- 鐵幣
- 1009 元
- 文章
- 3590 篇
- 聲望
- 3779 枚
- 上次登入
- 11-4-21
- 精華
- 26
- 註冊時間
- 05-9-9
- UID
- 193762
名望的英雄
黑暗籠罩大地.死亡悄悄降臨 ... ...
|
網路安全入侵偵測及防禦技術研究
提要
邁入數位化的廿一世紀,網際網路已普及於人類的生活及工作上之應用,而當前我們面臨最大的課題即網際網路衍生之「網路安全問題」。網路安全問題的產生,其主要的原因在於網際網路上,駭客會尋找主機的漏洞,並加以攻擊主機(如:使用病毒攻擊與木馬入侵等),這種情況對於企業或政府機關來說,是個莫大的威脅。它會使得主機伺服器和網路等導致癱瘓。所以我們可以瞭解現今網路安全可說是處於「道高一尺,魔高一丈」的情況,只要打開電腦主機並連上網際網路,就可能會有網路安全問題的存在,要如何加強網路安全呢?那麼我們在於對於「入侵偵測」及「入侵防禦」兩項技術上,就必須精益求精及不斷地創新求變,讓網路安全無堅不摧!
前言
網際網路對於生活與工作上的各類應用已相當普及,資訊科技的應用也帶來了便利與作業效率的提升,然而對於在現今的網路系統中,需讓所有使用者值得注意的問題即是:駭客會透過使用者或軟體等來進行有敵意或是破壞性的侵害行為。“駭客”(hacker)指對於電腦作業系統深入研究且有強烈興趣的人,他們具有作業系統和編程語言方面的專業知識,知道系統中的漏洞及其原因,並公開他們的發現與其他人分享。“入侵”(intrude)的定義泛指企圖破解資訊資源的可用性、保密性和完整性的行動。一般來說,針對於最常見網路的侵權行為可歸納為下列三種情形:
一、在未經授權的情況下登入系統。
二、在取得授權的情況下存取超過本身權限的資訊。
三、執行超過本身權限的運算。
近年來各國政府與企業組織關鍵設施遭受駭客攻擊事件頻傳(在此我們所定義的駭客攻擊是一種針對於資訊系統的防禦和保護,所採取的是經深思熟慮有系統的智慧型攻擊行為),然而針對於系統本身的脆弱性以及藉由後門攻擊的入侵行為仍以使用軟體入侵的方式居多,而我們對於軟體入侵方式,可以將它大致區分為下列幾種:
一、電腦病毒(virus)。
二、電腦病蟲(worm)。
三、特洛伊木馬和後門(Trojan horse)。
四、資訊攔截(intercepting)。
五、網站入侵(web server hacking)。
六、資料庫入侵(SQL injection)。
七、密碼破解(password cracking)。
八、網路封包監聽(sniffers)。
九、足跡追蹤(footprinting)。
以上這幾種攻擊入侵的方式都與網路安全息息相關,然而這些攻擊不見得一定要透過網路,網路入侵者可以不透過仲介網路而入侵主機伺服器。電腦病毒及特洛伊木馬可利用磁片或是隨身碟傳入系統中[1];而電腦寄生屬是唯一須透過網路入侵的。因此在入侵系統中,網路資訊安全及電腦資訊安全是有所交集的。由於現代人們對網路入侵問題的日漸覺醒,許多國家的企業紛紛合作成立「電腦緊急情況應變小組(Computer Emergency Response Team)」,簡稱為「CERT」,這個應變小組收集有關系統弱點的資訊,並通知系統管理者,但通常駭客也能夠獲得CERT報告書之資訊,所以如果系統管理者沒有按照CERT的建議立刻補強的話,那麼即會遭到駭客攻擊主機的弱點而造成無法彌補的情況。
對於網路資訊安全來說,兩個最大的威脅就是入侵者及電腦病毒,對於入侵者,我們會稱他們為駭客或是破解者(cracker)。針對於網路入侵行為可以定義為三種類型(偽裝者、違法失職者與偷偷摸摸的使用者)整理如表一。
表一 入侵者定義表(自行整理)
輕微的入侵行為對於網路使用者還可以忍受,但對於合法的使用者來說,不但浪費系統資源且降低系統效能,而沒有一種方法是可以預先知道入侵者是無害的還是惡意的。所以我們必須積極地控制這個問題。我們可以由表二針對於兩種攻擊等級之入侵者(輕微與具惡意),分析整理不同型態的攻擊動機[2,3]。
表二 入侵者攻擊等級(自行整理)
事實上,資訊系統對於不同的網路入侵行為會產生不同的紀錄及影響,有效的保留資訊與通知問題處理單位,也儼然成為處理資安的重要議題,國內常見的資安事件回報機制包括:如政府單位之國家資通安全服務中心下的資安事件回報中心,而民間單位則有台灣電腦緊急情況應變小組暨協調中心(TWCERT/CC)的安全事件回報系統,透過這些回報機制可以將網路使用者所遭受的入侵行為或是攻擊行為對彼此兩方的ISP進行測試[4],並依此判定是否為輕微或惡意行為,提升資安處理層級與進行相關的入侵應變作為。
廣泛來說,網路攻擊者可以分為消極(passive)與積極(active)兩種類型,兩者主要的差異在於前者只會竊聽系統或竊取系統內資料,而後者會破壞系統與系統的資料內容。為了深入瞭解如何針對於網路進行防護,首要工作即是瞭解駭客是怎麼利用網路進行入侵和攻擊的行為。以下將分別針對網際網路通訊協定、防火牆原理與網路探測行為加以分析討論。
網路通訊協定與防火牆
一、通訊協定
在網際網路中,我們把不同的電腦和網路聯繫的語言稱做「TCP/IP協定」。TCP協定稱為雙向連接的可靠協議。通訊雙方之間經過三次確認身分之後,TCP就可以認定雙方都是可靠的,於是雙方電腦的連接就建立了[5]。
圖一 網際網路通訊示意圖(自行繪製)
我們可以由圖一瞭解網路通訊的基本原理,其中,A方與B方之間要通過網際網路互相通訊連結,由A方提供網站給B方連結瀏覽。他們在建立通信通道之前,必須先由TCP進行身分確認之後才能建立可靠的網路連接。身分確認過程如下表所示:
表三 身分確認過程表(自行整理)
二、防火牆
防火牆目的是在用戶電腦和網際網路之間建立起一道保護用戶電腦的安全屏障,用戶的電腦在網際網路上可以避免受到來自網際網路的攻擊。而面對個人用戶的防火牆軟體可稱為個人防火牆,個人防火牆可以依照用戶的要求阻斷或連通用戶的電腦與網際網路間的連接[6]。用戶可以通過軟體設定的規則來決定,在哪些情況下防火牆應該阻斷電腦與網際網路間的數據傳輸,或者是那些情況下允許兩者間的數據傳輸。
個人防火牆通常具備防止外來之異常連線、記錄安全威脅事件,並提高駭客或木馬程式進攻門檻。個人防火牆與大型網路防火牆的差異是:個人防火牆通常會直接進入用戶的系統中,並控制用戶系統之網路,使得在系統中執行的網路應用軟體,在連結網路的時候,必須經過防火牆的確認,才可以完成執行的動作,從而達到控制用戶電腦和網際網路之間的連結目的[7]。
三、網路探測
網路駭客在入侵一台主機系統之前,首要工作就是確認系統是否存在和是否有入侵的可能性,此項工作被稱為「網路探測」。一個開機中且沒有任何安全防禦措施的電腦主機,通常是駭客他們最感興趣的對象。
圖二 網路探測示意圖(自行繪製)
我們可以從圖二網路探測示意圖得知,TCP/IP協定的電腦本身並不會對所接收的請求判斷是否是非法或是虛假的[8]。它只懂得聆聽對方的回應;如果有合理的回應,那對方的請求就是合法的且是可靠的﹔如果沒有回應或者回應是錯誤的,就認為對方是不可靠的。正因為這樣的原因,駭客可以利用通訊協定的這種特點來確定對方的存在,然後再做下一步的行動,一般來講,對於網路探測做確認的動作可以分為以下兩種階段:
1.第一階段
駭客會發出探測的數據封包,詢問對方是否存在。然而這封包通常是一個同步位的TCP請求封包(當然,也可以是更為簡單的ICMP協定數據封包,不過這種手法早已經過時了)。
2.第二階段
此時,用戶的電腦會忠實的回應了駭客的探測數據封包。因此駭客就可以知道這台電腦是否存在並已經執行著;這項動作是為未來恐怖的攻擊行動做準備的。
所以對於不需要提供網際網路服務的個人用戶而言,如果能夠好好地處理這種不需要接受的請求,如此安全性也就會大大的提升了。防火牆所做的網路安全屏障,第一步就是要讓這種網路探測的動作在防火牆的面前失效。可由圖三得知在防火牆的保護下,駭客的網路探測變成無效[9]。
圖三 無效的網路探測示意圖(自行繪製)
網路威脅與惡意程式
一、攻擊來源
近來隨著駭客的日益猖獗,網路安全問題越來越重要,駭客攻擊網路的手段十分多變,令人防不勝防。分析和研究駭客的手段和採用的技術,加強我們對網路安全建議以及防止網路犯罪有很好的作用,而駭客攻擊的一般過程分為四個步驟如表四所示:
表四 駭客攻擊過程表(自行整理)
在第一階段中駭客首先要確定攻擊的目標,在獲取目標及其網路類型後,還需進一步獲取有關訊息,如:IP地址、操作系統類型和版本、系統管理人員的郵件地址等,根據這些訊息進行分析,可得到有關被攻擊方系統中可能存在的漏洞[10]。如:運行一個host命令,可以獲得目標網路中有關機器的IP地址訊息,還可識別出目標機的操作系統類型。
在第二階段中將根據第一步所獲得的訊息,建立模擬環境,然後對模擬目標進行一系列的攻擊。通過檢查被攻擊方的日誌,可以瞭解攻擊過程中留下的「痕跡」。這樣攻擊者就知道需要刪除哪些文件來毀滅其入侵證據。
在第三階段中將收集或編寫適當的工具,並在對操作系統分析的基礎上,對工具進行評估,判斷有哪些漏洞和區域沒有覆蓋到。然後在盡可能用較短的時間,對目標進行掃瞄。完成掃瞄後,可對所獲數據進行分析,發現安全漏洞,如:FTP漏洞、不受限制的伺服器訪問以及不受限制的調制解調器等。
而在最後的階段中網路攻擊者會透過猜測程式可對截獲的用戶帳號和口令進行破譯,利用破譯程式可對截獲的系統密碼文件進行破譯,或利用網路和系統本身的薄弱環節和安全漏洞可實施電子引誘(例如:放置特洛伊木馬,時間炸彈……),根據已知的漏洞實施攻擊方式[11]。最新的發展技術發展包括:駭客會修改網頁進行惡作劇、身分盜取、破壞系統程式、放病毒程式使系統陷入癱瘓、盜取政治、軍事、商業秘密、或進行電子郵件騷擾或轉移資金賬戶,竊取金錢等等。
二、駭客入侵
寬頻網路保持連線時,網路IP位址通常會維持相同,而且不會被關閉,這就讓網路駭客有機可乘;即使網路連線會變換IP位址,駭客則仍能在電腦上設定通知的裝置,在IP位址變更後找到原來的電腦。要防範上述情況,必須使用防火牆,在電腦和網路之間,設置一道防護網,讓駭客看不見用戶的電腦。
除了防火牆外,另外賽門鐵克公司認為,個人電腦也需要擁有所謂的「入侵偵測」系統,以面對難纏的駭客攻擊威脅,其兼具駭客行為的病蟲攻擊和病毒傳播,如Nimda、 CodeRed,能透過數種不同的途徑攻入企業或政府機關,並在入侵的過程中,探出各個弱點並立即加以利用,這些攻擊可以自動發動,完全無需人為從旁協助[12]。駭客慣常的入侵手法之一,就是針對入侵的目標進行Port scan,TCP/IP這個通訊協定定義1至65,535個port,通常port1至1024是有固定用途的,例如:port 80 是供http用,駭客會先用工具掃瞄目的機器的port,看看哪些是開啟的,然後才進行下一步的攻擊。
因此,個人電腦需要入侵偵測功能,藉由觀察動作、安全日誌或稽核資料,嘗試偵測駭客入侵或未經授權就存取電腦或網路的行為,以阻絕駭客透過port scan的方式入侵電腦,竊取機密資料,或作為另一波攻擊的跳板[15]。近年來隨著寬頻網路時代的來臨,以及電子商務交易的興起,網路安全也逐漸慢慢受到人們的重視,人們透過各種快又方便的技術連上網路,人與人之間的種種行為模式幾乎都轉變到網路上,帶來的方便讓大家的生活離不開網路。然而同時網路安全乃至於個人隱私的保密這個以往不受重視的地方也逐漸因為越來越多的兩岸駭客之攻防(包括:病毒及特洛伊木馬程式的危害等)而受到人們的重視[13]。
三、特洛伊木馬與病毒程式
「特洛伊木馬」是一種植於客戶主機Client端及伺服 Server端的遠端控制程式,駭客會經由特殊設計的網頁、電子郵件或是隱藏在某個檔案中傳送,當點閱或執行這些網頁、郵件或檔案時,木馬程式就已經隱藏在您的電腦當中了。特洛伊木馬可以讓用戶的電腦執行伺服器端的程式,這個伺服器端的程式會在用戶的電腦上打開監聽的port。也因此開了一扇門讓駭客可以輕鬆地入侵用戶的電腦,然後駭客就可以遠端操控利用木馬的客戶端對用戶的電腦叫一聲芝麻開門,入侵行動就開始發生了。
第一代的特洛伊木馬程式大都是惡作劇多,也就是後門程式(backdoors),主要是讓駭客可以避開正常的系統稽核程式直接進入到系統,此時的木馬不以竊取資料為主而以開個後門方便入侵者進入系統為主。新一代的木馬,在client端與server端的連線採取加密的措施,確保連線過程的資料不被竊取,此外有些木馬程式不會開port讓你察覺出來,本身透過其他方式跟其他主機溝通交換訊息[14]。
2001年Code Red與Nimda電腦病毒利用微軟IIS伺服器的漏洞,不但避開網路的防火牆,還會在系統上建立後門,2003年初SQL Slammer Worm 病毒,則是利用SQL 的漏洞入侵系統,在系統中取得網址,並開始找尋網路互聯有弱點的主機系統再進行感染。Slammer病毒在2003年1月25日發作,藉著SQL server資料庫當中的漏洞,在發作的前五天,就造成10億美元的損失,同時也以極快的速度散佈到全球各地,造成資安的災害。
針對於近年來的特洛伊木馬程式例如Tini、NetCat、Netspy、NetBus、BO2K、及SubSeven等木馬功能是越來越強,體積也越來越小,佔用的記憶體也很像一般的處理程式(例如Tini的組合語言程式僅有3kb),同時也會取個類似正常「kernel32.exe」的名字,很容易讓使用者對此處理程式失去警覺與戒心。此外特洛伊木馬程式會複製本體執行檔到系統目錄或是特定目錄下,以增加下次開機存活率,如果沒有把這木馬移除乾淨,下次開機照樣執行。
病毒程式與特洛依程式有明顯的不同,特洛依程式是靜態的程式,存在於另一個無害的被信任的程式之中。特洛依程式會執行一些未經授權的功能,如把文件傳遞給入侵者,或提供一個後門[15]。攻擊者通過這個後門可以進入那台主機,並獲得控制系統的權力。病毒程式則具有自我複製的功能,它的目的就是感染電腦。在任何時候病毒程式都是清醒的,監視著系統的活動。一旦系統的活動滿足了一定的條件,病毒就活躍起來,把自己複製到活動的程式中。值得一提的是,現今複合式的病毒,單靠防毒軟體與防火牆防禦是不夠的,因為防毒軟體,只能防得了病毒,卻無法防得了弱點,防火牆,只能對特定的port 進行限制,卻無法過濾掉,存在 e-mail 傳送所含帶的複合式病毒中的弱點。
入侵偵測
一、系統架構
入侵偵測系統(Intrusion Detection System),簡稱為IDS,它就是對於網際網路上所有可疑的活動進行偵測及分析,以判斷是否這可疑的活動為攻擊手法的系統工具,它也是目前市面上除防火牆之外,最受矚目的產品[3][7]。在此針對於入侵偵測系統架構圖描述如圖四所示:
圖四 入侵偵測系統架構圖(自行繪製)
資訊安全設備的基本運作方式包括:入侵偵測、分析、報告及採取行動等四項。針對入侵偵測系統定義、目的與原理整理如表五所示:
表五 入侵偵測系統簡介表(自行整理)
二、入侵偵測系統之種類
現在常用之入侵偵測系統可歸類為四種,有主機型(host-based)入侵偵測系統、網路型(network-based)入侵偵測系統、混合型入侵偵測系統及誘捕系統等,詳細介紹如表六所示:
表六 入侵偵測系統種類表(自行整理)
三、入侵偵測技術
入侵偵測系統技術可分為三種,錯誤行為偵測、異常行為偵測及混合行為偵測[16],詳細整理如表七所示:
表七 入侵偵測系統技術簡介表(自行整理)
對於錯誤行為偵測、異常行為偵測及混合行為偵測三種入侵偵測系統,我們依照其偵測率及誤判率比較,可以知道偵測率高則誤判率隨之升高,偵測率和誤判率是相輔相成的[17],詳細比較如表八所示:
表八 入侵偵測系統技術比較表(自行整理)
四、入侵偵測工具
我們在市面上最常見的入侵偵測系統有兩種,即主機型及網路型入侵偵測系統,主機型入侵偵測系統的相關產品有Rainbow、IDES及Wisdom and Sense詳細介紹如表九所示:
表九 主機型入侵偵測系統產品表(自行整理)
網路型入侵偵測系統會針對網路上的連線狀態及傳輸封包的內容進行監控與檢查,以便能偵測[17]:
1.是否有攻擊行為正在進行(例如ping sweeps或port mapping,表示駭客正在收集網路上的資訊也通常是攻擊行為的前兆)。
2.網路型入侵偵測系統能夠偵測出網路上是否有可疑的活動或有不正常的連線(例如SYN flood,可能正在進行DoS攻擊)。
3.是否有封包被更改過(例如,表示駭客攔截合法封包,並加以變造封包內容,試圖非法存取網路)。
在此介紹網路型入侵偵測系統的相關產品有DIDS、BlackICE Defender、Snort及Symantec ManHunt 3.0,詳細介紹如表十所示:
表十 網路型入侵偵測系統產品表(自行整理)
入侵防護系統
一、簡介
入侵防護系統(Intrusion Prevention System),簡稱IPS,它用以監控電腦系統或網路上發生的事件,再經過分析後以獲得入侵徵兆,並採取行動來減輕威脅的程式[18]。封包會先在閘道上過濾後,再經入侵防禦系統進一步受到更嚴格的審訊。並不會逐一檢查每個潛在的安全威脅,而是尋找已知的問題與明顯可疑的行徑。
任何違反協定或內含惡意程式的封包都會被擋掉,為了執行這樣的任務,入侵防護系統裝置在安全基礎設施中扮演了相當活躍的角色。它們成為企業網路中的一環[14],跟路由器與交換器一樣可以決定封包的動向,在此針對於入侵防禦系統架構圖描述如圖五所示:
圖五 IPS架構圖(自行繪製)
二、入侵防護系統之種類
入侵防護系統依種類分為三種,網路型入侵防護系統、主機型入侵防護系統及誘捕式入侵防護系統,詳細介紹如下表所示:
表十一 入侵防護系統簡介表(自行整理)
經過分析整理可知,以網路型入侵防護的攻擊類型有:掃描、探查、拒絕服務、竊聽、利用通訊協定漏洞之攻擊及經由交換式網路及高速網路的攻擊;而以主機型入侵防護的攻擊類型有:緩衝區溢位、檔案竄改、網頁變更、密碼攻擊、特洛伊木馬、蓄意破壞、稽核軌跡竄改、管理變更、竊取、權限獲取[19]。
三、入侵防護系統技術
我們知道早期的入侵偵測系統多以網路流量異常,判斷是否出現可疑攻擊事件,通常只能發出警示而無阻絕攻擊擴散的功能;而IDP屬於網路安全領域中較新的防護技術,經過不斷的演進,現在已經可以利用比對入侵模式的方式,即時中止攻擊入侵行為的發展。入侵防護系統之三項標準分析整理如下:
1.入侵防護不能阻礙企業日常之營運。當入侵防護系統上線之後,網路型的入侵防護系統,不應影響到網路的效能,產生延遲效應。然而主機型的入侵防護系統,則不得佔用10%以上的系統資源。日常的網路流量或主機運算,應不論入侵防護系統的啟動與否,而出現差異[20]。阻絕功能應該在即時或接近即時的狀況下運作,延遲只能出現千分之一秒的差異。
2.惡意入侵的阻絕功能,應當採用多種演算法。入侵防護的功能,應當包含特徵比對式(signature-based)的阻絕能力,也不能僅止於提供這種類似於防毒功能的阻絕方式,入侵防護應當支援安全政策、異常偵測等不同的演算法。這些演算法必須在標準防火牆等網路層級之上的應用程式層運作。
3.入侵防護系統必須能夠分辨攻擊事件和正常事件的不同。成熟的入侵防護系統,阻絕率應比第一代的入侵防護系統(傳統防火牆)高。不過,系統不可能是完美的,具有提醒管理人員可疑事件,以便做進一步調查的功能,是必要的。這也正是被視為預警系統的入侵偵測功能。
四、入侵偵測防護整合系統
雖然過去入侵偵測系統是最受到企業及政府機關歡迎的網路資訊安全系統,但是它卻不足以阻斷當網際網路中不斷發展的入侵者攻擊行為。入侵偵測系統它存在一個主要問題,就是它並不會主動在攻擊發生前阻斷攻擊的行為。同時它們不能偵測到較新的攻擊或舊式攻擊的進化型,也不能對加密流量中的攻擊進行檢測。正是因為大多數的入侵偵測系統都是被動的,而並不是主動性的,也就是說,在攻擊發生之前,它們往往無法預先發出警報。
入侵偵測防護整合系統(Intrusion Detection and Prevention),簡稱IDP。IDP提供入侵偵測及防護的雙重功能,可即時中止入侵行為,包括自動攔截攻擊封包,是一種主動防護型的安全產品,為近年來網路資訊安全產品的新寵兒。目前業界中大多將IDP定位為智慧型的安全產品,目前市面上可以見到不少網路資訊安全供應商的整合防火牆、入侵系統與企業虛擬網路等功能,並且推出整合型的入侵偵測與防護功能網路資訊安全產品。
防火牆並無法透過HTTP通訊協定來控制網路版應用程式,即使是應用層防火牆與代理伺服器,也無法針對SQL Injection等特定攻擊作有效阻擋。因此,我們可在防火牆產品內安裝狀態監控技術與偵防阻斷式攻擊的功能,使IDP具備原防火牆阻絕惡意封包資料的能力之外,同時能夠監測其他可能的入侵行為[21]。另外,入侵偵測防護整合系統通常可以自動學習與反應的能力,可在資料庫中建立各種新的入侵模式,當有攻擊事件發生,入侵偵測防護整合系統就能主動反應,以提供準確度,進而降低誤判誤報的機會。
值得我們注意的是,雖然主機型入侵偵測系統功能強大,然而網路型能對不同主機間的連線並對主機與網路外部的連線做有效的監控,而主機型只針對有安裝主機型入侵偵測的主機本身做有效防護(例如主機型入侵偵測無法有效防護port mapping或SYN floods這類利用TCP/IP協定本身在網路傳輸運作上的安全漏洞所進行的攻擊)。因此,網路型與主機型入侵偵測系統應相輔相成,缺一不可。所謂真正的深層防護體系就是,不僅能夠發現惡意的代碼,而且還能夠主動地阻止惡意代碼的攻擊。在現今入侵者威脅盛行的情況下,只有深層防護才可以確保網路的安全。我們主機系統中要有深層防護體系,那一定就要談到入侵防護系統。近幾年來入侵防護系統的的出現對於企業及政府機關等的網路資訊安全帶來了一大保障。入侵偵測系統近幾年雖然慢慢地普及了,但轉眼之間,由於科技不斷地進步,我們面臨的入侵攻擊威脅愈來愈複雜了,它已經變成了過時的網路資訊安全系統。
入侵防護系統則會提供主動性的防護,主要在預先對入侵攻擊行為和攻擊性的網路流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報。入侵防護系統是透過直接嵌入到網路流量中而實現這一功能的,即通過一個網路埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另外一個埠將它傳送到內部系統中。這樣一來,有問題的封包,以及所有來自同一資料流程的後續封包,都能夠在入侵防護系統中被清除掉。
結論
近來行政院資通安全會報努力的推動我國資通安全基礎建設和國際日益關切資安的問題下,資訊安全的重要性也深受重視。但由於網際網路的快速發展,加上駭客各式的工具程式得以在網路上輕鬆取得,使得有心人若懂得運用網路技術與基本概念,人人都有可能成為駭客或網路上的惡意威脅者,其中駭客常常利用程式本身已知的漏洞或結合網頁伺服器的弱點進行攻擊。因此,我們首先建議最基本的防範應當是做好三項網路安全基礎建設:防毒、防火牆與系統更新。但值得注意的是,隨著木馬、蠕蟲、病毒、間諜軟體[22]等網路攻擊的手法不斷演進翻新成為高威脅性的網路混和式攻擊,面對於網路上入侵者的威脅不斷出現,對於只有安裝防毒軟體等單一的防護功能的網路資訊安全系統軟體已經黔驢技窮,企業及政府機關等,他們所需要的是建立整合式的管理平台、有效即時的更新能力與落實修補程式管理以達到多層與深層防護能力。
參考資料
[1] 國內外入侵偵測系統的研究參考 http://addison.cis.nctu.edu.tw/second/project_2-3.htm
[2] 國家資通安全會報技術中心,2001資通安全報告書,2001年12月,國家資通安全會報。
[3] 方仁威、余俊賢,「內部網路遭駭客攻擊方式與防護之研究」,國防通信電子及資訊期刊,第7期,2005,頁次136~156。
[4] 巫坤品、王青青譯,「密碼學與網路安全原理與實務」,第三版,碁峰資訊股份有限公司,2004。
[5] 吳嘉龍、詹達穎、林豪利,「主動式網路攻防技術在資訊安全管理應用之研究」,2005通資電技術與應用研討會,頁次184~195。
[6] 盧興義,「危機管理在資訊安全上之研究」,國防通信電子及資訊期刊,第7期,2005,頁次34~59。
[7] 天網防火牆個人版防駭原理大公開,http://www.skynet.com.tw/
[8] CRETIX Security? Articles - 駭客教學 - 駭客入侵五個常用手段,http://www.hacker.org.tw/
[9] 郭秋田,「資訊安全專題報告--駭客攻防篇」,資安人,第8期,2004,頁次117~119。
[10] 陳東柏,「駭客入侵與防護」,資安人,第14期,2004,頁次82~83。
[11] 數位聯合電信,「強化防禦深度結合行動安全防護--多層次資安防禦」,資安人,第12期,2004,頁次86~87。
[12] 賽門鐵克網路安全威脅研究報告,2004年3月,第5期,http://www.sym.htm
[13] 路克,「入侵防禦系統雷聲大雨點小(上)(下)」,資安人,網路安全專題聚焦,http://www.isecutech.com.tw/feature/view.asp
[14] 洪國興、季延平、趙榮耀,「資訊安全政策對資訊安全的影響(上)」,資安人,第5期,2004,頁次113~116。
[15] 多功能防火牆新市場--資安廠商重裝上陣 http://www.informationsecurity.com.tw/feature
[16] 如何選購入侵防禦系統. http://product.ccidnet.com/page? ... p;amp;columnID=1616
[17] 檢測IDS防禦IPS各具優勢 http://product.ccidnet.com/page
[18] CNET企業新知,入侵偵測與預防 IDP http://www.taiwan.cnet.com/enterprise
[19] CNET科技新知,企業安全走向入侵防護 http://taiwan.cnet.com/enterprise/technology
[20] 林勤經、柴惠珍、劉忠明、林建宏,「內部網路遭駭客攻擊方式與防護之研究國軍各總部資訊中心人員對資訊安全認知研究」,國防通信電子及資訊期刊,第4期,2004,頁次1~22。
[21] 陳育毅、詹進科、林育生、王志逸,「資訊安全應用系統開發實務」,碁峰資訊股份有限公司,2004.
[22] 徐祥智,「誰能擋住間諜軟體邪功大成」,網路資訊期刊,第6期,2005,頁次58~64。
吳嘉龍中校,空軍航空技術學院一般學科部航空通訊電子系、國防大學中正理工學院電機系電子工程組學士77年班、美國空軍理工學院電機系資訊科學研究所碩士84年班、國防大學中正理工學院國防科學研究所博士93年班,經歷電子官、教官、區隊長、講師。 |
|
傳送訊息
發表於 06-6-18 11:31:46