資訊安全與資料保全
This presentation is the property of its rightful owner.
Sponsored Links
1 / 72

資訊安全與資料保全 PowerPoint PPT Presentation


  • 164 Views
  • Uploaded on
  • Presentation posted in: General

資訊安全與資料保全. 主講人 : 賴溪松教授 [email protected] 中心主任兼召集人 成大資通安全研發中心主任 國立成功大學 電機工程學系 特聘教授 http://crypto.ee.ncku.edu.tw E-mail : [email protected] 自我介紹. 1990 年成大電機博士 ( 國內第一位資訊安全博士 ) 國科會傑出獎 (1996-1997,1998-1999) 傑出資訊人才獎 (1999) 成功大學計算機網路中心主任 (1999-2005) 崑山科技大學資訊科技學院院長 (2005/8-2007/7)

Download Presentation

資訊安全與資料保全

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


5724104

資訊安全與資料保全

主講人: 賴溪松教授

[email protected] 中心主任兼召集人

成大資通安全研發中心主任

國立成功大學 電機工程學系 特聘教授

http://crypto.ee.ncku.edu.tw

E-mail:[email protected]


5724104

自我介紹

  • 1990年成大電機博士(國內第一位資訊安全博士)

  • 國科會傑出獎(1996-1997,1998-1999)

  • 傑出資訊人才獎(1999)

  • 成功大學計算機網路中心主任(1999-2005)

  • 崑山科技大學資訊科技學院院長(2005/8-2007/7)

  • 大學網路選填志願技術主管(2005)

  • 台南市軟體協會理事長(2007/8~迄今)

  • 成大資通安全研發中心主任(2007/8~迄今)


5724104

密碼與網路安全研究室簡介

  • 已畢業:博士:12人    碩士:55人

  • 在學研究生:博士:5人      碩士:13人

  • 助理:專任技術助理:6人   專任行政助理:2人

  • 博士後研究:1人


5724104

密碼與網路安全研究室

資訊安全

管理系統

系統安全

網路安全

資通安全研究與教學中心(TWISC)

整合性密碼程式庫及工具組套件

協助教育部資訊安全管理系統

台灣網路安全測試平台(TWANST)

PKI相關技術

滲透測試

地方政府資通安全


Outline

Outline

  • 安全重要?不要?

  • 資訊安全

    • 何謂資訊安全?

    • 資訊安全現況與威脅。

  • 資料安全

    • 何謂資料安全?

    • 資料外洩的管道與方式。

  • 結論


5724104

安全重要?不要?


5724104

安全重要?

  • 汽車的安全性是否重要?

  • 國人購買汽車的考慮因素:

    • 價格

    • 性能

    • 省油

    • 外觀

    • 安全


5724104

安全不要?

  • 依WHO統計,每十萬人車禍死亡率上,台灣2005年即高達20.8人,相對高出美國14.6人與日本的7人。

  • 86.5%台灣車主認為安全器囊很重要,但歐美標配一台車6顆,台灣只有1.47顆。


5724104

安全真的很重要

  • 資訊安全與實體安全同等重要,但忽略資訊安全,所造成的損失很可能會遠高於忽略實體安全的結果。

  • 資源的投入≠完善的安全。

  • 保護資訊的安全必須瞭解:

    • What?

    • Why?

    • How?

    • When?

    • Where?


5724104

何謂資訊安全?


5724104

何謂資訊安全?

  • 資訊的價值

    • 直接可衡量

    • 間接可衡量

  • 為了發揮資訊的最大價值,就必須有效的防止資訊遭竊取、竄改、毀損、滅失或遺漏,簡言之,就是確保資訊的:

    • 機密性

    • 完整性

    • 可用性


5724104

資訊安全三要素

  • Confidentiality 機密性

    • 保護資訊不被非法存取或揭露

  • Integrity完整性

    • 確保資訊在任何階段沒有不適當的修改或損毀

  • Availability 可用性

    • 經授權的使用者能適時的存取所需資訊


5724104

資訊安全的範圍(1/2)

  • 定義保護及維護資訊的安全,包含:

    • 資訊的產生

    • 資訊的使用

    • 資訊的傳遞

    • 資訊的處理

    • 資訊的儲存

    • 資訊的銷毀

  • 網際網路加入後

    • 資訊的傳遞安全變得愈來愈重要


5724104

資訊安全的範圍 (2/2)

資訊安全

安全管理

系統安全

網路安全

確保資料安全的機制

資料的處理系統

資料的傳遞

  • 駭客攻防

  • 稽核管理

  • 儲存系統

  • 管理機制

  • 安全認證

  • PKI

  • 數位簽章

  • 資料保護

  • 金鑰信託


5724104

網路安全的定義

  • 資料在網路中傳遞與處理的安全

  • 威脅

    • 竊聽

    • 竄改

    • 重送

    • 阻斷服務

傳輸內容加密保護

簽章

身分驗證

目前尚無有效解決方法


5724104

目前的網路安全技術

  • 加密技術

    • 傳輸資料加密

    • 通道加密(SSL、VPN 、IPsec)

  • 身分認證

    • 電子簽章

    • 憑證(透過公正第三者做身份識別及確認)

      • GCA憑證

      • 自然人憑證


5724104

系統安全的定義

  • 資料在處理過程中的安全

  • 威脅

    • 黑客入侵

    • 木馬屠城

    • 安全弱點

    • 病毒蠕蟲

資安管理

資安稽核

資安制度

資安認知與教育訓練

資安工具


5724104

目前的系統安全安全管理技術

  • 系統安全需要以全面的觀點來看,制度與管理、技術與工具、訓練(人)缺一不可。

  • 資安制度:CNS17799、ISO 27001

  • 資安管理:資安政策、ISMS

  • 資安稽核:內部與外部稽核

  • 資安工具:Firewall、IDS/IPS、

  • 資安認知與教育訓練:提升資安意識與觀念。


5724104

資安現況與威脅


5724104

最近觀察到的狀況(1/3)

  • 舊的威脅與弱點仍然存在,且改善不多….

    • 2002年-2005年,仍有大部分政府及商業網站仍存在這SQL Injection弱點。

    • eg:

      • 駭客新手法 資料隱碼入侵 威脅九成官商網站(2002/04)

      • 建中學生入侵總統府網站(2003/04)

      • 駭客入侵大考中心 過去三年逾百萬筆資料外流 (2005/04)

      • 駭客入侵教師介聘網 篡改教師積分 (2005/06)

      • 大學生欠缺法律觀念當駭客 遭刑事局法辦 (2006/01)

      • 高二駭客以資料隱碼(SQL INJECTION)的手法侵入資料庫 (2006/01)


5724104

最近觀察到的狀況(2/3)

  • 駭客變成英雄…..

    • 媒體的渲染,卻忽略了事件背後的意義…

      • 用「少年駭客」、「天才」…等來形容駭客的行為,卻忽略了事件真正的重點-法治的觀念.

    • 廠商公開徵求…「進過偵九隊的」員工…

    • 「駭客變戰警 助警抓駭客」 (2005/07)

    • 時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事(http://www.time.com/time/magazine/article/0,9171,1098961,00.html)


5724104

最近觀察到的狀況(3/3)

  • 犯罪高科技化

    • 無線溢波洗錢案

      • 駭客利用「無線溢波」盜刷信用卡的犯罪集團,該集團以接收無線網路溢波的方式盜刷他人信用卡;然後利用線上付款網站、線上遊戲虛擬貨幣買賣「洗錢」 。(2/14)

    • 網路詐騙盛行

      • Phishing

      • 網路購物詐騙

      • 網路截標

    • 利用網路電話傳遞訊息

      • 兩岸三地犯罪集團利用網路電話聯繫、分工,避免警方查緝監聽。


5724104

歷年Web應用程式資安事件類別統計圖

23

資料來源:資策會,Web應用程式安全參考指引草案


Owasp top 10

OWASP Top 10

24


Phishing

網路釣魚(Phishing)

  • phishing這個新名詞,是將英文fishing(釣魚)的第一個英文字母"f",改變為"ph"。

  • 姜太公釣魚,願者上鉤

  • 另一種詐騙形式

    • 用來取得帳號密碼等..


5724104

原本的 US Bank網頁


5724104

偽造的 US Bank網頁


5724104

取得的資料

------------------------------------------

Number: 434678656782

Exp: 05/06

CVV2:

PIN: 5692

SSN: 166-32-6574

------------------------------------------

Number: 2342258056410967

Exp: 09/05

CVV2:

PIN: 1267

SSN: 234-56-3689

lognotfull123.txt999


Web application

Web application頭號嚴重資安弱點

29


5724104

攻擊資料分析

  • 2003年10月,成功大學與法國Eurocom合作Honeypot Sensor建置。

  • 架設Honeypot Sensor於成功大學,每日將台灣所收集的攻擊資料,傳送至法國Eurecom Honeypot Server統計。

  • 目前涵蓋20個國家,30個的Honeypot Sensor

  • 藉由Eurecom Honeypot Server長期的資料分析,可清楚的了解台灣與世界各國網路攻擊的差異。


5724104

攻擊台灣的前5大來源國-- 70%來自台灣本身

2%

3%

5%

6%

70%


5 51 7

攻擊法國的前5大來源國-- 51%來自世界其他各國-- 法國本身僅7%

5%

12%

7%

18%

7%


5724104

分析這些現象…

  • 人人都知道資安很重要,但卻不知如何做。

    • 所以舊的威脅依然存在。

    • 錯誤的觀念,將駭客拱成英雄。

    • 犯罪者利用來進行犯罪行為。

  • 駭客攻擊轉向有目的的行為

    • 竊取機敏資料

    • 要資料也要錢


5724104

未來資安趨勢

  • 駭客攻擊的手法趨於多樣化及混和型的攻擊。

  • 木馬程式成為洩漏機敏資料的首因。

  • 駭客攻擊目標轉向金融機構、企業內部的個人電腦及利用寬頻上網的家用電腦。

  • 攻擊後,資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。

  • 無線網路與網路基礎建設成為下一波攻擊標的。


5724104

何謂資料安全?


5724104

資料外洩事件

  • 隱私/資訊 洩漏

    • “利用銀行假網頁釣魚 竊取兩萬多筆個資” (卡優新聞網-2007.07)

    • “中國駭客入侵 漢光演習資料外洩”(TVBS-2007.4)

    • “分享軟體惹禍 警筆錄外洩任人下載 ”(TVBS-2007.4)

    • “So-net驚傳個資外洩 盜刷逾500萬” (TVBS-2007.2)

    • “無名小站遇「駭」 個資流入中國”(自由時報-2006.11)

    • 柏克萊加州大學警告,該校研究所入學許可辦公室的一台筆記型電腦遭竊,可能導致超過9萬8千人的個人資料外洩(CNET新聞專區 -2005.3)


5724104

  • 外部人員(5%)

  • 駭客、病毒

環境因素(15%)天然災害、地震等

  • 內部人員(80%)

  • 人為疏失、不誠信員工

資訊安全的威脅來源


5724104

資料安全的威脅

  • 內部威脅

  • 系統弱點

  • 內部員工

  • 管理不當

  • 內部網路

  • 協力廠商

  • 外部威脅

  • 天然災害

  • 硬體損毀

  • 駭客病毒

  • 明文傳遞

  • 連線欺騙

資料安全威脅


5724104

資料安全的範圍

  • 資料

    • 靜態資料(圖片、聲音、影片)

    • 動態資料(即時資料庫存取)

  • 資料安全的範圍

    • 資料的使用與傳遞

    • 資料的處理與儲存

    • 資料的管理與稽核

  • 維繫網路資料安全的三大要點

    • 網路安全、身份安全、檔案安全


5724104

資料安全的重要性

  • 資料檢索的安全

    • 資料分類與提供檢索的安全

  • 資料儲存的安全

    • 資料儲存與典藏的安全

  • 資料傳輸的安全

    • 資料傳輸與交換時所需要考慮的安全

  • 備份與災難復原

    • 資料的備份與銷毀確認


5724104

事先了解資料的價值

  • 資產價值

    • 用金錢來量化的數字

  • 時間價值

    • 用時間來量化的數字

  • 人力成本

    • 此資料修復或重建所需耗費的人力

  • 風險指數與機率預估

    • 代表預期可能發生的風險指數與機率


5724104

資料檢索的安全

  • 分類開放程度

    • 資料的價值

      • 對不同的人有不同的價值

      • 敏感性資料-個人隱私資料、稅務資料

      • 機密資料-國防安全、重要有價值的研發

    • 資料的等級

      • 普通、密、機密、極機密、絕對機密

  • 存取控制

    • 決定資料等級與誰可以取得資料

    • 將資料加密,只有有key的人才能解開

可公開資料

敏感性資料

機密資料


5724104

資料儲存的安全

  • 實體儲存安全

    • 實體存放位置的安全管理

  • 數位資料儲存安全

    • 儲存裝置:光碟、NAS 、Grid storage

  • 災難復原

    • 備援

      • 整套系統的備份(同步與差異性備份)

      • 包含資料及應用程式等系統環境

    • 系統備份

      • 備份資料

        • 完整備份

        • 批次備份


5724104

主管

國家

個人

需保護的資料

  • 國家資料-國防資訊、國家政策、軍事活動、國家機密…

  • 個人資料-家庭背景、婚姻狀況、學業成績、所得收入…

  • 病歷資料-門診記錄、診斷報告、檢查報告、病歷記錄…

  • 帳戶資料-銀行帳號、郵局帳號、密碼、信用卡、金融卡…

客戶資料-個人資料、交易記錄、帳號密碼…

機密資料-公司機密、公司政策、營運方針、產品報價資料…

財務資料-財務報表、公司帳務、營收資料…

人事資料-員工履歷、人事薪資…

智慧財產-各式設計圖、程式原始檔、產品研發…

重要文件-計畫書、合作案、 合約書、行銷策略文件


5724104

主管

國家

個人

資料外洩的嚴重性

  • 個人隱私被曝光

  • 個人資料被盜用

  • 個人名譽受威脅

  • 個人財產遭侵害

  • 嚴重的精神損失

  • 詐騙集團有機可乘

  • 機密資料外洩

  • 失去競爭優勢

  • 單位商譽受損

  • 高層主管下台

  • 官司訴訟問題

  • 民事賠償責任

  • 國家機密曝光

  • 損害國防形象

  • 兩岸敏感問題

  • 國防安全勘憂

  • 危害國家安全


5724104

資料外洩的管道與方式


5724104

竊取者

營運方針

財務報表

人事資料

產品簡報

MIS

系統架構

技術手冊

側錄失敗且無法開啓加密的檔案

解密失敗丟棄

竊取

竊取

竊取

側錄

檔案加密伺服器

竊取

側錄

竊取

權限控管

竊取

資料外洩的方式


5724104

type

storage

常見的資料外洩方式

隨身碟

光碟

螢幕畫面擷取

網際網路

即時通訊

網路分享

遠端存取

無線網路

公用帳號

惡意程式

內部員工

列印紙本


5724104

預防資料外洩的保護方法

  • 實體防護

  • 系統保護

  • 檔案加密

  • 加密技術

    • 傳輸通道加密(SSL、VPN 、IPsec)

    • 硬體加密

    • 軟體加密

    • 主機、網路與儲存媒體加密

  • 權限控管

    • 數位版權管理(DRM)

    • 文件保管系統


5724104

無網路

禁止使用網際網路

無外接儲存裝置

禁止員工攜帶外接儲存裝置

集中儲存

將資料儲存至某一資料庫或伺服器中,再將伺服器放置於機房內,加以保護。

網路監控裝置

記載網路上所有活動,公司也可以監視員工使用電腦的狀況或螢幕畫面,即時掌握員工使用資料的狀況。

實體防護


5724104

系統保護

在作業系統上限制檔案權限,如作業系統登入密碼,或用資料庫系統限制檔案是否可被允許存取,但檔案本質並沒有加密。

系統保護:

  • 相關案例

    • “PTT破大洞 星光幫個資外洩

    • 個資曝光 張懸堅持不換電話錯

    • 誤20分鐘 史上最大漏洞”

    • (台視新聞-2007.08)

    • “破解中華電、批踢踢~駭客

    • 竊千萬個資 林志玲也受害!”

    • (資安人-2007.10)

優點

  • 利用系統本身提供之功能

  • 方便系統管理人員管理

  • 確認使用者的身份

缺點

  • 系統容易被入侵或密碼被破

  • 實體檔案保護仰賴系統本身

  • 實體硬碟被竊無法防制


5724104

檔案加密

在檔案本身加上標記或是擾亂,必須透過單向或雙向解密函式才可以將原始檔案還原,擁有解密函式金鑰的用戶才可以解開。

檔案加密:

  • 相關案例

    • “微軟DRM技術接連遭破解”

    • (CNET-2006.07)

    • “手機記憶卡加密”

    • (Mobile01-2007.06)

    • “企業硬碟加密”

    • (Digitimes-2007.03)

優點

  • 實體檔案已被加密防護

  • 不需要考慮系統安全

  • 檔案攜帶式安全性高

缺點

  • 資料流通效率低

  • 檔案金鑰保管不易

  • 解密需搭配軟體解密


5724104

資料傳輸的安全

  • 安全的傳輸通道(SSL、VPN)

  • 資料加密後再傳送

傳統傳輸通道 ID、Password

加密資料傳輸通道

安全傳輸通道 SSL、VPN


5724104

硬體加密 vs. 軟體加密

類別

硬體加密

軟體加密

優點

  • 系統效能不受影響

  • 密鑰安全性較高

  • 可提供包括晶片卡在內的

  • 多重安全機制

  • 軟體功能彈性大

  • 可建立虛擬加密磁碟

  • 初始建置成本低,可由管理人

  • 員統一管理

缺點

  • 初始建置成本高

  • 可能會造成頻寬瓶頸

  • 需考量使用者環境

  • 與系統相容性問題

  • 耗用系統運算效能

  • 只能針對檔案加密

  • 每一部電腦需安裝加密軟體

  • 密鑰安全性較低

硬體加密 vs. 軟體加密

54


5724104

主機、網路與儲存層加密

類別

主機層加密

網路層加密

儲存層加密

實現

方式

在欲加密的伺服器上

安裝加密軟體

在儲存網路上

安裝加密硬體

使用具加密功能的

磁帶機或硬碟

優點

成本較低,可整合備

份機制可統一控管

便於統一管理,

不損耗系統資源

無須額外購置加密設

備,建置成本低

缺點

損耗系統資源

需額外購買加密設備,

建置成本相當高

難以對多臺儲存媒體

執行統一控管

主機、網路與儲存媒體加密


5724104

傳輸過程加密

文件製作者

Server

Server

傳輸過程加密

讀者

文件加密儲存

數位著作權管理(DRM)

  • 數位著作權管理(Digital Rights Management;簡稱:DRM)指的是出版者用來控制被保護對象的使用權相關技術,這些技術保護的有數字化內容(例如:軟體、音樂、電影)以及硬體,是一種透過加密技術,用以保護數位資料的管理機制,強調對使用者的檔案保護。


5724104

文件保管系統

  • 文件保管加密系統主要是針對統一集中式管理的安全防護。

  • 文件保管加密系統主要是採用Client/Server架構,由伺服器端與用戶端所構成,主要是達到文件保管加密的目的,讓使用者可以將資料集中至某一伺服器中,讓文件的存取更有系統。


5724104

資料安全威脅與對策

威 脅

對 策

私密性

身分識別

完整性

不可否認

竊 取

資料加密

冒 用

身分認證

竄 改

訊息認證

事後否認

電子簽章


5724104

完善的資料保護方式


5724104

運用系統工具保護資料:

利用現代的技術讓資料有系統的集中管理,達到更為安全的作業環境。

嚴格且彈性的權限控管機制:

利用身分認證與授權的概念,進行員工的權限控管,給予不同使用者不同的存取權限,依實際需求、職位、部門、年資等不同的條件劃分不同的存取權限。

建立詳細且完善的稽核系統:

透過稽核系統,稽核者可以事後追蹤與稽核所有使用者的檔案傳輸狀態和用戶操作事件、IP、時間等資訊,都被即時記錄在日誌資訊中,實現最高的系統安全。

培養資訊安全的正確觀念:

透過教育訓練的方式,培養員工對資訊安全的重視,不斷地加強宣導,建立嚴懲制度,使員工了解資料安全重要性。

成功的管理,從「心」開始:

再好的資料保護系統,都很難百分百杜絕有心人士的惡意外洩或散佈公司機密資料。因此,帶人先從「心」帶起,加上適當的保護措施,以期降低資料外洩風險。

如何做好數位資料之管控

60


5724104

資安事件之處理流程

事前

事中

事後

防禦

偵查

稽核

災難復原

教育訓練

危機應變

資安事件之解決方案

資安事件之處理流程


5724104

個人的資安責任

  • 密碼管理

  • 設備管理

  • 桌面、螢幕淨空管理

  • 電子郵件管理

  • 即時通訊管理

  • 個人資安觀念


5724104

密碼管理

  • 定期更新密碼。

  • 不使用弱密碼

    • 避免使用重複數字、字母。

    • 避免使用個人相關資訊之密碼(生日、身份證字號、電話號碼、姓名等)。

    • 避免使用有意義之字詞。

  • 不寫下密碼。

  • 不提供密碼予他人。

  • 有洩漏的懷疑即更換密碼。


5724104

設備管理

  • 安裝防毒和防火牆軟體。

  • 定期做好資料備份(公務上的需要)。

  • 定期更新系統與軟體之修復檔(Path)。

  • 不遺留機敏資料在印表機、掃瞄機、傳真機等設備。

  • 不提供給他人使用。

  • 不使用他人設備處理機敏資料。

  • 養成關機的習慣。


5724104

桌面、螢幕淨空管理

  • 機敏資料不隨意置放在桌面上。

  • 設定螢幕保護程式(要設定密碼)。

  • 離開座位或不使用螢幕時,要鎖定螢幕。


5724104

電子郵件管理

  • 不隨意開啟來路不明郵件的附加檔案。

  • 設定垃圾郵件過濾之規則。

  • 使用垃圾郵件過濾軟體。

  • 不回覆垃圾郵件。

  • 不轉寄帶來好運或厄運的信件。

  • 寄送機敏資料給多人時,可使用密件副本功能。

  • 不寄送機敏資料給非相關人士。


5724104

即時通訊管理

  • 不使用記錄密碼之功能。

  • 不隨意存取他人傳輸之檔案。

  • 不隨意點選他人傳送之網址。

  • 避免於工作時使用。

  • 不透露訊息或傳遞檔案給他人。

  • 定期更新程式。


5724104

個人資安觀念

  • 遵守資訊安全政策與規定。

  • 不在公眾場合洩漏機敏訊息與資料。

  • 避免在網路上記錄個人資訊。

  • 謹慎處理機敏資料。

  • 定期接受資安訓練。

  • 隨時留意各種資安訊息。

  • 小心駭客就在你身邊。


5724104

結論(1/4)

  • 這是一個全

    民皆狗仔的

    時代,隨時

    都有機敏資

    訊外洩的可

    能。


5724104

結論(2/4)

  • 沒有一百分的安全,只有全心的努力。

  • 你的不方便,也是他人的不方便。

根據過去的統計,資安威脅來自

天然威脅僅15%~17%,

人為威脅達83%~85% 。


5724104

結論(3/4)

  • 制度的建立及落實

  • 人員的教育訓練

    • 主管人員(管理階層) :資安的價值與重要性

    • 技術人員(資訊人員) :資安專業技術

    • 使用者(系統使用者) :資安觀念及意識、個人資安防護技巧。

  • 資安技術及工具的使用

    • 幫助解決制度上的問題

    • 應先有管理制度才評估選用工具


5724104

安全性

資訊

安全

功能性

便利性

結論(4/4)

  • 資訊安全—

    • 說起來………重要!

    • 做起來………次要!!

    • 忙起來………不要!!!

  • 資通安全=技術+管理+稽核

    • 應達到“均衡”管理

    • “七分管理,二分技術,一分稽核”


  • Login