2011年12月13日 星期二
2011年12月7日 星期三
2011年11月14日 星期一
資訊安全 , 社交工程 , 漏洞修補 的重要性
資訊安全:
資訊安全的種類
•硬體安全:包含硬體環境控制及人為管理控制等。
•軟體安全:包含資料安全、程式安全及通訊安全等
•個人安全防護:包含人身安全、個人隱私權安全、通訊(網路)安全等。
影響資訊安全的因素
•未經授權者(駭客)侵入電腦系統,竊取或更改資料甚至更動原系統設定
•合法使用電腦人員有意或無心,造成資料的毀損、竊取或系統破壞。
•資料在傳輸中途被截取、竊窺或變更
•電腦感染與傳遞病毒
網路安全的防護措施
•網路使用帳號,應由權責部門統籌管理設定
•網路密碼必須定期更換,且不得洩露他人,並於人員異動及職務變更時,註銷帳號或調整其使用權限
•下載資料或程式必須先確認無病毒感染後,再行下載。
•連線設備應使用防毒及合法版權軟體,嚴禁更動原系統設定
•為防範電腦遭到非法侵入,應該要設置防火牆(FireWall)
•設定警示訊號,隨時提醒系統管理或使用人員處理突發狀況
社交工程:
社交工程(social engineering )陷阱,通常是利用大衆的疏於防範的小詭計,讓受害者掉入陷阱。該技巧通常以 交 談 、 欺 騙 、 假 冒 或 口 語 用 字 等 方 式 , 從 合 法 用 戶 中 套 取 用 戶 系 統 的 秘 密 , 例 如 : 用 戶 名 單 、 用 戶 密 碼 及 網 絡 結 構。
社交工程技巧:操控人類心理的藝術
社交工程技巧涵蓋許多用以操控人類心理,使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套最常見於 Web 資安威脅攻擊中,利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。此外,社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。
社交工程技巧的演進
雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,包括許多類型的 Web 資安威脅在內,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。
漏洞修補:
安全性修補程式
安全性修補程式的目的在於填補安全性漏洞。意圖闖入系統的駭客會去尋找這些安全性漏洞。許多已發行的安全性更新都是針對用戶端 (常是瀏覽器) 的問題,這些更新可能與伺服器安裝有關,也可能無關。你必須以用戶端修補程式更新目前的用戶端基礎元件,並以系統管理修補程式更新伺服器上的用戶端建置區。
安全性更新系統
您的環境中如果有專用電腦來執行修補程式管理程序所需的步驟,這將會非常方便。這些系統提供了專屬位置來存放工具、修補程式、Hotfix、Service Pack 及文件。您可以在這些系統上執行修補程式分析、擷取及部署。本書將這些系統稱為「安全性更新系統」。
您的安全性更新系統應該位於一或多部可完全控制且絕對安全的專用電腦上,這些系統將用來部署及維護您環境中所有系統的安全性修補程式。安全性更新系統通常不需用到強力伺服器,因為這類系統的負擔通常很輕,但是伺服器的可用性必須很高,因為您必須依賴這些電腦,並使用最新的修補程式來保持環境的最新狀態。
為了正確部署安全性更新系統,電腦必須直接或間接透過 Internet 從信任的來源下載最新的修補程式資訊,以及存取負責保持其最新狀態的電腦。
資訊安全的種類
•硬體安全:包含硬體環境控制及人為管理控制等。
•軟體安全:包含資料安全、程式安全及通訊安全等
•個人安全防護:包含人身安全、個人隱私權安全、通訊(網路)安全等。
影響資訊安全的因素
•未經授權者(駭客)侵入電腦系統,竊取或更改資料甚至更動原系統設定
•合法使用電腦人員有意或無心,造成資料的毀損、竊取或系統破壞。
•資料在傳輸中途被截取、竊窺或變更
•電腦感染與傳遞病毒
網路安全的防護措施
•網路使用帳號,應由權責部門統籌管理設定
•網路密碼必須定期更換,且不得洩露他人,並於人員異動及職務變更時,註銷帳號或調整其使用權限
•下載資料或程式必須先確認無病毒感染後,再行下載。
•連線設備應使用防毒及合法版權軟體,嚴禁更動原系統設定
•為防範電腦遭到非法侵入,應該要設置防火牆(FireWall)
•設定警示訊號,隨時提醒系統管理或使用人員處理突發狀況
社交工程:
社交工程(social engineering )陷阱,通常是利用大衆的疏於防範的小詭計,讓受害者掉入陷阱。該技巧通常以 交 談 、 欺 騙 、 假 冒 或 口 語 用 字 等 方 式 , 從 合 法 用 戶 中 套 取 用 戶 系 統 的 秘 密 , 例 如 : 用 戶 名 單 、 用 戶 密 碼 及 網 絡 結 構。
社交工程技巧:操控人類心理的藝術
社交工程技巧涵蓋許多用以操控人類心理,使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套最常見於 Web 資安威脅攻擊中,利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。此外,社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。
社交工程技巧的演進
雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,包括許多類型的 Web 資安威脅在內,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。
漏洞修補:
安全性修補程式
安全性修補程式的目的在於填補安全性漏洞。意圖闖入系統的駭客會去尋找這些安全性漏洞。許多已發行的安全性更新都是針對用戶端 (常是瀏覽器) 的問題,這些更新可能與伺服器安裝有關,也可能無關。你必須以用戶端修補程式更新目前的用戶端基礎元件,並以系統管理修補程式更新伺服器上的用戶端建置區。
安全性更新系統
您的環境中如果有專用電腦來執行修補程式管理程序所需的步驟,這將會非常方便。這些系統提供了專屬位置來存放工具、修補程式、Hotfix、Service Pack 及文件。您可以在這些系統上執行修補程式分析、擷取及部署。本書將這些系統稱為「安全性更新系統」。
您的安全性更新系統應該位於一或多部可完全控制且絕對安全的專用電腦上,這些系統將用來部署及維護您環境中所有系統的安全性修補程式。安全性更新系統通常不需用到強力伺服器,因為這類系統的負擔通常很輕,但是伺服器的可用性必須很高,因為您必須依賴這些電腦,並使用最新的修補程式來保持環境的最新狀態。
為了正確部署安全性更新系統,電腦必須直接或間接透過 Internet 從信任的來源下載最新的修補程式資訊,以及存取負責保持其最新狀態的電腦。
2011年11月1日 星期二
訂閱:
意見 (Atom)