網(wǎng)路安全簡介上

網(wǎng)路安全簡介(上)校園網(wǎng)路策進會例行課程主講人：系統(tǒng)部莊明躍※本文件僅為教學(xué)宣導(dǎo)使用,文件中提及之商標或軟體,則為該公司所有,若需其相關(guān)資訊,請逕洽詢該公司.※CopyLeft(L)2002AllRightReleased！9/9/20221大綱便利vs安全個人電腦的安全網(wǎng)路安全基本概念相關(guān)法律結(jié)論下集預(yù)告9/9/20222便利vs安全最方便的電腦不用動腦的電腦備齊各種工具隨點隨執(zhí)行最安全的電腦動腦也覺得難用的電腦工具DIY不曉得從那邊點起方便與安全是永遠相對且講不完的9/9/20223個人電腦的安全惡意程式搗蛋、破壞、竊取、偷窺…惡意程式的種類惡意程式的來源惡意程式的產(chǎn)生惡意程式的影響惡意程式的路俓惡意程式的防止9/9/20224惡意程式的種類Ⅰ搗蛋、破壞型電腦病毒(Virus,具感染/繁殖)程式無法使用，檔案遭刪除，硬碟遭格式化網(wǎng)路蠕蟲(Worm,具感染/繁殖傳染)消耗甚至癱瘓主機及網(wǎng)路設(shè)備的運作思坎(Sircam):E-mail病毒紅色警戒(CodeRed)→娜妲(Nimda):利用MicrosoftIIS1988,9/2,InternetWorm:利用fingerd網(wǎng)路細菌Bacteria、兔子Rabbit大量繁殖→阻斷服務(wù)(DoS/DDoS)攻擊攻擊程式郵件炸彈(MailBomb)，耗盡使用者信箱空間，癱瘓伺服器9/9/20225惡意程式的種類Ⅱ竊取、偷窺型後門程式：Back/TrapDoor–跳過授權(quán)程序木馬程式：TrojanHorse–偽裝精良的陷井程式監(jiān)聽掃瞄：TrafficDump,Scanner直搗黃龍型利用程式的錯誤(Bug)，直接獲取進階權(quán)限攻擊跳板網(wǎng)路編織法攻擊NetworkWeaving連接延申攻擊ConnectionLaundering野心大膽子小祕密通道程式：用隱密的程式，讓自己也可以藏龍！怎麼會這樣型作者自己也控制不了，一下子就爆發(fā)成大災(zāi)難的9/9/20226惡意程式的來源系統(tǒng)管理者(S.A)的需求駭客(Hacker)的實驗証明鬼客(Cracker)的善用工具資訊恐怖份子Info-Terrorist網(wǎng)際間碟Cyber-Spy軟體公司程式工程師最普通的最莫名其妙的天才叫做一般人！9/9/20227惡意程式的產(chǎn)生與影響Ⅰ限制功能、特殊功能：保護智財權(quán)發(fā)掘、驗証漏洞：考慮不週詳、意外、非故意產(chǎn)生的程式錯誤(Bug)惡作劇、為破壞而作：故意寫的破壞程式刪除資料、檔案、硬碟格式消耗電腦資源：CPU運算、記憶體空間、硬碟空間癱瘓網(wǎng)路服務(wù)：阻斷服務(wù)DenialofService(DoS)為了竊取、偷窺：個人隱私、商業(yè)機密9/9/20228惡意程式的產(chǎn)生與影響Ⅱ入侵、未授權(quán)使用：侵權(quán)、擴權(quán)偽造資料，竊取資料：財務(wù)記錄、社會記錄、成績偷取電腦資源：CPU運算、硬碟空間等為名、利而作：入侵WWW伺服器，刪改網(wǎng)頁資料盜用電腦主機帳號從事犯罪行為盜刷信用卡銀行存款紀錄遭入侵盜領(lǐng)，商譽受損，客戶出走。9/9/20229惡意程式的路俓怎麼進來的？怎麼發(fā)生的？主動抓取或藉由漏洞入侵？磁片、硬碟、光碟等從親友同學(xué)處來的、大補帖、甚至原版產(chǎn)品網(wǎng)路FTP：植入應(yīng)用程式中的電腦病毒或特洛伊木馬(TrojanHorse)E-mail:小遊戲,夾檔中的巨集病毒W(wǎng)WW網(wǎng)頁:網(wǎng)頁中的病毒(VBScript,JavaScript,JavaApplet,...)其他莫名其妙的因素獲得進階權(quán)限來路不明的應(yīng)用程式直搗黃龍程式9/9/202210惡意程式的防止Ⅰ調(diào)整系統(tǒng)以及知名軟體到較安全的模式MicrosoftInternetExplorer(IE)MicrosoftOutlookExpressMicrosoftWork,Excel,PowerPoint阻斷惡意程式的進入管道不執(zhí)行來路不明的軟體套用較安全的模式來使用應(yīng)用軟體安裝應(yīng)用軟體修補程式(patch)注意電腦病毒的防治新聞裝設(shè)個人電腦防火牆或網(wǎng)路防火牆執(zhí)行前先掃毒9/9/202211惡意程式的防止Ⅱ不要怕找人咨詢臺灣電腦網(wǎng)路危機處理中心–國科會科資中心–專業(yè)公司(如松鈺國際–等)注意安全公告(有最好的嗎？)微軟安全佈告欄MicrosoftSecurityBulletin-趨勢科技病毒情報中心-http://網(wǎng)路安全相關(guān)公告如SecurityFocus的Bugtraq等9/9/202212網(wǎng)路安全基本概念絕對的安全vs絕對的方便即使做好惡意程式的防止，仍需擔(dān)心不要輕易洩漏出自己的祕密資料(如密碼)隨時提高自己祕密資料的複雜性(換密碼)時時更新系統(tǒng)與軟體使用保密軟體避免遭竊聽關(guān)閉不需要用的功能9/9/202213相關(guān)法律Ⅰ 因應(yīng)電腦及高科技犯罪，我國刑法曾於八十六年十月八日修正公布第二百二十條、第三百十五條、第三百二十三條、第三百五十二條等條文；並增訂第三百十八條之一、第三百十八條之二、第三百三十九條之一至第三百三十九條之三等條文。惟因電腦科技快速發(fā)展，特別是近年來網(wǎng)際網(wǎng)路高度普及後，新興電腦犯罪案例層出不窮，世界先進國家如美國與歐盟，亦均重新檢討修訂電腦犯罪相關(guān)法規(guī)，故刑法實有針對新興電腦犯罪類型重新檢討修正之必要。爰參考美國與歐盟之立法例，修正現(xiàn)行刑法中有關(guān)電磁紀錄、詐欺及毀損文書之規(guī)定，並增訂妨害電腦使用罪章。9/9/202214相關(guān)法律Ⅱ修正刪除電磁紀錄擬制為動產(chǎn)之規(guī)定。（修正條文第三百二十三條）修正提高不正利用自動付款設(shè)備罪之刑度。（修正條文第三百三十九條之二）修正刪除干擾電磁紀錄規(guī)定。（修正條文第三百五十二條）增訂妨害電腦使用罪章。增訂無故入侵電腦罪。（修正條文第三百五十八條）增訂保護電磁紀錄之規(guī)定。（修正條文第三百五十九條）9/9/202215相關(guān)法律Ⅲ增訂干擾電腦系統(tǒng)及相關(guān)設(shè)備罪。（修正條文第三百六十條）增訂對於公務(wù)機關(guān)之電腦或其相關(guān)設(shè)備犯罪之加重處罰。（修正條文第三百六十一條）增訂製作專供電腦犯罪用之程式罪。（修正條文第三百六十二條）增訂第三十六章部分條文告訴乃論之規(guī)定。（修正條文第三百六十三條）9/9/202216結(jié)論便利與安全是trade-off個人電腦的基本安全在於惡意程式的防止惡意程式有時候是不是故意的，但卻無法控制降低自己被入侵的機會～網(wǎng)路安全基本概念不被侵入亦不入侵可免於法律刑