1、本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。著作權所有 旗標出版股份有限公司資訊安全資訊安全第第 17 章章2學習目標學習目標看完本章,您應該學會以下主題:n資訊安全的目標n資訊安全的基本觀念n資訊安全的範圍n資訊安全管理的標準n個人增進資訊安
2、全的技巧3學習目標學習目標n資訊設備與技術的普及,為人們帶來了前所未有的便利,可是隨之而來的電腦犯罪、入侵與病毒感染事件也爆量激增。n無論如何,我們不可能放棄現有的資訊科技,回到以前的時代。因此如何保護好自己的資訊,已經成為每一個人必修的課程。本章將簡單介紹資訊安全的目標、範圍與相關標準,作為讀者將來繼續深入研究的基礎。417-1 CIA資訊安全的目標資訊安全的目標一般而言,資訊安全的目標在於維護資訊的以下特性:n機密性機密性(Confident ial ity)n完整性完整性(Integrity)n可用性可用性(Availabi lity)n因為這三個特性的英文字首縮寫正好是 CIA,因此許
3、多文件會說:資訊安全的目標就是 CIA。517-1 CIA資訊安全的目標資訊安全的目標617-1 CIA資訊安全的目標資訊安全的目標n美國中央情報局的縮寫也是 CIA(Central Information Bureau),所以有人開玩笑地說:資訊安全的目標對象其實是中情局!717-1-1 機密性機密性n維護機密性是指:唯有獲得授權者才能知道資訊內容,未經授權者無法知悉。例如:阿志發送檔案給阿賢時,將檔案內容加密,再用安全的方式將密碼告知阿賢,阿賢便能解密得知正確內容。n告知密碼的行為相當於授權,只有獲得授權者才能解碼而知悉正確內容;未獲授權者即使取得這份郵件,也會因不知道密碼而無法解讀出正確
4、內容。817-1-1 機密性機密性n與機密性息息相關的資訊技術為密碼學(Cryptography)。簡言之,密碼學是研究加密和解密的科學。917-1-2 完整性完整性n維護完整性是指:能判斷資訊內容是否保持原貌、未被竄改。有時候,錯誤的資訊比沒有資訊還危險,因此駭客入侵的目的未必在於破壞,而是竄改。n舉例來說:入侵銀行帳戶資料庫,將自己的存款增加 100 倍,其它人的存款都歸零;修改國防部的演習命令,對民航機發射飛彈;修改入出境管理資料,使恐怖份子和毒梟能自由出入海關等等,這類竄改所導致的災難比破壞更可怕。1017-1-3 可用性可用性n維護可用性是指:我們在需要的時候隨時可以使用資訊。舉例而
5、言:我們將機密光碟封存在深山的秘密洞穴中,以維護保密性和完整性,這的確很安全。n可是在戰爭、颱風、地震等等緊急狀態下,我們可能因道路中斷而無法取得光碟,這種連自己都拿不到的保護方式就矯枉過正了,沒有考慮到可用性。1117-2 資訊安全的基本觀念資訊安全的基本觀念n在進一步介紹資訊安全之前,我們先澄清一些經常讓人混淆、似是而非的論點,以協助讀者建立正確的基本觀念。1217-2-1 沒有絕對安全沒有絕對安全n大多數的資安專家都認為:倘若駭客有足夠的技術、時間和工具,理論上可以破解任何一種安全機制。因此我們所做的任何防護措施,只是增加破解的難度與時間,並不能保證絕對安全。n所以如果有廠商宣稱用了它們
6、的產品之後,企業主便可以高枕無憂,毋須擔心資安問題,請不要相信!1317-2-1 沒有絕對安全沒有絕對安全n其實,同樣的觀念也是可以套用在現實生活中。從古至今,竊盜與防竊兩種技術互鬥了上百年,誰也沒能消滅對方。近年來最著名的案例,可說是 2003 年 4 月發生在英國曼徹司特大學 Whitworth 藝廊(Whitworth Art Gallery)的名畫失竊案。n在 24 小時警衛巡邏、先進警報系統和監視器的嚴密防護下,三幅名畫(作者分別為梵谷、高更和畢卡索)竟然神不知、鬼不覺地遭竊,震驚了全英國社會。1417-2-1 沒有絕對安全沒有絕對安全n幾天後在附近公園的公廁中找到這三幅畫,畫上附了
7、字條,說明盜畫只是為了凸顯安全防護之不足。這種電影中的情節居然就發生在現實社會中,怎不讓人警惕!n在資安領域,要永遠記得一句話沒有最安全,只有更安全!1517-2-2 代價不應高於保護對象的價值代價不應高於保護對象的價值n既然沒有絕對安全,那麼資安工作不就成了無底洞,究竟要做到什麼程度、花掉多少經費呢?這就看保護對象的價值囉。舉例而言,花五十萬元買個保險箱來保管五萬元的手錶,這顯然不值得(除非該手錶對於當事人具有特殊意義)。n同樣的道理,如果花費在資安的金額會影響企業的運作,甚至超過了企業的總資產,當然不會被企業主所接受。1617-2-2 代價不應高於保護對象的價值代價不應高於保護對象的價值n
8、要估計投入資安的代價,首先必須界定資安的範圍與期限。無論是再怎麼重要的單位,也不會是所有資料都值得保護。對於需要保護的資料,也應該訂出保護的期限,畢竟保護 10 年的代價與保護 20 年的代價相差可就大了。n每一位資安工作者必須學習如何在經費和安全之間拿捏分寸!1717-2-3 沒有一成不變的方法沒有一成不變的方法n許多大企業都流行制訂 SOP(Standard Operation Procedure,標準作業程序),將處理事情的流程一步一步地寫下來,作為規範。有了 SOP 之後,即便是新手,只要照著步驟做,按圖施工、保證成功。不過,在例行的行政事務可以如此;在執行資安工作則未必。1817-2
9、-3 沒有一成不變的方法沒有一成不變的方法n資安工作的一大難題在於每次的狀況都可能不同,駭客的破解手法也總是不斷翻新,讓人防不勝防。因此關於資安的 SOP 也只能點出原則,而非每次都能照著做的步驟。n要知道許多駭客都是背離傳統思維邏輯的怪胎(好聽一點的說法是創意人),他們不按牌理出牌、不守規則,因此反而找出了一般人看不出、找不到的系統漏洞。1917-2-3 沒有一成不變的方法沒有一成不變的方法n我們在處理資安事件時,有時候必須跳脫傳統思維的框架限制,揣摩出駭客的心理與作為,因此臨場的應變能力往往是決勝的關鍵!2017-2-4 資安人員要有全方位的視野資安人員要有全方位的視野n一提到資安人員,許
10、多人就聯想到鑽研於各種稀奇古怪技術的程式員或系統管理員。其實,技術固然是資訊安全的重要一環,但並非全部。根據許多案例顯示,資安事件往往導因於人性面的疏失,而非技術面的失誤,例如:2117-2-4 資安人員要有全方位的視野資安人員要有全方位的視野n為了便於記憶,將密碼寫在螢幕旁的便條紙,導致密碼外洩。n為了下載影片檔或音樂檔,違規安裝 P2P 軟體,形成系統漏洞或感染病毒。n為了便於在家工作,私自利用 USB 隨身碟複製檔案,結果遺失機密性資料。2217-2-4 資安人員要有全方位的視野資安人員要有全方位的視野n以上的行為都可能使昂貴、嚴密的系統破功。分析其原因,它們都是來自於人性為了偷懶或貪便
11、宜。所以一位好的資安人員,千萬不要死守技術本位主義,而要有全方位的視野,不妨涉獵心理、法律、企業倫理等等知識,一併做好人的管理。2317-2-4 資安人員要有全方位的視野資安人員要有全方位的視野2417-2-5 縱深防禦才是上策縱深防禦才是上策n縱深防禦(Defense in Depth)是軍事術語,應用到資安上則是指部署一層一層的不同保護措施,以阻擋惡意行為。n舉例而言:先在電腦機房外安排警衛管制進出、再用指紋辨識系統驗證身份、最後還要輸入正確的帳戶名稱與密碼,才能使用機房的電腦,這就是典型的縱深防禦。2517-2-5 縱深防禦才是上策縱深防禦才是上策n若套用到網路安全上,則是在最外圍安裝防
12、火牆、緊接著是入侵防護系統(IPS,Intrusion Protection System)或入侵偵測系統(IDS,Intrusion Detection System)、到了單機還有個人防毒程式或防後門程式等等。n縱深防禦的優點在於:不會因為一種機制被突破,而使入侵者長驅直入。在歷史上因為忽略縱深防禦而失敗的著名案例,便是法國的馬其諾防線(Maginot Line)。2617-2-5 縱深防禦才是上策縱深防禦才是上策n馬其諾防線位於法國東方,主要用來防禦德國的入侵。耗時 7 年、長達 700 公里、花費 50 億法郎,以當時的法國國防部長安得列馬其諾之名來命名,又被稱為法國長城。n可是在二次
13、大戰期間,德軍繞道比利時和荷蘭,由法國北方的亞耳登森林南下,不但攻到該防線後方,並包圍首都巴黎,最後終於佔領整個法國。從頭到尾,馬其諾防線始終沒有發揮預期的效益,只是成為後人嘲笑和諷刺的代表。2717-2-6 雙重管制降低風險雙重管制降低風險n所謂的雙重管制(Dual Control),是指重大的決策必須至少有兩人參與,以避免因個人誤判情勢而釀成大災難。例如:更換主機系統的決策過程,至少有兩位相關部門主管參與。2817-2-6 雙重管制降低風險雙重管制降低風險n在美國核子潛艦,艦長與執行官必須一致同意,才能發射核子飛彈,這也是雙重管制的絕佳範例。有一部電影赤色風暴(Crimson Tide)便
14、是描述在渾沌不明的緊急狀況時,艦長與執行官因為對於發射核彈意見相左,演變成全艦官兵的衝突,幾乎導致全球的核子大戰。2917-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n資訊安全究竟包含哪些範疇,長久以來眾說紛紜。產品廠商和相關機構逕自推廣自家的資訊安全證照,其中以 IISSCC(International Information System Security Certifications Consortium,國際資訊系統安全認證聯盟,簡稱 ISC2)所推廣的CISSP(Certified Information System Security Profession
15、al,資訊系統安全專家認證)認證具有較高的權威性與公信力。3017-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n一方面是因為它並重理論與實務;另一方面則是它已經在 2004 年獲得 ISO (International Organization for Standardlization,國際標準組織)ISO/IEC 17024 標準的認可。3117-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系nCISSP 認證將資安專家所必須知道的知識統稱為CBK(Common Body of Knowledge,資訊安全通識體系),並具體地彙整為 10 大領
16、域(Domain)。由於每一個領域的涵蓋範圍都很廣,若要詳細說明,恐怕 10 本書都講不完,因此我們僅能摘要說明。3217-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n資訊安全和風險管理資訊安全和風險管理(Information Security and Risk Management)n一般而言,10 大領域的順序性不重要,孰先孰後沒什麼關係。可是若要比較其重要性,多數資安人員公推資訊安全和風險管理(以下簡稱資安管理)為 10 大領域之首。3317-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n資安管理的第一步是制訂企業的資安政策(Polic
17、y)。在該政策中應說明資安管理的各種相關事項,包括:哪些人、事、物納入資安管理的範圍、資安管理的目標、一般處理程序、例外處理程序、有效期限、執行部門等等。資安管理政策就是執行資安工作的最高指導原則,可以說是資安憲法。3417-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n在國際間關於資安管理的標準,早期是以 BSI 協會的 BS7799 標準為主,後來 ISO 組織根據 BS7799 制訂了 ISO 17799 和 ISO 17800 兩項標準,但是目前的最新標準是 ISO 27002 及 ISO 27001。我們在下一節會針對這部分做進一步的說明。3517-3 資訊安
18、全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n存取控制存取控制(Access Control)n存 取 控 制 的 核 心 就 在 於 身 份 驗 證 (Authentication)和授權(Authorization)兩件事,亦即系統驗證了使用者的身份之後,根據存取控制清單(ACL,Access Control List)授予權限。3617-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n至於用何種方式來驗證,還要看是現場的使用者或遠端的使用者。對於前者,可以利用臉部掃瞄、指紋、聲音、虹膜等生物特徵來辨識;但是對於後者,適用的方式比較少,通常是憑藉磁卡、晶
19、片卡、密碼等等來辨識。3717-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n業務持續性與災害復原業務持續性與災害復原(Business Continuity and Disaster Recovery Planning)n此領域的重點在於擬定營運維持計畫(BCP,Business Continuity Plan)、災難復原計畫(DRP,Diaster Recovery Plan)和企業衝擊評估(BIA,Business Impact Analysis)這三項計畫。3817-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n換言之,要評估哪些是企業的
20、關鍵性業務,萬一這些業務中斷會造成多大的影響;明訂出發生緊急事故時,避免營運中斷的作業程序;倘若不幸中斷了,如何迅速復原,繼續營運。n根據 Ableone Systems 顧問公司的統計,美國於 2001 年發生 911 恐怖攻擊事件後,在世貿中心大樓內的公司倒閉了一半,因此喚醒了許多企業主對於此領域的重視。3917-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n密碼學密碼學(Cryptography)n加密的目的一是為了保密;二是為了可判斷是否遭到竄改,等於維護資訊的機密性與完整性。而密碼學泛指涉及加密和解密的相關知識,包括:加密演算法、對稱式加密法、非對稱式加密法、
21、數位簽章、數位憑證等等。4017-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n應用程式安全應用程式安全(Application Security)n軟體工程師若能在開發應用程式的過程,就已經注意到資訊安全、降低風險,這樣的效果絕對比事後彌補漏洞來得好。因此在系統發展生命週期各個階段,都應隨時考量安全因素。n例如:是否遵循企業的資訊安全政策、是否符合法律的要求、傳送資訊之前是否要加密、如何加密、如何測試系統安全等等。4117-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n尤其現在大量網站用到 Java Applet 和 ActiveX 技術,它們
22、在本質上都是內嵌在網頁的程式。若用在好的方面,可以呈現更多樣化的互動效果;若用在壞的方面,則可能成為惡意程式的載具。所以開發人員必須留心如何適當運用這類的程式。4217-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n法律、規章、遵循性與調查法律、規章、遵循性與調查(Legal,Regulations,Compliance and Investigations)n此領域的特別之處在於偏重法律和道德面,主要是討論資安人員應瞭解的法規與道德規範。或許有人會問:瞭解這些法規有何用途呢?4317-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n舉例來說,發生
23、資安事件時,若洩漏的只是企業自身的資訊還算幸運;若洩漏了客戶的資訊,因而使客戶受到損害,便很可能面臨客戶的控告。n在台灣,客戶可引用電腦處理個人資料保護法來提出告訴;在歐洲則可引用歐盟資料保護指令(EU Data Protection Directive);在美國的相關法規是 HIPAA(Health Insurance Portability and Accountability Act,健康保險流通與責任法案)。4417-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n此外,還要注意:同一個措施,符合甲地的法規,卻未必符合乙地的法規。萬一有必要對簿公堂時,如何蒐集證據
24、可能是勝訴的關鍵。此時電腦鑑識(Computer Forensics)技術就會派上用廠,所以有空時不妨接觸這方面的訊息。4517-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n然而,俗話說得好:計畫永遠趕不上變化,資安法規的腳步幾乎總是落後於犯罪,此時就必須藉由道德來彌補。有些事雖然還不算違法,卻肯定是不道德的,這就有賴資安人員稟於道德良知加以禁止。4617-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n作業安全作業安全(Operational Security)n作業安全是指對於人的管控,例如:誰可以核准交易、誰能變更資料、誰獲准取得磁帶或光碟
25、等等。當然,實際的作法可能得因地、因時制宜,才能配合不同企業的需求。不過在整個管控與授權過程中,應該遵循最低權限(Least Privilege)和劃分責任(Seperation of Duties)兩項基本原則。4717-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n前者意味著只賦予剛好夠用的權限即可,不要超過,例如:賦予安裝軟體的權限,但是不賦予刪除使用者帳戶的權限;至於後者,簡單說就是不允許任何人可從頭到尾掌控整個流程,否則很可能發生隻手遮天的弊端。4817-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n實體實體(環境環境)安全安全(Phy
26、sical (Environmental)Security)n近年來,駭客幾乎都是透過網路來入侵,導致大家以為網路安全就是資訊安全,反而忽略了設備本身也要有適當的實體防護。因此這個領域特別著重在設備(例如:主機、光碟和磁帶)安全和環境安全。4917-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n舉例而言:雖然耗費鉅資安裝了威力強大的入侵防禦系統和防火牆,但是機房大門卻使用一般的喇叭鎖,結果小偷輕易地抱走整部主機;因為機房位置不當,在淹水時所有設備都泡水故障;因為沒規劃備用電力系統,因而在斷電後無法持續作業等等,都是一般人容易疏忽的狀況。5017-3 資訊安全的範圍與資訊
27、安全通識體系資訊安全的範圍與資訊安全通識體系n安全架構與設計安全架構與設計(Security Architecture and Design)n這部分比較偏向電腦主機本身所用到的技術,例如:處理行程(Process)、執行緒(Thread)、虛擬記憶體管理、作業系統的防護機制等等。5117-3 資訊安全的範圍與資訊安全通識體系資訊安全的範圍與資訊安全通識體系n通訊與網路安全通訊與網路安全(Telecommunications&Network Security)n此領域的涵蓋範圍最廣、內容也最繁雜,凡是與通信網路或電腦網路有關的知識,幾乎都囊括在內。大致上可以區分為 OSI 模型、TCP/IP
28、協定、區域網路、網際網路、企業內部網路(Intranet)、路由器、防火牆、入侵偵測與入侵防禦、虛擬私人網路、3G 網路等等類別。5217-4 資訊安全管理的標準資訊安全管理的標準n在前一節,我們曾提到資安管理為 10 大領域之首,地位最重要。可是以往在討論資安管理的標準時,卻讓人覺得很傷腦筋。因為這麼重要的領域,長期以來竟然沒有統一的標準。n往往是各國的政府機關、廠商或資安機構各自推行自己的標準,導致彼此難以用客觀或量化的方式,來評鑑資安工作的成效。5317-4 資訊安全管理的標準資訊安全管理的標準n所幸在最近幾年,ISO 組織推出了 ISO 27000 系列標準。ISO 27000 系列是
29、一個資訊安全管理領域的專用標準,因此爾後只要看到編號為 27XXX 的ISO 標準,便可以確定那是一個關於資安的國際標準。54BS 7799nBS 7799 是英國標準協會(BSI,British Standards Institute)在 1995 年提出的標準,歷經多次討論與修訂,於 1999 年正式公布。其內容分為以下兩部分:55BS 7799nPart 1:The Code of Practice For Information Security managementn第 1 部份通常稱為資訊安全管理系統作業規範,也有人稱為管理規則。nPart 2:Specification For
30、Information Security Management Systemn第 2 部份通常稱為資訊安全管理系統要求事項,也有人稱為系統規範。56BS 7799n行政院的國家資通安全會報在 2003 年將 3 千多個政府機關區分為 A、B、C、D 四種等級,限期要求完成不同程度的資安防護措施。目前已有多家 A 級、B 級的政府機關,及民間公司取得 BS7799 的認證,可見得 BS7799 在台灣頗受重視。57ISO 27000n由於世界各國普遍接受 BS 7799 資安管理標準,於是 ISO 組織將 BS 7799:Part 1 轉為 ISO 17799 標準,將 BS 7799:Part
31、 2 轉為 ISO 17800 標準,從此讓 BS 7799 成為世界級的資安標準。58ISO 27000n到了 2007 年,ISO 又將 ISO 17800 修訂為 ISO 27001 標準,可是卻沒有對 ISO 17799 做同樣的動作,於是資安標準變成了ISO 27001 加 ISO 17799。n因為這兩種標準的編號差距很大,往往讓人看不出其中有關連性,造成許多的不便。所以 ISO 便從善如流,在 2007 年 7 月將 ISO 17799 修訂為 ISO 27002。n整個流程如下圖:59ISO 2700060CNS 27001n台灣雖然是資訊產品的大國,可是在資安方面的起步晚,又
32、無重量級的機構或廠商在推動資安標準,因此只能跟著國際的腳步前進。n行政院經濟部標準檢驗局便根據 ISO 17799 和 ISO 17800 制訂了 CNS 17799資訊安全管理之作業要點和 CNS 17800 資訊安全管理系統規範,可以說是將 ISO 版予以中文化,賦予了統一的中文名稱。61CNS 27001n到了 2007 年,標準檢驗局根據 ISO 27001 制訂了 CNS 27001資訊安全管理系統要求事項,並於 2007/4/16 公告廢止 CNS 17800。隨後又根據ISO 27002 制訂了 CNS 27002 標準,並於 2007/10/24 公告廢止 CNS 17799。
33、62CNS 270016317-5 個人增進資訊安全的技巧個人增進資訊安全的技巧n安全並不是一蹴可幾的工作,只要開啟電腦的電源,維護安全的工作便應該永遠是進行中 的狀態。以下列出常用的原則與技巧,讓您有所依循。6417-5-1 妥善設定與保存密碼妥善設定與保存密碼n密碼是進入系統門戶的鑰匙,只要鑰匙落在他人手上,儘管門修得再堅固,也等於沒有門一樣,可以讓入侵者進出自如。n許多人為了怕忘記,會使用與自己相關的數字或英文字為密碼,給自己方便,卻也同時給了入侵者很大的方便,讓入侵者根本不需要使用什麼艱深的技術,也不需要特意去鑽軟體的漏洞,只要稍加猜測,或是藉由暴力攻擊法,即能得到密碼。所以盡量使用複
34、雜,長度不要太短的密碼,是保護密碼的第一步。6517-5-1 妥善設定與保存密碼妥善設定與保存密碼n下面兩個方法可以建立複雜又不易忘記的密碼:n截頭去尾截頭去尾:請預先設定一個句子,例如 Flag is a great publishing company!,然後依您的習慣,將每一個單字的頭尾或是重要的音節取出來成為密碼,例如筆者取出來的密碼為 fgisagtpgcy。您還可以在中間加上空格、標點符號,或是改成大寫字母,讓密碼更加複雜,例如 FgIsA GtPgCy!。6617-5-1 妥善設定與保存密碼妥善設定與保存密碼n使用拼音使用拼音:同樣地先設定一個句子,如 我愛旗標,然後使用拼音的方
35、式轉為英文字母,例如使用注音符號將句子轉為 ji394fu61ul。與上一個方法相同,您可以加上空格或是改成大寫字母,讓密碼更複雜。6717-5-2 避免使用系統管理員帳號執行程式避免使用系統管理員帳號執行程式n目前各主流作業系統都已經具備帳號與權限的管理,而系統管理員帳號擁有至高的權限,可以對系統進行任何動作與修改。n所以建議您盡量以普通權限的帳號登入,執行日常的工作,除非需要進行系統管理時,才切換到系統管理員帳號。如此即使不小心執行了病毒或其他惡意程式,因為普通帳號的權限較低,惡意程式受到權限的限制便不易進行破壞。6817-5-2 避免使用系統管理員帳號執行程式避免使用系統管理員帳號執行程
36、式n不過大多數的人因為偷懶的心態,都不會依照上面建議,而是直接以系統管理員帳號登入,避免切換的麻煩。因應人性的心態,部分作業系統開始設計不同機制。6917-5-2 避免使用系統管理員帳號執行程式避免使用系統管理員帳號執行程式n例如 Windows Vista 與 Windows 7 具有使用者帳戶控制 (UAC,User Account Control)機制,就算使用者以系統管理員帳號登入,系統仍不會給予管理權限,一旦有程式要執行管理工作時,要求使用者確認後才會提升權限,如此可避免惡意程式暗地進行破壞。7017-5-2 避免使用系統管理員帳號執行程式避免使用系統管理員帳號執行程式7117-5-
37、2 避免使用系統管理員帳號執行程式避免使用系統管理員帳號執行程式n除非您使用的作業系統具備類似的機制,才可以比較放心地以系統管理員帳號登入,否則仍建議您勤勞一點,不要以系統管理員帳號執行程式。7217-5-3 安裝防毒軟體與防火牆安裝防毒軟體與防火牆n雖然世界上沒有 100%完美的防毒軟體與防火牆,不過一個毫不設防的系統,等於是門戶大開地邀請駭客與惡意程式進來。所以不論防毒軟體與防火牆完不完美,既使是一個基本的安全機制,也能提高駭客或惡意程式入侵的難度。7317-5-3 安裝防毒軟體與防火牆安裝防毒軟體與防火牆n在重視資訊安全的現在,各主流作業系統都會內建防火牆,建議您至少要開啟這些內建防火牆
38、。另外,如果沒有預算購買防毒軟體,目前已經有許多公司推出免費的防毒軟體可供使用。只要到搜尋引擎網站,用 免費防毒軟體 搜尋,便可以找到許多免費的防毒軟體。7417-5-4 不要隨便下載或執行來路不明的程式不要隨便下載或執行來路不明的程式n網路上的資源豐富,許多公司或是網站也會提供程式或遊戲可供下載,這些可下載的程式便是病毒、木馬等惡意程式散播的最佳途徑。n許多惡意者會在原本正常的程式上植入病毒、木馬等惡意程式,然後放上網路供人下載,或透過社群網站誘騙他人下載。7517-5-4 不要隨便下載或執行來路不明的程式不要隨便下載或執行來路不明的程式n這些程式可能都是相當知名的產品,例如 破解版Wind
39、ows、永久有效的防毒軟體、加快速度的顯示卡驅動程式.等,吸引使用者下載這些程式,一旦執行之後電腦便立刻中毒。n所以建議不要隨便下載或執行來路不明的程式,當您需要各種工具或驅動程式時,也應該到官方網站或是知名網站下載,儘量避免取得有問題的程式。7617-5-5 時常更新應用程式與作業系統時常更新應用程式與作業系統n世界上沒有絕對完美的軟體,任何軟體或多或少一定會有所謂臭蟲 (Bug)的存在,這些臭蟲帶來的不只是使用上的不便,還可能會在系統內產生安全上的漏洞,讓系統出現弱點。n一發現某個自己正在使用的軟體出現漏洞,必須馬上取得已修正問題的版本來更新,才能避免讓電腦處於危險的狀態。7717-5-5
40、 時常更新應用程式與作業系統時常更新應用程式與作業系統n為了使用者的方便,目前許多作業系統或軟體都提供了自動更新的機制,一旦有更新版本釋出,就會自動下載並安裝,節省使用者不少時間。n除了更新作業系統或軟體外,防毒軟體的病毒碼定義也需要經常更新,才能防制最新出現的病毒、木馬等惡意程式。防毒軟體大多也都有自動更新的機制,建議您開啟這些自動更新,讓系統隨時保持在最安全的狀態。7817-5-5 時常更新應用程式與作業系統時常更新應用程式與作業系統除了使用自動更新修補漏洞外,更積極的作法是隨時注意各種安全消息,目前有 3個網站為世界上安全問題的集散地:nCommon Vulnerabilities an
41、d Exposures:http:/www.cve.mitre.orgnCERT Coordination Center:http:/www.cert.orgnSecurityFocus:http:/7917-5-5 時常更新應用程式與作業系統時常更新應用程式與作業系統nCommon Vulnerabilities and Exposures (縮寫為 CVE)為安全問題的搜尋目錄,幾乎所有的漏洞與弱點都可以在 CVE 找到說明。nCERT Coordination Center 與 SecurityFocus 則有非常多系統安全相關的文章,其安全通報的範圍包括各大作業系統與應用軟體,可說是關
42、心資訊安全者必到的取經聖地。8017-5-5 時常更新應用程式與作業系統時常更新應用程式與作業系統8117-5-5 時常更新應用程式與作業系統時常更新應用程式與作業系統n除了使用瀏覽器觀看外,許多安全網站都提供電子報的功能,您可以在這些網站訂閱安全通報。n未來網站只要一公布安全問題,便會馬上使用電子報的方式發送給訂閱者,讓訂閱者了解系統上有軟體可能會造成危險,並且只要依據信件內的指引,便可以下載該軟體的修正版本以更新系統。82隨堂練習隨堂練習1.請討論應該如何設定密碼,才能好記又不容易被破解。2.請研究您目前使用的作業系統與防毒軟體是否具有自動更新的功能,並討論應該如何設定自動更新機制才能較為
43、安全。83特別企劃特別企劃n為了維護資訊安全,我們登入主機、存取資源前,通常都是使用密碼做為認證的依據。不過每次都要輸入密碼才能認證,而且密碼太短容易被破解,太長又可能會忘記,還得小心保管以免被竊取,長久下來實在令人覺得麻煩。n若是電腦能聰明點,可以直接認得我們,這樣該有多方便啊!與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識84特別企劃特別企劃n於是科學家開始發展生物辨識技術,讓電腦可以利用人體特徵的唯一性 (例如指紋),直接進行辨識認證。也就是說,如果運用生物辨識技術,只要讓電腦 瞧一眼,就可以辨識我們的身份,不用攜帶鑰匙、卡片,也不需記憶、輸入密碼了。n下面分別為您介紹目前常見生
44、物辨識技術:與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識85特別企劃特別企劃n指紋指紋/掌紋辨識掌紋辨識:每個人的手指以及手掌上,都具有完全不同的紋路特徵,可以用來做為辨識的依據,所以指紋早已是警察辦案時追查嫌案的重要特徵依據。在資訊科技中,也可以利用指紋或掌紋來辨識人的身份。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識86特別企劃特別企劃與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識87特別企劃特別企劃n指紋/掌紋辨識是目前運用度最廣、知名度最高、技術最成熟的生物辨識技術,已有許多電腦產品,例如筆記型電腦、隨身碟、滑鼠、鍵盤等內建了指紋/掌紋讀取器,只要搭配相關系
45、統與軟體,就可以利用指紋/掌紋辨識達成各項應用。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識88特別企劃特別企劃n例如筆記型電腦可以設定必須辨識出特定人的指紋,才可以啟動電腦或解密資料;或是網路刷卡與轉帳時,如果不是本人的指紋,便無法進行交易。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識89特別企劃特別企劃與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識90特別企劃特別企劃n指紋/掌紋辨識技術雖然方便而且成熟,不過如果使用者手指/手掌的紋路如果太淺、表皮有所磨損、受傷、或是流汗的因素,都可能會造成辨識不易的狀況。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識9
46、1特別企劃特別企劃n人像辨識人像辨識:人像辨識是利用數位相機拍攝人的臉部,然後利用髮線、前額、兩眼、鼻、嘴、下巴.等特徵,與資料庫中的記錄比對,若比對符合者即可立刻確認身份。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識92特別企劃特別企劃n使用人像辨識時,使用者只要站立、甚至經過儀器前,即可進行辨識,因此感受上具有最小侵犯性。n不過儀器必須具備精確捕捉臉部的能力,甚至追蹤運動中的影像,所以難度較高。另外,人的臉部可能會因為時間而改變,也造成人像辨識的困難。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識93特別企劃特別企劃n虹膜辨識虹膜辨識:虹膜是眼睛瞳孔四周有顏色的環狀部分,
47、其組織構造極其複雜,具有超過 200 個以上的特徵,因此虹膜辨識的錯誤率低於 1/1200000,準確度相當高。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識94特別企劃特別企劃n不過,由於虹膜組織非常複雜,所以虹膜辨識的設備比起前兩者昂貴許多,而且戴眼鏡、或眼睛太小,都會影響辨識。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識95特別企劃特別企劃n除了上面介紹的以外,目前還有視網膜、DNA、聲紋、靜脈等不同的生物辨識技術。生物辨識技術雖然對使用者而言比較方便,但是必須注意這些生物特徵仍然可以偽造,所以生物辨識並不是絕對安全保險的認證方法。n如果是重要或是機密場合,建議還是必須搭配密碼,或鑰匙、卡片,才能將危險降到最低。與生俱來的安全鑰匙與生俱來的安全鑰匙 生物辨識生物辨識