國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

目錄

第一章 資訊管理的安全與保護觀點

1-1 組織的資訊安全議題

一、組織資訊安全的主要議題

※資訊安全的主要議題與架構

二、資訊安全

(一)CIA三要素

(二)達成CIA的實務方法

※CIAA model

※其它安全性服務

※鑑別性(Authenticity)

(三)網路安全五個基本功能

※權限(Authority )

※安全評估共通準則規範(Common Criteria specification)

※安全評估共通準則規範中可信任系統的隱私保護所應包含的四個特性

※可稽核性(accountability)：責任歸屬 / 可歸責性

(四)網路犯罪

(五)用戶認證(User Authentication)

(六)網頁應用程式的檢查方式

※弱點檢測可以分為侵入式及非侵入式兩種，其各自的意義以及其優缺點

※源碼檢測、弱點掃描和滲透測試的比較

※分支預測(branch prediction)

※某類型的處理器為何會造成spectre安全漏洞？

※完美安全(Perfect Secrecy)

※資訊安全防衛機制

※實體安全(Physical Security)

※網站的安全性憑證不可靠的訊息

※網站日誌檔(Web Log Files)：伺服器日誌 / 服務器日誌

※資料庫安全威脅

※安全敏感性資料(Secure Sensitive Data)

※資料庫近似查詢法中的合成法(Combining results)

※經常可見使用網路表單進行活動報名或資料調查，但曾經有多起案例因為表單設定錯誤導致使用者可以查閱其他人填寫的資料。面對這樣的情況，對於使用網路表單時的資料蒐集原則、存取控制設定、傳輸保護方式、資料儲存安全、資料保存期限等五項應教育宣導表單設計管理者注意那些重點？

※OSI的安全架構(Security Architecture for OSI)

※電腦安全的七項設計原則

※專有名詞

※資訊安全策略原則

※網路安全演練

※資安健診服務

※網路功能弱點

※網路掃描

※BYOD(Bring Your Own Device)

※遠距工作：在家上班 / 在家辦公 / 異地辦公

三、組織資訊安全的環境與背景

(一)企業電腦化普及所潛藏的危機

(二)Internet的開放性

(三)匿名性與距離性

(四)犯罪速度快、容易複製、波及面大

(五)電腦犯罪容易潛伏及隱藏

(六)法律的周延性不足

四、組織資訊安全的漏洞與弱點

(一)作業系統本身的弱點

(二)通訊協定本身的弱點

(三)網路軟體上的弱點

(四)管理制度上的弱點

(五)人員的弱點

五、網路安全的服務與目標

(一)安全隱密性(Confidentiality)

(二)身分認證性(Authentication)

(三)資料完整性(Integrity)

(四)授權性(Authorization)

(五)不可否認性(Non-Repudiation)

六、網路安全的威脅與攻擊的模式

(一)電腦病毒(Virus)的散布

(二)阻絕服務(Denial of Service, DoS)

(三)後門或特洛伊木馬程式(Trapdoor/Trojan Horse)

※暗門程式(Trapdoor)

(四)竊聽(Sniffer)

(五)偽裝(Masquerade)

(六)資料篡改(Data Manipulation)

(七)否認(Repudiation)

(八)網路釣魚(Phising)

(九)雙面惡魔(Evil Twins)

(十)網址轉嫁連結(Pharming)

(十一)點擊詐欺(Click Fraud)

(十二)Rootkits

(十三)進階持續性滲透攻擊(Advanced Persistent Threat, APT)

※病毒(Virus)

※電腦病毒類型

※蠕蟲(Worm)

※電腦病毒、特洛伊木馬程式與電腦蠕蟲的比較

※惡意程式(malware)的種類及預防方式

※防毒軟體：惡意程式預防軟體

※疾風病毒(Blaster Worm)

※紅隊演練(Red Team Assessment)

※Host-based Behavior-blocking software

※主機掃描(Host scanning)

※網路釣魚(Phishing)：釣魚網站(Phishing website)

※為何一般的資訊系統易遭受破壞、錯誤與濫用等問題，請說明其四項原因？

※資安威脅的四種類型：安全威脅的類別 / 使用網路系統將可能面臨那些安全威脅與攻擊？

※三種安全目標會被安全攻擊(security attack)所威脅

※被動攻擊與主動攻擊

※阻斷式服務(Denial of Service, DOS)

※分散式阻斷攻擊(Distributed Denial of Service, DDoS)：分散式阻斷服務攻擊

※SSL Flood

※Smurf攻擊

※TCP SYN Flooding

※IP詐騙(IP Spoofing)

※ARP欺騙(ARP spoofing)：ARP下毒(ARP poisoning) / ARP攻擊

※DNS欺騙(DNS spoofing)：DNS下毒(DNS Poisoning) / DNS cache poisoning

※DHCP Spoofing Attack

※MAC Flooding Attack

※DNS Flooding：DNS洪水攻擊

※水坑攻擊(Watering Hole Attack)

※分散式反射阻斷服務(Distributed Reflection Denial of Service, DRDoS)

※DNS放大攻擊(DNS Amplification Attack)：DNS反射攻擊(DNS reflection attack)

※DNS的Fast-flux技術

※殭屍網路(Botnet)

※如何判斷網路上正常與異常的流量？

※蜜罐的佈署對於阻擋駭客攻擊威脅有何效果？

※Honeypot類型

※零時差攻擊(Zero-day Attack)

※網路芳鄰(Network Neighborhood)

※DNSsec(DNS Security)

※資訊安全最弱的一環

※間諜程式(spyware)

※勒索病毒(Ransomware)：勒贖病毒 / 勒索軟體

※勒索病毒的緊急處理

※許多企業或是組織的備份資料仍可能遭受勒索病毒的攻擊，其理由何在？

※有那些作法可以降低備份資料遭受勒索攻擊的風險？

※勒索軟體運用的密碼學技術：勒索軟體為何難以自行還原

※挖礦病毒(Cryptocurrency mining malware)

※安全攻擊(Security Attacks)

※重送攻擊(Replay Attack)

※特權提升(Privilege Escalation)：權限擴增攻擊(Privilege Escalation Attacks)

※薩拉米攻擊(Salami Attacks)

※時序攻擊法(Timing Attack)

※旁通道攻擊(side-channel attacks)

※魚叉式釣魚攻擊(Spear phishing attack)

※Google Hacking

※駭客遠端遙控ATM

七、當代網路安全的重要趨勢與主要挑戰

※網路安全的新威脅與挑戰

(一)網路門戶開放安全危機大：HTTP、SMTP、DNS。

(二)系統漏洞數量大

(三)使用者疏於更新電腦系統

(四)病毒的製造功力更強與變種更快

(五)攻擊工具的普及與容易取得

(六)蠕蟲(Worm)與傀儡模式(Bot)的聯手攻擊

(七)DDos的威脅加大

(八)結合搜尋引擎的攻擊(Search Engine Attack)

(九)無線手機的攻擊(Cell Phone Attack)

(十)Web 2.0的攻擊(Web 2.0 Attack)：的社交網站面臨更多安全問題。

(十一)雲端運算架構上的攻擊(Cloud Computing Aetach)

(十二)網路釣魚客的猖獗

(十三)間諜軟體與惡意程式的猖獗

(十四)惡意的SPAM

(十五)社交工程的攻擊

※電力分析攻擊(Power Analysis Attack)：能量分析攻擊

※雲端運算架構上的攻擊(Cloud Computing Attach)

※Web 2.0的攻擊(Web 2.0 Attack)：社交網站面臨更多安全問題

※行動病毒(Mobile Virus)

※手持移動裝置的惡意程式

※雲端儲存的安全威脅

※雲端儲存的安全性保證

八、網路安全的主要防護機制

(一)隱密性(Privacy)：安全隱密性(Confidentiality)

(二)驗證性(Authentication)：鑑別性 / 身分認證性

(三)完整性(Integrity)：資料完整性

(四)不可否認性(Non-repudiation)

(五)存取控制(Access Control)

※網路安全服務項目、威脅與防護法

※政府部門的資訊中心為防止駭客或病毒的不當入侵，常使用的作法：目前警政資訊系統資料庫及網路，如何抵擋來自駭客及病毒的攻擊？

※封包側錄

※資料外洩防護(Data Loss Prevention, DLP)：Data Leak Prevention

※DLP和DRM的比較

九、社交工程(Social Engineering)

(一)定義

(二)攻擊方式 / 採取的方法

(三)預防方式

(四)社交工程的資安演練

※駭客如何結合零時差攻擊與電子郵件社交工程進行攻擊？

※變臉詐騙(Business Email Compromise, BEC)

十、資料隱碼(SQL Injection)

(一)定義

(二)可能造成的危害

(三)預防方式

※參數化查詢(Parameterized Query)：Parameterized Statement

※資料隱碼的攻擊手法

※注入攻擊(Injection Attack)

十一、跨網站腳本攻擊(Cross Site Script, XSS)

(一)定義

(二)範例

(三)可能造成的危害

(四)預防方式

※跨站攻擊(Cross-Site Scripting, XSS)的種類

※網頁隱藏式惡意連結(Malicious URL injection)

※會話劫持(Session hijacking)

※Cookie操控(Cookie Manipulation)

※機敏資料洩漏

※系統緩衝區溢位攻擊(Buffer Overflow)

※Bind Shell

※Reverse Shell

※供應鏈攻擊(Supply Chain Attack)

※物聯網為何會造成更嚴重的網域名稱系統的分散式阻斷服務攻擊？

十二、軟體安全

※APP的安全保障

※APP在功能設計、發布、使用等各階段對於「安全敏感性資料」應該有那些安全原則？

※安全軟體設計法則

※確保軟體安全重要的原則

※OWASP(Open Web Application Security Project)：開放式Web應用程式安全專案 / OWASP TOP 10 用途

※OWASP Top 10釋出2013年版

1-2 防火牆與網路安全

一、防火牆的基本概念

(一)定義

(二)優點

(三)缺點

二、防火牆的技術與架構

(一)封包過濾型(Packet Filtering)

(二)代理者型(Proxy)

※防火牆四種控制方式：防火牆的類型 / 防火牆基本類型 / 防火牆功能型態

※設定封包過濾規則的步驟：網路管理者用來設定防火牆行為的控制項目 (防火牆行為是指檢視封包後，做阻擋或者讓其通過)

※網頁應用程式防火牆(Web Application Firewal, WAF)

※網頁應用程式防火牆與傳統火牆的主要差異

※防火牆架構(Firewall Configurations)

三、防火牆的基本目標

(一)過濾封包以阻止網路駭客的入侵

(二)作為所有封包進出的門戶，方便管理者「集中式」的管理

(三)過濾系統安全政策所禁止的網路服務

(四)保護企業內部網路，避免來自網際網路的入侵

(五)當外部使用者存取高度機密檔案時，先加以記錄並通知系統管理者

(六)調節網路交通流量

※防火牆主要的三項設計目標

四、防火牆主要功能與方式

(一)隔離網路

(二)存取管控(Access Control)

(三)身分識別(Authentication)

(四)安全稽核

五、防火牆的主要問題：防火牆尚無法做到的工作

(一)比較難提供全面性的安全

(二)無法防範病毒

(三)無法提供資料隱密性

(四)無法確認資料來源的認證性

(五)無法預防內部威脅

(六)無法管理那些不經過防火牆的網路連線

(七)無法防範全新的威脅

※存取控制清單(Access Control List, ACL)

※系統或者網路管理師管控防火牆時，為什麼必須先了解應用層中那一些通訊協定的應用埠可以被使用？

※網路實體隔離(Network Physical Isolation)

※防火牆基本存取控制政策(Access Control Policy)

※網路層的防火牆通常會針對封包標頭那些欄位檢查，藉以過濾掉非法封包？

※防火牆的目的為何？為達到此目的，其利用的原理或方法為何？

※封包過濾式、應用層閘道式與電路層閘道式的比較

※封包過濾防火牆、應用階層閘門與電路階層閘門的優缺點

※路由器和防火牆的比較

※封包深層檢查技術(Deep Packet Inspection, DPI)

※整合式威脅管理(Unified threat management, UTM)

六、入侵偵測系統(Intrusion Detection System, IDS)

(一)定義

(二)功能

(三)入侵偵測元件

(四)入侵事件來源

(五)種類

(六)分類：IDS/IDPS偵測資安事件有四種方法

(七)限制

(八)主機型入侵偵測系統(Host-based Intrusion Detection System, HIDS)

(九)網路型入侵偵測系統(Network-based Intrusion Detection System, NIDS)

※入侵偵測與預防系統的應變案例

(十)誘捕防禦系統(Deception Defense System, DDS)：蜜蜂罐(Honeypot)

※防火牆與入侵偵測系統的比較

※主機型入侵偵測系統與網路型入侵偵測系統的比較

※隔離區(Demilitarized Zone, DMZ)

七、入侵防禦系統(Intrusion Prevention System, IPS)

(一)定義

(二)功能

(三)種類

(四)優點

(五)缺點

※IPS防禦機制

※防火牆與入侵防禦系統的比較

※IDS與IPS的比較

※封包過濾防火牆、網路型入侵偵測系統與網路型入侵防禦系統的比較

※多層次縱深防禦(Diversity and Defense-in-Depth)

1-3 組織整體的資訊安全管理系統：ISO27001架構

一、ISO 27001的主要控管架構

(一)定義

※ISO 27001:2005的主要11個資安架構：2005年版本

(二)資安的政策與組織構面

(三)資安的作業控管面

(四)反應與回復面

※ISO 27001:2005與ISO 27001:2013的比較

※ISO 27001:2013的主要14個資安架構：2013年版本 / 主要的資訊安全控管要項

※ISO 17799與ISO 27001的差異

※ISO 27001與ISO 27002之間的關係

※ISO 27000系列

※ISO/IEC 20000標準

※ITIL V3與ISO/IEC 20000:2011管理流程的差異

※安全評估共通準則(Common Criteria)

※關鍵基礎設施(Critical Infrastructure, CI)

※電腦緊急應變團隊(Computer Emergency Response Team, CERT)

※國家資通安全發展方案

※CERT、ISAC以及SOC

※如何利用新興科技進行資訊戰？

二、資訊安全管理系統(Information Security Management System, ISMS)

(一)定義

(二)目的

(三)架構

(四)資訊安全管理系統的建立步驟

※持續遵循PDCA法則，確保ISMS制度完善

※以電子郵件安全管理為例，說明PDCA四個程序的實施內容

※風險評鑑所辨識出的各類資訊資產

※ISMS文件

※資訊安全政策

※資訊安全策略原則

※如何規劃網路安全架構

※在資通安全責任等級分級辦法規定中級系統的帳號管理及身分驗證管理有幾項必要的設計，像是帳戶鎖定機制、防範自動化程式登入、密碼重設機制、閒置帳號禁用、最小權限原則，請詳述這五項機制之執行邏輯應如何？

※資安事件影響等級

※資安事件處理

※政府機關(構)資通安全責任等級分級作業規定之一

※政府機關(構)資通安全責任等級分級作業規定之二

※資訊安全監控中心(Security Operations Center, SOC)

※SOC與ISMS之間的關係

※安全資訊與事件管理(Security Information and Event Management, SIEM)

※資安事件應變作業程序

※資安事件應變程序(Security Incident Response and Handling)：資安事故應變與處理

※資通安全事件的通報內容

※資通安全事件通報及應變小組

※資通安全事件通報及應變程序

※資通安全事件通報及應變的跡證保存

※事件的受害系統有整合外部提供的雲端服務，偵測工作可能會有那些問題？

※網路威脅情資(Cyber Threat Intelligence)：威脅情資(Threat Intelligence)

※資安資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)

※資通系統委外開發RFP資安需求範本的需求說明

※電腦稽核

1-4 資訊系統營運持續管理(Business Continuity Management, BCM)

一、資訊系統營運持續管理(Business Continuity Management, BCM)

(一)定義

(二)目標

二、基本步驟

(一)計畫的創始與控制

(二)風險評估與控制

(三)營運衝擊分析

(四)發展復原策略

(五)緊急應變及控制方法

(六)與政府單位及內部企業間的協調工作

三、推動架構及流程

(一)計畫準備期

(二)架構規劃期

(三)計畫發展期

(四)系統矯正期

※營運持續計畫(Business Continuity Plan, BCP)：企業營運持續計畫

四、四階段步驟

(一)瞭解組織：架構規劃期

(二)決定營運持續策略：決定BCM策略 / 架構規劃期

※BCM策略中的6大資源

(三)發展與執行持續營運管理作為：發展與實施BCM回應 / BCM計畫發展期

(四)演練、維護與審查 / 系統矯正期

※CNS 27005風險管理(Risk Management)

※風險評估(Risk Assessment)

※風險識別(Risk Identification)：風險辨識

※風險分析(Risk Analysis)：風險估計(Risk Estimate)

※資訊安全風險處理的策略及作法：風險處理的對策

※風險評量(Risk Evaluation)

※風險管理與營運持續管理的比較

※資訊風險的種類

※Vulnerability：漏洞 / 脆弱性

※Impact：衝擊

五、災害復原計畫(Disaster Recovery Plan, DRP)：BCM計畫發展期 / 系統矯正期

(一)定義ITSCM範圍(Define IT Service Continuity Management Scope)

(二)需求分析與策略定義(Requirements Analysis and Strategy Definition)

(三)執行(Implementation)

(四)維運管理(Operational Management)

※為何企業也必須進行災難復原規劃(Disaster Recovery Planning)？

※災害復原計畫(Disaster Recovery Plan, DRP)

※RTO(Recovery Time Objective)：復原時間目標

※RPO(Recovery Point Objective)：復原點目標

※規劃RTO/RPO所需考量重點為何？與所需資源之關聯為何？

※BCM、BCP及DRP的關係

※BCP與DRP的關係

※災後復原服務(Disaster Recovery as a Service, DRaaS)

※異地備援

※為維護資訊的保全性及災害復原機制，常見的市場備援方式

※使用NAS和一般主機架設儲存設備的差異性

※RAID

※企業常用兩種資料儲存後的維護方式，及其差異處

1-5 數位鑑識(Digital Forensics)

※數位鑑識(Digital Forensics)

※反鑑識(Anti-forensics)

※證據同一性

※什麼情境該檔案是有證據能力的；而什麼情境，該檔案是沒有證據能力的？

※數位證據保全

※數位證據保全標準作業程序的相關名詞定義

※數位證據保全標準作業程序

※數位鑑識和傳統鑑識在處理程序上的相似性和差異性

※由企業自己來做數位鑑識的優點和缺點

※由執法單位來做數位鑑識的優點和缺點

※如何規劃網站伺服器的架設，以便網站遭受攻擊可以蒐集到數位證據做鑑識

※警察偵查犯罪手冊中所規範的電腦犯罪案件電腦鑑識應注意事項有那些？

※電子數據必須經過那些檢驗才能作為法律案件的證據？

※數位證據(Digital Evidence)的取得原則

 

第二章 資訊管理的倫理與社會觀點 here

2-1 資訊相關的倫理與社會議題

一、資訊倫理的基本概念

(一)定義

(二)人們的行為有下列四種

二、判斷倫理的主要準則

(一)黃金法則(Golden Rule)

(二)Kant的普遍性理論(Categorical Imperative)：康德的定然律令(Immanuel Kant’s Categorical Imperative)

(三)Descartes的改變原則(Rate of Change)：滑梯原則(Slippery Slope Rule)

(四)功利主義原則(Utilitarian Principle)：集體功利主義

(五)風險規避原則(Risk Aversion Principle)

(六)天下沒有白吃午餐原則(No Free Lunch Rule)

三、倫理的兩難(Ethical Dilemmas)

※Responsibility、Accountability及Liability的比較

※分析倫理議題的情境：倫理分析流程

2-2 資訊專業倫理守則

一、資訊專業倫理守則的基本概念

(一)定義

(二)主要規範

二、資訊專業倫理的角色與重要性

(一)激勵的作用(Inspiration)

(二)敏感度的作用(Sensitivity)

(三)紀律的作用(Discipline)

(四)瞭解的作用(Awareness)

2-3 資訊倫理的主要議題

一、Mason的PAPA模式

(一)隱私權(Privacy)

(二)資訊的正確性(Accuracy)

(三)財產權(Property)

(四)資訊存取權(Access)

※網路隱私權

※在資訊科技領域隱私保護的意義

※隱私保護與資訊安全的關係

※Privacy by Design

二、隱私權的倫理議題 / 資訊倫理對隱私權的看法

(一)網際網路對隱私權的衝擊

(二)隱私權的保護策略

※隱私權侵犯的型態：

※我國對隱私權保護主要法律有那些及其主要意涵或精神為何？

※同意及選擇原則：ISO 29100:2011第5.2項)

※資料極小化原則：ISO 29100:2011第5.5項

三、資訊的正確性倫理議題

(一)資訊正確性(Information Accuracy)的基本概念與重要性

(二)資訊正確性的問題產生原因與防範措施

(三)資訊正確性的倫理兩難

※如何辨別假新聞

四、財產權(Property)的倫理議題

(一)科技上的保護：數位內容權利管理(Digital Right Management, DRM)

(二)社會宣導與教育

(三)立法上的保護

(四)智慧財產權保護的兩派主張

※智慧財產權

※創用CC(Creative Commons)：創意共享 / 版權宣告

※資料隱藏：資訊隱藏

※隱藏式浮水印

五、資訊存取權的倫理議題

(一)資訊存取權(Information Access)的基本概念

(二)資訊存取權的重要倫理原則：FIP原則

※DRM(digital right management)

※cookie如何辨識網站訪客？

※P3P(Platform for Privacy Preferences)

六、Laudon & Laudon(2007)的倫理、社會與政治思考模式

(一)倫理、社會與政治三者的相關模式：資訊系統道德問題的五個向度

(二)倫理、社會與政治模式內的漣漪效應(Ripple effect)

※資訊社會中個人倫理、社會議題與政治議題間的關係

七、個人資料保護法

(一)個人資料保護法

(二)個人資料

(三)得為特定目的外的利用

(四)當事人就其被蒐集的個人資料，可行使權利

(五)當事人放棄權利

(六)網站如何蒐集這些個人有關的各項資料

(七)為防止個人資料被竊取、竄改、毀損、滅失或洩漏的必要措施

(八)企業為何要建立個人資料保護機制？

(九)企業如何建立個人資料管理保護機制？

(十)企業如何建立個人資料安全保護機制？

(十一)企業如何建立個人資料事件鑑識調查機制？

(十二)企業防範觸犯個資法應採取的措施

※個人資料保護的八大原則

※個人資料保護法與健康保險可攜性和責任法案的關係

※當個人資料被竊取、竄改、毀損、滅失或洩漏時，單位應採取的應變措施何？

※金融科技組織(如線上付款與線上銀行)如何保護客戶資訊，避免個資外洩

※歐盟訂定的GDPR(General Data Protection Regulation)五大權利

※新版歐盟資料保護法GDPR對於列入保護的個資類別其涵蓋範圍

※在臺灣的企業組織必須注意其列入適用於GDPR的條件為何？

※臺灣的網路零售、金融、航空運輸業為何個資利用特別容易受到GDPR規範？

※GDPR與台灣個資法的差異

※HIPAA(Health Insurance Portability and Accountability Act)

※數位化千禧年著作權法案(Digital Millennium Copyright Act)

2-4 電腦犯罪與電腦濫用

一、電腦犯罪(Computer Crime)

※電腦犯罪的主要分析架構

※網路霸凌(Cyberbullying)

※電磁紀錄(Electromagnetic Recording)

※資通安全管理法

※資通安全管理法

※資通安全管理法施行細則

※妨害電腦使用罪：妨害電腦使用罪的內容有那些？

※VoIP(Voice over Internet Protocol)

※VoIP犯罪組織結構中，集團首腦之下，大概可分為那五個功能組別

※VoIP被攻擊類型

二、電腦濫用(Computer Abuse)

(一)電腦濫用的定義

(二)垃圾郵件的基本概念

(三)垃圾郵件的問題：透過電腦病毒傳播。

(四)垃圾郵件的特性

(五)垃圾郵件的防制

(六)垃圾郵件的案例

2-5 IT的發展對社會的衝擊

一、數位落差(Digital Divide)：數位區隔(Digital divide)

二、失業的問題

(一)基層員工

(二)中階主管

(三)專業人士

三、去人性化的問題(Dehumanization)

四、網路成癮的問題(Internet Addiction)

五、工作與家庭休閒生活的界線問題

六、健康的問題

七、資訊過載(information overload)

※電腦素養(Computer Literacy)

※電腦自我效能(Computer Self-efficacy)

※資訊素養(Information Literacy)

※資訊系統基本素養(Information System Literacy)

2-6 Web 2.0在企業內應用的倫理議題

一、企業2.0的倫理與安全

(一)安全上的風險

(二)保密上的風險

(三)法律上的風險

(四)攻擊性語言的風險

(五)資訊控管上的風險

(六)顛覆傳統組織指揮體系的風險

(七)MIS抗拒的風險

二、企業內部Web 2.0 的管理政策(Managerial Policy of Web 2.0)

(一)要制定清楚的法則與政策

(二)要有配套的管理、科技與法律系統

(三)要保留Web 2.0上的資訊Log

(四)指派專人監督Web 2.0的活動

(五)防治垃圾Blog

(六)充分遵循智財權的保護法規

 

第三章 資訊安全(Information Security)

3-1 網路安全

一、虛擬私人網路(Virtual Private Network, VPN)

(一)定義

(二)運作原理

(三)用途：功能 / 為何需要VPN？

(四)元件

(五)為何需要使用VPN技術？

(六)優點

(七)缺點

(八)VPN種類

(九)實作方式

※如何管理VPN避免企業遭受攻擊？

※利用VPN連回公司處理業務，如何做好企業內部網路與目錄伺服器的資訊安全管理，以保護好組織重要資產，避免遭受攻擊？

※隧道協定(Tunneling Protocol)

※PPTP(Point to Point Tunneling Protocol)：點對點隧道協定

※L2TP(Layer Two Tunneling Protocol)：第二層隧道協定

※IPSec VPN與SSL VPN的比較

※VPN要開通的port

二、IPSec(Internet Protocol Security)

(一)定義

(二)IPSec的封包結構

(三)功能

(四)建立步驟

(五)組成協定

※AH與ESP的比較

(六)使用模式

(七)通道模式的應用

(八)優點

(九)應用

※IPSec VPN與SSL VPN的比較

三、SSL(Secure Socket Layer)

(一)定義

(二)特性

(三)功能

(四)三種安全機制

(五)SSL架構

(六)SSL協定堆疊

(七)SSL握手協定

(八)運作過程：工作原理 / HTTPS的運作原理

(九)常見的應用

(十)安全防護程序實例

(十一)SSL 2.0主要安全漏洞：現今網站多採用SSL協定，此對資通安全管理造成那些安全威脅？

※SSL的運作原理

※SSL交換資料的步驟

※使用SSL可能會遇到的問題

※為什麼要付錢像公正第三者如VeriSign購買憑證？

※當瀏覽器遇到SSL時會是甚麼情況

※SSL電子交易的優缺點

※傳輸層安全通訊協定(Transport Layer Security, TLS)

※SSL和TLS之間的差異

※TCP/IP傳輸層和網際網路層所提供的資訊安全機制之通訊協定與其功能

※HTTPS(Hypertext Transfer Protocol Secure)

※使用HTTPS時，瀏覽器與伺服器之間有那些通訊內容會被加密？

※五項瀏覽器對採用SSL網站的安全檢查措施

※SSL、TLS、HTTP、HTTPS之間的關係

※網路位址轉換(Network Address Translation, NAT)

※使用網路位址轉換技術對企業而言，在資安管理上的好處

四、無線區域網路安全(Wireless Local Network Security)

※無線傳輸的安全威脅及解決對策：無線網路的攻擊方式及解決措施 / 不建議使用公共場所之無線基地台的原因

※無線網路安全(Wireless Security)的主要措施

※網路安全上應該注意的事項

※Wi-Fi路由器的資安問題

※IEEE 802.3與IEEE 802.11的資訊安全差異

※無線感測網路(Wireless Sensor Networks)

※無線AP實施那些管理措施或安全技術來做有效管理

3-2 密碼學(Cryptography)

一、密碼學(Cryptography)

(一)定義

※密碼(password)：通行碼

※密碼系統

(二)對稱性加密(Symmetric Encryption)：對稱式金鑰加密(Symmetric-key algorithm) / 對稱加密 / 私鑰加密 / 共享密鑰加密

(三)非對稱性加密(Asymmetric Encryption)：非對稱式密碼器(Asymmetric Cipher) / 非對稱加密 (Asymmetric Cryptography)

※為什麼加密方法或演算法必需要公開？

※在網路上與網站通訊時的主要加密方式有那兩種？

※對稱式加密法與非對稱式加密法的比較

(四)秘密金鑰系統(Secret Key Cryptosystems)：對稱性加密

(五)公開金鑰系統(Public Key Cryptosystems)：非對稱性加密

※如何利用公開金鑰密碼系統來達到下列四種資訊安全控制需求？

※橢圓曲線密碼學(Elliptic curve cryptography, ECC)

(六)交談金鑰(Session Key)：會議鑰匙

(七)HMAC(Hashed Message Authentication Code)

※訊息驗證碼(Message Authentication Code, MAC)

※Salt value

※雜湊值(Hash Value)

※單向雜湊函數(One-way hash function)

※密碼式雜湊函數(Cryptographic hash function)：加密雜湊函式 / 密碼雜湊函式 / 加密雜湊函式

(八)DH(Diffie-Hellman) key exchange：Diffie-Hellman鑰匙交換法 / 迪菲赫爾曼金鑰交換演算法

(九)區塊型密碼器(Block Cipher)：區塊加密

※區塊(block)密碼的工作模式(mode of operation)

※CBC(Cipher Block Chaining)加密模式

(十)串流加密(Stream Cipher)

※串流加密法與區塊加密法的比較

(十一)雪崩效應(The Avalanche Effect)：崩塌效應

※凱撒密碼(Caesar cipher)

※可搜尋式加密(Searchable Encryption)

※Playfair加密演算法(Playfair cipher)

※一次性密碼(One Time Password, OTP)

※生物特徵認證(biometric authentication)

※使用生物特徵認證技術有那些型態的「錯誤比率」？

※錯誤比率與認證設備的「敏感度」有何關係？

※雙重因子認證(two-factor authentication)：雙因素認證

※多重因子身分認證(Multi-Factor Authentication, MFA)：多因子身份認證

二、憑證管理

(一)電子憑證(Electronic Certificate)：數位憑證(Digital Certificate)

※數位憑證的種類

※憑證取消表(Certificate Revocation List, CRL)：憑證註銷序列 / 憑證撤銷清單 / 憑證廢止清單

※數位簽章與電子憑證有何不同？

※數位憑證的法令

※X.509認證服務

(二)憑證生命週期

(三)自然人憑證

※IC卡或晶片卡可能面臨的安全威脅及攻擊

(四)憑證授權中心(Certificate Authority, CA)：電子認證中心 / 憑證機構 / 被信任的第三方(Trusted Third Party)

(五)安全電子交易協定(Secure Electronic Transaction Protocol, SET)

※SSL和SET的相同點及差異點

※SSL與SET的比較

※SSL與SET安全機制的比較

※HTTPS與SET的差異

三、公開金鑰架構(Public Key Infrastructure)

(一)定義

(二)PKI的運作方式與原理

(三)組成要素

(四)PKI與資料加密/解密

(五)目的

(六)功能

(七)應用

※公開金鑰管理(Public Key Management)

※金鑰分配的四種方法

※金鑰管理(Key Management)

※金鑰生命週期(Life Cycle of Key)

※安全外殼協定(Secure Shell, SSH)

四、Kerberos Protocol

(一)定義

(二)成員

(三)門票的類別

(四)步驟

(五)缺點

五、單一簽入(Single Sign On)

(一)定義

(二)驗證流程

(三)優點

(四)缺點

六、數位簽章(Digital Signature Algorithm, DS)

(一)定義

(二)數位簽章流程圖：數位私公 / 數位施公

(三)功能

(四)優點

(五)缺點

(六)採用RSA 數位簽章時必須注意下列事項

(七)數位信封與數位簽章一起使用的特點：解決數位簽章缺點的方法

※採用數位簽章可對電子文件帶來何種效益？

※電子簽章與數位簽章的比較

※我國電子簽章法的立法原則

※電子簽章(Electronic Signature)

※電子簽章與數位簽章的比較

七、數位信封(Digital Envelop)

(一)數位信封的定義 / 數位信封的運作原理

(二)數位信封的特色：作用

(三)步驟

八、電子郵件安全協定(Secure/Multipurpose Internet Mail Extension, S/MIME)

(一)定義

(二)S/MIME與MIME相較，多提供那四個安全性的功能？

(三)Alice透過S/MIME寄信給Bob的步驟

九、PGP(Pretty Good Privacy)

(一)定義

(二)步驟

(三)公開金鑰憑證機制

十、網站認證

※CAPTCHA

※reCAPTCHA

十一、MD5(Message-Digest algorithm 5)

(一)定義

(二)優點

(三)缺點

(四)應用

十二、RSA

(一)定義

(二)原理

(三)範例一

(四)範例二

(五)破解方式

(六)安全性

(七)缺點

※一個數值a(在 mod m)的乘法反元素(multiplicative inverse)

十三、DES(Data Encryption Standard)

※資料加密標準(Data Encryption Standard, DES)：資料加密標準

※Triple-Data Encryption Standard(3-DES)

十四、AES(Advanced Encryption Standard)

※進階加密標準(Advanced Encryption Standard, AES)

十五、WEP(Wired Equivalent Privacy)

(一)起源

(二)定義

(三)WEP三種基本的服務

(四)身份認證的服務辨識器(Service Set Identifier, SSID)

(五)身份認證的MAC位址

(六)安全性弱點

※IEEE 802.11i

※互相認證(Mutual Authentication)：交互認證

※Wireless LAN(WLAN)安全性的問題

※Wireless LAN(WLAN)威脅的因應之道

十六、WPA(Wi-Fi Protected Access)

(一)說明 / WPA在那些方面做了改良？

(二)改良

(三)安全性弱點

※WPA3

※WEP與WPA的比較

※WEP與WPA系列的比較

十七、Bell LaPadula Model

(一)定義

(二)模型

(三)一個主體與一個物件之間的存取關係的規則

※Biba模型(Biba model)

十八、作業系統的存取控制模式

(一)自由選擇存取控制(Discretionary Access Control, DAC)

(二)強制存取控制(Mandatory Access Control, MAC)

(三)角色基礎存取控制(Role-Based Access Control, RBAC)

※UNIX作業系統存取控制

※Granular access control