资讯安全技术趋势与展望.ppt

2021/3/11,1,資訊安全技術趨勢與展望,工研院電通所網際網路安全技術部宋振華博士2004.11.12,,,2021/3/11,2,Outline,前言資訊與網路安全技術發展趨勢資訊安全整體架構密碼技術概論公開金鑰基礎建設技術企業組織資訊安全體系網路/系統入侵技術資訊安全應用技術無線及異質整合網路安全技術結論,2021/3/11,3,前言資訊與網路安全技術發展趨勢,2021/3/11,4,,,技術趨勢網路/通訊技術整合,電話,無線電,PSTN,X.25,AMPS1G,有線電視,Cable寬頻,DSL,GSM2G,GPRS2.5G,V2oIP,WCDMA3G,NOW,,Time,,ALLIPNetwork,WLAN,iB3G,Internet,2021/3/11,5,資通訊安全產品發展現況,,,,,萌芽期,成長期,成熟期,衰退期,,,,‧HeterogeneousNetworkSecurity‧AdHoc/SensorNetworkSecurity‧IntelligentSecurityAgent‧TelecomSecurity,,‧MobileApplicationSecurity‧MobileCommerce‧IC/SmartCardApplication‧Intelligent/HighThroughputIDS‧IASecurity,,‧PKI‧ElectronicCommerce‧InternetSecurity‧IDS/VPN/Firewall,,‧CryptoModule,2021/3/11,6,資訊安全整體架構,2021/3/11,7,無線及異質整合網路安全技術,電子商務安全應用技術,網路/系統入侵技術,企業組織資訊安全體系,公開金鑰基礎建設技術,基礎密碼技術,資訊安全技術架構,驗證認證評估管理研發,驗證認證評估管理研發,2021/3/11,8,,,,,資通安全技術發展方向,技術研發與流程控管安全管理機制建立，政策、程序與稽核品質控制、有效性、可用性評估產品檢測制度與架構產品驗證程序與技術,,研發管理評估認證驗證,,,技術項目,,,發展方向,,,2021/3/11,9,資訊安全整體內容,,資訊安全,,,,,,產品,服務,網路安全,管理系統安全,應用安全,通信安全存取控制入侵偵測,資訊安全政策人員、實體與環境安全系統存取控制業務永續運作規劃,電子商務資料加密身分認證,防毒軟體,安全評估,防火牆,VPN,入侵偵測,加密軟體,PKI,其它AccesscontrolSingleSign-OnAdministratorContentFiltering,系統整合軟硬體安裝/執行服務,專業服務委外服務教育訓練顧問服務,認證服務身分認證交易認證企業信任標章認證,涵蓋內容,市場範圍,2021/3/11,10,美國CERT安全事件回報,2021/3/11,11,密碼學＝資訊安全,密碼學核心技術；重要的環節理論上幾乎無懈可擊為什麼網際網路上，還是層出不窮的有各式各樣的安全事件呢密碼協定設計上的疏忽軟、硬體系統設計可靠性不足「人」是資訊安全系統中，最脆弱的一環,2021/3/11,12,,,資訊安全問題的本質,,,,,整體資訊安全是建構於一系列環環相扣的保護機制下，而在這一系列環環相扣的保護機制中，攻擊者只要找出其中最脆弱的一環，就可以完全瓦解整個保護機制。,機房門禁、大型主機,2021/3/11,13,密碼技術概論,2021/3/11,14,密碼系統,密碼系統讓Alice和Bob可以經由不安全的通信管道，安全的傳遞訊息,2021/3/11,15,基礎加密運算Substitution,SubstitutionEachcharacterintheplaintextissubstitutedfromanothercharacterintheciphertextCaesar’scipherVigenerepolyalphabeticcipherCipherdisks,,,,,,,2021/3/11,16,基礎加密運算Transposition,TranspositionPermutationThelettersoftheplaintextarepermutede.g.ITRICCL→CLIIRTCScytaleColumnartranspositioncipherPlaintextKeepingmessagessecurekeepisgmessagessecureCiphertextkeeescesuparigesegsms,2021/3/11,17,二次世界大戰時期使用的密碼器,Cryptographicmachine-Enigma,2021/3/11,18,現代密碼學,私密Secretkey/對稱式Symmetrickey演算法加密金鑰與解密金鑰相同,SYMMETRIC解密金鑰必須保持私密,SECRETBlockCipher公開Publickey/非對稱式Asymmetrickey演算法加密金鑰與解密金鑰不相同,ASYMMETRIC其中一個金鑰可以公開,PUBLICPublickeyE加密，數位簽章驗證PrivatekeyD解密，數位簽章簽署,2021/3/11,19,常見的密碼演算法,2021/3/11,20,公開金鑰基礎建設技術,2021/3/11,21,Man-in-the-MiddleAttack,Alice,Bob,Eve,eKєE,dKєD,,,pєP,pєP,CEb’P,PDbEbPDbC’,,,Ea,Da,Eb’,Eb,Db,Ea’,,Bob’spublickeyisEb’Ee,Alice’spublickeyisEa’Ee,,PDeCDeEb’P,C’EbP,WhytheattackworksHintShouldthepublickeysbeprotected,2021/3/11,22,Bob,PublicKeyInfrastructure（PKI）,ofAliceVerifySignature,,,,,,,,,,,,,,,,,,Ciphertext,,,Publickey,ofBobEncrypt,,,Publickey,,,,CertificateofBob,,,,andSignature,CertificateofAlice,CertificateofAlice,Alice,CA/DS,,,,2021/3/11,23,PKI實體架構,,RA,一般用戶,CA,CA,,,,,,,,,管理訊息,管理訊息,管理訊息,發佈憑證,發佈憑證或憑證廢止清冊,CA互通管理,目錄服務,VA憑證驗證中心ValidationAuthority,RA註冊中心RegistrationAuthority,,憑證擁有者CertificateHolder,信賴憑證者RelyingParty,CA憑證機構CertificateAuthority,DirectoryService,,2021/3/11,24,PKI資訊安全應用系統架構,金鑰管理模組,應用系統軟體,通訊界面模組,密碼模組,憑證機構界面模組,電子資訊安全交換軟體,金鑰憑證資料庫,使用者鑑別模組,稽核次系統,,,金鑰管理模組,應用系統軟體,通訊界面模組,密碼模組,憑證機構界面模組,電子資訊安全交換軟體,金鑰憑證資料庫,使用者鑑別模組,,憑證機構,通訊界面模組,通訊界面模組,電子簽證次系統,目錄服務次系統,金鑰憑證資料庫,,,Internet,2021/3/11,25,PKI資訊安全系統架構續,使用者身份鑑別通訊對方公鑰查詢根據安全需求及安全交換協定拆裝通訊資料根據安全需求提供通訊內容之證據資料協助驗證證據資料之正確性,金鑰管理模組,應用系統軟體,通訊界面模組,密碼模組,憑證機構界面模組,電子資訊安全交換軟體,金鑰庫,使用者鑑別模組,,提供加解密、數位簽章等基本密碼功能,負責與憑證機構相關之作業，例如，查詢憑證的有效性、取得通訊對方的憑證,向使用者取得身份鑑別用之資料，供金鑰管理模組驗證,儲存使用者金鑰儲存常用的通訊對方之憑證驗證使用者的密碼等身份鑑別資料使用者金鑰或通訊對方憑證之取出,2021/3/11,26,PKI的網際網路應用,電子資訊安全交換應用的特性隱密性、證據力、防篡改、防盜用企業內部公文的交換、程序的執行例如採購、請假...企業間資訊交換例如報價、訂單、協議書...、合約執行例如交付文稿或軟體、履約催告...網際網路服務交易的進行例如股票下單、訂購商品...、業務的辦理例如查詢稅務資料、申辦監理業務、更改個人資料...,2021/3/11,27,PKI與密碼相關標準,密碼模組DES/AES,RSACDMF,BSafeAPIPKCS1,11,13,14HashFunction-SHA-1,MD5金鑰管理模組ISO/IEC11568ISO/IEC15782,憑證機構管理界面DAP,LDAP,DLSP,PKCS10X.509CertificateProtocol使用者鑑別模組ISO/IEC14888電子資訊交換安全模組PKCS5,7,12ISO/IEC13888,,2021/3/11,28,國內憑證機構發展現況,2021/3/11,29,我國PKI互通管理架構,政策管理單位PMA,,中華民國BCA,金融憑證管理中心,私法人憑證管理中心,,自然人憑證管理中心,工商憑證管理中心,,政府領域,民間領域,國家領域,國外CA,,,,政府憑證總管理中心GRCA,,,PKI互通監理委員會,,,政府憑證管理中心,,商務憑證管理中心,,2021/3/11,30,企業組織資訊安全體系,2021/3/11,31,,,企業組織資訊安全體系,預防措施偵測措施保護措施監控措施,風險評估安全政策安全作業程序危機管理,技術面,管理面,2021/3/11,32,資訊安全政策,目標,透過一整體規劃之資訊安全解決方案來保護資訊系統與業務之安全與正常運作，確保所有資訊資產之機密性、完整性及可用性，並使業務因資訊安全危害所發生的衝擊減到最低，進而提升資訊化服務之效能及價值。,2021/3/11,33,資訊安全管理安全模型示意,2021/3/11,34,BS7799作業流程示意,1.設定標準,2.頒佈政策,3.訓練員工,10.管理程序,3.建立機構,5.將資訊分類,8.納安全入合約內,9.應用對策,7.分辨安全需要,6.威脅和危機之分析,,,,,,,,,,,,,,2021/3/11,35,BS7799遵循步驟示意,1.為資訊安全政策下定義,2.為資訊安全管理系統之範圍下定義,3.從事風險評估,4.管理風險,,,,,,,,,,威脅、弱點、衝擊,機構對危機管理之方法與需要保證的程度,,5.選擇控制目的和執行控制,6.準備適用性的陳述,,定義,定義,評估,被管理的風險區域,,適用性的陳述,選擇原理,,,選擇的控制目的和控制,選擇的控制選項,,BS7799第二部分控制目的和控制與附加控制,,,,,,,,風險資訊資產,結果結論,2021/3/11,36,資訊安全管理認證簡史,1.1990年世界經濟合作開發組織OrganizationforEconomicCooperationandDevelopment，簡稱OECD轄下之資訊、電腦與通訊政策組織開始草擬「資訊系統安全指導方針」。2.1992年OECD於1992年11月26日正式通過「資訊系統安全指導方針。3.1993年英國工業與貿易部頒布「資訊安全管理實務準則」。4.1995年英國訂定「資訊安全管理實務準則」之國家標準BS7799第一部分，並提交國際標準組織InternationalOrganizationforStandardization，簡稱ISO成為ISODIS14980。5.1996年BS7799第一部分提交國際標準組織ISO審議之結果，於1996年2月24日結束6個月的審議後，參與投票之會員國未超過三分之二。6.1997年6.1OECD於1997年3月27日公布密碼模組指導原則。6.2英國正式開始推動資訊安全管理認證先導計畫。7.1998年7.1英國公布BS7799第二部分「資訊安全管理規範」並為資訊安全管理認證之依據。7.2歐盟於1995年10月公布之「個人資料保護指令，自1998年10月25日起正式生效，要求以「適當標準AdequacyStandard」保護個人資料。8.1999年增修後之BS7799再度提交ISO審議。9.2001年資訊安全管理認證正式成為ISO17799國際標準。註目前英國之外，已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳洲、紐西蘭、南非同意使用BS7799，日本、瑞士、盧森堡表示對BS7799的興趣。,2021/3/11,37,風險處理,拒絕承擔風險去除不必要的功能減少服務項目降低系統效能,選擇承擔風險排除風險降低風險轉移風險接受風險,安全政策,作業程序,,2021/3/11,38,網路/系統入侵技術,2021/3/11,39,入侵流程圖示,提升權限,竊取資料,清除記錄,DoS攻擊,選擇範圍,掃瞄,選定目標,獲取權限,,,,,,,,,,,,,建立後門,2021/3/11,40,攻擊的基本流程,設法接近目標取得更高的權限取得管理者權限隱藏自己的行蹤看周圍是不是有更值得攻擊的目標NIS、DNS安裝木馬程式後門、網路監聽程式,2021/3/11,41,常見入侵/攻擊方法,以大欺小猜密碼bruteforceDDoS在資料中隱藏攻擊指令（程式）特殊字元解釋escapecharacter緩衝區溢位bufferoverflow雜湊區溢位heapoverflow堆疊區溢位stackoverflow格式化字串atstrings邏輯錯誤產生的弱點競爭條件racecondition通訊協定設計失誤其他程式邏輯錯誤設定錯誤入侵misconfiguration,2021/3/11,42,網路入侵實例分析,2021/3/11,43,整合實例分析,Solarissadmindvulnerability,SunSolaris7.0_x86SunSolaris7.0SunSolaris2.6_x86SunSolaris2.6SunSolaris2.5.1_x86SunSolaris2.5.1_ppcSunSolaris2.5.1SunSolaris2.5_x86SunSolaris2.5,2021/3/11,44,整合實例分析,MicrosoftIIS4.0/5.0unicodevulnerability,2021/3/11,45,病毒、網蟲、入侵,2021/3/11,46,網路安全防禦工具,風險評估弱點掃瞄防火牆防毒軟體虛擬私有網路駭客誘捕系統資訊犯罪鑑識追蹤系統入侵偵測系統,2021/3/11,47,網路安全整體防禦機制,Sensor,Sensor,Sensor,Sensor,Sensor,Collection,Collection,Database,Analysis,Reaction,KnowledgeBase,,,,,,,,,,2021/3/11,48,資訊安全安全應用技術,2021/3/11,49,,電子商務技術,電子商務,憑證機構CA,付款機制-SET/SSL-PaymentGateway-WebPOS-E-Wallet/WalletServer-信用卡/金融卡-結合SmartCard,資訊安全基礎技術,WirelessInternet-WAPSolution-WirelessSecurityWTLS-WirelessPKI,應用服務-電子商店/商場-電子銀行-網路下單-電子政府及工商服務-知識型服務,2021/3/11,50,SSL網路安全付款機制,2021/3/11,51,付款機制-SET系統架構,2021/3/11,52,SET階層式CA示意圖,,,,RootCASETCo,Geo-PoliticalCAoptionalonlyforVISA,BrandCAMasterCard,Visa,MerchantCABanesto,CardholderCABanesto,Cardholder,PaymentGatewayCAMasterCard,BanestoinVISA,Merchant,PaymentGateway,,,,,,,,,SOURCEINZA.COM,2021/3/11,53,SET雙重簽章（DualSignature）,商店不需要知道有關顧客的付款資訊銀行不需要知道顧客的購物資訊連接付款資訊與訂購資訊，留下證據以避免爭議,,顧客的私密金鑰,銀行檢查（付款資訊,Digest1,雙重簽章）商店檢查（訂購資訊,Digest2,雙重簽章）,2021/3/11,54,,,,,,,,InternetUsers,Merchants,付款機制-PaymentCenter架構企業、銀行線上金流解決方案,現行應用技術,電子商場大師VirtualMall、WAPMallSSL/SETPaymentSystemE-Wallet、MerchantServer、PaymentGateway、SSLPOS、WalletServer、InternetBanking、MobileBanking、SecurityModuleAPI,技術開發,線上信用卡交易、帳務處理/管理軟體EasylinkPOS減少整合時間完整之線上授權請款清算退款API功能,未來方向,架構並具備安全、全面多樣化、易整合、完整之電子付款系統交易平台,聯合信用卡中心,2021/3/11,55,金融XML訊息交換系統,支援銀行公會TRPebXML、SMS簡易版訊息封包傳輸規格支援金融轉帳、融資、票據交換作業支援TaiCAPKI安控系統提供Web-Based及AP-to-AP交易作業模式,2021/3/11,56,應用服務-電子銀行,2021/3/11,57,行動商務付款技術,2021/3/11,58,無線服務系統架構,2021/3/11,59,行動服務技術電子商務平台,2021/3/11,60,知識金融風險管理應用服務,信用風險、市場風險、作業風險,信用評等系統,徵信審查系統,投資風險分析系統,入侵偵測系統,,詐欺偵測系統,,,,,2021/3/11,61,工商服務影像安全應用,數位浮水印機制影像保護隱藏,利用數位浮水印的技術，將影像加入浮水印，核發證明取代紙本。民眾可於網路上申辦取得工商證明文件如工商印鑑證明、工商抄錄影像檔等。可憑原來藏入之數位浮水印，驗證其真偽,看不見的數位浮水印範例Fromhttp//www.npm.gov.tw/dl/plan06/img/pic-1.gif,可見性數位浮水印範例,2021/3/11,62,多重數位浮水印簽章流程應用實例,,,申請者填寫資料,申請文件電子化,科員審件,科長核定,經理裁決,審核完畢,,申請者表單,隱藏式浮水印,驗證,,數位印章,,隱藏式浮水印,驗證,,,,,驗證,,保護本文避免被竄改,,檢查浮水印確定影像未被修改,,檢查數位印章及浮水印確定未被修改,,檢查數位印章及浮水印確定未被修改,,數位印章亦加入隱藏式浮水印,2021/3/11,63,大同公司全球電子化供應鏈體系PKI應用推廣執行政府C計畫金流系統整合PKI授權與安控認證，達成上、中、下游供應鏈系統全面e化之目標，這其中在足夠的誘因與驅動力及運用既有之BCD計畫下，於短短的五個月期間，供應商導入家數113家，銀行導入家數六家，累計已拋出訂單數5,578張，總訂單金額NT148,335,950，於年底前預期目標更將到達150家的供應商導入。,元大京華證券為讓股東不用出門即可行使股東會投票權，率先導入通訊投票認證系統，持此認證磁片的股東可在參與此認證平台之任一股代機構享受「一家發證、多家認可」的便利性。當股東開立股務網通訊投票電子戶時，分公司必須幫客戶申請一份數位憑證檔案，將其儲存在股務網通訊投票專用磁碟片上交客戶個人保管，該數位憑證代表股東個人身分，供股東自行或委由分公司業代行使股東會線上投票或兌換紅利積點時使用。,PKI應用案例（一）,2021/3/11,64,沈氏藝術印刷以建立可攜式電子書數位版權管理平台暨發行平台之新型網路經營模式為由申請本案輔導，其中導入PKI機制的應用為將電子書轉檔為加密的電子書後放在網站上進行營運或由出版社租借網路店面，沈氏提供硬體設備、系統建置及後續維護，之後規劃專區讓出版社自行上架電子書進行營運；另外第三種經營模式為由出版社購買系統，沈氏負責將系統跟硬體規劃包裝成一個套裝，販賣給出版社自行營運。沈氏只負責建置系統、協助導入與教育訓練。經過五個月的努力，其所達成之各項指標中以發展高容量金鑰設備之銷售為最輝煌，達成率為350，其他旨標如平台會員數量、出版社之策略合作、發行電子書數量、通路之策略合作等之量化數據皆超出之要求。,PKI應用案例（二）,2021/3/11,65,金財通電子發票加值服務結合PKI機制之憑證來從事各項加值性的服務，例如電子發票線線上開立/作廢/折讓、電子發票資料交換、電子發票進銷項報稅資料交換、電子發票帳務明細查詢、電子發票代客列印、及客製化需求之整合服務及新應用，由於本計畫的開發完成，對發票處裡的人力與時程已初具成效，其所簽發之電子憑證張數將由現在的200餘張逐漸增加當中。,網路服務供應商汎宇電商（UniversalECInc）啟用台灣首座電子發票網路服務中心，這項服務同時具有資訊保密能力及整合式產業金流服務，是商業e化中重要的一環，成為第一家提供具有整合式金融功能的電子發票（e-Invoice）廠商，未來更能結合電子融資（e-Financing）、電子支付（e-Payment）、電子支票（e-Check）及電子帳單（e-Billing）等功能，為台灣產業跨入提供整合性金流供應鏈服務的第一步。,PKI應用案例（三）,2021/3/11,66,無線及異質整合網路安全技術,2021/3/11,67,WLAN各區隔市場之應用,資料來源工研院經資中心ITIS計畫2003/03,2021/3/11,68,行動服務應用分類,,Source“WLAN/GSM-thebetterwaytooffer3GservicesTeddyHuang2003.07.09,挑選具策略性意義之新應用與服務e.g.ENUM-enabledMMS/IM,Health-care,Edu-tainment,emailattachment,LBSMMSv.s.Browsing,2021/3/11,69,WLANSecurity,論文簡述及發表時間,WLANhasencryption,authenticationandsystemsecurityproblemWLAN最根本的問題為使用“分享靜態的金鑰”的認證方式,2021/3/11,70,WLAN安全標準發展現狀,2021/3/11,71,我國發展PWLAN現況,2021/3/11,72,我國PWLAN示範區建置現況,2021/3/11,73,WLAN與行動電話系統的結合,家庭,使用者利用WLANcard或MobileCellularCard在辦公室或校園聯網,,,,使用者利用WLANcard或MobileCellularCard在家中聯網,使用者利用MobileCellularCard3G/GPRS在汽車行進中聯網,公眾無線區域網路Hotspot,,使用者利用WLANcard在Hotspot中聯網,,辦公室或校園,,,資料來源工研院經資中心2002/12,挪威TelenorMobile芬蘭Sonera日本NTTDoCoMo與KDDI美國VoiceStream,異質網路結合,2021/3/11,74,Cellular與WLAN各有所長,資料來源工研院IEK2003/03,2021/3/11,75,CellularWLANSolution,2021/3/11,76,WLAN/CellularIntegration商機-Service,Operator業者可提供傳輸語音與上網的服務,行動電話使用者,網際網路使用者,使用行動電話與網際網路的使用者,GPRS/3G之原有大餅,Keep,語音使用者,資料語音使用者,,CellularOperator業者之用戶,WLAN進入,GPRS/3G加上PWLAN對原有客戶之之大餅,網際網路使用者,資料來源工研院IEK2002/12,新客戶,GPRS/3G加上PWLAN對新、舊客戶之之大餅,2021/3/11,77,,行動電子商務應用實例,,1.上網流覽,,2.產品代號及金額,,,,,3.付款,4.檢查代幣正確性,6.回覆,8.收據,代幣中心,收款主機,目錄網站,消費者,,LDAP憑證主機,,,7.取得憑證,5.取得憑證,2021/3/11,78,雙網整合數位版權保護應用實例,1.下載加密過的MP3檔案,數位音樂下載伺服器,數位版權管理伺服器,2.授權請求及付款,3.取得播放權限，解密MP3檔案,CellularOperator,4.清算,5.結合電信帳單付款,,,,,,2021/3/11,79,結論,應用系統及網路環境的日益複雜，導致安全事件的發生層出不窮。資訊安全技術的發展必須隨著應用與環境的變化持續進行。整體資訊安全是建構於一系列環環相扣的保護機制下，而在這一系列環環相扣的保護機制中，攻擊者只要找出其中最脆弱的一環，就可以完全瓦解整個保護機制。從技術面、管理面、應用面思考整體安全防護策略無線化、行動化下之資訊安全技術及應用為未來發展之趨勢,