PJCHENder 未整理筆記

[IS] 網路資訊安全

2018-07-02

[IS] 網路資訊安全

@(網路管理與資訊安全)[IS]

資安三要素:機密性、完整性、可用性

資訊安全三大要素主要包含:

  • 機密性(Confidentiality):只有擁有權限的使用者才能存取資料。
  • 完整性(Integrity):維護資訊原有內容,而不會被竄改。
  • 可用性(Availability):需要時容易隨時取用。

資訊安全亦簡稱為 CIA,就是取三大要素的字首。

加密與電子證書

  • 對稱加密:你知道如何加密,也知道如何解密。缺點是需要事前雙方先私下約定好。
  • 非對稱加密:相對於對稱來說,就是你即使知道怎麼加密的的方式,也不知道怎麼解密。也就是常用的公開金鑰加密。
    • 服務端將公鑰(密碼箱)發送給客戶端
    • 客戶端使用公鑰加密信息(鎖箱子)
    • 服務端接受消息後使用私鑰(僅服務端知道的密碼)解密

然而即使透過非對稱加密,有時候無法確保公鑰(密碼箱)的確是來自服務端的。於是我們需要被大家信任的人來給他們的密碼箱簽名從而確保身份的安全,也就是所謂的電子憑證:

  • 耶穌就是 Certification Authority,認證機構,被世人所信仰;
  • 服務器把自己的公鑰登錄到 CA,CA 會用自己的私鑰(秘術)給服務器的公鑰加密生成簽名(個性說明)並頒發證書(保護膜),證書中包含對公鑰做的的簽名和服務端的公鑰;
  • 客戶端拿到消息體後,會用瀏覽器內置的 CA 的公鑰(聖經,人人都有)對用私鑰做的簽名進行驗證,如果驗證通過表示安全,否則表示不安全。

由於非對稱加密會影響傳輸速度,因為封包變大了,所以通常綜合性能和安全性考慮,會用對稱加密封包非對稱加密用來加密「對稱加密的密鑰」

​ :star: 關於加密與電子證書推薦閱讀:HTTPS 的故事 @ 知乎

防範惡意程式

若要防範惡意程式的侵犯,通常可以使用防毒軟體、防火牆、更嚴謹的話可以搭配 **IDS(Intrusion Detection System,侵入檢測系統)**和 IPS(Intrusion Prevention System,入侵防禦系統),IDS 在偵測到異常行為時,會以電子郵件通報系統管理者;IPS 除了通報系統管理者外,亦會立即中斷異常連線。

偵測異常行為的方式主要包含以特徵偵測(Signature-based Detection)異常型法偵測(Anomaly-based Detection),前者類似以登錄過、建檔過的病毒碼進行比對,後者則是常用捷思法偵測(heuristic detection),偵測程式運行中有無可疑行為來判斷。

防火牆和 IDS / IPS 不同之處在於,防火牆主要是根據 IP 位址和連接埠號從網路層(L3)和傳輸層(L4)著手;而 IDS / IPS 則更進一步含括到應用層(L5)。

除了防火牆和 IDS / IPS 外,對於小型網路也可以選擇 UTM(Unified Threat Management,集中式威脅管理),它集結了防火牆、防毒、內容過濾、IPS 等功能。UTM 的成本較低廉,且容易管理,但可能導致網路效能較差。

社交工程(Social Engineering)

社交工程(social engineering)指的是不透過電腦或網路等科技的漏洞,而是利用人與人之間的溝通與交談,達到竊取機密資訊的目的,例如,假的 LINE 貼圖下載活動以騙取個資、透過電話騙對方說自己是系統管理人員,以騙取帳號密碼、從提款機背後偷窺側錄使用者輸入密碼、從垃圾桶尋找機密文件等,都算在社交工程的防範範圍內。

Tags: IS

掃描二維條碼,分享此文章