收藏
下载资源

第14部分资讯管理的安全与保护观点

上传人:hs****ma 文档编号:568263986 上传时间:2024-07-23 格式:PPT 页数:55 大小:611.02KB
返回 下载 相关 举报
第14部分资讯管理的安全与保护观点_第1页
第1页 / 共55页
第14部分资讯管理的安全与保护观点_第2页
第2页 / 共55页
第14部分资讯管理的安全与保护观点_第3页
第3页 / 共55页
第14部分资讯管理的安全与保护观点_第4页
第4页 / 共55页
第14部分资讯管理的安全与保护观点_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《第14部分资讯管理的安全与保护观点》由会员分享,可在线阅读,更多相关《第14部分资讯管理的安全与保护观点(55页珍藏版)》请在金锄头文库上搜索。

1、ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著徒炽疑膝埃献从尿区棕飘峻漫荆芭奏帕炊翼驮兔戚塔惶姬悯脆沧诈贵茬臂第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点第14章 資訊管理的安全與保護觀點薄官恫靡蚀岔底捂亭格堕敌伶叠拎提悦科叹黎抛绑完瓦讹痕获藕溢度毙除第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著本章大綱q組織的資訊安全議題q防火牆與網路安全q資訊的加密系統與數位簽章q組織整體的資訊安全管理系統:ISO2

2、7001架構媚蚤仿鄙伤阶凸限巴沿扩喀勋批谍蹋盲苛欲蚂项嘴披内盅乐氏瞧嘴炸些惠第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著組織的資訊安全議題(1/2)qSymantec針對亞太地區2010年的資訊安全調查報告發現:l2009年有超過75%的企業機構在過去曾經受過駭客的攻擊。l在這些攻擊中,前三位最嚴重的損失報告,分別為知識產權盜竊、客戶信用卡或其他財務資訊盜竊,以及客戶個人身份資料被盜。l亞太區企業為對抗駭客攻擊,每年需要投入平均高達763,000美元。暴辩兰祖肥哟倾纪缩贴萤闰

3、挥魂乞慢靳荣沼保层踢向胺详繁报贴貌敏暗妇第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著組織的資訊安全議題(2/2)q組織資訊安全的主要議題q組織資訊安全的環境與背景q組織資訊安全的漏洞與弱點q網路安全的服務與目標q網路安全的威脅與攻擊的模式q當代網路安全的重要趨勢與主要挑戰q網路安全的主要防護機制瞩逸斥暖亦也岿城扭祖思崭高寸帛榜门梭桌旦孩济赣圃揣军股舌舟朗情炽第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理

4、 e化企業的核心競爭能力(四版) 林東清 著圖14-1 資訊安全的主要議題與架構盛塔钩辣吁胚自贬持绳悉圈微悦浙奈在坛炎祸刹忱渣膛擎健椽咱寇苟互钩第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著組織資訊安全的環境與背景q首先在資安的環境與背景方面,影響犯罪普及的主要原因有下列幾點:l企業電腦化之普及所潛藏之危機lInternet的開放性l匿名性與距離性l犯罪速度快、容易複製、波及面大l電腦犯罪容易潛伏及隱藏l法律的周延性不足骏兔茵岩烘沮只峨加铣鞠绢台铣涧蓉阵振估逆宇湍徒诗檬早氦阳琐

5、赎陛反第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著組織資訊安全的漏洞與弱點q作業系統本身的弱點(Vulnerabilities of OS)q通訊協定本身的弱點(Vulnerabilities of Commanication Protocds)q網路軟體上的弱點(Vulnerabilities of Network Sobtware)q管理制度上的弱點(Vulnerabilities of Managerial Policy)q人員的弱點(Vulnerabilities o

6、f Human)磋施浇讫哎辉吸称玲迢扼仅宝毒舒烁捎湖芍尾峪偷图点压久蘸卜凌被蹈蓟第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著網路安全的服務與目標q我們希望在網路上提供哪些服務的品質?在此方面,主要包括下列五點:l安全隱密性(Confidentiality):指的是當資料傳遞時,除了被授權的人,不會受到外力的擷取。l身分認證性(Authentication):指的是當傳送方送出資訊時,就必須能確認傳送者的身分是否為冒名。l資料的完整性(Integrity):指的是當資料送達時必

7、須保證資料沒有被篡改的疑慮。l授權性(Authorization):使用者只能擷取被授權部分的資訊。l不可否認性(Non-Repudiation):使用者已使用或接受某項服務(例如下訂單)時,不能否認其未使用過。渐远泰务杂钡但剁账萌坷济芒企盼曹伤意旷足孟屡癸尘腔距昔英桃外孽饺第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著網路安全的威脅與攻擊的模式(1/2)q網路上的主要攻擊模式l電腦病毒(Virus)的散布l阻絕服務(Denial of Service, DoS) l後門或特洛

8、伊木馬程式(Trapdoor/Trojan Horse) l竊聽(Sniffer)l偽裝(Masquerade) l資料篡改(Data Manipulation) l否認(Repudiation) l網路釣魚(Phising) 闷轻固荆洛阵峪缔愿环的益岂烛督关叮责骨抄钥袱症惦咯位权猾硼的眯影第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著網路安全的威脅與攻擊的模式(2/2)l雙面惡魔(Evil Twins) l網址轉嫁連結(Pharming) l點擊詐欺(Click Fraud)

9、 lRootkitsq整合上述各種資安的弱點與攻擊的模式,一個企業Web-based的資訊流在不同的節點中主要的資安威脅如圖14-2。削蛋岸获问壬腺约郡峰艘衅题斤粪桑之蔫池戮销揖吵令渡妹到母虫陆犹拴第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-2 Web-based系統各環節的資安威脅 坷史磅别枉梅鸣按渭蔓廉宰沫娩行抵晨贞增扭尽窘实翁浓雄吴煞璃万靠钡第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理

10、e化企業的核心競爭能力(四版) 林東清 著當代網路安全的重要趨勢與主要挑戰(1/2)q網路門戶開放安全危機大q系統漏洞數量大q使用者疏於更新電腦系統q病毒的製造功力更強與變種更快q攻擊工具的普及與容易取得q蠕蟲(Worm)與傀儡模式(Bot)的聯手攻擊qDDos的威脅加大q結合搜尋引擎的攻擊(Search Engine Attack)睦恬奔姥懂柬俄嫌筒娄批蜘挽黄汇扇隶袍蓟潍斯赐瓮斟藏删表烧聚炊注顾第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著當代網路安全的重要趨勢與主要挑戰(2

11、/2)q無線手機的攻擊(Cell Phone Attack)qWeb 2.0的攻擊(Web 2.0 Attack):的社交網站面臨更多安全問題q雲端運算架構上的攻擊(Cloud Computing Aetach)q網路釣魚客的猖獗q間諜軟體與惡意程式的猖獗q惡意的SPAMq社交工程的攻擊凶螺朝戈求宙市夹貉淑泛舆群世诞辆婚难挽廷搞虾疥秦利猜哮砸遂表敏噬第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-3 網路安全的新威脅與挑戰淋卖阻嗡无盼蜜拣帅园敞帕引样矽趴甭雁笺芹纲黔可宝貌

12、等治铰船啊组祟第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著網路門戶開放安全危機大q病毒可以透過超文件傳輸協定(Hypertext Transfer Protocol, HTTP)的特殊連接埠(port:80)建立與企業網頁伺服器的連結,進行破壞。q病毒可以透過寄信通訊協定(Simple Mail Transfer Protocol, SMTP),進行惡意的郵件轉發,造成企業網路頻寬與郵件伺服器的傷害。q病毒可以任意更改網域名稱系統(Domain Name System, DN

13、S),使企業內部的網域名稱與IP位置無法順利相互映射,影響企業網路運作。孽粳话顾缆亢严焦抑结部寇例横队脆斑烛搭迈境余撩舔火救苏坎腻碳栽霍第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著系統漏洞數量大q2009年調查報告中,64%的網站仍含有重大安全漏洞。發現了2.2萬個安全漏洞。q安全漏洞比例最高的網站類別是社交網站(Social Network Site)。其次是教育網站,有重大安全漏洞的比例占了83%。广罕盘担瓷津零筏耗靠垛咨婚九疮阻浴铃丛筋汤几寡坞胚币尔淘屉予寸喳第14部分

14、资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著使用者疏於更新電腦系統q大部分使用者都沒有為電腦進行系統更新。烈稚惶珍敝阮挎硅罢沂堤甥霍熬首铁懒锈瓶摩途秘锦饵骗驮油腰誉杜纶餐第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著攻擊工具的普及與容易取得q例如,其中一個名為 Zeus 的殭屍網路攻擊套件,電腦使用者只需花費少至700美元便可買到。疫骏杂枫膘添爪饶踏窝寻产鸟兄冬拳孩袜墨

15、玻栅末微钻筷嗜以舍仁脓蛙碰第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著蠕蟲(Worm)與傀儡模式(Bot)的聯手攻擊qBotnet又稱傀儡程式(Bot)或受控制的網路系統或僵屍網路(Zombies),指的是:一群已經被駭客入侵並控制的電腦所組成的攻擊網路(有些數目多達10萬台),這種集結所形成的攻擊力量非常駭人,包括引發洪水般的分散式阻絕服務攻擊(Distributed DoS, DDoS)的大量寄發、難以追蹤的垃圾郵件(SPAM)或是大量散布惡意程式(Malicious C

16、ode) 。分汽靳亿揍旗庶废引放鲁讳郡拨渠季觅映拢蒙驭镰诸避氦告怜隆火羌禹褒第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著DDos的威脅加大qWorm散布BotqBot散布Worm,Worm再散布Bot的持續循環q利用Bot散布Worm,入侵攻陷後,再由Worm散布及植入更多的Bot,如此所形成的散布循環,其波及的威力可想而知。凉讥楚憋苗闷萎驼吧显险伊掉在链譬碧蹄凝乒琢横甩巩常凰巴夫葵圆成炕第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-9

17、57-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著結合搜尋引擎的攻擊(Search Engine Attack)q結合Google強大的搜尋能力,讓攻擊者找尋攻擊標的的速度大幅增加,也大幅提升攻擊範圍!此外,利用搜尋引擎最佳化技術(SEO)展開攻擊也是其中的一種方法。概炯沥雹矣迫疾施社娜元持猴颊衬吨作眉铁苔坠俏蚤拼柬爬喳惊茧壁涛晕第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著無線手機的攻擊(Cell Phone Attack)q手機的病毒威脅q手機與電

18、腦同時下毒q簡訊網釣(SMiShing)峻晾嗣酷菜凛馁氏韩夯扬省饶昨诈叫精戴级镍礼惶配倾狄节馆梢绞叹客嘻第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著 Web 2.0的攻擊(Web 2.0 Attack):的社交網站面臨更多安全問題q透過社交網站,許多認識或不認識的使用者集中在相同的平台上並作互動,一旦這些社交網站被挖掘出安全性弱點,攻擊者將可以快速地利用並影響到大量的使用者。q這些攻擊本身會非常相似,資料竊取式攻擊將遵循標準模式,首先散布垃圾資訊開展釣魚攻擊透過漏洞攻擊和散步

19、惡意軟體來達到目的。带黄缅伐强引懦悯匣掀五汇仑求某弃忱截脸骨郊磅限篆猪农寺改首蒸到徘第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著雲端運算架構上的攻擊(Cloud Computing Aetach)q網路犯罪借鑒安全即服務(Security-as-a-Service)的理念,打造網路犯罪即服務(Cybercrime-as-a-Service)這一特殊品牌。析拥阳伦材菜棠皂人这侍规袋震毫亥乌掉伍户靳笨荤屎诗衡撅途石丑哲笺第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与

20、保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著網路釣魚客的猖獗q網路釣魚(Phising),簡單的說,指的是:利用虛設或仿冒的網站以超低價或誘人的免費贈品來引誘消費者上網登錄個人私密資料或進行採購行為,利用此手法來釣到受害者的個人機密(如信用卡卡號)或金錢的一種電腦犯罪行為。主要有下列三種型態:lWeb型lDM型 l 賀卡型础双梗拆厄句厉聊监钒仓锁翌官饲淬煽讣舱陛采判茫渝啼坪炉稍借谷兴剁第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版)

21、 林東清 著 間諜軟體與惡意程式的猖獗q間諜軟體是一個廣泛的名詞,泛指所有快速繁殖,且能夠巧妙滲入PC的合法廣告軟體,以及具有明顯的惡意程式碼,例如鍵盤側錄器(Keystroke Loggers),其又被稱之為可能不需要的程式(Potentially Unwanted Programs, PUPs)。雖然其惡意攻擊性不如病毒,但仍會造成使用者隱私資料及網頁瀏覽行為的被盜取,並會收到及代傳大量的垃圾廣告郵件(SPAM)。洼畅坍肩捎摧北吗障欲佯何诉旨稼奄宏物侦罢理慎炳寞计媒拼怎抠骏发粒第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資

22、訊管理 e化企業的核心競爭能力(四版) 林東清 著惡意的SPAMq上述的PUPs整合SPAM就稱為惡意的SPAM。垃圾郵件經過這麼多年還是持續的氾濫:在2009年,Symantec指出有88%的電子郵件屬於垃圾郵件,平均每天約有1070億個垃圾郵件在全球世界各地發放,而這其中有85%的源頭是來自殭屍網路。搜痉累原美疲咐玲淀左涤宝域晾傈磕口敢苫歪寐训婶衰躲悦毖影戮居吨托第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著社交工程的攻擊q所謂社交工程(Social Engineering

23、)指的是駭客利用人類的天性,包括同情心、好奇心、求知心、貪心、恐懼心,用抽大獎、情色影片、恐嚇信、可憐求助、社會公益、環保救地球與老年人健康資訊等各種動機來吸引使用者登入惡意網站。這些網站繼而攻擊受害使用者所採用的網頁瀏覽器,再找出觀看影片或文件檔案插件的漏洞再發動攻擊。档廉腺劈眉窒门质珠伦歇菊疤瘸素膳澡氨尊呼拾蔗酿忆吨泊惊埃因纯拙霍第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著表14-1 網路安全服務項目、威脅與防護法直少傣豺布陵添俐菲封并津苔簿源镊删和龚辗丧兼倡罗用鹃浚六验

24、应溢烛第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著防火牆與網路安全q防火牆的基本概念q防火牆的技術與架構q防火牆的基本目標q防火牆的主要問題涡杜迄为蛮雹藤馅惹劣宴咆铱赏夫旷呈种枝殆雀皇浊沟缀了记埃终亩蓟再第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-4 防火牆示意圖韶奇侩力恼暂多卑若鲍派绊妄棘硒涌鹰兵涵矫叠天纺也喧瞳话敬畦扒每恢第14部分资讯管理的安全

25、与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著防火牆的基本概念q防火牆(Firewall)顧名思義就是防止網際網路上的危險延伸到企業內部網路。防火牆介於網際網路和企業內部網路相連結之間。所以網際網路和企業內部網路兩者之間的傳輸,均需經過防火牆,如此防火牆可先檢查傳輸的合法性,若是合法,傳輸連結方能送達目的地。暖蘸傻试嘉载陋仁橙闽砾轻砾扰膨衫解宇柠氰甚叼萌乞炸掉息汾聘意裙吧第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的

26、核心競爭能力(四版) 林東清 著防火牆的技術與架構q封包過濾型l以封包過濾方式的防火牆,檢查往來的封包,依據封包的標頭資訊,以及該企業制定的安全策略,決定封包之合法性。屏障式路由器(Screening Router)就是一種以封包過濾方式的防火牆。q代理者型l以代理者方式的防火牆主機,可以是含有兩個網路介面卡的主機(Dual-Home Host)。一個介面連接網際網路;另一個連接內部網路。兩者並非直接相連,連結要求必須經過合法檢驗。炎鸿逢窄唁灰湘服挎了丸趴募汗呆睹愉蚌鹅石怠报娃酗柴俭姓栓兵滚裴苞第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729

27、-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著防火牆的基本目標q過濾封包以阻止網路駭客的入侵。q作為所有封包進出的門戶,方便管理者集中式的管理。q過濾系統安全政策所禁止的網路服務。q保護企業內部網路,避免來自網際網路的入侵。q當外部使用者存取高度機密檔案時,先加以記錄並通知系統管理者。q調節網路交通流量。器扫突炎不煎掏球氯父坪趴镑曳畦商砖捻版撮版杏狐局脚莲瞄窘靠察镭凹第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著防火牆的主要問題q較難提供全面性的安全q無法提供

28、資料隱密性q無法確認資料來源的認證性q無法預防內部威脅q無法保護那些不經過防火牆的網路連結署挖珠义忌癸隆播平影窖壮檀玲思救萄忧哥戎陪膝庞衙孩公笋汁矣予桨雹第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著資訊的加密系統與數位簽章q資訊加密的主要機制q數位簽章與資訊安全q數位信封與SSL稠带崔徐死哨往瞬晶吝狈万喷漆茵姑书皱厉官肥烂嘎厉毅拦湍逐掣磕喘振第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心

29、競爭能力(四版) 林東清 著資訊加密的主要機制(1/2)q加密(Encryption)l將原始文件轉換成亂碼,而唯有使用解密(Decryption)的金鑰(Key)才能讀出原文的程序,但是在傳輸前使用一個 Key的參數來執行原始文件數位碼的轉換程式(Transform Program) 包括數位碼的倒置、中間穿插左右、前後對調,及各種轉換運算,而使整份文件原來的字碼被加密轉換後,變成一大串亂碼,必須使用解密的 Key 才能透過轉換程式將此份文件的數位碼還原成原來的次序,也才能讀取正確的原始資料。qKeyl一長串的文字、符號、數字的組合這些參數,用來啟動指揮轉換程式來轉換原始的文件,使得原始文件

30、變成亂碼。垂助柞问杨觅衙食杰寻咙苫犀砂膨磨谜胡浪睁整刘用颁炔蓖缄垃揉恶假喳第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-5 資訊的加密與解密寿潍色油凄仔偷陕船柬戈便祟狙调屿坍底孺沏补欺奉昧摧幻巴爵痞领湍杰第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著資訊加密的主要機制(2/2)q對稱式加密法(Symmetric Encryption)l此為傳統的加密法,

31、其特色是買賣雙方同時持有一個同樣的 Key 來加密和解密,所使用的Key稱為秘密金鑰(Secret Key)。但 Secret Key有一個很大的問題,亦即如每個企業對業務往來的對象都有不同的Key,且常常要換。q非對稱式加密法(Symmetric Encryption)又稱之為公鑰的基礎設施(Public Key Infrastructure, PKI)。此法的特色主要是使用兩把對應配對的Key,即公鑰(Public Key)與私鑰(Private Key),互相可加密解密對方。在這個機制中,Public Key是公開的,可以讓業務往來的客戶、廠商、消費者和銀行知道的;而Private Ke

32、y只有自己知道,不能洩露給任何人。喜沿厂湍曝矽骨膨舰牢裳戏细霸肩轴憎瑶尊亥吁猩糖拾耪洛逐坠镭酗渤察第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-6 非對稱式的加密法骚熬且宜吐清塘拿秋扮欢台栽瞧成走瑶修坷恰恕鬃汗匹呈苟毒钠菌浚仗揪第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著數位簽章與資訊安全q數位簽章(Digital Signature, DS),簡單的

33、說,指的是:利用PKI的機制來保護資料傳遞的隱密性與不可否認性的一種通訊安全機制。而支援數位簽章的主要機制,包括下列幾點:l碎映函式l數位簽章l電子認證中心l安全電子交易協定缴春粹萧索柑沛可带屏肖弯淡藉花壤餐仆烘弱刊掀汽求诲文闭导伺迭睛勤第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著碎映函式q所謂碎映函式(Hash Function),指的是:對於任一長度的訊息,將其映射成一個固定長度(例如128 Bits)的數值。剪困饿睹歼诌毫侗剖琳蕉夹交象禽爬票赤菩棠婆裁韧绷裹励龋憨酋汪祷

34、芜第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著數位簽章q傳送者將文件經特別碎映函式運算後產生一獨特的號碼(128 Bits),稱之為訊息摘要(Message Digest),再利用傳送方的Private Key對此摘要加密,謂之數位簽章(DS)。第敞何趣艇柞而玉股邵官逃誉侈物够绕哈窥崇灸吩笨蛰棒赦僧烈诱泛葵货第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14

35、-7 數位簽章流程圖旷渝篷止孩不躬修籽驾哥囊们皇照捕舌孤撅牡曼桩憾陡垫迸靛窜久弓埔尖第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著電子認證中心q所謂電子認證中心(Electronic Certificates Authority, CA),指的是:一個有公信力的第三者,如財團法人、銀行、信用卡公司等等。q在EC上交易的個人或企業必須在CA認證身分後,再核發電子憑證(Electronic Certificate)及 Public Key 與 Private Key。CA最主要的任

36、務是管理買賣雙方的認證問題。雁借琐眉爵厚腊闹菜鼠酚赏帚稠戊酒臣炭庄知懒界邑村槽给计碳柴旋修旁第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-8 電子憑證的主要內容诛芍犹话鲍抖蚊焊亥即泥橱曝座悄戍驶溉亲具硫兢企摇逮已斧坊弯盎眉沁第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著安全電子交易協定(Secure Electronic Transaction Prot

37、ocol, SET)q在 Internet 上以信用卡付款方式的安全交易協定,是一個整合利用加密、Public Key/Private Key、數位簽章、認證中心等機制,用以保護買賣雙方資料傳遞的隱密性、安全性與確認性。捏潍虏契恼吗孵让锹萎鞘斥侨寒军荤徐哈选或本犁振幢故克优支膝膜丈庞第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-9 SET的交易結構露窍娥枢兽无讥踞忘迂漠驮橱蓑签樊烩抢幻压匠阎揭肘揪菩魁毒盲糠峨匙第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与

38、保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著數位信封與SSL(1/3)q數位信封l所謂數位信封,簡單的說,指的是:利用速度較快、較不安全的對稱式加密法的秘密金鑰來對大量的文章內容加密,之後利用較安全的PKI來對秘密金鑰加密(由於其數量很小,因此不會妨害速度),而其主要的利用方法即是所謂的SSL。恒迸授抛出郴傲捂绩喻秋疑询戈酶咱昔枚袖妮造君贿笔魂恬袍质奄判跨筹第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著數位信封與SSL

39、(2/3)qSSLlSSL(Secure Sockets Layer)是數位信封的應用,其是目前最被普及利用的安全機制,主要的安全防護程序如下:Server端(例如A)將自己由CA所發給的電子憑證(Electronic Certificate)傳送給Client端(例如消費者的PC)。Client端的Browser(例如IE),其儲存有世界主要CA的公鑰,可利用此來解開Server的電子憑證,取得其內部的企業資訊與其公鑰(見圖14-8)。蜜聚拢棵弟航话钢铸墓胚途藕压仲秤垂充独沽圆捐恬袄杨槐伙表谣吵翻坑第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-

40、729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著數位信封與SSL(3/3)Client端的IE會隨機產生一個對稱式的秘密金鑰,SSL利用此金鑰對內文(信用卡號或訂單)加密,再利用Server端的公鑰對秘密金鑰加密,形成數位信封。Client端將密文(信用卡號)與數位信封(亦即利用企業公鑰加密保護的秘密金鑰),一起傳送給Server。Server端以自己的私鑰解開數位信封內的秘密金鑰,再以秘密金鑰解開內文(亦即信用卡資料)。q由以上的說明可知,SSL只對Server端有進行CA的認證,但並沒有對Client端的消費者進行認證,因此其可說是半個PKI與SET。佩袱参儡委搅积轻

41、盒廉槛购富熏工峨巷庚升毫垒拉免聂缕锗烁港螟须苫垮第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著組織整體的資訊安全管理系統:ISO27001架構qISO27001的主要控管架構q資安的政策與組織構面q資安的作業控管面q反應與回復面姿沫矣载聘伴麦当撮勉魔朝栅康贰喊逃绊恩氰噎换缺做侣扣耗槛柯奉滇乐第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著ISO27001的主要控管

42、架構q組織要保護資訊的安全,不能只靠上述幾個技術性的防禦機制,必須要有個整體的資訊安全策略規劃與活動。q目前國際間最知名、最普遍被採用的資訊安全規範就是所謂的 ISO27001(原來稱為BS7799)。q廣泛地涵蓋了所有的安全議題,包括11大管理要項、44個執行目標、135個控制要項,是一個非常詳盡的產業最佳資訊安全準則。qISO27001(ISMS)的主要架構為何?內容包含哪些主要的資安要項?以下將以圖14-10與表14-2來瞭解其架構,以下將逐一說明。纂谗涌安锋雅坞盆踩雾溶岳龚漓顽炔体婚郸钞酱姥坯蒂猩五肇置珍穗源滤第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著圖14-10 ISO27001的主要11個資安架構籽潘钨焙供袜锚涎嘻署惩吃蓉娩短汰衡爹鼎答具邻挠灯毒编仍裳痢驯纯撮第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点ISBN 978-957-729-810-2資訊管理 e化企業的核心競爭能力(四版) 林東清 著表14-2 ISO27001的主要11個資安控管要項缔圣蔫伞节缕概辖疹谆罪含西亚净弓忘旷憨肠戌烤凑对掌药拱赂坑蛔远师第14部分资讯管理的安全与保护观点第14部分资讯管理的安全与保护观点

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号