slide1
Download
Skip this Video
Download Presentation
個人資料相關資訊安全管控措施 從閘道到端點執行技術保護

Loading in 2 Seconds...

play fullscreen
1 / 65

個人資料相關資訊安全管控措施 從閘道到端點執行技術保護 - PowerPoint PPT Presentation


  • 51 Views
  • Uploaded on

個人資料相關資訊安全管控措施 從閘道到端點執行技術保護. V 0.9. Your Security , Our Mission 企業資安 , 桓基把關. 簡報大綱. 前言:資料洩漏的統計資料 資訊 保存 技術層面 封鎖資料的傳遞路徑 - Web Application 封鎖資料的傳遞路徑 - Email 封鎖資料的傳遞路徑 - 遠端畫面 操控. 前言:資料洩漏的統計資料. DataLoss DB. 2005 ~ 2006 是資料外洩事件爆發點. 410.2%. 景氣跟資料外洩也有正向關係. 357.8%. 資料來源.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 個人資料相關資訊安全管控措施 從閘道到端點執行技術保護' - dyanne


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
個人資料相關資訊安全管控措施從閘道到端點執行技術保護個人資料相關資訊安全管控措施從閘道到端點執行技術保護
  • V 0.9

Your Security , Our Mission

企業資安 ,桓基把關

slide2
簡報大綱
  • 前言:資料洩漏的統計資料
  • 資訊保存技術層面
  • 封鎖資料的傳遞路徑-Web Application
  • 封鎖資料的傳遞路徑-Email
  • 封鎖資料的傳遞路徑-遠端畫面操控
2005 2006
2005 ~ 2006 是資料外洩事件爆發點

410.2%

景氣跟資料外洩也有正向關係

357.8%

資料來源

slide6
資料洩漏-以洩漏方式區分

個人電腦遭竊

郵件傳遞

實體文件隨意丟棄

網頁系統

(資料未妥善防護)

詐欺、社交工程

筆記型電腦遭竊

駭客入侵 (竊取內部資料)

slide9
資料洩漏-以資料屬性區分

雜項

出生日期

醫療資料

住家地址

身分證號

姓名

  • 個人基本核心資料 (姓名、身分證字號) 占了近 5 成
slide10
資料洩漏-以組織類型區分

政府機關

醫療單位

教育單位

商業組織

slide11
資料洩漏-以來源區分

內部人員-惡意行為

內部人員-無心之過

  • 雖然資料洩漏事件人以外部人員取得為主 (53%),但來自內部人員的疏忽與惡意行為已不可忽視(36%)。

外部人員(管道)取得

slide12
前言總結
  • 資料外洩方式
    • 駭客入侵 (24%)
    • 電腦遭竊 (18%)
    • 詐欺與社交工程 (12%)
    • 網站系統 (10%)
    • 文件隨意丟棄 (7%)
    • 郵件路徑 (7%)
  • 個人基本資料 (姓名與身分證號)仍為主要外洩外洩類型 
  • 透過外部人員與內部人員洩漏的比重相當
slide14
資料防護 – 技術面
  • 資料存取記錄保存
  • 系統存取記錄保存
  • 防護裝置記錄保存
  • 資安事件關聯
  • 身分識別
  • 教育訓練
  • 裝置安全防護
  • 安全軟體開發
  • 系統安全檢測
  • 系統安全監控與防護
  • 系統活動監控與攔截
  • 資料盤點
  • 資料加解密
  • 資料變造
  • 資料授權
  • 資料存取軌跡
slide15
個資盤點:找出個資所在地
  • 利用資料流概念來清查組識內含有個人資料的紙本或電子檔案,了解內部個資範圍。
  • 1.紙本檔案
  • 2. 電子檔案
  • 存放在個人電腦、檔案伺服器、磁帶與光碟中
  • 3. 應用系統
  • 大多是以資料庫方式儲存
slide16
個資盤點工具-電子檔案
  • 中華民國個資保護協會-單機版個資檢測工具
    • http://www.cdpa.org.tw/privacyagent.html
slide19
電子檔案(內容)的防護原理
  • 資料加解密
    • 將原始資料加密,未授權者看到是亂碼,例
      • A123456789 (原始) => zCD#45%FccKc$u (加密)
  • 資料變造 (遮罩)
    • 將原始資料經過修改,未授權者看到是無意義資料,例
      • A123456789(原始) => B125321123 (變造)
      • A123456789(原始) => A1*3*5*7*9 (遮罩)
  • 資料授權
    • 只有授權者才可開啟此檔案
slide20
電子檔案防護-密碼與加密
  • 大多數電子檔案應用軟體均有支援密碼保護,也可用壓縮軟體 (如 7-zip) 來啟用加密防護
  • MS Word
  • 壓縮軟體 7-Zip
slide21
電子檔案防護-磁碟加密
  • 直接對磁碟加密,降低實體儲存裝置遺失的外洩風險
  • 常見工具(軟體)有 USB 加密碟、MS BitLocker與 TrueCrypt (Free) 等
    • http://www.truecrypt.org/
  • 重要: 一定要先做好備份
slide22
密碼強度是很重要
  • Google “rar password cracker”, “office password cracker ”,可以找出一堆解密軟體 ,個人電腦可在幾小時至幾日內解出常用密碼。
  • 目前個人電腦都配有 3D 顯示卡,更可透過 GPU 來加速解密速度。

ElcomSoftCo.Ltd.

下載

價格

slide23
電子檔案防護技術: DRM
  • DRM 最早是用在數位音樂與數位電影的保護,只有合法授權者才可以讀取數位媒體檔案。
  • 目前也常被用來保護以電子檔案形式存在的機敏資料,如研發設計稿、財務資料、個人資料等電子檔案。
slide24
電子檔案防護: 授權管控
  • 透過檔案系統的 內建 ACL 清單
slide25
檔案授權管控系統 (商用軟體)
  • 點選目錄(檔案),可列出相關人員的存取權限
slide26
檔案授權管控系統 (商用軟體)
  • 點選部門(人員),可列出檔案的存取權限
slide27
檔案授權管控系統(商用軟體)
  • 檔案的存取動作 (開啟、修改、刪除)均會被詳細記錄
slide28
資料外洩常見方案 : DLP
  • Data Loss Prevention,常見有三種類型:
  • 檔案控管 (File Protection):
    • 透過控管檔案本身避免資料外洩,如將機密文件加密。
  • 周邊控管 (I/O Protection):
    • 控管周邊硬體,限制或紀錄輸出入與儲存裝置等的使用狀況,防範機敏文件透過 USB 等周邊硬體外洩。
  • 網路控管 (Network Protection):
    • 控管網路,透過限制、側錄或寄路藉由網路傳佈的Email 、MSN 、 Skype 等作業,防範機密資料透過網路外洩。
slide29
裝置安全: 端點防護軟體

安全符規控管

網路存取控管

  • 2. 安全政策遵循
  • (強制所有人都採用相同的管控政策)

應用程式控管

裝置管控

主機型入侵偵測

  • 1. 端點防護
  • (防止惡意攻擊、惡意軟體入侵)

主機型防火牆

防間諜軟體

防毒

slide30
裝置安全:端點軟體產品規格
  • 完整端點防護軟體大多是由防毒軟體廠商的市場
slide32
Web 應用系統安全問題
  • 全球 Web 服務安全需求,將進入高速成長期
    • Web 服務全面普及:Web 應用服務已成為網際網路普及最大的應用服務,可預期的是舊有主從式應用系統轉移成Web 化應用,已成為銳不可擋的趨勢,而伴隨著帶來更多潛在安全漏洞及駭客攻擊的威脅,已造成重大的資安隱憂。
    • 七成網路攻擊鎖定 Web 網站:Gartner 報告指出,已發生網路攻擊事件中,有 70% 以上都是針對 Web 協定與相關系統及服務。 Google 分析報告也說明全球至少 2/3的網站是脆弱且易受攻擊, Web 安全蔚為企業關注的資安焦點。
    • 傳統防火牆已無法有效阻擋:傳統的網路層級防火牆及入侵偵測/防禦系統 (IDS/IDP) 已被證明是無法阻擋深層的 Web 應用攻擊,顯然的企業需要更高層級的應用程式防火牆 (Web Application Firewall) 。
slide33
為何網站弱點是不容被忽視呢?
  • Frequent
    • 3 out of 4 business websites are vulnerable to attack (Gartner)
  • Pervasive
    • 75% of hacks occur at the Application level (Gartner)
  • Undetected
    • QA testing tools not designed to detect security defects in applications
    • Manual patching - reactive, never ending, time consuming and expensive
  • Dangerous
    • When exploited, security defects destroy company value and customer trust

>1000 application ‘Healthchecks’ – 98% vulnerable: all had firewalls and encryption solutions in place…

slide34
程式設計師要負最大責任
  • OWASP 十大缺失有一半以上都是程式設計師的錯! 程式設計師要負起最大的責任!
slide35
常見 Web 應用系統架構
  • 程式設計師的疏忽,造成 Web 應用伺服器的漏洞,讓儲存在資料庫中的機敏資料(個資),輕易被未授權取得。
  • 出問題的在這裡
  • 個資、重要資料存在這裡
slide36
常見網站安全解決方案
  • 網站弱點掃描暨弱點評估服務
    • Vulnerability Assessment & Consulting Service
  • 滲透測試暨弱點評估服務
    • Manual Penetration Test & Consulting Service
  • 自動化工具/人工原碼檢測暨諮詢服務
    • Automated and Manual Code Review & Consulting Service
  • 網站防火牆
    • Web Application Firewall
slide37
網站弱點掃描與弱點評估
  • 市場常見服務
    • 使用自動化弱點掃描工具,對作業系統、系統服務、與 Web 應用程式進行檢查。
    • 分析判斷掃描結果與提出弱點修補建議,協助客戶進行補強工作。
  • 網站自動化弱點掃描工具
    • 模擬 Web 客戶端,使用標準 HTTP 協定找出網站應用系統可能具備的弱點。
    • 此種方式稱為黑箱測試法
    • 跟原碼檢測工具相比,網站自動化掃描工具並不直接掃描原始碼,而是利用攻擊方法來驗證受測網站是否具備弱點。
slide39
自動化工具原碼檢測
  • 大量重複性的檢測可以使用機器代勞
slide40
人工原碼檢測
  • 以人工方式,逐行檢測 Web 應用系統的程式碼。找出程式語法漏洞,更能夠針對程式邏輯 (Business Logic) 找出缺失。
  • 與自動靜態原碼檢測工具相比,人工原碼檢測方式能夠判斷出邏輯上的缺失。
slide46
步驟五:分析隱藏欄位

駭客的直覺反應:

按右鍵檢視原始檔

看是否有隱藏欄位(hidden form)

slide47
步驟六:分析隱藏欄位

很多隱藏欄位,許多都是為了防止暴力攻擊法

javascript
步驟七:分析 JavaScript

queryLoginStts() -> Ajax(popup/ajax_isUsrLogin.html)

驗證是否已經登入過…..(為淺在問題…)

assessment levels security assessment techniques relative depth
Assessment Levels Security Assessment Techniques – Relative Depth ?

Business Criticality (Impact of Loss)

(Defined by Business)

Expected Security Assurance (Assessment Depth – Expected Level of Security)

(Defined by Corporate Security)

slide52
使用WAF 的必要性
  • 大多的 Web 應用系統均具有某種程度的弱點,差別只是貴單位的網站是否有被駭客所掃到 (是否含有重要資料),弱點是否有被濫用。
  • 程式設計人員理應要想辦法開發更安全、更可靠的軟體系統。
  • 但大多 Web 程式設計師均缺乏資安觀念,“如何寫出安全程式碼”的觀念並不是人人都具備。
  • 系統管理者仍需要在 Web 應用系統弱點尚未修復前,想辦法防止此弱點被駭客入侵
  • 因此網站防火牆可視為在應用系統弱點修復前,短期的第一線防禦工具。
slide53
WAF : 第一線防禦工具
  • 針對網路瀏覽行為與網頁回應紀錄,檢測防火牆未能深入檢查的 HTTP、HTTPS、SOAP、XML-RPC 資料封包
  • 作為補強傳統防火牆不足之深層防禦機制,達到有效防範機密被盜取
email
電子郵件是資訊傳輸的第一道大門,做好郵件稽核是防範資料外洩的關鍵電子郵件是資訊傳輸的第一道大門,做好郵件稽核是防範資料外洩的關鍵封鎖資料的傳遞路徑-Email
slide55
郵件系統七大安全要求

七道安全防護

做好個資把關

  • 行動載具安全防護
  • 郵件歸檔及調閱
anti spam anti virus
第一防護:Anti-Spam & Anti-Virus
  • 應能有效阻擋病毒信、社交工程信件等

可依據每位員工的不同工作屬性,讓使用者自行設定個人垃圾郵件判定門檻

slide57
第二防護:郵件稽核
  • 可依組織單位階層分層分權執行事前/事後稽核
slide58
第三防護:個資郵件自動盤點
  • 應內建個資稽核規則範本,自動偵測郵件是否內含個資內容
    • 個資範本:地址、生日、電話號碼、手機號碼、身分證號、信用卡號、銀行帳號等
    • 偵測範圍:郵件標頭、郵件內文及附件內容
    • 處理動作:隔離、退回等
slide59
第四防護:外寄郵件免責宣告
  • 組織個資郵件護身符:
  • 透過組織簽名檔的方式,針對每一封外寄郵件,自動加入免責宣告簽名檔,作為組織善盡個資保護的舉證之一,協助組織及負責人降低法律上的責任
slide60
第五防護:收件者個資遮隱
  • 大量發送或多次轉寄郵件可能外洩個資
  • 曝露收件者的郵件信箱
  • 郵件內容洩漏個人資料
  • 保護收件者個資的正確操作方式
  • 使用自動化密件副本功能,保護收件人郵件信箱資料
  • 刪除轉寄郵件內文之個資文字

大量收件者自動轉為密件副本

slide61
第六防護:郵件歸檔及調閱
  • 應完整保存郵件原始檔案符合個資法舉證資料之不可修改性
slide62
第七防護:行動載具安全防護
  • 行動個資安全防護 (PIM Security)
    • 資料保密:個資遮罩 (Auto-Mask) 、SSL 傳輸加密
    • 防盜機制:裝置識別碼驗證、裝置遺失保護(Remote Wipe)
    • 資料還原:更換新手機時,同步還原郵件 PIM 資訊

PIM Security

slide64
遠端畫面控制
  • 實體隔離網路環境
    • 常用在軍方、財稅與銀行內部,成為一封閉系統。
  • 遠端桌面控制:
    • 模擬實體隔離網路,僅保留畫面操作
    • 常用在系統管理、重要資料存取與外包廠商維修
  • 強制操作行為
    • 無法拷貝檔案與本地列印
    • 無法傳播任何病毒、惡意軟體等
    • 使用者無法窺視其他基礎設施
  • 監視與稽核
    • 集中追蹤與記錄
    • 連續錄影

操作站

中繼站一

中繼站二

中繼站三

重要系統

slide65

謝謝指教

桓基科技 企業資安 桓基把關

ad