1 / 25

防火牆與資訊安全概說

防火牆與資訊安全概說. 林 祖 盛 Anthony Lin Technical Manager anthony.lin@itcheck.com.tw. 課程大綱. 資訊安全基本概念 防火牆的演進 2011 年全球資訊安全趨勢. 惡意軟體的演化. 現今資安挑戰. 具破壞力的工具被公開,且取得容易;阻斷 服務攻擊 ( DoS & DDoS ) 手法更先進、更具破壞力、影響程面及範圍更大。 病毒 (virus) 、蠕蟲 (worm) 、木馬程式 (Trojan) 與間諜程式 (Spyware) 的攻擊更快速、更具破壞力、影響層面及範圍更大。

nijole
Download Presentation

防火牆與資訊安全概說

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 防火牆與資訊安全概說 林 祖 盛 Anthony Lin Technical Manager anthony.lin@itcheck.com.tw

  2. 課程大綱 • 資訊安全基本概念 • 防火牆的演進 • 2011年全球資訊安全趨勢

  3. 惡意軟體的演化

  4. 現今資安挑戰 • 具破壞力的工具被公開,且取得容易;阻斷服務攻擊(DoS & DDoS)手法更先進、更具破壞力、影響程面及範圍更大。 • 病毒(virus)、蠕蟲(worm)、木馬程式(Trojan)與間諜程式(Spyware)的攻擊更快速、更具破壞力、影響層面及範圍更大。 • 駭客攻擊的手法趨於多樣化及混合型的攻擊。 • 安全漏洞增加的速度更快,修補時間縮短。 • 駭客攻擊目標轉向企業內部電腦,開始組織化並以獲得利潤為主要目的。 • 社群網站的發展,衍生新的感染途徑與傳播方式。

  5. 常見的資安迷思 • 有了防毒軟體或防毒牆就搞定一切了 • 外層防火牆會隔離所有攻擊 • 電腦跑得很順,就應該沒有資安問題 • 資安是網管人員的責任 • 我們公司(單位)這麼小,誰會來攻擊我們? • 我不隨便下載檔案,應該不會中毒啦

  6. Security 何謂資訊安全? • 資安三角 C. I. A. • 保密性(Confidentiality) 防止資料未經授權的存取 • 完整性(Integrity) 確保資料無損毀或篡改 • 可用性(Availability) 可使用資料並提供服務 Confidentiality Integrity Availability

  7. Physical Technical Administrative Data 資訊安全管理 • 行政資安控管(Administrative control) 資安政策、準則與個人資安意識 • 技術資安控管(Technical control) 資料加密、防火牆與認證 • 實體資安控管(Physical control) 人員管制、消防安全與硬體控管

  8. 相對應的解決方案 • 檢討基本網路架構是否正確。 • 阻斷服務攻擊(DoS & DDoS):防火牆與入侵偵測防禦系統(IDP)。 • 病毒(virus)、蠕蟲(worm)與惡意軟體:病毒掃瞄。 • 攻擊多樣化及混合型的攻擊:定期更新攻擊碼特徵。 • 定期更新修補作業平台的安全漏洞。 • 嚴謹的資安政策,培養使用者正確的資安思維。 • 定時留意新的資安趨勢。

  9. 何謂防火牆? • 管理兩個網段間存取行為的一個系統(或一群系統)

  10. 何謂防火牆? • 一般位於閘道端 • 可以是路由器、伺服器、認證伺服器、特化之硬體設備等。 • 辨識資料封包之型式、來源與目的位址、通訊埠號等。 • 可切割網段,進一步確認需要防護區域、外部危險區域與DMZ區。

  11. 防火牆的演進 • 防火牆架構是基於下列幾種機制: • Packet Filtering • Proxy Server • Stateful Packet Filtering • Dynamic Packet Filtering • Kernel Proxy • Application Filtering

  12. ACL Packet Filtering • 最早的防火牆過濾機制 • 根據封包的來源與目的位址判定合法與否 • 高效能,但無法掃瞄封包內容。

  13. Proxy Server • 第二代防火牆過濾機制 • 位於內外主機中間,代替雙方建立連線後,監看封包的合法性。 • 安全性較佳,但會受限於可代理的服務種類。

  14. Stateful Packet Filtering • 第三代防火牆過濾機制 • 不僅根據封包的來源與目的,亦監看連線狀態與合法性。

  15. Dynamic Packet Filtering 第四代防火牆過濾機制 支援動態通訊埠,可因應連線需求產生動態的管制條例。

  16. Kernel Proxy • 第五代防火牆過濾機制 • 以核心做動態的proxy,不經由作業系統 • 安全性與效能較佳,且不會受限於可代理的服務種類。

  17. Application Filtering 基於使用者的管理模式。主要包含: • 基於“人”為主的存取控制 • 基於“人”為主的網路資源的分配 • 基於”人“為主的日誌統計 基於角色的管理模式可以: • 通過對存取者身份稽核和確認 • 確定存取者的存取權限,分配相對應的網路資源。 • 在這樣的原則下管理者可避免IP盗用或者 PC • 使用者端被擷取或盗用所引發的資訊洩漏等問題。

  18. 2011年全球資訊安全趨勢 • 行動安全將佔有重要地位 • Endpoint Security市場將會持續成長 • 身份辨識將成為雲端安全的核心。 • 虛擬化安全慢慢受重視 • 個資安全與應用程式安全將無所不在

  19. 焦點一:網頁媒體與社群網站

  20. 焦點二:雲端服務與安全 • DLP需求 • 更細部的存取控制 • 相關法令規範與刑事調查 • 虛擬空間的安全性

  21. 焦點三:身份辨識與移動安全 • 內網安控與身份辨識 • 更細部的存取控制 • 個資法的規範

  22. 焦點四:IPv6 新世代網路

  23. 亞洲已建置全世界最大IPv6網路環境 木馬 Backdoor 病毒, Worm 駭客攻擊, Hacker tool P2P軟體 資料竊取 IPv6 網路安全威脅

  24. 適當的資安措施 • 日常的「無聊工作」(軟體patch、病毒碼更新…) • 資安思維的教育訓練 • 早期發現與規畫是預防資安漏洞的良方 • 採取更進一步的防護:DLP、約聘人員相關規範

  25. ThankYou!!

More Related