资讯安全技术规範简介课件

资源描述

《资讯安全技术规範简介课件》由会员分享，可在线阅读，更多相关《资讯安全技术规範简介课件（132页珍藏版）》请在金锄头文库上搜索。

1、D:KJ890704.PPT 第1頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊安全技術規範簡介資訊安全技術規範簡介壹、前言貳、通資訊安全認證體系初探一、密碼模組檢測淺析二、工作平台(Platform)通資訊安全驗證簡介三、通資訊系統安全控管概述參、通資訊系統的安全與防護工業技術研究院電腦與通訊工業研究所樊國楨中華民國八十九年七月三十一日损巡溶位娃众汹桐弥容桥蜀契蜘线椅尾袜完席养

2、耶仁滤向瘸墨式俘射梳莽资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第2頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子資料的特性與資訊安全電子資料的特性與資訊安全一、電子資料的特性 1. 資訊內容是: 磁性物質的磁化狀態及半導體物質的電子狀態電磁波或光、電訊號 2. 儲存媒體是: 磁片或記憶體晶片電纜線、光纖或大氣層(無線通信) 3. 在處理、儲存及傳輸過程中

3、容易被篡改、變造而不留痕跡物質的磁化狀態及半導體物質的電子狀態衔役缨解纤修叛宫烈击策周娜描锭卯陵疆起其啮困肌线涡画孔碍亩刺秦佩资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第3頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子資料的特性與資訊安全電子資料的特性與資訊安全(續一續一) 二、資訊安全技術的普及 1. 十九世紀末期，電報日益普及，於軍事、外交與商業等需

4、要注意資訊安全的環境中，已大量使用密碼技術處理(例：清光緒五年(西元1879 年)，清朝已開始使用密電)。 2. 隨著電子科技的一日千里，資訊設備已進入社會大眾的生活中，密碼技術的日益普及已指日可待。 3. 資訊安全是科學(數學)、工程、社會學等的跨領域整合技術。粥告订抛种慨乎叫娠稗温万蔚攘桐爹苦窜悉棉帚额夫盂再戌求仲月助麓羊资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第4頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Comm

5、unication Research Laboratories電子資料的特性與資訊安全電子資料的特性與資訊安全(續二續二) 1. 具有高度專業性：民國八十二年五月，台灣地區破獲的首次偽造金融卡案，即為典型。 2. 與行為人職務關係密切：民國八十四年六月，台灣地區破獲有史以來人數最多的(32官、23商)的隱私權案，即為典型。 3. 具有經濟犯罪性質：民國八十四年八月，台灣地區爆發的一百億元國票事件案，即為典型。 4. 偵察困難、蒐證不易：民國八十四年十二月，台灣地區發生的對美國柯林頓總統的電子郵件恐嚇信案，即為典型。 5. 犯罪技術可遙控犯罪且犯罪行為人常甚少或無犯罪感：民國八十四

6、年十一月，第一個被稱為悍客(Craker) 的資訊安全專家 Peal 駭客 (Hacker)被捕例，即為典型。 6. 智慧型犯罪：民國八十五年二月，台灣地區爆發的積體電路佈局被離職員工修改案，即為典型。三、資訊犯罪的特性了巫镶腾搅甩辐缩健廉慌鞠绦躺灿风医垮唇汛哟蓝肤俐帅韧吾扦澈一缀澎资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第5頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Labor

7、atories 一、有記錄的非授權使用資訊系統事件較1996增加7%： 1. 金融服務：51%2. 聯邦政府：53% 3. 製造業：57% 二、超過60%的資訊系統可用現有之低花費工具侵入，測試樣本： 1. 銀行機構：660 2. 電子新聞機構：312 3. 信用機構：274 4. 聯邦政府機構：47 5. 網際網路色情網站：471 6. 萬維網站(World Wide Web) ：1700 三、249個單位之有記錄的損失為U.S.$100,119,555，其中： 1. 26件金融事件，損失平均金額：U.S.$957,384 2. 35件電信事件，損失平均金額：U.S.$647,437 199

8、7 CSI(Computer Security Institute ) / FBI(Federal Bureau of Investigation ) Computer Crime and Security Survey 摘錄摘錄儿敷批悉斗骇赚硷炽牺珍妆塘娠猎肛寿卜淘洛恢灰酪阐症富耪邮帧恫贱擒资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第6頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research La

9、boratories1999年年CSI/FBI Computer Crime and Security Survey摘錄摘錄 1. 外部侵入： 1.1 30%。 1.2 連續3年上昇。 1.3 網際網路之比率由37%昇至57%。 2. 內部非授權存取： 2.1 55%。 2.2 連續3年上昇。 3. 竊取有價值之資訊：26%。 4. 嚴重違反資訊倫理：由17%昇至32%。 5. 一葉知秋亦或只見一斑？贬滥波涤氦搪捞尾贿由谨勃疼烩亢揽总缅脆则余毕岩靶过愚舶华山噬猩洱资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第7頁工業技術研究院工業技術研究院電腦與通訊工業研究

10、所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊犯罪金錢損失暨發生率分類示意資訊犯罪金錢損失暨發生率分類示意 1. 資料來源：Power, R., Editorial Director, CSI (Computer Security Institute) (2000) 2000 CSI/FBI (Federal Bureau of Investigation) Computer Crime and Security Survey, Compute

11、r Security Journal. Vo1.12, No.6, pp.3349。 2. 資料樣本：在4,284個樣本中，643位美國政府金融、企業與大學等機構資訊安全專業代表作答。 3.內部非授權存取竊取資訊財產通訊詐欺財務詐欺電腦病毒竊取膝上型電腦$ 22,554,500.-$ 66,708,000.-$ 4,028,000.-$ 55,996,000.-$ 29,171,000.-$ 10,404,300.-濫用內部網路服務被阻絕破壞與損毀系統被侵入通訊竊聽主動竊聽U.S.$ 27,984,740.-U.S.$ 8,247,500.-U.S.$ 27,148,000.-U.S.$ 7

12、,104,000.-U.S.$ 991,200.-U.S.$5,000,000.-71%20%11%11%40%60%79%27%11%25%7%1%資訊安全威脅損失金額(單位:美元) 發生率資訊安全威脅損失金額(單位:美元) 發生率膳捐证槽微胚诱撼汝缕跨诡科挫巴菜磨姨豆挪院应熔抚蔡眩骤润翟恐展燃资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第8頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Resear

13、ch Laboratories櫃員機存假鈔領真鈔例櫃員機存假鈔領真鈔例 1. 中華民國八十七年八月十二日，聯合報第五版，記者雷鳴/板橋報導及記者李莉衍/台北報導。 2. 板橋地檢署檢查官吳宗光指揮憲警人員偵破歹徒利用無人銀行自動櫃員機存入面額一千元的假鈔，再到別台櫃員機提領出千元真鈔的犯罪方式，已有兩家銀行發現三百多張近四十萬元的千元假鈔。 3. 無人銀行存款業務，暫停服務；新台幣改版後，磁性條可防幣。诈讹穗绷够锚页哥筏握丧苗窿稼狱狠守从旅竟牢厢盒苞杰旷磨术乔库律鹿资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第9頁工業技術研究院工業技術研究院電腦與

14、通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories假磁卡挑戰日本電話局假磁卡挑戰日本電話局亞洲週刊1997年11月3日9日，頁134136，莫邦富報導： 1. 不法外國人假造電話磁卡，日本電話公司煞費苦心圍堵，造假者輕易拆招，公司無端蒙受巨大損失，消費者被迫重返投幣打電話時代。 2. 不法之徒也假造柏菁哥彈子機的磁卡，令業者蒙受重大損失。店主無奈，只好拒絕可疑的顧客入內。梆梁尺豁饰弹喉鸣茁焊敲第盏咋纵淆耙嗜叉裔街梗韵申账酞洞蔬填津投

15、妖资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第10頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子商務的木馬屠城計案例電子商務的木馬屠城計案例亞洲週刊1997年3月3日3月9日，頁5859： 1. 1997年2月17日，快捷(Quicken) 家用理財套裝軟體，因經由微軟(Microsoft)公司的網路瀏覽器，可透過 Active-X 施展木馬屠城計，使快

16、捷自行自動轉帳事件，正式建議客戶考慮停止使用微軟公司的 Active-X。 2. 1997 年2月19日，微軟公司由資深副總裁就此事提出說帖，強調其競爭對手網景 (Netscape) 公司和昇陽 (Sun Microsystems) 公司的產品，同樣有安全顧慮。水垫郸臃淖寓氮耸漂狄轴许摇朔馈脂头介决沈仆秦晦袍掉蛔辰薄骄赢据严资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第11頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Com

17、munication Research Laboratories電子商務的木馬屠城計案例說明電子商務的木馬屠城計案例說明 1. 當有人使用微軟公司的網路瀏覽器接上他們的網站，就會不知不覺地吃進一個微軟的 Active-X 程式。木馬。 2. 木馬會在使用者的電腦上暗中尋找快捷，找到後就秘密地將一個電匯指令插入快捷工作檔。 3. 使用者與銀行連線時，電匯指令執行五鬼搬運工作。德國Chaos Computer Club成員之一的Lutz Donnerhake先生在漢堡電視上表演如何將別人的銀行存款直接轉入自己的瑞士帳戶：呻霍西策墓治扯某搂囱棠鄙缚力跋镊瑟中据掖雄差皆元厢始啪胃勿耸芒桑资讯安全

18、技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第12頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories國票事件作業流程示意國票事件作業流程示意台灣銀行信託部營業部國票板橋分公司正副主管營業股國票總公司作業部營業員交割員國票之支存帳戶股票市場人頭帳戶其他金融機構假成交單盜製之商業本票交割員(楊某)假成交單盜製之商業本票營業員(楊某)主管(楊某)盜製之商業本票副主管(楊某)交易刪除畫

19、面假交易之賣出成交(4)將盜製之商業本票賣給台銀信託部(2)列印假交易之融資性商業本票賣出成交單(1)盜製商業本票 a. 盜取空白本票 b. 盜刻客戶章 c. 盜蓋保證章、簽證章(3)立即將假交易從電腦刪除(14)回籠買進成交單假交易之賣出成交附條件買回交易賣出成交(8)根據楊某所言列印置附條件買回交易賣出成交單 a. 人頭戶名稱 b. 該款項撥款帳戶 c. 天期、利率(9)依附條件買回交易解約(交易到期) 程序列印買進成交單(10)依據買進成交單撥款(7)電話偽稱該款項為楊某人頭戶買票金額(6)台銀營業部電話照會款項入帳(5)撥款$(12)炒作股票$(11)撥至人頭戶$(

20、13)還款給台銀信託部，以贖回本票$违妖骸扬铬霜即侈览豪械纠戒我智天祝布跳殃茵侈揉照危碑谓冈讼视航异资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第13頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories假交易真退錢例假交易真退錢例 1. 1999年1月27日，聯合報9版，記者陳金章/台北報導。 2. 1998年10月間，任職屈臣氏晴光店收銀員的范蕙玲小姐，因使用信用卡

21、刷卡購物三萬元而沒錢可繳，就使用店內刷卡機刷卡及按退貨鍵數次，再向發卡銀行查詢，發現她的信用卡上沒有任何消費記錄；而且在不需要刷卡機的授權碼的狀況下，聯合信用卡中心又將她的刷卡金額三萬元向商家扣款轉到她的帳戶中。 3. 范小姐因故離職後，仍回店趁同事不注意時，利用此聯合信用卡中心和商店退貨漏洞連續盜刷，從1998年10月21日起到1999年1月16日止，使用慶豐及台新兩家銀行信用卡共盜刷一百六十多萬元。 4. 1999年1月16日，聯合信用卡中心發現屈臣氏晴光店單日兩筆刷卡金額分為四十九萬多元及三十九萬多元，總額近九十萬元，遠超過該店平常營業總額，同時該店已有數日未進帳，誤認該

22、店已倒閉而遭不法集團盜刷，經電話查詢後，發現該店仍在營業，於是雙方共同查帳比對，發現此一漏洞，而且查出盜刷者後報警處理，於1999年1月26日查獲范小姐，范小姐坦承犯案後已被移送檢方偵辦。 5. 可信賴的資訊系統存在的不安全性如何評估？如何防護？如何控管？遏椿奠瘴猛命典剔铣矽孔策醒鹊唤脑趾娩泡历痴珊讯历晓围砒镭阉论蜂赋资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第14頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communica

23、tion Research Laboratories關鍵設施脆弱性例關鍵設施脆弱性例 1. 資料來源：1999年10月9日聯合報9版，記者劉明岩、林榮/連線報導。 2. 華僑銀行彰化分行1999年10月8日傍晚發現彰化市金馬路忠孝加油站的跨行提款機遭異常提領，於1999年10月8日19時許向彰化分局中正路派出所報案。 3. 台中六信人員表示，最近電腦更換程式，因操作人員不熟悉新程式，電腦判讀錯誤，從1999年10月8日1時44分起至1999年10月8日9時止，造成系統失靈。 4. 台中六信客戶張祈耀先生於1999年10月8日6時至8時間，在彰化市金馬路忠孝加油站提款機領取現款時，發

24、現不但未受跨行之領取金額限制，餘額還有290多億元，張先生一口氣領了131次，領走提款機內全部的262萬元。 5. 台中六信表示，被溢領300多萬元，已追回100多萬元。著榜哈喘享翌臻沿催粱盘挨音营冯蚊舅减乖剃盂讳迟失闰难击上渣奥储正资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第15頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories高科技資訊犯罪例高科技資訊犯罪例

25、1. 資料來源：1999年12月18日，中國時報8版，記者高興宇、張企群/台北報導。 2. 1999年11月初，刑事警察局偵七隊接獲財團法人聯合信用卡處理中心報案指稱，一偽卡犯罪集團將用以盜錄的晶片植入六福客棧的刷卡機，該刷卡機故障送修時始被發現。 3. 盜錄信用卡資料使用之晶片屬高科技產品，晶片逾時未充電，其盜錄的資料會自動流失，使檢、警單位無法掌握犯罪證據，手法之高明為國內首見。 4. 1999年12月17日凌晨，埋伏在六福客棧的警方在裝取記憶晶片至刷卡機中之嫌犯李俊雄先生潛入飯店中欲取回盜植的記憶晶片時，當場加以逮捕。 5. 已知凱悅飯店、鴻禧山莊、松山機場某航空公司櫃檯等

26、均已遭毒手。参峦蛮菊辙盔都指鬼每桓成蓄追怕黍式守挡揉您欺匿稼扮唇跑遂郡受知柏资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第16頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories進飯店植晶片，製偽卡大盜刷。進飯店植晶片，製偽卡大盜刷。犯罪集團作業流程示意犯罪集團作業流程示意趁機取出刷卡機內記憶晶片利用記憶晶片讀取刷卡人使用之信用卡條碼資料製作拷貝信用卡販賣偽卡牟利或盜刷

27、圖利偽卡集團侵入高級飯店、機場休閒度假中心櫃檯竊取刷卡機植入記憶晶片將刷卡機不動聲色放回櫃檯資料來源：1999年12月18日，中國時報8版。約二天後紫候擅单讽欣颂冤妹闺姑饯锐珐凝唐正绳滤宗扫翠忻跌抵底业沮返洪钉牡资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第17頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC JTC 1/SC 27 之資訊安全技術工作小

28、組之資訊安全技術工作小組 1. Working Group 1： Requirements, Security Services and Guidelines 2. Working Group 2： Security Techniques and Mechanisms 3. Working Group 3： Security Evaluation Criteria切坯创宴衰壳循迈慎兼汉接败俊捕屿痒韦唱藐锌番假竖洱四杀瓶二晕杨怂资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第18頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industr

29、ial Technology Research InstituteComputer & Communication Research Laboratories註：1.具備B1以上功能的系統軟體。 2.在完整性、認証、存証及隱密性的安全防護機制亦應在可信賴的作業環境上建置。ISO/IEC 7498-2(1989(E) 之之 ISOOSI 資訊安全服務資訊安全服務橙库婿丧控动痕阜秃助循佩嗓卸反秘企绕质炊诈饭背街埃滨持钧舆碴城冶资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第19頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industria

30、l Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC 10181(1996(E)之之ISO OSI開放系統資訊安全架構開放系統資訊安全架構 1. Part 1：Overview 2. Part 2：Authentication framework 3. Part 3：Access control framework 4. Part 4：Non-repudiation framework 5. Part 5：Confidentiality framework 6. Part 6：I

31、ntegrity framework 7. Part 7：Security audit and alarms framework醋桥钻杭跺拌蘸松谈汞敦摸倪慕纠笛耿短鳃票午兔炮百踪绸封耙迟永畸皂资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第20頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories1973年美國年美國NBS公開徵求保密系統的三個必要條件公開徵求保密系統的三個必

32、要條件 1. 簡單易懂，但有相當的複雜度，使得要破解其系統的人必須付出很高的代價。 2. 保密的方法必須植基於加密與解密的鍵(金鑰)，而非其他。 3. 操作簡便、成本經濟、適合在各種應用中使用。敦器厩杏劣争车蛊稚药判哆旧萤二贮慑咒辩擎动斋观郭我牌自赃瘤迄配臼资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第21頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories秘密金鑰秘

33、密金鑰(DES)與公開金鑰與公開金鑰(RSA)密碼系統的比較說明密碼系統的比較說明DESRSA提出年代19761977發明人IBM 及美國國家安全局美國麻省理工學院三位教授Rivest,Shamir,Adleman基本特徵加密金鑰就是解密金鑰加密金鑰異於解密金鑰主要優點加密解密速度快加(解)密金鑰可公開,而且可提供數位簽章的功能主要缺點金鑰傳送困難而且祕密須共享解密速度慢、金鑰生成費時、初期系統成本高應用例UNIXMIT KerberosIBM 4753CNS 金融提款系統ISO/IEC 9594-8(X.509)Novells Netware 4Pretty Good Privacy(PG

34、P)SNMPv2海關稅費支付系統10545躯荒貉敬耀彰痞伶根睫抡哀匣猾份杆闲暮今烁犊膨收疵庙唾夸郑值泣构暗资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第22頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories安全雜湊函數安全雜湊函數H的特性的特性1. H可以適用於任何長度的輸入。2. H可以產生固定長度的輸出。3. 對於任何已知的資料，可以輕易的計算出H(x)。4. 對於

35、任何已知的值m，找到x而使H(x)=m是幾乎不可能的事。5. 對於任何己知的資料x，找到y x而使H(x)=H(y)是幾乎不可能的事。6. 找到一對資料(x,y)，而使H(x)=H(y)是幾乎不可能的事。酝铅虐懒酣茂碍栏拂赡在钵畔极烩磅伎直枝丫琅骄疙邦锌芯容冀佬膜医舱资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第23頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子

36、文件交換作業資料完整性電子文件交換作業資料完整性及不可否認之數位簽章應用服務示意及不可否認之數位簽章應用服務示意註：1. RSA法可用DSA法取代，MD-5亦可由SHA-1取代。 2. 於簽章前使用收文方公鑰處理RSA加密，是取代現行公文交換作業中拆驗步驟的安全機制；在一般訊息交換的安全機制中，並不一定有這個步驟。 3. 公鑰均放於一由驗證中心負責之資料庫中。 4. 公鑰即為公開金鑰(Public Key)，密鑰即為私密金鑰(Private Key)。簽體RSA加密(發文方密鑰)電子公文本文簽章安全雜湊函數 MD-5壓縮電子公文本文簽章安全雜湊函數 MD-5壓縮準簽體簽體比較退回發文單位RS

37、A解密不一樣一樣RSA加密(收文方公鑰)RSA解密(收文方密鑰)(發文方公鑰)將簽體視同電子公文本文回覆發文單位後,電子公文交換作業完成公鑰資料庫操厌贩含晨忠烘义峦见鱼贿稗翁烹陋缄黑掷芍册讣赎贬孰颇转柿讲恃渺羌资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第24頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子文件交換作業資料隱密性電子文件交換作業資料隱密性及存證服務

38、之數位信封應用示意及存證服務之數位信封應用示意註：1.明文即為上圖中之電子文件本文及其簽章。 2.密文+通信基碼視同上圖中之電子文件，本文執行電子文件交換作業；解密後之明; 文若簽章無誤,則將其文號、電子騎縫標識、防偽字組等,，視同電子文件回覆發文單位後完成電子文件交換作業。 3.DES法可用AES法取代。產製亂數明文通信基碼DES加密密文DES解密RSA 解密通信基碼明文RSA 加密(session key)(收方公鑰)RSA加密(發方專鑰)RSA 解密(發方公鑰)(收方專鑰)密文公鑰資料庫4.通訊密碼之加密功能亦稱digital envelope，有如一個必須先拆封，才能看到文件

39、內容的信封。因肺梅萎彦缘谬椎骚戌龚吹戴魂虱掣带离怯盖鄙乒匪伊飞忧钻搽吸菊贮免资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第25頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories公開金鑰系統密碼計算時間測量例公開金鑰系統密碼計算時間測量例說明： 1. 載具：Motorola Dragon Ball chip(64K Family)at 16MHZ。 2. 資料來源：D

40、aswani, N. and D. Boneh (1999) Experimenting with Electronic Commerce on the Palm Pilot, LNCS 1648, pp.116, Springer-Verlag。末休沛宁侧患须是毕蛔捶惫颂帜轨咨论钉社诬刃寥呢啄腺纲腺埠灿蜘维喂资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第26頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication R

41、esearch LaboratoriesNetware 4、Java及及Active-X網路驗證架構示意網路驗證架構示意原程式、檔案雜湊函數產生雜湊值密鑰原程式、檔案的數位簽章服務端原程式、檔案原程式、檔案的雜湊值拒絕接受此原程式、檔案原程式、檔案的數位簽章是否相同?否雜湊函數原程式、檔案的數位簽章公鑰接受此原程式、檔案是赊凑瞥嫂移天酿边铲嵌惯汉臆壁遁娄竹仍浇淆响咆春瑚帚芒糠慢匡锁钉远资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第27頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Resear

42、ch InstituteComputer & Communication Research Laboratories憑證機構作業架構示意憑證機構作業架構示意使用者目錄服務應用系統符記卡註冊機構憑證機構發卡者金鑰生成識別數位憑證姓名個人識別碼公鑰專鑰Do(f,msg,PIN)F(msg.Kpriv)F(msg.Kpriv)姓名?F(Kpub, Kca)由 RA實體查證CA 專鑰彌封安全配送安全配送從憑證推論抗竊取、竄改與偽造機制231BindingsCA(Certification Authority)RA(RegistrationAuthority)TCI(Taken Card Issuer)

43、KG(Key Generator)者燕刮介囤潦催顿精侍妒抒寇敌锐戌涌仕蕾送垮议希义拴痞克蚕篆回筋督资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第28頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories數位簽章驗證體系架構示意數位簽章驗證體系架構示意註冊符記卡與金鑰管理使用者註冊名稱登錄目錄金鑰產生驗證中心公鑰確認憑證資料倉儲私鑰封緘符記卡管理系統符記卡符記卡資料寫入符記

44、卡製發符記卡使用符記卡使用資訊存取終端服務模組安全模組伺服機應用伺服機處理伺服機處理使用者使用者應用提出終端應用安全功能安全模組密碼功能符記卡資料庫終端處理終端處理符記卡資料讀出镶旗般疯啦成酋悦先醒昏旧拱禄吉翟普转楼厅造沙据冤棍婿拜埃浆起辊辆资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第29頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰管理生命週期示意金鑰管理生

45、命週期示意使用者註冊使用者啟用金鑰生成新使用者金鑰安裝金鑰更新金鑰正常使用金鑰註冊啟始金鑰新金鑰現行使用者金鑰建置協定新金鑰金鑰儲存與備援金鑰目錄金鑰回復回復金鑰金鑰未被破解之遺失失效建檔舊金鑰(過期)密碼週期滿期金鑰被破解或提前終止金鑰重新註冊與毀棄金鑰移動系統啟動金鑰狀態前作業作業中後作業廢棄灿窑造渝甜峭幢操耗逼坏坯披瘟抿廷纠殿向飞癌赴苍辕阐邱靴帮苞涅痹诡资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第30頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteC

46、omputer & Communication Research Laboratories金鑰管理之目的金鑰管理之目的 1. 在使用者執行密碼運算時提供所需之金鑰。 2. 控制金鑰之使用。 3. 在金鑰的整個生命週期中提供適當的保護。醋搓备信港砍澳引糙挥霍毒季酗痉客遗餐莲挫党啥薯熊骋胰光诺漓洛笼秉资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第31頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research

47、 Laboratories金鑰管理之原則金鑰管理之原則 1. 金鑰應只以ISO 11568所允許的形式存在。 2. 沒有人能接觸到未加密的金鑰。 3. 系統需保障曾使用的金鑰之安全。 4. 系統應能偵測金鑰是否已遭攻擊。 5. 系統應能預防/偵測金鑰之不當使用。 6. 產生金鑰的方式應為不可預測的。 7. 系統應能偵測出不當使用金鑰的企圖。 8. 金鑰須定期更新。 9. 在字典攻擊法奏效前須更新金鑰。 10. 得知或懷疑金鑰已被瓦解時，必須立即停用。 11. 不同金鑰之安全性不得互相影響。 12. 已遭瓦解的金鑰不得用於更新作業。 13. 在使用金鑰(load)前，密碼模組設備須證明其安全性。

48、滚桔寂批梦咯郭上貌宛军腐佯曹善刊多卒贸尖左砧妓资饵狗共裙瞬贤荐缉资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第32頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰之生命週期金鑰之生命週期 1. 產生(Generation) 2. 儲存(Storage) 3. 備原(Backup) 4. 分送與裝填(Distribution and Loading) 5. 使用(U

49、se) 6. 更新(Replacement) 7. 銷毀(Destruction) 8. 刪除(Deletion) 9. 建檔(Archive) 10. 結束(Termination)捶哉蒸凹姚沂碧遗亿眠懂札叉臣鲤晶蕊失湃暮柱静急傅狡蠕凛整践么绣樱资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第33頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC 9594

50、-8：1997(E)簡介簡介1. ISO/IES 9594-8 與 X.509 幾乎相同。2. X.509 的最初版本發表於 1988 年，1993 年發表第二版，主要針對 (安全) 碎映 (Hash) 函數的部份從新改寫，1995年再度修訂，主要是針對建置規範提出 37 頁的修正說明 (AMENDMENT 1：Certificate Extensions)，1997年發表第三版，除訂正一些錯誤外，金鑰種類由第二版的七個增加為九個。3. ISO/IEC 9594-8 提供金鑰管理及鑑別簽證服務的協議標準。4. ISO/IEC 9594-8 採用公開金鑰及數位簽章的技術。5. ISO/IEC 9

51、594-8 中的數位簽章需要碎映函數與其配合使用。遂训嘘沂炒痰襄属篷帧惯牲俞拓跃碌怖难浸涝虐鹊珍坟悔所象希恶棘惫年资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第34頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories1. 使用者的密鑰被破解。2. 驗證中心的密鑰被破解。3. 驗證中心製作不正確的簽證(certificate)。4. 驗證中心與使用者共謀舞弊。5. 偽造的簽

52、證。6. 偽造的符記(token)。7. 密碼攻擊。ISO/IEC 9594-8：1997(E)中的防護要項中的防護要項拖渡弓庞虑篓比辈寞季梢帘莆鞠始幕娠律歧警伯妹楞足协若值刀饼隅膝爷资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第35頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories驗證營業作業攻擊點示意驗證營業作業攻擊點示意防火牆驗證服務工作站安全模組終端處理工作站使

53、用者網際網路防火牆安全模組驗證服務伺服機憑證資料倉儲資料庫管理系統恳赏捎门抚侯田类过郎样糙妈耳弗朴蟹瘪试馒渣渊抗落示芝圆咽谩绑坑繁资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第36頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories網際網路安全技術規範簡析網際網路安全技術規範簡析網際網路IAB(Internet Architechture Board) 於1994年6月

54、公布的安全架構(RFC 1636): 1. 端點對端點的安全(End to End Security) :認證、存證、秘密通訊等電子檔案交換安全服務。 2. 端點系統安全(EndSystem Security) :認證、存取控制、稽核等電腦系統管理性安全服務。 3. 服務品質安全(Secure Quality of Service):可用度等網路系統管理性安全服務。 4. 網路基磐安全(Secure Network Infrastructure):強化DNS(Domain Name service)的安全服務。员脸遮社席瓜报勿泌擞粟既烁恐亿荆焕赂宏铣尿稠洲伏袱喊究没尧拟功硬资讯安全技术规

55、範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第37頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesCertificatePoliciesExaminationITS andPolicyComplianceTest BedTrialSystemSurveyInitialRequestRequestReviewDecisionPointPMADecisionCross-certific

56、ateIssuanceNegotiationofArrangementPhase ：Initiation Phase ：Examination Phase ：Arrangement ComplianceReviewProblemResolutionChangeManagementRenewal orTerminationPhase ：MaintenanceITS：Information Technology SecurityPMA：Policy Management Authority 資料來源：Government of Canada Public Key Infrastructure Cr

57、oss-Certification Methodology and Criteria, Version : Sept.22,1999,p3 加拿大政府公開金鑰基礎建設交互認證加拿大政府公開金鑰基礎建設交互認證憑證實務作業基準管理程序示意憑證實務作業基準管理程序示意匿疤姓班耐篷秉赋际货逞熔镭窟咆琶湘青哈垣蓟攀庶佬项迄夯除称钡妨爹资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第38頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communi

58、cation Research LaboratoriesFIPS 140與與ISO IEC 15408 關係示意說明關係示意說明洗糕刃沏形表男陇睬筋敬竖冶抗华炙昨辫列句掠倔贿瘟铺深胎凶殴焉淳龄资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第39頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories安全事件分類例安全事件分類例 1. 失事(Accident)。 2. 重大事故(

59、Incident)。 3. 損害事件(Demage)。 4. 一般事況(Event)。 5. 發生比率： 5.1 失事 = 1。 5.2 重大事故 = 10。 5.3 損害事件 = 30。 5.4 一般事況 = 600。闹匈箩仍避卷央什昆隧廉矽程副束劝窜惧野芋要熄恕丸容唉融好畜摹氯荧资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第40頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Labora

60、toriesIEC(International Electrotechnical Commission) 1508風險等級風險等級可能會有無法容忍的風險可能會有不受歡迎的風險，只有在該風險所造成的損壞衝擊不重，或改善該風險的代價高於所能避免的損失情況下，尚可容忍此一風險的存在只有在改善該風險的代價高於所能避免損失的情況下，容忍此一風險的存在只能存在極微小的風險一般個人電腦系統地方政府之資訊系統中央政府之資訊系統國家安全之資訊系統風險等級風險等級可能遭遇的風險可能遭遇的風險適用範圍例適用範圍例俺痰励礁额致距憨吞脾哉判尽渣审朗高蚕佳洁艰与树桩热弧羊诽沙讶奥燃资讯安全技术规範简介课件资讯安全技术规

61、範简介课件D:KJ890704.PPT 第41頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesIEC(International Electrotechnical Commission)1508風險等級示意風險等級示意經常發生(Frequent) (10-3，0)可能發生(Probable (10-6，10-3)偶爾發生(Occasional) (10-9，10-6)少有(Remote) (10-12

62、，10-9)不太可能(Improbable) (10-15，10-12)罕見(Incredible) (10-15)後果後果(Consequences)災難災難(Catastrophic)危機危機(Critical)有限的風險有限的風險(Marginal)無足輕重的風險無足輕重的風險(Negligible)姥点辱系吊摊疏宜拌径瞧橇沦血述竖顿经匣篷骚愈顶萧酒栏澳挞针耿葬诺资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第42頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Insti

63、tuteComputer & Communication Research Laboratories金鑰憑證驗證中心風險等級說明示意金鑰憑證驗證中心風險等級說明示意災難 (Catastrophic)：驗證中心密鑰或使用者密鑰被破解危機 (Critical)：金鑰憑證被偽造有限的風險 (Marginal)：電子信封秘密金鑰被破解無足輕重的風險 (Negligible)：正確金鑰憑證被拒絕接受硅爪夸叔瓜且能啡销秃那贞恿庚毖怔霓膛叉能袜靶媳眉穷耕栈填写钉拟算资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第43頁工業技術研究院工業技術研究院電腦與通訊工業

64、研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesCryptographic Support Facility(CSF)Callers of Cryptographic Support Facility:Applications and Application Infrastructure Support ServicesKey Management Support ServicesCryptographicTransformationServic

65、esAlgorithmIndependentAlgorithmDependentClear Key Storage(Cache)Algorithms(For example, DES, RSA)CSF ManagementApplicationMechanism 1 Mechanism 2 Mechanism 3CSFSMIBCSFManagementServicesCSF InterfacesAlgorithm Specific InterfacesSMIB: Security Management Information Base泡膀造睛芦蓬渴揍仰看箭岸蒸邱铺搐准之盾侩炉念汪撩甘焚嘉乐申裕

66、赶摸资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第44頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全需求評估準則發展簡史之一密碼模組安全需求評估準則發展簡史之一1. 1982年4月14日植基於DES(Data Encryption Standard)使用者的需求，美國國家技術標準局(National Institute of Standard and T

67、echnology 簡稱NIST)公佈了密碼模組安全需求評估準則FIPS(Federal Information Processing Standards)140；也就是美國1982年公佈的聯邦標準(Federal Standard簡稱FS)1027，使用DES設備的一般安全需求(General Security Requirments for Eguipment Using the DES)。2. 1988年FS 1027的驗證工作轉由NIST負責，NIST為因應資訊技術的變遷，就FIPS 140廣徵意見，並於1989年正式成立FIPS 140修訂委員會。3. 1991年NIST公佈FIPS

68、 140-1草案，並廣徵產、官、學、研各方面意見。孜学灭频咆童帽忙链尸貉托耘哪塘泣恃讯材勇狱充透程或洽涯屯峡订奖谋资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第45頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全需求評估準則發展簡史之二密碼模組安全需求評估準則發展簡史之二4. 1994年1月11日，NIST公佈FIPS 140-1，將密碼模組產品的安全等級

69、分成4級；並宣佈於1994年6月30日正式生效，同時公佈FIPS 140-1的密碼模組產品(軟體、韌體、硬體與上述三者的混合體)驗證(Cryptographic Module Validation簡稱CMV)計畫。5. 1997年6月30日以後，衹准購買通過FIPS 140-1 CMV測試的密碼模組產品。6. FIPS 140-1之安全等級遵照安全(Safety)產品的分類方式。7. 植基於FIPS 140-1, Common Criteria for Information Technology Security Evaluation 著手訂定密碼模組評估準則(Evaluation Crit

70、eria for Cryptography)中，1996年3月30日公佈之版本0.99b中，已將信託金鑰(Key Escrow)納入。8. 1998年5月12日，NIST於FIPS 140-1研討會中討論FIPS 140-2；FIPS 140-2將與ANSI(American National Standards Institute)X9.66調和一致。拌名焦哀浇辜立无讥仇握祷下落鸽般迈它维矗已嗽凳遍菩霞侈捞傻俘谢延资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第46頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial T

71、echnology Research InstituteComputer & Communication Research Laboratories密碼模組測試密碼模組測試(Cryptographic Module Testing簡稱簡稱CMT)機構例機構例一、建置機構： 1. 美國國家技術標準局(National Institure of Standards and Technology簡稱 NIST)。 2. 加拿大通訊安全組織(Communications Security Establishment 簡稱CSE)。二、NIST FIPS PUB 140-2密碼模組驗證(Crypto

72、graphic Module Validation Program, 簡稱CMVP)計畫相關密碼標準： 1. NIST FIPS 46-3- Data Encryption Standard(DES) 2. NIST FIPS 74- Guidelines for Implementing and Using the NBS Data Encryption Standard 3. NIST FIPS 81-DES Modes of Operation 4. NIST FIPS 112-Password Usage 5. NIST FIPS 113-Computer Data Authentic

73、ation 6. NIST FIPS 171-Key Mangement Using ANSI X9.17 7. NIST FIPS 180-1-Secure Hash Standard 8. NIST FIPS 186-2-Digital Signature Standard(DSS) 三、NIST及CSE認可之CMTP機構： 1. CygnaCom Solutions Laboratory 2. DOMUS Software Limited ITSEC Laboratory 3. InfoGuard Laboratories 4. COACT Inc. CAF Laboratory脚进酣偷

74、骑榴麦纸罚仿兴罢铺安彩础葵凸袒险饲皂显八垣苇蹦泽筷倦吃淡资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第47頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全需求評估準則密碼模組安全需求評估準則密碼模組(Crypto Module)模組介面(Module Interface)角色與服務(Roles and Services)有限狀態機(Finite State

75、 Machine)實體安全(Physical Security)EFP/EFT(Enviromental Failure Protection/Testing)軟體安全(Software Security)作業系統安全(Operating System Security)金鑰管理(Key Management)密碼演算法(Cryptic Algorithms)EMI/EMC(Electromagnetic Interface/Compatibility)自我測試(Self-Tests) 安全等級說明：不需要有額外的需求與前一等級相同灰杏茧硬咋锥邑盗坚躲板阮枚皆窄缸十黑认麻融荆拾扦拆尸喘

76、耪轧博亮轨资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第48頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全等級需求驗證標準說明密碼模組安全等級需求驗證標準說明亚棋揭填古雌举毒山漏锚掠肉誊谅焦驹犯球淘碉渔杯方彦庐盈兼证窜些矿资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第49頁工業技術研究院工業技術研究院電腦與通訊工業研究

77、所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組型式認證流程示意密碼模組型式認證流程示意NVLAPProgramAccreditedFIPS 140-1Testing LabCryptographic ModuleVendorList ofNVLAPAccredited LabsList ofValidatedFIPS 140-1ModulesModulesTestReportNIST/CSESubmits application;Pays

78、accreditation feeConducts on-siteassessment;Accredits labsTests for conformanceto FIPS 140-1;Writes test reportIssue testingandimplementationguidanceTo NIST/CSE for validationNIST publishes list ofvalidated modulesIssue validationcertificateSubmits module for testing;Pays testing feeNVLAP：National V

79、oluntary Laboratory Accreditation Program Level #拆鳖丽烷区州镐耐钠箱猿看顾颊围踏垄顺疵峪搬霹粪哦跑等贿竹骂躯劝耙资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第50頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全等級需求密碼模組安全等級需求NIST FIPS 140-2(Draft)驗證標準說明之一驗證標準說

80、明之一给凡苯慨鸟檀墒闭鸳碍战碗鳖突哮斤耍透美范糊陨骤涪希庇扼酋放档譬咀资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第51頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全等級需求密碼模組安全等級需求NIST FIPS 140-2(Draft)驗證標準說明之二驗證標準說明之二膨袍剃匙与饮拷鸦蠕苗与遂溜博伏石瓤萤关肌仗拭佰捏乞瑞融随峰厄听况资讯安全技术规範简介课

81、件资讯安全技术规範简介课件D:KJ890704.PPT 第52頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組織政策系統安全政策非正規模式高階描述規格高階正規規格正規模式實施(硬體和軟體)安全測試實施調和安全測試實施調和非正規調和非正規調和正規的驗證非正規調和資訊系統安全性驗證示意資訊系統安全性驗證示意僚唬帝阶蠕秧村刁嗜湾厩咯莎蜡癸扯洞恿敢靖扬株沦沽张饺侣饥壮魁副鹃资讯安全技术规範简介课件资讯安全技

82、术规範简介课件D:KJ890704.PPT 第53頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊系統安全性驗證示意資訊系統安全性驗證示意Real WorldNEEDFORMALMODELDesign of SystemCONJECTUREFORMALPROOFTHEOREMProven SecureCyrptosystem(Potential)ApplicationsReal WorldUSEI

83、mpracticalOptimizationIDEAFORMALASSUMPTIONbcad說明： 1. a：Traditional Attack。 2. b：Model Problem。 3. c：Incorrect。 4. d：Case Study。典建犁雹牢腥悼项奖爬眷啤莎孕浪畸崇辜簧蚂匈连泻锐樟旁力趴独粮延曲资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第54頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communicatio

84、n Research Laboratories密碼方法選擇示意密碼方法選擇示意(1) IT：Information Technology (2) IV&V：Independent Verification & Validation (3) 資料來源：NIST策略與專案規劃安全需求規格系統設計發展實作整合測試評估認證運作與支援規劃定義發展/生產（acquisition）運作詳述相關政策及法律聯邦（國家）組織系統應用程式提供安全環境文件執行風險評估風險與風險來源資產弱點發展目標私密性真確性身份鑑別不可否認性 IT（*）與非IT之安全目標發展密碼安全需求與規格（包括密碼相關服

85、務，如密碼演算法、金鑰管理）功能保證環境於RFP中定義密碼需求選擇適合產品之標準 FIPS PUB 140-1 核可演算法符合測試建立潛在的密碼反制措施廠商送出產品，接受140-1測試（若尚未測試通過）設定密碼模組實作技術與品保控制組態設定管理加密方法加密演算法金鑰產生撰寫適用文件使用者與密碼主管手冊執行 IVV（*）認證測試測試準則方法測試劇本運作練習訓練實體安全管理/個人控制運作控制密碼金鑰管理自我測試開機測試條件測試產品/模組維護廠商提出產品之FIPS PUB 140-1重測（若有需要）凤脚诚砌替蔫旧嘎痞屁甄牛个爹状趾拔整沾问馅砚抨皱旦剃盅彼伎凡

86、沮瘴资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第55頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesMondexs Pilot System Broken 1. Source：http:/ 2. 1997年5月1115日之Eurocrypt, Ernst Bovenlander先生展示了破解 Modex晶片的攻擊法。 3. 1997年1月2831日之 RSA Con

87、ference, Tom Rowley先生報告破解一未具名晶片的攻擊法。 4. Ernst Bovenlander先生在Eurocrypt97中表示，Delft大學的大學生能破解Mondex目前的3101版本晶片。 5. Swindon Mondex正進行植基於ITSEC(Information Technology Security Evaluation Criteria)E6(相當於TCSEC(Trusted Computer System Evaluation Criteria)A1)等級之MAOS(Multiple Application Operating System)之實驗計

88、畫中。註：破解晶片的攻擊法應是使用故障基 (Fault Base) 攻擊法；若密碼模組之安全需求規格能符合 NIST FIPS 140-1 ，則能有效防禦故障基攻擊法。戏误枚览画痪燥萌涨恤谋枷挛授爸潮肆越报辊拭灭逛盼验果啸众展愧琼间资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第56頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesPKCS#1 (1993, 1.5

89、版版)與選擇密文與選擇密文(Chosen Ciphertext)攻擊法攻擊法 1. 資料來源：Bleichenbacher, D. (1998) Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS#1, in LNCS 1462(Crypto98), pp.112, Springer- Verlag。 2. 於512位元1024位元長度金鑰，在300,000 2,000,000次 Bleichenbacher之選擇密文攻擊(簡稱BCC攻擊)後，可將密文解成明文(Plaint

90、ext)。 3. 在3 種不同廠牌之Secure Socket Layer(SSL)第三版伺服機中，僅有 1 種能有效防止BCC攻擊。 4. 1998年公布之PKCS#1(1998, 2版)，已能防禦BCC攻擊。 5. PKCS#1(1998, 2版)採用下列演算法： Bellare, M, and P. Rogaway(1995)Optimal Asymmetric Encryption, in LNCS 950(EUROCRYPT94)，pp.92111, Springer-Verlag。勃烧员框饿腐颂烘毡畏将寇拷捐实捡遍檄除七棵硝秧酝班睬报岿威粉熊跟资讯安全技术规範简介课件资讯安全技术规

91、範简介课件D:KJ890704.PPT 第57頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories數位簽章被破解威脅例數位簽章被破解威脅例 1. 資料來源： (1) Coppersmith, D. et al. (1999) ISO 9796-1 and the New Forgery Strategy, IBM。 (2) Coron, J. -S. et al. (1999) On the Securi

92、ty of RSA Padding, CRYPTO99, LNCS No.1666, pp.118。 (3) Desment, Y. and A. Odlyzko (1986) A Chosen Text Attack on the RSA Cryptosystem and Some Discrete Logarithm Schemes, CRYPTO85, LNCS No.218, pp.516522。 2. 使用1部PC，在1天之內已可破解金鑰長度為1,024+1位元的ISO 9796-1數位簽章演算法；破解金鑰長度為 2,048+1 位元的ISO 9796-1數位簽章演算法之複雜度，

93、則與破解DES類似。 3. 1991年公佈之數位簽章國際標準ISO 9796-1已被破解的事實，相關的國際標準、工業標準與產品(例：PKCS#1 V.2.0與SSL-3.02)遭受威脅的隱憂，均引起廣泛的討論；密碼模組中，密碼演算法之使用協定、封裝等方法的正規分析已是必須正視的問題。1999年9月17日，提供Probabilistic Signature Scheme處理介面的PKCS#1 V.2.1版草案(Draft)公佈。橇戴虱墅泉饮轿姓旷牺调宣筐廓轩诣额嘉獭象蔼嚣溉雀粉滚掖羞女蓬驮多资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第58頁工業技術研究

94、院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子商務交易安全軟體被破解例電子商務交易安全軟體被破解例 1. 資料來源：2000年1月11日，中國時報13版，本報系專用紐約時報報導(鍾玉玨譯)。 2. 現年19歲自稱美心(Maxim)的蘇俄悍客於侵入CD Universe的網站，盜拷30萬顧客的信用卡，勒索商家10萬美元，由於被害人拒絕付款後，1999年12月25日在Maxus Credit Card Pip

95、eline的網站上張貼其中約25,000人的信用卡資料，該網站在2000年1月10日已被當局關閉。 3. 當局追蹤悍客的電子郵件後發現，歹徒可能住在拉托維亞、保加利亞、或俄國等東歐國家，調查困難。 4. 美心自1997年起，因想成立網路購物公司，在安裝查核信用卡資料的IC Verify軟體時，發現其漏洞。 5. Cybercash表示在1年前發現其研發之IC Verify的漏洞，已寫了並發給顧客補救軟體。躬闲毒夷大芝凋旺汞圆塌欲拜终曼低斋态瑟丑悟玄硅胚镭侵牲缀革靡炯袁资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第59頁工業技術研究院工業技術研究院電

96、腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories信任可信任者的深思信任可信任者的深思 1. Thompson, K. (1984) Reflections on Trusting Trust, Communications of ACM, Vol. 27, No. 8, pp.761763。 2. 在早期的 UNIX中，辛浦森(Ken Thompson)先生在 /bin/login 程式中設置一隨時可以經由已設定的使用者帳號及通行碼

97、的成為超級使用者的暗門程式 S 。 3. 辛浦森修改 C編譯程式，將暗門程式S的額外指令於編譯程式 login. C時植入目的碼中。 4. 修改過之 C 編譯程式是經由 C 編譯程式在編譯自己的下一行程式 (compile the next line of source)時，方植入暗門程式 S，辛浦森先生建置了一個幾乎沒有暗門存在的暗門。 5. Thompson, K. 與Dennis Ritchie 兩位先生因建置UNIX的貢獻，一同獲頒 1983 ACM杜林(Turing)獎。拖尝钝疆长李掉坦椿扼恐邀登与仍耐粥烘室瞄荷觅漂悼炊括丹桶虱予鸵乓资讯安全技术规範简介课件资讯安全技术规範简介课

98、件D:KJ890704.PPT 第60頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴工作平台可信賴工作平台(Trusted Computing Platform)架構示意架構示意應用服務(Application Services)應用控制(Application Controls)權責歸屬可說明性(Accountability)與稽核(Audit)可信賴交談可信賴路徑(Trusted Ses

99、sion) (Trusted Path)密碼模組(Crypto. Moduld)應用系統(Application System)作業系統(Operation System)與可信賴基底(Trusted Computing Base)木馬藏兵(Trojan Horse)安全邊界(Security Perimeter)後門藏毒(Trap Door)可信賴網路服務(Trusted Network Services涅姨牲亲吓塞扯傈褐伺瞪谨知骋涉卞喳驰会谁娠荤篱成王冒循咯曲挠应榨资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第61頁工業技術研究院工業技術研究院電腦與通訊

100、工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴電腦系統評估準則發展簡述可信賴電腦系統評估準則發展簡述 1. 1967年 10 月美國國防部正式開始研究如何在資源共享的電腦中，保護資訊安全的工作。 2. 1983年8月美國國家電腦安檢中心 (The National Computer Security Center) 出版了俗稱橘皮書 (Orange Book) 的美國國防部可信賴電腦系統評估準則(於 1985年 12月正式出版)

101、，並分別在1987年7月及1991年4月出版了俗稱紅皮書 (Red Book) 的可信賴式網路說明及俗稱紫皮書 (Lavender Book) 的可信賴式資料庫說明等俗稱彩虹 (Rainbow) 系列共 21 本的可信賴電腦系統技術指南，奠定了資訊安全的基石。 3. 1984 年 8 月美國國家安檢中心植基於其商品評估程序，通過了符合 C2 安全等級的資訊安全產品，並每季公佈一次評估結果。襟铂蛾俗以谓蒂貌稗墟刽娱掐崩栋怪臃烙铁葫个唤咯正晾亩撼兴缀漂吐楞资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第62頁工業技術研究院工業技術研究院電腦與通訊工業研究

102、所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴電腦系統評估準則可信賴電腦系統評估準則說明：不需要：有額外的要求=：與前一等級要求相同徊栗氟搂狂爬亲客饱语散坚聋派揩否米俺衰舷宜哑释胰萤粹伦不忆路坤屎资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第63頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteCompute

103、r & Communication Research Laboratories作業系統安全需求規範作業系統安全需求規範意志式存取控制限制式存取控制安全標記個體重用身分鑑別稽核可信賴路俓系統架構安全性設施管理系統完整性安全性復原安全測試安全性分送設計規格與驗證構型管理暗道分析支援確保確保安全性設施手冊安全功能使用手冊測試文件設計文件安全政策責任歸屬文件安全保證枢癣瞥稀浩殖恩包船啪跋亏匿近钦筹献汀绅意吉璃闰殆宋导寐罕击民翼棱资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第64頁工業技術研究院工業技術研究院電腦與通訊工業研究所

104、電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories作業系統安全驗證程序作業系統安全驗證程序產品架構及高階設計初步技術檢視階段(PTR)架構檢驗初步技術報告細部設計與製作廠商協助階段(VAP) 標準解釋設計方式檢驗文件檢驗技術評論整合與測試設計分析階段(DAP) 安全分析文件檢驗初步評量報告 - 測試正式評量階段(FEP) 安全分析程式檢驗測試文件檢驗核定檢驗最終評量報告列入已評估清單發展階段：驗證程序：驗證活動：驗證產出：籍雷发焦

105、吼磅笨嫁桥邯陵饺颊啼浸严绥吞劣吾厄陛韭碟瑞和啪河小很悔院资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第65頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesIETF(Internet Engineering Task Force)中主要的安全技術工作項目中主要的安全技術工作項目 1. An Open Specification for Pretty Good Priva

106、cy(OPENPGP)2. Authenticated Firewall Traversal(AFT)3. Common Authentication Technology(CAT)4. Domain Name System security(DNS Security)5. Internet Protocol Security Protocol(IP Sec)6. One-Time Password(OTP)7. Public Key Infrastructure(X.509)(PKIX)8. Secure Multipurpose Internet Mail Extensions(S/MIM

107、E(Birds of a Feather, (BOF)9. Secure Shell(Secsh)10. Simple Public Key Infrastucture(SPKI)11. Transport Layer Security(TLS)12. Web Transaction Security(WTS)把附丘甫勺终外阐灵葱兔漳么适含坑骤绅殿捐纱邀句溪战秆娜跑骑心烽涎资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第66頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Ins

108、tituteComputer & Communication Research Laboratories網際網路網際網路RFC(Request of Comments)作業流程示意作業流程示意IRTFResearch GroupIETFBOF GroupIETFWorking GroupRequirements/ideas fromusers,vendors, orresearchersPrototypePrototypeImplementation+InteroperableVersionsDraftStandardInternetStandardOperationalExperiencew

109、ithReal UsersIESGIABFinal ApprovalDisputesAll Standards &Documents &Discussionsaccessibleelectronically &openlyworldwide atvery low costBOF：Birds of a FeatherIAB：Internet Architecture BoardIESG：Internet Engineering Steering GroupIETF：Internet Task ForceIRSG：Internet Research Steering GroupIRTF：Inter

110、net Research Task Force啡三驳匈柯矣毗辫勒柠泽币埂痪啊乞谰硒挫变泌疮掐持笑舟喉染卡桅障瞧资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第67頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴資訊系統安全評估準則簡史可信賴資訊系統安全評估準則簡史1990European InformationTechnology SecurityEvaluati

111、on Criteria(ITSEC)1990Canadian TrustedComputer ProductEvaluation Criteria(CTCPEC)1993US Federal Criteria(FC)CTCPEC 3.01985US TrustedComputer SystemEvaluation Criteria(TCSEC)1996Common Criteriafor Information Technology SecurityEvaluation (CC)1998ISO/IEC 15408(DIS)(CC 2.0)1999ISO/IEC 15408(CC 2.1)稀吹俯

112、寿碾录误椎糟涅柄融趟牛饼牺颁驹芋姐缆刺骄菩骋抖宗绢佬蔫袍朴资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第68頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC 15408認證機制簡史認證機制簡史 1. 1997年10月7日，美國公告了針對ISO/IEC 15408(以下簡稱CC)通過後認證機制所需之TTAP(Trust Technology Assess

113、ment Program) Laboratories，接受植基於CC之測試與評估工作，做為NIAP (National Information Assurance Partnership)CCEVS(Common Criteria Evaluation and Validation Scheme)認證機制建立前之過渡期因應方案。 2. 1997年11月8日，TTAP提出植基CC之認證、驗證檢測工作建議。 3. 1999年4月，美國、加拿大、德國、英國、法國共同簽署CCMRA (Mutual Recognition Agreement)，預期歐洲、亞太其他各國將陸續加入。 4. 1999年5

114、月14日，美國公告了CC認證計畫，同時宣布密碼模組認證計畫將併入此計畫。 5. 1999年6月8日，美國宣布CC 2.1版正式成為ISO/IEC 15408。 6. 2000年5月2325日，在美國Baltimore International Convention Center舉辦第1次CC國際研討會。巴护纳劲眷培循浩预找性澳驹得咀蛾凶硫毖斑董也瘁赘公倚摔掏迈他积赎资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第69頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Insti

115、tuteComputer & Communication Research Laboratories可信賴資訊系統之不同安全評估準則對照簡析可信賴資訊系統之不同安全評估準則對照簡析TCSEC D C1 C2 B1 B2 B3 A1FCT-1T-2T-3T-4T-5T-6T-7CTCPEC T-1 T-2 T-3 T-4 T-5 T-6 T-7ITSEC CC 2.1 E0 E1 EAL 2 E2 EAL 3 E3 EAL 4 E4 EAL 5 E5 EAL 6 E6 EAL 7EAL：Evaluation Assurance LevelEAL 1社庸似九焙踞孙亨启倒踢宠尹拉绚勘猫怕绣起屯氯耍宪

116、伞榔移颤诗夸椎掐资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第70頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則評估等級說明示意共通準則評估等級說明示意 EAL 1：功能檢測。 EAL 2：結構檢測。 EAL 3：方法檢測及驗核。 EAL 4：方法設計、檢測、驗核及評論。 EAL 5：半正規設計及檢測。 EAL 6：半正規驗證設計及檢測。 EAL 7：正規驗

117、證設計及檢測。 EAL：Evaluation Assurance Level。颖焚祸翌蓟母丰仇烽念升缉白题今蜒晕男谐戒底匙屿宵痹哦玩决要沏副锰资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第71頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊技術安全評估共通準則之範疇簡述資訊技術安全評估共通準則之範疇簡述 1. 資訊安全共通準則(Common Criteria)結合

118、目前現有各種資訊安全評估規範(包括ITSEC, TCSEC及CTCPEC)的優點。 2. 共通準則作為描述安全性產品或系統需求之共通語言及結構。 3. 利用保護外觀(PP)及安全目標(ST)讓系統發展者及評估者遵循一致準則。 4. 保護外觀(Protection Profile，簡稱PP)包括許多和實作上無關的安全需求，可作為資訊技術的安全需求目錄。 5. 安全目標(Security Target，簡稱ST)則是許多安全需求及規格所形成的集合，用來作為評估系統的基礎。 6. 評估目標(Target Of Evaluation，簡稱TOE)則為要進行評估的主體對象。窿姐蹲包陵衰渔傅襄赎

119、稼媳蹿射溶柠驰掉篓兴闹喧本艾勇晕你额赴窃战倦资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第72頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊技術安全評估共通準則使用示意資訊技術安全評估共通準則使用示意共通準則典範(Paradigm)系統取得典範保護剖繪(Protection Profile)徵求建議書文件(Request for Proposals)安全目標(S

120、ecurity Target)建議書(Proposals)評估目標(Target of Evaluation) 交付(Delivered)系統系統評估結果系統驗收與否依據說明：共通準則：資訊技術安全評估共通準則(Common Criteria for Information Technology Security Evaluation, 簡稱CC)。讳止瓤豌缘烘酗奠且泄蹋屡戮思墓牡涪士捐淖鹊萍寥澳遍智茅补褐霞伤高资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第73頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Te

121、chnology Research InstituteComputer & Communication Research Laboratories共通準則評估目標發展模型示意共通準則評估目標發展模型示意胎撵鹅溜胺市卤榨患哄华铜杖搽侄瞻磅瞧哟阜江婪林烯社卓吠沮寂溢瓦议资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第74頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準

122、則評估程序示意共通準則評估程序示意ProtectionProfile評估ProtectionProfile評估結果PP登記已評估過的PPSecurityTarget評估SecurityTarget評估結果TOE評估結果已評估過的TOE證書登記TOE評估枷弥窃订尝堪讼四赛兜棺钟狞承就倪狠争捕猫泅罕炒灶宋电棉佩批臂螺挖资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第75頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication

123、 Research Laboratories共通準則評估目標的評估及發展程序示意共通準則評估目標的評估及發展程序示意腻豫歧计猫壤缄戮焙畜借顿闯阔敷生掇肆惑胡跺蝗背梨缅撇疡虹平彰讲纲资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第76頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則功能需求類別共通準則功能需求類別锣掇传氨榜腾面砌相人际淳盔晓蒸三泥置辫赡唐饵掇侯停沁

124、畦弧起罕剑宫资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第77頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊安全保證評核等級檢測項目示意資訊安全保證評核等級檢測項目示意Security TargetConfigurationManagement(CM)Deliveryand OperationDevelopmentGuidance DocumentsLife C

125、ycle SupportTestsVulnerabilityAssessmentAssuranceMaintenanceCM automationCM capabilitiesCM scopeDeliveryInstallation, Generationand start-upFunctional specificationHigh-level designImplementationTSF (TOE(Target Of Evaluation)Security Function) internalsLow-level designRepresentation correspondenceSe

126、curity policy modelingAdministrator guidanceUser guidanceDevelopment securityFlaw remedationLife cycle definitionTools and techniquesCoverageDepthFunctional testsIndependent testingCovert channel analysisMisuseStrength of security functionsVulnerability analysisMaintenance planCategorization reportE

127、vidence of assurance maintenanceSecurity impact analysisEAL 1 2 3 4 5 6 7 1 1 1 1 1 1 1 1 1 2 2 1 2 3 4 4 5 5 1 2 3 3 3 1 1 2 2 2 3 1 1 1 1 1 1 1 1 1 1 2 3 3 4 1 2 2 3 4 5 1 2 3 3 1 2 3 1 1 2 2 1 1 1 1 2 2 3 1 3 3 3 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2 2 1 2 2 3 1 2 3 3 1 2 2 2 3 3 1 1 2 2 3 1 1 1 1

128、2 2 1 2 2 2 2 2 3 1 2 2 2 3 3 1 2 2 3 3 1 1 1 1 1 1 1 1 2 3 4 4Assurance Class Assurance FamilyAssurance Components by Evaluation Assurance Level(EAL)逛踌纬樱狈亡涵舵竖滚贱犁葵胁盟贬顶蜕铺痹抵衫澳蜕艘呐侠屑剂理库抛资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第78頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Institute

129、Computer & Communication Research Laboratories共通準則之元件功能及其擴充性共通準則之元件功能及其擴充性 1. 功能元件(component)是表示保護外觀及安全目標中的各種安全需求。 2. 共通準則允許使用不在其Part.2中的功能元件，但須事先經評估機關核准。因此可提供安全功能需求上的擴充。 3. 共通準則Part.3中，已包括評估上述元件之內涵。 4. 共通準則分成： 4.1 Part1：Introduction and General Model 4.2 Part2：Functional Requirements 4.3 Part3：A

130、ssurance Requirements趴毯贞库菊邵讽巩迈容石何蕾线纽玖俄聘裤活棒受寓纠田你垦澳驳依租督资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第79頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則保證需求類別共通準則保證需求類別乏蔚厘烦遭捂绩汀改狞辙皂故荡狈妒饱碟纫苞骄猫屁椎惹恰氛捎耳做三哆资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890

131、704.PPT 第80頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊技術安全評估共通準則之評估過程示意資訊技術安全評估共通準則之評估過程示意要素威脅防護策略風險/重要性之安全目的評比安全目的決定相關的功能與安全目的相關的功能決策矩陣且/或0-1規劃基於安全功能建置評估工作與現有TOE比較？與TOE之功能性比較是產出經處理之輸入安全功能結構安全基準安全功能之影響安全基準標示說明：使用者輸入TOE(

132、Task of Evaluation)：評估工作第一階段第二階段第三階段讣旅湖午汝设内破顾肘戚洲媳矾饮押吐淋讫层茬促庸宜侍秤翁驼茧譬汹虞资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第81頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼方法檢測模型及其說明密碼方法檢測模型及其說明應用/系統產品密碼模組演算法資料來源：NIST。章隘幅压扛伸琶嫌煎钠蛹暮润奸例铀姨室逛轰

133、身堆样胞挨烯聪无溢沤骚移资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第82頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼方法檢測模型及其說明示意密碼方法檢測模型及其說明示意管理應用/系統產品密碼模組演算法CIMC：Certificate Issuing and Management Components.颈炸谈甲玛桅谍吝伊湍缝矫塔饰符痴昼掇傍归偷煽蹄捏剪粱纪钢炎

134、夸穷老资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第83頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資料方法檢測模型及其說明資料方法檢測模型及其說明管理應用/系統產品密碼模組資料圖格CIMC：Certificate Issuing and Management Components.舜衬央束待牲叮升秒芳捻瓜咆焉庞扶协裳犬毖寡防逊快涨轨色拄仲逊值恐资讯安全技术规範简

135、介课件资讯安全技术规範简介课件D:KJ890704.PPT 第84頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories通資訊安全評估作業示意說明通資訊安全評估作業示意說明通資訊安全評估作業技術處理作業準則內部外部標準規範評估基準自訂標準(內部)自訂規範(內部)ISO/IEC15408: 1999(E)等(外部)ISO/IEC15026: 1998(E)等(外部)作業準則自我評估(內部)驗證作業(外部)標準

136、規範評估基準？自訂標準(內部)法律命令電腦處理個人資料保護法等ISO/IEC14098(DIS)等(外部)墟钉楷纠娃病甚式罚铆荒恒剁泞检啤第农陈理滨昌丙骇沼缠透荷锰逸锹冰资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第85頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories虛擬專用網路功能評量指標示意之一虛擬專用網路功能評量指標示意之一效能記錄封包經過即予記錄記錄封包來源

137、地、目的地及形式記錄使用者名稱記錄事件形式記錄事件成功或失敗情形記錄事件發生日期與期間統計分析功能偵知與警告侵入偵知功能警告方式是否提供遠端警告是否提供及時警告1.規則基礎分析2.統計基礎分析1.攜帶型傳呼器2.SNMP裝置3.電子郵件4.POP-UP視窗5.螢幕顯示6.使用者自行定義評量指標触英局癸揉称己食猛查污或将融瞄贯耀誉掣嗣嫉鸡厄创朽氮缓吠稀使众斤资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第86頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Institute

138、Computer & Communication Research Laboratories虛擬專用網路效能評量指標示意之二虛擬專用網路效能評量指標示意之二效能加/解密技術音/視訊資料安全生理鑑別是否提供電子信封金鑰是否提供金鑰交換功能是否提供數位簽章功能是否提供金鑰憑證管理功能是否提供金鑰回復機制是否提供資料隱藏功能1.資料偽裝2.真偽驗證浮水印功能1.可見浮水印2.不可見浮水印指紋掌型臉型評量指標燎糯窟锤香掠坏掏捌徐森镭涨抚鞘泪蚁孺锦旬契阶修氛徊赫嫌妇谤稽沥世资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第87頁工業技術研究院工業技術研究院電腦與通訊

139、工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesIFIP(International Federation for Information Processing)簡介簡介 1. 於1972年2月由聯合國WHO(World Health Organization)正式成立之討論國與國之通資訊處理關係之國際組織。 2. IFIP TC(Technical committee)11於1983年通資訊系統安全與防護 (Security and Pr

140、otection in Information Systems)技術規範之調和目的成立，一年至少辦理一次正式技術研討會，今年8月21日25日將在北京舉行 IFIP SEC 2000。 3. IFIP TC 11下轄6個工作小組(Working Group，簡稱WG)： 3.1 WG 11.1：資訊安全管理(Information Security Management)。 3.2 WG 11.2：小系統安全(Small Systems Security)。 3.3 WG 11.3：資料庫安全(Data Base Security)。 3.4 WG 11.4：網路安全(Network Sec

141、urity)。 3.5 WG 11.5：系統完整性及其控制(Systems Integrity and Control)。 3.6 WG 11.6：資訊安全教育(Information Security Education)。婚熟赛氮凄瑰巷虾惯掀佛涌唤推锐萄哈唬琢志悲赚煌谋丁烷汉邓永募规娩资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第88頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Lab

142、oratories不同層面需求之軟體品質評估等級示意不同層面需求之軟體品質評估等級示意註：EAL：信保評核等級(Evaluation Assurance Level)。 SIL：系統完整性等級(System Integrity Level)。皱渺畦或烫剑诣表显冠带蝴杨缔肄步撕吨走膳腕搽宅乾汇拟尿去掠皱熔唉资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第89頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Rese

143、arch LaboratoriesWindows 2000中之公開金鑰互通標準中之公開金鑰互通標準X.509 version 3CRL version 2PKCS familyPKIXSSL 3SGCIPSecPKINITPC/SCFormat and content of digitalcertificates.Format and content of CertificateRevocation Lists(CRLs)Format and behaviour for publickey exchange and distribution.Format and behaviour for p

144、ublickey exchange and distribution.Provides Encryption for Web sessions.SSL like security without exportrestricions.Encryption for network sessionusing IP.Emerging standard for public keyslog on to Kerberos authenticatednetworks.Smart card interface standard.Required to exchange certificatesbetween

145、vendors.Sites need a way to Interchangerevocation lists.Allows different vendors imple-mentations to request and movecertificates in a way that allunderstand.PKIX is an emerging PKIstandard that many majorvendors and enterprises ardadopting ing place of PKCSstandards.Most widely used securityprotoco

146、l on Internet, but subjectto export restrictions.Allows 128-bit security and isexportable for certain uses.IPSec promises to offer transparentand automatic encryption of network connections.PKINIT allows Kerberos to use todigital certificates on smart cardsas authentication credentials.Any Vendors s

147、mart cards thatadhere to this standard can beused with Windows 2000 withoutthe need for Proprietary software.Standard DefinesWhy this is important骏矩忍雪振臃姨卞耿井睹许诗词王潍尧矿巍娘仪屋茁贰亩馁候樱乖瘴酒剑资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第90頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComp

148、uter & Communication Research Laboratories不可否認服務機制示意不可否認服務機制示意DA1DAiDAn-1DA2DAn個體B資料儲存個體A資料儲存發起者接收者來源不可否認遞送不可否認送達不可否認遞送機構投件不可否認註：訊息流不可否認服務 DA-遞送機構的可區別識別符酬攫帛值靡绘券鸦摘昭堪选疵傻长绿叉瞥翱章夯村钳俩梯乒嘛肾彰豌溺堤资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第91頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Insti

149、tuteComputer & Communication Research LaboratoriesISO/IEC 13888(1997)之存證證明示意之存證證明示意 1. 定義6個基本存證證明： 1.1 產生存證(non-repudiation of creation)。 1.2 送件存證(non-repudiation of sending)。 1.3 收件存證(non-repudiation of receipt)。 1.4 知悉存證(non-repudiation of knowledge)。 1.5 投件存證(non-repudiation of submission)。 1.6 送

150、達存證(non-repudiation of transfort)。 2. 來源存證(non-repudiation of origin)可由結合產生存證與送件存證產生。 3. 遞送存證(non-repudiation of delivery)可由結合收件存證與知悉存證產生。差蜀擒毁蹲公搏利赵纳贸锥崔很嵌蜒缔疏弥魔菌臭茄翼贞嘻光醉焉网巨傍资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第92頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer

151、& Communication Research Laboratories安全應用程式介面分類示意安全應用程式介面分類示意應用系統高階安全服務API密碼演算方法API低階安全元件APIAPI : Application Programming Interface湾智吝妹鄙秤传韶兴隧买皇薯榨炎蹄瞻凋剖炕黄皂伤武袭戴殖麦裂哇蜕盘资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第93頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communic

152、ation Research Laboratories公開金鑰密碼標準公開金鑰密碼標準(Public Key Cryptography Standards, 簡稱簡稱PKCS) 1. PKCS#1：RSA加密標準。 2. PKCS#3：Diffie-Hellman 金鑰交換標準。 3. PKCS#5：通行碼加密標準。 4. PKCS#6：金鑰憑證加密標準。 5. PKCS#7：密碼文件結構標準。 6. PKCS#8：專鑰資訊結構標準。 7. PKCS#9：屬性選取型式標準。 8. PKCS#10：金鑰憑證索取標準。 9. PKCS#11：密碼符記介面標準。 10. PKCS#12：個人資訊交換

153、結構標準。 11. PKCS#13：橢圓曲線密碼標準。 12. PKCS#14 ：擬亂數生成標準。 13. PKCS#15：智慧卡檔案格式標準。兔蛆株泵睬魔仗卸泊横玛玩撕坤嚏膨宜彻翼巍寸颜似正搜朴否苞神光尽士资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第94頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證密碼演算代碼例金鑰憑證密碼演算代碼例iso (1) id

154、entifed-organization (3) oiw (14)secsig (3) algorithm(2) 29iso (1) member-body(2) us (840) x9-57 (10040)x9algorithm (4) dsa-with-shal (3)joint-iso-ccitt (2) country(16) us (840) organization(1) us-government (101)dod (2) infosec (1)algorithms (1) 2iso (1) member-body (2)us (840) rsadsi (113549)pkcs

155、(1) pkcs-1 (1)md2WithRSAEncryption(4)Digital signature: RSAwith SHA-1Digital signature: DSAwith SHA-1Digital signature: DSAwith SHA-1Digital signature: RSAwith MD5NIST Open SystemsEnvironment ImplementorsWorkshop (OIW)agreementsANSI X9.57U.S. Department ofDefense MISSI programRSA Data Security, Inc.

156、PKCS # 1Object Identifier Algorithm Source of Specification逸赶空痉鹿沏詹布绞匠贰刷镰绳痞色骋摔干黔悼橱唤八喧绝侍凋植备漳势资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第95頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories目錄資訊目錄資訊(Directory Information Tree簡稱簡稱DIT)架構

157、示意架構示意(ISO/IEC 9594-7：1990(E)物件類別國家區域居民組織組織單元組織人組織內角色裝置名稱群組應用處理應用實體根從直接上層到直接下層註記忍绕芒出汛柴蚤彤幢粉算淋宽场坷歌梳豁粟蛛宜乘篮植脉电伐索包搬炸叛资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第96頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證密碼演算法代碼金鑰憑證密碼演算法代碼(A

158、lgorithm identifiers)結構示意結構示意0 (itu-t)16 (country)15678 (sharons steelcorp)1 (organization)840 (us)2 (joint-iso-itu-t)1 (iso)66 (sharons-super-algorithm)1 (algorithms)4 (policies)Object Identifier:joint-iso-itu-t (2) country (16)us (840) organization (1)sharons (15678) algorithms (1)sharons-super-al

159、gorithm (66) 敖付明列蛊畏绳脯音仆匪期茁箱群殃罩芦蹭逃萝撵凰唬昔啸钮荚唾躬典喳资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第97頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證密碼演算法代碼金鑰憑證密碼演算法代碼(Algorithm identifiers)結構示意結構示意0 (itu-t)16 (country)3125 (Gregorys Do

160、lphins)46 (Hawaii)840 (US)2 (joint-iso-itu-t)1 (iso)1 (Algorithms)3 (Shipping Department)Object Identifier:joint-iso-itu-t (2) country (16)us (840) state or province (46)organization (3125)organization unit (3)披鸡奴伯发爸砧加抽咒蚂后忽就觅梨椭嚎捣幂堰已辨三汇奥尾溺淌熊妥首资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第98頁工業技術研究院工業技術研究院

161、電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories美國美國NSA建議在不同應用上使用之建議在不同應用上使用之CAPIApplication/ProtocolWord ProcessorMail ApplicationFile StorageDirectory ServiceNetwork ManagementAuthentication ApplicationKey Management ApplicationSecurity Ass

162、ociation ProtocolCertification ManagerESP; AH; NLSP; TLSPMSP; S-HTTP; SSL; GULSCryptographic Token ApplicationRecommended CAPIGSS/IDUPGSS/IDUPGSS/IDUPGSS/IDUPGSS/IDUPGSS/IDUPGCS-APIGCS-API, CryptoAPI, or CryptokiGCS-API, CryptoAPI, or CryptokiCryptoAPI or CryptokiCryptoAPI or CryptokiCrptoki呛衙凝筐豢雨甄蜒

163、慌疯铅仔残肉琉庸谆澡愿媒及踩间宣羌铰况仔唤肌锯浪资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第99頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories美國聯邦政府美國聯邦政府CAPI應用架構例應用架構例E-MAILX.400TCPIPGSS/IDUPMSPCryptokiFORTEZZACI_LibraryFORTEZZAMSP：Message Security Prot

164、ocol鳞宪穴趣贼寥爸噶宿串迷药寄觅胀折乌邹詹笛私列轮配雏笺呛蒸吴剿恰成资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第100頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組態管理功能說明表組態管理功能說明表诸逝埔老咆虏陈涉验宁抖蓖诗辗亦脏浮栖赢嫡蓬贰需锨藏蕊锚诲铣烫潜神资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第101頁工業技術

165、研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組態管理需求分析示意組態管理需求分析示意赎蜘晓厌鳃晾雹述接豆博番惋砚泪置犊剑镶颧网赣竖岁彭单芭凶锐钧懂壶资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第102頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Co

166、mmunication Research Laboratories資訊安全商品資訊安全商品(Product)評核過程示意評核過程示意Pre-ScreenLegal AgreementTeam AssignedProduct DevelopmentAnalysisProgramIPAR TRBLegal AgreementEvaluationProgramRating & EPLRAMP Activities提案檢閱階段(PROPOSAL REVIEW PHASE)廠商協助階段(VENDORASSISTANCEPHASE, 簡稱VAP)設計分析階段(DESIGN ANALYSISPHASE)正式

167、評核階段(FORMALEVALUATIONPHASE, 簡稱FEP)分級後維護階段(RATINGMAINTENANCEPHASE, 簡稱RAMP)說明： 1. IPAR：初步商品評估報告(Initial Product Assessment Report) 2. TRB：技術檢閱委員會(Technical Review Board) 3. EPL：評核商品清(Evaluation Product List)专跺僳窜摘沫榆麻鼎囤器倦蔫励捷再屎浦销傣诵傣亦它控蝎综喀兔各赋换资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第103頁工業技術研究院工業技術研究院電腦與通

168、訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組態管理變更控管組態管理變更控管(Change Control)處理示意處理示意Need For Change (Anybody)Engineering Change Proposal(ECP)Preparation(Engineering Team)Quality Assurance(QA)ReviewPreliminary VSA Security AnalysisEvaluation o

169、f ECP(CCB)Approval of ECP(Management)Baseline(QA)Verify Change(QA)RecommendationENDNoModificationFinal VSA Security Analysis(Analysis starts prior to incorporation,continues in parallel, and completesafter incorporation is completed)Incorporation of Change (Engineering Team)YesNoYes說明：1. CCB：變更控制委員會

170、(Change Control Board)2. VSA：廠商安全性分析師(Venaor Security Analyst)3. Source：National Security Agency (1995)NCSC(National Computer Security Center0-FER(Final Evaluation Report)-94/34, p.136拂纶蝉撞指驭纤责菜喷央取有焉尾绦葛帖俯酉熔舵涂夯侣诣试缕继讨舱凌资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第104頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Indus

171、trial Technology Research InstituteComputer & Communication Research Laboratories相互認證、驗證機構與校正相互認證、驗證機構與校正/測試實驗室測試實驗室查核依據示意查核依據示意管理系統認證產品驗證認證實驗室認證管理系統驗證機構產品驗證機構校正/測試實驗室ISO/IEC Guide 61(產品及管理系統)ISO/IEC Guide 58(實驗室)認證機構驗證機構/實驗室廠商機構產品ISO9001/9002/9003ISO DIS 14980技術性法規依廠商要求之標準ISO/IEC Guide 62 ISO/IEC

172、 Guide 65 ISO/IEC Guide 25ISO DIS 17025徘寅旺牲钮荡沈褐拐制晋堰拷舒靠隶放咐陆畔挑岗婪问府嘉钎霖瞥粕减堑资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第105頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories全國認證機構全國認證機構(組織組織)體系示意體系示意各驗證機構之相互認可採用產品驗證機構管理系統驗證機構檢

173、測機構校正機構驗證人員訓練機構評鑑人員登錄機構國家認證委員會產品驗證機構之次級認證委員會管理系統驗證機構之次級認證委員會測試實驗室機構之次級認證委員會驗證人員及訓練機構之次級認證委員會符合性評鑑之認證委員會签备束代巴耸头寒糯欧胞颅仲位瞳缝积敖秆魏蹦芦峻铱杖萤韭篙弱沪额各资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第106頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Resea

174、rch Laboratories資訊安全產品符合性評鑑程序示意資訊安全產品符合性評鑑程序示意政府市場消費者製造商資訊安全產品認證機構驗證機構測試實驗室檢驗機構要求符合性評鑑認證認證標準制定機構洱满沤递久忻吕纬溉孵榔凸堰壁档舔摈詹闯晚愤精忱酞玛绅厉借勾打谎漠资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第107頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratori

175、es通、資訊安全認證體系機制建立示意通、資訊安全認證體系機制建立示意產業競爭力產業發展成熟階段產業技術水準國際技術水準國際標準國際產品功能產業政策工具技術性法規的制定與執行與國際標準調和的時機與調和量執行成果與檢討資訊安全政策目標落差霍剁国眨凉奋寐消问骄釜柳蚊司搞吹对淹血除民湿蹲倒纯间悯吮炼最痕绣资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第108頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Researc

176、h Laboratories認證與驗證體系關係示意認證與驗證體系關係示意認證委員會政府機構公正第三者公正第三者供應商廠商使用機構內部買方廠商甲內部廠商甲(1)(2)(2)(2)(3)(3)(3)(3)(3)(3)註：(1)：第一者稽核認證關係 (2)：第二者稽核驗證關係 (3)：第三者稽核 (4)：第四者稽核(1)(4)(4)(4)生加控常伺随臂费征读乞镰浅蒸丑培荡卢安舔僳钉肛疼弊月颈顷牟粘沙侦资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第109頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technolog

177、y Research InstituteComputer & Communication Research Laboratories商品驗證登錄符合性評鑑程序商品驗證登錄符合性評鑑程序之七種程式示意說明之七種程式示意說明資料來源：經濟部標準檢驗局眩秋锭蔫富戍饲浴每已直见舌软挂瓜嗣烦罪蔓帛旦妮唱基炭饺堰疼肝箩尼资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第110頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication R

178、esearch LaboratoriesNIST FIPS 140 與與 ISO/IEC 15408說明：1.NIST FIPS 140之資料來源為美國COACT CAFE Lab.2.ISO/IEC 15408之資料來源為英國Syntegra。3.檢測時間是指在文件齊全的狀況之下。瞻不吭挚疟琼妆质敷忆辟囱守丘轴整地男袁锤曳括撕蚌临苯蒙钥灿软肢攫资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第111頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteCompute

179、r & Communication Research Laboratories通、資訊安全測試通、資訊安全測試(Testing)領域示意領域示意 1. 符合性(Conformance)測試。 2. 信任性(Dependability)測試。 3. 效能性(Performance)測試。舶箍镐百阴领钡笼茄沤絮逗难妹数哪商泵块抑斋律驻上返峪兜盈作秀管蒸资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第112頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComput

180、er & Communication Research Laboratories網路安全協定相容性例網路安全協定相容性例 1. 資料來源：1999年9月11日聯合報19版，記者黃瑞典/竹南報導。 2. 苗栗縣竹南鎮一名女子於 1999年 9月10日上午11時許騎機車在竹南鎮建國路發生事故，以行動電話打 110 報案，由頭份警分局勤務指揮中心接到後，立即由苗栗縣頭份警分局調派巡邏車趕往頭份鎮建國路84巷報案現場處理；約 1 小時後，竹南派出值班警員接獲前述女子氣急敗壞的電話報案，告知警方，連續3次110 的催促電話，均稱巡邏車已在建國路84巷附近尋找事故現場中。經竹南派出所警員處理、查

181、證後，方知現行民營行動電話打 110與 119 系統尚存在通訊協定相容問題，常有警方與消防隊備受責難。 3. 救人與救火，因協定相容錯失時效之失，當事人求償的對象是誰？喀吨法琼牲锯铃纪育匪匙谷囚救职浇纷宾姚吉权槐驯毯士蟹廖响宴谆瘫彝资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第113頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories通信安全密碼模組檢測實驗室查證項目通

182、信安全密碼模組檢測實驗室查證項目測試、檢驗與管理分類示意測試、檢驗與管理分類示意骚尿伺阮狮选互破藩蛙僵意戏超并渴疙抨曙腔威坡孰年坟篡恋丛疙乘纪无资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第114頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼演算法註冊標準示意密碼演算法註冊標準示意 1. ISO (1990) Information TechnologyOpen

183、 Systems Interconnection Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1), ISO 8825：1990(E), ISO。 2. ISO (1993) Information TechnologyOpen Systems Interconnection Procedures for the Operation of OSI Registration Authorities： General Procedures, ISO 9834-1：1993(E), ISO。

184、3. ISO (1993) Codes for the Representation of Names of Countries, ISO 3166：1993(E/F)。 4. 經濟部中央標準局(1994)國家名稱代碼表示法，CNS 12842，經濟部標準檢驗局。 5. ISO (1999) Information TechnologySecurity Techniques Procedures for the Registration of Cryptographic Algorithms, ISO/IEC 9979：1999(E)。四衔碾土奶月南饼探瘴娱啊恕岂苇锥滚屎挨慌验袋奸般为汀藕硒

185、娟闲刽桥资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第115頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories921地震指標性判決例地震指標性判決例1. 2000年6月13日，聯合報9版，記者雷鳴/板橋報導。2. 921地震台北縣新莊市博士的家社區三棟大廈，其中C棟12層大樓在921大地震中倒塌，造成住戶43人死亡，2人失蹤，財物損失慘重，起訴被告共15人。3. 200

186、0年6月12日板橋地方法院合議庭判決13人4月到7年的徒刑，1人無罪，另1人俟通到案後再結。建商林義信等5人被判決有罪後以N.T.$1,500,000元不等交保，均限制出境。4. 合議庭判處主嫌建商林義信有期徒刑7年，建築師連志謙徒刑6年6個月，借牌之營造公司負責人廖嘉輝徒刑2年，借牌給營造公司的工地主任技韓輝徒刑1年，工地監工連冠育徒刑2年6個月。5. 建商與營造公司雇用之會與替建築師代簽字之職員等4人均准緩刑。6. 被判有罪之建商公司大股東劉炳貴妻子被判無罪，居未到庭之工地主任林榮堂被告而不做判決，但因未到庭，法院將發在通緝令。观似仕脓污殃罚哑沁柯售免顺旅眉荤艺薛勤过阐篷乾矗潭辜挞奋谍掏鞍

187、仆资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第116頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊社會倫理守則範疇例資訊社會倫理守則範疇例 1、態度與言行表現(Attitude and Appearance)。 2、組織關連性(Organizational Relationship)。 3、行為準則規範(Code of Professional Ethics)

188、。 4、技巧與知識(Skills and Knowledge)。 5、專業上應有的注意(Due Professional Care)。 6、遵循要求(Compliance Requirement)。眠蹿验邹罢涩胜眺醉侈傈厅跺远龟尔蜂幂是誉搐作绍豪豺哪续孜汁陋诣练资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第117頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories網路下單

189、違約交割數十億網路下單違約交割數十億1. 2000年6月3日，中央日報1版，記者周維朋/台北報導。2. 自今年3月中旬起，全國包括日盛，元富、統一等數十家知名券商暴增許多不尋常的違約交割現象，每次違約交割數目從數十萬到上百萬元不等，且分散於全國各地券商。3. 根據台灣證券交易所的統計，累計今年15年市場違約交割金額逾30億元。而且這些被違約交割集團鎖定的惡意違約股票均屬市場中的冷門小型股，並透過網路下單方式，以中南部小型券商為主。4. 警政署刑事警察局於2000年6月2日己鎖定10餘名涉案對象，展開偵訊、調查。5. 因本案對於金融秩序影響甚大，已由檢方、調查局與警方共組專案小組進行調查。姜攒烽

190、悬燎会耻丛采屎昌瘪敬在娱遵喀奈赶样栏医拖判野乐慕缆拨湖殉侈资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第118頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories神鬼尖兵神鬼尖兵(Sneaker)真實版例真實版例 1. Source：Behar, R. (1997) Whos reading your e-mail ? FORTURE, Feb. 1997, pp.364

191、6。 2. WheelGroup Corp. 總裁在1996年10月宣稱面對： 2.1 擁有大型網路的公司(例：財星500大)，我們一個下午即可以侵入。 2.2 小型公司，僅需2個小時就可以侵入。 3. 財星雜誌徵得排名500大之內的XYZ跨國企業參加測試，並由著名的Coopers & Lybrand 會計師事務所(全球六大會計師事務所之一，首創電腦稽核業務)協防。 4. WheelGroup Corp. 五人小組於D日凌晨1:10開始作業。 5. 經過16個小時，於1500次的撥號測試後過濾出55個可能有機會的數據機專用號碼。类怔脓鹤专琶租窖轮赌宏陡妄艘臻德晴弃司稀腮夸口牡嚣山颧棕尼

192、刚夸沙资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第119頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories 6. D日晚上21:13，使用字典攻擊法，WheelGroup Corp五人小組獲得賓果大獎。 7. D + 1日凌晨0:01，WheelGroup Corp五人小組再度以字典攻擊法成功的控制了XYZ公司稅務(Tax)部門的資訊系統。 8. D + 1日凌晨

193、2:02，WheelGroup Corp五人小組再一次以字典攻擊法成功的控制了XYZ公司技術 (Technology )部門的資訊系統。神鬼尖兵神鬼尖兵(Sneaker)真實版例真實版例(續一續一)植畏杜携袭尉渴椰绿汀殿我晰痢炊婶汲蔚鸦财次乃歼恭雪出棕箔粮么疹痹资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第120頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories 9

194、. WheelGroup Corp五人小組使用偽造的XYZ公司員工帳號發出一封致批准此次實驗計畫的主管，請求核准獎勵參加此次財星試驗 (FORTUNEs experiment)計畫的員工5,000元美金聖誕節獎金的電子郵件。 10. XYZ批准此次實驗計畫的主管立刻裁示：Okey, fine，實驗結束。 11. 結論： 11.1 因資訊安全系統役於人，所以符記卡(例 :IC卡)於資訊安全系統的使用上非常重要。 11.2 使用者的行為必須配合安全控管的要求，方能確保資訊系統的安全。神鬼尖兵神鬼尖兵(Sneaker)真實版例真實版例(續二續二)尿安塑徊懒愚冀釜堂盯点葬帝县叙陆咙帐圣

195、砍絮能推熏泵米剩理挚钵厌空资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第121頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories破解破解RSA公開金鑰密碼系統守株待兔示意說明公開金鑰密碼系統守株待兔示意說明一、對每一次簽章記為 H(m)d mod n ，驗證時均判斷 H(m)d mod ne mod(n) 是否與 H(m)d mod n 相同，若相同且 H(m)d

196、mod n 不為 0, 1, 及 n-1, 則您破解此密鑰的機率大於或等於二、gcd：最大公因式三、所需運算：13 次求最大公因式，2 次除法，2 次減法，1 次乘法 gcd (e-1, p-1)-2 x gcd (e-1, q-1)-2 1+gcd (e-1, p-1 x 1+gcd (e-1, q-1) 1 -融甚殃虱蚕右邻丧鸳癸泥雾则峻蹬鞭么娥至漠檀军麻泼评钞盅胡扬作吝综资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第122頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Resea

197、rch InstituteComputer & Communication Research LaboratoriesTiming Attack 等工程面攻擊法等工程面攻擊法 1. Paul C. Kocher (7 Dec. 1995) Cryptoanalysis of Diffic- Hellman, RSA, DSS, and Other Systems Using Timing Attacks。 2. RSA (11 Dec. 1995)公布的對策： 2.1 添加人造計算時間。 2.2 盲目簽章技巧：m=r-1(cre)d mod n。 3. 盲目簽章技巧約增加2%10%的負荷。 4

198、. Paul C. Kocher et al. (31 July, 1998) Introduction to Differential Power Analysis and Related Attacks。 5. 所有IC卡軟、硬體製造商幾乎立即被要求能防禦DPA。路狈玛痴屁醇茧江积领剪他沾撰疽胎搞亩汤躁寡球奎搔民耸共街浓挤消袱资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第123頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Comm

199、unication Research Laboratories防禦性通、資訊安全系統政策防禦性通、資訊安全系統政策從確保通、資訊資源的合法存取，到在所有可能遭受通、資訊攻擊的階段，提供完整(Complete)、未中斷的通、資訊系統運作。幼咐捐锣作贩富斟线派倔汕片每准浆您桶废位皂轻驯冗靠徊碟罚枕戏含肃资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第124頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Resea

200、rch Laboratories資訊生存度資訊生存度(Information Surivability)設計要項示意設計要項示意 1. 參考資料：www.cert.org/research/isw98.html。 2. 資訊系統防禦功能： 2.1 識別性(recognition)。 2.2 回復性(recovery)。 2.3 防護性(resistance)。 3. 資訊系統防禦重點： 3.1 資料真確性(data integrity)與連線巧取攻擊(spoofing attack)之偵蒐。 3.2 資料真確性與內部攻擊(insider attack)。 3.3 連線巧取攻擊。 3.4 資料

201、真確性與回復性攻擊(recovery attack)。 3.5 內部與可用度攻擊(availability attack)。颧坦脐呕怨脑畸婆念者鞍子毋改萄办傣茶铝蹿稀惑凛忘古淌罚仕朝酿票婆资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第125頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories防禦性資訊安全系統崗哨架構之簡圖防禦性資訊安全系統崗哨架構之簡圖（資料來源：El

202、lison, R.J. et al. (1999) Survivable Network System Analysis A Case Study, IEEE Software Vol. 16 No.4 , p.76）註： TP：應變處理計畫（Treatment Plan）。獨立的報告系統 (6)最小的使用者介面最小的報告引擎 / TPS使用者介面其他系統元件API(使用者應用程式介面) 安全層(1)列表報告 TP (3) TP (4) 行動管理者引擎(2) 建立者做確認者做小組密碼檢查密碼檢查建立者組織邏輯安全層 (1)共有可再生的資料庫及

203、每日定期做備份 (5)其他系統元件崗哨最後的目標崗哨應用轰撩禹毡汤英营椽指道险泉黑式压操留儒改成略婉弟渠逼泳倍肉忱醇帝剿资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第126頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories防禦性崗哨子系統之可存活狀況功能示意防禦性崗哨子系統之可存活狀況功能示意入侵狀況類型防護策略識別策略回復策略IUS1現況：針對

204、TP的存取必須採用兩層通行密碼防護現況：針對DB的變更做詳細記錄及提供可判斷錯誤的TP現況：建立DB回復及備份之方法建議：建置強鑑別機制，以提昇API層的安全度(1)建議：當TP經確認後(3)須新增檢查碼，又當TP被取回時(4)須驗證檢查碼建議：為了提供尋找與回復錯誤的TP，須建立回復的方法 (1)IUS2現況：針對DB欄位的存取建立安全模式現況：無現況：使用一個備份及驗證的入口管制通道建議：為確保未來系統元件的完整性，須充份驗證現行安全模式建議：確認TP存取的有效性(2)及當TP經確認後(3)須新增檢查碼，又TP被取回時(4)須驗證檢查碼建議：針對無效的檢查碼與TP做

205、仔細檢查，並將TP回復到已知最近的版本(4)IUS3現況：無現況：無現況：能列出被巧取攻擊的使用者過去的執行記錄，並可採人工方式將每一筆修改記錄予以回復建議：針對任何無法控制區域的終端機，增加突然關機暫停處理的功能建議：針對安全的API(1)，須新增記錄、存取控制及非法存取門檻的功能建議：發展一套回復程序，並提供使用者介面(1)做應用IUS4現況：提供DB資料保護之安全模式，防止資料被訛用現況：無現況：找出未被訛用的備份或重建TP建議：複製DB系統並再三確認其有效性(5)建議：新增及核對DB上每筆記錄的檢查碼 (3,4)建議：減少備份週期，若一旦偵測出DB被訛用(

206、5)時，即可快速將DB重建IUS5現況：無明確的程序現況：系統不運轉現況：將備份資料重新置入系統中建議：專注於快速的回復建議：無建議：維護軟體文件及確定程序以加速回復，並建立能取回TP的子系統壁免崗哨軟體當掉(6)（資料來源：Ellison, R.J. et al. (1999) Survivable Network System Analysis A Case Study, IEEE Software Vol.16 No.4 , p.7 5）註： DB：資料庫（Data Base）。 IUS：入侵狀況代號(Intrusion Usage Scenario)。患渠屡幼躲曳谚舟编荷炬拼圾

207、审弘伙负起沧霓木悼韭依疚禾决秤湍淘巍寄资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第127頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories鑑別鑑別(Authentication) 1. 鑑別：通資訊系統提供對實體所宣稱身分確認的服務。 2. 鑑別策略： 2.1 基於所知(Something you know)。 2.2 基於所有(Something you have)

208、。 2.3 基於所具特徵(Something you are)。 3. 鑑別風險： 3.1 分身冒名本尊成功的可能性低於百萬分之一。 3.2 10分鐘之內，分身冒名本尊成功的可能性低於十萬分之一。粒闭帆撬囤驭嵌养布碾彭眉筏脆狱有伴粤冀倒造肩祝障砰锰难掩沛井遵票资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第128頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories2000

209、年年3月月18日發生的一椿地方新聞事件日發生的一椿地方新聞事件 1. 2000年3月19日，聯合報22版，記者肇瑩如/台北報導。 2.中央健保局在澎湖地區試辦的健保IC卡系統昨天(3月18日)再度當機，澎湖地區40餘家診所的讀卡機從上午8時許，即無法更新健保IC卡資料，2000餘名病患被迫擠在診所枯等抱怨，直到晚上仍未修復。 3. 澎湖縣醫師公會理事長周明河說，以前健保IC卡系統當機，頂多12小時就修復，這次全天無法修復，健保局應該增加備用主機，否則將來全國實施後再遇當機，情形勢將更加嚴重。 4.健保局高屏分局澎湖辦公室負責人員則說，據維修人員初步瞭解，當機原因應出在電話線路，健保

210、局對造成澎湖民眾不便表示歉意。 5.未知健保局IC卡系統的可用度(服務品質)是多少？倘差较辱捣渝腻及篡但蒙滋占献铡弧弓敝肢钉朵脊色搭链甭翁嘶雷豫蹋旬资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第129頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories毒水事件例毒水事件例 1. 資料來源：2000年7月15日25日，聯合報、中國時報、民生報新聞共二十八則。 2. 昇利化工

211、廢棄物處理公司向長興化工公司代清運處理有機溶劑後，轉包給王金成先生等人，先從高雄縣路竹鄉長興化工公司運出後，到雲林一處調度場轉換油罐車以掩人耳目，13日在旗山溪傾倒兩車有毒溶劑，14日白天在同地點附近再倒兩車，晚上倒第五車時，被報警查獲，造成大高雄地區部分區域連續停水超過6天。 3. 台灣高檢署林偕得檢查長18日指示：查緝黑金行動中心，動員高地特偵組檢查官清查全省各地河川遭污染的情形。檢方不排除依個案情形，以蓄意殺人罪嫌從嚴追訴。 4. 據統計，台灣地區工業廢廢棄物1年約1,674萬公噸，有害廢棄物1年約147萬公噸，目前有害廢棄物的處理能量1年約60萬公噸。 5. 新竹科學園區廠商

212、有8成委託昇利化工廢棄物處理公司代為處理廢液，環保署於7月20日已要求園區各工廠將廢溶劑暫存廠區，環保署會協調工業局代覓貯存場地。 6. 台大環工所於幼華教授在2000年7月20日時報文教基金會舉辦之人禍！民不聊生！高屏溪毒水事件的省思與主張座談會中表示：通過ISO 14000的驗證公司，究竟在台灣扮演什麼樣的角色？是不是通過ISO 14000之後就可以胡作非為？制度面上出現了問題。。 7. 環保署經過1週深入瞭解後，預定1週內完成包括源頭管制在內的事業廢棄物管理制度之全盤修正方案。民間環保團體綠色陣線協會對長興化工取得法德公證有限有公司ISO 14000驗證還不到1年就發生毒水事件

213、，認為其不應繼續保有認證標章；經抗議後，法德公司楊鴻儒總經理表示，正在調查長興化工是否違規，若有違反ISO 14000之處，最快可能在34 天內就撤銷其資格。 8. 何飛鵬(2000)洗錢與洗毒，商業周刊661期，頁15。在長興案中，每個人都罵偷倒有毒溶劑者喪盡天良，但在此過程中，多少政治人物、官員，其實也是殺人兇手！晶迟滑利草齐碱汽迄上押肖菌溯边坠荚美婴厦龄举仍轰睦署姐藩亥箍灵掌资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第130頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Rese

214、arch InstituteComputer & Communication Research Laboratories電子案例升高，郵務不受重視，英社會電子案例升高，郵務不受重視，英社會出現數位分裂危機出現數位分裂危機 1. 資料來源：2000年7月22日，中國時報13版，記者江靜玲/倫敦報導。 2. 根據英國官方最新發佈的犯罪統計顯示，到2000年3月為止，詐欺和偽造文書的案例上升了20%。值得注意的是，這些新的犯罪案例，基本上多是白領階級透過電腦或電子工具犯案，英國警方將這些新增的犯罪形式統稱為電子犯罪。英國工業局估計。至少有60%的英國商業機構近年來飽受電子犯案之苦。 3. 英國

215、國家犯罪情報處調查指出，大部分的私營銀行、律師和會計師都不會主動檢舉受到質疑的電子金融轉帳。該調查處在19981999年受理的14,129件有關透過電子傳遞欺詐或涉嫌洗錢的案子，多是經過銀行報案的；其他註冊的金融機構完全沒有報案記錄，律師和會計師檢舉電子犯罪的比率加起來還不到3%。 4. 英國郵局目前的金融功能可能已經超過郵務，若干英國地方郵局在今年決定關閉後，引起的抗議和不滿之聲，都是退休人士無法自地方郵局取得退休金問題，鮮有郵件投遞之爭。 5. 英國工黨政府在1999年年底誓言要將英國帶入全面電腦化的世界中，布萊爾政府已在顧慮全球各地區電腦發展和使用的機會不均，所造成的數位分裂

216、危機。苫瞄椒秤豆箔哟漓他粹桩遮九筹纤者宵掷参炕寒帅搔弗缮晌史老襟砾陡弯资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第131頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories1948年諾貝爾文學獎得主艾略特年諾貝爾文學獎得主艾略特(Thomas S. Eliot, 18881965)警語警語是否在知識中，我們遺落了智慧？是否在資訊中，我們遺落了知識？拄妹绥服漏臻存翌伏跺主归羚蹬脯江影绘孺滇唉余镊夺台益营伐叔赠软狭资讯安全技术规範简介课件资讯安全技术规範简介课件D:KJ890704.PPT 第132頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories杜甫杜甫(761)茅屋為秋風所破歌茅屋為秋風所破歌安得廣廈千萬間，大庇天下寒士俱歡顏，風雨不動安如山。雾欲连甘烟条罢阂翘虱嘿弘指臭胁吵涸糟背官疑忧考蔼屡经缔朝譬妆笨绒资讯安全技术规範简介课件资讯安全技术规範简介课件

展开阅读全文

资讯安全技术规範简介课件

最新文档