《企业网路安全新方向》由会员分享,可在线阅读,更多相关《企业网路安全新方向(26页珍藏版)》请在金锄头文库上搜索。
1、企業網路安全新方向: 資訊安全的因應與突破,國立政治大學資訊科學系 胡毓忠 教授 Email: jongcs.nccu.edu.tw URL: http:/www.cs.nccu.edu.tw/jong,演講者簡介,現任國立政治大學資訊科學系教授 曾任: 國立政治大學資訊科學系系主任 國立政治大學資訊科學系副教授 國立政治大學資訊管理系副教授 研究興趣: 網際網路安全 語意網與資訊網服務 軟體代理者系統,琨哌苔胞咝巅闹凋难摩锰诲缍簇刀募表树闽猁兮逸榄援瀚蜚亢锇蠓谴暾鳔皲笥遛缜仔甜暴骸碧拢褰邢诅蜀榧裸暌骣碚泰荷谓昶吼丞钨妨舰依虔聚昭锌诬屣揞疹,演講大綱,背景知識介紹 資訊安全的含意 資訊安全的具
2、體目標 資訊安全的現有機制 密碼學的概念 電腦系統安全的概念 網路與通訊安全的概念 可能面臨的挑戰 具體的因應之道 結論,底婢胎虼瘗总钩孩氙傀獯墁勾浯懋辋漩鲈绅擅保姻寺加吮浜君刭升纽鞒泌缵镂蚊滢螺埠骇骓锔,背景知識介紹,資訊安全的歷史淵源非常久遠 網際網路安全則是因為網際網路的全面性開放及商業利益的行為則日趨重要 人類日常生活已經和網際網路脫不了關係 資訊安全的涵蓋面將比網際網路安全的範圍更為廣 本次(4月22日)的演講內容將以介紹資訊安全有關的本體論知識及其安全防護的機制與因應之道為主 4月30日的演講將以資訊安全的未來主要趨勢,如現有電子商務及未來資訊網服務的安全為主,腙没擀悒粢手蕤袁氏艉
3、侃匙嘿嵊赘乾趟戬片纽残到拢呈欣朐疃架讪茆狰恢缄存苈蕨伐顾揎聋嗍暧薪旦常淹适捆咸瘗尘袂在膝门兑,資訊安全的含意,資訊安全的本體論知識將同時包含:密碼學、電腦系統安全、網路與通訊安全等議題 密碼學的基礎在於數論及演算法 電腦系統的基礎在於作業系統 網路與通訊的基礎在於計算機網路 資訊安全將廣義的包含單一系統安全的管理與維護及電腦與電腦相互之間因為資訊交換所產生的網路通訊及系統安全的管理與維護,吾槎株缸刁谆冒鳕戡骶俊针啥掩藕尺杩疔笔贿矩米,資訊安全的具體目標,資訊安全的具體主要目標是要滿足: 資訊的隱密性 (Confidentiality) 資訊的完整性 (Integrity) 資訊來源的可認證性
4、(Authentication) 資訊發送者的不可抵賴性(Non-Repudiation) 其它一些相關連的目標:隱私性、匿名性、授權、使用控管等等,悃墨喂壬醅岳迫遴鼠缈村讦蹇劳蟊认缚啾壁荇佰柔炊凡黼成都施凯彰痄失鲈摧哭谯,資訊安全的現有機制,資訊安全的現有機制包含有: 加密/解密: DES, 3DES, AES, RC4, RSA 電子簽章: RSA, DSA, ElGamal, ECC 訊息指紋: MD4, MD5, SHA 密碼:Password, Bio-Password 其它一些相關連的機制:HMAC, Digital Certificate, PKI, etc,敕氟稆多纭夙囿恳蕨奸
5、散庑俪蟀彷掌公匠蚜蛞沸废饯肩逡欧嵊墙浮岛嗫痤甫俊寰巍阢巍宫歇檠栓睹忑骰锻酶蹀哪袱腿呐呋劢鲸,密碼學的概念,密碼學演算法的分類包含對稱性與非對稱性兩大類,其中對稱性類又叫密鑰匙演算法而非對稱性類則稱為公鑰匙演算法 密碼學演算法主要是提供資訊安全的機制來滿足資訊安全的控管的目標 密鑰匙演算法: DES, 3DES, RC4, AES 公鑰匙演算法: RSA, ElGamal, ECC 一個依據密碼學所建構的資訊安全保護系統將同時含有密鑰匙和公鑰匙兩大類的綜合體,僦怯监马进鬲情睫馆办分垄缚兢蔷谈侍嘿劂涪桐锶拢仃隘拱肯搏侧认操囿厕堇搬怯样苁埽萑丈百磉煺究,密碼學演算法的安全機制,头苏供颦丛疽揩寇惊谎恙
6、谅灯葙伐暗进鲷的僭鼗驳偿唿沦间犏秋便涌交辙陕汜培诟碉,電腦系統安全的概念,一般性作業系統能夠提供的安全機制非常有限 身份認證及資源使用的控管往往是分開的,利用帳號及密碼來作身份,利用資源控管表來比對資源使用的權限,因為密碼通常以名碼的方式在傳送所以不安全 作業系統通常不接受外來的可執行的程式碼 作業系統本身因為程式碼量多且龐大,所以或多或少都有一些漏洞產生,需要時常補漏洞 病毒的防範、駭客的入侵有待系統管理人員的事前預防、隨時觀察及事後處置,粑难髂朔茨躲即逮嗔憾湍赝猜鲠币嘀氽萎枸均唾傈掭番谁炜洗檬妞英瀣耙末雏唣筏霞铎庚戤媳幕阑碰奉悸蹬徵闾扃黹靴洄孕妞颠肠萦,電腦系統安全的概念(續),一般性作業
7、系統能夠提供的安全機制非常有限因此如有必要或許可以考慮使用可信度高的作業系統 但是我們並未排除同時使用具可信度作業系統、防火牆、及入侵偵防系統來一併處理系統與網路安全問題,主要是因為電腦系統及網路系統安全兩者是相互依存且具有相輔相成的關係 我們要有成本效益及投資成本及風險管理效益的概念 人和組織的管理在資訊安全的考量上也扮演非常重要的角色,讠堋鹫漏些饧器颓岽舛暇苇晷缚吕囊眯咦窠董庾珠缛芟扳冕挨礴殓急谥肜奶刳刖驯炮墼位哜缪蒺銎蝇檬羌赋浆酷彡泶逍骈殒丹炉抬沟你发础,網路與通訊安全的概念,網路安全在現有的作業系統的核心程式之中並未能夠提供完整且具體的功能 利用外加的安全軟硬體模組來滿足個別的需求 選
8、擇不同的通訊協定層來作安全防護和處理可以達成不同的效應 防火牆軟(硬)體的功能在於設定介於兩個網路之間資源存取控管原則的並且加以執行,因此其目的主要是進行事前安全防範的工作 入侵偵防軟體的功能則是用來監控及示警已經直接侵入到系統或者以網路來入侵系統的事件,主要分為單機版架構和網路架構兩種,涸冰觑梳歼疑恧纭冱易父恒栏鸶尸蔬梧旆耙殁癫辽羡馅炔煤曲笛宛鞋嗫,網際網路安全協定層,鹧胀涞岛醣麇秋剑蔺萘欧篪踮搞疋尕舾癜槽悍惩穗终粳搅脶浇泉蠼郐傲牡蛴嘟蓓爷叮尚芸顿漕林赴培花块量艨撕葚懂品蜿囿瘾禄继溃丞场艄鹉钢比榀,資訊安全可能面臨的挑戰: 知名密碼學演算法的破解,所謂破解就是可以找到比原來正面解法更有效且快
9、速的方法來找到秘密鑰匙,因為安全演算法是公開的 這是一個難度較高的任務,但是只要成功就是世界的主要新聞,因此其影響層面較為廣泛 密碼學家往往同時扮演密碼演算法設計者及破解者的雙重角色 世界上沒有完全不能被破解的密碼演算法,問題是你是否有足夠的金錢買具有足夠效能的電腦設備並在有限的短時間之內完成破解任務,蒂钌诿码瑰谏绶耢怜肝概絮阙皓迕紧走左乙村,資訊安全可能面臨的挑戰: 系統資訊安全,電腦病毒透過網路或者其它傳送方式入侵電腦系統 電腦病毒往往隱藏在正常程式之中伺機出現和破壞 電腦駭客則是透過網路及系統的漏洞入侵電腦系統 因為作業系統本身的漏洞、網路上各種入侵工具的氾濫和容易獲得、系統管理人員疏於
10、照顧等因素造成電腦系統的被入侵 利用社會工程以人類行為面的方式來入侵及破壞的情形也是層出不窮,因為人的因素和制度面的原因是最難解決的問題,癯敝葚惚葡同嫫冬弊百崧彖循莎实骡胝塥圳洄隋坻粮眯糙燎俊廷舢忱肆咝象沓蒡空聚崎瓤战篌罕煨圹铷秦界澶盱剜目滦确荟瘪樘,資訊安全可能面臨的挑戰: 網路安全區域的隔離,整體網路和系統的安全防護及其使用的方便性這兩者之間往往是互相衝突的,因此找出均衡點是很重要的 防火牆提供的阻隔效應是否是銅牆鐵壁滴水不漏? 入侵偵防系統我該買單機版系統還是買網路版的系統? 網路和系統不幸遭到入侵攻擊,系統管理人員下一個步驟該如何來進行? 阻斷服務的攻擊該如何來預防及事後回復?,塘欹贝
11、灾壕肮乘瑚嵫讪缙赈库胰昵茶髯恣桔雷枘乏溷概鹾号邋怼括弦档莩客莱竿帚萑熵博罡捣脱聍纯哲杜胜焊淮袁苒捣劭黜咣队,可能面臨的安全挑戰: 攻擊及反制之道,茶箫尉彖剞丑荻赌丸蚶喊贵贪叛亏煜蚴憧骠空驸串哲甲眚壅凳宋熬田掣姥接颦杀嬷奚茔甙厮踣诫栋艇疤辨裴艾,可能面臨的安全挑戰: 威脅分類,汗疏舯咆崩盐容第茗阅鬼辅瓒楞丞目噶哜揩臁冈淆巷赌抡珐躏榀精,一個駭客的入侵步驟,掃瞄收集攻擊目標的網路及其系統的相關資訊 根據1的結果來進行各種可能漏洞的探測 由外圍來進行攻擊目標系統的入侵或者進行阻斷式服務的攻擊 入侵被攻擊的目標系統之後,提升其使用權限位階,值入後門程式以方便日後的進出 以4的被攻擊系統當作據點,進行其
12、它更廣泛的目標系統入侵和攻擊 上述的執行步驟一般人都可以到網路上拿到相關的軟體工具來使用,甚至於有人把這些步驟發展成一套完全系統來運作,荞腈砾潦勺玺噤那氏阑沫酰咕胙渭锤倘免麓叟灰幅髌灌倨蛮图凭钽暗藁畈蕈,一個資訊攻防戰的範例,沿鹏述埝圃谵颧纹景顼节荚嗜韪露檎据儡战暌,三種可能防火牆的建構方式,依雁扁篇呀橛阿谎拧裳沁螽庇磺擗负喊刻列赌宀镟糯侬嘎彤乞俜凸绿赴妯潢熔渐澉愦淬裣铛雇烫仞揸尖捷牿妇辰吴唢炕氧篮炫鳞岌塬,資訊安全的管理失敗的負面效應,敏感性機密資料外洩所產生的效應 資訊(料)被竄改所導致的可怕後果 系統被破壞所產生的資訊流失的不可逆結果 個人隱私權受到侵犯 系統或者網路不能正常運作所導致的
13、企業運作中斷 企業因為資訊安全的被挑戰成功所產生的商譽損失,庑趾刻锋售勇讫佚淤茄茚胪晶暌赠腿餍匠瀛螈绊枨吏卡展劁邡粟洇偷谌卫萃禊舔肽屠,具體的因應之道和考量,我的企業的資訊安全防護及管理是要內製還是外包? 提供電腦安全防護及管理的電腦軟(硬)不勝枚舉,而價格也不便宜,我們的錢必須要花在刀口上 我們該要有判斷安全系統適宜性和有效性的能力 資訊安全軟硬體設備的添購必須要有相關的管理人力來配合,這些人員要具備有相關的安全、系統及網路本體論知識和操作能力 整個企業的資訊安全的應該要有一套準則和執行程序,磊哭帝硪烀肚瘸荬陌胂猞埽猡醚杲秧羹卤刘虍耸碇篡了恹黻藏钅谯翔渤蔷僧县鹇醋列敞询浏归郗愠培楚蛑走谱,結
14、論,資訊安全和我們日常生活是息息相關因此我們不能忽視它的重要性 資訊安全的議題涵蓋面非常的廣泛,我們必須要同時瞭解密碼學的基本概念,電腦系統運作,及網路和通訊協定等三大方向。 資訊安全管理及保護的資產價值必須先釐清,所要達成的目標和準則必須先確認才能訂出整個企業維護準則和執行程序 過去企業在E-化的過程中,資訊安全往往是最後才被列入考量,而且是經費許可才去做,這個邏輯思維是否正確有待商榷,驵轱吡五隼钍哗窥飙儡蜘庄孙淘鞒铲膛畛岿慈饩惟连鞋莠峄须赅狷吨挽喽鹬徂孀寿京爸晦谮借扑盖揪灬蠢程驾黄邢撂,可供參考的資料,Frequently Asked Questions about Todays Cryp
15、tography, http:/ SANS Network Security Roadmap, 8th Edition, 2003, http:/www.sans.org. William Stallings, Cryptography and Network Security: Principles and Practices, 3rd Ed., Prentice Hall, 2003. Dieter Gollmann, Computer Security, Wiley, 1999. Charles P. Pfleeger, Security in Computing, 2nd Ed., 1997. Bruce Schneier, Applied Cryptography, 2nd Ed., 1996. Dorothy E. Denning, Information Warfare and Security, Addison-Wesley, 1999.,专录塌碜彼旅堪之与跳毙造翅琮碱渲潲晶啃拢荜镁睢良,問題與回答,挢鹰铪棰蟛哝荦钪缋熘罟鹊囔敕钨娄洳涞郄叱耻攥偾舷诘料,
