智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著第十五章資訊管理的功能角色與安全觀點智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著本章大綱第一節資訊部門的角色定位第二節CEO在MIS上的角色定位第三節CIO的角色定位第四節組織的資訊安全議題第五節防火牆與網路安全第六節資訊的加密系統與數位簽章第七節組織整體的資訊安全策略與活動第八節國際資訊安全管理標準:BS7799智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著資訊部門的角色定位資訊部門角色定位的錯誤會影響整個組織的資訊化方向與績效。e化時代,MIS部門應有的角色定位為何?與傳統的MIS角色有何區別?智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著表15-1傳統e化時代MIS角色的比較智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著CEO在MIS上的角色定位CEO角色的重要性CEO在資訊化時應有的角色與任務智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著CEO角色的重要性為何高階主管參與與支持MIS很重要?可歸納下列幾點來說明:IT已成為一種重要的策略性資源只有CEO瞭解策略方向只有CEO清楚外在環境的變化推動IT常有很大的阻力投資IT需要長期支援文化與風氣的形成智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著表15-2CEO在e化(資訊化)應扮演的角色與任務智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著CIO的角色定位CIO的角色與主要任務CIO面臨的挑戰智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著表15-3CIO的角色與主要任務智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著圖15-1CIO的角色與關係網路圖智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著CIO面臨的挑戰外部環境的瞭解與反應力外部環境的瞭解IT變化的瞭解產業競爭的瞭解內部經營與策略的瞭解與參與經營模式的瞭解進入策略核心IT價值的推廣智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著CIO面臨的挑戰(續)IT所扮演之角色的瞭解與提升IT影響力的瞭解IT策略角色的瞭解MIS地位的提升IT資源的管理與能力提升變革代理人e化成熟度的提升IT願景的推銷IT架構的規劃智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著組織的資訊安全議題60%企業皆曾遇過未經授權而被使用資訊系統的情形。77%發現到電腦安全入侵事件。74%企業表示受攻擊的來源點是網際網路連線。近30%受訪者表示沒有能力察覺資訊安全事件的來源。2002年企業在資訊安全相關損失金額約為45億6,000萬美元,其中損失最嚴重的項目是智慧財產權資料的失竊。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著組織的資訊安全議題(續)組織資訊安全的主要議題組織資訊安全的環境與背景組織資訊安全的漏洞與弱點網路安全的服務與目標網路安全的威脅與攻擊的模式當代網路安全的重要趨勢與主要挑戰網路安全的主要防護機制智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著圖15-2資訊安全的主要議題與架構智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著組織資訊安全的環境與背景企業電腦化之普及所潛藏之危機Internet的開放性匿名性與距離性犯罪速度快、容易複製、波及面大電腦犯罪容易潛伏及隱藏法律的周延性不足智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著組織資訊安全的漏洞與弱點作業系統本身的弱點通訊協定本身的弱點網路軟體上的弱點管理制度上的弱點人員的弱點智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著網路安全的服務與目標77%的電腦犯罪,是由網路上進行攻擊的,然而在瞭解資通安全的威脅與攻擊之前,首先我們要瞭解網路安全的服務與目標為何?亦即,我們希望在網路上提供哪些服務的品質?在此方面,主要包括下列五點:安全隱密性:指的是當資料傳遞時,除了被授權的人,不會受到外力的擷取。身分認證性:指的是當傳送方送出資訊時,就必須能確認傳送者的身分是否冒名。資料的完整性:指的是當資料送達時必須保證資料沒有被篡改的疑慮。授權性:使用者只能擷取被授權部分的資訊。不可否認性:使用者已使用或接受某項服務(例如下訂單)時,不能否認其未使用過。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著網路安全的威脅與攻擊的模式資訊安全的威脅指的是:組織可能遭受到天災人禍的攻擊,而對正常營運所可能產生的損失與影響。如果損失愈大,表示此種威脅程度愈嚴重。網路上的主要攻擊模式–電腦病毒的散布:電腦病毒可能會自行複製,或更改應用軟體或系統的可執行元件,或是刪除檔案、更改資料、拒絕提供服務,其常伴隨著電子郵件。–阻斷式攻擊:指的是:系統或應用程式的存取被中斷或是阻止,讓使用者無法獲得服務,或是造成某些即時系統的延誤或中止。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著網路安全的威脅與攻擊的模式(續)–後門或特洛伊木馬程式:指的是:未經授權的流程或程式,可以透過合法程式的掩護,而偽裝成經過授權的流程,來執行程式。–竊聽:指的是:使用者之識別資料或其他機密資料,在網路傳輸過程中被非法的第三者得知或取得重要的機密資訊。–偽裝:指的是:攻擊者假裝是某合法使用者,而獲得使用權限。–資料篡改:指的是:儲存或傳輸中的資料,其完整性被毀壞。–否認:使用者拒絕承認曾使用過某一電腦或網路資源,或曾寄出(收到)某一文件。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著網路安全的威脅與攻擊的模式(續1)網路攻擊與竊盜的主要手法–電子郵件挾帶病毒法:亦即利用電子郵件引發網友開啟來路不明的郵件與檔案,然後植入惡意程式。–攻擊漏洞散播病毒法:亦即針對特定系統(例如Windows及IE)的漏洞,製造病毒程式,然後入侵並大量散播。–鎖定對象直接入侵法:直接針對特定的對象,例如金融單位,直接以駭客程式入侵個人電腦或伺服器主機。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著網路安全的威脅與攻擊的模式(續2)–網路釣魚法:此法主要是建立色情網站或者「虛設」、「仿冒」的網路商店,引誘網友線上消費,並輸入信用卡卡號與密碼,以此來輕易獲取網友的機密資料。–公用電腦盜取機密法:此法主要是先在公用電腦(例如網咖)植入駭客程式,然後等待後續的網友使用後,伺機盜錄並竊取個人的機密資料。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著圖15-3網路安全的新威脅與挑戰智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著當代網路安全的重要趨勢與主要挑戰網路門戶開放安全危機,繼續延燒網路威脅將會持續以透過防火牆「必開之門」,例如HTTP、SMTP、POP3及DNS等網路應用協定來無所不用其極的繼續大肆攻擊。系統漏洞數量大,持續威脅個人及企業用戶從2002~2004年每年發現的系統漏洞都將近三、四千個。網路電腦病毒的製造與變種速度加快2004年後網路上的大病毒一再的變種,Sasser有22種、Netsky有87種、MyDoom有99種。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著當代網路安全的重要趨勢與主要挑戰(續)機器蟲網的猖獗Botnet又稱傀儡程式(Bot)或「受控制的網路系統」或僵屍網路,指的是:一群已經被駭客入侵並控制的電腦所組成的攻擊網路(有些數目大到十萬台)。蠕蟲與Bot聯手攻擊及分散式阻斷服務攻擊的威脅加大蠕蟲是透過E-mail在網路上大量傳播的病毒。Worm與Bot最近發展出了下列兩種聯手攻擊的方式:–Worm散布Bot僅僅一隻發信Worm便可以將Bot傳播到數以千計的Botnet。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著當代網路安全的重要趨勢與主要挑戰(續1)–Bot散布Worm,Worm再散布Bot的持續循環利用Bot散布Worm,入侵攻陷後,再由Worm散布及植入更多的Bot。間諜軟體的猖獗間諜軟體是一個廣泛的名詞,泛指所有快速繁殖,且能夠巧妙滲入PC的合法廣告軟體,以及具有明顯惡意的工具,例如鍵盤側錄器,其又被稱之為可能不需要的程式(PUPs)。無限網路安全漸成威脅手機的病毒威脅手機與電腦同時下毒P2P檔案交換的病毒攻擊威脅加劇智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著當代網路安全的重要趨勢與主要挑戰(續2)網路釣魚客的猖獗網路釣魚,指的是:利用虛設或仿冒的網站以超低價或誘人的免費贈品來引誘消費者上網登錄個人私密資料或進行採購行為,利用此手法來「釣」到受害者的個人機密(如信用卡卡號)或金錢的一種電腦犯罪行為。網路釣魚信件最常被利用的是金融服務產業,常利用的方式(型態)包括:–Web型:以仿冒名牌的網站,或幾可亂真超低價的商品網站,來引誘消費者上網採購。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著當代網路安全的重要趨勢與主要挑戰(續3)–DM型:以超低特價折扣的eDM,讓消費者直接點選信件內的網址並完成交易,詐取錢財或資料。–賀卡型:提供免費賀卡內藏Spyware,植入消費者電腦,而擷取受害者的銀行帳號,或E-mail的內容等。網安的犯罪比率快速上升,然而防制力量與法律則明顯不足智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著表15-4網路的安全服務項目、威脅與防護法智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著防火牆與網路安全防火牆的基本概念防火牆的技術與架構防火牆的基本目標防火牆的主要問題智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著防火牆的基本概念防火牆,顧名思義就是防止網際網路上的危險延伸到企業內部網路。防火牆介於網際網路和企業內部網路相連結之間。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著圖15-4防火牆示意圖智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著防火牆的技術與架構基本上防火牆可分兩種型態:封包過濾和代理者方式。封包過濾型–以封包過濾方式的防火牆,檢查往來的封包,依據封包的標頭資訊,以及該企業制定的安全策略。代理者型–以代理者方式的防火牆主機,可以是含有兩個網路介面卡的主機。一個介面連接網際網路;另一個連接內部網路。兩者並非直接相連,連結要求必須經過合法檢驗。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著防火牆的基本目標過濾封包以阻止網路駭客的入侵。作為所有封包進出的門戶,方便管理者「集中式」的管理。過濾系統安全政策所禁止的網路服務。保護企業內部網路,避免來自網際網路的入侵。當外部使用者存取高度機密檔案時,先加以記錄並通知系統管理者。調節網路交通流量。智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著防火牆的主要問題較難提供全面性的安全無法提供資料隱密性無法確認資料來源的認證性無法保護那些不經過防火牆的網路連結智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著資訊的加密系統與數位簽章資訊加密的主要機制數位簽章與資訊安全數位信封與SSL智勝文化事業有限公司製作資訊管理e化企業的核心競爭能力(再版)林東清著資訊加密的主要機制加密指的是:將原始文件轉換成亂碼,而唯有使用解密的金鑰才能讀出原文的程序。Key指的是:一長