第八章資訊系統安全

第八章　資訊系統安全

東華書局│ www.tunghua.com.tw 2

學習目標

瞭解為何資訊系統易於遭受破壞、錯誤與濫用瞭解什麼是安全與控制的企業價值瞭解安全與控制的組織架構有哪些元件瞭解什麼是資訊資源防護上最重要的工具與技術


本章大綱8.1 系統漏洞與濫用8.2 安全與控制的企業價值8.3 建立安全與控制的管理架構8.4 保護資訊資源的技術與工具8.5 管理資訊系統專案的實務演練


當你在用 Facebook 時要小心


安全性（ security ）是指用於防止資訊系統被未授權的使用者進入、篡改、偷竊或實體損害的政策、程序及技術手段。

控制（ controls ）包含所有的方法、政策與組織程序，用來確保組織的資產安全、記錄的準確與可靠，以及依照管理標準的運作。

8.1 系統漏洞與濫用


• 為什麼系統容易受到破壞8.1 系統漏洞與濫用


• 為什麼系統容易受到破壞 _ 網際網路的攻擊– 大型公眾網路如網際網路，比其他內部網路更易遭

到破壞，因為它是對任何人都開放的。– 網際網路技術的電話服務，除非是在安全的私有網

路之下，會比傳統交換機式的網路更易遭到破壞。– 電子郵件和即時傳訊 (instant messaging, IM)

更大幅增加了受到破壞的可能性。



• 為什麼系統容易受到破壞 _ 無線傳輸安全的挑戰8.1 系統漏洞與濫用


• 惡意軟體 ( malware) ︰病毒、蠕蟲、木馬程式和間諜軟體– 電腦病毒 (computer virus) 是一種流氓軟體程式，

通常在使用者不知情或未經使用者許可的情況下，附加在其他軟體程式或資料檔案上來執行。多數的電腦病毒會傳遞一份「裝載」 (payload) 。這份裝載有時可能較不具威脅性，如執行指令去顯示一些文字訊息或影像，或是非常具有破壞性 -- 像是銷毀程式或資料、阻礙電腦記憶體運作、重新格式化硬碟、或是讓程式不正常執行。



– 蠕蟲 (worms)一種獨立的電腦程式，它可以透過網路將病毒從一台電腦自行複製到其他電腦。與病毒不同的是，蠕蟲能自己運作，並且不需依附在其他電腦程式檔案上，也不太需要透過人們的操作行為就能在電腦之間傳播。



– 木馬程式 (Trojan horse) 看起來似乎是溫和無害的軟體程式，但會做一些超出想像的事。木馬程式本身不是病毒，因為它本身並不複製，但卻是其他病毒或惡意程式碼侵入電腦系統的媒介。



– 間諜軟體 (Spyware) 也扮演著惡意軟體的角色。這些小程式偷偷的自行安裝在電腦上，它們會監視著你上網的活動，並跳出廣告。



• 駭客與電腦犯罪– 駭客 (hacker) 是個人企圖未經授權而擅自存取他

人的電腦系統。– 怪客 (cracker) 通常用來指具有犯罪意圖的駭客。– 電腦暴力行為（ cybervandalism ）、蓄意破壞、毀

損甚至是摧毀網站或公司資訊系統等。



• 駭客與電腦犯罪 _偽裝和網路竊聽– 駭客經常隱藏他們的真實身分來進行欺騙、或試圖用偽裝的電子郵件位址或假冒其他人傳送訊息。

– 偽裝 (spoofing) 的方式，有時是將原來的網址連接至其他的網站，假裝成是要連接的目的地。

– 網路竊聽器 (sniffer) 是一種偷聽的程式，它監控網路上資訊的流動。



• 駭客與電腦犯罪 _ 阻斷服務攻擊– 阻斷服務攻擊 [denial-of-service (DoS) attack] 是

指駭客送出成千上萬件假的訊息或是服務需求到網路伺服器或是網站伺服器，造成網路壅塞甚至癱瘓。被攻擊的網站，會在瞬間收到大量的查詢需求而處理效率無法跟得上，使得電腦主機無法服務正常的需求。

– DoS 的攻擊者常利用數千台「殭屍」（ zombie ）電腦，它們通常都是在使用者不知情狀況下受惡意軟體感染的電腦，而被駭客級成組成殭屍網路（又稱傀儡網路， botnet ）。



駭客與電腦犯罪 _ 電腦犯罪電腦犯罪（ computer crime ）為：「任何涉及以

電腦技術的知識進行犯罪、調查或行動，而違反法律者。」



駭客與電腦犯罪 _ 電腦犯罪



• 駭客與電腦犯罪 _身分盜用– 身分盜用 (identity theft) : 是非法取得他人個人隱私資訊的一種犯罪行為。• 網路釣魚 (phishing) 。此手法包含設立假的網站或是發送看起來像是合法公司發的電子郵件，向使用者要求個人的機密資料。



• 駭客與電腦犯罪 _身分盜用• 雙面惡魔 (evil twins) 是一種假裝可提供值得信任的無線網路連線至網際網路，詐騙者試圖讓不知情的使用者在登入這個網路的同時，竊取他們密碼或是信用卡號碼。



• 駭客與電腦犯罪 _身分盜用• 網址轉嫁連結 (pharming) 轉接使用者至一個偽造的網站上，即使當使用者在瀏覽器上鍵入正確的網址。



駭客與電腦犯罪 _點擊詐欺點擊詐欺

點擊詐欺（ click fraud ）是個人或電腦程式故意地點選

線上廣告，但是並不想瞭解這個廣告或是購買產品。

電腦恐怖份子與電腦戰爭



• 內部威脅︰員工– 常以為企業組織的安全威脅來自於組織之外。事

實上，公司內部的人員也經常會引起嚴重的安全問題。

– 使用者安全知識的缺乏常是網路安全的最大問題來源。



• 軟體漏洞– 軟體錯誤也經常會對資訊系統造成威脅，導致無

數的生產力減少。– 軟體的主要問題就是隱藏的軟體臭蟲（ bugs ）

或是程式碼的瑕疵。– 一經發現瑕疵，為了修正軟體，軟體供應商會撰寫一些小的修補程式（ patches ），在不影響軟體正常使用的情形下來修正瑕疵。



1. 哪些管理、組織與技術上的因素造成此次McAfee 的軟體問題？

2. 對 McAfee 及其客戶來說，此次的軟體問題在企業經營上造成什麼衝擊？

3. 假設你是 McAfee 的企業客戶，你覺得該公司對於此一問題的回應是可接受的嗎？可接受或不可接受的原因為何？

4. McAfee 未來該採取什麼措施以避免類似問題再發生？

當防毒軟體癱瘓你的電腦


• 資訊系統的保護對於企業的營運是卻是非常的重要。

• 企業組織不只需保護公司內部的資訊資產，同時也需保護顧客、員工與合夥人的相關資訊；否則將使公司暴露於資訊曝光或資料被偷竊的昂貴法律訴訟的風險之中。

• 一個適當的保護企業資訊資產的安全與控制架構，可以為公司產生很高的投資報酬。

8.2 安全與控制的企業價值


• 電子記錄管理的法律與規範需求– 企業組織面臨對電子記錄管理和文件保存與保

護隱私的新法律義務。• 電子記錄管理 (electronic records management,

ERM) • 健康保險可攜性與責任法案 (Health

Insurance Portability and Accountability Act, HIPAA)

• 葛蘭法案 (Gramm-Leach-Bliley Act)• 沙賓法案 (Sarbanes-Oxley Act)



• 電子證據和電腦鑑識– 安全、控制與電子記錄管理已成為回應法律行動的重點。

– 電腦鑑識 (computer forensics) 是針對握有的資料或儲存於電腦媒體的資料，進行科學化的蒐證、檢驗、認證、保存與分析，以作為日後法庭能據以判決的法律證據。

– 電子證據會以電腦檔案與周遭相關的資料（如找尋檔案的目錄、指標或是加解密的演算法和參數等）存在於電腦的儲存媒體中



• 資訊系統控制– 一般控制（ general controls ）指的是整個組織

資訊科技基礎架構的設計、安全和電腦程式的使用與資料檔案的安全。一般控制適用於所有電腦化的應用，包含有硬體、軟體和建立整體控制環境的操作程序。

8.3 建立安全與控制的管理架構


• 資訊系統控制– 應用控制（ application controls ）是針對每一個

電腦應用系統特定的控制，如薪資系統或是排序系統。應用控制包含自動與人工的程序，以確保只有經過授權的資料被應用系統完整與正確地處理。應用控制可分為： (1) 輸入控制，(2) 處理控制，和 (3) 輸出控制。



• 風險評估 (risk assessment)– 決定如果公司特定的活動與程序沒有恰當的控制

其風險的層級。• 安全政策 (security policy)

– 包括資訊風險等級的定義敘述、確認可接受的安全目標、並確認可達成這些目標的機制。



• 災難復原規劃與營運持續經營規劃 – 災難復原規畫 (disaster recovery planning)主要規劃在電腦與通訊服務終止後如何恢復正常的運作。災難復原規劃的重點主要在災後如何啟動系統並持續運作的技術問題。



• 災難復原規劃與營運持續經營規劃 – 企業持續經營規畫 (business continuity planning) 主要重點在如何在災後重新恢復公司的正常營運。企業持續經營計畫確認營運的關鍵企業流程與決定行動計畫，以便在系統當機時，能處理營運上的關鍵功能。



• 稽核的角色– 管理資訊系統稽核 (MIS audit) 不但檢驗公司的整個安全環境，同時也會檢視管理個別資訊系統的控制機制。

– 稽核者應該追蹤系統的某些交易案例的流程，並執行測試，如果適當的話，使用自動化稽核軟體來進行檢測。



• 存取控制 (access control) – 包括所有公司用來防止內部或外部未經授權的存取企業內部資料的政策和程序。使用者需經授權並身分認證後，才得進入企業內部系統。• 身分認證（ authentication ） • 許可證 (token)• 智慧卡 (smart card) • 生物辨識認證 (biometric authentication)

8.4 保護資訊資源的技術和工具


• 防火牆、入侵偵測系統與防毒軟體– 防火牆

• 來防止外界未授權的使用者存取私有網路。• 是硬體與軟體的結合，控制網路內部與外部間

的交通。– 偵測入侵系統

• 是一個全天候對可能受攻擊的點，或者對公司網路內非常重要的部分，持續監視及防止入侵的工具。



• 防火牆、入侵偵測系統與防毒軟體– 防毒軟體與反間諜軟體

• 用來檢查電腦系統和顯示電腦病毒存在的一種軟體。

– 整合式威脅管理系統• 整合不同安全防護工具的單一包裝，包括防火牆、虛擬私有網路、入侵偵測系統與網頁內容過濾與垃圾郵件過濾軟體。



• 無線網路的安全– WEP 仍能提供有限度的安全防護。當公司存取內部資料時，可以進一步利用 WEP 與虛擬私有網路 (virtual private network, VPN) 技術結合，以改善無線網路的安全。



• 加密與公開金鑰架構– 加密 (encryption) 是將明文或資料轉成密文的

一種過程，除了發文者和指定得收文者外，其他任何人均無法讀取。

– 資料利用一種秘密的數字碼加密，叫做加密金鑰，將明文轉成密文。這份訊息必須由接收者來解密。

– 數位認證（ digital certificates ）是一種資料檔案用來辨識身分和電子資產用來保護線上交易的進行。



確保系統可用度容錯電腦系統（ fault-tolerant computer

systems ）包括備援的硬體、軟體和電源供應元件，用來創造一個持續且無中斷服務的環境。



確保系統可用度控管網路流量：深度封包檢測（ deep packet

inspection, DPI ）的技術能幫助檢查資料檔案並排序找出重要性低的線上資料，並將關鍵的商業檔案標示為較高的優先順序。

資訊安全委外：將許多資訊安全功能委外給專業的資訊安全管理服務供應商（ managed security service providers, MSSPs ）處理。



雲端運算與數位行動平台之安全性議題雖然處理程序在雲端完成，保護敏感資料的責任

與義務仍然是擁有這些資料的公司所當承擔。雲端服務使用者必須確定不論資料如何被儲存與

傳輸，都必須滿足企業所要求的資料保護層級。



雲端運算與數位行動平台之安全性議題行動平台安全防護行動平台執行了許多原本在電腦上執行的功能，那麼就必須如一般桌機與筆記型電腦一樣針對惡意軟體、偷竊、意外遺失、未經授權存取與意圖駭入進行防護動作。



雲端運算與數位行動平台之安全性議題公司必須確定企業資訊安全政策已包含行動裝置，並應另外詳列行動裝置該如何進行技術支援、防護與使用。需要各類工具以針對所有使用中的裝置進行授權，詳細且精確地記錄所有行動裝置、使用行動裝置的人員與使用的應用程式，控制應用程式的更新，且當裝置失竊時可以進行鎖定以防洩密。



確保軟體品質軟體評量指標是以量化的量測形式針對系統所做的客觀評估。持續使用評量指標可讓資訊系統部門與終端使用者一同量測系統績效，並確認所發生的問題。

當錯誤發現時，透過除錯（ debugging ）程序找到其根源並予以消除。



MWEB事業部：被駭

1. 何種種技術議題導致MWEB 的安全漏洞 ?

2. 對 MWEB 及其客戶來說，此次安全漏洞事件可能對企業造成什麼影響 ?

3. 如果您是 MWEB 的客戶，您認為 MWEB 對這次安全性漏洞的回應是可接受的嗎？可接受或不可接受的原因為何？

4. MWEB應採取什麼措施以防止類似事件再次發生 ?


8.5 管理資訊系統專案的實務演練

改善決策制定：使用試算表軟體執行安全風險評量

軟體技術：試算表公式與圖表

商業技術：風險評量


9.5 管理資訊系統專案的實務演練

改善決策制定：評估委外服務的安全

軟體技術：網路瀏覽器與簡報軟體

商業技術：評估企業委外服務


本章摘要1. 為何資訊系統易於遭受破壞、錯誤與濫用？2. 什麼是安全與控制的企業價值？3. 安全與控制的組織架構有哪些元件？4. 什麼是資訊資源防護上最重要的工具與技術？


問題討論1. 安全不僅只是技術問題，同時也是企業問題。請討論。

2. 如果你正替公司發展企業持續經營計畫，你將從什麼地方著手？哪些企業經營的重點應包含在計畫中？

3. 假設你的公司有個銷售商品並接受信用卡付款的電子商務網站。討論這樣一個網站的主要安全性威脅以及其潛在的影響。哪些做法可以降低這些威脅？


個案研究

歐洲的資訊安全威脅與政策

第八章 資訊系統安全

Documents

第八章資訊系統安全