資訊安全概念 - 資通安全研發中心- 國立成功大學
資訊安全概念 - 資通安全研發中心- 國立成功大學
資訊安全概念 - 資通安全研發中心- 國立成功大學
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
資 訊 安 全 概 念<br />
主 講 人 : 賴 溪 松 教 授<br />
國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任<br />
國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授<br />
TEL:(06)2757575 ext 61001/61020<br />
E-mail:laihcs@eembox.ncku.edu.tw<br />
http://crypto.ee.ncku.edu.tw/<br />
FAX:(06)274-3533<br />
1
大 綱<br />
• 成 大 資 通 安 全 研 發 中 心 簡 介<br />
• 資 訊 安 全 簡 介<br />
• 資 訊 安 全 服 務<br />
• 資 訊 安 全 等 級<br />
• 結 論<br />
2<br />
Cryptology & Network Security Lab.
簡 介<br />
• 本 中 心 成 立 民 國 九 十 三 年 五 月 , 主 要 致 力 於<br />
研 究 PKI、 資 通 安 全 、 技 術 系 統 的 開 發 及 實<br />
務 應 用 , 以 及 網 路 安 全 測 試 平 台 之 建 置 與 使<br />
用 推 廣 , 藉 以 提 升 我 國 的 資 訊 安 全 領 域 的 研<br />
究 能 量 。<br />
3<br />
Cryptology & Network Security Lab.
宗 旨 與 業 務<br />
• 從 事 資 通 訊 安 全 之 研 究 。<br />
• 推 廣 資 通 訊 安 全 之 應 用 與 發 展 。<br />
• 公 、 民 營 機 構 相 關 資 通 訊 安 全 之 委 託 研 究 。<br />
• 國 內 外 資 通 訊 安 全 研 究 之 交 流 與 合 作 。<br />
• 資 通 訊 安 全 之 人 才 培 訓 、 培 育 及 技 術 推 廣 。<br />
• 其 他 與 資 通 訊 安 全 相 關 之 工 作 。<br />
4<br />
Cryptology & Network Security Lab.
成 大 資 通 安 全 研 發 中 心 -<br />
組 織 架 構 圖<br />
成 大 資 通 安 全 研 發 中 心<br />
網<br />
路<br />
安<br />
全<br />
組<br />
系<br />
統<br />
安<br />
全<br />
組<br />
Cryptology & Network Security Lab.<br />
5<br />
訓<br />
練<br />
推<br />
廣<br />
組<br />
行<br />
政<br />
組
現 有 研 究 人 力<br />
姓 名 現 職 研 究 專 長<br />
賴 溪 松 成 功 大 學 電 機 系 教 授 兼 計 網 中 心 主 任 PKI、 密 碼 學 、 資 訊 安 全 、 改 錯 碼 、 通 訊 系 統<br />
鄭 博 仁<br />
高 苑 技 術 學 院 資 訊 管 理 系 教 授<br />
無 線 電 通 訊 安 全 、 智 慧 卡 和 資 訊 安 全 應 用 、 密 碼 分 析 、<br />
資 通 安 全 產 品 認 證 與 驗 證<br />
李 忠 憲 成 功 大 學 電 機 系 副 教 授 高 速 網 路 、 通 訊 網 路 、 資 訊 工 程 、 通 訊 工 程 、 網 路 安 全<br />
古 東 明 雲 林 科 技 大 學 資 訊 管 理 系 副 教 授 兼 電 算 中 心 主 任 資 訊 安 全 、 資 料 結 溝 與 演 算 法 、 資 料 庫<br />
鄭 進 興 樹 德 科 技 大 學 資 訊 管 理 系 副 教 授 兼 電 算 中 心 主 任 網 路 安 全 、 電 子 交 易 安 全<br />
郭 文 光 成 功 大 學 電 機 系 助 理 教 授 無 線 通 訊 、 寬 頻 網 路 、 網 路 安 全<br />
郭 文 中 虎 尾 科 技 大 學 資 工 系 助 理 教 授 無 線 網 路 、 資 訊 安 全 、 網 路 安 全 、 電 子 商 務<br />
鄭 伯 炤 中 正 大 學 通 訊 工 程 系 助 理 教 授 網 路 安 全 、 網 路 處 理 器<br />
曾 龍 興 國 管 理 學 院 資 科 系 助 理 教 授 資 料 探 勘 、 資 訊 安 全 、 量 子 密 碼<br />
戴 瑋 伶 專 任 助 理 行 政 、 會 計<br />
郭 建 邦 專 任 助 理 系 統 安 全<br />
林 雅 琪 專 任 助 理 系 統 安 全<br />
葉 昱 翔 專 任 助 理 網 路 安 全<br />
李 崇 誠 專 任 助 理 6 網 路 安 全<br />
Cryptology & Network Security Lab.
目 標<br />
• 研 發 網 路 安 全 機 制 及 安 全 認 、 驗 證 技 術 。( 含 無 線<br />
機 制 )<br />
• 資 訊 安 全 基 礎 建 設 最 佳 實 作 及 標 準 之 研 發 與 建<br />
置 。<br />
• 密 碼 模 組 及 可 信 賴 之 通 資 訊 系 統 安 全 需 求 測 試 、<br />
驗 證 及 認 證 。<br />
• 舉 辦 通 資 訊 安 全 教 育 訓 練 及 參 與 國 際 通 資 訊 安 全<br />
技 術 交 流 及 合 作 活 動 。<br />
7<br />
Cryptology & Network Security Lab.
技 術 研 發 (1/2)<br />
• 研 發 網 路 安 全 機 制 及 安 全 認 、 驗 證 技<br />
術 。( 含 無 線 機 制 )<br />
• 資 訊 安 全 基 礎 建 設 最 佳 實 作 及 標 準 之 研<br />
發 與 建 置 。<br />
• 密 碼 模 組 及 可 信 賴 之 通 資 訊 系 統 安 全 需<br />
求 測 試 、 驗 證 及 認 證 。<br />
• 舉 辦 通 資 訊 安 全 教 育 訓 練 及 參 與 國 際 通<br />
資 訊 安 全 技 術 交 流 及 合 作 活 動 。<br />
8<br />
Cryptology & Network Security Lab.
技 術 研 發 (2/2)<br />
• 研 究 微 軟 系 統 之 安 全 性 , 以 建 立 我 國 優 質 網 路 環 境 。<br />
• 建 立 滲 透 測 試 中 心 , 協 助 檢 驗 政 府 單 位 、 企 業 公 司 等<br />
在 資 訊 的 安 全 強 度 。<br />
• 網 路 安 全 顧 問 中 心 , 提 供 網 絡 安 全 顧 問 服 務 , 制 訂 網<br />
絡 安 全 解 決 方 案 。<br />
• 網 路 安 全 教 育 訓 練 中 心 , 規 劃 一 系 列 多 樣 性 之 網 路 安<br />
全 教 育 訓 練 課 程 , 以 培 育 我 國 更 多 資 安 人 才 。<br />
• 尋 求 國 際 合 作 , 目 前 已 和 澳 洲 QUT 和 法 國 巴 黎<br />
Eurecom 大 學 及 歐 盟 , 以 及 未 來 與 美 國 Mini-Internet<br />
Testbed 計 畫 相 關 學 府 等 相 互 交 流 。<br />
9<br />
Cryptology & Network Security Lab.
網 路 安 全 技 術 -PKI 技 術 研 發 (1/2)<br />
應 用 程 式 伺 服 器 一<br />
AP Server 1<br />
工 作 站<br />
IC Card<br />
自 然 人 憑 證<br />
I<br />
C<br />
A<br />
R<br />
U<br />
S<br />
Internet<br />
WWW<br />
I<br />
C<br />
A<br />
R<br />
U<br />
S<br />
Middle<br />
Wares<br />
資 料<br />
認 證 伺 服 器<br />
伺 服 器 群<br />
AP Server 2<br />
應 用 程 式 伺 服 器 二<br />
Authentication Server 架 構 圖<br />
10<br />
Cryptology & Network Security Lab.
網 路 安 全 技 術 -PKI 技 術 研 發 (2/2)<br />
本 研 究 室 在 公 開 金 鑰 基 礎 建 設 (Public Key Infrastructure,<br />
PKI) 方 面 已 進 行 許 多 相 關 且 深 入 的 研 究 , 現 開 發 出 一 套 可<br />
利 用 內 政 部 自 然 人 憑 證 IC 卡 登 入 Windows 的 程 式 . 將 來<br />
凡 是 現 行 使 用 帳 號 / 密 碼 才 能 登 入 使 用 的 系 統 , 都 可 以 考 慮<br />
使 用 本 套 程 式 來 取 代 , 如 此 做 的 好 處 是 安 全 性 大 為 提 高 , 因<br />
為 沒 有 使 用 者 的 內 政 部 自 然 人 憑 證 IC 卡 , 將 無 法 登 入<br />
windows 使 用 系 統 ; 能 夠 確 實 防 止 他 人 任 意 使 用 個 人 電 腦 .<br />
左 圖 為 登 入 流 程 說 明 圖 , 底 下 僅 就 利 用 自 然 人 憑 證 IC 卡 登 入<br />
Windows XP 的 流 程 說 明 :<br />
1. 將 自 然 人 憑 證 IC 卡 插 入 讀 卡 機 中<br />
2. 輸 入 自 然 人 憑 證 IC 卡 存 取 PIN 碼 , 驗 證 IC 卡 中 的 憑 證 資<br />
訊 與 系 統 儲 存 的 是 否 相 同 .<br />
3. 驗 證 憑 證 資 訊 無 誤 則 將 加 密 儲 存 在 系 統 中 的 使 用 者 名 稱<br />
及 密 碼 解 開<br />
4. 利 用 解 開 後 的 使 用 者 名 稱 及 密 碼 進 行 登 入<br />
5. 完 成 登 入 程 序 進 入 Windows<br />
6. 開 始 使 用 Windows<br />
11<br />
Cryptology & Network Security Lab.
台 灣 網 路 安 全 測 試 平 台<br />
• 電 信 國 家 型 科 技 計 畫 辦 公 室 (NTPO) 特 委<br />
以 本 中 心 建 置 與 維 運 『 台 灣 網 路 安 全 測<br />
試 平 台 』, 為 國 內 網 路 安 全 領 域 提 供 一<br />
個 專 屬 的 實 驗 環 境 , 以 供 國 內 相 關 學 者<br />
專 家 能 進 行 更 多 前 瞻 性 資 安 技 術 研 究 、<br />
測 試 與 開 發 。<br />
• 現 有 設 備 已 經 超 過 500 萬 ,NTPO 並 將 持<br />
續 三 年 補 助 本 中 心<br />
12<br />
Cryptology & Network Security Lab.
網 路 安 全 測 試 平 台 建 置 目 的<br />
安 全 性 分 析<br />
以 已 知 的 方 法 或<br />
發 展 未 知 技 術 進<br />
行 各 種 系 統 、 軟<br />
體 、 駭 客 攻 擊 手<br />
法 等 的 安 全 性 分<br />
析 , 提 供 相 關 漏<br />
洞 資 訊 及 防 範 的<br />
方 法 。<br />
學 術 界 研 究 發 展<br />
可 快 速 提 供 實 驗<br />
環 境 需 求 及 結 合<br />
理 論 創 建 、 模 擬<br />
分 析 、 實 驗 的 漸<br />
進 式 研 究 流 程 ,<br />
增 強 資 安 研 究 的<br />
深 度 。<br />
教 育 訓 練<br />
提 供 網 路 安 全 事<br />
件 的 真 實 重 現 ,<br />
提 供 針 對 網 管<br />
人 員 或 相 關 人 員<br />
反 覆 訓 練 , 學 習<br />
與 增 強 網 安 事 件<br />
發 生 時 的 應 變 能<br />
力 過 程 經 驗 。<br />
13<br />
Cryptology & Network Security Lab.
網 路 安 全 測 試 平 台 定 位<br />
Secure Environment<br />
Information Provider<br />
(CERT)<br />
Best Practice<br />
( 區 域 聯 防 )<br />
Security<br />
Analysis<br />
Research<br />
and<br />
Development<br />
Training<br />
Taiwan Network Security Testbed<br />
14<br />
Cryptology & Network Security Lab.
網 路 安 全 測 試 平 台 之 需 求<br />
有 效 成 本<br />
管 理 面<br />
功 能 面<br />
測 試 設 備<br />
限 制 性<br />
多 變 性<br />
健 全 性<br />
存 取 管 制<br />
政 策 面<br />
安 全 政 策<br />
安 全 性<br />
可 控 制 性<br />
精 確 性<br />
技 術 面<br />
15<br />
Cryptology & Network Security Lab.
測 試 平 台 研 究 主 題<br />
數 位 鑑 識<br />
滲 透 測 試<br />
IPv6 網 路<br />
安 全<br />
數 據 保 全<br />
台 灣 網 路 安<br />
全 測 試 平 台<br />
無 線 網 路<br />
安 全<br />
資 訊 戰<br />
智 慧 型 與 分<br />
散 式 IDS<br />
16<br />
Overlay<br />
網 路 安 全<br />
Cryptology & Network Security Lab.<br />
Ad Hoc<br />
網 路 安 全
第 一 年 成 果 - 台 灣 網 路 安 全 測 試 平 台 建 置 與 維 運 (1/2)<br />
• 增 買 20 台 電 腦 , 總 共 達 到 80 台 電 腦 。<br />
• 增 購 3 台 企 業 級 電 腦 伺 服 器 , 並 建 置 一 個 小 型 企 業 網 路 環 境 。<br />
• 建 置 IPv6 網 路 環 境 。<br />
• 增 購 無 線 網 路 設 備 並 建 置 其 環 境 。<br />
• 增 購 硬 體 式 火 防 牆 與 入 侵 偵 測 系 統 設 備 , 並 建 置 至 Testbed 網 路 環 境 中 。<br />
• 整 合 遠 端 登 入 雛 型 系 統 至 Testbed 網 路 17 環 境 中 。<br />
Cryptology & Network Security Lab.
0.72<br />
0.71<br />
0.7<br />
0.69<br />
第 一 年 成 果 - 台 灣 網 路 安 全 測 試 平 台 建 置 與 維 運 (2/2)<br />
維 運 部 份 -Testbed 使 用 率<br />
2004 年 Testbed 使 用 率 統 計 圖<br />
0.71<br />
0.7<br />
0.69<br />
2005 年 1-5 月 Testbed 使 用 率 統 計 圖<br />
0.68<br />
0.67<br />
使 用 率<br />
0.68<br />
0.67<br />
使 用 率<br />
0.66<br />
0.66<br />
0.65<br />
0.65<br />
0.64<br />
1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月<br />
• 服 務 及 使 用 對 象<br />
• 目 前 已 提 供 成 功 大 學 、 虎 尾 科 技 大 學 、 南 台 科 技 大 學 、 台 南 女 子 技 術 學 院 、<br />
南 榮 技 術 學 院 之 通 訊 教 改 計 畫 , 進 行 與 網 路 安 全 相 關 課 程 實 習 。<br />
• 支 援 4 件 國 科 會 計 畫 使 用 Testbed 進 行 相 關 研 究 :<br />
1. 基 於 行 動 代 理 人 之 分 散 式 阻 絕 服 務 攻 擊 之 研 究 分 析 與 防 護<br />
2.A Framework of Defending Application Level DDoS Attacks<br />
3. 混 合 式 無 線 網 路 即 時 入 侵 偵 測 與 安 全 稽 核 之 研 究<br />
4. 侵 偵 測 系 統 之 SOC 硬 體 實 現<br />
• 協 助 一 家 廠 商 於 Testbed 中 進 行 開 發<br />
18<br />
中 資 安 產 品 之 測 試 。<br />
Cryptology & Network Security Lab.<br />
0.64<br />
1 月 2 月 3 月 4 月 5 月
第 一 年 成 果 - 學 術 研 究 (1/2)<br />
• 理 論 研 究<br />
• Computer Forensic<br />
• Overlay 網 路 安 全 研 究<br />
• DDoS 攻 擊 與 防 禦 研 究<br />
• overlay network 技 術 防 禦 DDoS 攻 擊 之 研 究<br />
• 以 預 防 為 基 礎 之 網 路 聯 防 策 略 之 研 究<br />
• 以 旁 波 段 網 路 (out-of-band network) 強 化 網 路 安 全<br />
• Wireless Security and Ad Hoc Security<br />
• IPv6 Security<br />
• 實 務 研 究<br />
• DNSSEC 開 發<br />
• Buffer Overflow 技 術 及 防 護 研 究<br />
• 6IDS 開 發<br />
19<br />
Cryptology & Network Security Lab.
第 一 年 成 果 - 學 術 研 究 (2/2)<br />
• 已 發 表 14 篇 文 章 或 論 文 於 國 內 外 知 名 期 刊 、 研 討 會 與 雜 誌 上 。<br />
名 稱 作 者 特 色<br />
Comparative Survey of Local Honeypot Sensors to Assist Network<br />
Forensics<br />
Packet Tracing & Reassembly Utilizing Session Analysis and Hash<br />
Function<br />
VoIP/Instant Message Monitoring System based on SIP & ENUM<br />
DNSSEC 網 路 安 全 防 護 暨 驗 證 系 統<br />
使 用 DNSSEC 機 制 之 DNS 伺 服 器 簡 易 安 全 防 護 暨 驗 證 系 統<br />
Enabling Legacy Networks to Successfully Provide Defense-In-<br />
Depth for SIP Applications<br />
Protection of Dynamic Routing Information Fields in AODV<br />
Design and Implementation of an IPv6-enabled Intrusion Detection<br />
System (6IDS)<br />
Detecting 4to6 DDoS Attacks on IPv6Network by Misuse Detection<br />
Technology<br />
IHPM: A Fast Pathfinder and Intrusion Source Identifier for DDoS<br />
Attacks<br />
A Hierarchical Cooperative Defending System against DDoS<br />
Attacks<br />
以 Overlay Network 防 禦 DDoS 攻 擊<br />
以 預 防 為 基 礎 之 網 路 聯 防 策 略 之 研 究<br />
P. T. Chen, F. Pouget, M.Dacier, and C. S. Laih<br />
Tung-Ming Koo, Yi-Hsien Chiu,Chih-Chang<br />
Shen<br />
Tung-Ming Koo, Chia-Hui Lin, Chih-Chang Shen<br />
鄭 進 興 、 陳 威 安<br />
陳 威 安<br />
Bo-Chao Cheng and Chia Shaun Hsu<br />
J. M. Hour, W. C. Kuo and C. S. Laih<br />
Benjamin Tseng, Chi-Yuan Chen, Chi Sung Laih<br />
Ching Feng Wang, Chi-Yuan Chen,<br />
Benjamin Tseng, Chi Sung Laih<br />
Bo-Chao Cheng, Ching-Fu Huang, Er-Kai Tsao<br />
周 立 德 、 林 伯 昇<br />
陳 俊 傑<br />
周 立 德<br />
1. 鑑 識 研 究<br />
2. 國 際 跨 校 合 作<br />
探 討 鑑 識 機 制<br />
探 討 VoIP 安 全 機 制<br />
探 討 DNS 安 全 機 制<br />
1. 探 討 DNS 安 全 機 制<br />
2. 碩 士 論 文<br />
SIP 研 究<br />
1. 探 討 路 由 協 定<br />
2. 跨 校 合 作<br />
1. 國 內 第 一 個 IPv6 IDS 實 作<br />
2. 跨 校 合 作<br />
1. 研 究 IPv6 IDS 偵 測 技 術<br />
2. 跨 校 合 作<br />
DDoS 攻 擊 研 究<br />
DDoS 攻 擊 研 究<br />
1.DDoS 防 禦 研 究<br />
2. 碩 士 論 文<br />
DDoS 防 禦 研 究<br />
利 用 旁 波 段 網 路 達 到 入 侵 容 錯<br />
20<br />
陳 奕 明 、 孫 文 駿<br />
Cryptology & Network Security Lab.<br />
DDoS 防 禦 研 究
第 一 年 成 果 - 系 統 開 發<br />
Middleware<br />
Dynamic Equipment<br />
IPv6<br />
實 驗<br />
模 組<br />
User<br />
ID PW<br />
Primary<br />
Sign-On<br />
Authentication<br />
Exchange<br />
Authentication<br />
Server<br />
Trust<br />
Resource<br />
Server<br />
ID PW<br />
ID PW<br />
ID PW<br />
Token<br />
Validation<br />
Account and<br />
Credential<br />
Management<br />
Access<br />
Control<br />
A. 基 本 實 驗 選 擇<br />
1. DDoS 攻 擊<br />
2. IP Spoofing 攻 擊<br />
3. Email Attack<br />
4. 密 碼 破 解<br />
B. 進 階 實 驗 選 擇<br />
1. Overlay Network<br />
2. Buffer Overflow 偵 測<br />
3. Ad Hoc 網 路 安 全<br />
4. 無 線 網 路 安 全<br />
5. IPv6 網 路 安 全<br />
Middleware<br />
Dynamic Equipment<br />
Buffer<br />
Overflow<br />
實 驗 模 組<br />
ogical?providers of<br />
authentication/SSO/Trust<br />
Testbed<br />
Middleware<br />
Dynamic Equipment<br />
系 統 掃 瞄<br />
實 驗 模 組<br />
遠 端 登 入 實 驗 系 統<br />
• 目 前 已 開 發 出 Single Sign-On System、 實 驗 申 請 排 程 系 統 、 後<br />
端 實 驗 平 台 之 雛 型 系 統 , 並 已 初 步 整 合 至 Testbed 網 路 環 境 中 。<br />
• 預 計 於 明 年 初 NTP 成 果 展 中 進 行 展 示 。<br />
21<br />
Cryptology & Network Security Lab.
第 一 年 成 果 - 國 際 交 流<br />
• 與 法 國 Eurecom Honeypot 國 際 合 作 。<br />
• 參 加 ICT-Asia 2004 會 議 , 推 廣 我 國<br />
TWANST 建 置 與 研 究 成 果 。<br />
• 積 極 參 與 美 國 Mini Internet Testbed 計<br />
畫 , 並 將 於 七 月 初 拜 訪 Emulab( 位 於 Utah)<br />
與 DETER( 位 於 USC)。<br />
• 台 灣 Euro-Taiwan 計 畫 會 議 中 TWANST<br />
獲 得 歐 盟 人 士 熱 烈 的 回 響 。<br />
22<br />
Cryptology & Network Security Lab.
第 一 年 成 果 - 教 育 訓 練<br />
• 學 界 資 安 教 育 訓 練 課 程 ( 總 共 370 人 次 )<br />
• 93/11/22~24 日 於 興 國 管 理 學 院 , 舉 辦 為 期 三 天 的 滲 透 測 試 (Penetration<br />
Test) 教 育 訓 練 , 課 程 涵 蓋 了 教 學 與 實 習 。( 總 共 70 人 次 )<br />
• 94/5/6 於 成 功 大 學 , 舉 辦 為 期 一 天 的 「 網 路 安 全 」 教 育 訓 練 課 程 ( 總 共 80 人 次 )<br />
• 將 於 94/6/30~7/2 於 世 新 大 學 , 舉 辦 為 期 三 天 的 「 安 全 確 保 與 鑑 識 技 術 」 教 育<br />
訓 練 課 程 。( 預 計 70 人 次 )<br />
• 將 於 94/7/1 於 成 功 大 學 , 舉 辦 為 期 一 天 的 區 域 聯 防 總 中 心 內 部 教 育 訓 練 。( 預 計<br />
50 人 次 )<br />
• 將 於 94/7/4~7/6 於 成 功 大 學 , 舉 辦 為 期 三 天 的 「2005 資 訊 安 全 研 習 營 」 教 育 訓<br />
練 課 程 , 課 程 內 容 涵 蓋 了 教 學 與 實 習 。( 預 計 100 人 次 )<br />
‧ 協 助 規 劃 今 年 大 學 聯 招 首 次 線 上 填 選 志 願 系 統 , 安 全 機 制 測 試 與 資 安 人 員 網 路 安<br />
全 課 程 訓 練 。<br />
‧ 教 育 訓 練 教 材<br />
23<br />
Cryptology & Network Security Lab.
跨 國 合 作 Honeynet 技 術<br />
1. 分 析 台 灣 網 路 的 駭 客 來 源 、<br />
習 性 、 及 行 為 等<br />
NIDS<br />
2. 了 解 全 球 網 路 的 駭 客 來<br />
源 、 習 性 、 及 行 為 等<br />
Syslog<br />
Server<br />
Sendmail Mail<br />
Server<br />
WINDOWS<br />
2000<br />
Honeynet<br />
FTP<br />
Server<br />
3. - 記 錄 並 分 析 駭 客 行 為<br />
- 收 集 入 侵 證 據 , 分 析<br />
過 去 防 範 未 來<br />
Apache Web<br />
Server<br />
Linux<br />
設 計 有 缺 陷 系 統 及 網 路 環 境<br />
24<br />
Cryptology & Network Security Lab.
25<br />
Cryptology & Network Security Lab.
Honeypot 資 料 分 析<br />
大 部 分 攻 擊 台 灣 Honeypot 平 台 的 國 家 都 來 自 於 同 一 個 Domain— 台 灣<br />
(68%), 但 這 種 現 象 在 其 他 Honeypot 平 台 上 ( 如 Eurecom) 則 未 發 現<br />
26<br />
Cryptology & Network Security Lab.
Domain 進 一 步 分 析 —<br />
大 部 分 攻 擊 來 自 學 術 網 路 (ncku.edu.tw) 與 HiNet<br />
Domain Name Number of Sources Rate (%)<br />
.edu.tw 7738 31.77562<br />
.hinet.net 4009 16.46271<br />
.ne.jp 887 3.642411<br />
.net.tw 819 3.363173<br />
.dsl-verizon.net 552 2.266754<br />
.interbusiness.it 546 2.242116<br />
.t-dialin.net 331 1.359231<br />
Domain Name<br />
Number of<br />
Sources<br />
Rate (%)<br />
.ncku.edu.tw 5977 24.5462<br />
.dynamic.hinet.net 3375 13.86037<br />
.hinet-ip.hinet.net 634 2.603696<br />
.ocn.ne.jp 525 2.156057<br />
.seed.net.tw 451 1.852156<br />
.dip.t-dialin.net 331 1.359343<br />
.tnrc.edu.tw 322 1.322382<br />
.or.jp 289 1.186761<br />
.ntou.edu.tw 283 1.162218<br />
.proxad.net 284 1.166229<br />
.plala.or.jp 278 1.141684<br />
.shawcable.net 236 0.96912<br />
.pooles.rima-tde.net 227 0.932238<br />
ohters 8661 35.56587 27<br />
Cryptology & Network Security Lab.<br />
others 11947 49.06366
Ports sequences 的 統 計<br />
— 可 發 現 最 新 攻 擊 趨 勢<br />
March 2005 April 2005 May 2005<br />
Total events 1734 Total events 2697 Total events 3787<br />
135 (22.71%)<br />
1025 (16.01%)<br />
80 (7.93%)<br />
139 (5.39%)<br />
135, 1025 (5.24%)<br />
135, 1025, 139<br />
(4.88%)<br />
4899 (3.64%)<br />
22 (2.69%)<br />
5554, 1023, 9898<br />
(1.60%)<br />
Others (29.91%)<br />
135 (50.17%)<br />
80 (7.97%)<br />
1025 (4.15%)<br />
22 (3.34%)<br />
4899 (3.34%)<br />
139 (2.15%)<br />
5554, 1023, 9898<br />
(1.63%)<br />
8080 (1.19%)<br />
Others (26.06%)<br />
28<br />
Cryptology & Network Security Lab.<br />
135 (62.34%)<br />
1025 (7.84%)<br />
80 (5.04%)<br />
139 (4.33%)<br />
22 (1.87%)<br />
135, 1025, 139<br />
(1.32%)<br />
3306 (1.08%)<br />
4899 (1.08%)<br />
Others (15.10%)
目 前 進 行 之 工 作 — 國 際 交 流<br />
• 與 美 國 Mini Internet Testbed 計<br />
畫 進 行 國 際 合 作 。<br />
• 與 法 國 進 行 國 際 合 作 ICT Asia-<br />
Security of the digital<br />
infrastructure 計 畫 , 參 加 國 家 有<br />
台 灣 、 法 國 、 新 加 坡 、 馬 來 西 亞<br />
共 四 國 十 一 個 單 位 。<br />
• 與 中 華 民 國 資 訊 安 全 學 會 合 辦<br />
ACM Symposium on<br />
Information, Computer and<br />
Communications Security 研 討<br />
會 。<br />
• 舉 辦 國 際 性 研 討 會 ─「 第 一 屆<br />
SADFE 2005 國 際 數 位 鑑 識 研 討<br />
會 」( 論 文 集 已 簽 約 由 IEEE 出<br />
版 )。<br />
• 協 助 法 務 部 辦 理 2005 年 國 際 鑑 識<br />
29<br />
科 學 研 討 會 (International<br />
Cryptology & Network Security Lab.
目 前 進 行 之 教 育 訓 練 (1/2)<br />
• 協 助 教 育 部 規 劃 TANet 大 專 院 校 ISMS 計 畫 及 推 廣 與 課 程 教 育 訓<br />
練 。<br />
• 協 助 教 育 部 通 訊 科 技 教 育 改 進 計 畫 進 行 網 路 安 全 課 程 之 訓 練 。<br />
30<br />
Cryptology & Network Security Lab.
目 前 進 行 之 教 育 訓 練 (2/2)<br />
• 協 助 國 家 資 通 安 全 會 報 技 服 中 心 , 區 域 聯 防 計 畫 進 行 計 畫 成 員 之<br />
培 訓 。<br />
• 協 助 國 家 相 關 考 試 之 資 安 系 統 人 員 培 訓 ( 例 如 : 大 學 聯 招 )。<br />
• 7 月 份 舉 辦 資 安 課 程 ( 免 費 , 每 年 約 40 名 , 建 議 由 老 師 推 薦 新 研 究<br />
生 來 接 受 短 期 訓 練 )<br />
• TCP/IP 介 紹 、 基 礎 密 碼 學<br />
• 網 路 安 全 管 理 工 具 應 用<br />
• 電 腦 病 毒 與 蠕 蟲 、 防 駭 工 具 應 用 分 析 等<br />
• 8 月 份 開 課 資 安 課 程 ( 中 、 高 階 課 程 , 並 收 費 )<br />
• 安 全 性 程 式 設 計<br />
• 路 由 器 高 階 安 全 攻 防 課 程<br />
• CISSP 安 全 認 證 課 程 等<br />
• 資 安 訓 練 教 材 製 作 編 撰<br />
31<br />
Cryptology & Network Security Lab.
資 訊 安 全 簡 介<br />
32
網 路 安 全 事 件 層 出 不 窮<br />
1. 2000 年 遭 受 DDoS 攻 擊 造 成 yahoo、eBay、CNN、Amazon 等 商 業 網 站 癱 瘓 達 數 小<br />
時 之 久 。<br />
2. 2001 年 CodeRed 與 Nimda 蠕 蟲 造 成 全 球 830 萬 台 電 腦 感 染 、<br />
3. 2003 年 SQL Slammer Worm 攻 擊 企 業 網 站 資 料 庫 , 造 成 美 洲 及 亞 洲 地 區 的 網 路 嚴 重<br />
癱 瘓 。<br />
4. 2003 年 8 月 Blast 病 毒 利 用 Windows 系 統 漏 洞 進 行 散 佈 , 亦 造 成 全 球 重 大 損 失 。<br />
5. 2004 年 1 月 底 Mydoom 病 毒 更 以 最 高 一 秒 鐘 感 染 1200 封 電 子 郵 件 , 造 成 全 球 網 路 的<br />
重 大 損 失 。<br />
6. 2004 年 5 月 Sasser 病 毒 再 次 針 對 Windows 作 業 系 統 漏 洞 進 行 傳 染 攻 擊 。<br />
7. 2004 年 5 月 我 國 刑 事 局 偵 九 隊 破 獲 木 馬 程 式 惡 意 攻 擊 竊 密 案 , 已 有 上 百 企 業 受 害 。<br />
33<br />
Cryptology & Network Security Lab.
2003 年 我 國 政 府 單 位 遭 受 攻 擊 位<br />
居 全 球 前 五 名<br />
2003 年 1 月 份<br />
計 有 19 次 攻 擊<br />
2003 年 總 共 計<br />
有 92 次 攻 擊<br />
34 資 料 來 源 ..mi2g<br />
Cryptology & Network Security Lab.
微 軟 OS 為 駭 客 主 要 攻 擊 對 象<br />
35<br />
Cryptology & Network Security Lab.<br />
資 料 來 源 :mi2g
資 訊 安 全 攻 擊 方 式 (1/2)<br />
• 被 動 式 攻 擊<br />
• 敏 感 資 訊 的 窺 視<br />
• 通 訊 量 分 析<br />
• 通 信 位 址<br />
• 敏 感 資 訊 長 度<br />
• 敏 感 資 訊 頻 次<br />
• 檔 頭 資 料<br />
• 被 動 攻 擊 方 式 祇 能 被 預 防 , 但 很 難 被 偵 測<br />
36<br />
Cryptology & Network Security Lab.
資 訊 安 全 攻 擊 方 式 (2/2)<br />
• 主 動 式 攻 擊<br />
• 敏 感 資 訊 被 更 改 、 消 除 、 延 遲 、 複 製 等<br />
• 系 統 中 斷 或 破 壞 ( 如 傳 送 大 量 垃 圾 資 料 , 使 系<br />
統 當 機 )<br />
• 冒 名 傳 送 假 資 料<br />
• 否 認 已 傳 送 或 已 接 收 資 料 ( 合 法 使 用 者 之 攻<br />
擊 方 式<br />
• 主 動 攻 擊 方 式 可 以 被 偵 測 , 但 很 難 被 預 防<br />
37<br />
Cryptology & Network Security Lab.
資 訊 安 全 服 務<br />
• 資 料 完 整 性 (Integrity): 確 保 所 收 到 的 資 訊 不 被<br />
篡 改 、 重 送 、 遺 失<br />
• 資 料 來 源 認 証 (authentication): 確 保 所 收 到 的 資<br />
料 確 實 為 某 人 所 傳 送<br />
• 存 証 (non-repudiation): 使 發 送 端 不 可 否 認 送 出<br />
某 一 資 料 , 接 收 端 不 可 否 認 曾 接 收 某 資 料<br />
• 資 料 隱 密 性 (Confidentiality): 防 止 敏 感 資 料 被 竊<br />
取 , 非 法 取 得 或 洩 露<br />
• 存 取 控 制 (Access Control): 防 止 非 法 存 取 資 料<br />
38<br />
Cryptology & Network Security Lab.
計 算 機 安 全 ( 端 點 系 統 安 全 )<br />
• 三 大 防 護 措 施<br />
(1) 人 身 份 認 証<br />
• 辨 識 使 用 者 身 份 , 阻 擋 不 法 人 員 進 入 系 統 。<br />
• 提 供 合 法 人 員 的 真 實 身 份 , 以 供 存 取 控 制 及 稽 核 追<br />
蹤 之 用 。<br />
• 第 一 道 也 是 最 重 要 的 一 道 防 線 。<br />
(2) 存 取 控 制<br />
• 提 供 安 全 政 策 以 規 範 合 法 使 用 者 在 一 定 範 圍 內 從 事<br />
資 訊 之 存 取 , 以 避 免 非 法 存 取 資 料 。<br />
(3) 稽 核 追 蹤<br />
• 記 錄 與 追 蹤 所 有 與 安 全 相 關 之 事 件 並 且 保 護 這 些 追<br />
39<br />
蹤 記 錄 , 以 利 事 後 查 核 或 即 時 提 供 不 尋 常 的 訊 息 。<br />
Cryptology & Network Security Lab.
資 訊 系 統 安 全 等 級<br />
• 可 依 賴 計 算 機 系 統 評 估 準 則 (TCSEC) 將 資 訊 系<br />
統 安 全 程 度 分 成 下 列 等 級 。<br />
完 全 等 級<br />
D<br />
C1-C2<br />
B1-B3<br />
A<br />
使 用 環 境 說 明<br />
提 供 最 少 防 護 的 資 訊 使 用 安 全 環 境<br />
提 供 普 通 防 護 的 資 訊 使 用 安 全 環 境<br />
提 供 正 規 防 護 的 資 訊 使 用 安 全 環 境<br />
( 如 具 隱 密 性 , 電 子 交 易 , 商 業 秘 密 )<br />
提 供 特 別 防 護 的 資 訊 使 用 安 全 環 境<br />
( 如 政 府 外 交 , 國 防 , 都 巿 計 畫 等 )<br />
40<br />
Cryptology & Network Security Lab.
C2 標 準 必 須 滿 足<br />
1. 安 全 政 策 : 系 統 必 須 謹 遵 定 義 明 確 安 全 政 策 。<br />
2. 確 認 : 所 有 從 事 存 取 的 主 體 (Subject) 及 其 權 限<br />
(access right) 必 須 唯 一 的 定 義 。<br />
3. 標 識 : 所 有 物 件 (object) 均 須 標 識 安 全 等 級 。<br />
4. 可 說 明 性 : 必 須 具 有 稽 核 追 蹤 能 力 。<br />
5. 保 證 : 系 統 必 須 施 行 安 全 措 施 , 且 能 有 效 地 評 估<br />
並 證 明 安 全 措 施 可 被 執 行 。<br />
6. 持 續 的 保 護 : 其 執 行 基 本 需 求 的 安 全 機 制 , 必<br />
須 持 續 地 加 以 保 護 , 以 防 止 被 破 壞 或 非 法 篡<br />
改 。<br />
41<br />
Cryptology & Network Security Lab.
身 份 認 証<br />
• 1. 使 用 者 擁 有 什 麼 ?<br />
• 生 理 特 徵 : 指 紋 、 聲 紋 、 視 網 膜 等 。<br />
• 非 生 理 特 徵 : 識 別 證 、 磁 卡 、IC 卡 、 票 券 等 等 。<br />
• 2. 使 用 者 知 道 什 麼 ( 秘 密 )?<br />
• 如 : 通 行 碼<br />
• 必 須 為 亂 數<br />
• 不 可 與 他 人 分 享<br />
• 不 能 夠 在 任 意 時 間 內 改 變<br />
• 使 用 者 使 用 完 後 必 須 logout<br />
• 3. 結 合 上 述 二 者<br />
42<br />
Cryptology & Network Security Lab.
通 行 碼 認 証<br />
1. 安 全 通 道 : 通 行 碼 以 明 碼 傳 送 。<br />
2. 非 安 全 通 道 : 利 用 密 碼 技 術 做 挑 戰 與 回<br />
應 。<br />
• 例 如 : 挑 戰<br />
0 2 7 3 6 3 9 2<br />
3 1 5 4 5 6 7 1<br />
9 4 0 7 1 1 5 3<br />
6 8 2 8 9 0 3 0<br />
• 回 應<br />
• 規 則 : 在 每 一 行 裡 , 若 通 行 碼 之 數 字 出 現 , 則 必<br />
須 填 上 , 否 則 可 自 行 選 一 數 字 填 上 。<br />
43<br />
Cryptology & Network Security Lab.
存 取 控 制<br />
• 任 意 式 存 取 控 制<br />
檔<br />
案<br />
使 用 者<br />
U1<br />
U2<br />
U3<br />
U4<br />
F1 F2 F3 F4 F5<br />
4<br />
0<br />
1<br />
0<br />
2<br />
4<br />
3<br />
3<br />
0<br />
2<br />
4<br />
2<br />
1<br />
3<br />
0<br />
4<br />
0<br />
1<br />
0<br />
2<br />
0: 不 可 執 行<br />
1 : 可 執 行<br />
2: 可 讀 取<br />
3: 可 寫 入<br />
4: 擁 有 者<br />
44<br />
Cryptology & Network Security Lab.
命 令 式 存 取 控 制<br />
• 安 全 等 級 :<br />
• 將 主 體 ( 如 使 用 者 ) 及 物 件 ( 如 檔 案 ) 分 類 成 普<br />
通 (Unclassified)、 密 (Confidential)、 機 密<br />
(Secret) 及 極 機 密 (Topsecret)<br />
• 即 T > S > C > U ( 符 號 ‘>’ 為 高 於 )<br />
45<br />
Cryptology & Network Security Lab.
規 則<br />
1. 不 可 向 上 讀 取 (No read up): 等 級 低 的 主<br />
體 不 能 讀 取 高 等 級 之 物 件 。<br />
如 :<br />
T<br />
S<br />
S C<br />
U<br />
主 體 讀 取 物 件<br />
2. 不 可 向 下 寫 入 (No write down): 等 級 高 的<br />
主 體 不 能 寫 入 一 低 等 級 之 物 件 。<br />
如 :<br />
T<br />
S<br />
S C<br />
U<br />
46<br />
主 體 寫 入 物 件<br />
Cryptology & Network Security Lab.
木 馬 程 式 (Trojan Horse)<br />
47<br />
Cryptology & Network Security Lab.
安 全 技 術 與 電 腦 稽 核<br />
• 電 腦 稽 核 :<br />
• 事 先 稽 核 :<br />
• 實 際 資 料 稽 核 , 確 保 內 部 資 料 的 正 確 性 。<br />
• 事 後 稽 核 :<br />
• 目 標 :<br />
• 歷 史 資 料 的 稽 核 , 發 覺 或 追 查 可 疑 的 事 件 及 人 員 。<br />
• 確 保 所 有 運 作 均 按 既 定 安 全 政 策 執 行 。<br />
• 確 保 所 有 存 取 資 料 皆 獲 得 授 權 。<br />
• 確 保 所 有 資 料 均 經 適 當 處 理 及 其 正 確 性 。<br />
48<br />
Cryptology & Network Security Lab.
電 腦 稽 核 (1/2)<br />
• 目 標 :( 以 會 計 為 例 )<br />
• 所 有 交 易 運 作 皆 按 既 定 政 策 執 行<br />
• 所 有 交 易 皆 經 授 權<br />
• 所 有 交 易 皆 經 適 當 處 理 , 以 確 保 財 務 報 表 的 正 確 性<br />
• 發 展 及 使 用 審 計 軌 跡<br />
• 確 保 稽 核 証 據 不 被 遺 漏 、 更 改 及 破 壞<br />
• 利 用 稽 核 工 具 直 接 進 入 系 統 中 查 核<br />
• 稽 核 控 制<br />
• 註 : 資 訊 系 統 管 理 與 資 訊 系 統 稽 核 是 完 全 獨 立 的 個 體<br />
49<br />
Cryptology & Network Security Lab.
電 腦 稽 核 (2/2)<br />
• 假 設 :<br />
• 稽 核 程 式 軟 體 必 須 與 系 統 程 式 獨 立 且 無 法 被<br />
入 侵 ( 最 好 在 系 統 開 發 時 即 加 入 )。<br />
• 稽 核 人 員 必 須 可 被 信 任 且 被 有 效 授 權 與 認 證<br />
• 上 述 假 設 均 需 賴 網 路 安 全 技 術 方 可 達 成<br />
50<br />
Cryptology & Network Security Lab.
結 論<br />
安 全 性<br />
資 訊<br />
安 全<br />
功 能 性<br />
便 利 性<br />
51<br />
Cryptology & Network Security Lab.