owned this note changed 7 years ago
Linked with GitHub

被遺忘的資安

tags: 2018, R1
位置: R1
講者:陳建宏

網路帶來的改變使得資訊安全越來越重要。

Q1:最安全的網路是什麼?
Q2:台灣是駭客的練兵場?

個案

  • MikroTik 挖礦
  • 勒索軟體:WannaCry

比駭客更大的威脅

縱深防禦 (Defense In Depth)

  • 實體控制
  • 技術控制
  • 管理控制
  • 資產

定量式風險分析 (Quantitative Risk Analysis)

  • 資產價值 Asset Value (AV)
  • 風險因子比率 Exposure Factor (EF)
  • 單一損失預期值 Single Loss Expectancy (SLE)
  • 年度發生比率 Annualized Rate of Occurrence (ARO)
  • 預計年度損失 Annualized Loss Expectancy (ALE)
  • 針對每個風險對策執行成本效益分析 Cost Benefit Analysis (CBA)

CIA 資料安全模型

  • 安全機制所提供的安全服務
    • 機密性 Confidentiality : 防止資訊被洩漏至未經授權的人或系統
    • 完整性 Integrity : 確保資訊系統、安全控制和溝通渠道正確運行
    • 可用性 Availabilty : 保持並確保系統和資料的準確性和一致性
  • 其他安全服務
    • 不可否認性 Non-repudiation
    • 身份識別 Authentication
    • 存取權限控制 Authority

資安法已經上路,您準備好了嗎?

資安管理法

資安產品服務

  • 網站弱點掃描
    • 模擬駭客 展開入侵
    • e.g. Achilles
  • WAF (Web Application Firewall)
    • Pattern Recognition
    • Session Protection
    • Signature Database
    • e.g. dotDefender
  • DAF (Database Application Firewall
    • Data Audit : 追蹤使用者行為及資料庫異動,有助發現資料外洩。
    • Data Security : 分析資料庫流量,防止未授權的查詢SQL Injection
    • Data Masking : 從受保護資料庫輸出敏感資料多元遮掩的演算方式,遮掩各種可能的資料。
Select a repo