电脑概论-网路安全试验室NetworkSecurityLab课件

資訊安全第17章資訊安全第17章2學習目標看完本章,您應該學會以下主題：資訊安全的目標資訊安全的基本觀念資訊安全的範圍資訊安全管理的標準個人增進資訊安全的技巧2學習目標看完本章,您應該學會以下主題：3學習目標資訊設備與技術的普及,為人們帶來了前所未有的便利,可是隨之而來的電腦犯罪、入侵與病毒感染事件也爆量激增。無論如何,我們不可能放棄現有的資訊科技,回到以前的時代。因此如何保護好自己的資訊,已經成為每一個人必修的課程。本章將簡單介紹資訊安全的目標、範圍與相關標準,作為讀者將來繼續深入研究的基礎。3學習目標資訊設備與技術的普及,為人們帶來了前所未有的便利417-1CIA－資訊安全的目標一般而言,資訊安全的目標在於維護資訊的以下特性：機密性(Confidentiality)完整性(Integrity)可用性(Availability)因為這三個特性的英文字首縮寫正好是CIA,因此許多文件會說：『資訊安全的目標就是CIA』。417-1CIA－資訊安全的目標一般而言,資訊安全的目標517-1CIA－資訊安全的目標517-1CIA－資訊安全的目標617-1CIA－資訊安全的目標美國中央情報局的縮寫也是CIA

(CentralInformationBureau),所以有人開玩笑地說:『資訊安全的目標對象其實是中情局』！617-1CIA－資訊安全的目標美國中央情報局的縮寫也是717-1-1機密性維護機密性是指：唯有獲得授權者才能知道資訊內容,未經授權者無法知悉。例如：阿志發送檔案給阿賢時,將檔案內容加密,再用安全的方式將密碼告知阿賢,阿賢便能解密得知正確內容。告知密碼的行為相當於授權,只有獲得授權者才能解碼而知悉正確內容；未獲授權者即使取得這份郵件,也會因不知道密碼而無法解讀出正確內容。717-1-1機密性維護機密性是指：唯有獲得授權者才能知道817-1-1機密性與機密性息息相關的資訊技術為密碼學(Cryptography)。簡言之,密碼學是研究加密和解密的科學。817-1-1機密性與機密性息息相關的資訊技術為密碼學(917-1-2完整性維護完整性是指：能判斷資訊內容是否保持原貌、未被竄改。有時候,錯誤的資訊比沒有資訊還危險,因此駭客入侵的目的未必在於破壞,而是竄改。舉例來說：入侵銀行帳戶資料庫,將自己的存款增加100倍,其它人的存款都歸零；修改國防部的演習命令,對民航機發射飛彈；修改入出境管理資料,使恐怖份子和毒梟能自由出入海關等等,這類竄改所導致的災難比破壞更可怕。917-1-2完整性維護完整性是指：能判斷資訊內容是否保持1017-1-3可用性維護可用性是指：我們在需要的時候隨時可以使用資訊。舉例而言：我們將機密光碟封存在深山的秘密洞穴中,以維護保密性和完整性,這的確很安全。可是在戰爭、颱風、地震等等緊急狀態下,我們可能因道路中斷而無法取得光碟,這種連自己都拿不到的保護方式就矯枉過正了,沒有考慮到可用性。1017-1-3可用性維護可用性是指：我們在需要的時候隨時1117-2資訊安全的基本觀念在進一步介紹資訊安全之前,我們先澄清一些經常讓人混淆、似是而非的論點,以協助讀者建立正確的基本觀念。1117-2資訊安全的基本觀念在進一步介紹資訊安全之前,1217-2-1沒有絕對安全大多數的資安專家都認為：倘若駭客有足夠的技術、時間和工具,理論上可以破解任何一種安全機制。因此我們所做的任何防護措施,只是增加破解的難度與時間,並不能保證絕對安全。所以如果有廠商宣稱用了它們的產品之後,企業主便可以高枕無憂,毋須擔心資安問題,請不要相信！1217-2-1沒有絕對安全大多數的資安專家都認為：倘若駭1317-2-1沒有絕對安全其實,同樣的觀念也是可以套用在現實生活中。從古至今,竊盜與防竊兩種技術互鬥了上百年,誰也沒能消滅對方。近年來最著名的案例,可說是2003年4月發生在英國曼徹司特大學Whitworth藝廊(WhitworthArtGallery)的名畫失竊案。在24小時警衛巡邏、先進警報系統和監視器的嚴密防護下,三幅名畫(作者分別為梵谷、高更和畢卡索)竟然神不知、鬼不覺地遭竊,震驚了全英國社會。1317-2-1沒有絕對安全其實,同樣的觀念也是可以套用1417-2-1沒有絕對安全幾天後在附近公園的公廁中找到這三幅畫,畫上附了字條,說明盜畫只是為了凸顯安全防護之不足。這種電影中的情節居然就發生在現實社會中,怎不讓人警惕！在資安領域,要永遠記得一句話－－沒有『最安全』,只有『更安全』！1417-2-1沒有絕對安全幾天後在附近公園的公廁中找到這1517-2-2代價不應高於保護對象的價值既然沒有絕對安全,那麼資安工作不就成了無底洞,究竟要做到什麼程度、花掉多少經費呢？這就看保護對象的價值囉。舉例而言,花五十萬元買個保險箱來保管五萬元的手錶,這顯然不值得(除非該手錶對於當事人具有特殊意義)。同樣的道理,如果花費在資安的金額會影響企業的運作,甚至超過了企業的總資產,當然不會被企業主所接受。1517-2-2代價不應高於保護對象的價值既然沒有絕對安全1617-2-2代價不應高於保護對象的價值要估計投入資安的代價,首先必須界定資安的範圍與期限。無論是再怎麼重要的單位,也不會是所有資料都值得保護。對於需要保護的資料,也應該訂出保護的期限,畢竟保護10年的代價與保護20年的代價相差可就大了。每一位資安工作者必須學習如何在經費和安全之間拿捏分寸!1617-2-2代價不應高於保護對象的價值要估計投入資安的1717-2-3沒有一成不變的方法許多大企業都流行制訂SOP

(StandardOperationProcedure,標準作業程序),將處理事情的流程一步一步地寫下來,作為規範。有了SOP之後,即便是新手,只要照著步驟做,按圖施工、保證成功。不過,在例行的行政事務可以如此；在執行資安工作則未必。1717-2-3沒有一成不變的方法許多大企業都流行制訂S1817-2-3沒有一成不變的方法資安工作的一大難題在於每次的狀況都可能不同,駭客的破解手法也總是不斷翻新,讓人防不勝防。因此關於資安的SOP也只能點出原則,而非每次都能照著做的步驟。要知道許多駭客都是背離傳統思維邏輯的怪胎(好聽一點的說法是『創意人』),他們不按牌理出牌、不守規則,因此反而找出了一般人看不出、找不到的系統漏洞。1817-2-3沒有一成不變的方法資安工作的一大難題在於每1917-2-3沒有一成不變的方法我們在處理資安事件時,有時候必須跳脫傳統思維的框架限制,揣摩出駭客的心理與作為,因此臨場的應變能力往往是決勝的關鍵！1917-2-3沒有一成不變的方法我們在處理資安事件時,2017-2-4資安人員要有全方位的視野一提到資安人員,許多人就聯想到鑽研於各種稀奇古怪技術的程式員或系統管理員。其實,技術固然是資訊安全的重要一環,但並非全部。根據許多案例顯示,資安事件往往導因於人性面的疏失,而非技術面的失誤,例如：2017-2-4資安人員要有全方位的視野一提到資安人員,2117-2-4資安人員要有全方位的視野為了便於記憶,將密碼寫在螢幕旁的便條紙,導致密碼外洩。為了下載影片檔或音樂檔,違規安裝P2P軟體,形成系統漏洞或感染病毒。為了便於在家工作,私自利用USB隨身碟複製檔案,結果遺失機密性資料。2117-2-4資安人員要有全方位的視野為了便於記憶,將2217-2-4資安人員要有全方位的視野以上的行為都可能使昂貴、嚴密的系統『破功』。分析其原因,它們都是來自於『人性』－－為了偷懶或貪便宜。所以一位好的資安人員,千萬不要死守技術本位主義,而要有全方位的視野,不妨涉獵心理、法律、企業倫理等等知識,一併做好『人的管理』。2217-2-4資安人員要有全方位的視野以上的行為都可能使2317-2-4資安人員要有全方位的視野2317-2-4資安人員要有全方位的視野2417-2-5縱深防禦才是上策縱深防禦(DefenseinDepth)是軍事術語,應用到資安上則是指部署一層一層的不同保護措施,以阻擋惡意行為。舉例而言：先在電腦機房外安排警衛管制進出、再用指紋辨識系統驗證身份、最後還要輸入正確的帳戶名稱與密碼,才能使用機房的電腦,這就是典型的縱深防禦。2417-2-5縱深防禦才是上策縱深防禦(Defense2517-2-5縱深防禦才是上策若套用到網路安全上,則是在最外圍安裝防火牆、緊接著是入侵防護系統(IPS,IntrusionProtectionSystem)或入侵偵測系統(IDS,IntrusionDetectionSystem)、到了單機還有個人防毒程式或防後門程式等等。縱深防禦的優點在於：不會因為一種機制被突破,而使入侵者長驅直入。在歷史上因為忽略縱深防禦而失敗的著名案例,便是法國的『馬其諾防線(MaginotLine)』。2517-2-5縱深防禦才是上策若套用到網路安全上,則是2617-2-5縱深防禦才是上策馬其諾防線位於法國東方,主要用來防禦德國的入侵。耗時7年、長達700公里、花費50億法郎,以當時的法國國防部長安得列•馬其諾之名來命名,又被稱為『法國長城』。可是在二次大戰期間,德軍繞道比利時和荷蘭,由法國北方的亞耳登森林南下,不但攻到該防線後方,並包圍首都巴黎,最後終於佔領整個法國。從頭到尾,馬其諾防線始終沒有發揮預期的效益,只是成為後人嘲笑和諷刺的代表。2617-2-5縱深防禦才是上策馬其諾防線位於法國東方,2717-2-6雙重管制降低風險所謂的雙重管制(DualControl),是指重大的決策必須至少有兩人參與,以避免因個人誤判情勢而釀成大災難。例如：更換主機系統的決策過程,至少有兩位相關部門主管參與。2717-2-6雙重管制降低風險所謂的雙重管制(Dual2817-2-6雙重管制降低風險在美國核子潛艦,艦長與執行官必須一致同意,才能發射核子飛彈,這也是雙重管制的絕佳範例。有一部電影『赤色風暴』(CrimsonTide)便是描述在渾沌不明的緊急狀況時,艦長與執行官因為對於發射核彈意見相左,演變成全艦官兵的衝突,幾乎導致全球的核子大戰。2817-2-6雙重管制降低風險在美國核子潛艦,艦長與執2917-3資訊安全的範圍與資訊安全通識體系資訊安全究竟包含哪些範疇,長久以來眾說紛紜。產品廠商和相關機構逕自推廣自家的資訊安全證照,其中以『IISSCC』

(InternationalInformationSystemSecurityCertificationsConsortium,國際資訊系統安全認證聯盟,簡稱ISC2)所推廣的『CISSP』

(CertifiedInformationSystemSecurityProfessional,資訊系統安全專家認證)認證具有較高的權威性與公信力。2917-3資訊安全的範圍與資訊安全通識體系資訊安全究竟包3017-3資訊安全的範圍與資訊安全通識體系一方面是因為它並重理論與實務；另一方面則是它已經在2004年獲得ISO

(InternationalOrganizationforStandardlization,國際標準組織)ISO/IEC17024標準的認可。3017-3資訊安全的範圍與資訊安全通識體系一方面是因為它3117-3資訊安全的範圍與資訊安全通識體系CISSP認證將資安專家所必須知道的知識統稱為『CBK』

(CommonBodyofKnowledge,資訊安全通識體系),並具體地彙整為10大領域(Domain)。由於每一個領域的涵蓋範圍都很廣,若要詳細說明,恐怕10本書都講不完,因此我們僅能摘要說明。3117-3資訊安全的範圍與資訊安全通識體系CISSP認3217-3資訊安全的範圍與資訊安全通識體系資訊安全和風險管理(InformationSecurityandRiskManagement)一般而言,10大領域的順序性不重要,孰先孰後沒什麼關係。可是若要比較其重要性,多數資安人員公推『資訊安全和風險管理』

(以下簡稱『資安管理』)為10大領域之首。3217-3資訊安全的範圍與資訊安全通識體系資訊安全和風險3317-3資訊安全的範圍與資訊安全通識體系資安管理的第一步是制訂企業的資安政策(Policy)。在該政策中應說明資安管理的各種相關事項,包括：哪些人、事、物納入資安管理的範圍、資安管理的目標、一般處理程序、例外處理程序、有效期限、執行部門等等。資安管理政策就是執行資安工作的最高指導原則,可以說是資安憲法。3317-3資訊安全的範圍與資訊安全通識體系資安管理的第一3417-3資訊安全的範圍與資訊安全通識體系在國際間關於資安管理的標準,早期是以BSI協會的BS7799標準為主,後來ISO組織根據BS7799制訂了ISO17799和ISO17800兩項標準,但是目前的最新標準是ISO27002及ISO27001。我們在下一節會針對這部分做進一步的說明。3417-3資訊安全的範圍與資訊安全通識體系在國際間關於資3517-3資訊安全的範圍與資訊安全通識體系存取控制(AccessControl)存取控制的核心就在於『身份驗證』

(Authentication)和『授權』

(Authorization)兩件事,亦即系統驗證了使用者的身份之後,根據存取控制清單(ACL,AccessControlList)授予權限。3517-3資訊安全的範圍與資訊安全通識體系存取控制(A3617-3資訊安全的範圍與資訊安全通識體系至於用何種方式來驗證,還要看是現場的使用者或遠端的使用者。對於前者,可以利用臉部掃瞄、指紋、聲音、虹膜等生物特徵來辨識；但是對於後者,適用的方式比較少,通常是憑藉磁卡、晶片卡、密碼等等來辨識。3617-3資訊安全的範圍與資訊安全通識體系至於用何種方式3717-3資訊安全的範圍與資訊安全通識體系業務持續性與災害復原(BusinessContinuityandDisasterRecoveryPlanning)此領域的重點在於擬定營運維持計畫(BCP,BusinessContinuityPlan)、災難復原計畫(DRP,DiasterRecoveryPlan)和企業衝擊評估(BIA,BusinessImpactAnalysis)這三項計畫。3717-3資訊安全的範圍與資訊安全通識體系業務持續性與災3817-3資訊安全的範圍與資訊安全通識體系換言之,要評估哪些是企業的關鍵性業務,萬一這些業務中斷會造成多大的影響；明訂出發生緊急事故時,避免營運中斷的作業程序；倘若不幸中斷了,如何迅速復原,繼續營運。根據AbleoneSystems顧問公司的統計,美國於2001年發生911恐怖攻擊事件後,在世貿中心大樓內的公司倒閉了一半,因此喚醒了許多企業主對於此領域的重視。3817-3資訊安全的範圍與資訊安全通識體系換言之,要評3917-3資訊安全的範圍與資訊安全通識體系密碼學(Cryptography)加密的目的一是為了保密；二是為了可判斷是否遭到竄改,等於維護資訊的機密性與完整性。而密碼學泛指涉及加密和解密的相關知識,包括：加密演算法、對稱式加密法、非對稱式加密法、數位簽章、數位憑證等等。3917-3資訊安全的範圍與資訊安全通識體系密碼學(Cr4017-3資訊安全的範圍與資訊安全通識體系應用程式安全(ApplicationSecurity)軟體工程師若能在開發應用程式的過程,就已經注意到資訊安全、降低風險,這樣的效果絕對比事後彌補漏洞來得好。因此在系統發展生命週期各個階段,都應隨時考量安全因素。例如：是否遵循企業的資訊安全政策、是否符合法律的要求、傳送資訊之前是否要加密、如何加密、如何測試系統安全等等。4017-3資訊安全的範圍與資訊安全通識體系應用程式安全4117-3資訊安全的範圍與資訊安全通識體系尤其現在大量網站用到JavaApplet和ActiveX技術,它們在本質上都是內嵌在網頁的程式。若用在好的方面,可以呈現更多樣化的互動效果；若用在壞的方面,則可能成為惡意程式的載具。所以開發人員必須留心如何適當運用這類的程式。4117-3資訊安全的範圍與資訊安全通識體系尤其現在大量網4217-3資訊安全的範圍與資訊安全通識體系法律、規章、遵循性與調查(Legal,Regulations,ComplianceandInvestigations)此領域的特別之處在於偏重法律和道德面,主要是討論資安人員應瞭解的法規與道德規範。或許有人會問：『瞭解這些法規有何用途呢？』4217-3資訊安全的範圍與資訊安全通識體系法律、規章、遵4317-3資訊安全的範圍與資訊安全通識體系舉例來說,發生資安事件時,若洩漏的只是企業自身的資訊還算幸運；若洩漏了客戶的資訊,因而使客戶受到損害,便很可能面臨客戶的控告。在台灣,客戶可引用『電腦處理個人資料保護法』來提出告訴；在歐洲則可引用『歐盟資料保護指令』

(EUDataProtectionDirective)；在美國的相關法規是HIPAA

(HealthInsurancePortabilityandAccountabilityAct,健康保險流通與責任法案)。4317-3資訊安全的範圍與資訊安全通識體系舉例來說,發4417-3資訊安全的範圍與資訊安全通識體系此外,還要注意：同一個措施,符合甲地的法規,卻未必符合乙地的法規。萬一有必要對簿公堂時,如何蒐集證據可能是勝訴的關鍵。此時『電腦鑑識』

(ComputerForensics)技術就會派上用廠,所以有空時不妨接觸這方面的訊息。4417-3資訊安全的範圍與資訊安全通識體系此外,還要注4517-3資訊安全的範圍與資訊安全通識體系然而,俗話說得好：『計畫永遠趕不上變化』,資安法規的腳步幾乎總是落後於犯罪,此時就必須藉由道德來彌補。有些事雖然還不算違法,卻肯定是不道德的,這就有賴資安人員稟於道德良知加以禁止。4517-3資訊安全的範圍與資訊安全通識體系然而,俗話說4617-3資訊安全的範圍與資訊安全通識體系作業安全(OperationalSecurity)作業安全是指對於『人』的管控,例如：誰可以核准交易、誰能變更資料、誰獲准取得磁帶或光碟等等。當然,實際的作法可能得因地、因時制宜,才能配合不同企業的需求。不過在整個管控與授權過程中,應該遵循『最低權限』

(LeastPrivilege)和『劃分責任』

(SeperationofDuties)兩項基本原則。4617-3資訊安全的範圍與資訊安全通識體系作業安全(O4717-3資訊安全的範圍與資訊安全通識體系前者意味著只賦予剛好夠用的權限即可,不要超過,例如：賦予安裝軟體的權限,但是不賦予刪除使用者帳戶的權限；至於後者,簡單說就是『不允許任何人可從頭到尾掌控整個流程』,否則很可能發生隻手遮天的弊端。4717-3資訊安全的範圍與資訊安全通識體系前者意味著只賦4817-3資訊安全的範圍與資訊安全通識體系實體(環境)安全(Physical(Environmental)Security)近年來,駭客幾乎都是透過網路來入侵,導致大家以為網路安全就是資訊安全,反而忽略了設備本身也要有適當的實體防護。因此這個領域特別著重在設備(例如：主機、光碟和磁帶)安全和環境安全。4817-3資訊安全的範圍與資訊安全通識體系實體(環境)4917-3資訊安全的範圍與資訊安全通識體系舉例而言：雖然耗費鉅資安裝了威力強大的入侵防禦系統和防火牆,但是機房大門卻使用一般的喇叭鎖,結果小偷輕易地抱走整部主機；因為機房位置不當,在淹水時所有設備都泡水故障；因為沒規劃備用電力系統,因而在斷電後無法持續作業…等等,都是一般人容易疏忽的狀況。4917-3資訊安全的範圍與資訊安全通識體系舉例而言：雖然5017-3資訊安全的範圍與資訊安全通識體系安全架構與設計(SecurityArchitectureandDesign)這部分比較偏向電腦主機本身所用到的技術,例如：處理行程(Process)、執行緒(Thread)、虛擬記憶體管理、作業系統的防護機制等等。5017-3資訊安全的範圍與資訊安全通識體系安全架構與設計5117-3資訊安全的範圍與資訊安全通識體系通訊與網路安全(Telecommunications&NetworkSecurity)此領域的涵蓋範圍最廣、內容也最繁雜,凡是與通信網路或電腦網路有關的知識,幾乎都囊括在內。大致上可以區分為OSI模型、TCP/IP協定、區域網路、網際網路、企業內部網路(Intranet)、路由器、防火牆、入侵偵測與入侵防禦、虛擬私人網路、3G網路等等類別。5117-3資訊安全的範圍與資訊安全通識體系通訊與網路安全5217-4資訊安全管理的標準在前一節,我們曾提到資安管理為10大領域之首,地位最重要。可是以往在討論資安管理的標準時,卻讓人覺得很傷腦筋。因為這麼重要的領域,長期以來竟然沒有統一的標準。往往是各國的政府機關、廠商或資安機構各自推行自己的標準,導致彼此難以用客觀或量化的方式,來評鑑資安工作的成效。5217-4資訊安全管理的標準在前一節,我們曾提到資安管5317-4資訊安全管理的標準所幸在最近幾年,ISO組織推出了ISO27000系列標準。ISO27000系列是一個資訊安全管理領域的專用標準,因此爾後只要看到編號為27XXX的ISO標準,便可以確定那是一個關於資安的國際標準。5317-4資訊安全管理的標準所幸在最近幾年,ISO組54BS7799BS7799是英國標準協會(BSI,BritishStandardsInstitute)在1995年提出的標準,歷經多次討論與修訂,於1999年正式公布。其內容分為以下兩部分：54BS7799BS7799是英國標準協會(BSI,55BS7799Part1：TheCodeofPracticeForInformationSecuritymanagement第1部份通常稱為資訊安全管理系統『作業規範』,也有人稱為『管理規則』。Part2：SpecificationForInformationSecurityManagementSystem第2部份通常稱為資訊安全管理系統『要求事項』,也有人稱為『系統規範』。55BS7799Part1：TheCodeofPr56BS7799行政院的『國家資通安全會報』在2003年將3千多個政府機關區分為A、B、C、D四種等級,限期要求完成不同程度的資安防護措施。目前已有多家A級、B級的政府機關,及民間公司取得BS7799的認證,可見得BS7799在台灣頗受重視。56BS7799行政院的『國家資通安全會報』在200357ISO27000由於世界各國普遍接受BS7799資安管理標準,於是ISO組織將BS7799：Part1轉為ISO17799標準,將BS7799：Part2轉為ISO17800標準,從此讓BS7799成為世界級的資安標準。57ISO27000由於世界各國普遍接受BS779958ISO27000到了2007年,ISO又將ISO17800修訂為ISO27001標準,可是卻沒有對ISO17799做同樣的動作,於是資安標準變成了『ISO27001加ISO17799』。因為這兩種標準的編號差距很大,往往讓人看不出其中有關連性,造成許多的不便。所以ISO便從善如流,在2007年7月將ISO17799修訂為ISO27002。整個流程如下圖：58ISO27000到了2007年,ISO又將I59ISO2700059ISO2700060CNS27001台灣雖然是資訊產品的大國,可是在資安方面的起步晚,又無重量級的機構或廠商在推動資安標準,因此只能跟著國際的腳步前進。行政院經濟部標準檢驗局便根據ISO17799和ISO17800制訂了CNS17799『資訊安全管理之作業要點』和CNS17800『資訊安全管理系統規範』,可以說是將ISO版予以中文化,賦予了統一的中文名稱。60CNS27001台灣雖然是資訊產品的大國,可是在資安61CNS27001到了2007年,標準檢驗局根據ISO27001制訂了CNS27001『資訊安全管理系統－要求事項』,並於2007/4/16公告廢止CNS17800。隨後又根據ISO27002制訂了CNS27002標準,並於2007/10/24公告廢止CNS17799。61CNS27001到了2007年,標準檢驗局根據62CNS2700162CNS270016317-5個人增進資訊安全的技巧安全並不是一蹴可幾的工作,只要開啟電腦的電源,維護安全的工作便應該永遠是『進行中』的狀態。以下列出常用的原則與技巧,讓您有所依循。6317-5個人增進資訊安全的技巧安全並不是一蹴可幾的工作6417-5-1妥善設定與保存密碼密碼是進入系統門戶的鑰匙,只要鑰匙落在他人手上,儘管門修得再堅固,也等於沒有門一樣,可以讓入侵者進出自如。許多人為了怕忘記,會使用與自己相關的數字或英文字為密碼,給自己方便,卻也同時給了入侵者很大的方便,讓入侵者根本不需要使用什麼艱深的技術,也不需要特意去鑽軟體的漏洞,只要稍加猜測,或是藉由暴力攻擊法,即能得到密碼。所以盡量使用複雜,長度不要太短的密碼,是保護密碼的第一步。6417-5-1妥善設定與保存密碼密碼是進入系統門戶的鑰匙6517-5-1妥善設定與保存密碼下面兩個方法可以建立複雜又不易忘記的密碼：截頭去尾：請預先設定一個句子,例如『Flagisagreatpublishingcompany!』,然後依您的習慣,將每一個單字的頭尾或是重要的音節取出來成為密碼,例如筆者取出來的密碼為『fgisagtpgcy』。您還可以在中間加上空格、標點符號,或是改成大寫字母,讓密碼更加複雜,例如『FgIsAGtPgCy!』。6517-5-1妥善設定與保存密碼下面兩個方法可以建立複雜6617-5-1妥善設定與保存密碼使用拼音：同樣地先設定一個句子,如『我愛旗標』,然後使用拼音的方式轉為英文字母,例如使用注音符號將句子轉為『ji394fu61ul』。與上一個方法相同,您可以加上空格或是改成大寫字母,讓密碼更複雜。6617-5-1妥善設定與保存密碼使用拼音：同樣地先設定一6717-5-2避免使用系統管理員帳號執行程式目前各主流作業系統都已經具備帳號與權限的管理,而系統管理員帳號擁有至高的權限,可以對系統進行任何動作與修改。所以建議您盡量以普通權限的帳號登入,執行日常的工作,除非需要進行系統管理時,才切換到系統管理員帳號。如此即使不小心執行了病毒或其他惡意程式,因為普通帳號的權限較低,惡意程式受到權限的限制便不易進行破壞。6717-5-2避免使用系統管理員帳號執行程式目前各主流作6817-5-2避免使用系統管理員帳號執行程式不過大多數的人因為偷懶的心態,都不會依照上面建議,而是直接以系統管理員帳號登入,避免切換的麻煩。因應人性的心態,部分作業系統開始設計不同機制。6817-5-2避免使用系統管理員帳號執行程式不過大多數的6917-5-2避免使用系統管理員帳號執行程式例如WindowsVista與Windows7具有『使用者帳戶控制』(UAC,UserAccountControl)機制,就算使用者以系統管理員帳號登入,系統仍不會給予管理權限,一旦有程式要執行管理工作時,要求使用者確認後才會提升權限,如此可避免惡意程式暗地進行破壞。6917-5-2避免使用系統管理員帳號執行程式例如Win7017-5-2避免使用系統管理員帳號執行程式7017-5-2避免使用系統管理員帳號執行程式7117-5-2避免使用系統管理員帳號執行程式除非您使用的作業系統具備類似的機制,才可以比較放心地以系統管理員帳號登入,否則仍建議您勤勞一點,不要以系統管理員帳號執行程式。7117-5-2避免使用系統管理員帳號執行程式除非您使用的7217-5-3安裝防毒軟體與防火牆雖然世界上沒有100%完美的防毒軟體與防火牆,不過一個毫不設防的系統,等於是門戶大開地邀請駭客與惡意程式進來。所以不論防毒軟體與防火牆完不完美,既使是一個基本的安全機制,也能提高駭客或惡意程式入侵的難度。7217-5-3安裝防毒軟體與防火牆雖然世界上沒有1007317-5-3安裝防毒軟體與防火牆在重視資訊安全的現在,各主流作業系統都會內建防火牆,建議您至少要開啟這些內建防火牆。另外,如果沒有預算購買防毒軟體,目前已經有許多公司推出免費的防毒軟體可供使用。只要到搜尋引擎網站,用『免費防毒軟體』搜尋,便可以找到許多免費的防毒軟體。7317-5-3安裝防毒軟體與防火牆在重視資訊安全的現在,7417-5-4不要隨便下載或執行來路不明的程式網路上的資源豐富,許多公司或是網站也會提供程式或遊戲可供下載,這些可下載的程式便是病毒、木馬等惡意程式散播的最佳途徑。許多惡意者會在原本正常的程式上植入病毒、木馬等惡意程式,然後放上網路供人下載,或透過社群網站誘騙他人下載。7417-5-4不要隨便下載或執行來路不明的程式網路上的資7517-5-4不要隨便下載或執行來路不明的程式這些程式可能都是相當知名的產品,例如『破解版Windows』、『永久有效的防毒軟體』、『加快速度的顯示卡驅動程式』...等,吸引使用者下載這些程式,一旦執行之後電腦便立刻中毒。所以建議不要隨便下載或執行來路不明的程式,當您需要各種工具或驅動程式時,也應該到官方網站或是知名網站下載,儘量避免取得有問題的程式。7517-5-4不要隨便下載或執行來路不明的程式這些程式可7617-5-5時常更新應用程式與作業系統世界上沒有絕對完美的軟體,任何軟體或多或少一定會有所謂臭蟲(Bug)的存在,這些臭蟲帶來的不只是使用上的不便,還可能會在系統內產生安全上的漏洞,讓系統出現弱點。一發現某個自己正在使用的軟體出現漏洞,必須馬上取得已修正問題的版本來更新,才能避免讓電腦處於危險的狀態。7617-5-5時常更新應用程式與作業系統世界上沒有絕對完7717-5-5時常更新應用程式與作業系統為了使用者的方便,目前許多作業系統或軟體都提供了自動更新的機制,一旦有更新版本釋出,就會自動下載並安裝,節省使用者不少時間。除了更新作業系統或軟體外,防毒軟體的病毒碼定義也需要經常更新,才能防制最新出現的病毒、木馬等惡意程式。防毒軟體大多也都有自動更新的機制,建議您開啟這些自動更新,讓系統隨時保持在最安全的狀態。7717-5-5時常更新應用程式與作業系統為了使用者的方便7817-5-5時常更新應用程式與作業系統除了使用自動更新修補漏洞外,更積極的作法是隨時注意各種安全消息,目前有3個網站為世界上安全問題的集散地：CommonVulnerabilitiesandExposures：CERTCoordinationCenter：SecurityFocus：7817-5-5時常更新應用程式與作業系統除了使用自動更新7917-5-5時常更新應用程式與作業系統CommonVulnerabilitiesandExposures(縮寫為CVE)為安全問題的搜尋目錄,幾乎所有的漏洞與弱點都可以在CVE找到說明。CERTCoordinationCenter與SecurityFocus則有非常多系統安全相關的文章,其安全通報的範圍包括各大作業系統與應用軟體,可說是關心資訊安全者必到的取經聖地。7917-5-5時常更新應用程式與作業系統CommonV8017-5-5時常更新應用程式與作業系統8017-5-5時常更新應用程式與作業系統8117-5-5時常更新應用程式與作業系統除了使用瀏覽器觀看外,許多安全網站都提供電子報的功能,您可以在這些網站訂閱安全通報。未來網站只要一公布安全問題,便會馬上使用電子報的方式發送給訂閱者,讓訂閱者了解系統上有軟體可能會造成危險,並且只要依據信件內的指引,便可以下載該軟體的修正版本以更新系統。8117-5-5時常更新應用程式與作業系統除了使用瀏覽器觀82隨堂練習1.請討論應該如何設定密碼,才能好記又不容易被破解。2.請研究您目前使用的作業系統與防毒軟體是否具有自動更新的功能,並討論應該如何設定自動更新機制才能較為安全。82隨堂練習1.請討論應該如何設定密碼,才能好記又不容易被83特別企劃為了維護資訊安全,我們登入主機、存取資源前,通常都是使用密碼做為認證的依據。不過每次都要輸入密碼才能認證,而且密碼太短容易被破解,太長又可能會忘記,還得小心保管以免被竊取,長久下來實在令人覺得麻煩。若是電腦能聰明點,可以直接認得我們,這樣該有多方便啊！與生俱來的安全