Download
1 / 46
550 likes | 847 Views
資訊安全. 98 年 3 月 20 日 吳國維 執行長 NII 產業發展協進會. 1. 2. 3. 4. 5. 6. 什麼是「資訊安全」?. 資訊安全的範圍?. 資訊安全的防護觀念與作法. 資訊安全的謬思與對應 . 資訊安全的發展 . 結語 . 大綱. 什麼是「資訊安全」?. 什麼是「資訊安全」. 資訊 對組織而言就是一種 資產 ,和其他重要的營運資產一樣有價值,因此需要 持續 給予 妥善保護 。 資訊安全 可保護資訊不受各種 威脅 ,確保 持續營運 、將營運損失降到最低,得到最豐厚的投資報酬率及商機。. 摘錄自 ISO 27002.
E N D
資訊安全 98年3月20日 吳國維 執行長 NII 產業發展協進會
1 2 3 4 5 6 什麼是「資訊安全」? 資訊安全的範圍? 資訊安全的防護觀念與作法 資訊安全的謬思與對應 資訊安全的發展 結語 大綱
什麼是「資訊安全」 • 資訊對組織而言就是一種資產,和其他重要的營運資產一樣有價值,因此需要持續給予妥善保護。 • 資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低,得到最豐厚的投資報酬率及商機。 摘錄自 ISO 27002
風險的定義 • 國際標準組織(ISO) 對風險的定義:「可能對一個或群組資產潛在之弱點產生威脅,以致產生損失或傷害資產。」
高 安全投資 風險控制 規避 轉嫁 接受 降低 成本 風險程度 低 高 安全等級 何謂:資訊安全管理
資訊安全三要素 • 機密性,Confidentiality • 保護資訊不被非法存取或揭露 • 完整性,Integrity • 確保資訊在任何階段沒有不適當的修改或損毀 • 可用性,Availability • 經授權的使用者能適時的存取所需資訊
中國駭客入侵漢光演習資料外洩 【資料來源-TVBS新聞網】 國防部驚傳遭到大陸駭客入侵,一名參與漢光演習的國防大學上校教官,違反國軍電腦使用規定,把演習資料放在隨身碟帶回家,還在自己電腦使用,結果被對岸的木馬程式入侵,讓機密資料外洩,由於正值玉山兵推的敏感時機,政府首長的相關資訊,是不是也遭到竊取,國軍十分低調,只強調這國家安全沒有影響 保密功夫到家的國防部,這回遭到駭客入侵,竊取的還是攸關國防安全的漢光演習資料,事情發生在去年12月,一名國防大學上校教官,違反規定,將公用電腦帶回家,使得原本實體隔離的軍網與民間網路連結,讓中國網軍藉機以木馬程式入侵,漢光演習的資料也因此外洩 機密性
高鐵首航重複劃位民眾委屈掉淚 【資料來源-TVBS新聞網】高鐵正式通車,但重複劃位的狀況,層出不窮,有不少民眾好不容易買到票,卻沒有位子坐,破口大罵,車票被票務人員畫花了,民眾也火大,還有民眾因為沒位子坐,氣的掉下眼淚 完整性
台大醫院電腦當機看診大塞車 【資料來源-公視新聞網】 台大醫院各科門診外,一早就貼出這張公告,電腦當機,造成看診不便,請見諒。看診病患等得滿滿的,本來禮拜一,看診人數就很多的台大醫院,一開診,電腦系統就無預警當機,從掛號,送病歷,看診,批價,掛號,全都只能人工作業即使到中午,病患還是很多,醫護人員只能放棄午休,民眾抱怨連連 可用性
員人 環境 定規 技術 資訊安全的範圍 • 資訊使用之『環境』 • 資訊使用之『人員』 • 資訊使用之『規定』 • 資訊使用之『技術』
Platform security 平台安全 Physical Security 實體安全 Risk management 風險管理 Firewall & connectivity management 防火牆與連線安全 Fallback Planning 還原計劃 Business continuity Management 企業永續運作管理 Encryption 加密 Password management 密碼管理 Confidentiality 機密性 Availability 可用性 Incident response & crisis management 意外事件回應與犯罪管理 Authentication & access control 身份驗證與存取控制 Monitoring & intrusion detection 監督與入侵偵測 Certificate registration& management 認證註冊與管理 Integrity 正確性 Virus prevention & detection 病毒防治與偵測 Personnel security 人員安全 Penetration testing 滲透測試 Security architecture 安全架構 Infrastructure security management 基礎建設安全管理 資訊安全管理內容
基本觀念 • 資訊安全是全體人員之責任 • 資訊安全需要持續性的關注 • 每位環節都可能成為資訊安全漏洞 Without Security speed is nothing.
資訊安全之20-80法則 • This rule states that 80% of security risk is effectively managed by implementing the most important 20% of available technical security controls, which are removing unneeded services, keeping service patches current, and enforcing strong passwords. Symantec Corporation
主要資訊安全事件類別統計 資料來源:2008 CSI Computer Crime & Security Survey
回顧2007前的資安威脅 • 網站 • SQL Injection • XSS (Cross Site Scripting) • 用戶端 • 病毒 • 木馬 • 間諜軟體 • 蠕蟲 • 社交工程 • 網路釣魚 • 垃圾郵件
2008的資安威脅 • 網站掛馬威脅持續 • 透過web掛馬感染用戶,取得商業利益 • 透過感染用戶電腦發動阻斷攻擊 • 竊取用戶的帳號密碼、網路銀行資料 • 掛馬威脅手法變的更精巧 • 網頁漏洞數量持續成長 • 惡意程式持續成長 • SQL Injection變為自動化大量的Mass SQL Injection攻擊 • 駭客可能就在你的區網內>ARP攻擊 • DNS Cache Poisoning的新攻擊手法被提出來
攻擊難易度/成本 潛在利益 駭客對我不會有興趣? 小偷是先找有錢的對象還是容易下手的對象?
便利性 安全性 安全很重要,必須無止境的追求?
風險 處理成本 我需要100%絕對安全?
問題思考 • 通過資安國際標準驗證可保證100%安全? • 網頁被駭是重大資安事件? • 資訊安全是MIS或主管的責任,與我無關?
資訊安全的發展 • Policy • People • Process • Product
Policy • 資訊安全相關法令 • 國家機密保護法 • 電子簽章法 • 刑法(防駭條款) • 電腦處理個人資料保護法 • 檔案法 • 著作權法 • 行政院及所屬各機關資通安全管理要點 • 機關公文電子交換作業辦法 • 智慧財產權 Intellectual Property Rights (IPR)
妨害電腦使用罪簡介 • 網路犯罪行為大約可歸類下列三種 • 以網路作為犯罪工具–網路詐欺、網路恐嚇等 • 以網路作為攻擊標的–竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等 • 以網路作為犯罪場所–如色情、誹謗、賭博等 • 為避免電腦犯罪與維護網路秩序,特於刑法中設立相關法令條文以為管理-刑法第36章「妨害電腦使用罪」章
妨害電腦使用罪主要內容 • 第358條 無故入侵電腦罪 • 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 • 本條主要目的為遏止駭客入侵行為 • 第359條 無故取得、刪除或變更他人電磁紀錄罪 • 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金 • 本條主要目的為確保電腦內部電磁紀錄安全 • 第360條 無故干擾電腦系統罪 • 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金 • 本條主要目的為維護電腦及網路運作正常
妨害電腦使用罪主要內容 • 第361條 對公務機關犯罪之加重 • 對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一 • 本條主要目的為確保國家安全 • 第362條 製作供犯罪程式罪 • 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金 • 本條主要目的為防止犯罪工具之利用與擴散 • 第363條 告訴乃論 • 第三百五十八條至第三百六十條之罪,須告訴乃論 • 本條主要目的為集中司法資源對抗重大犯罪
電腦處理個人資料保護法說明(1) • 立法目的 • 對公務與非公務機關蒐集、處理、與利用個人資料的情形,加以明文規範 • 避免個人人格權(隱私權)遭受侵害,促進個人資料之合理利用,特此制定電腦處理個人資料保護法 • 保護客體 • 本法保護客體限於經電腦處理的個人資料 • 受本法保護之個人資料以現仍生存之自然人為限,已死亡之自然人與法人,不受本法之規範 • 個人資料包含:自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社交活動、及其他足以識別該個人之資料
電腦處理個人資料保護法說明(2) • 適用主體 • 本法規範的對象有公務機關及非公務機關 • 公務機關係指依法行使公權力之中央或地方機關 • 非公務機關係指以下所列之事業、團體或個人 • 徵信業以蒐集或電腦處理個人資料為主要業務之團體或個人 • 醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業 • 其他經法務部會同中央目的事業主管機關指定之事業、團體或個人 • 受公務機關或非公務機關委託處理資料之團體或個人,於本法適用範圍內,其處理資料之人,視同委託機關之人
電腦處理個人資料保護法修訂草案(1) • 修訂草案共有55條,並將本法名稱修訂為「個人資料保護法」 • 草案修正方向 • 擴大保護客體 • 普遍適用主體 • 增修行為規範 • 強化行政監督 • 妥適調整罰則 • 促進民眾參與
電腦處理個人資料保護法修訂草案(2) • 修法重點說明 • 將買賣個人資料行為從告訴乃論罪修改為公訴罪,並提高刑責,最高為五年有期徒刑 • 寄廣告信、垃圾郵件將觸法,未經個人同意,網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為,均將觸犯本法,檢警接獲檢舉後必須主動追查 • 若是公務員涉案,依法得加重其刑二分之一,最重可處七年半徒刑,與刑責已接近涉及貪瀆案 • 重罰意圖營利而違法的行為,修訂草案大幅加重「意圖營利而違法蒐集、利用或盜賣個人資料者」的刑責,由原本二年以下徒刑,提高為五年以下徒刑,且併科由原先四萬元大幅提高為五百萬元罰金
People • 專業認證 • CISA (Certified Information System Auditor) • CISM (Certified Information System Manager) • ITIL系列(IT Service Management) • ISO27001 LA • PMP (Project Management Professional) • CBCP (Certified Business Continuity Professional) • CISSP • Security+ • MCSA /MCSE • MCDBA • CCNA /CCNP • RHCE/RHCT • 資安課程 • I-security資安數位學習課程 • 文官學院資安課程
規劃 Plan 執行 Do 文件 方法 工具 專 業 標準 矯正預防 Action 稽核 Check Process Information Security Management System
ISO27001涵蓋之內容 11 個領域、 39 個控制目標、 133 個控制要點 資訊安全政策 資訊安全管理稽核 資訊安全組織 資訊資產分類與管理 存取控制 人員安全 資訊安全事件管理 實體與環境安全 通訊與操作管理 系統取得與維護 業務持續運作管理 法令規章之遵循
2009/2/2 http://www.iso27001certificates.com/ ISO27001驗證狀況
網路管理 防火牆 入侵偵測/防禦系統 集中式威脅管理(Unified Threat Management,UTM) VPN/SSL-VPN 負載平衡 內容管理 文件管理 防毒軟體/反間諜軟體 郵件安全 內容過濾 IM管理 網站過濾 應用管理 儲存安全 行動安全 PKI/加解密 憑證發放 身份識別/權限管理 用戶端安全 弱點評估 程式碼安全 應用系統安全 系統/資料庫安全 Product
NII-ISMS 管理工具功能 • 系統管理:部門管理、使用者管理、權限管理等 • 文件管理:制度、規範文件管理等 • 風險管理:資訊資產價值評估、風險評鑑及風險管理等 • 教育訓練:教育訓練課程管理、瀏覽等 • 系統設定:ISO27001、133控制項之設定
NII-ISMS 管理工具特色 • 以顏色區分,便於使用者了解操作位置 • 以使用者邏輯出發,直覺式UI介面設計,操作更順手 • 系統預留擴充之彈性與空間 • 彈性運用Java Script與ASP .NET技術設計,Client操作更順暢 • 採關聯式資料庫架構,資料內容自動關聯與連動 • 提供資料整批匯入功能,節省系統操作時間 • 快速簡便的風險評鑑流程 • 依據自訂的風險值,自動化產生相關圖表 • 圖形化顯示輕鬆瞭解單位威脅與弱點及風險分佈狀況
結語 • 資訊安全防衛是個程序,不是成果 • 資訊安全防禦像條鎖鏈,它是由許多環節組成。鎖鏈常由最弱的點開始崩壞,所以整條鎖鏈的強度,決定於它最弱的點,而不是最強的點。 知名電腦安全專家: Bruce Schneier (安全服務公司 Counterpane Internet Security的共同創辦人&技術長)
