1 / 75

2011 年暑期 資 訊 安 全 研 習

2011 年暑期 資 訊 安 全 研 習. 國立中興大學 資 訊管理系 林詠章 副教授 iclin@nchu.edu.tw. 大 綱. 資訊安全管理 駭客入侵 電子商務安全. 一、資訊安全管理. 風險值:來自外在環境的威脅,利用資產本身的弱點(脆弱性),可能對資產產生的潛在損失。 風險值= f (資產價值,有害事件發生的機率 ) 有害事件發生的機率可由外在 威脅 利用本身 弱點 的機率來作分析. 風險管理程序. 弱點評估. 確認資產、評估價值. 威脅評估. 檢視現行控制措施. 風險評估結果. 風險評估. 風險管理. 選取安全控制措施. 降低風險.

august-guerrero
Télécharger la présentation

2011 年暑期 資 訊 安 全 研 習

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 2011年暑期資 訊 安 全 研 習 國立中興大學 資 訊管理系 林詠章 副教授 iclin@nchu.edu.tw

  2. 大 綱 • 資訊安全管理 • 駭客入侵 • 電子商務安全

  3. 一、資訊安全管理

  4. 風險值:來自外在環境的威脅,利用資產本身的弱點(脆弱性),可能對資產產生的潛在損失。風險值:來自外在環境的威脅,利用資產本身的弱點(脆弱性),可能對資產產生的潛在損失。 風險值=f(資產價值,有害事件發生的機率) 有害事件發生的機率可由外在威脅利用本身弱點的機率來作分析

  5. 風險管理程序 弱點評估 確認資產、評估價值 威脅評估 檢視現行控制措施 風險評估結果 風險評估 風險管理 選取安全控制措施 降低風險 確認風險可接受水準

  6. 資 產 評 估 • 硬體 • 軟體 • 人員 • 服務 • 文件 • 個人資料

  7. 風險管理程序 弱點評估 確認資產、評估價值 威脅評估 檢視現行控制措施 風險評估結果 風險評估 風險管理 選取安全控制措施 降低風險 確認風險可接受水準

  8. 安全弱點 來源: 先天設計缺失 後天管理不善 常見弱點: 傳統通訊協定無加密機制 網路服務未適度管理設限 使用者權限分配不當 系統參數值設定不當

  9. 安全威脅 天災: 風災、水災、火災 人禍: 內部人員濫用網路 病毒 實體設施遭破壞 駭客入侵

  10. 風險管理程序 弱點評估 確認資產、評估價值 威脅評估 檢視現行控制措施 風險評估結果 風險評估 風險管理 選取安全控制措施 降低風險 確認風險可接受水準

  11. 資訊安全的基本需求 • 保密性或機密性:防止機密資訊洩漏給未經授權的使用者。 • 完整性:資料內容僅能被合法授權者所更改,不能被未經授權者所篡改或偽造。 • 鑑別性: • 訊息來源的鑑別-確認訊息之傳輸來源。 • 身份鑑別-驗證使用者身份。 • 不可否認性:傳送方不得否認其未曾傳送某筆資料,而接收方亦無法否認其確實曾接收到某訊息資料。

  12. 資訊安全的範疇-技術觀點

  13. 選取安全控制措施 考慮因素: 風險 成本花費 實作容易程度

  14. 身分識別例子-掌形與指紋辨識 http://perso.orange.fr/fingerchip/biometrics/types/fingerprint.htm 1-14

  15. 身分識別例子-臉部辨識 http://www.cs.bham.ac.uk/~mdr/teaching/modules03/security/students/SS3/handout/index.html http://www.biofs.com/eng/s1.php 1-15

  16. 身分識別例子-視網膜紋路辨識 http://www.eyes.co.nz/eye_care.html http://www.arcent.army.mil/cflcc_today/2005/january/iraqi_election.asp 1-16

  17. 通行碼使用者身份鑑別系統

  18. 通行碼注意事項 長度適宜 記事簿 不同電腦用不同通行碼 不宜活太久 守口如瓶

  19. 加解密技術 • 加密運作模式專有名詞如下: • 原文(plaintext):資訊的原始格式。 • 密文(chipertext):透過加密演算法輸出的資訊。 • 演算法(algorithm):將原文處理成密文的運算法則。 • 金鑰(key):一個與原文無關的數值,其可將原文轉成密文或將密文轉成原文的過程中,一種用來協 助演算法計算的資料。 • 加密(encryption):將原文經加密運算轉成密文的程序。 • 解密(decryption):為加密的逆運算,將密文轉成原文的程序。 3-19

  20. 古代密碼系統-替代法 • 紐約州,Trinity市的墓碑 密文: 依照下列取代法則加密而成 明文:REMEMBER

  21. 密碼系統的分類 對稱性密碼系統(Symmetric Cryptosystems) 加密金鑰及解密金鑰為同一把 非對稱性密碼系統(Asymmetric Cryptosystems) 或公開金鑰密碼系統(Public-Key Cryptosystems) 加密與解密金鑰為不相同的兩把金鑰

  22. 對稱的加密模式 收送雙方共有的秘密金鑰(K1) 收送雙方共有的秘密金鑰(K1) 被傳送的密文 C=EK1(M) ---- -------- -------- ---- ------ ------ -------- ------ ------ ---- -------- -------- ---- ------ ------ -------- ------ ------ DK1(C) M 明文輸入 明文輸出 加密演算法(E) (例如 DES) 解密演算法(D) (加密演算法的逆運算) 中途竊取者

  23. 對稱式的加密系統 U2 U3 U1 U4 U5 • 常見的對稱式加密系統 DES、AES • 有金鑰管理的問題每位使用者需儲存n把Keys • 優點:加密速度快

  24. 公開金鑰加密系統 CA 金鑰 志明’s 私有金鑰 志明’s 公開金鑰 Send 加密 解密 密文 密文 明文 明文 Send 解密 加密 密文 密文 明文 明文 志明 春嬌 春嬌’s 私有金鑰 春嬌’s 公開金鑰

  25. 公開金鑰密碼系統 優點:沒有金鑰管理的問題 高安全性 有數位簽章功能 缺點:加解密速度慢 著名之公開密碼系統: RSA密碼系統 ElGamal密碼系統

  26. Digital Signature 數位簽章 一般數位簽章具有下列功能: • 確認性(Authentication):可確認文件來源的合法性,而非經他人偽造。 • 完整性(Integrity):可確保文件內容不會被新增或刪除。 • 不可否認性(Non-repudiation):簽章者事後無法否認曾簽署過此文件。

  27. 數位簽章的基本概念

  28. 可信任的第三者:認證中心 (CA) • 使用者登記認證,使其網路身份生效具法律效用。 - (如同向戶政機關登記,政府發給身份證) • 使用者將其公開金鑰登記認證。 - (如同印鑑證明) • 每個使用者都可以使用自己的數位憑證,證明自己合法身份。 • 提供一個值得信賴的安全基礎建設。

  29. 認證中心 (CA) 的主要功能 • 產生及更新數位憑證(Certificate): CA對每個使用者的身份及公開金鑰簽署成一個數位憑證。 • 分發及管理數位憑證。 • 數位憑證的註銷及恢復。 • 扮演一個數位時代的可信任的仲裁者(提供憑證)。 • 儲存數位憑證(有效憑證、終止憑證、過期憑證)。 • 公佈及傳送數位憑證被註銷的目錄(Certificate Revocation List, CRL)。 • 數位憑證之查詢及分送憑證管理之相關資料。

  30. 風險管理程序 弱點評估 確認資產、評估價值 威脅評估 檢視現行控制措施 風險評估結果 風險評估 風險管理 選取安全控制措施 降低風險 確認風險可接受水準

  31. 二、駭客入侵

  32. SQL Injection 攻擊方式 欲執行的SQL敘述 SELECT count(*) FROM Members WHERE UserName = 'John' AND Password ='ABC' 入侵登入畫面

  33. 直接入侵 不良的SQL敘述寫法 SELECT count(*) FROM Members WHERE UserName ='" & txtUserName.Text & "' AND Password ='" & txtPassword.Text & "'" 在[帳號]欄位輸入以下的資料就可以登入成功: ' OR 1=1— 程式所執行的SQL敘述變成: SELECT count(*) FROM Members WHERE UserName = '' OR 1=1 – And Password = ''

  34. 植入帳號與刪除資料表 在[帳號]欄位輸入以下的資料就可以新增駭客帳號: ';insert into Members(UserName, Password) Values ('hacker', 'foo')— 權限足夠的狀況下, 在[帳號]欄位輸入以下的資料就可以刪除Members資料表: ';drop table Members --

  35. Bypass 攻擊:不需要密碼也可以登入 在[密碼]欄位輸入以下的資料就可以成功登入: aaa' Or UserName Like '% 程式所執行的SQL敘述變成: SELECT count(*) FROM Members WHERE UserName = '' And Password = 'aaa' Or UserName Like '%'

  36. 網頁掛馬 • 「網頁掛馬」又稱之為網頁隱藏式惡意連結 • 駭客入侵(知名的)網站 • 不更動原有的畫面下,修改網站內容,加入惡意程式碼 • 使瀏覽該網站的使用者被植入惡意程式 • 進而竊取個人資料或當成跳板主機

  37. 網頁掛馬的危害 • 對網站擁有者而言 • 因管理不善導致他人被入侵而負上法律責任 • 商譽的損失 • 對一般使用者而言 • 資料失竊 • 隱私資料、信用卡資料、線上遊戲虛擬寶物等 • 被當跳板主機 • 可能面臨法律責任 37

  38. 網頁掛馬攻擊模式 掛馬 瀏覽網頁 網站server 使用者 導向惡意 程式網站 遙控受害電腦 下載並安裝 惡意程式 惡意程式網站 駭客

  39. 網頁掛馬 vs. 釣魚網站 • 網頁掛馬與釣魚網站(Phishing)不同之處在於: • 釣魚網站:設置一個以假亂真的網站,欺騙網路瀏覽者上當。 • 網頁掛馬:攻擊一個正常的網站,利用網路瀏覽者對於正常網站的信任感,讓使用者在不知不覺中被植入木馬程式。駭客自行設立一個網站或虛設部落格,以各種方式吸引民眾瀏覽,再送出惡意程式。

  40. 網頁掛馬案例

  41. 釣魚網站案例 • www.skl.com.tw vs. www.sk1.com.tw • www.icst1.org.tw vs. www.icst.org.tw • www.1111.com.tw vs. www.111.com.tw • www.bot.com.tw vs. www.b0t.com.tw • www.citybank.com.tw vs.www.citibank.com.tw 41

  42. IE 所提供的網站安全工具 InPrivate 瀏覽工具

  43. 釣魚網站防範方法 IESmartScreen 篩選工具

  44. 網頁掛馬防範方法 搜尋引擎:善用McAfee SiteAdvisor 綠色標示代表網站安全,紅色代表網站不安全

  45. 網路掛馬及釣魚網站的散播方式 • 社交工程:利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法 • 透過電子郵件進行散播 • 假冒寄件者 • 使用與業務相關或令人感興趣的郵件內容 45

  46. 殭屍網路(Botnet) • 駭客透過系統漏洞或後門植入遙控程式的殭屍電腦所組成之網路系統。 • 被用於進行網路詐騙、垃圾郵件濫發、傳播病毒等不法用途。

  47. Botnet攻擊方式 • DDoS攻擊 • 消耗受害者網路服務頻寬 • 傳播垃圾郵件和惡意軟體 • 70~90%的垃圾郵件由殭屍網路傳播 • 信息洩露 • 竊取被害人資料 • 監聽鍵盤活動並回報有用資訊 • 欺騙點擊 • 安裝廣告附件和瀏覽器助手以達到商業目的 • 獲得更高的點擊率或線上投票 • 身份詐欺 • 設置假網站冒充正式網站,要求提交個人或機密訊息

  48. DDOS 阻斷服務攻擊

  49. 三、電子商務安全

  50. 網站安全-線上安全認證標章 VeriSign/HiTRUST「 全球安全認證網站標章 」 寰宇數位「GlobalTrust安全網站標章」 台北市消費者電子商務協會「優良電子商店標章」 台北市消費者電子商務協會「資訊透明化電子商店標章」

More Related