[IS] 網路資訊安全
資安三要素:機密性、完整性、可用性
資訊安全三大要素主要包含:
- 機密性(Confidentiality):只有擁有權限的使用者才能存取資料。
- 完整性(Integrity):維護資訊原有內容,而不會被竄改。
- 可用性(Availability):需要時容易隨時取用。
資訊安全亦簡稱為 CIA,就是取三大要素的字首。
加密與電子憑證
- 對稱加密:你知道如何加密,也知道如何解密。缺點是需要事前雙方先私下約定好。
- 非對稱加密:相對於對稱來說,就是你即使知道怎麼加密的的方式,也不知道怎麼解密。也就是常用的公開金鑰加密。
- 伺服器將公鑰(密碼箱)發送給客戶端
- 客戶端使用公鑰加密信息(鎖箱子)
- 伺服器接受客戶端傳來的消息後,使用私鑰(僅伺服器知道的密碼)解密
然而即使透過非對稱加密,有時候無法確保公鑰(密碼箱)的確是來自服務端的。於是我們需要被大家信任的人來給他們的密碼箱簽名從而確保身份的安全,也就是所謂的電子憑證:
- 耶穌就是 Certification Authority,認證機構,被世人所信仰;
- 伺服器把自己的公鑰登錄到 CA,CA 會用自己的私鑰(秘術)給伺服器的公鑰加密生成簽名(個性說明)並頒發證書(保護膜),證書中包含對公鑰做的的簽名和伺服器的公鑰。(之所以 CA 要用「自己的私鑰」將「伺服器的公鑰」進行加密,是為了避免憑證被篡改)。
- 客戶端拿到消息後,會用瀏覽器內置的 CA 的公鑰(聖經,人人都有)對用私鑰做的簽名進行驗證,如果驗證通過表示安全,否則表示不安全。
由於非對稱加密會影響傳輸速度,因為封包變大了,所以通常綜合性能和安全��性考慮,會用**「對稱加密」的方式來加密封包**,用「非對稱加密」的方式來加密「對稱加密用的密鑰」。
公鑰和私鑰是一對的,可以使用「公鑰加密」以「私鑰解密」,也可以使用「私鑰加密」以「公鑰解密」,並沒有哪把鑰匙才能加密或解密,真正的差別在於「公鑰是可以給其他人的」但「私鑰一定要自己保管好」。
在非對稱加密的應用中,可以讓 client 將訊息用(server 提供的)公鑰加密後,只有 server 的私鑰可以解密,目的是確保「訊息私密性」,只有 server 能看到訊息;或者也可以 server 用私鑰將訊息加密後,有公鑰的人都可把訊息解開,目的是確保「訊息合法性」,以此證明該訊息是由 server 發出的。
⭐ 關於加密與電子證書推薦閱讀:HTTPS 的故事 @ 知乎
防範惡意程式
若要防範惡意程式的侵犯,通常可以使用防毒軟體、防火牆、更嚴謹的話可以搭配 **IDS(Intrusion Detection System,侵入檢測系統)**和 IPS(Intrusion Prevention System,入侵防禦系統),IDS 在偵測到異常行為時,會以電子郵件通報系統管理者;IPS 除了通報系統管理者外,亦會立即中斷異常連線。
偵測異常行為的方式主要包含以特徵偵測(Signature-based Detection)和異常型法偵測(Anomaly-based Detection),前者類似以登錄過、建檔過的病毒碼進行比對,後者則是常用捷思法偵測(heuristic detection),偵測程式運行中有無可疑行為來判斷。
防火牆和 IDS / IPS 不同之處在於,防火牆主要是根據 IP 位址和連接埠號從網路層(L3)和傳輸層(L4)著手;而 IDS / IPS 則更進一步含括到應用層(L5)。
除了防火牆和 IDS / IPS 外,對於小型網路也可以選擇 UTM(Unified Threat Management,集中式威�脅管理),它集結了防火牆、防毒、內容過濾、IPS 等功能。UTM 的成本較低廉,且容易管理,但可能導致網路效能較差。
社交工程(Social Engineering)
社交工程(social engineering)指的是不透過電腦或網路等科技的漏洞,而是利用人與人之間的溝通與交談,達到竊取機密資訊的目的,例如,假的 LINE 貼圖下載活動以騙取個資、透過電話騙對方說自己是系統管理人員,以騙取帳號密碼、從提款機背後偷窺側錄使用者輸入密碼、從垃圾桶尋找機密文件等,都算在社交工程的防範範圍內。