《安全生产_某地资讯安全手册》由会员分享,可在线阅读,更多相关《安全生产_某地资讯安全手册(187页珍藏版)》请在金锄头文库上搜索。
1、 资 讯 安 全 手 册目 录 页 次 前言3壹、资通安全相关法令一、建立我国资通讯基础建设安全机制计划 7二、行政院国家资通安全会报设置要点(三版新增) 23三、行政院及所属各机关信息安全管理规范(三版新增) 25四、行政院及所属各机关信息安全管理要点(三版新增) 84贰、认识篇一、浅谈网络安全 86二、信息安全的范围 95三、认识病毒 98四、因特网常见的安全问题与防范104五、信息中心灾害回复的认识109六、简介BS7799 129七、有关网络安全二三事 129参、防范篇一、认识病毒码与扫瞄引擎 53二、认识防毒技术 57三、认识加解密技术 63四、站台安全的维护与管理 69五、灾害回复
2、的技术 77六、企业防火墙之建置须知 88七、后门之侦测与防治 166八、电子凭证管理中心 181九、风险评估(三版新增) 183十、企业内计算机安全上十大弱点 189肆、信息篇一、国内相关网站 111二、国外相关网站 112三、入侵信息网站国科会搜集 (三版新增) . 115伍、实战篇一、记黑客入侵之处理与加强措施 117二、信息安全简易检核表 120三、国内各机关信息安全调查统计报告(三版新增) 126四、资通安全稽核实务(三版新增) 133五、手动更新病毒码步骤(三版新增) 133卷末语 241前言 我们都同意这是一个网络时代。基本上,一个数据库服务器在因特网的角色是提供使用者存取正确的
3、数据,而数据库服务器暴露在网络上,谁能把握黑客不会侵入其中动手脚,尤其现在电子商务逐步成形,许多货品的单价、数量,甚至于信用卡签帐的密码、银行账号都可能在付费时曝光或被盗取,一旦为有心人攫取这些信息或将为非作歹,或将窜改运用,其衍生一连串困扰,尤其金融秩序势必遭受影响。是以,社会愈是信息化,信息安全愈是应受重视。早期,因为是专属主机集中化处理业务,纵使on-line实时系统也是以专线方式衔接远处终端机作业,在信息安全的领域偏重计算机中心的灾害回复计划,设立或寻求异地备援中心,制作备份文件以应紧急之需,使企业减少灾后的损失,加速复原速度。此外就是档案密码的内部管理了,预防内部人员侵越存取权限违法
4、攫取信息。今日,因特网发展迅速,电子商务风行,民众购物习惯逐渐融入其中,生活上食衣住行育乐的讯息也在其中,此皆拜开放性系统发展之赐。只是,开放性系统也提供有心人许多入口,于是病毒、黑客混杂其中,入侵网站,散布病毒、窜改网页、窃取机密、瘫痪系统、制造矛盾对立.等恶劣行径,形成信息化挥之不去的阴影。放毒的人由开机型病毒发展到特洛伊型电子邮件病毒,甚至于连.doc档案也不放过,未来更将益形猖獗;而黑客更发展口令密码测试软件,由程序自己去尝试入侵网站。信息业者也不甘坐以待毙,于是防火墙软硬件、防毒侦测程序、加密解密、认证方法等技术也纷纷出笼。彼此,道魔之间展开一场信息安全攻防战。世界各国鉴于波斯湾沙漠
5、风暴中,美国政府之所以能够真正作到运畴于帷幕之中(华府),决胜于千里之外(波斯湾)之最高作战艺术,无非是借助信息网络之功。是以,信息战或网络战争或将为未来战争屈敌于无形的形式之一,纷纷投入其中之研究。在网络时代,信息安全的课题从入侵途径至数据库攫取数据止,共分四个步骤:(一)网络的通讯安全,(二)网站操作系统的安全,(三)网络伺服主机应用程序的安全,(四)数据文件或数据库的安全。在网络的通讯安全部分,以压缩档或加密的方法保障传输中的数据不被窥探和运用;在网站操作系统的安全部分,除了建立网络防火墙阻隔保护外,也隐藏网站地址以降低风险,以防毒常驻程序随时监督防范;在应用程序的安全上,加强使用者使用
6、权限分级制度,什么人有什么使用权限,并备有异动记录文件(log file)可以追踪何人何时进出存取数据库(文件);在数据库(文件)的安全保护方面,以使用者等级区分,再以加密的方式存放数据或以只读方式允许使用者读取数据。近来国内偶有网站受侵扰之情事发生,大都以网页被窜改的情况居多,经复原后损害不大。本中心为未雨绸缪,仿Y2K教战手册模式编辑信息安全手册加强倡导,呼吁各政府机关和企业团体促使重视信息安全与防范的问题。本中心特搜集相关信息,如:认识病毒、因特网常见安全问题与防范、计算机中心灾害回复计划、.等文章,抛砖引玉,野人献曝,其目的在引发大家对信息安全的重视。我们也在此感谢趋势科技公司、远播信
7、息公司、台华科技,和诸位作者基于公益慨然授权转载他们的专题文章,丰富本手册内容。 行政院主计处电子处理数据中心主任 万镇欧 谨志 90.03.12壹、建立我國資通訊基礎建設安全機制計畫 一、建立我国资通讯基础建设安全机制计划(节录)中华民国九十年一月十七日行政院第二七一八次院会通过建立我国资通讯基础建设安全机制计划壹、 依据:一、奉总统八十九年八月卅日核定建立我国通信息基础建设安全机制案办理。二、依行政院秘书长八十九年九月十五日台八十九科字第二七一七九号函办理。三、依八十九年十二月廿九日行政院NII委员会通过办理。四、奉九十年一月九日院长核定同意办理。五、依九十年一月十七日行政院第二七一八次院
8、会通过办理。贰、前言:(略)为统筹强化我国信息安全能力,国家安全会议于八十九年五月奉总统指示研提建立我国通信息基础建设安全机制建议书,并经总统于八月卅日核定,转送行政院NII小组规划办理。行政院NII小组于八十九年九月份起经十二次召集各部会研讨相关规划作业,提出本计划具体可行方案,并于八十九年十二月廿九日之行政院NII委员会中提报,获得全体委员共识及支持,于九十年一月二日面报 院长,经 院长指导后,本计划之资通安全通报体系即依行政体制于九十年一月份起运作;配合本次院会将本计划内容中之任务目标、保护范畴、组织架构、人力需求、预算需求及时程管制等资料于会议中提报后,即转发各部会确遵执行。参、目的:
9、(略)通信息安全基础建设发展涵盖范围广泛,举凡政治、心理、经济、科技和商业等各领域,均涵括其中。为确实掌握我国政府机关(机构)及重要民间业者之信息及网络系统免遭受破坏或不当使用等紧急事故发生时,能迅速作必要之应变处置并在最短时间内回复正常运作,以降低该事故可能带来之损害;故有必要建立国家层级之通信息安全指挥机制,并结合内政、外交、国防、财政、教育、法务、经济、交通等部会及国家安全局,针对电力、电信、金融、交通等国家基础建设之安全防护,共同研析相关因应作为,为此行政院NII小组特协调各部会积极规划建立国家通信息系统通报及应变机制,以为我国通信息安全提供最佳之保障。肆、保护范畴:在通信息安全的保护
10、议题可概分为下列七个项目:一、安全管理政策。二、物理实体安全。三、人员管理安全。四、安全规章法律。五、硬设备安全。六、软件系统安全。七、网络通讯安全。此外,安全的通信息防护机制必须保护国家的利益与政府的正常运作,例如:金融体系、商务运作、政府服务、水、电、油、瓦斯等供给,紧急救援体系,交通、电信等的正常运作。在军事方面则包括军事的布署能力、运作能力、动员能力以及持久的能力等。在民间方面则能保证不影响民众的权利与日常生活。所以在信息战进行时,我国至少必须能维持下面体系的正常运作:一、政府的正常运作。二、救援体系的正常运作。三、人民日常生活必需品(电信、水、电、油、瓦斯、食物)的正常供给。四、金融
11、体系的正常运作。五、商业的继续进行。为确保通信息基础建设的安全性,主动性防御己成为先进国家通信息安全研究的重心之一,其目标在于:从确保通信息资源的合法存取,到在所有可能遭受通信息攻击的阶段,提供完整(Complete)、未中断的通信息系统运作。,其功能性典范(Functional Paradigm)可经由防护(Resistance)、识别(Recognition)、回复(Recovery)这三个措施着手。伍、计划目标:一、积极防卫通资设施,维护国家运行体制。 二、建立通资安全优势,提升国家竞争力量。 三、坚实通资安全建设,健全网络社群发展。 四、主动侦测安全威胁,降低实质危害因素。 五、建构安
12、全通报体系,强化事前预警机制。六、保障民众隐私权益,促进网络多元发展。 七、增强执法专业能力,有效遏止网络犯罪。陆、执行要点:一、编组专职人员统合推动通信息安全工作及协调组织。 二、律定通信息安全组织职掌及分工。 三、建立通信息安全危机事件通报及预警机制。 四、汇整及发布通报相关信息,供各机关参考运用及早作好预防措施。五、执行国家重要通信息基础设施之安全防护,建立主动侦防能力。六、策订重要通信息设施安全规范及回复重建措施。 七、检讨及增修订通信息安全相关法令、订定通信息安全技术标准及规范,建立产品检验及保证机制。 八、推动通信息安全学术研究及关键技术研发。 九、加强通信息安全人力培训及观念倡导
13、。十、提升执法机关之侦防能力及人力,建立跨国及区域性合作机制。 柒、运作体系架构及职掌:一、于行政院下设立国家资通安全会报,(以下简称资通安全会报),组织架构如附图一,资通安全会报由行政院院长兼任召集人,行政院副院长兼任副召集人,执行长由行政院NII小组总召集人兼任,副执行长二位,一位由总统府国家安全会议派员兼任,一位由行政院主计处电子处理数据中心主任兼任,资通安全会报委员十四员,并由NII小组负责幕僚作业,人员如附表一。二、资通安全会报下设技术服务与综合业务中心、标准规范工作组、稽核服务工作组、信息搜集工作组、网络犯罪工作组及通报应变工作组等六个工作组,分别由经济部、国科会、法务部、主计处及NII小组等单位负责担任各工作组推动工作,定期于资通安全会报中提报及检讨工作执行情形。三、平常时期,技术服务与综合业务中心设立于富阳街,其余各组由主责单位负责编成及运作,组织架构如附图二。四、技术服务与综合业务中心规划编设人力三十七员(技术支持十五员、训练推广二员、技术研发十员、综合业务十员
