Download
1 / 72
790 likes | 1.2k Vues
資訊安全與資料保全. 主講人 : 賴溪松教授 TWISC@NCKU 中心主任兼召集人 成大資通安全研發中心主任 國立成功大學 電機工程學系 特聘教授 http://crypto.ee.ncku.edu.tw E-mail : laihcs@eembox.ncku.edu.tw. 自我介紹. 1990 年成大電機博士 ( 國內第一位資訊安全博士 ) 國科會傑出獎 (1996-1997,1998-1999) 傑出資訊人才獎 (1999) 成功大學計算機網路中心主任 (1999-2005) 崑山科技大學資訊科技學院院長 (2005/8-2007/7)
E N D
資訊安全與資料保全 主講人: 賴溪松教授 TWISC@NCKU 中心主任兼召集人 成大資通安全研發中心主任 國立成功大學 電機工程學系 特聘教授 http://crypto.ee.ncku.edu.tw E-mail:laihcs@eembox.ncku.edu.tw
自我介紹 • 1990年成大電機博士(國內第一位資訊安全博士) • 國科會傑出獎(1996-1997,1998-1999) • 傑出資訊人才獎(1999) • 成功大學計算機網路中心主任(1999-2005) • 崑山科技大學資訊科技學院院長(2005/8-2007/7) • 大學網路選填志願技術主管(2005) • 台南市軟體協會理事長(2007/8~迄今) • 成大資通安全研發中心主任(2007/8~迄今)
密碼與網路安全研究室簡介 • 已畢業:博士:12人 碩士:55人 • 在學研究生:博士:5人 碩士:13人 • 助理:專任技術助理:6人 專任行政助理:2人 • 博士後研究:1人
密碼與網路安全研究室 資訊安全 管理系統 系統安全 網路安全 資通安全研究與教學中心(TWISC) 整合性密碼程式庫及工具組套件 協助教育部資訊安全管理系統 台灣網路安全測試平台(TWANST) PKI相關技術 滲透測試 地方政府資通安全
Outline • 安全重要?不要? • 資訊安全 • 何謂資訊安全? • 資訊安全現況與威脅。 • 資料安全 • 何謂資料安全? • 資料外洩的管道與方式。 • 結論
安全重要? • 汽車的安全性是否重要? • 國人購買汽車的考慮因素: • 價格 • 性能 • 省油 • 外觀 • 安全
安全不要? • 依WHO統計,每十萬人車禍死亡率上,台灣2005年即高達20.8人,相對高出美國14.6人與日本的7人。 • 86.5%台灣車主認為安全器囊很重要,但歐美標配一台車6顆,台灣只有1.47顆。
安全真的很重要 • 資訊安全與實體安全同等重要,但忽略資訊安全,所造成的損失很可能會遠高於忽略實體安全的結果。 • 資源的投入≠完善的安全。 • 保護資訊的安全必須瞭解: • What? • Why? • How? • When? • Where?
何謂資訊安全? • 資訊的價值 • 直接可衡量 • 間接可衡量 • 為了發揮資訊的最大價值,就必須有效的防止資訊遭竊取、竄改、毀損、滅失或遺漏,簡言之,就是確保資訊的: • 機密性 • 完整性 • 可用性
資訊安全三要素 • Confidentiality 機密性 • 保護資訊不被非法存取或揭露 • Integrity完整性 • 確保資訊在任何階段沒有不適當的修改或損毀 • Availability 可用性 • 經授權的使用者能適時的存取所需資訊
資訊安全的範圍(1/2) • 定義保護及維護資訊的安全,包含: • 資訊的產生 • 資訊的使用 • 資訊的傳遞 • 資訊的處理 • 資訊的儲存 • 資訊的銷毀 • 網際網路加入後 • 資訊的傳遞安全變得愈來愈重要
資訊安全的範圍 (2/2) 資訊安全 安全管理 系統安全 網路安全 確保資料安全的機制 資料的處理系統 資料的傳遞 • 駭客攻防 • 稽核管理 • 儲存系統 • … • 管理機制 • 安全認證 • … • PKI • 數位簽章 • 資料保護 • 金鑰信託
網路安全的定義 • 資料在網路中傳遞與處理的安全 • 威脅 • 竊聽 • 竄改 • 重送 • 阻斷服務 傳輸內容加密保護 簽章 身分驗證 目前尚無有效解決方法
目前的網路安全技術 • 加密技術 • 傳輸資料加密 • 通道加密(SSL、VPN 、IPsec) • 身分認證 • 電子簽章 • 憑證(透過公正第三者做身份識別及確認) • GCA憑證 • 自然人憑證
系統安全的定義 • 資料在處理過程中的安全 • 威脅 • 黑客入侵 • 木馬屠城 • 安全弱點 • 病毒蠕蟲 資安管理 資安稽核 資安制度 資安認知與教育訓練 資安工具
目前的系統安全安全管理技術 • 系統安全需要以全面的觀點來看,制度與管理、技術與工具、訓練(人)缺一不可。 • 資安制度:CNS17799、ISO 27001 • 資安管理:資安政策、ISMS • 資安稽核:內部與外部稽核 • 資安工具:Firewall、IDS/IPS、 • 資安認知與教育訓練:提升資安意識與觀念。
最近觀察到的狀況(1/3) • 舊的威脅與弱點仍然存在,且改善不多…. • 2002年-2005年,仍有大部分政府及商業網站仍存在這SQL Injection弱點。 • eg: • 駭客新手法 資料隱碼入侵 威脅九成官商網站(2002/04) • 建中學生入侵總統府網站(2003/04) • 駭客入侵大考中心 過去三年逾百萬筆資料外流 (2005/04) • 駭客入侵教師介聘網 篡改教師積分 (2005/06) • 大學生欠缺法律觀念當駭客 遭刑事局法辦 (2006/01) • 高二駭客以資料隱碼(SQL INJECTION)的手法侵入資料庫 (2006/01)
最近觀察到的狀況(2/3) • 駭客變成英雄….. • 媒體的渲染,卻忽略了事件背後的意義… • 用「少年駭客」、「天才」…等來形容駭客的行為,卻忽略了事件真正的重點-法治的觀念. • 廠商公開徵求…「進過偵九隊的」員工… • 「駭客變戰警 助警抓駭客」 (2005/07) • 時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事(http://www.time.com/time/magazine/article/0,9171,1098961,00.html)
最近觀察到的狀況(3/3) • 犯罪高科技化 • 無線溢波洗錢案 • 駭客利用「無線溢波」盜刷信用卡的犯罪集團,該集團以接收無線網路溢波的方式盜刷他人信用卡;然後利用線上付款網站、線上遊戲虛擬貨幣買賣「洗錢」 。(2/14) • 網路詐騙盛行 • Phishing • 網路購物詐騙 • 網路截標 • 利用網路電話傳遞訊息 • 兩岸三地犯罪集團利用網路電話聯繫、分工,避免警方查緝監聽。
歷年Web應用程式資安事件類別統計圖 23 資料來源:資策會,Web應用程式安全參考指引草案
OWASP Top 10 24
網路釣魚(Phishing) • phishing這個新名詞,是將英文fishing(釣魚)的第一個英文字母"f",改變為"ph"。 • 姜太公釣魚,願者上鉤 • 另一種詐騙形式 • 用來取得帳號密碼等..
取得的資料 ------------------------------------------ Number: 434678656782 Exp: 05/06 CVV2: PIN: 5692 SSN: 166-32-6574 ------------------------------------------ Number: 2342258056410967 Exp: 09/05 CVV2: PIN: 1267 SSN: 234-56-3689 lognotfull123.txt999
攻擊資料分析 • 2003年10月,成功大學與法國Eurocom合作Honeypot Sensor建置。 • 架設Honeypot Sensor於成功大學,每日將台灣所收集的攻擊資料,傳送至法國Eurecom Honeypot Server統計。 • 目前涵蓋20個國家,30個的Honeypot Sensor • 藉由Eurecom Honeypot Server長期的資料分析,可清楚的了解台灣與世界各國網路攻擊的差異。
攻擊台灣的前5大來源國-- 70%來自台灣本身 2% 3% 5% 6% 70%
攻擊法國的前5大來源國-- 51%來自世界其他各國-- 法國本身僅7% 5% 12% 7% 18% 7%
分析這些現象… • 人人都知道資安很重要,但卻不知如何做。 • 所以舊的威脅依然存在。 • 錯誤的觀念,將駭客拱成英雄。 • 犯罪者利用來進行犯罪行為。 • 駭客攻擊轉向有目的的行為 • 竊取機敏資料 • 要資料也要錢
未來資安趨勢 • 駭客攻擊的手法趨於多樣化及混和型的攻擊。 • 木馬程式成為洩漏機敏資料的首因。 • 駭客攻擊目標轉向金融機構、企業內部的個人電腦及利用寬頻上網的家用電腦。 • 攻擊後,資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。 • 無線網路與網路基礎建設成為下一波攻擊標的。
資料外洩事件 • 隱私/資訊 洩漏 • “利用銀行假網頁釣魚 竊取兩萬多筆個資” (卡優新聞網-2007.07) • “中國駭客入侵 漢光演習資料外洩”(TVBS-2007.4) • “分享軟體惹禍 警筆錄外洩任人下載 ”(TVBS-2007.4) • “So-net驚傳個資外洩 盜刷逾500萬” (TVBS-2007.2) • “無名小站遇「駭」 個資流入中國”(自由時報-2006.11) • 柏克萊加州大學警告,該校研究所入學許可辦公室的一台筆記型電腦遭竊,可能導致超過9萬8千人的個人資料外洩(CNET新聞專區 -2005.3)
外部人員(5%) • 駭客、病毒 環境因素(15%)天然災害、地震等 • 內部人員(80%) • 人為疏失、不誠信員工 資訊安全的威脅來源
資料安全的威脅 • 內部威脅 • 系統弱點 • 內部員工 • 管理不當 • 內部網路 • 協力廠商 • 外部威脅 • 天然災害 • 硬體損毀 • 駭客病毒 • 明文傳遞 • 連線欺騙 資料安全威脅
資料安全的範圍 • 資料 • 靜態資料(圖片、聲音、影片) • 動態資料(即時資料庫存取) • 資料安全的範圍 • 資料的使用與傳遞 • 資料的處理與儲存 • 資料的管理與稽核 • 維繫網路資料安全的三大要點 • 網路安全、身份安全、檔案安全
資料安全的重要性 • 資料檢索的安全 • 資料分類與提供檢索的安全 • 資料儲存的安全 • 資料儲存與典藏的安全 • 資料傳輸的安全 • 資料傳輸與交換時所需要考慮的安全 • 備份與災難復原 • 資料的備份與銷毀確認
事先了解資料的價值 • 資產價值 • 用金錢來量化的數字 • 時間價值 • 用時間來量化的數字 • 人力成本 • 此資料修復或重建所需耗費的人力 • 風險指數與機率預估 • 代表預期可能發生的風險指數與機率
資料檢索的安全 • 分類開放程度 • 資料的價值 • 對不同的人有不同的價值 • 敏感性資料-個人隱私資料、稅務資料 • 機密資料-國防安全、重要有價值的研發 • 資料的等級 • 普通、密、機密、極機密、絕對機密 • 存取控制 • 決定資料等級與誰可以取得資料 • 將資料加密,只有有key的人才能解開 可公開資料 敏感性資料 機密資料
資料儲存的安全 • 實體儲存安全 • 實體存放位置的安全管理 • 數位資料儲存安全 • 儲存裝置:光碟、NAS 、Grid storage • 災難復原 • 備援 • 整套系統的備份(同步與差異性備份) • 包含資料及應用程式等系統環境 • 系統備份 • 備份資料 • 完整備份 • 批次備份
主管 國家 個人 需保護的資料 • 國家資料-國防資訊、國家政策、軍事活動、國家機密… • 個人資料-家庭背景、婚姻狀況、學業成績、所得收入… • 病歷資料-門診記錄、診斷報告、檢查報告、病歷記錄… • 帳戶資料-銀行帳號、郵局帳號、密碼、信用卡、金融卡… 客戶資料-個人資料、交易記錄、帳號密碼… 機密資料-公司機密、公司政策、營運方針、產品報價資料… 財務資料-財務報表、公司帳務、營收資料… 人事資料-員工履歷、人事薪資… 智慧財產-各式設計圖、程式原始檔、產品研發… 重要文件-計畫書、合作案、 合約書、行銷策略文件
主管 國家 個人 資料外洩的嚴重性 • 個人隱私被曝光 • 個人資料被盜用 • 個人名譽受威脅 • 個人財產遭侵害 • 嚴重的精神損失 • 詐騙集團有機可乘 • 機密資料外洩 • 失去競爭優勢 • 單位商譽受損 • 高層主管下台 • 官司訴訟問題 • 民事賠償責任 • 國家機密曝光 • 損害國防形象 • 兩岸敏感問題 • 國防安全勘憂 • 危害國家安全
竊取者 營運方針 財務報表 人事資料 產品簡報 MIS 系統架構 技術手冊 側錄失敗且無法開啓加密的檔案 解密失敗丟棄 竊取 竊取 竊取 側錄 檔案加密伺服器 竊取 側錄 竊取 權限控管 竊取 資料外洩的方式
type storage 常見的資料外洩方式 隨身碟 光碟 螢幕畫面擷取 網際網路 即時通訊 網路分享 遠端存取 無線網路 公用帳號 惡意程式 內部員工 列印紙本
預防資料外洩的保護方法 • 實體防護 • 系統保護 • 檔案加密 • 加密技術 • 傳輸通道加密(SSL、VPN 、IPsec) • 硬體加密 • 軟體加密 • 主機、網路與儲存媒體加密 • 權限控管 • 數位版權管理(DRM) • 文件保管系統
無網路 禁止使用網際網路 無外接儲存裝置 禁止員工攜帶外接儲存裝置 集中儲存 將資料儲存至某一資料庫或伺服器中,再將伺服器放置於機房內,加以保護。 網路監控裝置 記載網路上所有活動,公司也可以監視員工使用電腦的狀況或螢幕畫面,即時掌握員工使用資料的狀況。 實體防護
