# 物件導向_資安演講_心得 ## 資訊安全與安全程式設計 [Hack.MD](https://hackmd.io/xfcctK3wQcSn8hrhyU51Uw?both) ## 時間日期 2022/9/30 中原大學田筱榮教授 ## 筆記 ### 開場介紹 資訊安全 新聞事件 生活與資訊安全十分緊密 ### 大鋼 [TOC] ### 近年重大資安事件 伊朗加油站 技嘉勒索軟體(AvosLocker) ACER遭駭客攻擊 竊取資料勒索 2021年3月(REvil)10月(Desorden) 但經過判斷無須交付贖金 勒索:中油 台塑 立成 第一銀行ATM盜領(2016) 從外到內(remote to local) 社交工程 從內到其他電腦(user to route) 分隔使用者與系統管理員多多少少能夠防護 遠東銀行swift盜轉(2017) 2018年8月台積電產線中毒大當機52億元資安教育 舊版作業系統安全弱點問題 勒索病毒應對措施 1. 不支付贖金 1. 從信任的備份資源取回檔案 1. 社交工程 2. 防毒軟體 3. 電子郵件內容過濾 4. 更新電腦系統與軟體 5. 在外使用公共WIFI要注意,確保透過可信任VPN連線 ### 製造業資訊安全 工業4.0下的資安威脅 趨勢科技:最長面玲的資安威脅以(autorun.inf)為首 工業控制系統隨時都面臨資安威脅 因其老舊的控制系統長時間未更新 #### 攻擊型態 1. 漏洞攻擊: 眾多裝置中其中一個裝置含有漏洞,凸顯定期修補系統的重要 1. 植入惡意程式 社交工程、魚叉式釣魚、水坑式攻擊 1. 阻斷服務(DoS)分散式阻斷服務(DDoS)攻擊 DoS是指能癱瘓某個網路裝置或資源的一種攻擊 DDoS屬於DoS攻擊的一種 1. 中間人(MitM)攻擊 指攻擊者駭入了某企業的通訊管道,除了從中竊取資訊,也能從中植入自己的程式碼 例如:Ubike全台大當機事件 1. 暗中監視與竊取資訊 一旦駭入個網路,不一定會直接攻擊,可能先暗中監視系統並竊取資訊 進階持續性滲透攻擊(APT Advance Persistant Threat): 是一種常見的網路攻擊型態 常見方式: * 盜版網站 * 惡意電子郵件 * 水坑式攻擊 1. 裝置遭駭 8. Zero-Day攻擊: 攻擊尚未發現的漏洞 ### 智慧工廠的資安架構 虛實整合的智慧工廠融合(IT)與(OT) 一個典型智慧工廠資安架構包含 * 防火牆(Firewall) * 入侵偵測系統(IDS) * 認證(Authorition) * 加密(Encryption) ### 智慧工廠與5G 跳過 ### 供應鏈安全 跳過 ### 安全程式設計 評估系統的三要點 * 機密性 * 資料完整性 * 可用性 ![](https://i.imgur.com/T869PH1.png) #### 實務一 不要信任來自外界輸入的任何資料 避免SQL injection * SQL注入(SQL injection): 是發生於應用程式與資料庫層的安全漏洞 * 當SQL的查詢語法中需要涵蓋輸入資訊或是系統外部參數時,為避免在輸入的字串中夾帶SQL指令,請務必檢查內容格式以及字串的長度。 避免Buffer Overflow 又稱為緩衝區溢位,C/C++特性 避免Cross-site Scrypt 又稱為跨網站指令碼攻擊,這通常是撰寫Wab-based程式時會用到的狀況 #### 實務二 最低使用權限原則 * 作業系統 * 系統開發時,避免整個系統只能以系統管理員的最高身分才能執行 * 資料庫 * 如果應用系統對資料庫只須查詢資料時,不需要搭配有寫入權限的帳號 * 避免直接將(SA)帳號應用於程式中 * 程式開發 #### 實務三 留意程式錯誤狀況的處理 * 系統開發時,企業一定要花足夠的時間重新檢查錯誤、例外偵測、攔截與處理,都會走到事先埋好得錯誤處理含式中 * 關於錯誤處理,確認模組發生錯誤記得讓該模組的狀態回到執行之前的狀態。 ## 心得 聽過了田教授的演講以後,我才發現我認知的資安領域跟工業上的資安領域是完全不同的,原本陌生的領域,也經由老師的 演講,逐漸清楚明朗。在此之前,我認知的資安領域只有網頁管理,網路,加密以及CTF競賽等等,沒想到規模不同了以後要注意的點這麼多。 其中印象最深刻的是第一銀行ATM盜領的事件,不單純是透過網路或軟體入侵,其中更包括了社交工程這類型現實的入侵,才有可能辦的到。這個實例在我腦中有了深刻的印象,也讓我注意到現實世界的各種資安慰害 另外,我還聽到了SQL injection跟Buffer Overflow這兩個熟悉的名詞,讓我對這堂演講有了比較深的連結,雖然只是簡單帶過,但我也對於資安跟程式設計能有更進一步的認識。 除此之外,吳教授的有關於密碼被竊的實例也是十分的輕鬆有趣,非常感謝有這個機會參與這些演講,收穫不少。 在最後,也非常謝謝助教、老師,也謝謝師範大學與中原大學讓我有這個機會參與這個演講,多多指教,謝謝。 師範大學機電系鍾永婕