長度(例如128 Bits)的數值。 數位簽章:傳送者將文件經特別碎映函式運算後產生一獨特的號碼(128 Bits
15、),稱之為訊息摘要,再利用傳送方的Private Key對此摘要加密,謂之數位簽章(DS)。,圖15-7 數位簽章流程圖,數位簽章與資訊安全(續),電子認證中心 所謂電子認證中心(CA),指的是:一個有公信力的第三者,如財團法人、銀行、信用卡公司等等。要在EC上交易的個人或企業必須在CA認證身分後,再核發電子憑證及 Public Key 與 Private Key。CA最主要的任務是管理買賣雙方的認證問題,包括發放、儲存及管理註冊者的電子證書、Public Key及個人資料,使用者要先註冊登記,取得電子憑證,只准許在有效期間內於EC上交易付款。,數位簽章與資訊安全(續1),安全電子交易協定 安
16、全電子交易協定(SET)是 Visa 與 Master Card 兩大信用卡組織並結合 IBM、Microsoft、Netscape 等公司於1996年2月協議發展出在 Internet 上以信用卡付款方式的安全交易協定,是一個整合利用加密、Public Key/Private Key、數位簽章、認證中心等機制,用以保護買賣雙方資料傳遞的隱密性、安全性與確認性。 SET的執行步驟,圖15-9 SET的交易結構,數位信封與SSL,數位信封 所謂數位信封,簡單的說,指的是:利用速度較快、較不安全的對稱式加密法的秘密金鑰來對大量的文章內容加密,之後利用較安全的PKI來對秘密金鑰加密(由於其數量很小,因此不會妨害速度),而其主要的利用方法即是所謂的SSL。 SSL SSL是數位信封的應用,其是目前最被普及利用的安全機制,主要的安全防護程序如下: Server端(例如Amazon)將自己由CA所發給的電子憑證傳送給Clie
