Chinese hackers how to presentation投影片 1網路安全

1. 第十六章 網路入侵和資訊安全
課前指引
網際網路是個人獲取重要資訊；或企業擴充開展版圖的新大陸，
如何確保網際網路通訊安全是一重要的考量，本章的主要學習
目標，理解什麼是網路安全，網路安全的防禦－防毒、除駭，
捍衛網際網路的安全。

2. 章節大綱
16-1 網路入侵
16-6 安全防護電腦
16-2 認識駭客
16-7 資訊安全
16-3 病毒、蠕蟲和特洛伊木馬
16-8 資料加密
16-4 DoS和DDoS攻擊手法
16-9 數位憑證和數位簽章
16-5 網路攻擊的流程
16-10 自然人憑證
備註：可依進度點選小節

3. 16-1 網路入侵
捍衛網際網路的安全
如何防毒、除駭，捍衛網際網路的安全，或使系
統在遭受攻擊時仍可維持正常運作能力，已是最
重要的一件事。

4. 16-1 網路入侵
網路安全
網路安全就是避免因為網路上所發生的危險。
網路安全的定義就是避免未授權的破壞、竊取或
修改網路的資源，也就是說能夠識別和消除不安
全因素的能力。

5. 16-1 網路入侵
網路的安全複雜因素
1、使用E-mail
2、瀏覽網頁(Web)
3、架設網站
4、電子商務網站

6. 16-1 網路入侵
網路的安全複雜程度

7. 16-1 網路入侵
網路安全造成的損失
美國FBI調查，每年因網路安全造成的損失高達
170億美金；
CERT組織2000年資料，平均每五個網站就有一個
遭受不同程度地攻擊。

8. 16-1 網路入侵
網路入侵行為之手法及方式

9. 16-1 網路入侵
網路入侵行為之手法及方式
病毒
蠕蟲
木馬程式
系統安全漏洞
密碼破解
緩衝區溢位
連線劫持
攔截式攻擊
網路窺探
阻斷服務
偽造識別身分威脅
社交工程
其他

10. 16-2 認識駭客
駭客
「駭客」一詞是由英語“hacker”翻譯而來，駭
客這個術語的現代意義起源於1960年的麻省理工
學院（MIT）技術模型鐵路俱樂部。
在電腦網路的領域裏，「駭客」（hacker）是利
用存在於各類系統上的軟體或硬體弱點來非法入
侵電腦，卻不故意破壞系統的人。

11. 16-2 認識駭客
怪客
「怪客」（cracker）也有人翻譯成破壞者，則是
強行進入別人系統，處心積慮地想要製造大混亂
，通常入侵電腦後會故意惡性破壞，並且惡意干
擾對方工作，其破壞力遠勝於「駭客」。

12. 16-2 認識駭客
駭客和怪客

13. 16-2 認識駭客
駭客分為三類
1.白帽駭客
好的駭客
2.黑帽駭客
壞的駭客
3.灰帽駭客
中性駭客
說明如後

14. 16-2 認識駭客
駭客「入侵電腦」作什麼？
1.存取儲存在電腦中的資訊。
2.暗地使用電腦的資源（如濫發垃圾信）。
3.攔截在電腦系統之間傳送的資訊。
4.惡意破壞電腦..等。

15. 16-2 認識駭客
網路入侵的案例—網友入侵亞洲跆拳道官網
報復台灣選手痛失金牌

16. 16-3 病毒、蠕蟲和特洛伊木馬
惡性程式
『惡性程式』（Malicious Code）泛指所有不懷好意的
程式碼，包括電腦病毒、電腦蠕蟲、特洛伊木馬
程式。

17. 16-3 病毒、蠕蟲和特洛伊木馬
惡性程式所造成的損失
年份
攻擊行為發起者
受害PC數目
損失金額 (美元)
2004
WORM_SASSER.C
(震盪波)
1800萬台
損失還在繼續
2003
Worm_MSBLAST
(衝擊波)
超過140萬台
超過30億美金
2003
SQL Slammer
超過20萬台
9億5千萬至12億

18. 16-3 病毒、蠕蟲和特洛伊木馬
病毒
電腦病毒是會將本身複製到其他乾淨的檔案或開
機區的惡性程式，當電腦使用者在不自覺的情形
執行到已受病毒感染的檔案或磁片開機時，這個
惡性程式就以相同的方式繼續散播出去。
往往需要借重掃毒軟體來移除病毒。
手機病毒
CIH病毒

19. 16-3 病毒、蠕蟲和特洛伊木馬
蠕蟲
蠕蟲的主要特性是會自我複製並主動散播到網路
系統上的其他電腦裡面，就像蟲一樣在網路系統
裡面到處爬竄，所以稱為「蠕蟲」。
蠕蟲的巨大危害之一就
是大量複製的能力，蠕蟲
蔓延策略之一是將有惡意
附件的的電子郵件，傳送
給使用者通訊錄中的所有
連絡人。
電腦蠕蟲案例-Lsass蠕蟲

20. 16-3 病毒、蠕蟲和特洛伊木馬
特洛伊木馬(Trojans)
特洛伊木馬(Trojans)程式又稱後門程式，是一種
由遠端操控被攻擊主機的軟體。
特洛伊木馬程式通常都會以一些特殊管道進入使
用者的電腦系統中，然後伺機執行其惡意行為（
如格式化磁碟、刪除檔案、竊取密碼等）。
木馬程式的遠端遙控
程式畫面

21. 16-3 病毒、蠕蟲和特洛伊木馬
惡性程式所造成的損失
電腦病毒
電腦蠕蟲
特洛伊木馬
程式
感染其他檔案
○
╳
╳
被動散播自己
○
╳
○
主動散播自己
╳
○
╳
造成程式增加數
目
一般隨電腦使用率 視網路連結狀況而定，
提高，受染感檔案 連結範圍愈廣，散佈
數目則增加
的數目多
不增加
破壞能力
視寫作者而定
╳
視寫作者而定
對企業的影響性
中
高
低

22. 16-4 DoS和DDoS攻擊手法
DoS和DDoS攻擊手法
阻絕服務 (DoS，Denial of Service) 攻擊和分
散式阻斷服務(DDoS， Distributed Denial of
Service)攻擊是大型網站和網路伺服器的安全威
脅之一。
知名的案例：2000年2月電腦駭客利用巨量偽假的
詢求資料，Yahoo、亞馬遜、CNN等知名網站被攻
擊，迫使網頁伺服器應接不暇，因負荷過重而當
機，進而阻斷使用者登站的管道。

23. 16-4 DoS和DDoS攻擊手法
DoS攻擊
DoS(阻絕服務)攻擊是一種在網路上癱瘓主機伺服
器的駭客入侵攻擊手法，利用合理的服務請求來
佔用過多的服務資源，目的是讓合法使用者無法
使用某服務。
主要攻擊方式為「點對點」的攻擊，任何人只要
握有一攻擊程式即可讓未受保護的網路或裝置癱
瘓，例如：向伺服器持續發送請求，以取得特定
Web 資源(包含：記憶體、磁碟空間以及網路頻寬
等)

24. 16-4 DoS和DDoS攻擊手法
DoS攻擊

25. 16-4 DoS和DDoS攻擊手法
DDoS攻擊
DDoS(分散式阻斷服務)攻擊是利用分散於不同地
方的多部電腦主機，發送大量偽造來源地址的封
包，癱瘓受害者所在的網路電腦主機伺服器，佔
據網路的頻寬與服務，導致伺服器無法服務正常
的使用者。

26. 16-4 DoS和DDoS攻擊手法
DDoS攻擊

27. 16-5 網路攻擊的流程
網路攻擊流程圖
1
2
3
4
確認目標
主機作業
系統和開
啟的通訊
埠號
收集目標
主機作業
系統或版
本的弱點
攻擊目標
主機的弱
點
攻陷目標
主機的弱
點，開始
違法作歹

28. 16-6 安全防護電腦
安全防護電腦有四步驟！
步驟
步驟
步驟
步驟
1：使用網際網路防火牆
2：定期電腦更新
3：使用最新版的防毒軟體
4：定期備份硬碟

29. 16-6 安全防護電腦
駭客網站—Happy Hacker

30. 16-6 安全防護電腦
步驟 1：使用網際網路防火牆
「防火牆 」(Firewall)，是一套專門放在
Internet 大門口 (Gateway) 的身份認證系統。
硬體防火牆
Windows 7的防火牆

31. 16-6 安全防護電腦
步驟 2：定期電腦更新
任何軟體或作業系統，在發表一段時間後，被發
現設計上的瑕疵，這瑕疵容易被病毒入侵，讓攻
擊者控制受害者的電腦，進行破壞任務。
軟體設計者在發現瑕疵後，均會提出修護程式，
讓顧客下載更新。
Windows 7的自動更新

32. 16-6 安全防護電腦
步驟 3：使用最新的防毒軟體
防毒軟體是一種程式，可協助保護您的電腦，使
其免於受到會讓電腦「生病」的多數病毒、蠕蟲
、木馬程式和其他有害入侵者的傷害。
像是知名的PC-cillin、Norton、Mcafee、小紅傘
AntiVir等，最重要的是別忘了要定期電腦病毒定
義檔。
防毒軟體自動更新「電腦病毒定義檔」

33. 16-6 安全防護電腦
步驟 4：定期備份硬碟
建議電腦硬碟必須定期備份，預防萬一不幸電腦
被惡意程式破壞到不能復原，此時就必須重灌(重
新安裝)電腦。目前常見的備份軟體，就是Norton
公司所出版的Ghost軟體。也可以備份至隨身硬碟
中。
隨身硬碟
GHOST軟體

34. 16-7 資訊安全
資訊安全的目標
維護資訊的隱密性、完整性、及可用性、以達到
鞏固企業的利益，及維持企業的永續經營。

35. 16-7 資訊安全
網路交易需具備的功能

36. 16-7 資訊安全
共用企業資源重要相關的議題
1.識別使用者身份(帳號)
2.管理使用者所能存取的資源
各樣的隨身碟
雖然方便卻是
犯罪利器

37. 16-7 資訊安全
ISO 17799
安全政策
安全組織團體
資產分類和控制
個人資料安全
實體環境安全
傳輸和作業管理
系統發展和維護
入徑控制
持續的商業管理
申訴管理

38. 16-7 資訊安全
帳號與密碼
帳號通常會搭配一組密碼，讓使用者存取相關資
源之前，一定要先確認該員的身份是不是合格，
而登入和密碼認證就是確認使用者身份的步驟。
很多地
方都用
到帳號
和密碼

39. 16-7 資訊安全
帳號通常會分成
1.管理者帳號
2.一般帳號
3.來賓帳號
各種帳號

40. 16-7 資訊安全
設定密碼原則
設定密碼時請勿使用生日、電話、身份證字號、
或具規則性排列，例如:1234，7777等，容易被有
心人士猜到的數字。

41. 16-7 資訊安全
密碼管理原則
應親自申請且妥善保管(或記憶)，不將該密碼交
與他人保管。
不要將個人的任何密碼告知他人。
請勿將密碼書寫於明顯且易讓他人取得之處。
經常不定時變更密碼。

42. 16-7 資訊安全
權限管理
權限管理係提供系統或電腦相關資源之權限，通
常會搭配帳號的分類或群組來做管理。
針對檔案和目錄做權限的管理
使用權限維護系統

43. 16-7 資訊安全
群組管理
通常權限的管理如果個別設定，太浪費時間，所
以通常會將一群相同性質的人群組起來，使用群
組管理，給予相同的群組權限，管理容易也更有
效率。
FTP的帳號的群組管理

44. 16-8 資料加密
加密
網路安全中，加密作為一把系統安全的鑰匙，是
實現網路安全的重要手段之一，正確的使用加密
技術可以確保資訊的安全。

45. 16-8 資料加密
專有名詞
原文或明文(Plaintext or Cleartext)：未經加密處理的
原始資料。
密文(Ciphertext)：指的是經過加密處理的資料。
演算法(Algorithm)：進行資料加密或解密的數學演
算法則。
金鑰(Key)：使用加密或解密時所需要的資訊，等
同一把真正的鑰匙一樣。
加密(Encrypt)：是將明文資料(Plaintext)轉變為密文
資料(Ciphertext) 之處理過程。
解密(Decrypt)：是將密文資料轉變為明文資料之處
理過程。

46. 16-8 資料加密
加密依照使用金鑰又分兩大類
一.對稱式加密，
二.非對稱式加密。

47. 16-8 資料加密
對稱式加密
對稱式（Symmetric）金鑰密碼系統，又稱為祕密金鑰
密碼系統(Secret Key Cryptographic System），加密端與
解密端均要使用同一把金鑰（即Secret Key），為傳統
之加密方式。
演算法有例如DES、Triple DES、IDEA、RC4..等

48. 16-8 資料加密
對稱式金鑰密碼系統原理
對稱式（Symmetric）金鑰密碼系統可以將明文轉
換為密文。密文使用加密金鑰編碼，對於沒有解
密金鑰的任何人來說它都是沒有意義的。
使用對稱金鑰加密通信的雙方，在交換加密資料
之前必須先安全地交換金鑰。
金鑰其實
是如圖中
的一堆數
字

49. 16-8 資料加密
非對稱式加密
非對稱式（Asymmetric）金鑰密碼系統，又稱為
公開金鑰密碼系統（Public Key Cryptographic
System），加密端與解密端使用不同的金鑰。這
兩個不同金鑰，一個為私密金鑰(Private Key)由
擁有人自行保存、另一個為公開金鑰(Public
Key)公諸大眾，兩個金鑰彼此配對使用，稱為金
鑰對（Key Pair）。
演算法有RSA、DSA..等。

50. 16-8 資料加密
非對稱式加密有兩種方式
1、使用送方的私密金鑰加密，和使用送方的公開
金鑰解密，可以確保送端的身份。
2、使用收方公開金鑰的加密，和使用收方的私密
金鑰解密，可以確保資料的隱密性。
1
2

51. 16-8 資料加密
公鑰加密的原理
在公鑰加密中，公鑰可在通信雙方之間公開傳遞
，或在公用資料庫中發佈，但相關的私鑰是保密
的。只有使用私鑰才能解密用公鑰加密的資料。
使用私鑰加密的資料只能用公鑰解密。

52. 16-9 數位憑證和數位簽章
數位簽章(Digital Signature)
數位簽章(Digital Signature)是以一組公開／私
密金鑰的概念，驗證個人身分及訊息資料的一種
方式，由於數位簽章具有與傳統簽名檔相同的特
性，因此在網路上運用數位簽章在法律上可視為
本人簽名。
Windows 7作業
系統的憑證管理
員

53. 16-9 數位憑證和數位簽章
數位簽章的原理
數位簽章使用功能強大的加密技術，以及公開金
鑰基礎結構，先簽章(Digital Sign)、後加密
(Encrypting) 方式，使用自己（傳送方）的私密
金鑰( Private Key)產生數位簽章，使用對方（
傳送方）的公開金鑰(Public Key)再進行解密，
驗證成功：身份確認無誤且資料正確；
驗證失敗：身份無法確認或資料被篡改

54. 16-9 數位憑證和數位簽章
數位簽章的流程

55. 16-9 數位憑證和數位簽章
全球電子簽章法案
在網路上運行數位簽章法律上可視為本人簽名。
我國也於2001年10月底通過的電子簽章法，自
91.04.01開始施行。
微軟的OFFICE
檔也可以加入
電子簽章

56. 16-10 自然人憑證
自然人憑證
網路身分證，就是「自然人憑證」
「憑證」包含了「數位簽章」跟「公開金鑰」
「自然人憑證」具有身分認證、數位簽驗章、加
解密的功能。
自然人憑證和讀卡機

57. 16-10 自然人憑證
自然人憑證申請
「自然人憑證」的申請很簡單，只要上「自然人
憑證專屬網站」預約辦卡日期及地點，並攜帶身
分證親到戶政事務所申請辦理就可以了
自然人憑證專屬網站
http://moica.nat.gov.tw/

58. 本章結束
Q&A討論時間