《资讯安全管》由会员分享,可在线阅读,更多相关《资讯安全管(115页珍藏版)》请在金锄头文库上搜索。
1、資訊安全管-個人篇資訊安全的意義 資訊安全可保護資訊免受多種威脅的攻擊,保 障個人重要資 檔案 網資庫 電子郵件 個人資 以範明資訊安全的重要性 大考中心 信用卡資訊外洩 假銀網站 國小教師辦駭客 無線網溢波資訊安全的本質 無孔入 整體資訊安全是建構於一系環環相扣的保護機制下 攻擊或破壞者只要找出其中最弱的一環,就可以完 全瓦解整個保護機制。 覆巢之下無完 只要最弱的一環被瓦解,所有的政府重要資可 能被竊取或破壞。 沒有百分之百的安全 必須對可能造成問題的弱點加以防護機密性:確保只有經授權的人,方能允許存取 資訊。 如:公文的傳送只有公文的接收人才能看到公文的 內容,一般電子公文系統會使用加密
2、的傳輸管道 傳送電子公文,讓公文就算被攔截也無法被取。 完整性:確保資訊內容及資訊處方法為正確 而且完整。 可用性:確保經授權的使用者當需要時,能存 取資訊及使用相關的資產。Non-repudiation 可否認性 防止存心的使用者否認其所做過的事,包括送出信 件,接收文件,存取資等。即交的收發雙方與安 全管制並無法否認執過的交,如位簽署就具備 可否認性。 Authenticity 鑑別性 辨別資訊使用者的身份,即可以記資訊是被誰使用 過,如帳號、身份字號、員工編號。 Accountability可歸責性 所有主要的資訊資產應有人負責,並指定資產的所有人 負責保護,管的記必須是可以追溯。 Re
3、liability 可靠性 資訊的正確與可靠的消息源和系統執穩定有關威脅源的源與動機駭客電腦病毒電腦病毒是一種電腦程式,設計有特定的功 能,並且會感染寄生或附著在別的電腦程式或 文件檔案面。有些電腦病毒就只有自我複製 這個單一的功能與目的,有些電腦病毒則會破 壞電腦面的資,甚至會破壞電腦系統。電腦蠕蟲電腦蠕蟲也可是電腦病毒的一種,與病毒 同的是,蠕蟲會感染寄生在其他檔案。蠕蟲 的主要特性是會自我複製並主動散播到網系 統上的其他電腦面。就像蟲一樣在網系統 面到處爬竄,所以稱為蠕蟲。木馬程式木馬程式是一種電腦程式,偽裝成某種有用的 或有趣的程式,比如螢幕保護程式、算命程 式、電腦遊戲等,但是實際上
4、卻包藏禍心,暗 地做壞事;它可以破壞資、騙取使用者的 密碼等等。在學術定義上,特伊木馬會自 我複製,也會主動散播到別的電腦面。社交工程是一種用人際關係間的互動特性 通常攻擊者會用E-mail、電話或者是假的網 站,騙取重要資犯罪三要素有動機與能力 潛在的犯罪人缺乏監控適合的標的物監督者管理者保護者十大資訊安全習慣1.明人士要盤查防止非法破壞明人士,在辦公區域內走動,應該主動詢問 其意。 發現可疑況應加以制止或通知相關人員處 即使是認之同仁,進出其沒有權限出入之區 域,也要加以勸阻或通知相關人員處。2.社交工程要小心如果你接到這種電話沒有確認對方的身分, 就會輕的把資給別人,造成資外洩, 被有心
5、人士用3.電腦用要登出防止非法存取開座位,電腦應該設定螢幕保護程式。 長時間開辦公室,記得將電腦關機 杜絕自網破壞 防止帳號或密碼被盜用 防止重要資遭竊4.機密資要保護清桌作業敏感及機密文件可遺於桌面上 必須存放於安全之場所並加以上鎖 螢幕淨空 關機 登出 啟動螢幕保護程式電子檔案文件保護重要或敏感的檔案要分開存放 沒權限就允許開啟或改 設定密碼、或以加密軟體保護5.密碼設定要穩固密碼遭破解之統計據帳號與密碼 密碼如果夠複雜,很容被破解並造成安全 上的衝擊。 管重要系統或機密資的帳號,需加強密 碼的強。 必須定期換 停用Guest 或Anonymous 帳號,就是所謂賓 或名帳號。密碼設定小技
6、巧 以中文輸入法按鍵當成密碼 以英文字或字穿插 以英文字或字穿插 將英文字母位移個字 以英文的一諺語或一段歌詞,取每個英文 字字首當成密碼。密碼設定範 技巧1 以中文輸入法按鍵當成密碼,我的手機號碼(倚天 輸入法) Xo3 de4 /y3 ge hz4 ma3 技巧2 以英文字或字穿插 good + 5829等於g5o8o2d9 技巧3 將英文字母位移個字Birthday往前位移1個字母 Ahqsgczx 技巧4 以英文的一諺語或一段歌詞,取每個英文字字首 當成密碼Raindrop keeps following on my head. Rkfomh6.重要資要備份 備份的重要性 預防重要資或
7、設備損壞遺失 確保可用性 可藉由同的工具軟體達到備份的目的 Windows本身所提供的程式 開始附屬應用程式系統工具製作備份 存放於儲存媒體並放置於安全場所7.應用系統要新 駭客經常透過入侵電腦 作業系統或應用程式設計上的問題 新軟體的修補程式 Windows update Office update補強系統的8.電腦防毒要新防止電腦病毒及木馬的危害 要隨意複製或下載明檔案 要隨意開啟檔案 要安裝未經驗證安全的軟體 隨時注意病毒最新資訊,可以在相關資訊安全 結網站找到: 技服中心網站 防毒軟體廠商 報章雜誌 安裝防毒軟體或反間諜軟體 定期新病毒碼及間諜軟體之定義電腦中毒的徵兆 執速比平常慢 常
8、常鎖定或回應 磁碟或磁碟機無法存取 畫面上的功能表及對話方塊扭曲 斷打開新視窗 斷的當機或重新啟動 印表機印出 畫面顯示尋常的錯誤訊息9.瀏覽網要提防預防網釣魚 法人士偽造知名網站或是用標題聳動的電子 郵件作為誘餌,騙取個人或機密資。 最好要下載及安裝未經授權軟體 避免下載想要的軟體 點選結網站要確認網址以免受騙 可能為詐騙之郵件標題 請確認您的帳戶資訊。 要求新信用卡資訊 如果您在48 小時內回應,您的帳戶將會關閉 。 親愛的客戶。 請按一下下方的結,進入您的帳戶。使用網服務需知 調查網站的聲譽 提供個人資訊時要檢查有無隱私權政策 進線上交要確定有加密措施(https)小心cookie的潛在
9、危機 cookie會自動記在網際網的瀏覽及 輸入的資 應定期刪除cookie 調整隱私權之設定值小心msn也會駭人 隨接收明的檔案 隨點選陌生的網址 要傳送個人資,如身分證字號、信 用 卡號碼等10.電子郵件要過處電子郵件附件 處電子郵件附件的五大祕訣 除非您瞭解附件的源且您知道會收到該附件,否則請勿開啟任何附件。 如果電子郵件附件係由知名人士寄出,請即刪除該郵件。 使用防毒軟體並時時新。 如果您必須寄送電子郵件附件給別人,請告知收件人,以免您的信件被誤認為病毒。 使用垃圾郵件篩選功能協助您阻擋有害的電子郵件,很多這郵件含有危險附件。資訊安全概資訊安全概簡介(1/4)資訊對組織而言就是一種資產
10、,和其它重要的 營運資產一樣有價值,因此需要持續給予妥善 保護。資訊安全可保護資訊受各種威脅,確 保持續營運,將營運損失到最低,得到最豐 厚的投資報酬和商機。 BS 7799標準定義資訊安全概簡介(2/4)資訊安全的重要 企業資訊化的過程,資以電腦處、傳遞和 儲存並安全。 會被攻擊 會被入侵 會被攔截 資的當揭、破壞及無法正確提供服務將 導致企業重大損失。資訊安全概簡介(3/4) 資訊安全 資訊安全是一種防止與偵測未經授權而使用、竊 取、破壞您的資訊系統的一種過程與程序。 資訊安全的工作必需事先妥善規劃、確實謹慎實 各項必要的資訊安全措施,並且持續斷的檢討修 正實施,以確保隨著時間的演進,仍可
11、以維持資訊 的安全性。資訊安全概簡介(4/4) 安全管概 安全管是將公司組織的風險低到一個可以接受 的程並且持續維持這個可接受的程的過程。 安全管必需由上往下(Top-down)實施,由上層管 人員至一般員工必需與。 為達到安全性管目標,安全性管的工作必需區 分為下面三個控制層面: 管控制 技術控制 實體控制資訊安全管要件(1/7) C. I. A. 資訊安全的基本功能及目的外在提供資和資 源的機密性、完整性、可用性。 安全性機制所提供的基本服務: Confidentiality (機密性) Integrity (完整性) Availability (可用性) 其它安全性服務 Non-repu
12、diation (可否認性) Authentication (身分鑑別) Authority (存取權限控制)資訊安全管要件(2/7) Confidentiality (機密性) Prevent disclosure of data. 確保資傳遞與儲存的私密性。 避免未經授權的使用者有意或無意的揭資內 涵。如資於網傳送時被攔截竊取,或公司小心公佈該公佈的訊息均是違反資的機密性。 機密性資傳遞和儲存時務必加密處。 採用安全性協定(eg. SSL、IPSec)資訊安全管要件(3/7) Integrity (完整性) Prevent modification of data. 避免非經授權的使用者或
13、處程序篡改資 。 所使用的文件經傳送或儲存過程中必需證 明其內容並未遭到竄改或偽造才能稱為完 整性。資訊安全管要件(4/7) Availability (可用性) Ensure reliable timely access to data. 讓資隨時保持可用況。 企業資必需即時並可靠的提供給企業內 部各個層級的使用需求。 系統的高可用性通常指的是必需確保 能中斷服務。資訊安全管要件(5/7) Non-repudiation (可否認性) 防止存心的使用者否認其所做過的事 ,包括送出信件,接收文件,存取資等 。 即交的收發雙方與安全管制並無法否 認執過的交如位簽署就具備可否認性。資訊安全管要件(
14、6/7)Authentication(身分鑑別) 辨別資訊使用者的身份 即可以記資訊是被誰使用過 如帳號、身份字號、員工編號。資訊安全管要件(7/7) Authority(存取權限控制) 依照身份給予適當的權限。 如:銀的櫃臺是被允許進入保險櫃 ,僅有組長以上的權限才能進入。資訊安全防護體系(1/2) 現對於資訊安全的保護機制其實與古代的防禦 機制是沒有差別的。 在古代,為抵禦外侮,主會建城堡。城 堡有高大的城牆,牆上面有兵士巡。城牆外, 有些會挖護城河,用防止地道攻擊,也避免近 距的攀城攻擊。有些重要的城池還會有內外城 牆之分。 城堡對外的出入就是經過長長的城門。城門除 厚重的大門外,有些還在面設機關,前後端可 能會加上急式柵門,用意是困住入侵者。城 門官兵必要時會檢驗證件。資訊安全防護體系(2/2) 現對於資訊安全的保護機制其實與古代 的防禦機制是沒有差別的。 在現在,為抵禦外的威脅,企業會 定義資訊安全邊界。使用防火牆保護邊 界內的資源,防火牆內還會使用入侵偵測 系統避免內部的威脅。有些重要的單位 還會有內外網之分。 要進出防火牆的網封包會經過防火牆 的檢驗,合法的封包才能進出。資訊安全防護體系(古代)資訊安全防護體系(現在)安全四階整個資訊安全防護體系其實是要達到四個目的
