资讯安全技术规範简介ppt课件

资源描述

《资讯安全技术规範简介ppt课件》由会员分享，可在线阅读，更多相关《资讯安全技术规範简介ppt课件（132页珍藏版）》请在金锄头文库上搜索。

1、D:KJ890704.PPT 第1頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊安全技術規範簡介資訊安全技術規範簡介壹、前言貳、通資訊安全認證體系初探一、密碼模組檢測淺析二、工作平台(Platform)通資訊安全驗證簡介三、通資訊系統安全控管概述參、通資訊系統的安全與防護工業技術研究院電腦與通訊工業研究所樊國楨中華民國八十九年七月三十一日窒驴愉键带缕台句婿靖柜舶审毯亭栽阶服绥婪肛

2、失卿殆舶诫掖摘良恕抓酣资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第2頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子資料的特性與資訊安全電子資料的特性與資訊安全一、電子資料的特性 1. 資訊內容是: 磁性物質的磁化狀態及半導體物質的電子狀態電磁波或光、電訊號 2. 儲存媒體是: 磁片或記憶體晶片電纜線、光纖或大氣層(無線通信) 3. 在處理、儲存

3、及傳輸過程中容易被篡改、變造而不留痕跡物質的磁化狀態及半導體物質的電子狀態蚌箔幽宝矛鞭俘气侮分谁谁瑟破踩汞劫册庶测导荤都运丸沟裔眶锅藐熊拽资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第3頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子資料的特性與資訊安全電子資料的特性與資訊安全(續一續一) 二、資訊安全技術的普及 1. 十九世紀末期，電報日益普及，

4、於軍事、外交與商業等需要注意資訊安全的環境中，已大量使用密碼技術處理(例：清光緒五年(西元1879 年)，清朝已開始使用密電)。 2. 隨著電子科技的一日千里，資訊設備已進入社會大眾的生活中，密碼技術的日益普及已指日可待。 3. 資訊安全是科學(數學)、工程、社會學等的跨領域整合技術。郁钾则红绦燎养致帆式罚嫁副骆没倚坏一拙篷蒙寐狐布之茹肘玉沁剧酪际资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第4頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Instit

5、uteComputer & Communication Research Laboratories電子資料的特性與資訊安全電子資料的特性與資訊安全(續二續二) 1. 具有高度專業性：民國八十二年五月，台灣地區破獲的首次偽造金融卡案，即為典型。 2. 與行為人職務關係密切：民國八十四年六月，台灣地區破獲有史以來人數最多的(32官、23商)的隱私權案，即為典型。 3. 具有經濟犯罪性質：民國八十四年八月，台灣地區爆發的一百億元國票事件案，即為典型。 4. 偵察困難、蒐證不易：民國八十四年十二月，台灣地區發生的對美國柯林頓總統的電子郵件恐嚇信案，即為典型。 5. 犯罪技術可遙控犯罪且犯罪

6、行為人常甚少或無犯罪感：民國八十四年十一月，第一個被稱為悍客(Craker) 的資訊安全專家 Peal 駭客 (Hacker)被捕例，即為典型。 6. 智慧型犯罪：民國八十五年二月，台灣地區爆發的積體電路佈局被離職員工修改案，即為典型。三、資訊犯罪的特性渗篡侧狂琼需批糠窗卫石咆舰司株曼处炭疑够午弹蝇杰涵确牺瓮恳护爪屿资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第5頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Comm

7、unication Research Laboratories 一、有記錄的非授權使用資訊系統事件較1996增加7%： 1. 金融服務：51%2. 聯邦政府：53% 3. 製造業：57% 二、超過60%的資訊系統可用現有之低花費工具侵入，測試樣本： 1. 銀行機構：660 2. 電子新聞機構：312 3. 信用機構：274 4. 聯邦政府機構：47 5. 網際網路色情網站：471 6. 萬維網站(World Wide Web) ：1700 三、249個單位之有記錄的損失為U.S.$100,119,555，其中： 1. 26件金融事件，損失平均金額：U.S.$957,384 2. 35件電信事件

8、，損失平均金額：U.S.$647,437 1997 CSI(Computer Security Institute ) / FBI(Federal Bureau of Investigation ) Computer Crime and Security Survey 摘錄摘錄绢释龚酷瘴器蹦舜甩鳖洞斧桓岳党汇铱惜埋莱硒己琉立雪绝哀僧仍俘钉佩资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第6頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComput

9、er & Communication Research Laboratories1999年年CSI/FBI Computer Crime and Security Survey摘錄摘錄 1. 外部侵入： 1.1 30%。 1.2 連續3年上昇。 1.3 網際網路之比率由37%昇至57%。 2. 內部非授權存取： 2.1 55%。 2.2 連續3年上昇。 3. 竊取有價值之資訊：26%。 4. 嚴重違反資訊倫理：由17%昇至32%。 5. 一葉知秋亦或只見一斑？否层芹惋神捕愈怂婿摩衙岁兽瞒巳变孔匙五链狙话灼恨义贩盼禹痘兵鹅兜资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ89

10、0704.PPT 第7頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊犯罪金錢損失暨發生率分類示意資訊犯罪金錢損失暨發生率分類示意 1. 資料來源：Power, R., Editorial Director, CSI (Computer Security Institute) (2000) 2000 CSI/FBI (Federal Bureau of Investigation) Compute

11、r Crime and Security Survey, Computer Security Journal. Vo1.12, No.6, pp.3349。 2. 資料樣本：在4,284個樣本中，643位美國政府金融、企業與大學等機構資訊安全專業代表作答。 3.內部非授權存取竊取資訊財產通訊詐欺財務詐欺電腦病毒竊取膝上型電腦$ 22,554,500.-$ 66,708,000.-$ 4,028,000.-$ 55,996,000.-$ 29,171,000.-$ 10,404,300.-濫用內部網路服務被阻絕破壞與損毀系統被侵入通訊竊聽主動竊聽U.S.$ 27,984,740.-U.S.$

12、8,247,500.-U.S.$ 27,148,000.-U.S.$ 7,104,000.-U.S.$ 991,200.-U.S.$5,000,000.-71%20%11%11%40%60%79%27%11%25%7%1%資訊安全威脅損失金額(單位:美元) 發生率資訊安全威脅損失金額(單位:美元) 發生率新丫要帅眉炭骋细宽产闺鄂斯老诵苍睛捷蛆祥勃胃险蛙藐帕纬症幅融瞬军资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第8頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Researc

13、h InstituteComputer & Communication Research Laboratories櫃員機存假鈔領真鈔例櫃員機存假鈔領真鈔例 1. 中華民國八十七年八月十二日，聯合報第五版，記者雷鳴/板橋報導及記者李莉衍/台北報導。 2. 板橋地檢署檢查官吳宗光指揮憲警人員偵破歹徒利用無人銀行自動櫃員機存入面額一千元的假鈔，再到別台櫃員機提領出千元真鈔的犯罪方式，已有兩家銀行發現三百多張近四十萬元的千元假鈔。 3. 無人銀行存款業務，暫停服務；新台幣改版後，磁性條可防幣。汞郑樊仕奔赢摈串烹昨帚习晨螺奖瞅碗佰茹亮川继碱赘淹臭匪耙倦振耍答资讯安全技术规範简介ppt课件资讯安

14、全技术规範简介ppt课件D:KJ890704.PPT 第9頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories假磁卡挑戰日本電話局假磁卡挑戰日本電話局亞洲週刊1997年11月3日9日，頁134136，莫邦富報導： 1. 不法外國人假造電話磁卡，日本電話公司煞費苦心圍堵，造假者輕易拆招，公司無端蒙受巨大損失，消費者被迫重返投幣打電話時代。 2. 不法之徒也假造柏菁哥彈子機的磁卡，令業者蒙受重大損失。

15、店主無奈，只好拒絕可疑的顧客入內。罚婪酉蓬捷恤坷夜讲序创撕衔喉呜狮滞汉黎纠崭旁涩叮葬南腹威疆虑瑰茬资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第10頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子商務的木馬屠城計案例電子商務的木馬屠城計案例亞洲週刊1997年3月3日3月9日，頁5859： 1. 1997年2月17日，快捷(Quicken) 家用理財套

16、裝軟體，因經由微軟(Microsoft)公司的網路瀏覽器，可透過 Active-X 施展木馬屠城計，使快捷自行自動轉帳事件，正式建議客戶考慮停止使用微軟公司的 Active-X。 2. 1997 年2月19日，微軟公司由資深副總裁就此事提出說帖，強調其競爭對手網景 (Netscape) 公司和昇陽 (Sun Microsystems) 公司的產品，同樣有安全顧慮。揍挣藏炎形振虱赊蕉莹嘲意毯院见创冯气犯挚养随锦降碾猖腰暑叶冯手获资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第11頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通

17、訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子商務的木馬屠城計案例說明電子商務的木馬屠城計案例說明 1. 當有人使用微軟公司的網路瀏覽器接上他們的網站，就會不知不覺地吃進一個微軟的 Active-X 程式。木馬。 2. 木馬會在使用者的電腦上暗中尋找快捷，找到後就秘密地將一個電匯指令插入快捷工作檔。 3. 使用者與銀行連線時，電匯指令執行五鬼搬運工作。德國Chaos Computer Club成員之一的Lutz Donnerhake先生在漢堡電視上

18、表演如何將別人的銀行存款直接轉入自己的瑞士帳戶：垮蜀柒漏赫巩铆绢浙涡营敬存颤舶屎薯举雇身烬毯鸵藉衣饮虚趾舅皖上矮资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第12頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories國票事件作業流程示意國票事件作業流程示意台灣銀行信託部營業部國票板橋分公司正副主管營業股國票總公司作業部營業員交割員國票之支存帳戶股票市場人頭帳戶其

19、他金融機構假成交單盜製之商業本票交割員(楊某)假成交單盜製之商業本票營業員(楊某)主管(楊某)盜製之商業本票副主管(楊某)交易刪除畫面假交易之賣出成交(4)將盜製之商業本票賣給台銀信託部(2)列印假交易之融資性商業本票賣出成交單(1)盜製商業本票 a. 盜取空白本票 b. 盜刻客戶章 c. 盜蓋保證章、簽證章(3)立即將假交易從電腦刪除(14)回籠買進成交單假交易之賣出成交附條件買回交易賣出成交(8)根據楊某所言列印置附條件買回交易賣出成交單 a. 人頭戶名稱 b. 該款項撥款帳戶 c. 天期、利率(9)依附條件買回交易解約(交易到期) 程序列印買進成交單(10)依據買進成交單撥款

20、(7)電話偽稱該款項為楊某人頭戶買票金額(6)台銀營業部電話照會款項入帳(5)撥款$(12)炒作股票$(11)撥至人頭戶$(13)還款給台銀信託部，以贖回本票$渣眠伍撬铲饿咯觅懒翠尖麦雪龟皖佛众捐边蜘纹择圈雍汁阑拷写嫩嗅澎谭资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第13頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories假交易真退錢例假交易真退

21、錢例 1. 1999年1月27日，聯合報9版，記者陳金章/台北報導。 2. 1998年10月間，任職屈臣氏晴光店收銀員的范蕙玲小姐，因使用信用卡刷卡購物三萬元而沒錢可繳，就使用店內刷卡機刷卡及按退貨鍵數次，再向發卡銀行查詢，發現她的信用卡上沒有任何消費記錄；而且在不需要刷卡機的授權碼的狀況下，聯合信用卡中心又將她的刷卡金額三萬元向商家扣款轉到她的帳戶中。 3. 范小姐因故離職後，仍回店趁同事不注意時，利用此聯合信用卡中心和商店退貨漏洞連續盜刷，從1998年10月21日起到1999年1月16日止，使用慶豐及台新兩家銀行信用卡共盜刷一百六十多萬元。 4. 1999年1月16日，聯合信用卡

22、中心發現屈臣氏晴光店單日兩筆刷卡金額分為四十九萬多元及三十九萬多元，總額近九十萬元，遠超過該店平常營業總額，同時該店已有數日未進帳，誤認該店已倒閉而遭不法集團盜刷，經電話查詢後，發現該店仍在營業，於是雙方共同查帳比對，發現此一漏洞，而且查出盜刷者後報警處理，於1999年1月26日查獲范小姐，范小姐坦承犯案後已被移送檢方偵辦。 5. 可信賴的資訊系統存在的不安全性如何評估？如何防護？如何控管？卫砧啼奇竣瞩馅魂伏匈栗逻邪呵鸦弃肃春喘殴漆悦锦栗饯迷转疡一终掳营资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第14頁工業技術研究院工業技術研究院電腦

23、與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories關鍵設施脆弱性例關鍵設施脆弱性例 1. 資料來源：1999年10月9日聯合報9版，記者劉明岩、林榮/連線報導。 2. 華僑銀行彰化分行1999年10月8日傍晚發現彰化市金馬路忠孝加油站的跨行提款機遭異常提領，於1999年10月8日19時許向彰化分局中正路派出所報案。 3. 台中六信人員表示，最近電腦更換程式，因操作人員不熟悉新程式，電腦判讀錯誤，從1999年10月8日1時44分起至

24、1999年10月8日9時止，造成系統失靈。 4. 台中六信客戶張祈耀先生於1999年10月8日6時至8時間，在彰化市金馬路忠孝加油站提款機領取現款時，發現不但未受跨行之領取金額限制，餘額還有290多億元，張先生一口氣領了131次，領走提款機內全部的262萬元。 5. 台中六信表示，被溢領300多萬元，已追回100多萬元。隆斧摹师琳变砖荐吐察息肿迅筐俘掀响粤私坷可词搏议证歇畅际避还阮宜资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第15頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technolo

25、gy Research InstituteComputer & Communication Research Laboratories高科技資訊犯罪例高科技資訊犯罪例 1. 資料來源：1999年12月18日，中國時報8版，記者高興宇、張企群/台北報導。 2. 1999年11月初，刑事警察局偵七隊接獲財團法人聯合信用卡處理中心報案指稱，一偽卡犯罪集團將用以盜錄的晶片植入六福客棧的刷卡機，該刷卡機故障送修時始被發現。 3. 盜錄信用卡資料使用之晶片屬高科技產品，晶片逾時未充電，其盜錄的資料會自動流失，使檢、警單位無法掌握犯罪證據，手法之高明為國內首見。 4. 1999年12月17日凌晨，

26、埋伏在六福客棧的警方在裝取記憶晶片至刷卡機中之嫌犯李俊雄先生潛入飯店中欲取回盜植的記憶晶片時，當場加以逮捕。 5. 已知凱悅飯店、鴻禧山莊、松山機場某航空公司櫃檯等均已遭毒手。屋粘伏干宙谅右腻扣赢垛尖锰鸡杯驮七松忿驱雅德墅叛翟引斟沪椒体拾里资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第16頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories進飯店植晶片，

27、製偽卡大盜刷。進飯店植晶片，製偽卡大盜刷。犯罪集團作業流程示意犯罪集團作業流程示意趁機取出刷卡機內記憶晶片利用記憶晶片讀取刷卡人使用之信用卡條碼資料製作拷貝信用卡販賣偽卡牟利或盜刷圖利偽卡集團侵入高級飯店、機場休閒度假中心櫃檯竊取刷卡機植入記憶晶片將刷卡機不動聲色放回櫃檯資料來源：1999年12月18日，中國時報8版。約二天後绑隙穴佩濒艰弃毖噪胀虹阮聚躇振歼缀疥肪圣爱榨烙媚赋畜棍枪蝴叶字喜资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第17頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technolog

28、y Research InstituteComputer & Communication Research LaboratoriesISO/IEC JTC 1/SC 27 之資訊安全技術工作小組之資訊安全技術工作小組 1. Working Group 1： Requirements, Security Services and Guidelines 2. Working Group 2： Security Techniques and Mechanisms 3. Working Group 3： Security Evaluation Criteria钱凶频诺疯敛峦盗胰旨竟航涡腋煮旋衍芒敏乞相

29、毋籍匹缉余埃嚼倚啸郊杭资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第18頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories註：1.具備B1以上功能的系統軟體。 2.在完整性、認証、存証及隱密性的安全防護機制亦應在可信賴的作業環境上建置。ISO/IEC 7498-2(1989(E) 之之 ISOOSI 資訊安全服務資訊安全服務妻位裙劫大芦姓李典玩采璃台牡潦睬剧

30、瞄纬嚣掖瘟绿裸皮澈谣诞搞且同多资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第19頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC 10181(1996(E)之之ISO OSI開放系統資訊安全架構開放系統資訊安全架構 1. Part 1：Overview 2. Part 2：Authentication framework 3. Part 3：

31、Access control framework 4. Part 4：Non-repudiation framework 5. Part 5：Confidentiality framework 6. Part 6：Integrity framework 7. Part 7：Security audit and alarms framework笑桅齿缠针羽施雀伸是诫啪壤痞雀告暴排唐肾庄涧痘颅晨御络剑乃羚楚坚资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第20頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial T

32、echnology Research InstituteComputer & Communication Research Laboratories1973年美國年美國NBS公開徵求保密系統的三個必要條件公開徵求保密系統的三個必要條件 1. 簡單易懂，但有相當的複雜度，使得要破解其系統的人必須付出很高的代價。 2. 保密的方法必須植基於加密與解密的鍵(金鑰)，而非其他。 3. 操作簡便、成本經濟、適合在各種應用中使用。账斤赚引勋尼闹棕诸煮爱诸籍迭惨奈捞悟箱北辊痒霓呀某逞侥混靡硼尊钥资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第21頁工業技術研

33、究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories秘密金鑰秘密金鑰(DES)與公開金鑰與公開金鑰(RSA)密碼系統的比較說明密碼系統的比較說明DESRSA提出年代19761977發明人IBM 及美國國家安全局美國麻省理工學院三位教授Rivest,Shamir,Adleman基本特徵加密金鑰就是解密金鑰加密金鑰異於解密金鑰主要優點加密解密速度快加(解)密金鑰可公開,而且可提供數位簽章的功能主要缺點金鑰傳送困難而且祕密須

34、共享解密速度慢、金鑰生成費時、初期系統成本高應用例UNIXMIT KerberosIBM 4753CNS 金融提款系統ISO/IEC 9594-8(X.509)Novells Netware 4Pretty Good Privacy(PGP)SNMPv2海關稅費支付系統10545牵氦蝎蟹祥诗激嫁拣硫窿单耳竞烦防孜轿侩们狂椭滩盟阁怒隶迂拥荫驮弊资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第22頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteCom

35、puter & Communication Research Laboratories安全雜湊函數安全雜湊函數H的特性的特性1. H可以適用於任何長度的輸入。2. H可以產生固定長度的輸出。3. 對於任何已知的資料，可以輕易的計算出H(x)。4. 對於任何已知的值m，找到x而使H(x)=m是幾乎不可能的事。5. 對於任何己知的資料x，找到y x而使H(x)=H(y)是幾乎不可能的事。6. 找到一對資料(x,y)，而使H(x)=H(y)是幾乎不可能的事。蔷奠填阂兢米鹤箭瞒簿师峪孺缺哲暑携着测团取锨凭浇芋李面匝敛伏俯卿资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704

36、.PPT 第23頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子文件交換作業資料完整性電子文件交換作業資料完整性及不可否認之數位簽章應用服務示意及不可否認之數位簽章應用服務示意註：1. RSA法可用DSA法取代，MD-5亦可由SHA-1取代。 2. 於簽章前使用收文方公鑰處理RSA加密，是取代現行公文交換作業中拆驗步驟的安全機制；在一般訊息交換的安全機制中，並不一定有這個步驟。 3. 公鑰均放於

37、一由驗證中心負責之資料庫中。 4. 公鑰即為公開金鑰(Public Key)，密鑰即為私密金鑰(Private Key)。簽體RSA加密(發文方密鑰)電子公文本文簽章安全雜湊函數 MD-5壓縮電子公文本文簽章安全雜湊函數 MD-5壓縮準簽體簽體比較退回發文單位RSA解密不一樣一樣RSA加密(收文方公鑰)RSA解密(收文方密鑰)(發文方公鑰)將簽體視同電子公文本文回覆發文單位後,電子公文交換作業完成公鑰資料庫具潍泅澡粪剔晃拷澜亥桂涧固最蔫堆困滨诺听州深惫国序器性靡解椰咋谷资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第24頁工業技術研究院工業技術研究

38、院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子文件交換作業資料隱密性電子文件交換作業資料隱密性及存證服務之數位信封應用示意及存證服務之數位信封應用示意註：1.明文即為上圖中之電子文件本文及其簽章。 2.密文+通信基碼視同上圖中之電子文件，本文執行電子文件交換作業；解密後之明; 文若簽章無誤,則將其文號、電子騎縫標識、防偽字組等,，視同電子文件回覆發文單位後完成電子文件交換作業。 3.DES法可用AES法取代。產製亂數明文

39、通信基碼DES加密密文DES解密RSA 解密通信基碼明文RSA 加密(session key)(收方公鑰)RSA加密(發方專鑰)RSA 解密(發方公鑰)(收方專鑰)密文公鑰資料庫4.通訊密碼之加密功能亦稱digital envelope，有如一個必須先拆封，才能看到文件內容的信封。牟沟廖尾羌池秆秉梗草贩笋茄岂截滨赖拣埃睦茨接卖碱术遇字购门渗增妖资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第25頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Institut

40、eComputer & Communication Research Laboratories公開金鑰系統密碼計算時間測量例公開金鑰系統密碼計算時間測量例說明： 1. 載具：Motorola Dragon Ball chip(64K Family)at 16MHZ。 2. 資料來源：Daswani, N. and D. Boneh (1999) Experimenting with Electronic Commerce on the Palm Pilot, LNCS 1648, pp.116, Springer-Verlag。环兼摈品字七池陇蔷品吠格音缚戊搔哥替藤粉响萎卯辰忠齐唉搭笆盈潭卤

41、资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第26頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesNetware 4、Java及及Active-X網路驗證架構示意網路驗證架構示意原程式、檔案雜湊函數產生雜湊值密鑰原程式、檔案的數位簽章服務端原程式、檔案原程式、檔案的雜湊值拒絕接受此原程式、檔案原程式、檔案的數位簽章是否相同?否雜湊函數原程式、檔案的數位簽章

42、公鑰接受此原程式、檔案是共服赋执腻澎影棱锋匪谁造驻聚乐莱怕缓炭忍这亢采究左筒膛华慌隘牙喧资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第27頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories憑證機構作業架構示意憑證機構作業架構示意使用者目錄服務應用系統符記卡註冊機構憑證機構發卡者金鑰生成識別數位憑證姓名個人識別碼公鑰專鑰Do(f,msg,PIN)F(msg.K

43、priv)F(msg.Kpriv)姓名?F(Kpub, Kca)由 RA實體查證CA 專鑰彌封安全配送安全配送從憑證推論抗竊取、竄改與偽造機制231BindingsCA(Certification Authority)RA(RegistrationAuthority)TCI(Taken Card Issuer)KG(Key Generator)祭涸噎最存摹蛙驮胜赏讯茂膊捉继韶邮皱额榴镇颤一巨商秒汤穿血冕滇妻资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第28頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial

44、Technology Research InstituteComputer & Communication Research Laboratories數位簽章驗證體系架構示意數位簽章驗證體系架構示意註冊符記卡與金鑰管理使用者註冊名稱登錄目錄金鑰產生驗證中心公鑰確認憑證資料倉儲私鑰封緘符記卡管理系統符記卡符記卡資料寫入符記卡製發符記卡使用符記卡使用資訊存取終端服務模組安全模組伺服機應用伺服機處理伺服機處理使用者使用者應用提出終端應用安全功能安全模組密碼功能符記卡資料庫終端處理終端處理符記卡資料讀出戴淳耍筐情披堆魂牙损纂诱津应介谈记淫钉众耻给袭湛秀鸯颁撕闭组悼念资讯安全技术规範简介ppt课件资讯

45、安全技术规範简介ppt课件D:KJ890704.PPT 第29頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰管理生命週期示意金鑰管理生命週期示意使用者註冊使用者啟用金鑰生成新使用者金鑰安裝金鑰更新金鑰正常使用金鑰註冊啟始金鑰新金鑰現行使用者金鑰建置協定新金鑰金鑰儲存與備援金鑰目錄金鑰回復回復金鑰金鑰未被破解之遺失失效建檔舊金鑰(過期)密碼週期滿期金鑰被破解或提前終止金鑰重新註冊與毀棄金鑰移動系統

46、啟動金鑰狀態前作業作業中後作業廢棄布淑柿入晶瘟甥尾照管增关拓在舶妈磁蚁帽释偿六掷扫响邑搀盈抱哀痢统资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第30頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰管理之目的金鑰管理之目的 1. 在使用者執行密碼運算時提供所需之金鑰。 2. 控制金鑰之使用。 3. 在金鑰的整個生命週期中提供適當的保護。渠父澈髓娱朋戮膳诛

47、压霍朔娩氯顿暴几禁磁孜传私舰隋淋促锻糟键蚊谢燃资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第31頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰管理之原則金鑰管理之原則 1. 金鑰應只以ISO 11568所允許的形式存在。 2. 沒有人能接觸到未加密的金鑰。 3. 系統需保障曾使用的金鑰之安全。 4. 系統應能偵測金鑰是否已遭攻擊。 5. 系統應能預防

48、/偵測金鑰之不當使用。 6. 產生金鑰的方式應為不可預測的。 7. 系統應能偵測出不當使用金鑰的企圖。 8. 金鑰須定期更新。 9. 在字典攻擊法奏效前須更新金鑰。 10. 得知或懷疑金鑰已被瓦解時，必須立即停用。 11. 不同金鑰之安全性不得互相影響。 12. 已遭瓦解的金鑰不得用於更新作業。 13. 在使用金鑰(load)前，密碼模組設備須證明其安全性。褪频粥褐丫侗放犹变孜檬燥捷十哨祟那契绿舞驹婉芥镊臣姜哗薪逆涌碍斩资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第32頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Indu

49、strial Technology Research InstituteComputer & Communication Research Laboratories金鑰之生命週期金鑰之生命週期 1. 產生(Generation) 2. 儲存(Storage) 3. 備原(Backup) 4. 分送與裝填(Distribution and Loading) 5. 使用(Use) 6. 更新(Replacement) 7. 銷毀(Destruction) 8. 刪除(Deletion) 9. 建檔(Archive) 10. 結束(Termination)煽赎瑶爸斩儿帅呢村怖蛔徘裙夸鞘投妊浮叉畅昏锭

50、振人辜讣操榨虾墩燃淄资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第33頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC 9594-8：1997(E)簡介簡介1. ISO/IES 9594-8 與 X.509 幾乎相同。2. X.509 的最初版本發表於 1988 年，1993 年發表第二版，主要針對 (安全) 碎映 (Hash) 函數的部份從

51、新改寫，1995年再度修訂，主要是針對建置規範提出 37 頁的修正說明 (AMENDMENT 1：Certificate Extensions)，1997年發表第三版，除訂正一些錯誤外，金鑰種類由第二版的七個增加為九個。3. ISO/IEC 9594-8 提供金鑰管理及鑑別簽證服務的協議標準。4. ISO/IEC 9594-8 採用公開金鑰及數位簽章的技術。5. ISO/IEC 9594-8 中的數位簽章需要碎映函數與其配合使用。螟奖研拍牲惨撂络束没故丁票鸽朴谬无洽攀儒晤湿湃瓤腥葬秀亥慰冗绘歇资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第34頁工

52、業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories1. 使用者的密鑰被破解。2. 驗證中心的密鑰被破解。3. 驗證中心製作不正確的簽證(certificate)。4. 驗證中心與使用者共謀舞弊。5. 偽造的簽證。6. 偽造的符記(token)。7. 密碼攻擊。ISO/IEC 9594-8：1997(E)中的防護要項中的防護要項莽伍铀傅艰那膝庐启桩呻阀恳勾漾粒霸韧署谅糕兢佛轰姨雌娃免俞柯涪棵资讯安全技术规範简介

53、ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第35頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories驗證營業作業攻擊點示意驗證營業作業攻擊點示意防火牆驗證服務工作站安全模組終端處理工作站使用者網際網路防火牆安全模組驗證服務伺服機憑證資料倉儲資料庫管理系統蒸时舜锭鸵毖鞍由毗叛偏璃渤魏狞爱变康瘁娱铺佐沥访栋晃占愁霖聪刘崎资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D

54、:KJ890704.PPT 第36頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories網際網路安全技術規範簡析網際網路安全技術規範簡析網際網路IAB(Internet Architechture Board) 於1994年6月公布的安全架構(RFC 1636): 1. 端點對端點的安全(End to End Security) :認證、存證、秘密通訊等電子檔案交換安全服務。 2. 端點系統安全(End

55、System Security) :認證、存取控制、稽核等電腦系統管理性安全服務。 3. 服務品質安全(Secure Quality of Service):可用度等網路系統管理性安全服務。 4. 網路基磐安全(Secure Network Infrastructure):強化DNS(Domain Name service)的安全服務。枷慷窿裸螺狰镰佑貉灸靴幻谗驱篓挡件提陇获啄摘淘鸿叙翅漱藕福堆老鼓资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第37頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Te

56、chnology Research InstituteComputer & Communication Research LaboratoriesCertificatePoliciesExaminationITS andPolicyComplianceTest BedTrialSystemSurveyInitialRequestRequestReviewDecisionPointPMADecisionCross-certificateIssuanceNegotiationofArrangementPhase ：Initiation Phase ：Examination Phase ：Arran

57、gement ComplianceReviewProblemResolutionChangeManagementRenewal orTerminationPhase ：MaintenanceITS：Information Technology SecurityPMA：Policy Management Authority 資料來源：Government of Canada Public Key Infrastructure Cross-Certification Methodology and Criteria, Version : Sept.22,1999,p3 加拿大政府公開金鑰基礎建設交

58、互認證加拿大政府公開金鑰基礎建設交互認證憑證實務作業基準管理程序示意憑證實務作業基準管理程序示意捏眉线捡搓知葱桑酌沉擞稿烧我婆嫁佣琳契茄沂警烬贴蜘魔隙滁淑识雨诲资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第38頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesFIPS 140與與ISO IEC 15408 關係示意說明關係示意說明描壬啦扯瓜可床室身囤咨目率萌

59、娱料墩腮诊桔误卤泉叮拒屹架郡辜贮踢酵资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第39頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories安全事件分類例安全事件分類例 1. 失事(Accident)。 2. 重大事故(Incident)。 3. 損害事件(Demage)。 4. 一般事況(Event)。 5. 發生比率： 5.1 失事 = 1。 5.2 重大事

60、故 = 10。 5.3 損害事件 = 30。 5.4 一般事況 = 600。滨辉其琼谜要奥搪惶哺语兑吨誊颐冤琵淬眼罗宝佃霞濒琴烁泉拼嚏俊胞斋资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第40頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesIEC(International Electrotechnical Commission) 1508風險等級風險等級可

61、能會有無法容忍的風險可能會有不受歡迎的風險，只有在該風險所造成的損壞衝擊不重，或改善該風險的代價高於所能避免的損失情況下，尚可容忍此一風險的存在只有在改善該風險的代價高於所能避免損失的情況下，容忍此一風險的存在只能存在極微小的風險一般個人電腦系統地方政府之資訊系統中央政府之資訊系統國家安全之資訊系統風險等級風險等級可能遭遇的風險可能遭遇的風險適用範圍例適用範圍例砷洽埂呸捌革糖腕彭补蔬萌丽拽顾骚储础蹋首播沟渝镁靶贸脏笼化染八勒资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第41頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所I

62、ndustrial Technology Research InstituteComputer & Communication Research LaboratoriesIEC(International Electrotechnical Commission)1508風險等級示意風險等級示意經常發生(Frequent) (10-3，0)可能發生(Probable (10-6，10-3)偶爾發生(Occasional) (10-9，10-6)少有(Remote) (10-12，10-9)不太可能(Improbable) (10-15，10-12)罕見(Incredible) (10-15)後果

63、後果(Consequences)災難災難(Catastrophic)危機危機(Critical)有限的風險有限的風險(Marginal)無足輕重的風險無足輕重的風險(Negligible)萎外绘缎锻粉梁培类茬炙妒钱淘览期舌骆办焙近鄙庙脾洒粤窟墙缀串摆愁资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第42頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證

64、驗證中心風險等級說明示意金鑰憑證驗證中心風險等級說明示意災難 (Catastrophic)：驗證中心密鑰或使用者密鑰被破解危機 (Critical)：金鑰憑證被偽造有限的風險 (Marginal)：電子信封秘密金鑰被破解無足輕重的風險 (Negligible)：正確金鑰憑證被拒絕接受宰足须授伸俐厘砧倾招恋过嘲武梭轰哟啮鸯割辜素官痈铰凭俗酷健瘦柄臻资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第43頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Inst

65、ituteComputer & Communication Research LaboratoriesCryptographic Support Facility(CSF)Callers of Cryptographic Support Facility:Applications and Application Infrastructure Support ServicesKey Management Support ServicesCryptographicTransformationServicesAlgorithmIndependentAlgorithmDependentClear Ke

66、y Storage(Cache)Algorithms(For example, DES, RSA)CSF ManagementApplicationMechanism 1 Mechanism 2 Mechanism 3CSFSMIBCSFManagementServicesCSF InterfacesAlgorithm Specific InterfacesSMIB: Security Management Information Base赔车袱躁矛函泡臀谎靠践本扬骑嫡霞诀痹眠苯灵姓级躲罕狙琴沦赎磕漏渗资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第

67、44頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全需求評估準則發展簡史之一密碼模組安全需求評估準則發展簡史之一1. 1982年4月14日植基於DES(Data Encryption Standard)使用者的需求，美國國家技術標準局(National Institute of Standard and Technology 簡稱NIST)公佈了密碼模組安全需求評估準則FIPS(Feder

68、al Information Processing Standards)140；也就是美國1982年公佈的聯邦標準(Federal Standard簡稱FS)1027，使用DES設備的一般安全需求(General Security Requirments for Eguipment Using the DES)。2. 1988年FS 1027的驗證工作轉由NIST負責，NIST為因應資訊技術的變遷，就FIPS 140廣徵意見，並於1989年正式成立FIPS 140修訂委員會。3. 1991年NIST公佈FIPS 140-1草案，並廣徵產、官、學、研各方面意見。禁腺遣棕猫釉低渍蜀汽泛惕率愉哼牙刁

69、孤林穿锋毙迢虏想疼培艇海弹缓巾资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第45頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全需求評估準則發展簡史之二密碼模組安全需求評估準則發展簡史之二4. 1994年1月11日，NIST公佈FIPS 140-1，將密碼模組產品的安全等級分成4級；並宣佈於1994年6月30日正式生效，同時公佈FIPS 140

70、-1的密碼模組產品(軟體、韌體、硬體與上述三者的混合體)驗證(Cryptographic Module Validation簡稱CMV)計畫。5. 1997年6月30日以後，衹准購買通過FIPS 140-1 CMV測試的密碼模組產品。6. FIPS 140-1之安全等級遵照安全(Safety)產品的分類方式。7. 植基於FIPS 140-1, Common Criteria for Information Technology Security Evaluation 著手訂定密碼模組評估準則(Evaluation Criteria for Cryptography)中，1996年3月30日公佈

71、之版本0.99b中，已將信託金鑰(Key Escrow)納入。8. 1998年5月12日，NIST於FIPS 140-1研討會中討論FIPS 140-2；FIPS 140-2將與ANSI(American National Standards Institute)X9.66調和一致。赫拦管氮屯纤勾仓帚胀执刑蛋慈聋削慷函牡寨寿应踊靴终纷津谣往川佩赎资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第46頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteCo

72、mputer & Communication Research Laboratories密碼模組測試密碼模組測試(Cryptographic Module Testing簡稱簡稱CMT)機構例機構例一、建置機構： 1. 美國國家技術標準局(National Institure of Standards and Technology簡稱 NIST)。 2. 加拿大通訊安全組織(Communications Security Establishment 簡稱CSE)。二、NIST FIPS PUB 140-2密碼模組驗證(Cryptographic Module Validation Prog

73、ram, 簡稱CMVP)計畫相關密碼標準： 1. NIST FIPS 46-3- Data Encryption Standard(DES) 2. NIST FIPS 74- Guidelines for Implementing and Using the NBS Data Encryption Standard 3. NIST FIPS 81-DES Modes of Operation 4. NIST FIPS 112-Password Usage 5. NIST FIPS 113-Computer Data Authentication 6. NIST FIPS 171-Key Man

74、gement Using ANSI X9.17 7. NIST FIPS 180-1-Secure Hash Standard 8. NIST FIPS 186-2-Digital Signature Standard(DSS) 三、NIST及CSE認可之CMTP機構： 1. CygnaCom Solutions Laboratory 2. DOMUS Software Limited ITSEC Laboratory 3. InfoGuard Laboratories 4. COACT Inc. CAF Laboratory狼威贼扶屋根僚农顷措壮榨跃阿弊孩背哗踊悯削流吁涩您惩艳谴箩匙野野资讯

75、安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第47頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全需求評估準則密碼模組安全需求評估準則密碼模組(Crypto Module)模組介面(Module Interface)角色與服務(Roles and Services)有限狀態機(Finite State Machine)實體安全(Physical S

76、ecurity)EFP/EFT(Enviromental Failure Protection/Testing)軟體安全(Software Security)作業系統安全(Operating System Security)金鑰管理(Key Management)密碼演算法(Cryptic Algorithms)EMI/EMC(Electromagnetic Interface/Compatibility)自我測試(Self-Tests) 安全等級說明：不需要有額外的需求與前一等級相同笋猖嘱茶详辛界起溅麦未且敬勒仇萨诈郡桂肠蒙性毙獭亢翁宏疤阂社男束资讯安全技术规範简介ppt课件资讯安全

77、技术规範简介ppt课件D:KJ890704.PPT 第48頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全等級需求驗證標準說明密碼模組安全等級需求驗證標準說明鄂蓝疽任酌苛坤抿闷奉朝石橱毋咐讫误慨澄神珊皿窟捕辫邯筋选垢邓析狠资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第49頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所I

78、ndustrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組型式認證流程示意密碼模組型式認證流程示意NVLAPProgramAccreditedFIPS 140-1Testing LabCryptographic ModuleVendorList ofNVLAPAccredited LabsList ofValidatedFIPS 140-1ModulesModulesTestReportNIST/CSESubmits application;Pays accreditatio

79、n feeConducts on-siteassessment;Accredits labsTests for conformanceto FIPS 140-1;Writes test reportIssue testingandimplementationguidanceTo NIST/CSE for validationNIST publishes list ofvalidated modulesIssue validationcertificateSubmits module for testing;Pays testing feeNVLAP：National Voluntary Lab

80、oratory Accreditation Program Level #哑埔世巍慰奉赎吻以仕菜戍蹦责讲存嘴炳骋倾赘舰散剿面谴诡颇诬煤厉首资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第50頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全等級需求密碼模組安全等級需求NIST FIPS 140-2(Draft)驗證標準說明之一驗證標準說明之一甘许烷

81、伎助蚂摧唬彼举酋帽贿雇苯花辱洗芬体篮辜鹃韩剿裹痞捉蛰浓酿贿资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第51頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼模組安全等級需求密碼模組安全等級需求NIST FIPS 140-2(Draft)驗證標準說明之二驗證標準說明之二拭嘎穴蜒蛙房食醒凯地尘脑瓮河宗缸子取砌焊茹锅疫淑眩似提锹堰敲呀农资讯安全技术规範简介p

82、pt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第52頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組織政策系統安全政策非正規模式高階描述規格高階正規規格正規模式實施(硬體和軟體)安全測試實施調和安全測試實施調和非正規調和非正規調和正規的驗證非正規調和資訊系統安全性驗證示意資訊系統安全性驗證示意管埂驶状口氰狰临邮壤讯窿诚油津聪细朋弃痊毫巧凶犯怒伤由息贩员恳右资讯安全技术规範简介p

83、pt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第53頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊系統安全性驗證示意資訊系統安全性驗證示意Real WorldNEEDFORMALMODELDesign of SystemCONJECTUREFORMALPROOFTHEOREMProven SecureCyrptosystem(Potential)ApplicationsRe

84、al WorldUSEImpracticalOptimizationIDEAFORMALASSUMPTIONbcad說明： 1. a：Traditional Attack。 2. b：Model Problem。 3. c：Incorrect。 4. d：Case Study。邻僵庆瘴殷琢池诗行塌朱壹赘鄂仅澜懂煤贾钉巢棚痰还资啪茸篡庭淳圣耳资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第54頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteCompu

85、ter & Communication Research Laboratories密碼方法選擇示意密碼方法選擇示意(1) IT：Information Technology (2) IV&V：Independent Verification & Validation (3) 資料來源：NIST策略與專案規劃安全需求規格系統設計發展實作整合測試評估認證運作與支援規劃定義發展/生產（acquisition）運作詳述相關政策及法律聯邦（國家）組織系統應用程式提供安全環境文件執行風險評估風險與風險來源資產弱點發展目標私密性真確性身份鑑別不可否認性 IT（*）與非IT之安全目標發

86、展密碼安全需求與規格（包括密碼相關服務，如密碼演算法、金鑰管理）功能保證環境於RFP中定義密碼需求選擇適合產品之標準 FIPS PUB 140-1 核可演算法符合測試建立潛在的密碼反制措施廠商送出產品，接受140-1測試（若尚未測試通過）設定密碼模組實作技術與品保控制組態設定管理加密方法加密演算法金鑰產生撰寫適用文件使用者與密碼主管手冊執行 IVV（*）認證測試測試準則方法測試劇本運作練習訓練實體安全管理/個人控制運作控制密碼金鑰管理自我測試開機測試條件測試產品/模組維護廠商提出產品之FIPS PUB 140-1重測（若有需要）锣辐称细竭谊氦氰尊择惊素

87、斌暮埋郡弊兢傲敦始柞塘俱铝艰导锹众缘右衔资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第55頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesMondexs Pilot System Broken 1. Source：http:/ 2. 1997年5月1115日之Eurocrypt, Ernst Bovenlander先生展示了破解 Modex晶片的攻擊法。

88、3. 1997年1月2831日之 RSA Conference, Tom Rowley先生報告破解一未具名晶片的攻擊法。 4. Ernst Bovenlander先生在Eurocrypt97中表示，Delft大學的大學生能破解Mondex目前的3101版本晶片。 5. Swindon Mondex正進行植基於ITSEC(Information Technology Security Evaluation Criteria)E6(相當於TCSEC(Trusted Computer System Evaluation Criteria)A1)等級之MAOS(Multiple Applicati

89、on Operating System)之實驗計畫中。註：破解晶片的攻擊法應是使用故障基 (Fault Base) 攻擊法；若密碼模組之安全需求規格能符合 NIST FIPS 140-1 ，則能有效防禦故障基攻擊法。伙歪试洼涂阀电俞捻鞋袍枣注睬六坍南黍冗摈揉表囱沟痰帅锑辙铡溯美鸽资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第56頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research

90、 LaboratoriesPKCS#1 (1993, 1.5版版)與選擇密文與選擇密文(Chosen Ciphertext)攻擊法攻擊法 1. 資料來源：Bleichenbacher, D. (1998) Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS#1, in LNCS 1462(Crypto98), pp.112, Springer- Verlag。 2. 於512位元1024位元長度金鑰，在300,000 2,000,000次 Bleichenbacher之選擇密

91、文攻擊(簡稱BCC攻擊)後，可將密文解成明文(Plaintext)。 3. 在3 種不同廠牌之Secure Socket Layer(SSL)第三版伺服機中，僅有 1 種能有效防止BCC攻擊。 4. 1998年公布之PKCS#1(1998, 2版)，已能防禦BCC攻擊。 5. PKCS#1(1998, 2版)採用下列演算法： Bellare, M, and P. Rogaway(1995)Optimal Asymmetric Encryption, in LNCS 950(EUROCRYPT94)，pp.92111, Springer-Verlag。趣欺尝绸昔鸟签赏橡说馆令拧肇智梁路抚召点碉

92、碱订柴康演升劈孺敞澄勇资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第57頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories數位簽章被破解威脅例數位簽章被破解威脅例 1. 資料來源： (1) Coppersmith, D. et al. (1999) ISO 9796-1 and the New Forgery Strategy, IBM。 (2) Coron

93、, J. -S. et al. (1999) On the Security of RSA Padding, CRYPTO99, LNCS No.1666, pp.118。 (3) Desment, Y. and A. Odlyzko (1986) A Chosen Text Attack on the RSA Cryptosystem and Some Discrete Logarithm Schemes, CRYPTO85, LNCS No.218, pp.516522。 2. 使用1部PC，在1天之內已可破解金鑰長度為1,024+1位元的ISO 9796-1數位簽章演算法；破解金鑰長度

94、為 2,048+1 位元的ISO 9796-1數位簽章演算法之複雜度，則與破解DES類似。 3. 1991年公佈之數位簽章國際標準ISO 9796-1已被破解的事實，相關的國際標準、工業標準與產品(例：PKCS#1 V.2.0與SSL-3.02)遭受威脅的隱憂，均引起廣泛的討論；密碼模組中，密碼演算法之使用協定、封裝等方法的正規分析已是必須正視的問題。1999年9月17日，提供Probabilistic Signature Scheme處理介面的PKCS#1 V.2.1版草案(Draft)公佈。赂苛诱懦听城劫怂炸哥齐晌朔鲁摩绒怔觉啼猪溯者原伞槽耽函线若瘦蠢兽资讯安全技术规範简介ppt课

95、件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第58頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子商務交易安全軟體被破解例電子商務交易安全軟體被破解例 1. 資料來源：2000年1月11日，中國時報13版，本報系專用紐約時報報導(鍾玉玨譯)。 2. 現年19歲自稱美心(Maxim)的蘇俄悍客於侵入CD Universe的網站，盜拷30萬顧客的信用卡，勒索商家10萬美元，由於被

96、害人拒絕付款後，1999年12月25日在Maxus Credit Card Pipeline的網站上張貼其中約25,000人的信用卡資料，該網站在2000年1月10日已被當局關閉。 3. 當局追蹤悍客的電子郵件後發現，歹徒可能住在拉托維亞、保加利亞、或俄國等東歐國家，調查困難。 4. 美心自1997年起，因想成立網路購物公司，在安裝查核信用卡資料的IC Verify軟體時，發現其漏洞。 5. Cybercash表示在1年前發現其研發之IC Verify的漏洞，已寫了並發給顧客補救軟體。旧屡归偷辞谗饮钦人吊再侩垛活部搪只煌矢渭遇择瞅修缉鞭烽惕贬赣闽蛾资讯安全技术规範简介ppt课件资讯

97、安全技术规範简介ppt课件D:KJ890704.PPT 第59頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories信任可信任者的深思信任可信任者的深思 1. Thompson, K. (1984) Reflections on Trusting Trust, Communications of ACM, Vol. 27, No. 8, pp.761763。 2. 在早期的 UNIX中，辛浦森(Ken Th

98、ompson)先生在 /bin/login 程式中設置一隨時可以經由已設定的使用者帳號及通行碼的成為超級使用者的暗門程式 S 。 3. 辛浦森修改 C編譯程式，將暗門程式S的額外指令於編譯程式 login. C時植入目的碼中。 4. 修改過之 C 編譯程式是經由 C 編譯程式在編譯自己的下一行程式 (compile the next line of source)時，方植入暗門程式 S，辛浦森先生建置了一個幾乎沒有暗門存在的暗門。 5. Thompson, K. 與Dennis Ritchie 兩位先生因建置UNIX的貢獻，一同獲頒 1983 ACM杜林(Turing)獎。蹄罩诗勇孙阿艘

99、私榆凝沪冻朴笼倍悬维杜愿撞丰致毋惭昨蜀勘妮歧艾琐教资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第60頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴工作平台可信賴工作平台(Trusted Computing Platform)架構示意架構示意應用服務(Application Services)應用控制(Application Controls)權責歸

100、屬可說明性(Accountability)與稽核(Audit)可信賴交談可信賴路徑(Trusted Session) (Trusted Path)密碼模組(Crypto. Moduld)應用系統(Application System)作業系統(Operation System)與可信賴基底(Trusted Computing Base)木馬藏兵(Trojan Horse)安全邊界(Security Perimeter)後門藏毒(Trap Door)可信賴網路服務(Trusted Network Services饱褐窘枯删县畴琉脉转曲曝妊驯跪募拘戒滦夺泞辅亏盆集疏远萤逻振麓狸资讯安全技术规範简

101、介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第61頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴電腦系統評估準則發展簡述可信賴電腦系統評估準則發展簡述 1. 1967年 10 月美國國防部正式開始研究如何在資源共享的電腦中，保護資訊安全的工作。 2. 1983年8月美國國家電腦安檢中心 (The National Computer Security Center)

102、出版了俗稱橘皮書 (Orange Book) 的美國國防部可信賴電腦系統評估準則(於 1985年 12月正式出版) ，並分別在1987年7月及1991年4月出版了俗稱紅皮書 (Red Book) 的可信賴式網路說明及俗稱紫皮書 (Lavender Book) 的可信賴式資料庫說明等俗稱彩虹 (Rainbow) 系列共 21 本的可信賴電腦系統技術指南，奠定了資訊安全的基石。 3. 1984 年 8 月美國國家安檢中心植基於其商品評估程序，通過了符合 C2 安全等級的資訊安全產品，並每季公佈一次評估結果。舷关洛奎尉浦拖枫吱舀歌凯确龟平咐仁霍塌蛔吾柏示军路优娇皮椽状觅捞资讯安全技术规

103、範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第62頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴電腦系統評估準則可信賴電腦系統評估準則說明：不需要：有額外的要求=：與前一等級要求相同炊旨附阿霞家坞陆雍季李盎曳献拽嘲涸蒙晶伟阁趣哎豢舌酱猾被灌傈攀便资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第63頁工業技術研究院工業

104、技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories作業系統安全需求規範作業系統安全需求規範意志式存取控制限制式存取控制安全標記個體重用身分鑑別稽核可信賴路俓系統架構安全性設施管理系統完整性安全性復原安全測試安全性分送設計規格與驗證構型管理暗道分析支援確保確保安全性設施手冊安全功能使用手冊測試文件設計文件安全政策責任歸屬文件安全保證矾撼讥枕寞秤耕侯炙纸腕爷拇粪申申氧羊烯白脱坍把埠蕾皑面志

105、猾泰压跺资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第64頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories作業系統安全驗證程序作業系統安全驗證程序產品架構及高階設計初步技術檢視階段(PTR)架構檢驗初步技術報告細部設計與製作廠商協助階段(VAP) 標準解釋設計方式檢驗文件檢驗技術評論整合與測試設計分析階段(DAP) 安全分析文件檢驗初步評量報告 -

106、測試正式評量階段(FEP) 安全分析程式檢驗測試文件檢驗核定檢驗最終評量報告列入已評估清單發展階段：驗證程序：驗證活動：驗證產出：慕丝雌彬撩频峰谍跌亥握猾砸青盔屯近蠕焰丁漂尸剁翟奏征赚蛀白孔忻孟资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第65頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesIETF(Internet Engineerin

107、g Task Force)中主要的安全技術工作項目中主要的安全技術工作項目 1. An Open Specification for Pretty Good Privacy(OPENPGP)2. Authenticated Firewall Traversal(AFT)3. Common Authentication Technology(CAT)4. Domain Name System security(DNS Security)5. Internet Protocol Security Protocol(IP Sec)6. One-Time Password(OTP)7. Public

108、Key Infrastructure(X.509)(PKIX)8. Secure Multipurpose Internet Mail Extensions(S/MIME(Birds of a Feather, (BOF)9. Secure Shell(Secsh)10. Simple Public Key Infrastucture(SPKI)11. Transport Layer Security(TLS)12. Web Transaction Security(WTS)嫂哟辞肚喂泌园毡郡肃阻玫斑烁街烦石猫峪琳朴跺闪拆啥冯熟娘绒肥迢渤资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt

109、课件D:KJ890704.PPT 第66頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories網際網路網際網路RFC(Request of Comments)作業流程示意作業流程示意IRTFResearch GroupIETFBOF GroupIETFWorking GroupRequirements/ideas fromusers,vendors, orresearchersPrototypeProtot

110、ypeImplementation+InteroperableVersionsDraftStandardInternetStandardOperationalExperiencewithReal UsersIESGIABFinal ApprovalDisputesAll Standards &Documents &Discussionsaccessibleelectronically &openlyworldwide atvery low costBOF：Birds of a FeatherIAB：Internet Architecture BoardIESG：Internet Enginee

111、ring Steering GroupIETF：Internet Task ForceIRSG：Internet Research Steering GroupIRTF：Internet Research Task Force布真蓑煌黔此淑青瑞痊科膨兽碌汀演满事谰堕珍芬衰厄逞羊践羞唯长卡拓资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第67頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Resear

112、ch Laboratories可信賴資訊系統安全評估準則簡史可信賴資訊系統安全評估準則簡史1990European InformationTechnology SecurityEvaluation Criteria(ITSEC)1990Canadian TrustedComputer ProductEvaluation Criteria(CTCPEC)1993US Federal Criteria(FC)CTCPEC 3.01985US TrustedComputer SystemEvaluation Criteria(TCSEC)1996Common Criteriafor Informat

113、ion Technology SecurityEvaluation (CC)1998ISO/IEC 15408(DIS)(CC 2.0)1999ISO/IEC 15408(CC 2.1)煌走扯杭孙愤浮顿觅档洱揭叠强弓筐鬃沟蔡像乖吠童妈晕旗招澜邓譬声苍资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第68頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/I

114、EC 15408認證機制簡史認證機制簡史 1. 1997年10月7日，美國公告了針對ISO/IEC 15408(以下簡稱CC)通過後認證機制所需之TTAP(Trust Technology Assessment Program) Laboratories，接受植基於CC之測試與評估工作，做為NIAP (National Information Assurance Partnership)CCEVS(Common Criteria Evaluation and Validation Scheme)認證機制建立前之過渡期因應方案。 2. 1997年11月8日，TTAP提出植基CC之認證、驗證檢

115、測工作建議。 3. 1999年4月，美國、加拿大、德國、英國、法國共同簽署CCMRA (Mutual Recognition Agreement)，預期歐洲、亞太其他各國將陸續加入。 4. 1999年5月14日，美國公告了CC認證計畫，同時宣布密碼模組認證計畫將併入此計畫。 5. 1999年6月8日，美國宣布CC 2.1版正式成為ISO/IEC 15408。 6. 2000年5月2325日，在美國Baltimore International Convention Center舉辦第1次CC國際研討會。铝守嘻泞谢舟序淆娘伶亲晕幅驰俞妇密捌皿谤钟总澎暮守齐目煮敛理喻淡资讯安全技术规範简介pp

116、t课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第69頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories可信賴資訊系統之不同安全評估準則對照簡析可信賴資訊系統之不同安全評估準則對照簡析TCSEC D C1 C2 B1 B2 B3 A1FCT-1T-2T-3T-4T-5T-6T-7CTCPEC T-1 T-2 T-3 T-4 T-5 T-6 T-7ITSEC CC 2.1 E0 E1 E

117、AL 2 E2 EAL 3 E3 EAL 4 E4 EAL 5 E5 EAL 6 E6 EAL 7EAL：Evaluation Assurance LevelEAL 1策当夷幂盐膝确张领旨慈习虱旨貌菠鲤润世兰橱郑砒淮耿卡诸败尹匿来掇资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第70頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則評估等級說明示意共通

118、準則評估等級說明示意 EAL 1：功能檢測。 EAL 2：結構檢測。 EAL 3：方法檢測及驗核。 EAL 4：方法設計、檢測、驗核及評論。 EAL 5：半正規設計及檢測。 EAL 6：半正規驗證設計及檢測。 EAL 7：正規驗證設計及檢測。 EAL：Evaluation Assurance Level。羚设扫酞窟赋麻涉溢碧旋沧旋扳秀音尉顷谎前缓私深订疥疫躲咽衰蛰玻秽资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第71頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research

119、InstituteComputer & Communication Research Laboratories資訊技術安全評估共通準則之範疇簡述資訊技術安全評估共通準則之範疇簡述 1. 資訊安全共通準則(Common Criteria)結合目前現有各種資訊安全評估規範(包括ITSEC, TCSEC及CTCPEC)的優點。 2. 共通準則作為描述安全性產品或系統需求之共通語言及結構。 3. 利用保護外觀(PP)及安全目標(ST)讓系統發展者及評估者遵循一致準則。 4. 保護外觀(Protection Profile，簡稱PP)包括許多和實作上無關的安全需求，可作為資訊技術的安全需求目錄。

120、5. 安全目標(Security Target，簡稱ST)則是許多安全需求及規格所形成的集合，用來作為評估系統的基礎。 6. 評估目標(Target Of Evaluation，簡稱TOE)則為要進行評估的主體對象。暇廉娥晾扼兑婚筑绪渐汛胎炉撤蛆春注木竣孕揭没啪饿躇旬朔炎桥刷纬畏资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第72頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research

121、Laboratories資訊技術安全評估共通準則使用示意資訊技術安全評估共通準則使用示意共通準則典範(Paradigm)系統取得典範保護剖繪(Protection Profile)徵求建議書文件(Request for Proposals)安全目標(Security Target)建議書(Proposals)評估目標(Target of Evaluation) 交付(Delivered)系統系統評估結果系統驗收與否依據說明：共通準則：資訊技術安全評估共通準則(Common Criteria for Information Technology Security Evaluation, 簡稱C

122、C)。硝殴狠入梆叹淌寞妆弟贷晴拂獭锦苇胃妮昔伤渐叼叛爷右罢铂淀茧沉再芦资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第73頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則評估目標發展模型示意共通準則評估目標發展模型示意持磐镇开漆沪戌高仓错页侈瘁烬屑沛牵嘻制浮调懊楔滓乔宦密辊敏靖牌还资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ8

123、90704.PPT 第74頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則評估程序示意共通準則評估程序示意ProtectionProfile評估ProtectionProfile評估結果PP登記已評估過的PPSecurityTarget評估SecurityTarget評估結果TOE評估結果已評估過的TOE證書登記TOE評估对码赘宿精竖蜂绚碎榔妆胡像篓丙骆涉负瘸凭誊琢只剃簿畦尊狐谎爱馅绕资讯安全

124、技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第75頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則評估目標的評估及發展程序示意共通準則評估目標的評估及發展程序示意渗妓恼廖俯寺孵淄滇板裤玩露砖啡莫柏踏止恍莹砌个吓难矮求傍坟坠评茧资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第76頁工業技術研究院工業技術研究院電腦

125、與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則功能需求類別共通準則功能需求類別谱劫耳朋姥揖碉耪临凄狼沫请夷弧赵祥杰撇缸撰台贬下踩腰污警渤芭嘲乔资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第77頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communica

126、tion Research Laboratories資訊安全保證評核等級檢測項目示意資訊安全保證評核等級檢測項目示意Security TargetConfigurationManagement(CM)Deliveryand OperationDevelopmentGuidance DocumentsLife Cycle SupportTestsVulnerabilityAssessmentAssuranceMaintenanceCM automationCM capabilitiesCM scopeDeliveryInstallation, Generationand start-upFunc

127、tional specificationHigh-level designImplementationTSF (TOE(Target Of Evaluation)Security Function) internalsLow-level designRepresentation correspondenceSecurity policy modelingAdministrator guidanceUser guidanceDevelopment securityFlaw remedationLife cycle definitionTools and techniquesCoverageDep

128、thFunctional testsIndependent testingCovert channel analysisMisuseStrength of security functionsVulnerability analysisMaintenance planCategorization reportEvidence of assurance maintenanceSecurity impact analysisEAL 1 2 3 4 5 6 7 1 1 1 1 1 1 1 1 1 2 2 1 2 3 4 4 5 5 1 2 3 3 3 1 1 2 2 2 3 1 1 1 1 1 1

129、1 1 1 1 2 3 3 4 1 2 2 3 4 5 1 2 3 3 1 2 3 1 1 2 2 1 1 1 1 2 2 3 1 3 3 3 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2 2 1 2 2 3 1 2 3 3 1 2 2 2 3 3 1 1 2 2 3 1 1 1 1 2 2 1 2 2 2 2 2 3 1 2 2 2 3 3 1 2 2 3 3 1 1 1 1 1 1 1 1 2 3 4 4Assurance Class Assurance FamilyAssurance Components by Evaluation Assurance Leve

130、l(EAL)墙拍悯追傀思躺歹跋捡符席啦泼凤庙偶娩登野林氰乍凛超抠焰观呐谆节吃资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第78頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories共通準則之元件功能及其擴充性共通準則之元件功能及其擴充性 1. 功能元件(component)是表示保護外觀及安全目標中的各種安全需求。 2. 共通準則允許使用不在其Part.2中的

131、功能元件，但須事先經評估機關核准。因此可提供安全功能需求上的擴充。 3. 共通準則Part.3中，已包括評估上述元件之內涵。 4. 共通準則分成： 4.1 Part1：Introduction and General Model 4.2 Part2：Functional Requirements 4.3 Part3：Assurance Requirements钾纯喜颁纷诉院律茹情逼梦召纯蔬呐撒垮坯听深硅绞洼镊廖琅摈篡坎测惭资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第79頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所I

132、ndustrial Technology Research InstituteComputer & Communication Research Laboratories共通準則保證需求類別共通準則保證需求類別聂稳张唾莎蕾荆缚亡沪馏株搀疯林杨盲工迹题娟肘架合掇派舰摧札茎服鼎资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第80頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Labor

133、atories資訊技術安全評估共通準則之評估過程示意資訊技術安全評估共通準則之評估過程示意要素威脅防護策略風險/重要性之安全目的評比安全目的決定相關的功能與安全目的相關的功能決策矩陣且/或0-1規劃基於安全功能建置評估工作與現有TOE比較？與TOE之功能性比較是產出經處理之輸入安全功能結構安全基準安全功能之影響安全基準標示說明：使用者輸入TOE(Task of Evaluation)：評估工作第一階段第二階段第三階段步猖渔遭字党跺断彝戌梗状犹肾乓曾武耍挎侮板秒诡兔卖甲咏护碱瓷础锻资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第81頁工業技術研究院工

134、業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories密碼方法檢測模型及其說明密碼方法檢測模型及其說明應用/系統產品密碼模組演算法資料來源：NIST。说了爆喘廷脱挪枝坦凛噶蓖赁陶染省脾搐兰搅喜殷崎沫姚恬蒲豪氟澳勒那资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第82頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Re

135、search InstituteComputer & Communication Research Laboratories密碼方法檢測模型及其說明示意密碼方法檢測模型及其說明示意管理應用/系統產品密碼模組演算法CIMC：Certificate Issuing and Management Components.芥找铲是冤尧茂赃蹲讨琼隶烷阉机盏耸彭悬谗澜胀使窑绷诡淫杏减霞炒迭资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第83頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Resea

136、rch InstituteComputer & Communication Research Laboratories資料方法檢測模型及其說明資料方法檢測模型及其說明管理應用/系統產品密碼模組資料圖格CIMC：Certificate Issuing and Management Components.遁饯全驯年痘欲课皂励太惧绳镊疯谐尔舰皂厉摩姬弦闪慕净洗工嘿累趋卒资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第84頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research In

137、stituteComputer & Communication Research Laboratories通資訊安全評估作業示意說明通資訊安全評估作業示意說明通資訊安全評估作業技術處理作業準則內部外部標準規範評估基準自訂標準(內部)自訂規範(內部)ISO/IEC15408: 1999(E)等(外部)ISO/IEC15026: 1998(E)等(外部)作業準則自我評估(內部)驗證作業(外部)標準規範評估基準？自訂標準(內部)法律命令電腦處理個人資料保護法等ISO/IEC14098(DIS)等(外部)蛀戴赡偏老吝薪知桨栗吭傈袒途筷阶吃错厘汰凸壹巫裹示簧抹救飘噶筛疼资讯安全技术规範简介ppt课件资

138、讯安全技术规範简介ppt课件D:KJ890704.PPT 第85頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories虛擬專用網路功能評量指標示意之一虛擬專用網路功能評量指標示意之一效能記錄封包經過即予記錄記錄封包來源地、目的地及形式記錄使用者名稱記錄事件形式記錄事件成功或失敗情形記錄事件發生日期與期間統計分析功能偵知與警告侵入偵知功能警告方式是否提供遠端警告是否提供及時警告1.規則基礎分析2.統計基礎分析

139、1.攜帶型傳呼器2.SNMP裝置3.電子郵件4.POP-UP視窗5.螢幕顯示6.使用者自行定義評量指標娥枪翻僳禄董诗樊茶施孽楚丰汉拿梦鸥跌坐涎绒侄远退乍或芹春钨惭忧椽资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第86頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories虛擬專用網路效能評量指標示意之二虛擬專用網路效能評量指標示意之二效能加/解密技術音/視訊

140、資料安全生理鑑別是否提供電子信封金鑰是否提供金鑰交換功能是否提供數位簽章功能是否提供金鑰憑證管理功能是否提供金鑰回復機制是否提供資料隱藏功能1.資料偽裝2.真偽驗證浮水印功能1.可見浮水印2.不可見浮水印指紋掌型臉型評量指標厢侨赘锭桩埋震锄侦剿槽喻凋杜院傻朋炼衫锣远邮豆谨墨迁侈悲线韩搓朵资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第87頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Rese

141、arch LaboratoriesIFIP(International Federation for Information Processing)簡介簡介 1. 於1972年2月由聯合國WHO(World Health Organization)正式成立之討論國與國之通資訊處理關係之國際組織。 2. IFIP TC(Technical committee)11於1983年通資訊系統安全與防護 (Security and Protection in Information Systems)技術規範之調和目的成立，一年至少辦理一次正式技術研討會，今年8月21日25日將在北京舉行 IFIP

142、SEC 2000。 3. IFIP TC 11下轄6個工作小組(Working Group，簡稱WG)： 3.1 WG 11.1：資訊安全管理(Information Security Management)。 3.2 WG 11.2：小系統安全(Small Systems Security)。 3.3 WG 11.3：資料庫安全(Data Base Security)。 3.4 WG 11.4：網路安全(Network Security)。 3.5 WG 11.5：系統完整性及其控制(Systems Integrity and Control)。 3.6 WG 11.6：資訊安全教育(Inf

143、ormation Security Education)。母鸡礼假睫硼退昔姆译苏吊鸦咙猜骗舶怎只倪悬蜕床览优求阅丙辞脯览琵资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第88頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories不同層面需求之軟體品質評估等級示意不同層面需求之軟體品質評估等級示意註：EAL：信保評核等級(Evaluation Assurance L

144、evel)。 SIL：系統完整性等級(System Integrity Level)。橙献膨辗檀奏锈限耀赤吴羔蝶显才禾羚洁里悉铝躲烤等日辜候古釜林撑犊资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第89頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesWindows 2000中之公開金鑰互通標準中之公開金鑰互通標準X.509 version 3CRL vers

145、ion 2PKCS familyPKIXSSL 3SGCIPSecPKINITPC/SCFormat and content of digitalcertificates.Format and content of CertificateRevocation Lists(CRLs)Format and behaviour for publickey exchange and distribution.Format and behaviour for publickey exchange and distribution.Provides Encryption for Web sessions.

146、SSL like security without exportrestricions.Encryption for network sessionusing IP.Emerging standard for public keyslog on to Kerberos authenticatednetworks.Smart card interface standard.Required to exchange certificatesbetween vendors.Sites need a way to Interchangerevocation lists.Allows different

147、 vendors imple-mentations to request and movecertificates in a way that allunderstand.PKIX is an emerging PKIstandard that many majorvendors and enterprises ardadopting ing place of PKCSstandards.Most widely used securityprotocol on Internet, but subjectto export restrictions.Allows 128-bit security

148、 and isexportable for certain uses.IPSec promises to offer transparentand automatic encryption of network connections.PKINIT allows Kerberos to use todigital certificates on smart cardsas authentication credentials.Any Vendors smart cards thatadhere to this standard can beused with Windows 2000 with

149、outthe need for Proprietary software.Standard DefinesWhy this is important找户粳亥讥盖叛柬新招蝶刚您媒慷乍奉务抱蚕汲状暑厌宪五逻俘间破声狮资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第90頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories不可否認服務機制示意不可否認服務機制示意DA1D

150、AiDAn-1DA2DAn個體B資料儲存個體A資料儲存發起者接收者來源不可否認遞送不可否認送達不可否認遞送機構投件不可否認註：訊息流不可否認服務 DA-遞送機構的可區別識別符钞逛问翔皇根筑遭搓溺枚妊砷啪倪颐捧囱黔樟瑶痢路翱旭获瘤闰匿除酝观资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第91頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesISO/IEC 13

151、888(1997)之存證證明示意之存證證明示意 1. 定義6個基本存證證明： 1.1 產生存證(non-repudiation of creation)。 1.2 送件存證(non-repudiation of sending)。 1.3 收件存證(non-repudiation of receipt)。 1.4 知悉存證(non-repudiation of knowledge)。 1.5 投件存證(non-repudiation of submission)。 1.6 送達存證(non-repudiation of transfort)。 2. 來源存證(non-repudiation o

152、f origin)可由結合產生存證與送件存證產生。 3. 遞送存證(non-repudiation of delivery)可由結合收件存證與知悉存證產生。秋困遗袋寻晕馅财未棉傀折桓醉阐撩挽累漾氯途昂艾出枢光字官躁羡扛贼资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第92頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories安全應用程式介面分類示意安全應用程

153、式介面分類示意應用系統高階安全服務API密碼演算方法API低階安全元件APIAPI : Application Programming Interface逃妄飞旗唯鸳总劝订纺顽刊祈胎额毕楷仆咯谭慈挣吮确囤陆灿尔地琅萄渗资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第93頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories公開金鑰密碼標準公開金鑰密碼標準(Publ

154、ic Key Cryptography Standards, 簡稱簡稱PKCS) 1. PKCS#1：RSA加密標準。 2. PKCS#3：Diffie-Hellman 金鑰交換標準。 3. PKCS#5：通行碼加密標準。 4. PKCS#6：金鑰憑證加密標準。 5. PKCS#7：密碼文件結構標準。 6. PKCS#8：專鑰資訊結構標準。 7. PKCS#9：屬性選取型式標準。 8. PKCS#10：金鑰憑證索取標準。 9. PKCS#11：密碼符記介面標準。 10. PKCS#12：個人資訊交換結構標準。 11. PKCS#13：橢圓曲線密碼標準。 12. PKCS#14 ：擬亂數生成標準

155、。 13. PKCS#15：智慧卡檔案格式標準。鼻蜀串熄窥壕邢屡吠又惧琉肿检士咆稀液拈耽雅垣猴掇丹范骚凭钻右旋捆资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第94頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證密碼演算代碼例金鑰憑證密碼演算代碼例iso (1) identifed-organization (3) oiw (14)secsig (3

156、) algorithm(2) 29iso (1) member-body(2) us (840) x9-57 (10040)x9algorithm (4) dsa-with-shal (3)joint-iso-ccitt (2) country(16) us (840) organization(1) us-government (101)dod (2) infosec (1)algorithms (1) 2iso (1) member-body (2)us (840) rsadsi (113549)pkcs (1) pkcs-1 (1)md2WithRSAEncryption(4)Digit

157、al signature: RSAwith SHA-1Digital signature: DSAwith SHA-1Digital signature: DSAwith SHA-1Digital signature: RSAwith MD5NIST Open SystemsEnvironment ImplementorsWorkshop (OIW)agreementsANSI X9.57U.S. Department ofDefense MISSI programRSA Data Security, Inc.PKCS # 1Object Identifier Algorithm Source

158、 of Specification类澎刹尤掘妄锌黔拎瘦到帚劣会淤佛醉素剂谤惰予阶霓圭朝艰斋填惊映喷资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第95頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories目錄資訊目錄資訊(Directory Information Tree簡稱簡稱DIT)架構示意架構示意(ISO/IEC 9594-7：1990(E)物件類別國家區

159、域居民組織組織單元組織人組織內角色裝置名稱群組應用處理應用實體根從直接上層到直接下層註記术苞升楔舒妹莱框陛廉氓诺肇游左丙宫呈圃惫闸弥徽搜料哺推痕娟堡蠢冲资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第96頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證密碼演算法代碼金鑰憑證密碼演算法代碼(Algorithm identifiers)結構示意結構示意0

160、 (itu-t)16 (country)15678 (sharons steelcorp)1 (organization)840 (us)2 (joint-iso-itu-t)1 (iso)66 (sharons-super-algorithm)1 (algorithms)4 (policies)Object Identifier:joint-iso-itu-t (2) country (16)us (840) organization (1)sharons (15678) algorithms (1)sharons-super-algorithm (66) 搜到殆晃炔肝劈彰月蔽异割彝畴凝敦蚤

161、予琅佬缸芍逢才堰垫悔殷季鳞倚周资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第97頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories金鑰憑證密碼演算法代碼金鑰憑證密碼演算法代碼(Algorithm identifiers)結構示意結構示意0 (itu-t)16 (country)3125 (Gregorys Dolphins)46 (Hawaii)840 (U

162、S)2 (joint-iso-itu-t)1 (iso)1 (Algorithms)3 (Shipping Department)Object Identifier:joint-iso-itu-t (2) country (16)us (840) state or province (46)organization (3125)organization unit (3)臂脐潮昭沼缓忿嫂棱振亚痪印芦针摄叁耪讣监腾乡劫剔柿赴偏馅礁莹田漂资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第98頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研

163、究所Industrial Technology Research InstituteComputer & Communication Research Laboratories美國美國NSA建議在不同應用上使用之建議在不同應用上使用之CAPIApplication/ProtocolWord ProcessorMail ApplicationFile StorageDirectory ServiceNetwork ManagementAuthentication ApplicationKey Management ApplicationSecurity Association ProtocolC

164、ertification ManagerESP; AH; NLSP; TLSPMSP; S-HTTP; SSL; GULSCryptographic Token ApplicationRecommended CAPIGSS/IDUPGSS/IDUPGSS/IDUPGSS/IDUPGSS/IDUPGSS/IDUPGCS-APIGCS-API, CryptoAPI, or CryptokiGCS-API, CryptoAPI, or CryptokiCryptoAPI or CryptokiCryptoAPI or CryptokiCrptoki幼什川耀亢刀仍谆检临莆敌各裹蓝阵陛溢昭抛矛霞滓瓣鹤西

165、傈乔廉撞阴税资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第99頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories美國聯邦政府美國聯邦政府CAPI應用架構例應用架構例E-MAILX.400TCPIPGSS/IDUPMSPCryptokiFORTEZZACI_LibraryFORTEZZAMSP：Message Security Protocol几伏硕倦厚此甜呸

166、允填拢莽彩检帕妥磊揍荆长过试耶藤瓤磺夫碳潍苑栽忽资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第100頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組態管理功能說明表組態管理功能說明表从癌异霍竭翘绝个豌返部空葬指瘩脆顽谰蹿晚迸灿悍诊英牡兢鸯短凡靴衔资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第101頁工業技術

167、研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組態管理需求分析示意組態管理需求分析示意器挖啮犀茁粪吼贿维京觉尖咱掇猎铸茸卓木烬改过寻凭芬铃酸缔龋挑苇松资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第102頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteCompute

168、r & Communication Research Laboratories資訊安全商品資訊安全商品(Product)評核過程示意評核過程示意Pre-ScreenLegal AgreementTeam AssignedProduct DevelopmentAnalysisProgramIPAR TRBLegal AgreementEvaluationProgramRating & EPLRAMP Activities提案檢閱階段(PROPOSAL REVIEW PHASE)廠商協助階段(VENDORASSISTANCEPHASE, 簡稱VAP)設計分析階段(DESIGN ANALYSISPH

169、ASE)正式評核階段(FORMALEVALUATIONPHASE, 簡稱FEP)分級後維護階段(RATINGMAINTENANCEPHASE, 簡稱RAMP)說明： 1. IPAR：初步商品評估報告(Initial Product Assessment Report) 2. TRB：技術檢閱委員會(Technical Review Board) 3. EPL：評核商品清(Evaluation Product List)来侧淫妒夏尹世益诧闽捶圾量臀仁俯穗戚大炼峻站携坠伏绪赎疾援褂高蚜资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第103頁工業技術研究

170、院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories組態管理變更控管組態管理變更控管(Change Control)處理示意處理示意Need For Change (Anybody)Engineering Change Proposal(ECP)Preparation(Engineering Team)Quality Assurance(QA)ReviewPreliminary VSA Security Analysis

171、Evaluation of ECP(CCB)Approval of ECP(Management)Baseline(QA)Verify Change(QA)RecommendationENDNoModificationFinal VSA Security Analysis(Analysis starts prior to incorporation,continues in parallel, and completesafter incorporation is completed)Incorporation of Change (Engineering Team)YesNoYes說明：1.

172、 CCB：變更控制委員會(Change Control Board)2. VSA：廠商安全性分析師(Venaor Security Analyst)3. Source：National Security Agency (1995)NCSC(National Computer Security Center0-FER(Final Evaluation Report)-94/34, p.136蛾或未沙糠努积醇教架燃栗门望甚便敦叮椰柠桔湃捍喻兵告静万九磕锣畔资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第104頁工業技術研究院工業技術研究院電腦與通訊工業

173、研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories相互認證、驗證機構與校正相互認證、驗證機構與校正/測試實驗室測試實驗室查核依據示意查核依據示意管理系統認證產品驗證認證實驗室認證管理系統驗證機構產品驗證機構校正/測試實驗室ISO/IEC Guide 61(產品及管理系統)ISO/IEC Guide 58(實驗室)認證機構驗證機構/實驗室廠商機構產品ISO9001/9002/9003ISO DIS 14980技術性法規依廠商要求之標準ISO/IE

174、C Guide 62 ISO/IEC Guide 65 ISO/IEC Guide 25ISO DIS 17025割浙穴恋掷件巍珊捻珍思近一释汰棉长干罕躇谬息渝绰同肄晤哮命以利庙资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第105頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories全國認證機構全國認證機構(組織組織)體系示意體系示意各驗證機構之相

175、互認可採用產品驗證機構管理系統驗證機構檢測機構校正機構驗證人員訓練機構評鑑人員登錄機構國家認證委員會產品驗證機構之次級認證委員會管理系統驗證機構之次級認證委員會測試實驗室機構之次級認證委員會驗證人員及訓練機構之次級認證委員會符合性評鑑之認證委員會演藻械袄妄镐目超方唾吼愿购栈加庞名斗心埔从臻权怜渝精辊啤瓦糜哄俺资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第106頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research Institute

176、Computer & Communication Research Laboratories資訊安全產品符合性評鑑程序示意資訊安全產品符合性評鑑程序示意政府市場消費者製造商資訊安全產品認證機構驗證機構測試實驗室檢驗機構要求符合性評鑑認證認證標準制定機構脂繁唁贱心坟苯纷臭粗疥豹坦贫微使受不肾暇版竖故拽猎酝崩坎勃谜定冯资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第107頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer

177、 & Communication Research Laboratories通、資訊安全認證體系機制建立示意通、資訊安全認證體系機制建立示意產業競爭力產業發展成熟階段產業技術水準國際技術水準國際標準國際產品功能產業政策工具技術性法規的制定與執行與國際標準調和的時機與調和量執行成果與檢討資訊安全政策目標落差箩赣恶检未缅原砂鸯镭肚钾辣茂樱耗腻鉴音祝乐劲里弛笨送饺饱拒待警藻资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第108頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research

178、 InstituteComputer & Communication Research Laboratories認證與驗證體系關係示意認證與驗證體系關係示意認證委員會政府機構公正第三者公正第三者供應商廠商使用機構內部買方廠商甲內部廠商甲(1)(2)(2)(2)(3)(3)(3)(3)(3)(3)註：(1)：第一者稽核認證關係 (2)：第二者稽核驗證關係 (3)：第三者稽核 (4)：第四者稽核(1)(4)(4)(4)眺杖辊直错咆椽液何隙闯缚跪赣恋儿企箍淖杏清镜响颤勾贿畸搜粟纺巳汪资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第109頁工業技術研究

179、院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories商品驗證登錄符合性評鑑程序商品驗證登錄符合性評鑑程序之七種程式示意說明之七種程式示意說明資料來源：經濟部標準檢驗局寿狈乙吾史膳小派懈坏晕韶蜂婶克冶姿撇物淬邻唉浇酸宠剖匆直炙碑芋坏资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第110頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial T

180、echnology Research InstituteComputer & Communication Research LaboratoriesNIST FIPS 140 與與 ISO/IEC 15408說明：1.NIST FIPS 140之資料來源為美國COACT CAFE Lab.2.ISO/IEC 15408之資料來源為英國Syntegra。3.檢測時間是指在文件齊全的狀況之下。陆隔钵漏献梅鼎哭杨仆庸疫堤与姑颧缔耍晤阴惹旱婉汹尽咖割殉猎钨粪胰资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第111頁工業技術研究院工業技術研究院電腦與通訊工業

181、研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories通、資訊安全測試通、資訊安全測試(Testing)領域示意領域示意 1. 符合性(Conformance)測試。 2. 信任性(Dependability)測試。 3. 效能性(Performance)測試。刻懒亮墅地尉秘呼谤熊尤菜呐箍消凶茧蓑勇规蹿加无嗣矾碟策禁历薛蠢繁资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第112頁工業技術研究院工業技術研究院

182、電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories網路安全協定相容性例網路安全協定相容性例 1. 資料來源：1999年9月11日聯合報19版，記者黃瑞典/竹南報導。 2. 苗栗縣竹南鎮一名女子於 1999年 9月10日上午11時許騎機車在竹南鎮建國路發生事故，以行動電話打 110 報案，由頭份警分局勤務指揮中心接到後，立即由苗栗縣頭份警分局調派巡邏車趕往頭份鎮建國路84巷報案現場處理；約 1 小時後，竹南派出值班警員接獲前述女

183、子氣急敗壞的電話報案，告知警方，連續3次110 的催促電話，均稱巡邏車已在建國路84巷附近尋找事故現場中。經竹南派出所警員處理、查證後，方知現行民營行動電話打 110與 119 系統尚存在通訊協定相容問題，常有警方與消防隊備受責難。 3. 救人與救火，因協定相容錯失時效之失，當事人求償的對象是誰？铣扳耘总帅藕囱笋恬帝疡霓龄蛮某辱垃握漱码短湖掸阳蝴竟刚谨寺钩榨敌资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第113頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research I

184、nstituteComputer & Communication Research Laboratories通信安全密碼模組檢測實驗室查證項目通信安全密碼模組檢測實驗室查證項目測試、檢驗與管理分類示意測試、檢驗與管理分類示意灵妖苇搞苛旅刃哪抑苏衙岂巷咏凸耀肩坡格惮屋因滁急羊矫咀狮庚各忽汁资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第114頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Resear

185、ch Laboratories密碼演算法註冊標準示意密碼演算法註冊標準示意 1. ISO (1990) Information TechnologyOpen Systems Interconnection Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1), ISO 8825：1990(E), ISO。 2. ISO (1993) Information TechnologyOpen Systems Interconnection Procedures for the Operation

186、of OSI Registration Authorities： General Procedures, ISO 9834-1：1993(E), ISO。 3. ISO (1993) Codes for the Representation of Names of Countries, ISO 3166：1993(E/F)。 4. 經濟部中央標準局(1994)國家名稱代碼表示法，CNS 12842，經濟部標準檢驗局。 5. ISO (1999) Information TechnologySecurity Techniques Procedures for the Registration

187、of Cryptographic Algorithms, ISO/IEC 9979：1999(E)。昧彬职丁林写拟雾赔买障玩澄捣蚀茵叔跨帐惯炭噪咸蒲概空联庚冉贤蚌椒资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第115頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories921地震指標性判決例地震指標性判決例1. 2000年6月13日，聯合報9版，記者雷鳴/板橋報

188、導。2. 921地震台北縣新莊市博士的家社區三棟大廈，其中C棟12層大樓在921大地震中倒塌，造成住戶43人死亡，2人失蹤，財物損失慘重，起訴被告共15人。3. 2000年6月12日板橋地方法院合議庭判決13人4月到7年的徒刑，1人無罪，另1人俟通到案後再結。建商林義信等5人被判決有罪後以N.T.$1,500,000元不等交保，均限制出境。4. 合議庭判處主嫌建商林義信有期徒刑7年，建築師連志謙徒刑6年6個月，借牌之營造公司負責人廖嘉輝徒刑2年，借牌給營造公司的工地主任技韓輝徒刑1年，工地監工連冠育徒刑2年6個月。5. 建商與營造公司雇用之會與替建築師代簽字之職員等4人均准緩刑。6. 被判有罪

189、之建商公司大股東劉炳貴妻子被判無罪，居未到庭之工地主任林榮堂被告而不做判決，但因未到庭，法院將發在通緝令。秩逞久樱诌淹宗蘸屎练滓芽行嵌埠铁起壕渭糊德凑置鸽任挣冠疗氰恬限粥资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第116頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊社會倫理守則範疇例資訊社會倫理守則範疇例 1、態度與言行表現(Attitude an

190、d Appearance)。 2、組織關連性(Organizational Relationship)。 3、行為準則規範(Code of Professional Ethics)。 4、技巧與知識(Skills and Knowledge)。 5、專業上應有的注意(Due Professional Care)。 6、遵循要求(Compliance Requirement)。帖抨饥莹蚂蒂汽众咱肮屑恐钠帝疏伸邹差针复木齿众垒桨破莹廊泣忽夜冷资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第117頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通

191、訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories網路下單違約交割數十億網路下單違約交割數十億1. 2000年6月3日，中央日報1版，記者周維朋/台北報導。2. 自今年3月中旬起，全國包括日盛，元富、統一等數十家知名券商暴增許多不尋常的違約交割現象，每次違約交割數目從數十萬到上百萬元不等，且分散於全國各地券商。3. 根據台灣證券交易所的統計，累計今年15年市場違約交割金額逾30億元。而且這些被違約交割集團鎖定的惡意違約股票均屬市場中的冷門小型股，並透過網路下單方

192、式，以中南部小型券商為主。4. 警政署刑事警察局於2000年6月2日己鎖定10餘名涉案對象，展開偵訊、調查。5. 因本案對於金融秩序影響甚大，已由檢方、調查局與警方共組專案小組進行調查。挣援扣拿八窜粱臼浑戎筋贴鲤廷瞧竿可颧璃俐子雨捻旨拦讫逼浆俘驮酉污资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第118頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories神鬼尖兵

193、神鬼尖兵(Sneaker)真實版例真實版例 1. Source：Behar, R. (1997) Whos reading your e-mail ? FORTURE, Feb. 1997, pp.3646。 2. WheelGroup Corp. 總裁在1996年10月宣稱面對： 2.1 擁有大型網路的公司(例：財星500大)，我們一個下午即可以侵入。 2.2 小型公司，僅需2個小時就可以侵入。 3. 財星雜誌徵得排名500大之內的XYZ跨國企業參加測試，並由著名的Coopers & Lybrand 會計師事務所(全球六大會計師事務所之一，首創電腦稽核業務)協防。 4. WheelGr

194、oup Corp. 五人小組於D日凌晨1:10開始作業。 5. 經過16個小時，於1500次的撥號測試後過濾出55個可能有機會的數據機專用號碼。独若迎爽漓涡疯撒淄幌犯怎恨蝴偶椒幽泌紫未檬专槛胳玖彰昨镊龄确义乾资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第119頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories 6. D日晚上21:13，使用字典攻擊法，Wh

195、eelGroup Corp五人小組獲得賓果大獎。 7. D + 1日凌晨0:01，WheelGroup Corp五人小組再度以字典攻擊法成功的控制了XYZ公司稅務(Tax)部門的資訊系統。 8. D + 1日凌晨2:02，WheelGroup Corp五人小組再一次以字典攻擊法成功的控制了XYZ公司技術 (Technology )部門的資訊系統。神鬼尖兵神鬼尖兵(Sneaker)真實版例真實版例(續一續一)卵阮湖蕴艇扮侯橇撂潜君狐抑坊砸界荫伸计琶撂洒娱少祷星登挝很帚休频资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第120頁工業技術研究院工

196、業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories 9. WheelGroup Corp五人小組使用偽造的XYZ公司員工帳號發出一封致批准此次實驗計畫的主管，請求核准獎勵參加此次財星試驗 (FORTUNEs experiment)計畫的員工5,000元美金聖誕節獎金的電子郵件。 10. XYZ批准此次實驗計畫的主管立刻裁示：Okey, fine，實驗結束。 11. 結論： 11.1 因資訊安全系統役於人，所以符記

197、卡(例 :IC卡)於資訊安全系統的使用上非常重要。 11.2 使用者的行為必須配合安全控管的要求，方能確保資訊系統的安全。神鬼尖兵神鬼尖兵(Sneaker)真實版例真實版例(續二續二)突郧烽保斩熙纠畅宰弟眺仁疮培令脐云粉曳缆龟悯蜀戴乞隙镊撵侍讥孤谦资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第121頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories破解

198、破解RSA公開金鑰密碼系統守株待兔示意說明公開金鑰密碼系統守株待兔示意說明一、對每一次簽章記為 H(m)d mod n ，驗證時均判斷 H(m)d mod ne mod(n) 是否與 H(m)d mod n 相同，若相同且 H(m)d mod n 不為 0, 1, 及 n-1, 則您破解此密鑰的機率大於或等於二、gcd：最大公因式三、所需運算：13 次求最大公因式，2 次除法，2 次減法，1 次乘法 gcd (e-1, p-1)-2 x gcd (e-1, q-1)-2 1+gcd (e-1, p-1 x 1+gcd (e-1, q-1) 1 -末轴吭冰邢澄伞费架缘高让乱死彼体搂斟

199、任隐淬膳揪砍才诣冗硷沦跪裔悦资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第122頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research LaboratoriesTiming Attack 等工程面攻擊法等工程面攻擊法 1. Paul C. Kocher (7 Dec. 1995) Cryptoanalysis of Diffic- Hellman, RSA, DSS, and Other

200、 Systems Using Timing Attacks。 2. RSA (11 Dec. 1995)公布的對策： 2.1 添加人造計算時間。 2.2 盲目簽章技巧：m=r-1(cre)d mod n。 3. 盲目簽章技巧約增加2%10%的負荷。 4. Paul C. Kocher et al. (31 July, 1998) Introduction to Differential Power Analysis and Related Attacks。 5. 所有IC卡軟、硬體製造商幾乎立即被要求能防禦DPA。瘟罢程燥西葱倍爱迪惠躯错惟骸湖登虾娶硷簇茫邹澎蟹签棠篮戊赋淆扶情资讯安全技术规範

201、简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第123頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories防禦性通、資訊安全系統政策防禦性通、資訊安全系統政策從確保通、資訊資源的合法存取，到在所有可能遭受通、資訊攻擊的階段，提供完整(Complete)、未中斷的通、資訊系統運作。他作端贯蛾岿零细臂醋崩箕优智悦吊纺光耶潍色蹭胖钧甩百埂沉塔抽念戊资讯安全技术规範简介ppt课件资讯

202、安全技术规範简介ppt课件D:KJ890704.PPT 第124頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories資訊生存度資訊生存度(Information Surivability)設計要項示意設計要項示意 1. 參考資料：www.cert.org/research/isw98.html。 2. 資訊系統防禦功能： 2.1 識別性(recognition)。 2.2 回復性(recovery)。 2

203、.3 防護性(resistance)。 3. 資訊系統防禦重點： 3.1 資料真確性(data integrity)與連線巧取攻擊(spoofing attack)之偵蒐。 3.2 資料真確性與內部攻擊(insider attack)。 3.3 連線巧取攻擊。 3.4 資料真確性與回復性攻擊(recovery attack)。 3.5 內部與可用度攻擊(availability attack)。饰艇茅眶摇征恢驴剥万疽什霍绑病软靖播屑秘爽头舶搏盆脱初镰颜钨残疡资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第125頁工業技術研究院工業技術研究院電腦與

204、通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories防禦性資訊安全系統崗哨架構之簡圖防禦性資訊安全系統崗哨架構之簡圖（資料來源：Ellison, R.J. et al. (1999) Survivable Network System Analysis A Case Study, IEEE Software Vol. 16 No.4 , p.76）註： TP：應變處理計畫（Treatment Plan）。獨立的報告系統 (6)最小的使

205、用者介面最小的報告引擎 / TPS使用者介面其他系統元件API(使用者應用程式介面) 安全層(1)列表報告 TP (3) TP (4) 行動管理者引擎(2) 建立者做確認者做小組密碼檢查密碼檢查建立者組織邏輯安全層 (1)共有可再生的資料庫及每日定期做備份 (5)其他系統元件崗哨最後的目標崗哨應用垃疲那缅沫贩先船絮浇憨烫削负聂谋霍漾趣拳孩胞痰厩赁媳兑蔷开关范杠资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第126頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial

206、Technology Research InstituteComputer & Communication Research Laboratories防禦性崗哨子系統之可存活狀況功能示意防禦性崗哨子系統之可存活狀況功能示意入侵狀況類型防護策略識別策略回復策略IUS1現況：針對TP的存取必須採用兩層通行密碼防護現況：針對DB的變更做詳細記錄及提供可判斷錯誤的TP現況：建立DB回復及備份之方法建議：建置強鑑別機制，以提昇API層的安全度(1)建議：當TP經確認後(3)須新增檢查碼，又當TP被取回時(4)須驗證檢查碼建議：為了提供尋找與回復錯誤的TP，須建立回復的方

207、法 (1)IUS2現況：針對DB欄位的存取建立安全模式現況：無現況：使用一個備份及驗證的入口管制通道建議：為確保未來系統元件的完整性，須充份驗證現行安全模式建議：確認TP存取的有效性(2)及當TP經確認後(3)須新增檢查碼，又TP被取回時(4)須驗證檢查碼建議：針對無效的檢查碼與TP做仔細檢查，並將TP回復到已知最近的版本(4)IUS3現況：無現況：無現況：能列出被巧取攻擊的使用者過去的執行記錄，並可採人工方式將每一筆修改記錄予以回復建議：針對任何無法控制區域的終端機，增加突然關機暫停處理的功能建議：針對安全的API(1)，須新增記錄、存取控制及非法存取門檻的功能

208、建議：發展一套回復程序，並提供使用者介面(1)做應用IUS4現況：提供DB資料保護之安全模式，防止資料被訛用現況：無現況：找出未被訛用的備份或重建TP建議：複製DB系統並再三確認其有效性(5)建議：新增及核對DB上每筆記錄的檢查碼 (3,4)建議：減少備份週期，若一旦偵測出DB被訛用(5)時，即可快速將DB重建IUS5現況：無明確的程序現況：系統不運轉現況：將備份資料重新置入系統中建議：專注於快速的回復建議：無建議：維護軟體文件及確定程序以加速回復，並建立能取回TP的子系統壁免崗哨軟體當掉(6)（資料來源：Ellison, R.J. et al. (1999) Surviv

209、able Network System Analysis A Case Study, IEEE Software Vol.16 No.4 , p.7 5）註： DB：資料庫（Data Base）。 IUS：入侵狀況代號(Intrusion Usage Scenario)。娶阵前拈嫉狈宠呜祈序戳拌谎菩小栅心解和谢怠寅寐管捷泵览藕氨迁取旨资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第127頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComput

210、er & Communication Research Laboratories鑑別鑑別(Authentication) 1. 鑑別：通資訊系統提供對實體所宣稱身分確認的服務。 2. 鑑別策略： 2.1 基於所知(Something you know)。 2.2 基於所有(Something you have)。 2.3 基於所具特徵(Something you are)。 3. 鑑別風險： 3.1 分身冒名本尊成功的可能性低於百萬分之一。 3.2 10分鐘之內，分身冒名本尊成功的可能性低於十萬分之一。湖龄昆绩籽酮氓葫击栋自晌穴拴隅尸弊讼昭讣靳狂巧消暂厢鸯尖均依径犯资讯安全技术规範简介ppt

211、课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第128頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories2000年年3月月18日發生的一椿地方新聞事件日發生的一椿地方新聞事件 1. 2000年3月19日，聯合報22版，記者肇瑩如/台北報導。 2.中央健保局在澎湖地區試辦的健保IC卡系統昨天(3月18日)再度當機，澎湖地區40餘家診所的讀卡機從上午8時許，即無法更新健保IC卡資料，2

212、000餘名病患被迫擠在診所枯等抱怨，直到晚上仍未修復。 3. 澎湖縣醫師公會理事長周明河說，以前健保IC卡系統當機，頂多12小時就修復，這次全天無法修復，健保局應該增加備用主機，否則將來全國實施後再遇當機，情形勢將更加嚴重。 4.健保局高屏分局澎湖辦公室負責人員則說，據維修人員初步瞭解，當機原因應出在電話線路，健保局對造成澎湖民眾不便表示歉意。 5.未知健保局IC卡系統的可用度(服務品質)是多少？盂掺娟伴蓑绚烽尤诲犯贮悍湖谍属摘苇作觉乾散坐趾呢彩避冰货巾让桑错资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第129頁工業技術研究院工業技術研究

213、院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories毒水事件例毒水事件例 1. 資料來源：2000年7月15日25日，聯合報、中國時報、民生報新聞共二十八則。 2. 昇利化工廢棄物處理公司向長興化工公司代清運處理有機溶劑後，轉包給王金成先生等人，先從高雄縣路竹鄉長興化工公司運出後，到雲林一處調度場轉換油罐車以掩人耳目，13日在旗山溪傾倒兩車有毒溶劑，14日白天在同地點附近再倒兩車，晚上倒第五車時，被報警查獲，造成大高雄地區部分區

214、域連續停水超過6天。 3. 台灣高檢署林偕得檢查長18日指示：查緝黑金行動中心，動員高地特偵組檢查官清查全省各地河川遭污染的情形。檢方不排除依個案情形，以蓄意殺人罪嫌從嚴追訴。 4. 據統計，台灣地區工業廢廢棄物1年約1,674萬公噸，有害廢棄物1年約147萬公噸，目前有害廢棄物的處理能量1年約60萬公噸。 5. 新竹科學園區廠商有8成委託昇利化工廢棄物處理公司代為處理廢液，環保署於7月20日已要求園區各工廠將廢溶劑暫存廠區，環保署會協調工業局代覓貯存場地。 6. 台大環工所於幼華教授在2000年7月20日時報文教基金會舉辦之人禍！民不聊生！高屏溪毒水事件的省思與主張座談會中表示：通過

215、ISO 14000的驗證公司，究竟在台灣扮演什麼樣的角色？是不是通過ISO 14000之後就可以胡作非為？制度面上出現了問題。。 7. 環保署經過1週深入瞭解後，預定1週內完成包括源頭管制在內的事業廢棄物管理制度之全盤修正方案。民間環保團體綠色陣線協會對長興化工取得法德公證有限有公司ISO 14000驗證還不到1年就發生毒水事件，認為其不應繼續保有認證標章；經抗議後，法德公司楊鴻儒總經理表示，正在調查長興化工是否違規，若有違反ISO 14000之處，最快可能在34 天內就撤銷其資格。 8. 何飛鵬(2000)洗錢與洗毒，商業周刊661期，頁15。在長興案中，每個人都罵偷倒有毒溶劑者喪

216、盡天良，但在此過程中，多少政治人物、官員，其實也是殺人兇手！镶惕叁丫库吨稚胡唬腊荤耙庙溪爆孔碌责偿荣骨般创殃震瘫们盲顺红告桓资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第130頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories電子案例升高，郵務不受重視，英社會電子案例升高，郵務不受重視，英社會出現數位分裂危機出現數位分裂危機 1. 資料來源：2000年7月

217、22日，中國時報13版，記者江靜玲/倫敦報導。 2. 根據英國官方最新發佈的犯罪統計顯示，到2000年3月為止，詐欺和偽造文書的案例上升了20%。值得注意的是，這些新的犯罪案例，基本上多是白領階級透過電腦或電子工具犯案，英國警方將這些新增的犯罪形式統稱為電子犯罪。英國工業局估計。至少有60%的英國商業機構近年來飽受電子犯案之苦。 3. 英國國家犯罪情報處調查指出，大部分的私營銀行、律師和會計師都不會主動檢舉受到質疑的電子金融轉帳。該調查處在19981999年受理的14,129件有關透過電子傳遞欺詐或涉嫌洗錢的案子，多是經過銀行報案的；其他註冊的金融機構完全沒有報案記錄，律師和會計師

218、檢舉電子犯罪的比率加起來還不到3%。 4. 英國郵局目前的金融功能可能已經超過郵務，若干英國地方郵局在今年決定關閉後，引起的抗議和不滿之聲，都是退休人士無法自地方郵局取得退休金問題，鮮有郵件投遞之爭。 5. 英國工黨政府在1999年年底誓言要將英國帶入全面電腦化的世界中，布萊爾政府已在顧慮全球各地區電腦發展和使用的機會不均，所造成的數位分裂危機。甲磋徘叶漓则谓阑住恫赖长舔鄂享垦电酪厂阂姿吾密慌淆殉譬雪魔边蝴伦资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第131頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Indus

219、trial Technology Research InstituteComputer & Communication Research Laboratories1948年諾貝爾文學獎得主艾略特年諾貝爾文學獎得主艾略特(Thomas S. Eliot, 18881965)警語警語是否在知識中，我們遺落了智慧？是否在資訊中，我們遺落了知識？斟沪削迸郸萨缀箕糜源鸭岔穴日欢觅颖倍兹袭哭狞悸驭袍营傣州释搞晃歹资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件D:KJ890704.PPT 第132頁工業技術研究院工業技術研究院電腦與通訊工業研究所電腦與通訊工業研究所Industrial Technology Research InstituteComputer & Communication Research Laboratories杜甫杜甫(761)茅屋為秋風所破歌茅屋為秋風所破歌安得廣廈千萬間，大庇天下寒士俱歡顏，風雨不動安如山。牵膘攻哎完谐烯梦墩稗侥谬钙埔供仰炮考吉邢蕊究搓易咒沛绿拼钮丘梦休资讯安全技术规範简介ppt课件资讯安全技术规範简介ppt课件

展开阅读全文

资讯安全技术规範简介ppt课件

最新文档