資訊安全概念 - 資通安全研發中心- 國立成功大學

資 訊 安 全 概 念
主 講 人 : 賴 溪 松 教 授
國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任
國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授
TEL:(06)2757575 ext 61001/61020
E-mail:laihcs@eembox.ncku.edu.tw
http://crypto.ee.ncku.edu.tw/
FAX:(06)274-3533
1

大 綱
• 成 大 資 通 安 全 研 發 中 心 簡 介
• 資 訊 安 全 簡 介
• 資 訊 安 全 服 務
• 資 訊 安 全 等 級
• 結 論
2
Cryptology & Network Security Lab.

簡 介
• 本 中 心 成 立 民 國 九 十 三 年 五 月 , 主 要 致 力 於
研 究 PKI、 資 通 安 全 、 技 術 系 統 的 開 發 及 實
務 應 用 , 以 及 網 路 安 全 測 試 平 台 之 建 置 與 使
用 推 廣 , 藉 以 提 升 我 國 的 資 訊 安 全 領 域 的 研
究 能 量 。
3
Cryptology & Network Security Lab.

宗 旨 與 業 務
• 從 事 資 通 訊 安 全 之 研 究 。
• 推 廣 資 通 訊 安 全 之 應 用 與 發 展 。
• 公 、 民 營 機 構 相 關 資 通 訊 安 全 之 委 託 研 究 。
• 國 內 外 資 通 訊 安 全 研 究 之 交 流 與 合 作 。
• 資 通 訊 安 全 之 人 才 培 訓 、 培 育 及 技 術 推 廣 。
• 其 他 與 資 通 訊 安 全 相 關 之 工 作 。
4
Cryptology & Network Security Lab.

成 大 資 通 安 全 研 發 中 心 -
組 織 架 構 圖
成 大 資 通 安 全 研 發 中 心
網
路
安
全
組
系
統
安
全
組
Cryptology & Network Security Lab.
5
訓
練
推
廣
組
行
政
組

現 有 研 究 人 力
姓 名 現 職 研 究 專 長
賴 溪 松 成 功 大 學 電 機 系 教 授 兼 計 網 中 心 主 任 PKI、 密 碼 學 、 資 訊 安 全 、 改 錯 碼 、 通 訊 系 統
鄭 博 仁
高 苑 技 術 學 院 資 訊 管 理 系 教 授
無 線 電 通 訊 安 全 、 智 慧 卡 和 資 訊 安 全 應 用 、 密 碼 分 析 、
資 通 安 全 產 品 認 證 與 驗 證
李 忠 憲 成 功 大 學 電 機 系 副 教 授 高 速 網 路 、 通 訊 網 路 、 資 訊 工 程 、 通 訊 工 程 、 網 路 安 全
古 東 明 雲 林 科 技 大 學 資 訊 管 理 系 副 教 授 兼 電 算 中 心 主 任 資 訊 安 全 、 資 料 結 溝 與 演 算 法 、 資 料 庫
鄭 進 興 樹 德 科 技 大 學 資 訊 管 理 系 副 教 授 兼 電 算 中 心 主 任 網 路 安 全 、 電 子 交 易 安 全
郭 文 光 成 功 大 學 電 機 系 助 理 教 授 無 線 通 訊 、 寬 頻 網 路 、 網 路 安 全
郭 文 中 虎 尾 科 技 大 學 資 工 系 助 理 教 授 無 線 網 路 、 資 訊 安 全 、 網 路 安 全 、 電 子 商 務
鄭 伯 炤 中 正 大 學 通 訊 工 程 系 助 理 教 授 網 路 安 全 、 網 路 處 理 器
曾 龍 興 國 管 理 學 院 資 科 系 助 理 教 授 資 料 探 勘 、 資 訊 安 全 、 量 子 密 碼
戴 瑋 伶 專 任 助 理 行 政 、 會 計
郭 建 邦 專 任 助 理 系 統 安 全
林 雅 琪 專 任 助 理 系 統 安 全
葉 昱 翔 專 任 助 理 網 路 安 全
李 崇 誠 專 任 助 理 6 網 路 安 全
Cryptology & Network Security Lab.

目 標
• 研 發 網 路 安 全 機 制 及 安 全 認 、 驗 證 技 術 。( 含 無 線
機 制 )
• 資 訊 安 全 基 礎 建 設 最 佳 實 作 及 標 準 之 研 發 與 建
置 。
• 密 碼 模 組 及 可 信 賴 之 通 資 訊 系 統 安 全 需 求 測 試 、
驗 證 及 認 證 。
• 舉 辦 通 資 訊 安 全 教 育 訓 練 及 參 與 國 際 通 資 訊 安 全
技 術 交 流 及 合 作 活 動 。
7
Cryptology & Network Security Lab.

技 術 研 發 (1/2)
• 研 發 網 路 安 全 機 制 及 安 全 認 、 驗 證 技
術 。( 含 無 線 機 制 )
• 資 訊 安 全 基 礎 建 設 最 佳 實 作 及 標 準 之 研
發 與 建 置 。
• 密 碼 模 組 及 可 信 賴 之 通 資 訊 系 統 安 全 需
求 測 試 、 驗 證 及 認 證 。
• 舉 辦 通 資 訊 安 全 教 育 訓 練 及 參 與 國 際 通
資 訊 安 全 技 術 交 流 及 合 作 活 動 。
8
Cryptology & Network Security Lab.

技 術 研 發 (2/2)
• 研 究 微 軟 系 統 之 安 全 性 , 以 建 立 我 國 優 質 網 路 環 境 。
• 建 立 滲 透 測 試 中 心 , 協 助 檢 驗 政 府 單 位 、 企 業 公 司 等
在 資 訊 的 安 全 強 度 。
• 網 路 安 全 顧 問 中 心 , 提 供 網 絡 安 全 顧 問 服 務 , 制 訂 網
絡 安 全 解 決 方 案 。
• 網 路 安 全 教 育 訓 練 中 心 , 規 劃 一 系 列 多 樣 性 之 網 路 安
全 教 育 訓 練 課 程 , 以 培 育 我 國 更 多 資 安 人 才 。
• 尋 求 國 際 合 作 , 目 前 已 和 澳 洲 QUT 和 法 國 巴 黎
Eurecom 大 學 及 歐 盟 , 以 及 未 來 與 美 國 Mini-Internet
Testbed 計 畫 相 關 學 府 等 相 互 交 流 。
9
Cryptology & Network Security Lab.

網 路 安 全 技 術 -PKI 技 術 研 發 (1/2)
應 用 程 式 伺 服 器 一
AP Server 1
工 作 站
IC Card
自 然 人 憑 證
I
C
A
R
U
S
Internet
WWW
I
C
A
R
U
S
Middle
Wares
資 料
認 證 伺 服 器
伺 服 器 群
AP Server 2
應 用 程 式 伺 服 器 二
Authentication Server 架 構 圖
10
Cryptology & Network Security Lab.

網 路 安 全 技 術 -PKI 技 術 研 發 (2/2)
本 研 究 室 在 公 開 金 鑰 基 礎 建 設 (Public Key Infrastructure,
PKI) 方 面 已 進 行 許 多 相 關 且 深 入 的 研 究 , 現 開 發 出 一 套 可
利 用 內 政 部 自 然 人 憑 證 IC 卡 登 入 Windows 的 程 式 . 將 來
凡 是 現 行 使 用 帳 號 / 密 碼 才 能 登 入 使 用 的 系 統 , 都 可 以 考 慮
使 用 本 套 程 式 來 取 代 , 如 此 做 的 好 處 是 安 全 性 大 為 提 高 , 因
為 沒 有 使 用 者 的 內 政 部 自 然 人 憑 證 IC 卡 , 將 無 法 登 入
windows 使 用 系 統 ; 能 夠 確 實 防 止 他 人 任 意 使 用 個 人 電 腦 .
左 圖 為 登 入 流 程 說 明 圖 , 底 下 僅 就 利 用 自 然 人 憑 證 IC 卡 登 入
Windows XP 的 流 程 說 明 :
1. 將 自 然 人 憑 證 IC 卡 插 入 讀 卡 機 中
2. 輸 入 自 然 人 憑 證 IC 卡 存 取 PIN 碼 , 驗 證 IC 卡 中 的 憑 證 資
訊 與 系 統 儲 存 的 是 否 相 同 .
3. 驗 證 憑 證 資 訊 無 誤 則 將 加 密 儲 存 在 系 統 中 的 使 用 者 名 稱
及 密 碼 解 開
4. 利 用 解 開 後 的 使 用 者 名 稱 及 密 碼 進 行 登 入
5. 完 成 登 入 程 序 進 入 Windows
6. 開 始 使 用 Windows
11
Cryptology & Network Security Lab.

台 灣 網 路 安 全 測 試 平 台
• 電 信 國 家 型 科 技 計 畫 辦 公 室 (NTPO) 特 委
以 本 中 心 建 置 與 維 運 『 台 灣 網 路 安 全 測
試 平 台 』, 為 國 內 網 路 安 全 領 域 提 供 一
個 專 屬 的 實 驗 環 境 , 以 供 國 內 相 關 學 者
專 家 能 進 行 更 多 前 瞻 性 資 安 技 術 研 究 、
測 試 與 開 發 。
• 現 有 設 備 已 經 超 過 500 萬 ,NTPO 並 將 持
續 三 年 補 助 本 中 心
12
Cryptology & Network Security Lab.

網 路 安 全 測 試 平 台 建 置 目 的
安 全 性 分 析
以 已 知 的 方 法 或
發 展 未 知 技 術 進
行 各 種 系 統 、 軟
體 、 駭 客 攻 擊 手
法 等 的 安 全 性 分
析 , 提 供 相 關 漏
洞 資 訊 及 防 範 的
方 法 。
學 術 界 研 究 發 展
可 快 速 提 供 實 驗
環 境 需 求 及 結 合
理 論 創 建 、 模 擬
分 析 、 實 驗 的 漸
進 式 研 究 流 程 ,
增 強 資 安 研 究 的
深 度 。
教 育 訓 練
提 供 網 路 安 全 事
件 的 真 實 重 現 ,
提 供 針 對 網 管
人 員 或 相 關 人 員
反 覆 訓 練 , 學 習
與 增 強 網 安 事 件
發 生 時 的 應 變 能
力 過 程 經 驗 。
13
Cryptology & Network Security Lab.

網 路 安 全 測 試 平 台 定 位
Secure Environment
Information Provider
(CERT)
Best Practice
( 區 域 聯 防 )
Security
Analysis
Research
and
Development
Training
Taiwan Network Security Testbed
14
Cryptology & Network Security Lab.

網 路 安 全 測 試 平 台 之 需 求
有 效 成 本
管 理 面
功 能 面
測 試 設 備
限 制 性
多 變 性
健 全 性
存 取 管 制
政 策 面
安 全 政 策
安 全 性
可 控 制 性
精 確 性
技 術 面
15
Cryptology & Network Security Lab.

測 試 平 台 研 究 主 題
數 位 鑑 識
滲 透 測 試
IPv6 網 路
安 全
數 據 保 全
台 灣 網 路 安
全 測 試 平 台
無 線 網 路
安 全
資 訊 戰
智 慧 型 與 分
散 式 IDS
16
Overlay
網 路 安 全
Cryptology & Network Security Lab.
Ad Hoc
網 路 安 全

第 一 年 成 果 - 台 灣 網 路 安 全 測 試 平 台 建 置 與 維 運 (1/2)
• 增 買 20 台 電 腦 , 總 共 達 到 80 台 電 腦 。
• 增 購 3 台 企 業 級 電 腦 伺 服 器 , 並 建 置 一 個 小 型 企 業 網 路 環 境 。
• 建 置 IPv6 網 路 環 境 。
• 增 購 無 線 網 路 設 備 並 建 置 其 環 境 。
• 增 購 硬 體 式 火 防 牆 與 入 侵 偵 測 系 統 設 備 , 並 建 置 至 Testbed 網 路 環 境 中 。
• 整 合 遠 端 登 入 雛 型 系 統 至 Testbed 網 路 17 環 境 中 。
Cryptology & Network Security Lab.

0.72
0.71
0.7
0.69
第 一 年 成 果 - 台 灣 網 路 安 全 測 試 平 台 建 置 與 維 運 (2/2)
維 運 部 份 -Testbed 使 用 率
2004 年 Testbed 使 用 率 統 計 圖
0.71
0.7
0.69
2005 年 1-5 月 Testbed 使 用 率 統 計 圖
0.68
0.67
使 用 率
0.68
0.67
使 用 率
0.66
0.66
0.65
0.65
0.64
1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月
• 服 務 及 使 用 對 象
• 目 前 已 提 供 成 功 大 學 、 虎 尾 科 技 大 學 、 南 台 科 技 大 學 、 台 南 女 子 技 術 學 院 、
南 榮 技 術 學 院 之 通 訊 教 改 計 畫 , 進 行 與 網 路 安 全 相 關 課 程 實 習 。
• 支 援 4 件 國 科 會 計 畫 使 用 Testbed 進 行 相 關 研 究 :
1. 基 於 行 動 代 理 人 之 分 散 式 阻 絕 服 務 攻 擊 之 研 究 分 析 與 防 護
2.A Framework of Defending Application Level DDoS Attacks
3. 混 合 式 無 線 網 路 即 時 入 侵 偵 測 與 安 全 稽 核 之 研 究
4. 侵 偵 測 系 統 之 SOC 硬 體 實 現
• 協 助 一 家 廠 商 於 Testbed 中 進 行 開 發
18
中 資 安 產 品 之 測 試 。
Cryptology & Network Security Lab.
0.64
1 月 2 月 3 月 4 月 5 月

第 一 年 成 果 - 學 術 研 究 (1/2)
• 理 論 研 究
• Computer Forensic
• Overlay 網 路 安 全 研 究
• DDoS 攻 擊 與 防 禦 研 究
• overlay network 技 術 防 禦 DDoS 攻 擊 之 研 究
• 以 預 防 為 基 礎 之 網 路 聯 防 策 略 之 研 究
• 以 旁 波 段 網 路 (out-of-band network) 強 化 網 路 安 全
• Wireless Security and Ad Hoc Security
• IPv6 Security
• 實 務 研 究
• DNSSEC 開 發
• Buffer Overflow 技 術 及 防 護 研 究
• 6IDS 開 發
19
Cryptology & Network Security Lab.

第 一 年 成 果 - 學 術 研 究 (2/2)
• 已 發 表 14 篇 文 章 或 論 文 於 國 內 外 知 名 期 刊 、 研 討 會 與 雜 誌 上 。
名 稱 作 者 特 色
Comparative Survey of Local Honeypot Sensors to Assist Network
Forensics
Packet Tracing & Reassembly Utilizing Session Analysis and Hash
Function
VoIP/Instant Message Monitoring System based on SIP & ENUM
DNSSEC 網 路 安 全 防 護 暨 驗 證 系 統
使 用 DNSSEC 機 制 之 DNS 伺 服 器 簡 易 安 全 防 護 暨 驗 證 系 統
Enabling Legacy Networks to Successfully Provide Defense-In-
Depth for SIP Applications
Protection of Dynamic Routing Information Fields in AODV
Design and Implementation of an IPv6-enabled Intrusion Detection
System (6IDS)
Detecting 4to6 DDoS Attacks on IPv6Network by Misuse Detection
Technology
IHPM: A Fast Pathfinder and Intrusion Source Identifier for DDoS
Attacks
A Hierarchical Cooperative Defending System against DDoS
Attacks
以 Overlay Network 防 禦 DDoS 攻 擊
以 預 防 為 基 礎 之 網 路 聯 防 策 略 之 研 究
P. T. Chen, F. Pouget, M.Dacier, and C. S. Laih
Tung-Ming Koo, Yi-Hsien Chiu,Chih-Chang
Shen
Tung-Ming Koo, Chia-Hui Lin, Chih-Chang Shen
鄭 進 興 、 陳 威 安
陳 威 安
Bo-Chao Cheng and Chia Shaun Hsu
J. M. Hour, W. C. Kuo and C. S. Laih
Benjamin Tseng, Chi-Yuan Chen, Chi Sung Laih
Ching Feng Wang, Chi-Yuan Chen,
Benjamin Tseng, Chi Sung Laih
Bo-Chao Cheng, Ching-Fu Huang, Er-Kai Tsao
周 立 德 、 林 伯 昇
陳 俊 傑
周 立 德
1. 鑑 識 研 究
2. 國 際 跨 校 合 作
探 討 鑑 識 機 制
探 討 VoIP 安 全 機 制
探 討 DNS 安 全 機 制
1. 探 討 DNS 安 全 機 制
2. 碩 士 論 文
SIP 研 究
1. 探 討 路 由 協 定
2. 跨 校 合 作
1. 國 內 第 一 個 IPv6 IDS 實 作
2. 跨 校 合 作
1. 研 究 IPv6 IDS 偵 測 技 術
2. 跨 校 合 作
DDoS 攻 擊 研 究
DDoS 攻 擊 研 究
1.DDoS 防 禦 研 究
2. 碩 士 論 文
DDoS 防 禦 研 究
利 用 旁 波 段 網 路 達 到 入 侵 容 錯
20
陳 奕 明 、 孫 文 駿
Cryptology & Network Security Lab.
DDoS 防 禦 研 究

第 一 年 成 果 - 系 統 開 發
Middleware
Dynamic Equipment
IPv6
實 驗
模 組
User
ID PW
Primary
Sign-On
Authentication
Exchange
Authentication
Server
Trust
Resource
Server
ID PW
ID PW
ID PW
Token
Validation
Account and
Credential
Management
Access
Control
A. 基 本 實 驗 選 擇
1. DDoS 攻 擊
2. IP Spoofing 攻 擊
3. Email Attack
4. 密 碼 破 解
B. 進 階 實 驗 選 擇
1. Overlay Network
2. Buffer Overflow 偵 測
3. Ad Hoc 網 路 安 全
4. 無 線 網 路 安 全
5. IPv6 網 路 安 全
Middleware
Dynamic Equipment
Buffer
Overflow
實 驗 模 組
ogical?providers of
authentication/SSO/Trust
Testbed
Middleware
Dynamic Equipment
系 統 掃 瞄
實 驗 模 組
遠 端 登 入 實 驗 系 統
• 目 前 已 開 發 出 Single Sign-On System、 實 驗 申 請 排 程 系 統 、 後
端 實 驗 平 台 之 雛 型 系 統 , 並 已 初 步 整 合 至 Testbed 網 路 環 境 中 。
• 預 計 於 明 年 初 NTP 成 果 展 中 進 行 展 示 。
21
Cryptology & Network Security Lab.

第 一 年 成 果 - 國 際 交 流
• 與 法 國 Eurecom Honeypot 國 際 合 作 。
• 參 加 ICT-Asia 2004 會 議 , 推 廣 我 國
TWANST 建 置 與 研 究 成 果 。
• 積 極 參 與 美 國 Mini Internet Testbed 計
畫 , 並 將 於 七 月 初 拜 訪 Emulab( 位 於 Utah)
與 DETER( 位 於 USC)。
• 台 灣 Euro-Taiwan 計 畫 會 議 中 TWANST
獲 得 歐 盟 人 士 熱 烈 的 回 響 。
22
Cryptology & Network Security Lab.

第 一 年 成 果 - 教 育 訓 練
• 學 界 資 安 教 育 訓 練 課 程 ( 總 共 370 人 次 )
• 93/11/22~24 日 於 興 國 管 理 學 院 , 舉 辦 為 期 三 天 的 滲 透 測 試 (Penetration
Test) 教 育 訓 練 , 課 程 涵 蓋 了 教 學 與 實 習 。( 總 共 70 人 次 )
• 94/5/6 於 成 功 大 學 , 舉 辦 為 期 一 天 的 「 網 路 安 全 」 教 育 訓 練 課 程 ( 總 共 80 人 次 )
• 將 於 94/6/30~7/2 於 世 新 大 學 , 舉 辦 為 期 三 天 的 「 安 全 確 保 與 鑑 識 技 術 」 教 育
訓 練 課 程 。( 預 計 70 人 次 )
• 將 於 94/7/1 於 成 功 大 學 , 舉 辦 為 期 一 天 的 區 域 聯 防 總 中 心 內 部 教 育 訓 練 。( 預 計
50 人 次 )
• 將 於 94/7/4~7/6 於 成 功 大 學 , 舉 辦 為 期 三 天 的 「2005 資 訊 安 全 研 習 營 」 教 育 訓
練 課 程 , 課 程 內 容 涵 蓋 了 教 學 與 實 習 。( 預 計 100 人 次 )
‧ 協 助 規 劃 今 年 大 學 聯 招 首 次 線 上 填 選 志 願 系 統 , 安 全 機 制 測 試 與 資 安 人 員 網 路 安
全 課 程 訓 練 。
‧ 教 育 訓 練 教 材
23
Cryptology & Network Security Lab.

跨 國 合 作 Honeynet 技 術
1. 分 析 台 灣 網 路 的 駭 客 來 源 、
習 性 、 及 行 為 等
NIDS
2. 了 解 全 球 網 路 的 駭 客 來
源 、 習 性 、 及 行 為 等
Syslog
Server
Sendmail Mail
Server
WINDOWS
2000
Honeynet
FTP
Server
3. - 記 錄 並 分 析 駭 客 行 為
- 收 集 入 侵 證 據 , 分 析
過 去 防 範 未 來
Apache Web
Server
Linux
設 計 有 缺 陷 系 統 及 網 路 環 境
24
Cryptology & Network Security Lab.

25
Cryptology & Network Security Lab.

Honeypot 資 料 分 析
大 部 分 攻 擊 台 灣 Honeypot 平 台 的 國 家 都 來 自 於 同 一 個 Domain— 台 灣
(68%), 但 這 種 現 象 在 其 他 Honeypot 平 台 上 ( 如 Eurecom) 則 未 發 現
26
Cryptology & Network Security Lab.

Domain 進 一 步 分 析 —
大 部 分 攻 擊 來 自 學 術 網 路 (ncku.edu.tw) 與 HiNet
Domain Name Number of Sources Rate (%)
.edu.tw 7738 31.77562
.hinet.net 4009 16.46271
.ne.jp 887 3.642411
.net.tw 819 3.363173
.dsl-verizon.net 552 2.266754
.interbusiness.it 546 2.242116
.t-dialin.net 331 1.359231
Domain Name
Number of
Sources
Rate (%)
.ncku.edu.tw 5977 24.5462
.dynamic.hinet.net 3375 13.86037
.hinet-ip.hinet.net 634 2.603696
.ocn.ne.jp 525 2.156057
.seed.net.tw 451 1.852156
.dip.t-dialin.net 331 1.359343
.tnrc.edu.tw 322 1.322382
.or.jp 289 1.186761
.ntou.edu.tw 283 1.162218
.proxad.net 284 1.166229
.plala.or.jp 278 1.141684
.shawcable.net 236 0.96912
.pooles.rima-tde.net 227 0.932238
ohters 8661 35.56587 27
Cryptology & Network Security Lab.
others 11947 49.06366

Ports sequences 的 統 計
— 可 發 現 最 新 攻 擊 趨 勢
March 2005 April 2005 May 2005
Total events 1734 Total events 2697 Total events 3787
135 (22.71%)
1025 (16.01%)
80 (7.93%)
139 (5.39%)
135, 1025 (5.24%)
135, 1025, 139
(4.88%)
4899 (3.64%)
22 (2.69%)
5554, 1023, 9898
(1.60%)
Others (29.91%)
135 (50.17%)
80 (7.97%)
1025 (4.15%)
22 (3.34%)
4899 (3.34%)
139 (2.15%)
5554, 1023, 9898
(1.63%)
8080 (1.19%)
Others (26.06%)
28
Cryptology & Network Security Lab.
135 (62.34%)
1025 (7.84%)
80 (5.04%)
139 (4.33%)
22 (1.87%)
135, 1025, 139
(1.32%)
3306 (1.08%)
4899 (1.08%)
Others (15.10%)

目 前 進 行 之 工 作 — 國 際 交 流
• 與 美 國 Mini Internet Testbed 計
畫 進 行 國 際 合 作 。
• 與 法 國 進 行 國 際 合 作 ICT Asia-
Security of the digital
infrastructure 計 畫 , 參 加 國 家 有
台 灣 、 法 國 、 新 加 坡 、 馬 來 西 亞
共 四 國 十 一 個 單 位 。
• 與 中 華 民 國 資 訊 安 全 學 會 合 辦
ACM Symposium on
Information, Computer and
Communications Security 研 討
會 。
• 舉 辦 國 際 性 研 討 會 ─「 第 一 屆
SADFE 2005 國 際 數 位 鑑 識 研 討
會 」( 論 文 集 已 簽 約 由 IEEE 出
版 )。
• 協 助 法 務 部 辦 理 2005 年 國 際 鑑 識
29
科 學 研 討 會 (International
Cryptology & Network Security Lab.

目 前 進 行 之 教 育 訓 練 (1/2)
• 協 助 教 育 部 規 劃 TANet 大 專 院 校 ISMS 計 畫 及 推 廣 與 課 程 教 育 訓
練 。
• 協 助 教 育 部 通 訊 科 技 教 育 改 進 計 畫 進 行 網 路 安 全 課 程 之 訓 練 。
30
Cryptology & Network Security Lab.

目 前 進 行 之 教 育 訓 練 (2/2)
• 協 助 國 家 資 通 安 全 會 報 技 服 中 心 , 區 域 聯 防 計 畫 進 行 計 畫 成 員 之
培 訓 。
• 協 助 國 家 相 關 考 試 之 資 安 系 統 人 員 培 訓 ( 例 如 : 大 學 聯 招 )。
• 7 月 份 舉 辦 資 安 課 程 ( 免 費 , 每 年 約 40 名 , 建 議 由 老 師 推 薦 新 研 究
生 來 接 受 短 期 訓 練 )
• TCP/IP 介 紹 、 基 礎 密 碼 學
• 網 路 安 全 管 理 工 具 應 用
• 電 腦 病 毒 與 蠕 蟲 、 防 駭 工 具 應 用 分 析 等
• 8 月 份 開 課 資 安 課 程 ( 中 、 高 階 課 程 , 並 收 費 )
• 安 全 性 程 式 設 計
• 路 由 器 高 階 安 全 攻 防 課 程
• CISSP 安 全 認 證 課 程 等
• 資 安 訓 練 教 材 製 作 編 撰
31
Cryptology & Network Security Lab.

資 訊 安 全 簡 介
32

網 路 安 全 事 件 層 出 不 窮
1. 2000 年 遭 受 DDoS 攻 擊 造 成 yahoo、eBay、CNN、Amazon 等 商 業 網 站 癱 瘓 達 數 小
時 之 久 。
2. 2001 年 CodeRed 與 Nimda 蠕 蟲 造 成 全 球 830 萬 台 電 腦 感 染 、
3. 2003 年 SQL Slammer Worm 攻 擊 企 業 網 站 資 料 庫 , 造 成 美 洲 及 亞 洲 地 區 的 網 路 嚴 重
癱 瘓 。
4. 2003 年 8 月 Blast 病 毒 利 用 Windows 系 統 漏 洞 進 行 散 佈 , 亦 造 成 全 球 重 大 損 失 。
5. 2004 年 1 月 底 Mydoom 病 毒 更 以 最 高 一 秒 鐘 感 染 1200 封 電 子 郵 件 , 造 成 全 球 網 路 的
重 大 損 失 。
6. 2004 年 5 月 Sasser 病 毒 再 次 針 對 Windows 作 業 系 統 漏 洞 進 行 傳 染 攻 擊 。
7. 2004 年 5 月 我 國 刑 事 局 偵 九 隊 破 獲 木 馬 程 式 惡 意 攻 擊 竊 密 案 , 已 有 上 百 企 業 受 害 。
33
Cryptology & Network Security Lab.

2003 年 我 國 政 府 單 位 遭 受 攻 擊 位
居 全 球 前 五 名
2003 年 1 月 份
計 有 19 次 攻 擊
2003 年 總 共 計
有 92 次 攻 擊
34 資 料 來 源 ..mi2g
Cryptology & Network Security Lab.

微 軟 OS 為 駭 客 主 要 攻 擊 對 象
35
Cryptology & Network Security Lab.
資 料 來 源 :mi2g

資 訊 安 全 攻 擊 方 式 (1/2)
• 被 動 式 攻 擊
• 敏 感 資 訊 的 窺 視
• 通 訊 量 分 析
• 通 信 位 址
• 敏 感 資 訊 長 度
• 敏 感 資 訊 頻 次
• 檔 頭 資 料
• 被 動 攻 擊 方 式 祇 能 被 預 防 , 但 很 難 被 偵 測
36
Cryptology & Network Security Lab.

資 訊 安 全 攻 擊 方 式 (2/2)
• 主 動 式 攻 擊
• 敏 感 資 訊 被 更 改 、 消 除 、 延 遲 、 複 製 等
• 系 統 中 斷 或 破 壞 ( 如 傳 送 大 量 垃 圾 資 料 , 使 系
統 當 機 )
• 冒 名 傳 送 假 資 料
• 否 認 已 傳 送 或 已 接 收 資 料 ( 合 法 使 用 者 之 攻
擊 方 式
• 主 動 攻 擊 方 式 可 以 被 偵 測 , 但 很 難 被 預 防
37
Cryptology & Network Security Lab.

資 訊 安 全 服 務
• 資 料 完 整 性 (Integrity): 確 保 所 收 到 的 資 訊 不 被
篡 改 、 重 送 、 遺 失
• 資 料 來 源 認 証 (authentication): 確 保 所 收 到 的 資
料 確 實 為 某 人 所 傳 送
• 存 証 (non-repudiation): 使 發 送 端 不 可 否 認 送 出
某 一 資 料 , 接 收 端 不 可 否 認 曾 接 收 某 資 料
• 資 料 隱 密 性 (Confidentiality): 防 止 敏 感 資 料 被 竊
取 , 非 法 取 得 或 洩 露
• 存 取 控 制 (Access Control): 防 止 非 法 存 取 資 料
38
Cryptology & Network Security Lab.

計 算 機 安 全 ( 端 點 系 統 安 全 )
• 三 大 防 護 措 施
(1) 人 身 份 認 証
• 辨 識 使 用 者 身 份 , 阻 擋 不 法 人 員 進 入 系 統 。
• 提 供 合 法 人 員 的 真 實 身 份 , 以 供 存 取 控 制 及 稽 核 追
蹤 之 用 。
• 第 一 道 也 是 最 重 要 的 一 道 防 線 。
(2) 存 取 控 制
• 提 供 安 全 政 策 以 規 範 合 法 使 用 者 在 一 定 範 圍 內 從 事
資 訊 之 存 取 , 以 避 免 非 法 存 取 資 料 。
(3) 稽 核 追 蹤
• 記 錄 與 追 蹤 所 有 與 安 全 相 關 之 事 件 並 且 保 護 這 些 追
39
蹤 記 錄 , 以 利 事 後 查 核 或 即 時 提 供 不 尋 常 的 訊 息 。
Cryptology & Network Security Lab.

資 訊 系 統 安 全 等 級
• 可 依 賴 計 算 機 系 統 評 估 準 則 (TCSEC) 將 資 訊 系
統 安 全 程 度 分 成 下 列 等 級 。
完 全 等 級
D
C1-C2
B1-B3
A
使 用 環 境 說 明
提 供 最 少 防 護 的 資 訊 使 用 安 全 環 境
提 供 普 通 防 護 的 資 訊 使 用 安 全 環 境
提 供 正 規 防 護 的 資 訊 使 用 安 全 環 境
( 如 具 隱 密 性 , 電 子 交 易 , 商 業 秘 密 )
提 供 特 別 防 護 的 資 訊 使 用 安 全 環 境
( 如 政 府 外 交 , 國 防 , 都 巿 計 畫 等 )
40
Cryptology & Network Security Lab.

C2 標 準 必 須 滿 足
1. 安 全 政 策 : 系 統 必 須 謹 遵 定 義 明 確 安 全 政 策 。
2. 確 認 : 所 有 從 事 存 取 的 主 體 (Subject) 及 其 權 限
(access right) 必 須 唯 一 的 定 義 。
3. 標 識 : 所 有 物 件 (object) 均 須 標 識 安 全 等 級 。
4. 可 說 明 性 : 必 須 具 有 稽 核 追 蹤 能 力 。
5. 保 證 : 系 統 必 須 施 行 安 全 措 施 , 且 能 有 效 地 評 估
並 證 明 安 全 措 施 可 被 執 行 。
6. 持 續 的 保 護 : 其 執 行 基 本 需 求 的 安 全 機 制 , 必
須 持 續 地 加 以 保 護 , 以 防 止 被 破 壞 或 非 法 篡
改 。
41
Cryptology & Network Security Lab.

身 份 認 証
• 1. 使 用 者 擁 有 什 麼 ?
• 生 理 特 徵 : 指 紋 、 聲 紋 、 視 網 膜 等 。
• 非 生 理 特 徵 : 識 別 證 、 磁 卡 、IC 卡 、 票 券 等 等 。
• 2. 使 用 者 知 道 什 麼 ( 秘 密 )?
• 如 : 通 行 碼
• 必 須 為 亂 數
• 不 可 與 他 人 分 享
• 不 能 夠 在 任 意 時 間 內 改 變
• 使 用 者 使 用 完 後 必 須 logout
• 3. 結 合 上 述 二 者
42
Cryptology & Network Security Lab.

通 行 碼 認 証
1. 安 全 通 道 : 通 行 碼 以 明 碼 傳 送 。
2. 非 安 全 通 道 : 利 用 密 碼 技 術 做 挑 戰 與 回
應 。
• 例 如 : 挑 戰
0 2 7 3 6 3 9 2
3 1 5 4 5 6 7 1
9 4 0 7 1 1 5 3
6 8 2 8 9 0 3 0
• 回 應
• 規 則 : 在 每 一 行 裡 , 若 通 行 碼 之 數 字 出 現 , 則 必
須 填 上 , 否 則 可 自 行 選 一 數 字 填 上 。
43
Cryptology & Network Security Lab.

存 取 控 制
• 任 意 式 存 取 控 制
檔
案
使 用 者
U1
U2
U3
U4
F1 F2 F3 F4 F5
4
0
1
0
2
4
3
3
0
2
4
2
1
3
0
4
0
1
0
2
0: 不 可 執 行
1 : 可 執 行
2: 可 讀 取
3: 可 寫 入
4: 擁 有 者
44
Cryptology & Network Security Lab.

命 令 式 存 取 控 制
• 安 全 等 級 :
• 將 主 體 ( 如 使 用 者 ) 及 物 件 ( 如 檔 案 ) 分 類 成 普
通 (Unclassified)、 密 (Confidential)、 機 密
(Secret) 及 極 機 密 (Topsecret)
• 即 T > S > C > U ( 符 號 ‘>’ 為 高 於 )
45
Cryptology & Network Security Lab.

規 則
1. 不 可 向 上 讀 取 (No read up): 等 級 低 的 主
體 不 能 讀 取 高 等 級 之 物 件 。
如 :
T
S
S C
U
主 體 讀 取 物 件
2. 不 可 向 下 寫 入 (No write down): 等 級 高 的
主 體 不 能 寫 入 一 低 等 級 之 物 件 。
如 :
T
S
S C
U
46
主 體 寫 入 物 件
Cryptology & Network Security Lab.

木 馬 程 式 (Trojan Horse)
47
Cryptology & Network Security Lab.

安 全 技 術 與 電 腦 稽 核
• 電 腦 稽 核 :
• 事 先 稽 核 :
• 實 際 資 料 稽 核 , 確 保 內 部 資 料 的 正 確 性 。
• 事 後 稽 核 :
• 目 標 :
• 歷 史 資 料 的 稽 核 , 發 覺 或 追 查 可 疑 的 事 件 及 人 員 。
• 確 保 所 有 運 作 均 按 既 定 安 全 政 策 執 行 。
• 確 保 所 有 存 取 資 料 皆 獲 得 授 權 。
• 確 保 所 有 資 料 均 經 適 當 處 理 及 其 正 確 性 。
48
Cryptology & Network Security Lab.

電 腦 稽 核 (1/2)
• 目 標 :( 以 會 計 為 例 )
• 所 有 交 易 運 作 皆 按 既 定 政 策 執 行
• 所 有 交 易 皆 經 授 權
• 所 有 交 易 皆 經 適 當 處 理 , 以 確 保 財 務 報 表 的 正 確 性
• 發 展 及 使 用 審 計 軌 跡
• 確 保 稽 核 証 據 不 被 遺 漏 、 更 改 及 破 壞
• 利 用 稽 核 工 具 直 接 進 入 系 統 中 查 核
• 稽 核 控 制
• 註 : 資 訊 系 統 管 理 與 資 訊 系 統 稽 核 是 完 全 獨 立 的 個 體
49
Cryptology & Network Security Lab.

電 腦 稽 核 (2/2)
• 假 設 :
• 稽 核 程 式 軟 體 必 須 與 系 統 程 式 獨 立 且 無 法 被
入 侵 ( 最 好 在 系 統 開 發 時 即 加 入 )。
• 稽 核 人 員 必 須 可 被 信 任 且 被 有 效 授 權 與 認 證
• 上 述 假 設 均 需 賴 網 路 安 全 技 術 方 可 達 成
50
Cryptology & Network Security Lab.

結 論
安 全 性
資 訊
安 全
功 能 性
便 利 性
51
Cryptology & Network Security Lab.