長庚大學資訊安全課程(2)

大綱

• 資訊安全的基本概念• 自我安全防護• 社交工程與網路釣魚• 網路存取控制（NAC）• 弱點掃描偵測與管理• 主機伺服器安全防護

資訊安全的基本概念

ISO27001 ISMS 所強調的資訊安全包含了資訊的機密性(Confidentiality)、完整性(Integrity)、以及可用性(Availability)等三個要素。

確保資訊不可被未授權的個人、實體或流程所取得的特性

確保被授權者可取得及使用的特性

確保資產的完整性與準確性的特性ISO/IEC 13335-1:2004 ISO/IEC 13335-1:2004

ISO/IEC 13335-1:2004

• 確保只有被授權的人可以存取

• 確保資訊及處理方法的正確及完整

資訊安全三要素

• 確保被授權的人有需要時可以存取

資訊安全弱點與威脅

• 弱點：• 是導致威脅發生的原因，不會直接導致資

訊資產的損害

• 常見的弱點：- 未受訓練或未俱備安全認知的人員

- 錯誤的選擇及使用密碼

- 缺乏存取控制、資料沒有備份...

資訊安全弱點與威脅

• 威脅：• 任何會直接導致資訊資產受到損害的人事物• 常見的威脅：

- 人員操作錯誤、惡意破壞資訊及設備- 病毒感染、駭客入侵- 社交工程

自我安全防護

防毒軟體

• 為什麼我需要防毒軟體？• 您的防毒軟體是否有定期更新病毒碼？• 有了防毒軟體是否還需要個人防火牆？

防毒排名 防毒軟體評比 2008 june• 1. G DATA 2008 version 18.2.7310.844 - 99.05% • 2. F-Secure 2008 version 8.00.103 - 98.75% • 3. TrustPort version 2.8.0.1835 - 98.06%• 4. Kaspersky version 8.0.0.357 - 97.95% 卡巴斯基• 5. eScan version 9.0.742.1 - 97.44% • 6. The Shield 2008 - 97.43% • 7. AntiVir version 8.1.00.331 Premium - 97.13%• 8. Ashampoo version 1.61 - 97.09% • 9. Ikarus version 1.0.82 - 96.05% • 10. AntiVir version 8.1.00.295 Classic - 95.54% free top one• 11. AVG version 8.0.100 Free - 94.85%• 12. BitDefender 2008 version 11.0.16 - 94.70% • 13. Avast version 4.8.1201 Professional - 93.78%• 14. Nod32 version 3.0.650.0 - 93.36% • 15. F-Prot version 6.0.9.1 - 91.87% • 16. BitDefender version 10 Free - 91.32%

防毒排名 防毒軟體評比 2008 june• 17. ArcaVir 2008 - 88.65% • 18. Norman version 5.92.08 - 87.72% • 19. Vba32 version 3.12.6.6 - 87.21% • 20. McAfee Enterpise version 8.5.0i - 86.57% • 21. McAfee version 12.0.177 - 86.39% • 22. Rising AV version 20.46.52 - 85.87% • 23. Norton 2008 - 83.34% --------------- 諾頓• 24. Dr. Web version 4.44.5 - 82.87% • 25. Antiy Ghostbusters version 5.2.3 - 80.23% • 26. VirusBuster version 5.002.62 - 77.19% • 27. Outpost version 6.0.2294.253.0490 - 75.35% • 28. V3 Internet Security version 2008.05.31.00 - 75.23% • 29. ViRobot Expert version 5.5 - 74.50% • 30. Virus Chaser version 5.0a - 73.65% • 31. A-squared Anti-Malware version 3.5 - 71.66% • 32. PC Tools version 4.0.0.26 - 69.82% • 33. Trend Micro Antivirus+Antispyware 2008 version 16.10.1079 - 67.28% ----------趨勢

• 資料來源 : http://www.virus.gr/portal/en/content/2008-06%2C-1-21-june

安全的密碼原則

設定密碼的小技巧

• 以注音輸入法按鍵來當成密碼：• 你好嗎→Su#cla#8&• 以英文字或數字穿插：• Sister + 456789 → S4i5s6t7e8r9• 將英文字母往前位移：• Birthday往前位移1個字母→ Ahqsgczx• 以英文的一句諺語或一段歌詞取每個英文字

字首當成密碼：

• Best wishes for a happy New Year！→BwfahNY！

S u# hcq

a&

電腦檔案安全(一)

•使用密碼保護：微軟Office系列 -「工具」 →「選項」，然後選擇「安全性」標籤，在「保護密碼」項目中輸入密碼

電腦檔案安全(二)

•將文件檔案加密：選擇要加密的檔案或資料夾，按滑鼠右鍵選擇「內容 」 → 「 進階」 → 勾選「加密內容，保護資料」

電腦檔案安全(三)•設定檔案使用權限：我的電腦 →工具 → 資料夾選項 → 檢視 → 將「使用簡易檔案共用（建議使用）」打勾取消。接著，選取檔案按滑鼠右鍵後，點選內容 →安全性，即可去對權限做修改

小心隱私的潛在危機-cookie

去過哪些網站、輸入過哪些資料、帳號、密碼都是資料可能外洩的來源！（控制台→網際網路選項）

小心隱私的潛在危機(續)

點選清除隱私資料

（工具→清除隱私資料選項）

• 可利用Windows XP SP2，Explorer中的快顯阻擋選項(IE 工具 快顯封鎖程式)

• 可安裝各入口網站所提供免費ToolBar，這些ToolBar 都具有阻擋彈跳視窗功能，包括Google、Yahoo或MSN等

• 很多防毒軟體、網路防護工具亦提供阻擋彈跳視窗功能，若有安裝這些軟體，記得將阻擋彈跳視窗設定開啟

解決惱人的彈出視窗

儲存媒體安全

隨身碟安全問題

使用隨身碟有可能帶來什麼安全疑慮嗎？

最大”源”兇 -自動播放當您把隨身碟插入電腦的USB連接埠的時候，系統設定要自動執行的程式

確保隨身碟安全

• 在自己的電腦上安裝 USB Protector 及 USB VirusKiller

• 在隨身碟上建立一個 autorun.inf 的資料夾 使用公用電腦前先重開機

• 關閉 Windows 的自動播放（Autorun）• 避免 Windows 自動播放（Autorun）： 放入隨身碟

時請趕緊壓按 Shift 鍵可以暫時（非永久）關閉autorun 的功能

關閉 Windows 的自動播放

開始→執行→輸入「gpedit.msc」（Windows XP Home Edition 不適用本方法）→確定，出現「群組原則」視窗，依序選左邊電腦設定→系統管理範本→ 系統，找到右邊視窗的→關閉自動播放，滑鼠左鍵雙擊，出現「關閉自動播放內容」對話窗，點選「已啟用」。 再下來在 「停用自動播放」在的下拉選單，選擇「所有裝置」完成，插上隨身碟就不會再自動執行。

社交工程與網路釣魚

社交工程

• 社交工程是以話術來影響或說服他人 ﹣利用人性弱點 ﹣ 以獲得有用資訊的一種技巧

• 常見的社交工程手法 ﹣ 假冒身份、電話、電子郵件（政治、笑話、養生資訊...）、網路釣魚、（養眼）圖片、偽裝程式、MSN...

資訊課的同仁？

社交工程駭客 內部員工

您好！我這裡是資訊課，

為測試系統新功能，可以給我您的密碼嗎?

社交工程駭客 內部員工

您好！我這裡是資訊課，

為測試系統新功能，可以給我您的密碼嗎?

社交工程範例

網路釣魚

•網路釣魚(Phishing）是常見的透過電子郵件手段的一種網路社交工程；籍由誘惑使用者點選網頁連結（利用預覽功能,甚至不必等使用者點選！）或打開副加檔案以植入惡意程式（ex: 木馬、後門等）

http://www.paypal.com

http://www.paypa1.com

網路釣魚範例

©2008 aEternitas Co., Ltd. 因謄安控股份有限公司 http://www.aeternitas.com.tw

發信者非單位人員

惡意連結

惡意連結將連往不明IP位址

防範社交工程與網路釣魚

防範社交工程與網路釣魚（一）

避免人性弱點遭到利用的方式

•提升自我資訊安全認知與警覺性•重要資料或密碼輸入時，應注意是否有旁人窺視•討論業務機密應注意場合•透過網路或電話溝通時，應確認對方身分•使用者代碼不借給別人•密碼不洩漏給任何人

防範社交工程與網路釣魚（二）

電子郵件防禦社交工程應注意事項

•不隨意開啟郵件（注意陌生之寄件者）

•取消郵件預覽•不隨意下載附件•確認寄件人與主旨的關係•非經查證，不可直接點選郵件中的超連結

•善用密件收件人

•不隨意留下郵件地址予他人

•定期自我執行病毒與後門程式掃瞄

•了解組織傳送郵件規定•熟悉社交工程的可能手法•通報相關單位

網路存取控制（NAC）Network Access Control

資料外洩日益嚴重

• 2005年7月美國TJX公司因內部無線網路遭入侵，導致歹徒可以自由進出公司資料庫，竊取客戶資料

• 2007年4月警察機關的個人電腦安裝FOXY造成筆錄與偵查報告外洩

• Forrester Research於2007年指出有52%的機密資料經由可以移除式的儲存裝置外洩 - 除網路安全亦著眼於端點安全

外洩問題探討

端點安全

未安裝防毒軟體、未定期更新病未安裝防毒軟體、未定期更新病毒碼、設定不符合安全政策、安毒碼、設定不符合安全政策、安裝裝P2PP2P程式、未安裝修補程式、程式、未安裝修補程式、

存在未察覺之惡意存在未察覺之惡意碼等碼等

人的風險

• 資訊安全防護中最弱的一環就是『人』• 『人』的風險真的只能靠教育訓練？• 控制端點就是在控制『人』的風險• 利用技術來加以管理『人』的風險 - NAC、

端點控制軟體

網路存取控制

•Network Access Control，NAC：•基於正向列白名單的管理措施，只允許使用符合安全政策，或達一定安全層級的端點上線，除此之外的端點，一律禁用

設備分類

• 控制元（Control Unit），例如：路由器、防火牆、入侵防禦系統、代理伺服器等

• 受管理的端點裝置（Endpoint Device），例如：主機、個人電腦、無線設備、行動裝置、嵌入式系統等

控制元功能

• 判斷端點裝置是否符合資安政策• 允許或拒絕端點裝置的使用權限• 追蹤或協助改善端點裝置的資安狀態

驗證端點安全性

• 身份識別與驗證：端點身份與個人身份• 所在位置與存取資源：存取控制清單• 安全狀態：端點裝置安全層級

端點控制

• 主機與個人電腦：硬體元件、軟體元件、系統與應用程式設定值、弱點管理、健康度監控、資安防護、嵌入式系統、熱抽插裝置

• 無線設備與行動裝置：連線方式、作業系統、資安防護

NAC接受度

尚未建置已經建置

不知道是否建置

2006年

不確定

建制完成或打算將要建置

沒有建置的計畫

2008年

2008年北美大型企業NAC接受度將超過5 成

資料來源：Infonetics Research

NAC與ISO 27001•NAC與ISO 27001相關的要求：

A10.6.1網路控制措施 A11.4.1網路服務的使用政策

A10.6.2網路服務安全 A11.4.3網路設備識別

A11.1.1存取控制政策 A11.4.4遠端診斷阜與組態阜保護

A11.2.2特權管理 A11.4.5網路區隔

A11.2.4使用者存取權限審查 A11.4.6網路連線控制

NAC三大主要元件

終端軟體 政策執行據點（Policy Enforcement Point）

政策伺服器（Policy Server）

身份驗證資料庫

司令部長官大門衛兵偵查兵

NAC四大部署模式

• DHCP 部署模式• 閘道型部署模式• 與交換器整合的部署模式• 802.1x部署模式

• 主機弱點修復情形• 主機系統存取控管（帳號管理）• 事件通報機制建立• 員工使用電腦的習慣• 儲存媒體使用管理• 主管是否瞭解我們的風險在哪？

我們的風險在哪？

弱點掃描偵測與管理

• 何謂弱點掃描• 透過專業的掃描工具針對企業的主機伺服器或網路設備進

行掃描，找出主機伺服器、系統或網路服務的相關訊息和弱點。-->機械式探測

• 弱點稽核• 透過稽核手法，針對已知區域實施稽核。-->以統計抽樣方

式隨機取樣

弱點掃描與弱點稽核管理

採用邏輯演算法及技術

採用單一邏輯行為之工作底稿作業模式

• 掃描工具之特性• 全方位的針對環境做判讀• 時間快速• 掃描背景不具一致性• 從實體設備角度

• 稽核原理之標準依規• 有效率之控制風險• 存取規範需俱一致性• 著重流程控制點• 從作業流程面

弱點掃描 VS 電腦弱點稽核

• 弱點掃描• 由內部進行設備與主機安全管理的現況分析• 資訊安全工作執行狀況• 設備與主機防禦管理的落差

弱點掃描

弱點掃描工作原理

設定

目標測試

比對

產生

• Retina 弱點掃描工具簡介

• Nessus弱點掃描工具簡介

弱點掃描以設備回應為主要判斷

弱點掃描

安全弱點資料庫• Common Vulnerabilities and Exposures (CVE)

- 為了統一與參照同一個安全弱點，資訊大廠及安全組織們籌組了一個委員會，並給每一個安全弱點一個參照編號稱CVE編號，作為各安全弱點資料庫所發佈的安全弱點參照之用，這樣一來，不會被種類繁多的弱點描述給搞混了，簡單來說，CVE編號就是給予所發現的每一個弱點的身分ID，透過CVE編號，您就可以知道在不同的弱點資料庫或公告中所描述的弱點是否為同一個安全弱點

• CVE編號有兩種形式- CVE－××××－××××（××××為4位數字）- CAN－××××－××××（××××為4位數字） 候選

• 網站http://cve.mitre.org/cve/

資料來源:TWCERT

弱點服務資料庫

資料來源:中華龍網

弱點服務資料庫(續)

安全弱點公告-軟體及系統廠商

• Microsoft http://www.microsoft.com/taiwan/security/• Debian Security Information http://www.debian.org/security/• FreeBSD http://www.freebsd.org/security• HP-UX http://www.unixsolutions.hp.com/• IBM AIX http://www.ibm.com/servers/aix/• RedHat Linux https://rhn.redhat.com/• SUN Solaris http://www.sun.com/• SuSE Linux: Security Announcements • http://www.suse.de/de/support/security/index.html• SCO Security http://www.sco.com/security/

安全弱點公告-網路安全的相關組織

• CERT/CC http://www.kb.cert.org/vuls• TWCERT/CC http://www.cert.org.tw/document/advisory/• SecurityFocus http://online.securityfocus.com/bid• Xforce http://xforce.iss.net/xforce/search.php

可能的誤判情況

• 應用系統錯誤- 如在unix like server 上出現 IIS或 MS-SQL

• 已修補的弱點- Nessus利用banner判斷- 已修補但banner未改變(在某些unix上會如此)

• 自行開啟的服務- 自行對應web服務到10000/tcp- 自行開發程式使用6007/tcp(通常為IRC後門使用)

確保系統安全

• 定期進行弱點掃描• 檢視弱點掃描分析報告並修正存在的漏洞

- 參考弱點掃描工具所提供的弱點修補建議- 了解弱點公告資訊 中所提供的各弱點資料，並依其建議

進行修補

• 再次進行弱點掃描，確認漏洞是否已獲得修補

弱點修補時機

• 確認該弱點為嚴重危害單位資訊作業環境之安全。• 確認弱點修補程式不影響系統或應用程式運作。• 針對單位重要營運之主機系統，建議透過測試機器

進行修補，待確認穩定後，再進行修補。

管理者的應用與對策• 建置防火牆，設定適當存取控制• 設置入侵偵測與入侵防禦，檢測不當行為• 建置修正程式派送機制• 定期對系統執行弱點檢測

- A.12.6.1技術脆弱性控制 - 控制：宜取得關於使用中資訊系統的技術脆弱性之及時資訊、評估組織對該脆弱性的暴露、以及採取適當的量測，以處理有關的風險

- A.12.5.2作業系統變更後的應用系統技術審查 - 控制：作業系統變更時，宜審查與測試重要營運應用系統，以確保對組織作業或安全無不利的衝擊

• 做好稽核軟體的保護- A.15.3.2資訊系統稽核工具的保護 - 控制：宜保護資訊系統稽核工

具之存取，以防止任何可能的誤用或危害

使用者的應用與對策

• 定期確認單位內與應用軟體原廠網站所提供之資安資訊

- 利用MBSA或是Windows Update

• 不要於辦公環境使用與作業無關的軟體

其他弱點掃描工具

• LanGuard - Security Scanner - http://www.gfi.com/lannetscan/

• ISS - Security Scanner - http://www.iss.net/

• WebTrends Security Analyzer - http://www.webtrends.com/

• CISCO Secure Scanner- http://www.cisco.com/public/sw-

center/internet/netsonar.shtml

其他弱點掃描工具（續）• nmap - The Network Mapper

- http://www.insecure.org/nmap• SoftPerfect Network Scanner

- IP、SNMP、NetBIOS、Port-list scan - http://www.softperfect.com/products/networkscanner/

• ServerCheck - 能檢查TCP Port (HTTP, HTTPS, FTP, NNTP, POP3, SMTP,

VNC, DNS, etc.), check ODBC, Oracle, MySQL databases, trap SNMP values (disk space, free memory, CPU usage,...)

• Advanced IP scanner- 能夠檢查設備的NetBios username、computer name、group

name、及Mac address

其他弱點掃描工具（續）

• Advanced Port Scanner - 能快速掃瞄Port-list

• SuperScan - 能夠自動執行ping、traceroute、HTTP HEAD、WHOIS 、TCP

SYN scanning, UDP scanning

• LanSpy - 能夠自動收集網路設備的Domain及NetBios names、MAC

address、Server資訊、Domain與Domain controller資訊、Remote control、Time、Discs、Transports、Users、Global與local users groups 、 Policy settings 、 Shared resources 、 Sessions 、 Open files、Services、Registry及 Event log 資訊

•主機伺服器安全性防護

Windows 本機安全性原則

密碼原則

• 若啟用「密碼必須符合複雜性需求」則密碼必須符合上述密碼設定規則才可完成帳號設定周期性變更密碼，調整設定「密碼最長有效期」中的天數，以符合使用單位定期變更密碼之需求

帳戶鎖定原則

• 依需求調整「帳戶鎖定閥值」次數，以暫停嘗試入侵的帳戶登入

• 調整「帳戶鎖定時間」 ，重新允許被暫停的帳戶登入

稽核原則

• 「稽核帳戶登入事件」勾選成功與失敗• 「稽核登入事件」勾選成功與失敗• 目的：記錄所有登入行為可在「事件檢視」查看記錄

避免系統弱點攻擊之方法

• 關掉不必要之網路及通訊埠。• 確保系統設定檔之正確性，及所使用之程

式為最新或是修正過之版本。

• (Windows Update：http://windowsupdate.microsoft.com/)

• 時常檢查系統日誌檔(Log Files)，檢視是否有不尋常之登錄或存取記錄。

Unix-帳號管理

• 使用者帳號及密碼檔案不正常更動• 於unix系統路徑 etc/passwd及/etc/shadow

這兩個檔案是Unix-like系統中記錄使用者帳號相關資訊與加密過的使用者密碼。

• 入侵者常利用此兩個檔案來暗藏非法帳號與預留後門最，也最不易引起管理者的注意。

Unix-稽核紀錄設定• 設定紀錄檔

- /etc/syslog.conf• 紀錄檔的位置

- /var/log• 監控記錄

- Swatch(即時)- Logcheck(定期)

設定檔案保護技巧

• 檢查/etc/passwd檔案是否被篡改。• 請注意該檔案是否被增加：

•新帳號•不需通行碼之帳號•UID為0之帳號(即為root權限)

root:x:0:0:root:/root:/bin/bash

• chmod 0600 /etc/lilo.conf• ls -lac去查看檔真正的修改時間• cmp file1 file2來比較文件大小的變化• find / -ctime -2 -ctime +1 -ls 查看不到兩天以內修

改的檔案

設定檔案保護技巧(續)

登入保護

• passwd -n 30 username 密碼三十天改一次• passwd –l username 鎖帳號