slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
第八章 資訊系統安全 PowerPoint Presentation
Download Presentation
第八章 資訊系統安全

Loading in 2 Seconds...

play fullscreen
1 / 58

第八章 資訊系統安全 - PowerPoint PPT Presentation


  • 265 Views
  • Uploaded on

第八章 資訊系統安全. 學習目標. 瞭解為何資訊系統易於遭受破壞、錯誤與濫用 瞭解什麼是安全與控制的企業價值 瞭解安全與控制的組織架構有哪些元件 瞭解什麼是資訊資源防護上最重要的工具與技術. 本章大綱. 8.1 系統漏洞與濫用 8.2 安全與控制的企業價值 8.3 建立安全與控制的管理架構 8.4 保護資訊資源的技術與工具 8.5 管理資訊系統專案的實務演練. 當你在用 Facebook 時要小心. 安全性( security )是指用於防止資訊系統被未授權的使用者進入、篡改、偷竊或實體損害的政策、程序及技術手段。

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '第八章 資訊系統安全' - hadley-emerson


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
學習目標
  • 瞭解為何資訊系統易於遭受破壞、錯誤與濫用
  • 瞭解什麼是安全與控制的企業價值
  • 瞭解安全與控制的組織架構有哪些元件
  • 瞭解什麼是資訊資源防護上最重要的工具與技術
slide3
本章大綱

8.1 系統漏洞與濫用

8.2 安全與控制的企業價值

8.3 建立安全與控制的管理架構

8.4 保護資訊資源的技術與工具

8.5 管理資訊系統專案的實務演練

security controls
安全性(security)是指用於防止資訊系統被未授權的使用者進入、篡改、偷竊或實體損害的政策、程序及技術手段。

控制(controls)包含所有的方法、政策與組織程序,用來確保組織的資產安全、記錄的準確與可靠,以及依照管理標準的運作。

8.1系統漏洞與濫用

slide6
為什麼系統容易受到破壞

8.1系統漏洞與濫用

slide7

為什麼系統容易受到破壞_網際網路的攻擊

大型公眾網路如網際網路,比其他內部網路更易遭到破壞,因為它是對任何人都開放的。

網際網路技術的電話服務,除非是在安全的私有網路之下,會比傳統交換機式的網路更易遭到破壞。

電子郵件和即時傳訊 (instant messaging, IM) 更大幅增加了受到破壞的可能性。

8.1系統漏洞與濫用

slide8
為什麼系統容易受到破壞_無線傳輸安全的挑戰為什麼系統容易受到破壞_無線傳輸安全的挑戰

8.1系統漏洞與濫用

slide9

惡意軟體( malware)︰病毒、蠕蟲、木馬程式和間諜軟體

電腦病毒 (computer virus) 是一種流氓軟體程式,通常在使用者不知情或未經使用者許可的情況下,附加在其他軟體程式或資料檔案上來執行。多數的電腦病毒會傳遞一份「裝載」(payload)。這份裝載有時 可能較不具威脅性,如執行指令去顯示一些文字訊息或影像,或是非常具有破壞性--像是銷毀程式或資料、阻礙電腦記憶體運作、重新格式化 硬碟、或是讓程式不正常執行。

8.1系統漏洞與濫用

worms
蠕蟲(worms)

一種獨立的電腦程式,它可以透過網路將病毒從一台電腦自行複製到其他電腦。與病毒不同的是,蠕蟲能自己運作,並且不需依附在其他電腦程式檔案上,也不太需要透過人們的操作行為就能在電腦之間傳播。

8.1系統漏洞與濫用

trojan horse
木馬程式 (Trojan horse)

看起來似乎是溫和無害的軟體程式,但會做一些超出想像的事。木馬程式本身不是病毒,因為它本身並不複製,但卻是其他病毒或惡意程式碼侵入電腦系統的媒介。

8.1系統漏洞與濫用

spyware
間諜軟體 (Spyware)

也扮演著惡意軟體的角色。這些小程式偷偷的自行安裝在電腦上,它們會監視著你上網的活動,並跳出廣告。

8.1系統漏洞與濫用

hacker cracker cybervandalism
駭客與電腦犯罪

駭客 (hacker) 是個人企圖未經授權而擅自存取他人的電腦系統。

怪客 (cracker) 通常用來指具有犯罪意圖的駭客。

電腦暴力行為(cybervandalism)、蓄意破壞、 毀損甚至是摧毀網站或公司資訊系統等。

8.1系統漏洞與濫用

slide15

駭客與電腦犯罪_偽裝和網路竊聽

駭客經常隱藏他們的真實身分來進行欺騙、或試圖用偽裝的電子郵件位址或假冒其他人傳送訊息。

偽裝 (spoofing) 的方式,有時是將原來的網址連接至其他的網站,假裝成是要連接的目的地。

網路竊聽器 (sniffer) 是一種偷聽的程式,它監控網路上資訊的流動。

8.1系統漏洞與濫用

slide16

駭客與電腦犯罪_阻斷服務攻擊

阻斷服務攻擊 [denial-of-service (DoS) attack] 是指駭客送出成千上萬件假的訊息或是服務需求到網路伺服器或是網站伺服器,造成網路壅塞甚至癱瘓。被攻擊的網站,會在瞬間收到大量的查詢需求而處理效率無法跟得上,使得電腦主機無法服務正常的需求。

DoS的攻擊者常利用數千台「殭屍」(zombie)電腦,它們通常 都是在使用者不知情狀況下受惡意軟體感染的電腦,而被駭客級成組成殭屍網路(又稱傀儡網路,botnet)。

8.1系統漏洞與濫用

computer crime
駭客與電腦犯罪_電腦犯罪

電腦犯罪(computer crime)為:「任何涉及以電腦技術的知識進行犯罪、調查或行 動,而違反法律者。」

8.1系統漏洞與濫用

slide18

8.1系統漏洞與濫用

駭客與電腦犯罪_電腦犯罪

identity theft phishing
駭客與電腦犯罪_身分盜用

身分盜用(identity theft) :是非法取得他人個人隱私資訊的一種犯罪行為。

網路釣魚(phishing)。此手法包含設立假的網站或是發送看起來像是合法公司發的電子郵件,向使用者要求個人的機密資料。

8.1系統漏洞與濫用

evil twins
駭客與電腦犯罪_身分盜用

雙面惡魔 (evil twins) 是一種假裝可提供值得信任的無線網路連線至網際網路,詐騙者試圖讓不知情的使用者在登入這個網路的同時,竊取他們密碼或是信用卡號碼。

8.1系統漏洞與濫用

pharming
駭客與電腦犯罪_身分盜用

網址轉嫁連結 (pharming) 轉接使用者至一個偽造的網站上,即使當使用者在瀏覽器上鍵入正確的網址。

8.1系統漏洞與濫用

click fraud
駭客與電腦犯罪_點擊詐欺

點擊詐欺

點擊詐欺

(click fraud)是個人或電腦程式故意地點選線上廣告,但是並不想 瞭解這個廣告或是購買產品。

電腦恐怖份子與電腦戰爭

8.1系統漏洞與濫用

slide23
內部威脅︰員工

常以為企業組織的安全威脅來自於組織之外。事實上,公司內部的人員也經常會引起嚴重的安全問題。

使用者安全知識的缺乏常是網路安全的最大問題來源。

8.1系統漏洞與濫用

bugs patches
軟體漏洞

軟體錯誤也經常會對資訊系統造成威脅,導致無數的生產力減少。

軟體的主要問題就是隱藏的軟體臭蟲(bugs)或是程式碼的瑕疵。

一經發現瑕疵,為了修正軟體,軟體供應商會撰寫一些小的修 補程式(patches),在不影響軟體正常使用的情形下來修正瑕疵。

8.1系統漏洞與濫用

slide25

哪些管理、組織與技術上的因素造成此次McAfee的軟體問題?哪些管理、組織與技術上的因素造成此次McAfee的軟體問題?

對McAfee及其客戶來說,此次的軟體問題在企業經營上造成什麼衝擊?

假設你是McAfee的企業客戶,你覺得該公司對於此一問題的回應是可接受的嗎?可接受或不可接受的原因為何?

McAfee未來該採取什麼措施以避免類似問題再發生?

當防毒軟體癱瘓你的電腦

slide26
資訊系統的保護對於企業的營運是卻是非常的重要。資訊系統的保護對於企業的營運是卻是非常的重要。

企業組織不只需保護公司內部的資訊資產,同時也需保護顧客、員工與合夥人的相關資訊;否則將使公司暴露於資訊曝光或資料被偷竊的昂貴法律訴訟的風險之中。

一個適當的保護企業資訊資產的安全與控制架構,可以為公司產生很高的投資報酬。

8.2安全與控制的企業價值
slide27

電子記錄管理的法律與規範需求

企業組織面臨對電子記錄管理和文件保存與保護隱私的新法律義務。

電子記錄管理 (electronicrecords management, ERM)

健康保險可攜性與責任法案 (Health Insurance Portability and Accountability Act, HIPAA)

葛蘭法案 (Gramm-Leach-BlileyAct)

沙賓法案 (Sarbanes-Oxley Act)

8.2安全與控制的企業價值

slide28

電子證據和電腦鑑識

安全、控制與電子記錄管理已成為回應法律行動的重點。

電腦鑑識(computer forensics) 是針對握有的資料或儲存於電腦媒體的資料,進行科學化的蒐證、檢驗、認證、保存與分析,以作為日後法庭能據以判決的法律證據。

電子證據會以電腦檔案與周遭相關的資料(如找尋檔案的目錄、指標或是加解密的演算法和參數等)存在於電腦的儲存媒體中

8.2安全與控制的企業價值

general controls
資訊系統控制

一般控制(general controls)指的是整個組織資訊科技基礎架構的設計、安全和電腦程式的使用與資料檔案的安全。一般控制適用於所有電腦化的應用,包含有硬體、軟體和建立整體控制環 境的操作程序。

8.3建立安全與控制的管理架構
slide30

資訊系統控制

應用控制(application controls)是針對每一個電腦應用系統特定的控制,如薪資系統或是排序系統。應用控制包含自動與人工的程序,以確保只有經過授權的資料被應用系統完整與正確地處理。應用控制可分為:(1) 輸入控制,(2) 處理控制,和 (3) 輸出控制。

8.3建立安全與控制的管理架構
risk assessment security policy
風險評估(risk assessment)

決定如果公司特定的活動與程序沒有恰當的控制其風險的層級。

安全政策(securitypolicy)

包括資訊風險等級的定義敘述、確認可接受的安全目標、並確認可達成這些目標的機制。

8.3建立安全與控制的管理架構

disaster recovery planning
災難復原規劃與營運持續經營規劃

災難復原規畫 (disaster recovery planning)主要規劃在電腦與通訊服務終止後如何恢復正常的運作。災難復原規劃的重點主要在災後如何 啟動系統並持續運作的技術問題。

8.3建立安全與控制的管理架構

business continuity planning
災難復原規劃與營運持續經營規劃

企業持續經營規畫 (business continuity planning) 主要重點在如何在災後重新恢復公司的正常營運。企業持續經營計畫確認營運的關鍵企業流程與決定行動計畫,以便在系統當機時,能處理營運上的關鍵功能。

8.3建立安全與控制的管理架構

mis audit
稽核的角色

管理資訊系統稽核 (MIS audit) 不但檢驗公司的整個安全環境,同時也會檢視管理個別資訊系統的控制機制。

稽核者應該追蹤系統的某些交易案例的流程,並執行測試,如果適當的話,使用自動化稽核軟體來進行檢測。

8.3建立安全與控制的管理架構

slide39

存取控制(access control)

包括所有公司用來防止內部或外部未經授權的存取企業內部資料的政策和程序。使用者需經授權並身分認證後,才得進入企業內部系統。

身分認證(authentication)

許可證 (token)

智慧卡(smart card)

生物辨識認證 (biometric authentication)

8.4保護資訊資源的技術和工具
slide40
防火牆、入侵偵測系統與防毒軟體

防火牆

來防止外界未授權的使用者存取私有網路。

是硬體與軟體的結合,控制網路內部與外部間的交通。

偵測入侵系統

是一個全天候對可能受攻擊的點,或者對公司網路內非常重要的部分,持續監視及防止入侵的工具。

8.4保護資訊資源的技術和工具

slide41
防火牆、入侵偵測系統與防毒軟體

防毒軟體與反間諜軟體

用來檢查電腦系統和顯示電腦病毒存在的一種軟體。

整合式威脅管理系統

整合不同安全防護工具的單一包裝,包括防火牆、虛擬私有網路、 入侵偵測系統與網頁內容過濾與垃圾郵件過濾軟體。

8.4保護資訊資源的技術和工具

wep wep virtual private network vpn
無線網路的安全

WEP 仍能提供有限度的安全防護。當公司存取內部資料時,可以進一步利用 WEP 與虛擬私有網路(virtual private network, VPN) 技術結合,以改善無線網路的安全。

8.4保護資訊資源的技術和工具

slide44

加密與公開金鑰架構

加密 (encryption) 是將明文或資料轉成密文的一種過程,除了發文者和指定得收文者外,其他任何人均無法讀取。

資料利用一種秘密的數字碼加密,叫做加密金鑰,將明文轉成密文。這份訊息必須由接收者來解密。

數位認證(digital certificates)是一種資料檔案用來辨識身分和電子資產用來保護線上交易的進行。

8.4保護資訊資源的技術和工具

fault tolerant computer systems
確保系統可用度

容錯電腦系統(fault-tolerant computer systems)包括備援的硬體、軟體和電源供應元件,用來創造一個持續且無中斷服務的環境。

8.4保護資訊資源的技術和工具

slide48

確保系統可用度

控管網路流量:深度封包檢測(deep packet inspection, DPI)的技術能幫助檢查資料檔案並排序找出重要性低的線上資料,並將關鍵的商業檔案標示為較高的優先順序。

資訊安全委外:將許多資訊安全功 能委外給專業的資訊安全管理服務供應商(managed security service providers, MSSPs)處理。

8.4保護資訊資源的技術和工具

slide49
雲端運算與數位行動平台之安全性議題

雖然處理程序在雲端完成,保護敏感資料的責任與義務仍然是擁有這些資料的公司所當承擔。

雲端服務使用者必須確定不論資料如何被儲存與傳輸,都必須滿足企業所要求的資料保護層級。

8.4保護資訊資源的技術和工具

slide50
雲端運算與數位行動平台之安全性議題

行動平台安全防護

行動平台執行了許多原本在電腦上執行的功能,那麼就必須如一般桌機與筆記型電腦一樣針對惡意軟體、偷竊、意外遺失、未經授權存取與意圖駭入進行防護動作。

8.4保護資訊資源的技術和工具

slide51

雲端運算與數位行動平台之安全性議題

公司必須確定企業資訊安全政策已包含行動裝置,並應另外詳列行動裝置該如何進行技術支援、防護與使用。需要各類工具以針對所有使用中的裝置進行授權,詳細且精確地記錄所有行動裝置、使用行動裝置的人員與使用的應用程式,控制應用程式的更新,且當裝置失竊時可以進行鎖定以防洩密。

8.4保護資訊資源的技術和工具

debugging
確保軟體品質

軟體評量指標是以 量化的量測形式針對系統所做的客觀評估。持續使用評量指標可讓資訊系統部門與終端使用者一同量測系統績效,並確認所發生的問題。

當錯誤發現時,透過除錯(debugging)程序找到其根源並予以消除。

8.4保護資訊資源的技術和工具

slide53
MWEB事業部:被駭
  • 何種種技術議題導致MWEB的安全漏洞?
  • 對MWEB及其客戶來說,此次安全漏洞事件可能對企業造成什麼影響?
  • 如果您是MWEB的客戶,您認為MWEB對這次安全性漏洞的回應是可接受的嗎?可接受或不可接受的原因為何?
  • MWEB應採取什麼措施以防止類似事件再次發生?
slide54
8.5管理資訊系統專案的實務演練

改善決策制定:

使用試算表軟體執行安全風險評量

軟體技術:試算表公式與圖表

商業技術:風險評量

slide55
9.5管理資訊系統專案的實務演練

改善決策制定:

評估委外服務的安全

軟體技術:網路瀏覽器與簡報軟體

商業技術:評估企業委外服務

slide56
本章摘要
  • 為何資訊系統易於遭受破壞、錯誤與濫用?
  • 什麼是安全與控制的企業價值?
  • 安全與控制的組織架構有哪些元件?
  • 什麼是資訊資源防護上最重要的工具與技術?
slide57
問題討論
  • 安全不僅只是技術問題,同時也是企業問題。請討論。
  • 如果你正替公司發展企業持續經營計畫,你將從什麼地方著手?哪些企業經營的重點應包含在計畫中?
  • 假設你的公司有個銷售商品並接受信用卡付款的電子商務網站。討論這樣一個網站的主要安全性威脅以及其潛在的影響。哪些做法可以降低這些威脅?
slide58
個案研究

歐洲的資訊安全威脅與政策