资讯安全导论课件

1、第六章 系統安全技術與規範本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。1第六章 系統安全技術與規範本章介紹系統安全技術與規範，系統安全包含層面很廣，包含：管理層面、技術層面與實體層面。本章內容從電腦基礎架構與作業系統之基本概念介紹起，然後說明惡

2、意程式的觀念與相關技術，以及存取控制等電腦安全知識，最後介紹可信賴電腦相關的技術與發展概況，使讀者對於系統安全技術與其規範有明確的概念。系統安全簡介電腦系統簡介作業系統簡介惡意程式存取控制可信賴電腦系統26.1.系統安全簡介系統安全所包含的層面非常廣泛，依照系統安全的原則，可以從管理層面、技術層面與實體層面去探討，需要統合各個層面以達到整體安全的目標。本章內容著重於系統安全技術與規範之介紹。 從管理層面來說，需要達到系統安全的管理目標，從安全政策、安全標準、安全程序與安全手冊等等都要俱全並遵守規範，且能落實在日常的管理工作中。此外，更包含：人員教育訓練，到職離職程序管理，甚至需要具備風險管理機

3、制，以及災難復原計畫、持續營運計畫等。36.1.系統安全簡介從技術層面而言，對於電腦安全防護相關技術之實施導入，包含內部電腦架構到外部網路設施都是安全技術涵蓋的範圍。安全技術討論的議題，例如：作業系統安全、資料加解密、身分識別技術、存取控制、電腦病毒防範、軟體安全、版權保護技術等。此外，網路安全架構、防火牆、入侵偵測等技術，也是屬於安全技術研究範疇。從實體層面來看，從建築物的安全、輔助設施的安全、警衛系統、識別標章、機房的安全、防火設施、電力系統、空調溫度設施等，這部分內容將於實體安全一章介紹。 46.2.電腦系統簡介電腦這個名詞通用的名稱，其學名是計算機 (Computer)，是由繼電器計算

4、機改良而成。世界上第一部電腦在 1946 年誕生，稱為 ENIAC (Electronic Numerical Integrator And Calculator)，約需要30個普通房間大小的空間才能容納，其重達 30 公噸，速度是繼電器計算機的 1000倍、人工計算速度的 20 萬倍。電腦經過多次革命性發展之後，已不再是專用型且龐然大物的機器，電腦已經成為日常生活配備與必需品，它已具備廣泛且多樣性的功能，而且無所不在，例如： PDA手機、電腦遊戲、多功能筆記型電腦與個人電腦、與工作站、伺服器等各種型態。56.2.電腦系統簡介電腦系統架構構，可用抽象的層次觀念來看待，例如：硬體、驅動程式、作業

5、系統、與應用軟體等四個層次，如圖6-1。硬體層為電腦實體的設備，驅動程式層是連結硬體與軟體的介面，低階的軟體可以透過驅動程式與硬體結合，作業系統層為管理電腦操作程序與各項資源的系統軟體，應用軟體層可透過作業系統的輔助，以執行各種應用所需求的指令步驟。 圖 6-1 電腦系統架構的四個層次66.2.電腦系統簡介硬體為電腦系統的實體設備， 如圖6-2 電腦硬體基本架構，包含中央處理器 (Central Processing Unit； CPU )、記憶體、磁碟控制器、鍵盤控制器、與螢幕控制器。電腦系統靠著匯流排 (Bus) 傳遞資料與訊號，中央處理器為執行電腦計算的核心，記憶體儲存電腦程式指令與資料

6、，以便需要時送至CPU去作運算。電腦系統依靠控制器來處理輸出輸入資料與命令，磁碟控制器控制磁碟機資料與程式之讀取與寫入。使用者利用鍵盤對電腦系統下達指令或輸入資料，螢幕可以顯示電腦運作所的結果內部之狀況。 76.3.作業系統簡介作業系統是管理電腦系統軟硬體資源的系統程式，也是電腦組成的核心。作業系統具有多樣性，不同的機器可以配合應用的需要而安裝不同的作業系統，從簡單的手機作業系統到超大型電腦主機之作業系統。86.3.1. 作業系統功能 電腦系統需要處理極為複雜的工作排程以及大量的資料，因此它需要專責的管理系統來承擔此任務，此專責處理的系統軟體就是作業系統 ( Operation System；

7、 OS )，其主要負責的管理工作如下： (1)行程管理電腦中有很多程式同時需要執行，每個程式在執行運作時需要資源配合，但電腦的CPU資源有限，無法讓所有程式同時執行，所以需要排定行程，作行程管理。程式是用電腦語言寫成的工作程序，例如：計算員工薪水的程式或是資料壓縮的程式等等。基本上，作業系統將程序分為幾種狀態，如：執行狀態，預備狀態，睡眠狀態。有些程序處在執行狀態，有些程序在預備狀態，有些則在睡眠狀態，視作業系統忙碌情況作調整，以便充分利用中央處理單元之資源。 96.3.1. 作業系統功能(2)記憶體管理電腦系統執行程式時，先將尚未輪到要被執行的程序放置在記憶體中，配合行程管理之分派，讓許多程

8、序分別使用CPU的資源。程序在執行狀態時，需要取得較多記憶體空間，以便儲存各種變數與狀態參數；執行完後則需要釋放記憶體空間。(3)輸出輸入管理電腦系統對於外部週邊設備，如：鍵盤、螢幕、磁碟機等，的管理稱為輸出輸入管理。為了提升作業系統執行的效率，當輸出輸入設備需要時，會送出請求訊號。此時，中斷控制器會產生中斷，以通知CPU中斷正在執行的工作，來處理輸出輸入訊號，處理完成後，立即又回去繼續執行剛才被中斷的工作。106.3.1. 作業系統功能(4)檔案系統管理檔案系統管理是管理掛載在作業系統的繁雜的程式與眾多的資料，資料與程式通常存放在磁碟機的儲存媒體。檔案系統管理是以階層式的管理架構，如圖6-3

9、目錄與檔案階層式架構。磁碟機下可存放目錄與檔案，目錄是檔案的索引，檔案則為實際的資料或程式，目錄之下可以存放子目錄或檔案，構成階層式的樹狀架構。圖6-3 目錄與檔案階層式架構116.3.2.常用的作業系統與分類作業系統是管理與分配所有電腦資源的核心，不同的應用平台採用不同的作業系統。現行常用的作業系統有 Unix、DOS、Symbian、與 Windows等，如圖6-4常見的作業系統與其分類。Unix 類的作業系統效率高，架構精簡，市面上發展之作業系統有 BSD、 Solaris 、 Linux、與 MAC OS。BSD 作業系統用於伺服器較多，通常使用於較專業性業務。Solaris 作業系統

10、是 SUN 公司發展出的一種變形的 Unix 作業系統，使用於 SUN 公司出產之伺服器。Linux 作業系統是 1991年由芬蘭的Linus Torvalds 發展出核心部分，放在網路上供下載使用，後續有很多業餘人士加入研發，成為 Linux 作業系統。Linux 作業系統安裝於多樣性平台，簡易型的電腦系統，許多都是安裝 Linux 作業系統，已成為很受歡迎的作業系統之一。MAC OS 作業系統為 Apple 公司發展出的作業系統，使用於 Apple 公司出產之電腦平台。126.3.2.常用的作業系統與分類DOS 為微軟公司早期發展之作業系統，目前幾乎已經在市場上絕跡。 Symbian 作業

11、系統是由 Nokia、Motorola 與 Siemens 等手機廠合作投資成立 的Symbian 公司，所開發使用於手機等嵌入式平台的作業系統。Symbian 具有良好的娛樂、商務、通訊等功能，是目前手機使用最多的作業系統。圖6-4 常見的作業系統與其分類136.4.惡意程式 網際網路的應用越來越普遍，已經成為生活的一部分，但大部分使用者對電腦系統的安全防護不足，常造成電腦中毒，或被植入後門程式作為攻擊電腦的跳板，甚至被入侵竊取電腦資料，這些都是惡意程式 ( Malware )的危害。惡意程式包含電腦病毒、電腦蠕蟲、後門程式、木馬程式、間諜軟體、釣魚網頁等，是能侵害電腦正常操作的程式。 圖6

12、-5常見的惡意程式146.4.惡意程式電腦病毒 ( Virus )電腦病毒包含有：檔案型病毒、開機型病毒、混合型病毒、 WORD巨集病毒和視窗型病毒，是會將本身複製到其他乾淨的檔案或開機區的惡意程式。使用者在不自覺的情形下執行受感染的程式或開啟檔案，它會不斷的傳染下去，並潛伏在電腦和檔案內，等它發作時會破壞電腦系統或資源。文件巨集病毒是藉由應用軟體，如Word，Excel中的巨集指令來傳染的病毒，只要在應用軟體可以執行的環境，此類病毒就可以發作並感染。156.4.惡意程式電腦蠕蟲 ( Worm )電腦蠕蟲有時也被歸類為電腦病毒的一種，稱為蠕蟲病毒。電腦蠕蟲不會感染其他檔案，它是一支可執行的程式

13、，但蠕蟲程式會複製很多分身，然後像蠕蟲般在網路中爬行，從一台電腦爬到另一台電腦，最後癱瘓整個網路系統。2001 年 7 月中旬以後，網路上曾經出現 Code Red 蠕蟲病毒，癱瘓數十萬部電腦，造成重大損害。Code Red 蠕蟲病毒利用 IIS Web Server 的漏洞，感染後再複製分身，透過網路傳染其它電腦，疫情蔓延一發不可收拾，造成網路頻寬壅塞、伺服器當機、耗盡路由器的記憶體，使得低階路由器效能被拖垮甚至當機。166.4.惡意程式後門程式 ( Back door )後門程式不像電腦病毒會感染其它檔案，通常會利用特殊管道進入並隱藏在使用者的電腦系統中，然後進行其惡意的行為 (如格式化磁

14、碟、刪除檔案、竊取機密等) 或作為其它電腦攻擊的跳板。間諜程式/廣告軟體 ( Spyware / Adware )間諜程式在目前並沒有一個比較明確定義，但顧名思義，間諜程式也是利用各種管道自動安裝在受害者的電腦中，它不會明顯的危害或破壞電腦軟硬體資源，然而它主要目的是竊取電腦內的重要或機密資料，對於資訊安全造成嚴重威脅。有些惡意程式潛伏在電腦內，當使用用者上網時，就彈跳出一些廣告視窗或將使用者導引轉至某些廣告網頁，都是屬於廣告軟體。176.4.惡意程式釣魚網頁 ( Phishing site)釣魚網頁或網路釣魚是屬於網路詐騙行為的一種，它並不需要使用複雜的駭客技術，只要利用電子郵件寄發垃圾郵件

15、，然後詐騙你連結到一些偽造的網站，竊取受害者的帳號和密碼。 186.5.存取控制存取控制 (Access Control) 是作業系統管理系統資源的機制，是每一個主體 ( Subject )依其權限 (Permission ) 以存取各項客體 ( Object )資源的控管方法。主體通常是使用者，也可以是執行中的程式；客體則是各種電腦資源，如：檔案、資料庫等。存取控制機制能夠確保合法的主體只在授權的範圍內以存取個體，並能禁止不合法的主體對客體進行超越其權限的存取。參考圖6-10 存取控制示意圖。存取控制技術可用管理權限設定，包含：存取控制矩陣 (Access Control Matrix)、主

16、體導向存取控制串列(Subject-oriented Access Control List)與角色基存取控制 (Role-based Access Control)等，各種實現存取控制的方式。圖6-10 存取控制示意圖196.5.存取控制存取控制 ( Access Control ) 是電腦系統安全之基本功能之一，電腦系統存取控制的目標如下：資訊之存取控制。避免資訊系統遭受未授權之存取。保護網路服務。避免電腦資源遭受未授權之存取。偵測未授權的行為。確保行動設備與電腦網路設施之安全。206.5.存取控制在電腦系統的存取控制，可分為兩類，任意型存取控制 ( Discretionary Acces

17、s Control ； DAC )與強制型存取控制 ( Mandatory Access Control ； MAC ) (參考圖 6-11存取控制系統分類)。任意型的存取控制系統，使用者可以任意指定資料被存取的權限，使用於安全性較低之系統。而強制型存取控制系統，資料依其安全等級有不同的存取權限，存取權限由系統指定，使用者不可以任意指定。圖6-11 存取控制系統分類216.5.存取控制主體對客體的存取權限控管，在存取控制技術上有三種方法(1) 存取控制清單 ( Access Control List ； ACL )(2) 主體功能存取控制 ( Subject Capability )(3) 角

18、色基存取控制 ( Role-based Access Control ； RBAC )。226.5.存取控制ACL是常用的存取控制方法之一(如圖6-12)，每項客體都存有一份清單，主體與權限記錄在清單上，當主體要存取客體資源時，客體查核清單上的主體與權限，作為控管機制。如 Alice 和 Bob 擁有資料庫之存取權限，在資料庫維護存取控管清單上，Alice 僅有讀取權限，Bob 則擁有讀取、寫入、修改與刪除權限。圖 6-12 ACL 存取控制方法236.5.存取控制主體功能存取控制，是在主體上維護一個表格，以控管其可以存取的客體與權限，如 Alice 可以讀取資料庫之資料，也可以讀取、寫入、修

19、改與刪除檔案系統，參考圖6-14。圖6-14 主體功能存取控制246.5.存取控制在實際應用上，使用 ACL 方法在管理上較為不易，例如：某公司有多位業務人員，假若他們使用系統的權限都是一樣的。如果使用ACL 的方法，則需要每一個人都設定權限，操作複雜，又有安全疑慮。反之，若將職務看作一個角色 (Role) ，依角色分派權限，再將人員指定其角色，此方法稱為角色基存取控制 ( RBAC )。一般的公司組織，角色具有階層的屬性，較上層角色者擁有自己較高的權限，也自動擁有其下層者的權限。如 Alice 指定角色是經理，Bob 和 Carl 指定角色是業務，則Alice 擁有檔案系統與資料庫的各項權限

20、，然而Bob和 Carl 僅擁有讀取權限，如圖 6-15 RBAC 存取控制方法。256.5.存取控制圖 6-15 RBAC 存取控制方法266.6.可信賴電腦系統電腦系統的功能越來越強大，它能處理大量的資料，然而其中包含許多敏感性或機密性的資料，如國防機密、商業機密、或個人信用卡等重要資料。所以電腦系統必須提供安全可信賴的資訊處理環境，是極為重要且迫切的需求。在 1972 年Anderson針對電腦系統的安全功能設計，提出了一個較具體的電腦安全設計規範。1983 年美國國防部國家電腦安全中心為因應軍事電腦保密的需要，對可信賴電腦基礎 (Trusted Computing Base； TCB)

21、 做了較為明確的定義並提出 可信賴電腦系統評估準則 (Trusted Computing System Evaluation Criteria；TCSEC)。 276.6.可信賴電腦系統於1991 年，英、法、德、荷等歐洲較先進國家，也提出了資訊技術安全評估準則 (Information Technology Security Evaluation Criteria； ITSEC)，其中並提出資訊安全三原則：機密性 (Confidentiality)、完整性 (Integrity)、與可用性 (Availability)等性質。其後，美國與歐洲又接著提出資訊技術安全評估準則 ( Common

22、Ceria for Information Technology Security Evaluation ； CCITSE ) 的標準。1999 年由Intel、IBM、HP、Compaq 及Microsoft 發起一個可信賴計算平台聯盟 (Trusted Computing Platform Alliance ； TCPA )，隨後於 2002年更名為可信賴電腦組織 ( Trusted Computing Group； TCG）。286.6.1 TCSEC安全評估準則美國國防部於 1983 年制定的 可信賴電腦系統安全評估準則 (Trusted Computer System Evaluat

23、ion Criteria ； TCSEC )，就是俗稱的 橘皮書 。橘皮書根據電腦系統採用的安全功能，將系統分為四大類七個安全等級，分別是 D、 C1 、 C2 、 B1 、B2 、 B3 與 A1 七個等級，如表 6-1。TCSEC 安全評估準則著重於作業系統的安全性，並非強調系統之整體性。類別評估標準等級評估準則概要A需經認可之保護措施A1經許可的系統安全設計，如 Boeing Aerospace SNS 系統B強制性系統保護措施B3獨立系統安全模組B2結構化系統保護設計，如 Trusted XENIX 系統B1強制進入管制與資料安全標示，如 Solaris 8 作業系統C使用者決定系統保

24、護措施C2系統管理者可對使用者實施稽核C1使用者決定資料保護措施 D無保護措施D資料無安全保護措施，如 DOS 作業系統表 6-1 TCSEC 安全標準等級296.6.2 CC安全評估準則 共同準則 (Common Criteria；CC) 安全評估，內容涵蓋了加拿大的加拿大可信賴電腦產品評估準則( CTCPEC )、歐洲的資訊技術安全評估準則(ITSEC)、以及美國的可信電腦系統評估準則(TCSEC) 和 聯邦資訊技術安全準則(FC)，如圖6-16。 圖6-16 CC 共同準則的發展歷程306.6.2 CC安全評估準則CC共同準則安全評估是國際公認的電腦系統安全認證，為全球政府與其它組織公認

25、獨立的第三方軟體與硬體產品安全性驗證標準。這種獨立的第三方安全性認證是在國際相互承認協議（Common Criteria Recognition Arrangement ；CCRA）的基礎原則下，各國承認對於通過Common Criteria 驗證產品的安全性。共同準則認證也能確保產品符合安全評量標準。316.6.2 CC安全評估準則CC 共同準則安全評估規範包含三大部分：介及一般模式 ( Introduction & General Model )敘述資訊技術共同準則，提出整體概念與其各部份的關連性，最主要是定義及描述此共同準則的安全目標、適用對象及其發展，減少其在執行或後續發展上出現一些模

26、糊點功能需求 ( Functional Requirements )功能需求是描述評估目標的安全性質，這些性質可以由使用者透過與評估目標的直接交談或是觀察評估目標加以偵測。安全保證需求 ( Assurance Requirements )介紹安全保證需求、保護分析表、以及安全目標評估標準，定義了七個保證等級，其為功能測試、結構測試、方法測試及檢驗、方法設計測試及審查、半正式的設計及測試、半正式的檢驗設計及測試、正式的檢驗設計及測試。326.6.3.可信賴電腦系統發展電腦系統從硬體、驅動程式、作業系統與應用軟體，以往探討電腦安全，是聚焦在攻擊與防衛的問題上，但如何設計電腦系統使成為可信賴的電腦系

27、統已經成為迫切的需求。可信賴電腦系統的範圍比電腦安全的範圍更廣泛，電腦安全所探討的只是可信賴電腦系統之一部份，如圖6-17可信賴電腦系統的範圍。圖6-17 可信賴電腦系統的範圍336.6.3.可信賴電腦系統發展可信賴電腦系統的發展趨勢有以下幾點：提升電腦網路環境的安全性，以確保網路資料之安全。建構一個誠信的電腦系統環境，以及可信賴的電腦處理環境。具對抗惡意程式的能力，如對後門程式、木馬程式、病毒程式均有防禦能力。鑑別使用者或網路連線者之身分。合理舉證、監控與管理意外事件或異常問題。 346.6.3.可信賴電腦系統發展可信賴電腦系統在資訊安全三原則的基礎上，須具備以下的屬性：機密性 (Confidentiality)：系統能確保使用者資的私密性，會被未經授權者存取。驗證性 (Authentication)：電腦系統的使用者可以驗證透過網線的對方之真實身份。完整性 (Integrity)：使用者確保資訊能被正確傳輸與儲存，內容會被當的增加、刪除或改。TCPA聯盟所制定的TCPA 主規範 (TCPA Main Specification) ，定義個可信賴平台模組 (Trusted Platform Module； TPM)的硬體安全架構標準。 356.6.3.可信賴電腦系統發展