智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
第十五章 資訊管理的功能角色與安全觀點
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
本章大綱
第一節 資訊部門的角色定位
第二節 CEO在MIS上的角色定位
第三節 CIO的角色定位
第四節 組織的資訊安全議題
第五節 防火牆與網路安全
第六節 資訊的加密系統與數位簽章
第七節 組織整體的資訊安全策略與活動
第八節 國際資訊安全管理標準:BS7799
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
資訊部門的角色定位
資訊部門角色定位的錯誤會影響整個組織的資訊化方
向與績效。
e化時代,MIS部門應有的角色定位為何?與傳統的
MIS角色有何區別?
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
本资料来源
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
表15-1 傳統e化時代MIS
角色的比較
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
CEO在MIS上的角色定位
CEO角色的重要性
CEO在資訊化時應有的角色與任務
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
CEO角色的重要性
為何高階主管參與與支持MIS很重要?可歸納下列幾
點來說明:
IT已成為一種重要的策略性資源
只有CEO瞭解策略方向
只有CEO清楚外在環境的變化
推動IT常有很大的阻力
投資IT需要長期支援
文化與風氣的形成
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
表15-2 CEO在e化(資訊化)
應扮演的角色與任務
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
CIO的角色定位
CIO的角色與主要任務
CIO面臨的挑戰
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
表15-3 CIO的角色與
主要任務
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-1 CIO的角色與
關係網路圖
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
CIO面臨的挑戰
外部環境的瞭解與反應力
外部環境的瞭解
IT變化的瞭解
產業競爭的瞭解
內部經營與策略的瞭解與參與
經營模式的瞭解
進入策略核心
IT價值的推廣
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
CIO面臨的挑戰(續)
IT所扮演之角色的瞭解與提升
IT影響力的瞭解
IT策略角色的瞭解
MIS地位的提升
IT資源的管理與能力提升
變革代理人
e化成熟度的提升
IT願景的推銷
IT架構的規劃
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
組織的資訊安全議題
60%企業皆曾遇過未經授權而被使用資訊系統的情形。
77%發現到電腦安全入侵事件。
74%企業表示受攻擊的來源點是網際網路連線。
近30%受訪者表示沒有能力察覺資訊安全事件的來源。
2002年企業在資訊安全相關損失金額約為45億6,000萬
美元,其中損失最嚴重的項目是智慧財產權資料的失
竊。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
組織的資訊安全議題(續)
組織資訊安全的主要議題
組織資訊安全的環境與背景
組織資訊安全的漏洞與弱點
網路安全的服務與目標
網路安全的威脅與攻擊的模式
當代網路安全的重要趨勢與主要挑戰
網路安全的主要防護機制
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-2 資訊安全的
主要議題與架構
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
組織資訊安全的環境與
背景
企業電腦化之普及所潛藏之危機
Internet的開放性
匿名性與距離性
犯罪速度快、容易複製、波及面大
電腦犯罪容易潛伏及隱藏
法律的周延性不足
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
組織資訊安全的漏洞
與弱點
作業系統本身的弱點
通訊協定本身的弱點
網路軟體上的弱點
管理制度上的弱點
人員的弱點
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
網路安全的服務與目標
77%的電腦犯罪,是由網路上進行攻擊的,然而在瞭
解資通安全的威脅與攻擊之前,首先我們要瞭解網路
安全的服務與目標為何?亦即,我們希望在網路上提
供哪些服務的品質?在此方面,主要包括下列五點:
安全隱密性:指的是當資料傳遞時,除了被授權的
人,不會受到外力的擷取。
身分認證性:指的是當傳送方送出資訊時,就必須
能確認傳送者的身分是否冒名。
資料的完整性:指的是當資料送達時必須保證資料
沒有被篡改的疑慮。
授權性:使用者只能擷取被授權部分的資訊。
不可否認性:使用者已使用或接受某項服務(例如
下訂單)時,不能否認其未使用過。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
網路安全的威脅與
攻擊的模式
資訊安全的威脅指的是:組織可能遭受到天災人禍的
攻擊,而對正常營運所可能產生的損失與影響。如果
損失愈大,表示此種威脅程度愈嚴重。
網路上的主要攻擊模式
–電腦病毒的散布:電腦病毒可能會自行複製,
或更改應用軟體或系統的可執行元件,或是刪
除檔案、更改資料、拒絕提供服務,其常伴隨
著電子郵件。
–阻斷式攻擊:指的是:系統或應用程式的存取
被中斷或是阻止,讓使用者無法獲得服務,或
是造成某些即時系統的延誤或中止。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
網路安全的威脅與
攻擊的模式(續)
–後門或特洛伊木馬程式:指的是:未經授權的
流程或程式,可以透過合法程式的掩護,而偽
裝成經過授權的流程,來執行程式。
–竊聽:指的是:使用者之識別資料或其他機密
資料,在網路傳輸過程中被非法的第三者得知
或取得重要的機密資訊。
–偽裝:指的是:攻擊者假裝是某合法使用者,
而獲得使用權限。
–資料篡改:指的是:儲存或傳輸中的資料,其
完整性被毀壞。
–否認:使用者拒絕承認曾使用過某一電腦或網
路資源,或曾寄出(收到)某一文件。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
網路安全的威脅與
攻擊的模式(續1)
網路攻擊與竊盜的主要手法
–電子郵件挾帶病毒法:亦即利用電子郵件引發
網友開啟來路不明的郵件與檔案,然後植入惡
意程式。
–攻擊漏洞散播病毒法:亦即針對特定系統(例
如Windows及IE)的漏洞,製造病毒程式,然後
入侵並大量散播。
–鎖定對象直接入侵法:直接針對特定的對象,
例如金融單位,直接以駭客程式入侵個人電腦
或伺服器主機。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
網路安全的威脅與
攻擊的模式(續2)
–網路釣魚法:此法主要是建立色情網站或者「
虛設」、「仿冒」的網路商店,引誘網友線上
消費,並輸入信用卡卡號與密碼,以此來輕易
獲取網友的機密資料。
–公用電腦盜取機密法:此法主要是先在公用電
腦(例如網咖)植入駭客程式,然後等待後續
的網友使用後,伺機盜錄並竊取個人的機密資
料。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-3 網路安全的新威脅
與挑戰
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
當代網路安全的重要趨勢
與主要挑戰
網路門戶開放安全危機,繼續延燒
網路威脅將會持續以透過防火牆「必開之門」,例
如HTTP、SMTP、POP3及DNS等網路應用協定來
無所不用其極的繼續大肆攻擊。
系統漏洞數量大,持續威脅個人及企業用戶
從2002~2004年每年發現的系統漏洞都將近三、四
千個。
網路電腦病毒的製造與變種速度加快
2004年後網路上的大病毒一再的變種,Sasser有22
種、Netsky有87種、MyDoom有99種。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
當代網路安全的重要趨勢
與主要挑戰(續)
機器蟲網的猖獗
Botnet又稱傀儡程式(Bot)或「受控制的網路系統」
或僵屍網路,指的是:一群已經被駭客入侵並控制
的電腦所組成的攻擊網路(有些數目大到十萬台)。
蠕蟲與Bot聯手攻擊及分散式阻斷服務攻擊的威脅加大
蠕蟲是透過E-mail在網路上大量傳播的病毒。
Worm與Bot最近發展出了下列兩種聯手攻擊的方式:
– Worm散布Bot
僅僅一隻發信Worm便可以將Bot傳播到數以
千計的Botnet。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
當代網路安全的重要趨勢
與主要挑戰(續1)
– Bot散布Worm,Worm再散布Bot的持續循環
利用Bot散布Worm,入侵攻陷後,再由
Worm散布及植入更多的Bot。
間諜軟體的猖獗
間諜軟體是一個廣泛的名詞,泛指所有快速繁殖,
且能夠巧妙滲入PC的合法廣告軟體,以及具有明顯
惡意的工具,例如鍵盤側錄器,其又被稱之為可能
不需要的程式(PUPs)。
無限網路安全漸成威脅
手機的病毒威脅
手機與電腦同時下毒
P2P檔案交換的病毒攻擊威脅加劇
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
當代網路安全的重要趨勢
與主要挑戰(續2)
網路釣魚客的猖獗
網路釣魚,指的是:利用虛設或仿冒的網站以超低
價或誘人的免費贈品來引誘消費者上網登錄個人私
密資料或進行採購行為,利用此手法來「釣」到受
害者的個人機密(如信用卡卡號)或金錢的一種電
腦犯罪行為。網路釣魚信件最常被利用的是金融服
務產業,常利用的方式(型態)包括:
– Web型:以仿冒名牌的網站,或幾可亂真超低價
的商品網站,來引誘消費者上網採購。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
當代網路安全的重要趨勢
與主要挑戰(續3)
– DM型:以超低特價折扣的eDM,讓消費者直接
點選信件內的網址並完成交易,詐取錢財或資
料。
–賀卡型:提供免費賀卡內藏Spyware,植入消費
者電腦,而擷取受害者的銀行帳號,或E-mail的
內容等。
網安的犯罪比率快速上升,然而防制力量與法律則明
顯不足
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
表15-4 網路的安全服務
項目、威脅與防護法
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
防火牆與網路安全
防火牆的基本概念
防火牆的技術與架構
防火牆的基本目標
防火牆的主要問題
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
防火牆的基本概念
防火牆,顧名思義就是防止網際網路上的危險延伸到
企業內部網路。防火牆介於網際網路和企業內部網路
相連結之間。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-4 防火牆示意圖
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
防火牆的技術與架構
基本上防火牆可分兩種型態:封包過濾和代理者方式。
封包過濾型
–以封包過濾方式的防火牆,檢查往來的封包,
依據封包的標頭資訊,以及該企業制定的安全
策略。
代理者型
–以代理者方式的防火牆主機,可以是含有兩個
網路介面卡的主機。一個介面連接網際網路;
另一個連接內部網路。兩者並非直接相連,連
結要求必須經過合法檢驗。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
防火牆的基本目標
過濾封包以阻止網路駭客的入侵。
作為所有封包進出的門戶,方便管理者「集中式」的
管理。
過濾系統安全政策所禁止的網路服務。
保護企業內部網路,避免來自網際網路的入侵。
當外部使用者存取高度機密檔案時,先加以記錄並通
知系統管理者。
調節網路交通流量。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
防火牆的主要問題
較難提供全面性的安全
無法提供資料隱密性
無法確認資料來源的認證性
無法保護那些不經過防火牆的網路連結
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
資訊的加密系統與
數位簽章
資訊加密的主要機制
數位簽章與資訊安全
數位信封與SSL
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
資訊加密的主要機制
加密
指的是:將原始文件轉換成亂碼,而唯有使用解密
的金鑰才能讀出原文的程序。
Key
指的是:一長串的文字、符號、數字的組合,用其
來轉換原始的文件使得原始文件變成亂碼。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
資訊加密的主要機制 (續)
對稱式加密法
對稱式加密法,此為傳統的加密法,其特色是買賣
雙方同時持有一個同樣的 Key 來加密和解密,所使
用的Key稱為秘密金鑰。
非對稱式加密法
非對稱式加密法,又稱之為公鑰的基礎設施(PKI)
。此法的特色主要是使用兩把對應配對的Key,即
公鑰與私鑰,互相可加密/解密對方,也就是以
Public Key 加密後可以使用 Private Key 將其解開,
而使用 Private Key 加密後也可以使用 Public Key 將
其解開,兩者是一對的。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-6 非對稱式加密法
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
數位簽章與資訊安全
數位簽章(DS),指的是:利用PKI的機制來保護資料傳
遞的隱密性與不可否認性的一種通訊安全機制。而支
援數位簽章的主要機制,包括下列幾點:
碎映函式:指的是:對於任一長度的訊息,將其映
射成一個固定長度(例如128 Bits)的數值。
數位簽章:傳送者將文件經特別碎映函式運算後產
生一獨特的號碼(128 Bits),稱之為訊息摘要,再利
用傳送方的Private Key對此摘要加密,謂之數位簽
章(DS)。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-7 數位簽章流程圖
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
數位簽章與資訊安全(續)
電子認證中心
所謂電子認證中心(CA),指的是:一個有公信力的
第三者,如財團法人、銀行、信用卡公司等等。要
在EC上交易的個人或企業必須在CA認證身分後,
再核發電子憑證及 Public Key 與 Private Key。CA
最主要的任務是管理買賣雙方的認證問題,包括發
放、儲存及管理註冊者的電子證書、Public Key及
個人資料,使用者要先註冊登記,取得電子憑證,
只准許在有效期間內於EC上交易付款。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
數位簽章與資訊安全
(續1)
安全電子交易協定
安全電子交易協定(SET)是 Visa 與 Master Card 兩大
信用卡組織並結合 IBM、Microsoft、Netscape 等公
司於1996年2月協議發展出在 Internet 上以信用卡付
款方式的安全交易協定,是一個整合利用加密、
Public Key/Private Key、數位簽章、認證中心等機
制,用以保護買賣雙方資料傳遞的隱密性、安全性
與確認性。
SET的執行步驟
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-9 SET的交易結構
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
數位信封與SSL
數位信封
所謂數位信封,簡單的說,指的是:利用速度較快、
較不安全的對稱式加密法的秘密金鑰來對大量的文
章內容加密,之後利用較安全的PKI來對秘密金鑰
加密(由於其數量很小,因此不會妨害速度),而
其主要的利用方法即是所謂的SSL。
SSL
SSL是數位信封的應用,其是目前最被普及利用的
安全機制,主要的安全防護程序如下:
– Server端(例如Amazon)將自己由CA所發給的
電子憑證傳送給Client端(例如消費者的PC)。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
數位信封與SSL(續)
– Client端的Browser(例如IE),其儲存有世界主
要CA的公鑰,可利用此來解開Server的電子憑
證,取得其內部的企業資訊與其公鑰。
– Client端的IE會隨機產生一個對稱式的秘密金鑰,
SSL利用此金鑰對內文加密,再利用Server端的
公鑰對秘密金鑰加密,形成數位信封。
– Client端將密文(信用卡號)與數位信封(亦即
利用企業公鑰加密保護的秘密金鑰),一起傳
送給Server。
– Server端以自己的私鑰解開數位信封內的秘密金
鑰,再以秘密金鑰解開內文(亦即信用卡資料)。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
組織整體的資訊安全策略
與活動
嚇阻理論與組織資訊安全活動
嚇阻活動
預防活動
偵測活動
回復活動
四個資訊安全活動之整合
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
嚇阻理論與組織
資訊安全活動
基於嚇阻理論,學者們提出四種不同、有次序的安全
活動,可以降低資訊系統的風險。這四個安全活動分
別為:嚇阻、預防、偵測與回復。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-10 資訊安全的
四大活動與目的
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
嚇阻活動
嚇阻活動主要的目的在於提高制裁的確定性與制裁的
嚴厲性以抑制可能的入侵者,其主要的機制與防制的
目的如圖15-11。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-11 嚇阻活動的主要
機制與目的
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
預防活動
預防活動主要是一種事先主動式的安全控管措施,包
含「落實資訊安全政策」,並且「避免」非授權者入
侵或故意濫用組織資訊系統的資產。預防活動的主要
機制與目的,如圖15-12。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-12 預防活動的主要
機制與目的
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
偵測活動
偵測活動的主要目的是蒐集入侵紀錄並且辨識可能的
犯罪者。偵測活動可以包含兩種:
預應式的安全回應:預應式的安全回應就是在問題
發生之初及早發掘潛在問題(風險),例如入侵偵
測報告表、系統稽核、病毒掃描報告等。
反應式安全回應:反應式安全回應就是事後對安全
入侵的紀錄進行偵查。
偵測活動的主要機制與目的,如圖15-13。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-13 偵測活動的主要
機制與目的
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
回復活動
有效的安全流程除了嚇阻、預防、偵測外,還需要利
用回復活動將入侵行動所造成的災害降低,使企業能
在最短時間內回復運作,並且對犯罪者進行懲處。回
復活動的主要機制與目的。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-14 回復活動的主要
機制與目的
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-15 四個資訊安全
活動的流程
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
國際資訊安全管理標準:
BS7799
BS7799的制定與基本架構
BS7799與組織的資訊安全
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
BS7799的制定與基本架構
所謂標準就是經由大多數國家或團體認定,以為各項
活動有關的規則、指導綱要或特性所建立之文件。
目前國際間最知名與最普遍被採用的資訊安全規範就
是BS7799標準,它提供企業一個良好的資訊安全規範,
及有效的資訊安全系統管理方法。BS7799包含了所有
企業安全政策,包括安全政策的擬定、風險評估、防
毒策略等。並藉由審查機制、事件回饋及內部稽核來
預防資訊安全事件,並降低損失的風險。其主要包括
下列兩大部分:Part I和Part II。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
BS7799的制定與基本架構
(續)
ISO/IEC 17799: 2000 (BS7799 Part I)
–是一個目前最佳的資訊安全執行指導要點,全
名是資訊安全管理的實務準則。它廣泛地涵蓋
了所有的安全議題,包括10大管理要項、36個
執行目標、127個控制要項,是一個非常詳盡的
產業最佳資訊安全準則。
BS7799 Part II
–是一個稽核的認證架構,其全名是資訊安全管
理系統規範,內含資訊安全管理系統的詳細說
明書詳述IT安全應用與稽核所應遵循的架構,
作為企業資訊安全管理系統評估的基準,是一
個正式驗證的標準。
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
圖15-16 BS7799 Part I的
主要控管架構
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
表15-5 BS7799的10個控管
要項內容
智勝文化事業有限公司製作
資訊管理 e化企業的核心競爭能力(再版) 林東清 著
表15-5 BS7799的10個控管
要項內容(續)
