2011年7月6日 星期三

《資訊安全概論與實務》筆記

Ch1 資訊安全概論

一.制定資訊安全政策:
1.行政管理政策:為系統及網路管理員制定作業標準流程,如升級、監控、備份及稽核

2.軟體設計要求:制定組織採購、外包,或自行開發軟體之相關安全要求

3.災害復原計畫(DRP)

4.資訊政策:包括資訊存取、機密等級、標示、儲存、機密資訊的傳遞與銷毀

5.安全政策

6.使用政策:說明資訊與資源該如何被使用,應包括隱私權、所有人制度,與不當行為之處分

7.使用者管理政策:員工在受雇期間的資訊安全相關管理制度,包括新人訓練、存取訓練的設定與取消等


二.制定安全設計目標

1.保密性:防止未經授權的使用者或系統存取資料或訊息

2.完整性:確保被使用的是正確的資料

3.可用性:確保資訊服務隨時可用

4.責任性:明確規定當事件發生時該由誰負責處理


三.切割安全區域

1.組織內部與外部夥伴組織之間的連線,可用專線或經由VPN來完成,以確保安全性

2.將組織內的區網切割為數段VLAN,可1.降低廣播流量2.提高網路效能3.降低對網路實體連結的依賴4.強化資訊安全管理,如將權限相當的使用者劃分在同一段VLAN區域內

3.NAT(Network Address Translation)技術:讓內部的所有電腦在公開網路上,共同用一個外部IP位址


四.管理資訊風險

1.資訊識別:公司或組織將資訊及系統條列出來,並標示其價值

2.威脅識別

3.弱點識別:

4.風險評鑑:量化「威脅」、「弱點」、「資產」、「衝擊」、「可能性」


五.建立多層次防禦

1.為所有檔案建立較細節的存取控制單(ACL)

2.以電腦系統來設定每位使用者對檔案的存取權限

3.為存放資料的電腦規劃實體安全

4.建立使用者登入機制,確實認證身份

5.監控使用者對重要檔案的存取,並紀錄之

6.防火牆要設定封包的篩檢功能

7.使用代理伺服器來保護組織免於未經授權的進入

8.使用NAT隱藏內部網路的IP

9.使用遮蔽式雙絞線(STP)

10.使用入侵監測系統

11.使用IPSec、L2TP等技術建立VPN

12.妥善設定網頁伺服器,為公開與敏感的資訊建立不同的網站,以防禦未經授權的存取

13.所有裝置都只打開必要的連接埠

14.存取機密文件時,使用SSL協定

15.每週進行網路掃描,以尋找新弱點



Ch2 資訊安全威脅

一.惡意程式

1.蠕蟲與病毒最大的差異在於:1.蠕蟲可以自己存在,不需寄生於別的檔案上 2.蠕蟲可以複製自己,並自行在網路上傳播


二.認識TCP/IP協定

1.TCP能建立可靠的一對一連結,它確定兩端都接收到每一個封包,同時封包會被正確地解碼與排序

2.TCP連結在傳輸期間是持續的,傳輸結束就中斷

3.UDP提供非可靠性的連結,不確定每一個封包都能送達,但傳遞速度較TCP快,適合傳輸小封包

4.IP按照路徑傳送封包,但不檢查其正確性,而是交由TCP檢查

5.ARP協定負責把IP位址轉換為MAC位址

6.ICMP協定提供維護與報告的功能

7.IGMP協定負責管理IP多接收者傳播的群組

8.開啟一個TCP連接需經過三手交握(3-way handshake): 1.要求通訊的主機送出一個SYN封包給接收端,以要求同步 2.接收端會回傳一個SYN/ACK封包,代表已收到連結要求 3.傳送端再回給接收端一個ACK封包,代表已收到回覆,可開始通訊

9.TCP封包的序號紀錄在封包內,TCP將封包內容傳送到上層時,要靠這些序號來決定順序



Ch3 駭客手法研究

一.攻擊網頁

1.混淆的URL(URL Obfuscation):將IP位址用純數字表示,造成某些過濾軟體的混淆

2.跨網站攻擊(XSS):針對網站應用程式的漏洞,將HTML或Script指令插入網頁中

3.資料隱碼攻擊(SQL injection):利用SQL語言與資料褲管裡系統的弱點來攻擊。可對字串輸入加以過濾,並限制長度,例如單、雙引號都應排除,此過濾應被用在所有的應用軟體中。此外不應讓使用者直接看到資料庫傳回的錯誤訊息,以免駭客獲取到有用的資訊

4.搜尋引擎攻擊(Google-hacking):利用搜尋引擎獲得伺服器資料

5.隱藏欄位攻擊(hidden-field-tampering):透過下載網頁的原始檔,將內容修改後,再用瀏覽器開啟修改過的檔案


二.攻擊身份認證

1.窮舉攻擊(brute-force attack):將所有可能的密碼一一嘗試

2.字典攻擊(dictionary attack):利用內建的詞庫組合嘗試破解密碼。工具如Cain & Abel與John the Ripper

3.彩虹表攻擊(rainbow table attack):針對各種可能的字母組合,預先算好雜湊值並列成表格,然後直接攻擊密碼雜湊表。工具如Ophcrack

4.密碼至少六個字元長度,應包含數字、大小寫及特殊符號,不應為字典中的單字或與使用者名稱有關連。不可允許兩個連續的字元為相同、連續的字母、數字

5.加鹽(salted):在系統計算密碼的雜湊函數時,可以加入某一個秘密數值,讓駭客事先計算或下載的彩虹表失靈


http://www.securityfocus.com/ 與 nvd.nist.gov 可找出系統已知的弱點



Ch4 基礎密碼學

一.加密算法轉換技巧:

1.替換法:將一個數值替換成另個數值

2.位移法(或稱排列法 permutation):不改變數值,只改變彼此相對位置

3.擴張法:複製部份資料內容以擴張長度,通常是為了配合金鑰的長度

4.墊塞法(padding):當原文過短時,在加密前增加額外的材料進資料中

5.壓縮法:在加密前檢陝資料的重複性。一般會先把資料壓縮再加密

6.金鑰混合:使用次金鑰(sub-key)做分段加密

7.初始向量(initiation vectors, IV):當同一把金鑰被重複使用來產生多個密文時,隨機取得IV可確保密文的唯一性


二.對稱式加密法(symmetric key cryptography):
指加密與解密使用相同但逆向的運算法,而且加密、解密使用相同的金鑰

1.DES加密法:每次加密64位元的原文,經初始排列後,一半的原文進入F-function運算,所得的結果再與另一半做互斥或運算。重複16圈相同的運算,再經最終排列即得64位元的密文。

2.AES加密法:目的在取代DES。AES使用一個「4位元組x4」的狀態表,共128位元。不同於DES做相同的16圈運算,AES做相同運算的圈數不定,但每一圈運算都包含四個步驟: 1.AddRoundKey:每一個位元組與那一圈所應用的金鑰做結合 2.SubBytes:使用一個非線性查閱表對每個位元組做替換 3.ShiftRows:將狀態表的「行」做位移 4.MixColumns:將狀態表的「列」做混合

3.對稱式加密法的優缺點:1.優點:運算速度較快 2.缺點:由於加密與解密使用同一把金鑰,如何讓訊息接收方取得金鑰是個難題,金鑰與密文的傳送勢必不能通過同一個通道。若以電子郵件傳送密文,就應考慮以電話或郵遞方式傳金鑰,或者用非對稱式加密來傳遞金鑰。另一個缺點是金鑰管理的複雜性,每兩者之間要使用同一把金鑰來通訊,因此n者之間通訊就需要n(n-1)/2把金鑰


三.非對稱式加密法(asymmetric key cryptography):
又稱公開金鑰加密法(public key cryptography),它使用一對數學上相關的金鑰:必須私密保存的私密金鑰與可以自由傳遞的公開金鑰。若用其中一把金鑰加密,就只能用另一把解密

1.公開金鑰的兩個主要用法:一是保密,二是來源證明。

2.保密:原文在訊息傳遞方以接收方的公開金鑰加密,公開金鑰可以從公開管道取得,所以傳、收雙方沒有金鑰交換的困擾。密文傳給接收方後,接收方以自己的私密金鑰解開密文

3.來源證明:原文在訊息傳送方以自己的私密金鑰加密,由於只有傳送方自己才有私密金鑰,所以不可能由別人偽造這個密文。密文傳給接收方後,接收方以傳送方的公開金鑰解開密文,公開金鑰可以從公開管道取得

4.RSA加密法:該金鑰的長度並非固定,所以可在運算時間與安全長度之間做取捨

5.非對稱式加密法的優缺點:1.優點:可保護機密性與隱私性,因文件需要接收方的私密金鑰方能解開、可以被應用於存取控制,因私密金鑰只由一位使用者持有、可以做來源證明,因為只有傳送方才能以傳送方私密金鑰對訊息加密 2.缺點:處理運算複雜度較困難


四.雜湊、簽章與複合式系統

1.雜湊函數(hash function)將任意長度的訊息字串轉化成固定長度的輸出字串,這個輸出字串稱為該訊息的雜湊值

2.複合式系統:1.對稱式加密:大量的訊息使用對稱式加密法如DES或AES,可節省最主要的加密時間 2.非對稱式加密:主要用來交換對稱式金鑰,將對稱式金鑰以接收方的公開金鑰加密後傳送,就可以確保只有接收方才能解開並取得該對稱式金鑰 3.數位簽章:用來保證文件的完整性與傳送方的不可否認性


五.對稱式加密的模式
分為 1.區塊式加密(block ciphers):依照DES基本特性逐塊進行加密,包含ECB與CBC 2.串流式加密(stream ciphers):讓金鑰不停地產生變化來模擬「一次性密碼本」的效果,速度較快。其想法類似一次性密碼本:每塊訊息都與「密碼本」中不同的部份做XOR,且每次運算都使用不同的密碼本,包含CFB、OFB、CRT


1.ECB模式(Electronic Code Book):較長的訊息被切割為64位元的區塊,每個區塊都以對稱式金鑰加密後,產生密文
優點是簡單,且每個區塊的運算可以平行處理;另一優點是任一區塊發生錯誤時,不會影響其他的區塊。缺點是只適合加密較短的訊息,由於各區塊都使用相同的金鑰加密,若訊息的區塊數目太多,萬一有兩個區塊的原文相同,就會產生相同的密文

2.CBC模式(Cipher Block Chaining):第一塊訊息與初始向量做XOR後再以對稱式金鑰加密產生密文。之後每一區塊不再使用初始向量,而是以前一塊密文取代
優點是即使有兩塊相同的原文,也不會產生相同的密文,改善了ECB的缺點;另一優點是任一區塊發生錯誤時,不會影響其他的區塊。缺點是無法平行處理,當一個區塊運算結束後,才能開始下一個區塊

3.CFB模式(Cipher Feed Back):類似於CBC,但第一塊訊息與初始向量做XOR前會先以對稱式金鑰加密。之後每塊密文與下一塊原文做XOR也都先加密
優缺點與CBC幾乎相同

4.OFB模式(Output Feed Back):類似於CFB,只是與原文做XOR的不是加密後的前一塊密文,而是由初始向量一級一級地以對稱金鑰加密產生

5.CTR模式(Counter):類似於OFB,只是與每塊原文做XOR的是由計數器(counter)產生的初始向量加密後的值
CTR可做到完全的平行運算,且擁有許多其他模式的好處。其風險在計數器的設計,若設計太呆板或可預測,則會類似於ECB

6.Triple DES(TDES 或 3DES):將標準的DES運算三次,每次使用不同的金鑰。其目的在解決DES的56位元金鑰長度不足的問題


六.加密法的應用

公開金鑰基礎建設(Public Key Infrastructure, PKI)包括四個主要部份:1.憑證管理中心(certificate authority, CA):負責發行、撤銷、配送數位憑證 2.註冊管理中心(registration authority, RA):負責憑證申請人的訊息登入、審核以及憑證發放等工作,同時對發放的憑證完成相應的管理功能 3.RSA公開金鑰加密法 4.數位憑證(digital certificate):是一個經憑證管理中心數位簽章的文件,包含使用者身份資訊、使用者公開金鑰資訊,以及憑證管理中心數位簽章的數據,該數據可以確保憑證的真實性。
以用途來看,數位憑證可分為簽章憑證和加密憑證:簽章憑證的用途是對訊息進行數位簽章,以保證訊息的不可否認性。加密憑證的用途是對訊息進行加密,以維護訊息的保密性


1.SSL(Secure Sockets Layer):介於HTTP與TCP之間的程式。主要使用非對稱式加密法,在網頁伺服器與用戶端之間建立安全的會談,兩者之間交換憑證並互相得到認證後,交換一把對稱式金鑰進行通訊

2.TLS(Transport Layer Security):類似於SSL,但相較於SSL更不易被破解。彼此並不相容

3.CMP(Certificate Management Protocol):一種在PKI環境中各實體間溝通訊息的協定。CA在使用CMP的PKI裡扮演伺服器的角色,以這種協定取得數位憑證的用戶端稱為end entity(EE)。CMP定義各種協定讓EE從CA取得憑證,也可以要求撤銷自己的憑證

4.S/MIME:在PKI環境中可以為電子郵件加密、確保完整性並且做認證

5.SET(Secure Electronic Transaction):在「持卡人」、「商店」與「銀行」三者間建立互信通訊

6.SSH(Secure Shell):是一種安全通道(tunneling)協定。不安全的電子郵件可經由SSH伺服器與客戶端的對應軟體所建立的通道進行安全傳輸

7.PGP(Pretty Good Privacy):是電子郵件加密系統的一種自由軟體。PGP使用複合式系統,原文以對稱式會談金鑰進行加密,取其速度;而會談金鑰則以非對稱式加密法傳遞。PGP不只可以維護文件在傳輸路徑的安全,而且可以使用於訊息或檔案的安全儲存

8.HTTPS(Hypertext Transport Protocl Secure):HTTPS是安全版的HTTP。HTTPS在客戶端與伺服器間建立SSL安全通道,電子商務大多以此協定做交易

9.S-HTTP(Secure Hypertext Transport Protocl):是訊息加密的HTTP,不同於建立安全通道的HTTPS

10.IPSec(IP Security):是VPN的一種加密標準,可讓IP封包即使被惡意攔截,也很難被破解


七.金鑰管理

1.可採取以下方法產生金鑰:1.選擇一個初始變數,也可以用使用者的密碼代替 2.可以為初始變數加入額外的亂數來降低字典攻擊法的成功率,這個做法稱為加鹽(salt) 3.再對結果做雜湊函數運算(如MD5、SHA-1等),使金鑰不能再回到初始變數

2.對稱式金鑰的傳送應使用訊息傳送之外的管道,或以接收方的公開金鑰加密後傳送;公開金鑰則以憑證方式傳送

3.金鑰的儲存與配送通常用KDC(Key Distribution Center)或KEA(Key Exchange Algorithm)。
KDC以單一伺服器來儲存、配送、維護所有的會談金鑰,缺點是若KDC出錯或遭受攻擊,會造成整個系統的安全問題。
KEA會在兩個系統間協出一把特殊的金鑰,它的目的就是做金鑰交換,且只被用一次。當加密用的金鑰被成功交換後,KEA程序就結束



Ch5 資訊系統與網路模型

一.記憶體與外掛元件:

1.記憶體映像(memory mapping):CPU會依據記憶體位址來存取資料。CPU在送出位址後,就可以將資料讀出或寫入該位址的記憶體中。CPU所定的位址稱為「絕對位址」。由於記憶體有不同階層,且許多應用程式會同時使用記憶體,因此應用程式不直接定址記憶體,而是使用「邏輯位址」。邏輯位址與絕對位址之間的關聯就是記憶體映像

2.記憶體滲漏(memory leaks):應用程式向作業系統要求記憶體空間,作業系統會為它指定一塊區域。當使用完畢後,若應用程式沒有通知作業系統那塊區域就無法釋放去做其它的用途,這個現象稱為「記憶體滲漏」


二.防火牆

1.封包防火牆(packet filter firewall):不分析封包的內容,僅依據封包位址的資訊來決定是否允許封包通行

2.狀態檢查防火牆(stateful inspection firewall):不僅決定是否允許封包通過,還會留下紀錄,據此判斷後面的封包是否可以通過

3.代理人防火牆(proxy firewall):可被是為私人網路與任何其它網路的中間人,它接到外部網路的請求之後,依據一些預定的原則做判斷該轉送這個請求,或是予以拒絕。代理人防火牆會將所有進出的封包都做加工處理


三.數據機

1.數據機本身幾乎不提供安全性,且許多數據機可接受外部撥號進入,經過同步程序後就能連線,容易受到撥號攻擊(war-dialing)

2.撥號攻擊的預防:可以將數據機設定為只接受某些特定門號撥入,其他一律拒絕,或是設定身份認證,通過之後再由數據機回撥連線。也有人設定數據機在較長的鈴響之後才啟動,因撥號攻擊不會等太長的鈴響。組織最好禁止員工在組織內私接數據機,否則會形成內部網路的後門


四.網路線

1.非遮蔽式雙絞線(unshielded twisted pair, UTP):將兩條由銅絲組成的銅線分別覆上絕緣體後絞纏在一起,可有效降低電磁干擾與交叉對話,外面再覆一層PVC外衣作為保護。常見的網路線CAT5與CAT6都是UTP。不適合做機密資料傳輸,駭客可以安裝分接頭或接收洩漏電磁訊號竊聽

2.遮蔽式雙絞線(shielded twisted pair, STP):類似於UTP,但另外加一層接地的金屬遮蔽層,以降低電磁波干擾與電磁訊號洩漏

3.同軸電纜(coaxial cable):以一條金屬中心線傳訊號,外包較厚的絕緣體,絕緣體外有編織的金屬網接地,再以PVC外衣做為保護。金屬中心線比雙絞線粗,因此可支援較高頻寬與較長的纜線距離。接地的金屬網遮蔽層可降低電磁波干擾,並避免電磁訊號洩漏。較常用於有線電視。駭客可易於安裝分接頭以攔截同軸電纜訊號

4.光纖(fiber optics):包含產生光源的發光二極體或雷射、玻璃或塑膠製成的光纜線,以及將光訊號轉回電訊號的光感應器。支援高頻寬、不受電磁干擾、不易掛線竊聽


五.OSI網路模型

1.簡介

應用層:存取網路資源
表現層:翻譯、加密及壓縮資料
會談層:建立、管理及中止會談
傳輸層:點對點訊息傳送及錯誤校正
網路層:提供網路連結並將封包由來源端送到目的地
資料連結層:將訊號組成資料框,從節點送到節點
實體層:在硬體上傳送數位訊號

2.實體層:由資料連結層所傳過來的位元被轉變成電子訊號在實體網路線傳輸,若以光纖或無線傳輸,則位元會被轉為光訊號或是電波。各種訊號的產生與轉換都發生在實體層,數據機的訊號與網路卡的訊號不同,不同種類的纜線所能傳輸的訊號也各不相同

網路拓樸:

匯流排(bus):所有的網路組件都在一條匯流排上,每一個點都能看到別人的訊息,資料連結層負責讓匯流排上傳送的訊息不會相撞。優點是可擴充性,增加或移除元件而不影響運作;缺點是一旦匯流排故障,整個網路都無法運作

樹狀(tree):通常是以交換器將元件組成樹枝狀。優點是可擴充性,增加或移除元件而不影響運作;缺點是若交換器故障,會影響掛在下面的所有元件

環狀(ring):纜線圍成環狀,資料是相同的流向,每一個組件都從上游接收資料傳給下游。環狀結構可以用代符(token)來控制資料流動順序,讓每一個組件傳輸機會公平。缺點是任何組件故障,網路就無法運作

網狀(mesh):網路內的所有組件都彼此連結。完全的網狀連結成本太高,通常的作法是主要組件做完全連結,其它組件則選擇性地彼此連結。優點是有備援性(redundancy),任何組件或纜線故障,都有機會找到替代通路;缺點是成本高且較難管理

星狀(star):所有的組件都連結到一個中心組件。區網大多採用星狀結構。優點是易於管理,且具可擴充性,增加或移除元件不會影響運作。缺點是一旦中心組件故障,網路就無法運作

3.資料連結層:負責轉換網路層的封包與實體層的訊號,同時藉由checksum的機制檢查實體層傳送來的訊號是否正確,若有錯誤則要求對方重新傳送。資料連結層可以給資料加密,但若資料在到達接收端之前經過其他組件,就必須解密之後再重新加密,造成加密品質的顧慮
﹡將資料框從一個組件傳送給另一台未必實體相接的主機
﹡使用實體位置(MAC)來傳送資料

4.網路層:將資料由一台主機傳送給另一台未必實體相連的主機
﹡使用每台主機的邏輯位址來傳送資料,這個位址是主機連結上網路才被賦予的

5.傳輸層:負責確保跨在網際網路上兩端的主機之間能夠正確地傳輸訊息

6.會談層:負責建立、控制及關閉TCP會談,同時提供應用程式與應用程式之間的認證與登入等服務,如目錄服務(directory services)與遠端程序呼叫(remote procedure calls, RPC)等。
﹡目錄服務是單點登錄的窗口,它視網路上的資料與資源為物件,並將它們歸入一個層級結構中,各自擁有唯一的名稱。目錄服務能為主機之間的物件做身份認證
﹡RPC可以讓一個電腦程式的子程序(subroutine)或程序(procedure)在遠端的電腦執行

7.表現層:確保應用程式間能瞭解彼此的資料格式,另一作用是為網路資料提供加密與資料壓縮

8.應用層:是應用程式使用網路通訊服務的入口,它是指網路通訊的應用協定,而非應用程式本身

www.wireshark.org 可下載網路封包分析軟體



Ch6 防火牆與使用政策

一.防火牆的種類

1.封包過濾防火牆(packet filter firewall):優點是「速度」與「彈性」。過濾速度快是因為它不查網路層以上的資料;使用彈性大是因為網路層以下的通訊大多成熟且固定,所以這種防火牆可以運作在各種網路環境下。速度與彈性優勢讓它適合扮演邊界路由器的角色,成為組織的第一道防線。缺點是檢視資料太少,一旦允許某種應用,它的所有功能都會被允許,因此無法防禦駭客利用應用層所發動的攻擊。同時它紀錄的資料也少,當需要做事件調查或稽核時,能提供的證據性薄弱。此外這種低層的防火牆通常不具備使用者認證的功能,同時也很難避免「IP地址偽裝」之類的攻擊,因為缺乏其它資訊來判斷位址是否造假

2.狀態檢查防火牆(stateful inspection firewall):結合了封包過濾器與一些傳輸層的功能。彌補封包過濾防火牆的弱點,它以一個狀態表追蹤開啟的連接埠

3.應用代理閘道防火牆(application-proxy gateway firewalls):結合了較低層級的存取控制與應用層的功能。應用代理閘道防火牆可被視為私人網路與任何其它網路的中間人,它接到外部網路的請求後,依據一些預定的原則來判斷應該轉送這個請求還是拒絕。代理人防火牆將所有進出的封包都做加工處理,包括隱藏IP。優點是可以檢查整個網路封包,所以能留下較完整的紀錄以供稽核或調查之用。由於使用到應用層,管理員可以對網路使用者做身份認證,而網路層與傳輸層防火牆的身份認證則只針對IP位址,並非真正的使用者


二.建立防火牆環境

1.安全區(demilitarization zone, DMZ):指兩個防火牆之間所夾的一個網路區域,裡面的組件或主機要能被比較自由地存取,因此不能放在內部網路保護區域


三.防火牆的安全政策
防火牆規則應拒絕以下種類的資訊流:

1.由不明外部系統所傳來的封包,目的位址是防火牆自己。這類封包通常是對防火牆的探測或攻擊

2.外部進入的封包,但來源位址卻標示為內部的位址。這類封包通常是某種欺騙的攻擊

3.外部進入的ICMP指令,例如ping。由於ICMP會透露太多網路訊息,所以由外部進入的ICMP指令應予阻擋

4.由不明外部系統所傳來的SNMP。這種封包可能代表外部入侵者正在探測內部網路

5.往內或往外的封包有任一位址為0.0.0.0者。有的作業系統對這個位址有特殊的定義,所以常被攻擊者利用


四.防火牆管理

1.防火牆備援可利用網路交換器。交換器能偽裝成防火牆,當防火牆故障時,會將所有的流量導入備援防火牆

2.另一種較便宜的復原方法是當使用中的防火牆故障時,以「心跳(heartbeat)」機制啟動備援防火牆,但這種方法就無法避免進行中的會談中斷



Ch7 入侵偵測與防禦系統(instrusion detection and prevention systems, IDPS)

一.入侵偵測的方法

1.特徵偵測(signature-based detection):會在資訊流裡比對惡意攻擊的特徵。可偵測已知的威脅,但無法偵測原先並不瞭解的威脅或是改裝後的已知威脅

2.異常偵測(anomaly-based detection):會在資訊流裡監視異常的狀況。使用者、主機、應用與網路的正常活動被定義於描述檔,它是監視正常活動一段時間後所記錄下來的系統特性

3.協定狀態分析(stateful protocol analysis):會依廠商提供的原則監視資訊流。將觀察到的事件與協定的預先定義的正常狀態做比較,以找出重要的差異
﹡異常偵測是使用自己的主機或網路產生的特定描述檔;而協定狀態分析則是依靠廠商提供的描述檔


Ch8 惡意程式與防毒

一.安全政策與教育訓練

1.外部進入組織的任何儲存媒體都要通過惡意程式掃描後才能使用

2.所有電子郵件的附件都要先存入本地磁碟並通過掃描後才能開啟

3.禁止電子郵件送出或接收某些種類的檔案,尤其任何形式的可執行檔

4.禁止使用可能傳輸惡意程式的軟體,如P2P或沒有公信力的IM

5.限制使用可移除的儲存媒體

6.只允許使用組織認可的方法進行網路通訊



Ch9 多層次防禦

一.多層次防禦觀念

1.強化作業系統安全

2.強化網路組件安全

3.強化網頁伺服器

4.強化郵件伺服器

5.強化FTP伺服器

6.強化DNS伺服器

7.強化DHCP服務

8.強化檔案與列印伺服器

9.強化目錄服務與資料庫


二.多層次防禦工具

1.應用軟體的安全機制:電子郵件軟體、網路瀏覽器、以及各種伺服器軟體的安全功能等

2.主機的安全工具:主機防火牆、防毒軟體、間諜程式偵測及移除軟體、事件檢視及報告工具、工作管理員、可靠性及效能監視器等

3.網路的安全工具:網路防火牆、邊界路由器、入侵偵測及防禦系統、VPN、代理人伺服器等

4.資訊安全管理工具:身份認證與登入機制、系統管理員、操作管理員、ISMS工具與各種更新及補丁管理等



Ch13 實體安全與營運安全

一.媒體資料的備份與備援

1.RAID 0:將資料按順序平均分布在數個磁碟機上,這種作法稱為插敘(interleaving)。主要目的是提高系統對磁碟機的讀取速度

2.RAID 1:將一筆資料忠實地複製到另一個或多個磁碟機上,它的提供完整的即時資料冗餘,且裝置簡單。此外,RAID 1也具備插敘效果,可提昇讀寫資料的速度。缺點是價格過高,因每筆資料都做複製,所需磁碟數量即成倍數

3.RAID 2:沒有在商業上被使用。它做位元級的插敘,並以Hamming Code做錯誤更正。所需磁碟陣列太大,並不實用。

4.RAID 3:類似RAID 0,也是將資料按順序平均分布在數個磁碟機上。RAID 3增加一個磁碟機來存放同位元,這個值是依據資料磁碟中的插敘位元組運算出來的。當任何磁碟損毀,它上面的資料就可以依據同位元來進行復原。兼顧了讀取速度與冗餘功能,但同位元磁碟會被過度使用,因任何資料的寫入都需要重新計算並寫入同位元,引此同位元磁碟壽命最短

5.RAID 4:類似RAID 3,但不用位元組插敘,而是使用資料塊(blocks)

6.RAID 5:類似RAID 4,也是使用資料塊插敘,並計算資料塊的同位元。不同處在於RAID 5將同位元平均分散在所有磁碟機裡,因此具有RAID 3、4的好處,又能避免同位元磁碟機被過度使用的缺點

7.RAID 6:比RAID 5增加一個同位元,所以能容忍兩個磁碟機同時損毀

8.RAID 10:又稱為RAID 1+0。同時擁有高讀寫速度與冗餘功能。能容忍超過一台磁碟機損毀,但價格昂貴

沒有留言:

張貼留言