Ict network security answers

3,980 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,980
On SlideShare
0
From Embeds
0
Number of Embeds
1,918
Actions
Shares
0
Downloads
25
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ict network security answers

  1. 1. 高中六 資訊與通訊科技 中七 電腦應用 網絡保安及維護 答案冊
  2. 2. 目錄1. 惡意軟件......................................................................................................................................3 1.1 惡意軟件的分類..............................................................................................................3 1.1.1 電腦病毒..............................................................................................................3 1.1.2 蠕蟲......................................................................................................................3 1.1.3 木碼程序..............................................................................................................4 1.1.4 間諜軟件和廣告軟件..........................................................................................6 1.2 惡意軟件的傳播方法......................................................................................................9 1.3 對抗惡意軟件................................................................................................................ 11 1.3.1 抗電腦病毒軟件................................................................................................ 11 1.3.2 抗間諜軟件程序................................................................................................14 1.3.3 防火牆................................................................................................................14 1.4 備份和復原....................................................................................................................162. 網上保安....................................................................................................................................21 2.1 一般網上保安................................................................................................................21 2.1.1 瀏覽器的保安問題............................................................................................21 2.2 私隱資料........................................................................................................................23 2.3 互聯網對私隱的威脅....................................................................................................24 2.3.1 駭客入侵............................................................................................................24 2.3.2 Cookie ................................................................................................................28 2.3.3 仿冒詐騙............................................................................................................31 2.4 防止私隱外洩................................................................................................................33 2.5 垃圾郵件........................................................................................................................38 2.6 資料加密........................................................................................................................43 2.6.1 對稱加密法........................................................................................................43 2.6.2 非對稱加密法....................................................................................................44 2.6.3 保密插口層........................................................................................................46 2.6.4 數碼證書............................................................................................................47 2.6.5 存取控制............................................................................................................48 2.7 無線網絡的保安............................................................................................................51 2.8 局域網絡保安................................................................................................................543. 網絡維護....................................................................................................................................55 3.1 網絡監察........................................................................................................................55 3.2 故障檢修........................................................................................................................56 3.3 用戶培訓及支援............................................................................................................58 Page 2
  3. 3. 1. 惡意軟件惡意軟件(Malicious software, 簡稱 Malware)是指會破壞受感染的電腦系統或引致「拒絕服務(DoS)」的電腦程序。主要包括電腦病毒(Computer Virus)、蠕蟲(Worm)和木馬程序(TrojanHorse)。1.1 惡意軟件的分類1.1.1 電腦病毒電腦病毒(Computer Virus)是依附在其他正常程序上的電腦程序 每當受感染的電腦程序運行 。時,電腦病毒亦同時運行,毋須用戶允許,即可進行破壞。電腦病毒還可自我複製,並感染其他電腦系統。電腦病毒又可以分為系統病毒、檔案型病毒和巨集病毒。 系統病毒會感染開機磁區(Boot Sector)或系統檔,當電腦開機時病毒就會自動執行。在特 定條件下病毒會破壞電腦系統,如格式化磁碟、甚至破壞 BIOS,令電腦不能開機。例子 有 CIH 病毒。 檔案型病毒會感染可執行檔(Executable File),當用戶執行感染病毒的程式時就會自動執 行。 巨集病毒會感染 Microsoft Office 的檔案(最常見的是感染 Word 檔案)。例子有 Melissa 病毒。電腦病毒主要靠可攜式存貯媒體(軟磁碟、光碟、USB 快閃記憶體等)或電郵傳播。1.1.2 蠕蟲蠕蟲(Worm)是一種能自我複製及利用電腦網絡和保安漏洞來傳播的電腦程。蠕蟲的複製本會掃描網絡並找出有保安漏洞的電腦,然後利用該漏洞繼續進行自我複製。例如 2000 年 5 月爆發的 ILOVEYOU 蠕蟲。 Page 3
  4. 4. 圖:一封 ILOVEYOU 蠕蟲電郵電郵是蠕蟲常用的傳播途徑。蠕蟲會在受感染的電腦中,自動複製並發送複製本給在郵件通訊錄上的每個聯絡人。1.1.3 木碼程序木馬程序(Trojan Horse)是一個電腦程序,專門進行惡意和破壞性的行動。駭客經常利用木馬程序來盜取電腦內敏感或重要的資料,例如受害者的密碼和信用卡號碼等。一些木馬程序甚至容許駭客遙遠控制受害人的電腦。此外,木馬程序也能在受感染的電腦上建立後門。「按鍵記錄」程序(Key Logger)是木馬程序用來盜取用戶資料的手段之一。按鍵記錄程序能記錄用戶於鍵盤的所有按鍵,並傳送給駭客。「後門」(Backdoor)是指繞過正常的用戶認證來存取遠端資料。各種惡意軟件的比較: 電腦病毒 蠕蟲 木馬程序能自我複製   依附其它程序   自動傳播    Page 4
  5. 5. [Past paper 2008 CIT]王小姐利用某咖啡店內的電腦使用網上銀行服務。她無意中執行一個不知名的程式,這可能對網上銀行服務帶來保安上的問題。Ms Wong uses a computer in a coffee shop to access online banking services. She accidentallyexecutes an unknown program which may pose a threat to the security of the services.這項網上銀行服務登入網頁的設計如下所示。The design of the login page of the online banking services is shown below. 用戶名稱 Username 1 2 3 2002189 4 5 6 密碼 Password 7 8 9 ****** 0 * 請利用滑鼠按下右邊的按 * Please use a mouse to click the buttons on the 鈕,輸入用戶名稱及密碼。 right to enter the user name and password.(i) 試舉出此設計的一項優點,並簡略說明。 Give one advantage of this design. Explain your answer briefly.沒有鍵盤-減低輸入錯誤的機會。No keyboard - minimize the input errors.採用星號加強保安-其他人不能讀取密碼。With asterisks - better security/Other people cannot read the password.使用滑鼠按下數字-幫助加強保安(鍵盤記錄程式不能取得用戶名稱及密碼) 。Use mouse click - help the security (Key logger cannot record the username and password) Page 5
  6. 6. 1.1.4 間諜軟件和廣告軟件間諜軟件(Spyware)會隱藏起來,並暗中取得用戶資料作非法用途。有些間諜軟件甚至會控制受感染的電腦並進以下的工作: 變更瀏覽器的預設首頁 Changing the default homepage of the web browser 自動引導瀏覽器到特定的網站 Redirecting the web browser to specific web sites automatically 限制或停用網頁瀏覽器的控制設定 Restricting or disabling control settings of the web browser 安裝其他有害的間諜軟件或惡意軟件 Install other harmful spyware or malware間諜軟件會盜取用戶的甚麼資料?用戶名稱、密碼、銀行戶口或信用卡號碼等[Past paper 2007 CA]瑪莉使用家中電腦進行問卷調查分析。瑪莉懷疑她的電腦感染了某些間諜軟件。試提出兩個不尋常的事項,使她注意到可能有這種感染。Mary uses her desktop computer at home to analyze a survey. Mary suspects that hercomputer is infected by certain spyware. Give two unusual events that may alert her to thispossible infection.有明顯多餘的 CPU 活動/硬碟活動/網絡流量There are significant unwanted CPU activity/disk usage/network traffic屏幕顯示一些多餘的跳出式廣告。The screen appears unwanted pop-upadvertisements.記憶體使用量突然增加。The memory utilization suddenly increases.一些不知名的程式正在執行中。Some unknown programs are running Page 6
  7. 7. 間諜軟件可經以下途徑感染電腦: 木馬程序可在未經用戶同意或察覺的情況下,安裝間諜軟件到系統內。 Spyware can be installed by a Trojan horse without user’s permission or awareness. 當用戶瀏覽互動網頁(例如附有 ActiveX 控制項的網頁)時,電腦便有可能受到感染。 A computer can be infected when the user visits dynamic web pages, such as pages with ActiveX controls. 安裝從可疑網站下載得來的共享軟件或免費軟件。 Install shareware or freeware which is downloaded from suspicious web sites.廣告軟件(Adware)是一種記錄用戶活動及展示相關廣告的軟件。有些廣告軟件也會被歸類為間諜軟件,因為它可能包含一些程序碼,在未經用戶授權的情況下把用戶的個人資料傳送給第三者。 廣告 Page 7
  8. 8. [Past paper 2011 CA]一套安裝在電腦的網絡保安系統產生以下的記錄檔。 網絡交通:Network traffic: 開始傳輸 Transmission begins 已接收 1024 個數據包 1024 backets received 結束傳輸 Transmission ends 惡意軟件:Malicious software: 受感染檔案 保安威脅類別 描述 File infected Type of security threat Description abc.exe 木馬程式 這惡意程式隱藏於或假裝作一個正當程式。 Trojan hourse This malicious program hides within, or pretends program to be a legitimate program. xx.exe X 這惡意程式大量自我複製,令你的電腦緩慢。 This malicious program replicates itself in large volume and slows down your computer. yy.exe Y 這惡意程式在未知會你的情況下,收集你的資 料。 This malicious program collects your information without your knowledge寫出上表內 X 及 Y 的保安威脅類別。Name the types of security threats X and Y in the above table.X: 蠕蟲 WormY: 間諜軟件 Spyware[Past paper 2008 CIT]王小姐利用某咖啡店內的電腦使用網上銀行服務。她無意中執行一個不知名的程式,這可能對網上銀行服務帶來保安上的問題。Ms Wong uses a computer in a coffee shop to access online banking services. She accidentallyexecutes an unknown program which may pose a threat to the security of the services.(i) 她執行了什麼類型的程式?What kind of program has she executed?木馬程式 Trojan Horse/間諜程式 Spyware/黑客軟件 malware/badware/hacking software(ii) 試為王小姐建議兩個方法,以減低這項服務在保安方面的風險。 Suggest two ways for Ms Wong to reduce the threat to the security ofthe services.不要在公共電腦上使用這項服務/不要執行不知名的程式Do not use the services through public computersDo not execute unknown programs. Page 8
  9. 9. 1.2 惡意軟件的傳播方法惡意軟件通常利用攜式存貯媒體(軟磁碟、光碟、USB 快閃記憶體等)或電郵傳播。惡意軟件可經由互聯網以不同形式傳播,例如互動網頁、點對點(P2P)檔案分享軟件、下載服務和即時信息。你知道哪些點對點檔案分享軟件?BitTorrent (BT), eDonkey/eMule, Foxy, WinMX, Page 9
  10. 10. [Past paper 2009 CIT]下列哪一項互聯網活動是最大機會感染電腦病毒的?Which of the following Internet activities has the highest risk of infection from computerviruses?A. 透過點對點檔案分享軟件來下載一些不名來歷的檔案。 Download anonymous files through peer-to-peer file sharing software.B. 更新操作系統的服務包。 Update the service pack of the operating system.C. 向朋友傳送附有執行程式的電子郵件。 Send email with executable files to friends.D. 進行視像會議。 Conduct video-conferencingAns: A Page 10
  11. 11. 1.3 對抗惡意軟件要防止惡意軟件破壞電腦系統,或盜取我們的資料,我們可以安裝適當的軟件。1.3.1 抗電腦病毒軟件抗電腦病毒軟件(Anti-virus Software)是保護電腦的必要工具。當它檢查磁碟內或來自互聯網的檔案時,如發現檔案受到感染,可即時把電腦病毒除去。抗電腦病毒軟件記錄了許多病毒識別碼(Virus signature,亦稱為病毒定義 Virus Definition),用來鑑別已知的電腦病毒。抗電腦病毒軟件在掃描檔案時, 會利用病毒識別碼檢查檔案是否受到感染;一旦發現受感染檔案,便會即時向用戶報告。抗電腦病毒軟件會嘗試移除電腦病毒程序碼,並修復受感染檔案。若受感染的檔案未能被成功修復,則可隔離或刪除該檔案。電腦用戶亦應遵守以下使用電腦的安全守則,以減低電腦系統感染病毒的機會: 定期更新病毒識別碼。 Update virus signitures regularly. 在電腦系統運作時,同時啟動抗電腦病毒軟件。 Start the anti-virus program once the computer system is running. 定期掃描電腦系統,以確保沒有受到病毒感染。 Check the computer regularly to ensure that it is free of viruses. 檢查所有收到的檔案,確保沒有受到感染才使用。 Scan all incoming files before using them. Page 11
  12. 12. [Past paper 2005 CIT]下列哪些行動可減少感染病毒的機會?Which of following actions can minimize the chance of virus infection? (1) 保存每個檔案的備份。 Maintain a backup copy of every file. (2) 下載及安裝更新修補程序,以改正操作系統的錯誤。 Download and install the update patches to fix the bugs of the operating system. (3) 不要開啟不明來歷電郵的附件。 Do not open email attachments from unknown users. (4) 同一時間只開啟一個應用程序。 Open only one application program at a time.A. 只有(1)和(2) C. 只有(3)和(4)B. 只有(2)和(3) D. 只有(1)、(2)和(4) Ans: B Page 12
  13. 13. [Past paper 2005 CA]小明買了一套抗電腦病毒軟件,並安裝於他的電腦內。在使用過一段時間後,他覺得該軟件非常有效。他將此推薦給小麗,而小麗亦買了此軟件,安裝於她的電腦內。John buys and installs antivirus software on his computer. After using the software for aperiod of time, he finds that it is very effective. He recommends it to Mary and then she buysand installs the software on her computer.(a) 稍後,他們各自於自己的電腦內,開啟己感染相同病毒的同一個文件檔,小明的 電腦感染了此病毒,但小麗的電腦卻可避免。試舉出兩個可能的原因。 Later on, they open the same document file infected by the same virus in their own computers. John’s computer is infected but Marys computer is free from infection. Give two possible reasons.小明解除/暫停他的抗病毒軟件。 John deactivate/removed his antivirus software.小明沒有定期從軟件商更新病毒定義數據庫檔。John has not regularly updated the database of the new definition of the virus from themanufacturer.小明的抗病毒軟件版本比小麗的為舊的。The version of John’s anti-virus program is older than that of Mary’s.他們採用不同操作軟件。They use different operating systems.他們採用不同軟件開啟該文件。They use different software to open the document.(b) 試舉出兩種抗病毒軟件可採用的辨認方法,便能將電腦病毒偵察出來。 Give two identification methods that anti-virus software may use to detect computer viruses.尋找簽名/定義,其為一已知特定病毒碼樣式。Look for virus signature/definition which is a known specific pattern of virus codes.檢查現存檔案的大小/日期,察看病毒有否改變這些屬性。Check recording size/creation date of existing files and detect if viruses alter theseattributes. Page 13
  14. 14. 1.3.2 抗間諜軟件程序抗間諜軟件程序(Anti-spyware program)透過掃描下載的網頁和可執行的程序,以檢測間諜軟件是否存在。此外,抗間諜軟件程序亦會偵測不正常的系統活動,例如隨意開敢的網絡通道。與抗電腦病毒軟件一樣,用戶需要定期更新抗間諜軟件程序的間諜軟件定義檔案。1.3.3 防火牆防火牆(Firewall)能保護所有透過互聯網或電腦網絡進出的數據。它會檢查網絡流量,並決定接受或拒絕正在處理的數據包。防火牆分為軟件或和硬件式兩種,軟件防火牆是安裝在用戶的操作系統之內。硬件防火牆由專用的電子儀器所構成,安裝在 LAN 與互聯網之間。 防火牆 交換器 路由器 Firewall Switch Router 互聯網 Internet 這段網絡稱為非軍事區 Demilitarized Zone, DMZ Page 14
  15. 15. [Past paper 2005 CA]某公司提供網頁設計及網頁寄存服務,其辦公室位於某商業大廈內兩層樓面。公司的網絡結構如下展示:A company provides web page design and web hosting services and its office is located on twodifferent floors of a commercial building. Its network infrastructure is shown below: 上司 彼得 二樓 交換器 集線器 萬維網伺服器 互聯網 … 設備 B 約翰 瑪莉 一樓 … 防火牆 集線器 設備 A 交換器 檔案伺服器 或彼得決定 Peter decides to (1) 加設一項設備以加強網絡保安,及 add a device for better network security, and (2) 取代某些設備以改善網絡流量調配。 replace certain devices for better network traffic arrangement.然而,他的上司希望保存及使用現有的網絡電線,他也不想改動任何電腦使用者及工作台的位置。試為彼得繪畫一幅簡單的新網絡結構圖。However, his boss wants to keep and use the current network cabling and he does not want to moveany user or workstation. Draw a simple diagram of the new network infrastructure for Peter.防火牆使用了以下的技術: 封包過濾(Packet Filtering):防火牆保存一個 IP 位址的黑名單,並檢查任何進出的封包, 以確定其來源或目的地,阻止有問題的封包通過。 網址端轉換(Network Address Translation, NAT):將 LAN 內部電腦的 IP 位址隱藏起來, 這可以阻止外部電腦直接存取網絡內的電腦。 Page 15
  16. 16. 1.4 備份和復原惡意軟件會破壞電腦內的數據,除此之外,電腦內的數據很容易因災害如地震、火災而受到破壞,所以我們需要把電腦內的數據備份(Backup)。常用的備份方法如下: 完整備份(Full Backup):把所需要備份的數據完整地建立一副本。 更改的檔案 8 星期一: 2, 5 7 6 星期二: 3, 7 5 星期三: 4, 6, 8 4 星期四: 1, 3, 6 3 2 星期五: 5, 6 1 備份內容 星期一 星期二 星期三 星期四 星期五 8 8 8 8 8 7 7 7 7 7 6 6 6 6 6 5 5 5 5 5 4 4 4 4 4 3 3 3 3 3 2 2 2 2 2 1 1 1 1 1 Page 16
  17. 17.  遞增備份(Incremental Backup):對比上一次備份的內容,備份有更改的數據。 更改的檔案 8 星期一: 2, 5 7 6 星期二: 3, 7 5 星期三: 4, 6, 8 4 星期四: 1, 3, 6 3 2 星期五: 5, 6 1 備份內容 星期日 星期一 星期二 星期三 星期四 星期五 8 5 7 8 6 6 7 2 3 6 3 5 6 4 1 5 4 3 2 1 Page 17
  18. 18.  差異備份(Differential Backup):對比上一次完整備份的內容,備份有更改的數據。 更改的檔案 8 星期一: 2, 5 7 6 星期二: 3, 7 5 星期三: 4, 6, 8 4 星期四: 1, 3, 6 3 2 星期五: 5, 6 1 備份內容 星期日 星期一 星期二 星期三 星期四 星期五 8 5 7 8 1 1 7 2 3 6 8 8 6 5 4 6 6 5 2 7 4 4 4 3 7 7 3 5 3 3 2 2 5 5 1 2 2 Page 18
  19. 19. [Past paper 2010 CA]某中學為學生提供包括網誌、視像/語音聊天室及影像共享的網站服務。該學校電腦網絡的連接如下圖所示。A secondary school provides web services to students, including blogging, video/voice chat andvideo sharing. The network connections of the computers in school are shown in the diagrambelow. 伺服器 儲存系統 辦公室子網絡 Server Storage System Office subnet 互聯網 路由器 Internet Router 交換器 小希的電腦 學生子網絡 Switch Mary’s computer Students’ subnet考慮辦公室子網絡內的儲存系統。現建議每日使用遞增式備份或完全備份。試指出每種建議的一項缺點。Consider the storage system in the office subnet. It is suggested to use either incremental backupor full backup daily. Give one disadvantage of each of them.遞增式備份:可能需要檢索先前的遞增式備份作復原Incremental backup: may need to retrieve previous incremental backups in order to recover完全備份:需時較長Full backup: time consuming Page 19
  20. 20. 除了備份的方法外,製定備份計劃還須注意以下幾點: 備份媒介:取決於系統對速度、可靠度和保存時間的要求,可採用磁帶、光碟或外置硬 碟。 儲存備份副本的地點:必須保存於安全的地點,並遠離網絡系統。備份副本應存放於具 備足夠防火設施的房間,並應實體地鎖上。 配置備份的排程:備份必須安排於非繁忙的時間內進行。使用自動備份排程功能時,必 須確保備份程序會如期進行。 定期測試備分的復原能力:由於備份媒介有可能因過度使用或日久而退化,以致備份未 必真正地進行。因此,有必要定期測試備份的復原能力,以便及早發現問題。 為復原程序編製文件:必須保存一本詳細說明系統復原步驟的手冊,以便一旦需要復原 時,其他人也可以成功地執行有關工作。 Page 20
  21. 21. 2. 網上保安2.1 一般網上保安2.1.1 瀏覽器的保安問題瀏覽器會利用外掛程序(插件,Plug-in)是擴展功能的一種最常用的方法。但是有時會被惡意的軟件設計者或疏忽的程序編寫員有意無意間濫用。ActiveX 控制項和 Java 微應用程序(Applet)是最常見的外掛程序。若不適當地運用這些外掛程序,它們一樣能毀壞電腦系統和數據。因此,我們在執行這些程序前,應仔細檢查它們是否可信和安全。用戶可微調網頁瀏覽器的保安設定。許多網頁瀏覽器亦能執行某類型的客戶端手稿程序,如 VBScript、JavaScript 和非同步JavaScript 與可擴充標示語言(Asynchronous JavaScript And XML, AJAX)。 Page 21
  22. 22. 然而,不當地使用這些技術亦可為電腦系統帶來嚴重的問題: 從互聯網下載並顯示大量跳出式廣告視窗。 Download and display large numbers of pop-up advertisement windows from the Internet. 惡意手稿程序更可耗用大量電腦系統資源,從而令整個系統癱瘓。 Malicious scripts can exhaust system resources and eventually bring down the whole system.網頁瀏覽器也有程序錯誤。駭客可利用網頁瀏覽器的漏洞,控制他人的電腦以作非法用途。因此,我們應定期更新網頁瀏覽器和操作系統,以避免受到惡意網站和駭客的攻擊。 Page 22
  23. 23. 2.2 私隱資料在網上交易的過程中,系統會要求我們提供個人資料;而我們的資料一般會貯存於不同機構的數據庫內。個人資料種類 例子一般個人資料 姓名、年齡、性別、照片、宗教和婚姻狀況聯絡方法 電話號碼、電郵地址、MSN 帳號、傳真號碼和家居地址就業狀況 職業、工作機構、薪酬、受僱記錄和工作地點其它個人資料 財政狀況和醫療記錄不少公司及機構內部都訂有一套守則和私隱政策(有時稱為個人資料收集條文) ,以規管其涉及收集和使用個人資料的商業活動。 Page 23
  24. 24. 2.3 互聯網對私隱的威脅2.3.1 駭客入侵駭客入侵(Hacking)是指擅自存取他人電腦系統或電腦網絡上的資料。進行這類活動的人稱為駭客(黑客,Hacker)。駭客一般熟悉電腦保安和開發系統的知識,他們能夠利用不同的策略、技巧和各種特別的入侵程式(如窺探軟件 Sniffer),來破壞電腦網絡的保安,繼而未經授權存取網絡上的資料。 協定分析器(Packet analyzer),可用作窺探軟件 Page 24
  25. 25. 以下為駭客入侵他人電腦的常見意圖: 為好奇而瀏覽他人電腦系統內的資料 Browse information in computer systems for curiosity and fun 毀壞他人的電腦內的數據和檔案 Damage computer data and files 變更他人網站的內容,例如在網站上塗鴉 Change the content of other’s web site, e.g. deface a web site 對網站或網絡發動「拒絕服務(DoS)」襲擊,令服務癱瘓 Launch denial of service (DoS) attack on a web site or a network 偷取他人重要和敏感的資料,例如個人資料、密碼和帳戶資料 Steal sensitive information from computer networks, e.g. personal data, passwords and account information[Past paper 2005 CIT]下列哪句有關駭客活動的陳述是不正確的?Which of the following statements about hacking is not correct?A. 駭客可能會進行未經授權存取。Hackers may perform unauthorized access.B. 駭客侵入一部電腦,並只留下一段訊息,不算觸犯電腦罪行。 Hackers who break into a computer and just leave a message do not commit a computer crime.C. 駭客可能會利用電腦病毒來接達網絡。 Hackers may use a computer virus to access a network.D. 安裝個人防火牆是其中一個防止駭客的有效方法。 Installing a personal firewall is one of the effective ways to protect agaist hacking.Ans: B Page 25
  26. 26. [Past paper 2006 CIT]吳小姐現正為運輸署開發電腦控制系統。行人過路燈會收到一個控制信號,隨後開啟紅燈(RED)或綠燈(GREEN)128 秒以下。下列為控制信號的例子:Ms Ng is developing a computer control system for the Transport Department. A pedestrian lightwill receivve a control signal to subsequently turn on either RED or GREEN light for less than 128seconds. An example ofthe control signal is shown below: GREEN 112 燈的顏色 秒鐘的數量 The colour of light The number of seconds此系統連接至某網絡,只讓運輸署員工使用。吳小姐擔心可能會有駭客入侵。The system is connected to a network only for the staff of the Transport Department. Ms Ngworries about the possibility of hacking.(i) 她決定使用專用網絡,可是她還希望安裝防火牆。為什麼? She decides to use a private network. However, she still wants to install a firewall. Why?專用網絡可能已連接互聯網,防火牆可阻止黑客入侵。/該網絡為虛擬私有網絡/虛擬專用網絡,防火牆可阻止黑客入侵。/防火牆在某一專用電腦上安裝,它可阻止黑客透過相同網絡的電腦入侵。The private network may connect to the Internet and the firewall can protect the systemfrom hacking. /The network is virtual private network that the firewall can protect the system fromhacking. /The firewall is installed onto a dedicated computer that can protect the computer fromhacking through other computers in the same network.入侵 Hacking 和破解 Cracking 的分別入侵是指擅自存取他人資料,駭客一般不是因商業理由而進行入侵活動。這些駭客只為挑戰電腦網絡的保安漏洞而已。相反,破解者利用入侵技術進行破解,以盜取有關資料進行非法活動。 Page 26
  27. 27. [Past paper 2010 CA]某中學為學生提供包括網誌、視像/語音聊天室及影像共享的網站服務。該學校電腦網絡的連接如下圖所示。A secondary school provides web services to students, including blogging, video/voice chat andvideo sharing. The network connections of the computers in school are shown in the diagrambelow. 伺服器 儲存系統 辦公室子網絡 Server Storage System Office subnet 互聯網 路由器 Internet Router 交換器 小希的電腦 學生子網絡 Switch Mary’s computer Students’ subnet某駭客入侵了小希的帳戶,並在學校的網站上張貼了一些淫穢的相片。學校將此事通知了警方。警方可如何根據網絡的日誌檔追查該駭客?A hacker breaks into Mary’s account and posts some obscene photos onto the school’s web site.The school reports the incident to the police. How can the police trace the hacker using thenetwork log file?追蹤 IP 地址,要求相應的 ISP 提供犯罪者的身份Trace the IP address and determine the corresponding ISP to reveal the offender’s identity. Page 27
  28. 28. 2.3.2 Cookie我們上網瀏覽網頁時,網站會透過手稿程式把一些資料儲存在硬碟中,這些儲存瀏覽器資料的檔案稱為小甜餅(Cookie)。 選擇此選項,瀏覽器便會把用戶名稱 和密碼儲存在瀏覽器的 cookie(硬碟 內的文字檔)中 Page 28
  29. 29. 我們可以更改瀏覽器的設定,決定是否要保存網站的 Cookie:[Past paper 2005 CA]小強預備編寫網上遊戲軟件。他希望設計一個可透過瀏覽器玩耍的遊戲。有什麼應考慮的瀏覽器設定?試舉出兩類。Peter is going to write online game software. He wants to design a game that can be playedthrough a browser. Give two kinds of browser settings that should be considered.插件(例如 Java Applets, ActiveX, Flash, Shockwave) 、安全(保安設定) 、指令碼(ScriptingLanguage)、語言、小甜餅(Cookies)、暫存檔Plug-ins like Java Applets, ActiveX, Flash, Shockwave, Security, Scripting Language,Language, cookies, temporary files Page 29
  30. 30. 駭客可以利用惡意程式,盜取瀏覽器內的 cookie 檔案。[Past paper 2008 CIT]下列哪一項(些)可能違反了數據私隱?Which of the following may cause an infringement of data privacy? (1) 間諜軟件攻擊網站。 Spyware attacks web sites (2) 黑客竊取互聯網用戶的小甜餅(cookie)。 Hackers steal the cookies of Internet users. (3) 互聯網用戶接收很多垃圾郵件。 Internet users receive many Spam mails.A. 只有(1)B. 只有(3)C. 只有(1)和(2)D. 只有(2)和(3)Ans: C Page 30
  31. 31. 2.3.3 仿冒詐騙仿冒詐騙(phishing)是指騙徒通過向可信的機構(如銀行)的用戶發出仿冒該機構的電郵訊息,企圖取得他們的機密資料。仿冒電郵內一般包含仿冒官方網站的超連結,將用戶誘騙至偽造的網站去。這些網站在內容和網址上都與官方網站相似,容易令用戶上當,並應偽造網站的要求輸入個人資料。為免誤墮仿冒詐騙網站的陷阱,我們應遵循下列的指引: 切勿開敢來源不明的電郵,亦不應點擊這些電郵內的超連結。 Do not open hyperlinks stated in suspicious sources such as e-mails from an unknown sender 提高警覺,切勿隨便向任何網站提供個人資料或敏感資料。 Be alert when a web site asks you to supply personal information and sensitive information 若發現網站有異,應先與網站管理員聯絡,以檢查網上服務的程序是否有變更。 If a web site behaves differently, check with the administrator of the web site whether there has been a change in the handling procedures of its online services 點擊超連結前應先檢查清楚該網址,到底是否屬於真正的官方網站。 You should be cautions when the URL of the target web site differs slightly. In addition, the URL of a phishing web site may differ completely from the URL of the genuine web site[Past paper 2008 CIT]下列展示一個仿冒詐騙電郵的例子。The following email shows an example of phishing. 親愛的客戶: Dear Customers, 請瀏覽 http://www.hkbank.co.uk,並登入你 Please visit http://www.hkbank.co.uk and log 的戶口,更新你的個人資料。 on to your account to update your personal 陳經理 information. HK 銀行 Mr Chan Manager, HK Bank下列哪一項(些)行動可減少此類仿冒詐騙電郵的攻擊?Which of the following actions can minimize this kind of phishing attempt?(1) 於電腦內安裝防火牆。Install a firewall in your computer.(2) 利用垃圾郵件過濾軟件阻隔潛在的垃圾電郵。 Use Spam filters to isolate potential Spam mail.(3) 銀行應不要在電郵中要求客戶提供機密資料。 Banks should never ask customers for confidential information in their emails.A. 只有(1) C. 只有(1)和(2)B. 只有(3) D. 只有(2)和(3) Ans: D Page 31
  32. 32. [Past paper 2010 CIT]志強收到了下列電郵,他知道這是一個偽冒電子郵件。Peter receives the following email and knows that it is a phishing scam. 主旨:少報收入通知書 Title: Notice of Underreported Income 請從稅務局的主頁中檢視有關閣下的薪俸稅資 Please review your income tax statement on the 料(請按以下的連結) Inland Revenue Department website (click the link 檢視稅項資料 納稅人編號:00-1-00232-984 below). Review Tax Statement for taxpayer id: 00-1-00232-984他應如何處理?What should he do? (1) 按下該連結,以便查明這網站是什麼。 Click the link to find out what the website is. (2) 立即刪除此電郵。 Delete the email immediately. (3) 回覆通知發信人,表示他不希望再收到類同的電郵。 Reply informing the sender that he does not want to receive this kind of email again.A. 只有(1) C. 只有(1)和(3)B. 只有(2) D. 只有(2)和(3) Ans: B Page 32
  33. 33. 2.4 防止私隱外洩 要在互聯網上保護私隱,我們應盡可能在網上保持匿名的身份。 We should remain anonymous as far as possible 要保護自己的帳戶及密碼 Safeguard our accounts and passwords要在網上保持匿名身份,可以在用戶與互聯網之間加裝一部或者更多的電腦(通常是代理伺服器),以增長數據封包的傳輸路線,從而增加追查用戶位置的難度。代理伺服器(Proxy Server)有以下的作用: 負責將用戶的要求解譯並傳送到目的網伺服器去 於磁碟空間儲存進入系統的網頁檔案,以提供快取(Cache) 過濾網頁若透過代理伺服器瀏覽網頁,由代理伺服器傳送到網伺服器的數據封包中只包含代理伺服器的 IP 位址及網伺服器的 IP 位址。因此,網伺服器並不會接收到用戶電腦的 IP 位址。新版本的瀏覽器有私隱模式,可以阻止網站把 cookies 等私隱資料永久儲存在硬碟中: Internet Explorer 中按[Ctrl]+[Shift]+[P]進入私隱模式 Page 33
  34. 34. 以下是設定密碼的幾個要點: 使用不易被猜中的密碼 Choose a password that is difficult to guess or hack 密碼應以數字、符號和大小寫英文字母混合組成,長度亦應最少有 6 個字符 A strong password should be a combination of digits, symbols and letters, both capital and small. A password should have 6 or more characters 不要使用字典的單字作為密碼 Do not use dictionary words as password 不要抄下密碼 Do not write down your passwords on paper or record them in any media or equpment such as PDA/mobile phone 不要與他人共用密碼 Do not share passwords with others 定期更改密碼,建議一般最少每三個月便更改密碼一次 Change password regularly, you are advised to change your password for every three months or less 不要在不同系統主使用同一組密碼 Use different passwords on different systems[Past paper CA 2009]志明登記某網站的免費戶口,如下所示:Peter registers for a free account on a web site, as shown below: 登入名稱(電郵地址): Login name (email address):(ii) 志明考慮以 wrgkeran 或 ae5Rln 作為密碼。從保安角度而言,他應該選用哪一個呢? 試加說明。 Peter wants to use either wrgkeran or ae5Rln as his password. Which one should he use in terms of security? Justify your answer.wrgkeran:較長 longer或ae5Rln:由字母及數字組成 The combination of alphabets and numbers Page 34
  35. 35. [Past paper 2010 CA]某中學為學生提供包括網誌、視像/語音聊天室及影像共享的網站服務。該學校電腦網絡的連接如下圖所示。A secondary school provides web services to students, including blogging, video/voice chat andvideo sharing. The network connections of the computers in school are shown in the diagrambelow. 伺服器 儲存系統 辦公室子網絡 Server Storage System Office subnet 互聯網 路由器 Internet Router 交換器 小希的電腦 學生子網絡 Switch Mary’s computer Students’ subnet試為小希的帳戶選取更為安全的登入密碼提出兩個建議。Give two suggestions to Mary for choosing a more secure login password for her account.文字、數字及符號的組合 combination of alphanumeric and symbols內容不容易猜測 content-wise not easy to guess Page 35
  36. 36. 在互聯網上,還可以用以下的方法保障私隱: 掃描所有接收的電郵。不要回覆任何垃圾郵件。 Scan all incoming emails. Never reply any junk emails. 刪除所有在瀏覽互聯網時用作儲存網上活動資訊的暫存檔案和 Cookies 檔案。謹記在公 眾地方(如網吧或互聯網資訊站)完成瀏覽後,刪除相關的檔案,並在離開前清空資源 回收筒。 Delete all files storing the information related to your Internet activities while you are surfing. These files can be in the form of cookies and temporary files. This is especially important when you have finished browsing in public areas such as a cyber café or an Internet kiosk. Empty the recycle bin before leaving. 當連接到互聯網時,應停止電腦的檔案分享功能。 Stop file sharing in your computer while connected to the Internet. 掃描所有從互聯網下載的檔案;切勿安裝任何從可疑網站下載的程序。 Scan all files downloaded from the Internet and do not install any programs from suspicious websites. 定期為操作系統和瀏覽器安裝軟件修補程序,以修補任何保安漏洞。 Install software patches for your operating system and web browser regularly to fix known security loopholes. 若使用流動裝置上網,要以可信的無線網絡連線。 Connect your mobile devices only to trusted wireless Internet connections. Page 36
  37. 37. [Past paper 2008 CIT]王小姐利用某咖啡店內的電腦使用網上銀行服務。Ms Wong uses a computer in a coffee shop to access online banking services.這項網上銀行服務登入網頁的設計如下所示。The design of the login page of the online banking services is shown below. 用戶名稱 Username 1 2 3 2002189 4 5 6 密碼 Password 7 8 9 ****** 0 * 請利用滑鼠按下右邊的按 * Please use a mouse to click the buttons on the 鈕,輸入用戶名稱及密碼。 right to enter the user name and password.(ii) 試建議兩項改善其保安的網頁設計,並簡略說明。 Give two suggestions for improving the design in terms of security. Explain your answer briefly.在屏幕提供字母,增加密碼的組合。Provide alphabets on the screen. There will be more combinations for a password.更改數字鍵盤中數字的次序,使別人不容易估出密碼。Change the order of the digits in the digit pad in order not to be guessed easily.建構一個計時器,限制使用時段。Set up a timer to limit the time period for use in each session.自動登出Log out automatically限制登入失敗的次數。Limit the number of attempts to log on輸入其他個人資料(例如出生日期)Input other personal information (e.g. DOB) Page 37
  38. 38. 2.5 垃圾郵件垃圾郵件(Spam, Junk mail)是指一般人認為多餘或沒有用的新聞組貼子或郵件,它們通常是商品或服務的商業廣告。垃圾郵件所產生的問題: 垃圾郵件不單佔用用戶的電子郵箱的空間,更浪費他們的時間檢查和刪除這些多餘的電 郵。 Spam not only occupies storage space in our email boxes, but also takes time to check and remove them 大量的垃圾郵件充斥網內,會減慢互聯網的數據存取速度。 The Internet traffic will slow down if it is flooded with junk mail 有些垃圾郵件帶有色情、暴力、盜版物品等不良資訊。 Some spams contains undesirable information such as pornographic, violent or pirate articles. 張貼不相關的新聞組內容,使新聞組失去原本的功能。 Irrelavant newsgroup posting change the original purpose of the newsgroup and even stol normal operations. Page 38
  39. 39. 垃圾郵件製造者如何取得電郵地址? 從互聯網購買的電郵地址清單。 Email address lists can be brought form the Internet. 垃圾郵件製造者可利用軟件產生電郵地址,然後傳送測試信息來確認它們的存在。 Smammers can use software to generate e-mail addresses and then send test messages to confirm their existence. 從互聯網獲取電郵地址,例如從新聞群組、白頁及黃頁、郵寄清單和網頁。 Harvest email addresses from the Internet, e.g. from newsgroup, white & yellow pages, mailing lists and web pages.預防垃圾郵件的方法: 我們不應回應這些垃圾郵件,以免造成麻煩。 You should never reply to any junk e-mail. 使用垃圾郵件過濾軟件,用以檢查和選擇地攔截垃圾郵件。 Use spam-filtering software to identify span and block the unsolicited mail.[Past paper 2007 CIT]有些網站向互聯網用戶發出電子郵件,以嘗試吸引用戶瀏覽它們的網站。Some web sites send e-mails to Internet users to try to attract them to visit their web sites.(i) 這類活動稱為什麼? What is this kind of activity called?垃圾郵件/宣傳郵件/濫發郵件/網路釣魚 Junk mail / Spam / phishing(ii) 這類網站如何收集這些電郵地址? How do these web sites collect the e-mail addresses?由一些電郵網站提供。(網路釣魚) Supplied by some email web sites. (Phishing)(iii) 試舉出這類活動對社會帶來的兩種影響。 Give two ways in which society is affected by this activity.妨礙用戶正常使用互聯網。促進商業活動。Interfere with people’s normal use of the Internet. Promote the commercial activities. Page 39
  40. 40. [Past paper 2005 CIT]病毒惡作劇(Virus hoax)是一個虛假的病毒警告電郵。當你收到一個如下病毒惡作刻,有什麼適當的行動?A virus hoax is an untrue warning email. When you receive a virus hoax such as the one below,what is the appropriate action? 主旨:警告! Title: Warning 在你的電腦內檢測到一種新病毒。請立即格 A new Virus has been detected in your 式化你的硬碟,並重新安裝所有程序。 computer. Format your harddisk and re-install all the program immediately.A. 不理會此電郵。 Ignore this email.B. 回覆寄此電郵的人。 Reply to the senderC. 轉寄些電郵給朋友。 Forward this email to your friends.D. 立即格式化你的硬碟,並重新安裝所有程序。 Format your harddisk and re-install all programs immediately.Ans: A[Past paper 2006 CIT]下列哪些能有效減少接收濫發的電子郵件?Which of the following can effectively help reduce incoming Spam mails? (1) 不給予不知名人士電子郵件地址。 Do not give email addresses to unknown people. (2) 向警方求助。 Call police for help. (3) 架設郵件過濾,將有關郵件隔離。 Set filters to isolate Spam mails. (4) 刪除濫發的電子郵件。 Delete Spam mails.A. 只有(1)和(3)B. 只有(2)和(3)C. 只有(1)和(4)D. 只有(2)和(4)Ans: A Page 40
  41. 41. [Past paper 2007 CIT]有些用作宣傳的垃圾電郵只包含一個圖形檔為附件,而此圖形檔卻是一些文字的影像,這是因為Some Spam mail for advertising only contains a graphics file as an attachment, but the graphicsfile is an image of some text. This is becauseA. 這是一種宣傳的好方法。 It is a good way to advertise.B. 這樣可能繞過郵件伺服器的郵件過濾。 It may bypass mail filtering at the mail server.C. 此電子郵件容量較小。 The email size is smaller.D. 電郵收件者不能輕易地修改此檔案,可保障擁有者的版權。 Email receivers cannot change the file easily, which protect its copyright.Ans: B在網上討論區中,若我們想發出或回應貼文時,可能要輸入認證碼:驗證碼 CAPTCHA 的全名為「全自動區分電腦和人類的圖靈測試」(Completely AutomatedPublic Turing test to tell Computers and Humans Apart),用於確認使用者是人類,以防有人用程式在討論區發出大量的垃圾信息,或註冊大量的戶口。 Page 41
  42. 42. [Past paper CA 2009]志明登記某網站的免費戶口,如下所示:Peter registers for a free account on a web site, as shown below: 登入名稱(電郵地址):志明需要根據以下圖像,輸入有關字符,以完成免費戶口登記。In order to complete the registration of the free account, Peter needs to input certain charactersbased on the following image. 輸入驗證碼: Input verification code:(i) 這項輸入的目的是什麼? What is the purpose of this input?它確保這項登記是由人手完成,而並非由機器人軟件完成。 (驗證檢測)It ensures that the application is done by human, not robot software. (verification check)(ii) 為什麼圖像中字符背後會畫有線條? Why there is a line on the background of the characters?令字符不能由機器人軟件(機器/網路機械人(bot))識別出來。They cannot be recognized by robot software (bot / machine). Page 42
  43. 43. 2.6 資料加密加密(Encryption)就是把可讀的數據轉成不可讀的字符的過程。加密前的資訊稱為明文(Plaintext),加密後的資訊稱為密文(Ciphertext)。 Hello, I am aV&3P74%2@ Peter! 加密Encryption mKleHqwWo GPtiKL 解密Decryption加密和解密均須使用密碼匙(Key)。若加密匙和解密匙均相同則為對稱加密法(Symmetric Keyencryption),加密匙和解密匙不同則為不對稱加密法(Asymmetric Key encryption)。一般來說,密碼匙愈長,便愈難破解。2.6.1 對稱加密法採用對稱密碼匙,收發信息的雙方都擁有相同的密碼匙,雙方都可以用同樣的密碼匙為資訊加密或解密。優點:算法簡單缺點:由於每對往來伙伴都須擁有一條相同的密碼匙,所以當須要與多人聯繫時,密碼匙的管理和儲存會相當困難。 Page 43
  44. 44. 2.6.2 非對稱加密法非對稱加密法中加密和解密的密碼匙都不相同。而現時最常用的加密技術是公鑰基礎建設(Public Key Infrastructure, PKI)。它使用兩條密碼匙:公開密碼匙(Public Key)和私人密碼匙(Private Key)。公開密碼匙可讓任何人知道,私人密碼匙則保持機密。若文件由公開密碼匙加密,則須由對應的私人密碼匙解密。反之,若文件由私人密碼匙加密,則須由對應的公開密碼匙解密。PKI 可確保數據的完整性(Integrity)和機密(Confidentiality)。完整性是指傳送的數據不曾被人修改。若被人修改,則接收方不能解密。機密是指數據被攔截後也不能解密。 Page 44
  45. 45. [Past paper 2007 CA]小芬和家強利用公鑰及私鑰加密傳送電子郵件。家強可採用下列兩種方法寄出電子郵件給小芬。Mary and Peter send e-mail using public and private key encryption. Peter can send e-mail toMary by using the following two methods: (1) 家強以小芬的公鑰加密電子郵件,小芬以自己的私鑰將這電子郵件解密。 Peter encrypts an e-mail with Mary’s public key and Mary decrypts it with her own private key. (2) 家強以自己的私鑰加密電子郵件,小芬以家強的公鑰將這電子郵件解密。 Peter encrypts an e-mail with his own private key and Mary decrypts it with Peter’s public key.(a) 試寫出方法(1)的一項優點。Give an advantage of using method (1).只有小芬能閱讀該電郵。Only Mary can read the email.(b) 事實上,任何人也能取得家強的公鑰,並透過方法(2)閱讀家強寄出的電子郵件。為何 家強仍希望使用方法(2)? In fact, anyone can have Peter’s public key and hence can read the email sent out by Peter through method (2). Why might Peter still want to use method (2)?小芬能確定該電郵是由家強寄出。 Mary can confirm that the email is sent by Peter.(c) 試建議及描述一個比方法(1)和(2)較佳的方法,以公鑰及私鑰加密讓家強傳送電子郵件 給小芬閱讀。 Suggest and describe a method of using public and private key encryption which would be better than methd (1) and (2), for allowing Mary to read email sent by Peter.家強將自己的私鑰以及小芬的公鑰把電郵加密。Peter encrypts an email with his private key and then Mary’s public key.小芬將自己的私鑰以及家強的公鑰把電郵解密。Mary decrypts it with her private key and then Peter’s public key.或家強將小芬的公鑰以及自己的私鑰把電郵加密。Peter encrypts an email with Mary’s public key and then his private key.小芬將家強的公鑰以及自己的私鑰把電郵解密。Mary decrypts it with Peter’s public key and then her private key. Page 45
  46. 46. 2.6.3 保密插口層保密插口層(Secure Sockets Layers, SSL)通常用於網站,透過 PKI,保障網站和客戶之間數據傳輸的完整性和機密。支援 SSL 的網站會將其公開密碼匙傳送到客戶瀏覽器,從客戶傳送的數據可以利用網站的公開密碼匙加密。SSL 有以下的用途: 防止他人截取和翻譯傳輸途中的數據封包; Prevent eavesdroppers intercepting and interpreting the data packet during transmission. 確保數據在伺服器發出的途中不經他人修改; Ensure the data sent from the server is not modified. 確認伺服器的身份。 Verify the identity of the server.瀏覽器狀態欄的閉鎖圖像或網址上有 https 字首表示網站使用 SSL 加密。[Past paper 2007 CIT]當用戶登入某網站時,瀏覽器的右下角會顯示一個如一把鎖的圖示,代表某類保安措施。這是什麼保安措施?When a user logs on to a web site, an icon of a lock is displayed in the bottom right corner of thebrowser indicating a kind of security measure. What is the security measure?A. 此網站提供安全數據儲存服務。 The web site provides secure data storage service.B. 此戶口已上鎖,直至用戶登出。 The account is locked until the user logs out.C. 傳送至此網站的數據均已被加密。 Data sent to the web site are encrypted.D. 此網站為內聯網,並不會開放給公眾人士使用。 The web site is an Intranet and is not open to the public.Ans: C Page 46
  47. 47. 2.6.4 數碼證書數碼證書(Digital Certificate)是一份包含持有者名字及其公開密碼匙的數碼文件,用於識別證書持有者在互聯網上的身份。我們可向核證機關(Certificate Authority, CA)申請數碼證書。香港郵政署是香港的數碼證書的核證機關。詳情可參考以下網址:http://www.hongkongpost.gov.hk/support/faq/index_c.html[Past paper 2005 CIT]數碼證書是 A digital certificateA. 一個戶口用來繳付費用的,例如繳付電費單。 is an account for payment such as electricity bills.B. 用來辨認某人在互聯網內的身分。 identifies a persion on the Internet.C. 香港身分證的數碼格式。 is a digital form of the Hong Kong Identity Card.D. 每部電腦獨特的身分。 is a unique identification for each computer. Ans: B[Past paper 2006 CIT]下列哪項關於香港的電子證書是不正確的?Which of the following statements about digital certification in Hong Kong is not correct?A. 電子證書在法律上獲承認為個人簽名。 Digital certificates can be legally accepted as a personal signature.B. 電子證書可加強網上交易的安全。 Digital certificates can enhance the security of online transactions.C. 智能身分證內的電子證書可配合護照進入外國。 Digital certificates in Smart ID Cards can be incorporated into passports for entering foreign countries.D. 香港郵政簽發給予不同組織團體認可的電子證書。 Hong Kong Post issues recognised digital certificates for different organisations. Ans: C[Past paper 2007 CIT]數碼證書適用於下列哪項(些)互聯網活動?In which of the following Internet activities is the use of a digital certificate appropriate?(1) 登入一個銀行系統。 Log on a banking system.(2) 寄出含保密資料的電子郵件。 Send an email with confidential information.(3) 利用搜尋器尋找數碼證書的資料。 Use a search engine to search for information about the digital certificate.A. 只有(1) C. 只有(2)和(3)B. 只有(1)和(2) D. 只有(3) Ans: B Page 47
  48. 48. 2.6.5 存取控制對於一個系統,可能會有不同的使用者,系統須要有存取控制,防止使用者不當存取資料。認證(Authentication)是指辨別用戶身份的過程,而授權(authroization)就是給予通過認證的用戶適當存取權限的過程。保安系統管理存取控制表(ACL),內裏準確地記錄了於電腦網絡上存取檔案和資源時所需的保安權限。存取控制表內的資料包括: 用戶的身份,如登入名稱 與用戶相關並受保護的物件,如數據檔案、應用軟件和資料夾 受保護物件的存取模式,例如唯讀、寫入、修改、列出和全面控制。帳戶控制(Accounting control)會監控獲授權的用戶在系統上的活動,能確保用戶正當地使用系統資源、及即時停止一切違法活動。監控過程中會建立大量的日誌檔案,供系統管理員作日常分析,以檢查系統是否運作暢順和安全。常用的認證方法有: 用戶名稱及密碼 Username and password IP 認證 IP authentication 數碼證書 Digital certificates 生物認證技術 Biometric authentication有什麼生物認證技術?指紋(Fingerprint)識別、掌紋(Palm)識別、虹膜(Iris)識別、視網膜(Retina)識別、人臉(Face)識別、話音(Voice)識別 智能卡 Smart card Page 48
  49. 49. 若進行網上交易(如網上銀行服務) ,除了用戶名稱和密碼外,我們還可能要進行雙重認證,以確保交易安全:常見的雙重認證方法有 保安令牌 Security token 手提電話短訊服務(Short message service, SMS) 智能卡 Smart card Page 49
  50. 50. [Past paper 2006 CIT]吳小姐現正為運輸署開發電腦控制系統。行人過路燈會收到一個控制信號,隨後開啟紅燈(RED)或綠燈(GREEN)128 秒以下。下列為控制信號的例子:Ms Ng is developing a computer control system for the Transport Department. A pedestrian lightwill receivve a control signal to subsequently turn on either RED or GREEN light for less than 128seconds. An example ofthe control signal is shown below: GREEN 112 燈的顏色 秒鐘的數量 The colour of light The number of seconds此系統連接至某網絡,只讓運輸署員工使用。吳小姐擔心可能會有駭客入侵。The system is connected to a network only for the staff of the Transport Department. Ms Ngworries about the possibility of hacking.(ii) 某員工可能偷取吳小姐的密碼,登入此系統。除了檢測用戶 ID 和密碼,建議兩個可加 強系統保安的方法。 A colleague rnay steal Ms Ng’s password to log on to the system. Besides checking the user ID and password, suggest two methods of enhancing system security.使用生物辨識技術(如指紋、虹膜、話音等)使用電子證書/數位簽名/個人資料問題/聰明卡(香港身分證)fingerprint/palm/iris/pupil/voice/retina/face/ear recognition / digital cert (e-cert) / digitalsignature / questions about personal information / smart (HKID) card as recognizing key[Past paper CA 2009]志明登記某網站的免費戶口,如下所示:Peter registers for a free account on a web site, as shown below: 登入名稱(電郵地址): Login name (email address):(i) 採用電郵地址作為登入名稱有什麼好處? What is the benefit of using an email address as login name?它必然是獨一無二的/它可確認其身份。It is unique/It can verify the identity Page 50
  51. 51. 2.7 無線網絡的保安早期用來保護 IEEE 802.11 無線網絡的保安技術是有線等效加密(Wired equivalent privacy,WEP)協定,這種技術利用媒介接達控制(MAC)地址來辨別授權的無線存取。然而,MAC 地址有機會被駭客截取,而且用作加密的算法亦不安全。2003 年,業界推出了無線相容認證保護存取(Wi-Fi Protected Access, WPA)協定。WPA 使用更先進的加密和認證技術,以取代以往的 WEP。下列是使用無線上網時的相關指引: 使用用戶名稱及密碼保護自己的無線網絡。 Protect your wireless connection with a username and a password. 不使用無線上網時,關閉連線。 Disable the wireless connection when not in use. 定期更新無線網絡界面卡的驅動程序。 Update your wireless network interface card drivers regularly. 停用無線網絡界面卡的資源共享協定。 Disable resource sharing protocols for your wireless interface card. 不要同時使用無線及有線網絡界面卡。 Do not enable both wireless and wired network interface cards simutaneously. 切勿使用公眾無線網絡傳送個人資料或敏感資料。 Do not send sensitive / personal information over a public wireless connection. Page 51
  52. 52. 使用 WPA 協定驗證 設定共用金鑰,防止未授權的存取圖:典型無線路由器的設定 Page 52
  53. 53. [Past paper 2011 CA]下圖展示了智仁家中無線路由器的背板。The diagram below shows the rear panel of a wireless router at Frank’s home. 埠 Port 1 2 3 4 5 預設 IP 地址: 192.168.11.1 Default IP Address: 區域網絡 LAN 廣域網絡 WAN此路由器部份的配置頁如下展示:Part of the configuration page of the router is shown below. 無線設定 WIRELESS SETTINGS 加密 Encryption:  WEP-64  WEP-128 通道 Channel: Channel 1 最多連接數量: 8 Maximum number of connections: 網域名稱伺服器 IP 地址: 8.8.8.8 Domain Name Server IP Address:相對 WEP-128,試舉出選用 WEP-64 加密的一個缺點。Give one disadvantage of choosing WEP-64 for encryption with respect to WEP-128.相對 WEP-128,保密性較弱 weaker encryption when compared to WEP-128 Page 53
  54. 54. 2.8 局域網絡保安局域網絡的保安威脅分為: 外部威脅(External Threat):包括前門攻擊(Frontdoor attack)、後門攻擊(Backdoor attack) 和無線攻擊。 內部威脅(Internal Threat):是指網絡內的用戶存取他們不應存取的檔案。前門攻擊是指駭客取得登入系統的存取權限。後門攻擊是指利用網絡操作系統或網絡軟件的弱點或錯誤取得系統的控制權。大致上局域網絡(LAN)的保安要點與之前提及的相類似。現在總結以下的要點:抵禦前門攻擊: 使用防火牆。 限制接達 Access Restriction:只讓擁有某些 MAC 位址的工作站接達伺服器。 回撥 Dial back:針對使用數據機對局域網絡的遠程接達。用戶先撥號向系統提出接達請 求。系統收到請求後便結束連接,然後從記錄中取回有關用戶的資訊,撥出電話號碼, 建立真正的連接。抵禦後門攻擊: 使用防火牆 定期更新操作系統和軟件的修補程式(Patch),以填補保安漏洞。抵禦內部保安威脅: 設定帳號保安(Account security),包括:  為不同級別的用戶帳號設定存取權限。  建立不同的群組(Group),並將用戶編入不同的群組。為每毎群組設定存取權限  避免使用訪客(Guest)用戶。  移除用於測試的“Test”和“Temp”等帳號。  關閉預設的管理員(Administrator),帳號,或重新命名這帳號。  建立密碼政策,要求用戶定期更改密碼。  留意不正當的密碼嘗試。一經發現,應將該用戶帳號上鎖,防止進一步的嘗試。  限定用戶每天可登入的時間。 設定資料夾許可(Directory Permission),例如:只建立(Create only)、唯讀(Read only)、 更改(Change)或完全控制(Full Control)。 避免受惡意軟件攻擊。 Page 54
  55. 55. 3. 網絡維護3.1 網絡監察網絡監察(Network monitoring)的目的是確保網絡能夠持續地提供正常的服務。網絡需要監察的地方包括: 伺服器效能,可從以下資訊得知:  待執行指令(Queued command)的數量:若有得多待執行指令,則表示伺服器有樽頸 問題。增加伺服器數量或使用多處理器可以善情況。  伺服器時段(Server session)質素:伺服器時段記錄伺服器和客戶機之間的連接情況, 並指出中斷連線的原因。 網絡統計,包括以下數據:  錯誤率  網絡使用率 磁碟效能,包括以下的數據:  磁碟的剩餘空間  硬碟的輸貫量(Disk throughput)  仍待處理的請求(Queued request) 記憶體使用率 中央處理器使用率 圖:Windows 的工作管理員可顯示記憶體使用率和 CPU 使用率 Page 55
  56. 56. 3.2 故障檢修故障檢修(Troubleshooting)是指診斷及解決問題。在網絡上常遇到的問題包括: 系統回應過慢 工作站不能偵測網絡的存在 用戶不能登入網絡 不能使用網絡上的檔案、打印機等資源 不能連接到互聯網 不能執行某些程式故障檢修通常包括以下的步驟: 1. 搜集癥狀:可從用戶、錯誤訊息(Error Message)或事件日誌(Event logs)搜集資訊。 以下是一些有用的資訊:  故障發生的時間  當故障發生時,用戶正在處理的工作  故障的頻密程度  用戶曾否嘗試自行解決問題  系統最近的改動 2. 釐定受影響範圍:可能是單一工作站、某個網絡段,甚至整個網絡有問題。 3. 找出曾被改動的地方:檢查是否安裝了新的軟件或硬件,或移動了網絡上的硬件。 4. 確定原因:為了找出原因,可嘗試將問題隔離,例如:  將受影響的主機移離網絡,並檢查該主機能否獨立運作  移除連接到集線器或交換器的電纜  逐一停止伺服器的服務  重新啟動整個網絡 亦可使用工具:  電纜測試器 Page 56
  57. 57.  事件檢視器  協定分析器(Packet analyzer)/封包嗅探器(Packet sniffer)/網絡分析器(Network analyzer)5. 執行解決方案 留意若解決方案需要將伺服器關閉,必須計劃何時進行,以及為系統資訊進行備份。 Page 57
  58. 58. 6. 測試結果,以確定問題完全解決。 7. 編製有關文件,文件內包括:  曾出現什麼問題  如何及何時執行解決方案  曾嘗試但不成功的其他解決方案。並解釋為何不成功  解決方案由誰人執行3.3 用戶培訓及支援為一個機構建立了網絡後,必須安排用戶培訓,讓用戶學習如何使用網絡。培訓的內用包括: 一般用戶 行政人員 基本網絡概念  如何為新職員建立帳號 簡單的故障檢修,例如檢查電纜的連接  如何刪除已離職的用戶帳號 如何登入系統 如何存取網絡的資源 為工作站進行備份及檢查備份是否成功 保存密碼機密的重要性 保安的重要性,例如離開座位前謹記登 出系統等 預防惡意軟件的重要性培訓的模式包括下列各項: 環境的熟習:向用戶介紹網絡的各樣設施,示範使用這些設施及解答用戶的提問。 課堂形式的培訓 提供操作提示:包括快速參考卡、用戶手冊、鍵盤捷徑提示等。當遇上問題時,網絡管理員可由以下途徑取得解決方案: 說明選單(Help menu) 製造商提供的文件 製造商的求助熱線 互聯網上的新聞組 製造商提供的唯讀光碟網絡管理員可向用戶提供以下的支援: 提供支援的網頁列表 以網頁形式提供使用手冊 提供求助熱線電話 Page 58

×