整体安全与存取控制设计课件.ppt

1、會計財務資訊系統 1第五章整體安全與存取控制設計 5.1 5.1 電腦犯罪與網路駭客電腦犯罪與網路駭客5.2 5.2 整體安全與預防控制整體安全與預防控制5.3 5.3 運用資訊科技反制運用資訊科技反制5.4 5.4 安全失控之復原控制安全失控之復原控制 會計財務資訊系統 2電腦犯罪舞弊之類型電腦犯罪舞弊之類型 1.竄改資料法竄改資料法(data diddling)2.資料洩露法資料洩露法(data leakage)3.暗渡陳倉法暗渡陳倉法(salami techniques)4.病毒傳染法病毒傳染法(computer virus)5.資料攔截法資料攔截法6.邏輯炸彈法邏輯炸彈法(logic

2、bomb)7.木馬屠城法木馬屠城法(trojan horse)8.潛入禁地法潛入禁地法9.李代桃僵法李代桃僵法10.非同步攻擊法非同步攻擊法(asynchronous attack)11.搭線竊聽法搭線竊聽法(wire tapping)12.無中生有法無中生有法13抄錄軟體法抄錄軟體法會計財務資訊系統 3電腦駭客攻擊法電腦駭客攻擊法 (一一)主動攻擊主動攻擊 1.癱瘓服務法癱瘓服務法(DoS, Denial of Service)(1)(1)耗盡資源式攻擊手法耗盡資源式攻擊手法 (2)(2)破壞組態式攻擊手法破壞組態式攻擊手法 (3)(3)破壞實體的攻擊法破壞實體的攻擊法 2.入侵入侵(Int

3、rusion)(1)(1)暴力破解法暴力破解法 (2)(2)社交工程法社交工程法(Social (Social Engineering)Engineering) (3)(3)連線截奪法連線截奪法(Session (Session Hijacking)Hijacking) (二二)被動攻擊被動攻擊會計財務資訊系統 4整體安全預防控制整體安全預防控制 一、訂定安全管理政策一、訂定安全管理政策二、人事控制二、人事控制 三、實體安全控制三、實體安全控制 四、線上存取控制四、線上存取控制(access control) (access control) 五、身分辨識五、身分辨識 六、通訊資料加密六、通訊

4、資料加密 會計財務資訊系統 5一、訂定安全管理政策一、訂定安全管理政策( (一一) )建立安全目標建立安全目標 ( (二二) )為資訊分級為資訊分級 ( (三三) )評估安全風險評估安全風險 ( (四四) )發展系統安全計劃發展系統安全計劃 ( (五五) )分配職務分配職務 ( (六六) )定期進行滲測試定期進行滲測試 ( (七七) )評估系統安全評估系統安全 會計財務資訊系統 6四、線上存取控制四、線上存取控制(access control) (access control) ( (一一) )客戶端個人電腦的實體安全客戶端個人電腦的實體安全 ( (二二) )授權控制授權控制(authoriz

5、ation)(authorization) ( (三三) )資料所有權資料所有權(data ownership)(data ownership)之觀念之觀念 ( (四四) )程式授權使用與記錄程式授權使用與記錄 ( (五五) )使用權限設定與使用記錄使用權限設定與使用記錄 會計財務資訊系統 7圖圖5.1 5.1 權限檔權限檔(user profile) (user profile) 檔案一檔案一檔案二檔案二檔案三檔案三檔案四檔案四程式程式AR/WR 使用者甲使用者甲 R/WR/W電腦工作電腦工作B R/WR R: Read Allowed, W: Write AllowedR: Read Al

6、lowed, W: Write Allowed會計財務資訊系統 8五、身分辨識五、身分辨識 ( (一一) )密碼認證密碼認證 ( (二二) )生物認證法生物認證法 ( (三三) )電子認證電子認證 ( (四四) )連線辨認連線辨認 會計財務資訊系統 9圖圖5.2 5.2 簡易的使用者身份驗證程序簡易的使用者身份驗證程序 帳號密碼User A26548675User B12345678User C32546481受驗者使用者帳號=User B密碼=12345678請輸入使用者帳號和密碼驗證者(如銀行)會計財務資訊系統 10圖圖5.3 5.3 電腦回撥電腦回撥 1.1.撥通電話撥通電話2.2.輸入

7、密碼後斷線輸入密碼後斷線3.3.電腦電腦檢查檔檢查檔案比對密碼案比對密碼4.4.電腦撥回電腦撥回會計財務資訊系統 11圖圖5.4 5.4 將商業往來夥伴之資料加密將商業往來夥伴之資料加密 加密加密明文明文明文明文密文密文解密解密收件人的收件人的私鑰私鑰公鑰公鑰目錄目錄收件人的收件人的公鑰公鑰金鑰產生流程金鑰產生流程會計財務資訊系統 12圖圖5.5 5.5 數位簽章之認證數位簽章之認證 網際網路網際網路企業企業組織組織商業往來商業往來夥伴夥伴透過網際網路傳送透過網際網路傳送特定格式之資料特定格式之資料電子認證中心電子認證中心(CA)(CA)數位簽章之註冊數位簽章之註冊會計財務資訊系統 13運用資

8、訊科技反制常用的方法運用資訊科技反制常用的方法 1. 1.安裝防毒軟體安裝防毒軟體2. 2.存取控制存取控制(access control)(access control)3. 3.查核密碼查核密碼4. 4.為密碼設定有效期限為密碼設定有效期限5. 5.帳號停用帳號停用(account lockout)(account lockout)6. 6.查核登入登出情況查核登入登出情況7. 7.對照登入登出情況對照登入登出情況8. 8.資料做備份資料做備份9. 9.架設防火牆架設防火牆10.10.掃瞄軟體掃瞄軟體11.11.防入侵軟體防入侵軟體12.12.掃瞄竊聽設備掃瞄竊聽設備13.13.加密措施加

9、密措施14.14.數位簽名數位簽名15.15.使用只能使用一次的密使用只能使用一次的密碼碼(One time password)(One time password)16.16.敏感資料不連線敏感資料不連線17.17.使用防寫磁碟使用防寫磁碟18.18.適當的軟體測試適當的軟體測試會計財務資訊系統 14網路防火牆網路防火牆 過濾過濾內部內部外部外部過濾過濾閘道器閘道器防火牆防火牆(Firewall)(Firewall)指位於受保護的網路與其他網路間用指位於受保護的網路與其他網路間用來限制存取的一個或一組設備，防火牆由功能面來來限制存取的一個或一組設備，防火牆由功能面來談可分為四個部分：談可分為

10、四個部分： 1. 1.封包過濾路由器封包過濾路由器2. 2.代理伺服器代理伺服器 3. 3.線路閘道器線路閘道器 4. 4.防禦主機防禦主機 會計財務資訊系統 15電腦網路日誌電腦網路日誌 電腦日誌儲存了網路活動的資料，日電腦日誌儲存了網路活動的資料，日誌通常由防火牆程式保管，並保存下誌通常由防火牆程式保管，並保存下列網路活動的軌跡：所有嘗試登入的列網路活動的軌跡：所有嘗試登入的紀錄，不論是登入成功或登入失敗。紀錄，不論是登入成功或登入失敗。檔案複製、下載、移動或移除，與啟檔案複製、下載、移動或移除，與啟動程式。動程式。 會計財務資訊系統 16安全失控之復原控制安全失控之復原控制 ( (一一) )實體設施之復原實體設施之復原 ( (二二) )離線人工備援措施離線人工備援措施