Download
1 / 54
540 likes | 723 Views
資訊安全管理. 講師:黃志奕 981014. 大綱. 資訊安全簡介 案例宣導 可攜式媒體安全管理 電腦使用安全設定. 說到資訊安全. 說起來 重要 ! 做起來 次要 !! 忙起來 不要 !!!. 一 、資訊安全簡介. 我們將資訊定義為使用電腦系統處理、傳送、或儲存的資料,稱之為資訊 資訊安全是一個複雜的問題,不是靠購置單一的軟、硬體即可達成的,但是對一個中小企業的網路環境而言,最少要先從四大防護重點項目開始. 四大防護重點. 防毒 :在初期,病毒是由軟體的撰寫者為了保護本身的智慧結晶,與懲罰盜版者 資料備份 - 消極自保方式
E N D
資訊安全管理 講師:黃志奕 981014
大綱 • 資訊安全簡介 • 案例宣導 • 可攜式媒體安全管理 • 電腦使用安全設定
說到資訊安全 • 說起來 • 重要! • 做起來 • 次要!! • 忙起來 • 不要!!!
一 、資訊安全簡介 • 我們將資訊定義為使用電腦系統處理、傳送、或儲存的資料,稱之為資訊 • 資訊安全是一個複雜的問題,不是靠購置單一的軟、硬體即可達成的,但是對一個中小企業的網路環境而言,最少要先從四大防護重點項目開始
四大防護重點 • 防毒:在初期,病毒是由軟體的撰寫者為了保護本身的智慧結晶,與懲罰盜版者 • 資料備份-消極自保方式 • 防毒程式-積極的防禦武器 • 防駭:系統安全規劃,如通行密碼、身分驗證、回撥、防火牆的建置 • 防災:921 、 911 、SARS,資料及系統異地備援、備份、分署辦公 • 防竊:硬體措施、資料的加密與防止不當的使用 • 正確的建置、使用、與維護
什麼是資訊安全 • 資訊安全在保護企業的資訊資產: • 避免遭受各種威脅,確保企業永續經營 • 降低對企業之傷害,提昇企業投資報酬率及商機 • 保護資訊的機密性、完整性、可用性 • 機密性:未經授權不得存取 • 完整性:保持準確與完整 • 可用性:被授權者可以存取並使用
11個安全控制項目 • 安全政策 • 資訊安全的組織與管理 • 資產管理 • 人力資源安全 • 實體與環境安全 • 通訊與作業管理 • 存取控制 • 資訊系統的取得、發展及維護 • 資訊安全事故管理 • 企業持續運作管理 • 遵循事項
使用者責任(一) • 教育宣導 • 桌面淨空 • 網路存取 • 軟體安裝 • 資料交換 • 儲存裝置 • 個人使用習慣
使用者責任(二) • 設定管理 • 帳號管理、密碼原則 • 螢幕保護、系統設定 • 防毒軟體、軟體更新 • 電子郵件及通訊錄 • 個人防火牆 • 資料備份與還原
學術單位的資料安全 • 為什麼學校單位需要資訊安全 • 學生學籍、健康、心理資料 • 成績資訊 • 學校單位所擁有的資訊特色 • 非機密性 • 具敏感性且涉及隱私及個人資料保護法規定
電腦病毒的傳播 • 通過不可移動的硬體設備進行傳播,如:ASIC晶片。 • 通過移動儲存設備傳染,如;USB隨身碟。 • 透過電腦網路傳播。 • 透過點對點通信系統及無線通道傳播。
二、案例宣導 • 國內外資料洩露案例 • 網路詐騙案例
國內外資料洩露案例 • 神盾機密外洩,日防衛相下臺 • 全新硬碟植木馬個人資料全都露 • 可攜式裝置「毒來毒往」駭客最愛 • 網路書店又出包誠○書店洩6千個資 • 影星私密照事件網頁恐藏掛馬 • 竊個資再詐騙8購物網站全被駭 • 英政府爆發史上最大個資外洩案 • 美國2650萬筆退伍軍人個資失竊案
神盾機密外洩,日防衛相下臺 • 2007年3月,神奈川縣警局調查非法入境案,意外發現海上自衛隊士官家中硬碟有大量神盾艦系統資料,經查係由自衛隊第一術科學校流出。 • 日本神盾艦(Aegis)系統資料外洩案持續擴大引起美方高度關注,這是日本自衛隊近年來傳出多起資料洩密案後首度遭警調單位強行實施住宅搜查的案例。 • 美日安保條約中明文規定,關於洩漏美方軍武機密的罰則,視情節嚴重涉案人最高將被判處10年有期徒刑,而日本國防部長(防衛相)小池百合子也已因此案下台以示負責。 • 資料來源:iThome online 2007-08-30 張嵐霆/編譯
全新硬碟植木馬個人資料全都露 • Maxtor在泰國生產的三點五吋、500G可攜式硬碟,遭植入木馬程式,調查局於十月間接獲民眾報案,實地購買同款硬碟,送交資安鑑識實驗室分析、測試,證實確有autorun.inf及ghost.pif(惡魔程式)木馬程式。 • 該木馬程式會感染其他插入的隨身碟,並感染autorun.inf、windows.scr檔案,且會主動連線及上傳資料到外部網站。 • 使用者只要安裝該硬碟,電腦程式就會自動連線上述特定網址,電腦資料變成「全都露」。 • 2007/11/10自由時報記者楊國文、何瑞玲/台北報導
可攜式裝置「毒來毒往」駭客最愛 • 資訊安全業者表示,2007年危害最大的惡意程式WORM_SPYBOT.IS 及WORM_GAOBOT.DF,都是透過感染USB裝置來散布,這類可攜式裝置已成為資訊安全漏洞。 • 2008年資訊安全的威脅將持續攻擊社交網站、購物網站、線上遊戲網站,藉釣魚手法盜取帳號或植入木馬,可攜式裝置如智慧型手機、MP3隨身聽、隨身碟等,近年成為駭客利用突破安全防線之主要媒介。 • 自由時報:2008/02/23報導
網路書店又出包誠○書店洩6千個資 • TVBS新聞報2008-02-21 • 繼網路書店博○○發生會員的個人資料外洩後,現在有誠○書店的會員投訴,在誠品的網路書店訂書,個人資料也外洩到詐騙集團手中,統計約有6000名的會員受害,這次是擁有40萬會員的書店。員工:「先生你好,你要找書嗎?」,詐騙集團冒稱作誠品書店員工,表示因為作業疏失,要求消費者到自動櫃員機,更改付款設定,讓接到電話會員飽受驚嚇,趕緊打電話向書店求證。 • 書店強調會員的個人資料,絕對保密,電腦主機也沒有被入侵,但統計起來已經有6千多個會員的個人資料外洩,誠品卻只寄了這麼一封電子郵件,提醒愛書人小心詐騙電話,到底什麼原因,會員資料會流出,卻一句話也沒交代,不免讓會員抱怨,打著不用出門,方便第一的網路訂書,現在卻成了個人資料外洩的一大危機。
影星私密照事件網頁恐藏掛馬 • 東森新聞報2008-02-19 • 陳○希與其他女星私密照片遭人在網路散布,吸引許多民眾瀏覽,調查局18日發布重大警告,網路犯罪集團利用這個熱潮,藉由設置相關網站或部落格,內藏惡意連結或攻擊一般網站,插入隱藏性惡意連結,讓使用者電腦在不知不覺中被植入木馬程式,政府機關、民間機構及個人的重要機密資料有遭受竊取的風險。 • 調查局調查發現,近來出現許多以提供陳○希與其他女星私密照片的網站及部落格,這些網站及部落格提供相關相片名義,吸引民眾前往瀏覽,網站及部落格時,會在民眾不知情的情況下,下載惡意木馬程式至電腦系統中,達到控制民眾電腦系統,並進而竊取機密資料或達到進行其他犯罪甈高漸堛滿C並經實機驗證後發現,多達161個網頁隱藏惡意程式,迄今仍有逾60個網頁持續危害。22
竊個資再詐騙8購物網站全被駭 • 中時電子報2007-12-25 國內8家購物和線上遊戲網站平台,最近發生交易資料外洩案,駭客疑從大陸福州電信局的IP位址,竊取會員交易資料後,再轉向購物網站會員進行詐騙,導致近月來,包括東○和MO ○兩購物台,已發生約200件購物網站詐騙案。 • 自由時報電子報2007-12-12 國內第三大購物網站Pay○昨呼籲使用者盡快更換密碼。該網站表示,上週日晚間遭來自中國不明人士,以身分證字號輸入會員帳號測試密碼達三萬九千多次,其中有5400筆資料帳號密碼正確被登入,隔天有13位會員反應接到詐騙集團電話,公司認為該事件非單一個案,極可能延燒到國內其他網站。
英政府爆發史上最大個資外洩案 • CNET新聞專區2007-11-22 • 英國政府21日承認,兩張共存有2,500萬民眾個人資料的光碟確認遺失,可能有高達725萬個家庭受到影響。 • 英國財政大臣Alistair Darling 21日向國會坦承,這兩張遺失的光碟內存有全國請領兒童福利補助的民眾資料,包括民眾的姓名、地址、生日、國家保險號碼和銀行及建屋協會貸款帳戶等,而如此重要的光碟,竟只有簡單的密碼防護。稅務及海關總署署長,已在上週口頭請辭,並正式提出辭呈。
美國2650萬筆退伍軍人個資失竊案 • 中廣新聞網2006-5-23 • 美國退伍軍人事務部一名電腦分析師家中被小偷闖入,他帶回家的2650萬筆退伍軍人的個人資料電腦檔案失竊,內容包括退伍軍人的姓名、出生日期、社會保險號碼、殘障級數及配偶的資料。軍方說,這應該是一件普通的竊盜案,目前並沒有發現失竊資料被濫用的情況。
網路詐騙案例 • 莫拉克風災,假人事行政局,發佈放假消息。 • 詐騙集團衝「假評價」 網友搶標反受害。 • 釣魚網站釣雅虎密碼
假人事行政局,發佈放假消息 • 颱風天要不要上課 大家都去看人事行政局的網站 不過有人以身試法 偽造行政院人事行政局的停止上班上課的資料 結果山寨版的資料被網友不斷轉寄造成資訊大混亂 人事行政局本尊趕緊出面,但已經在網路上流傳了兩個多小時。 • 警方也偵破了這個山寨版網站的始作俑者 一位工程師 ,就是這份資料,差點讓網友以為停止上班上課。
詐騙集團衝「假評價」 網友搶標反受害 • 台北市刑警大隊今破獲一個橫跨兩岸的網路詐騙集團,嫌犯大量張貼假拍賣訊息,以遠低於市售行情的優惠價格,吸引網友搶標。當被害人將得標金額匯入帳戶後,歹徒就切斷所有聯繫管道,估計被害人數超過500人,不法金額高達上億元。
釣魚網站釣雅虎密碼 不是yahoo的 http://tw.yahoo.com http://sjgs556.5xmf.cn/data/bak
網路安全相關網站 • 網路攻防戰 • 網路安全館 • 線上網路安全
三、可攜式媒體安全管理 • 本段文章摘錄自「行政院國家資通安全會報技術服務中心」-「政府資通安全防護巡迴研討會」教材-「可攜式媒體安全與電子資料保護」
可攜式媒體介紹 • 所謂的可攜式儲存媒體泛指一般不具運算功能,但可儲存大量資料的小型資訊硬體 • 例如:外接式硬碟、燒錄機、隨身碟、數位相機記憶卡、手機…等等
可攜式媒體可能遭遇之風險(一) • 因為其輕便性,易於遺失或遭竊 • 外型設計多樣化,容易通過安全檢查,不易偵測 • 功能多樣化,在管理政策中難以定義,實際作業上不易杜絕員工使用 • 存於可攜式設備及儲存媒體多數為重要或具機密性之資料,資產價值較高,容易成為有心人士竊取的目標 • 可攜式設備及儲存媒體常被共享使用,讓資料的不當存取及病毒擴散情形更為嚴重,甚至進入內部網路進行擴散,可視為另一種型態之社交工程攻擊
可攜式媒體可能遭遇之風險(二) • 有心人士可利用進入內部網路機會,進行不法竊取機密的活動 • 作業系統提供了內建的驅動程式,讓具有USB隨插即用功能的可攜式儲存媒體能輕易的與內部系統連結,下載資料 • 缺乏適當管制措施之下,有心人士可透過可攜式通訊設備將機密資料傳出 • 大多數可攜式設備及儲存媒體無法產生事件記錄,故無法追蹤其使用過程 • 可攜式設備和儲存媒體的使用,增加管理者在非法軟體管制上的難度
使用者自我管理(一) • 切勿自機關辦公室電腦複製未經授權存取或與職務無關的文件資料 • 如果是業務上必須使用,且所儲存或傳遞的資料具有機密敏感性,則所使用的設備應具備有多重因子身份驗證的功能(例如指紋辨識或智慧卡)或利用加密程式將重要資料予以加密 • 應避免將具機密敏感性的資料長期置於可攜式設備及儲存媒體,定期檢視所儲存的資料內容,如有無須儲存於其上的重要資料,應立刻移除 • 應該妥善保管相關設備與媒體,以免遺失、遭竊導致資料遺失
使用者自我管理(二) • 若可攜式設備及儲存媒體上儲存有經常性使用之重要資料,使用者應養成定期備份的習慣,以免重要資料因設備的遺失、遭竊及毀損而無法使用 • 使用者應定期自行檢視可攜式設備及儲存媒體裏的資料內容,如有來源不明的程式或資料及非法的軟體,應立刻進行移除及進行掃毒 • 個人的可攜式設備及儲存媒體,如被允許使用,使用者在連接至辦公室設備之前,應先自行或委請資訊人員進行掃毒
使用者自我管理(三) • 可攜式設備及儲存媒體如為機關內共同使用,使用者切記在使用完畢後將所有資料文件移除,以免資料遭他人誤用 • 可攜式媒體使用完畢後,應將暫存檔清除,避免資訊殘存,導致機敏資料外洩 • 而同仁在使用可攜式設備及儲存媒體時,如果發現異常狀況發生(如發現有未經授權的使用、設備或媒體遺失等),應立即向業管單位進行通報,才能使損失降到最低
資料備份與還原 • 以新開設帳號登入 • 公文系統、印表機、郵件系統、瀏覽器 • 系統安全設定 • 在D磁碟新增資料夾(以新帳號命名) • 移動C磁碟4個資料夾至D磁碟 • Ghost備份 • 遇到系統毀損或病毒無法清除時-還原 • 優點:還原快速,資料與系統分離,備份容易,延長硬碟壽命、開機速度不變、系統分割區不會塞爆…等等
電子郵件備份 • 帳號匯出 • 通訊錄匯出 • 安全性設定 • 資料夾移到D磁碟
四、電腦使用安全設定 • 密碼設定 • 螢幕保護密碼設定 • 檢查來路不明或未授權軟體 • 防毒軟體安裝 • 瀏覽器全設定 • 關閉郵件預覽功能 • 檢查有無P2P軟體 • Office軟體巨集設定 • Guest帳戶關閉 • 開啟Windows系統自動更新
密碼原則 • 絕對避免的密碼: 不設密碼 、同帳號、同主機名稱、生日、身分證字號、英文姓名、公司名稱、1111、1234、123456、2000、aaaa、abcdef、密碼別留在紙上或是文字檔中 • 應該避免的密碼: 字典上的字、全部使用數字或英文字母、連號或順序 • 夠強壯的密碼應至少有: 至少八個字、英文大小寫、數字、特殊符號(如標點符號或是@#|><這類符號)、沒有任何意義的組成
防毒軟體 • 安裝防毒軟體(NOD32、卡巴斯基、小紅傘) • 關機 • 等待15秒 • 開機 • 完整掃描 • 核對病毒碼及掃毒引擎版本 • 防毒軟體的迷思-不是已經裝了,為何還是中毒?
第二道防毒軟體 • Kavo Killer • http://www.fulisir.us/forums/archive/index.php/t-77339.html • EFix • http://reinfors.googlepages.com/ • Iclean • http://www.trendmicro.com.tw/iclean/index.htm
