国立联合大学 96学年教学卓越计画-分项计画1-4 「资讯素养」课件.ppt

二、防毒與防駭觀念 基本防毒與防駭的觀念 資訊是一種資產，如同一個校園內的任何資產一樣，是具有價值的，所以需要妥善進行保護。 資訊安全的工作不是專家的工作，而是所有使用者的工作。 對與網際網路的使用，切勿任意下載不明的軟體安裝。 對於一些特定的網站盡量避免去瀏覽或使用該網站所提供的軟體。 對於不明電子郵件的附件，不要好奇的去開啟與執行。 * 常見的網路安全威脅種類: 系統入侵(System Hacking) – 系統或程式弱點 – 密碼猜測 ? 惡意程式碼(Malicious Code) – 病毒、蠕蟲 – 特洛伊木馬 – 後門、Rootkit – Spyware、Adware ? 監聽(Sniffing) – Sniffer – Keylogger ? 服務阻斷(Denial of Service, DOS) ? 網路釣魚(Phishing) ? 社交工程(Social Engineering) * 什麼是入侵(Intrusion)? ? 入侵的定義 – 可能對運算或網路資源造成以下安全目標的危害的意圖或行為 ? 私密性(Confidentiality) ? 完整性(Integrity) ? 可用性(Availability) ? 每個人對入侵的定義不同 – 如果有人嘗試Telnet 到你的系統? ? 嘗試以root 或Administrator 登入時 – 如果有人嘗試以PING 清查(Sweep)你的系統 – 如果有人使用掃描軟體檢查你的系統 – 如果有人使用Unicode 方式測試你的Web Server * 入侵流程 ? 勘查目標(Reconnaissance) – 利用網路資源尋找入侵目標 – 取得目標主機相關資訊 ? 掃描主機(Scanning) – 利用常用指令或工具掃描目標主機弱點 – 取得目標主機現行狀況 – 取得目標主機作業系統、網路服務、帳號密碼等資訊 ? 取得權限(Gaining Access) – 利用系統弱點取得目標主機存取權限 – 利用工具、系統弱點或社交工程術取得目標主機的管理權限 ? 維持權限(Maintaining Access) – 設法維持存取目標主機的權限以便再次存取 – 新增另一擁有管理權限的帳號 – 植入木馬或後門程式 ? 清除行蹤(Covering Tracks) – 掩蓋所有相關紀錄檔或可能的入侵痕跡 * 網路釣魚(Phishing) 「網路釣魚」是駭客仿冒知名公司網站，架設神似的假網頁，誘騙使用者登入假網站輸入個人資料，常見的手法是透過發送「系統更新，請檢查帳號」、「請變更密碼」等 email，並在 email 內提供假的連結，誘騙收件者登入假網站輸入個人資料。 ? 釣魚攻擊的操作手法和數量已超越一般電腦病毒和木馬程式，成為網路安全的最大威脅。 ? 利用偽造電子郵件或網站作為誘餌，且利用知名公司所建立的信賴感，提高詐騙的成功機率，讓受害者洩漏個人資料 ? 主要在於騙取受害著的身分證字號、銀行帳號、密碼、信用卡號碼等機密資料 ? 常見的網路釣魚方式: – 詐騙網址 – 電子郵件表單 – 彈出式的視窗 – 偽造IE 網址列 – 偽造知名網站 * 網路釣魚-例子: ‘Citibank Alert Service’ 2004-11-10 * 社交工程術(Social Engineering) ? 利用人性弱點或人際互動上的技巧，以影響力與說服力來欺騙他人進而獲取資料的行為 ? 方法是進行巧妙的騙術，或令對方相信其假冒的身分 ? 社交工程駭客得以利用他人，不管有無動用到科技、電腦或程式，都可以獲取帳號、密碼、信用卡號碼、身分證號碼、姓名、地址或其他可確認身分或機密資料 ? 『跟你裝熟，以達到特定的目的』 * 常見的社交工程手法 ? 假冒同事 ? 假冒廠商、合作夥伴、或是執法單位的員工 ? 假冒具有權威的人 ? 假冒新進員工，需要幫忙 ? 請求總機幫忙接傳真，然後再要求轉傳 ? 請求將檔案傳至公司內部的地方 ? 謊稱是公司外地員工，要求設立可以在當地存取的電子郵件 ? 使用內行人術語和行話來取得信任 ? 假冒廠商打電話來提供系統修補程式或更新程式 ? 告訴對方如果發生問題可以找他，然後製造問題，讓對方打電話來求援