計算機概論
未來趨勢
- 模式辨認(pattern recognition)
- 模糊邏輯(fuzzy logic)
- 人工智慧
- 機器人
- 虛擬實境(VR)
- 自然語言
- 專家系統
- 微科技、奈米科技
電腦演進
- 第一代電腦
- 1951~1958
- 真空管時期
- 第二代電腦
- 1959~1964
- 電晶體時期
- 第三代電腦
- 1965~1970
- 積體電路時期
- 第四代電腦
- 1971~現在
- 超大型積體電路時期
- 微處理器
- 莫爾定律
- 第五代電腦~
- 現在~未來
- 人工智慧
- 可自行思考的電腦
- VR...
電腦構造
- 主機板
- 印刷電路板(PCB),一片綠色或...的玻璃纖維
- 晶片組
- 微處理器-CPU(中央處理器)
- 負責算術運算,邏輯運算,程式執行
- 規格
- 外頻-CPU外部工作頻率,越高代表速度越快
- 倍頻-CPU核心所採用的頻率,通常是額外的倍數
- 內頻-CPU工作時所採用的頻率,也就是外頻X倍頻
- 封裝-CPU只是個晶片,需要將它包裝起來保護,並提供腳位與外界溝通,封裝的方式也有很多種
- 插槽腳位-決定CPU如何安插在主機板的CPU插槽
- 北橋晶片-負責處理CPU與主記憶體及CPU與匯流排之間的訊號,數度較快
- 相關能力已被整併到CPU,被淘汰
- 南橋晶片-負責處理與輸入/輸出相關的動作,速度較慢
- 控制單元(CU)
- 算術邏輯單元(ALU)
- 記憶體
- RAM(隨機存取記憶體)-可以讀寫資料,但關閉電源後會消失(具有揮發性)
- DRAN-動態 隨機存取記憶體,通常是作為主記憶體使用。
- SRAM-靜態 隨機存取記憶體,通常做為快取記憶體使用
- 快取記憶體分為L1/L2/L3
- ROM(唯讀記憶體)-無法寫入資料,但關機不會消失
- 主要用途是處存 BIOS
- PROM
- EPROM
- EEPROM
- 還有BIOS處存在 快閃記憶體(Flash Memory)
- 暫存器
- 分為 可見暫存器 與 控制與狀態暫存器
- 通常是透過"匯流排(BUS)"來存取,利用鍍銅電路
- 匯流排組成
- 資料線-傳送資料
- 位址線-負責存放主記憶體或周邊的位址
- 控制線-發出控制訊號,例如讀取、寫入...
- 匯流排分為
- 系統匯流排
- 擴充匯流排
- 電源供應器
- 散熱風散
- 連接埠(port)
- 固定架
機器語言-一個機器指令的編碼方式包括運算馬和運算元
- 機器循環週期
- 1.指令擷取
- 2.指令解碼
- 1跟2統稱 指令時間
- 3.指令執行
- 4.結果存回
- 3跟4統稱 執行時間
陣列
- 堆疊
- 授列
- 排序
系統開發生命週期
- 系統研究
- 定義問題、發掘機會、進行規劃及評估可行性(技術上可行/作業上可行/經濟上可行)
- 撰寫專案企畫書
- 系統分析
- 蒐集與分析現有系統,然後定義新系統的需求
- ANSI流程圖符號
- 系統設計
- 完成新系統的邏輯設計,包括規格及運作模式,但不涉及程式設計
- 系通開發
- 完成新系統的程式設計,包括專案排程,撰寫程式及測試
- 系統上線
- 將現有系統轉換成新系統,包括系統轉換、檔案與資料庫轉換、設備轉換、教育訓練、安全稽核、系統評估、系統維護
六步驟
- 定義一個資訊安全政策
- 由組織高層指定方向,展現決心
- 定義一個ISMS的範圍
- 例如以資訊中心或...為範圍
- 實施資安的風險評鑑
- 找到範圍內的安全弱點(門禁/人員保密協定)與可能遭遇的威脅(火災)
- 管理風險
- 將風險分類後,有的風險要排除,有的可以加強人員進出管制,有的可以忽略
- 找出合適的控制向來應用
- ISMS有提供許多控制項(安全防禦的作法)
- EX:存取控制,什麼人做什麼事要有區分
- 將這些項目寫成適用性聲明
- EX:如何控制風險,適用的管控點,OK與不OK的理由
- 像有些項目不是用可以不要做
- 像不自行開發資訊系統,就不需要ISMS資訊系統開發與維護
IDS 與 IPS
- IDS 入侵偵測系統
- 可以即時監控系統或網路,並偵測可能的入侵行為
- 只有警告能力,無法主動防禦入侵行為
- 防禦動作: 通知防火牆中斷連線
- 防禦方式:被動監聽
- IPS 入侵防禦系統
- 除了入侵偵測外,還多了阻止入侵行為
- 防禦動作:丟棄惡意封包,中斷惡意連線
- 防禦方式:主動防禦
- 兩者主要差別就是 有可疑封包進入,IDE會送出警告給管理人員,但讓封包進入,IPS則是除了警告還會把封包攔截
- In-line mode
- 針對網路封包進行檢查,發現異常行為時,施以阻絕,以保護內部系統免受攻擊
- Sniffer mode
- 把現有封包擷取,並顯示在螢幕上
- 白箱測試
- 受測單位不用把任何資訊告訴測試人員,也不透露機密,所有資訊都由滲透測試人員進行探索過程中就像遭受攻擊
- 在測試時,測試人員扮演一位外部入侵的Cracker
- 黑箱測試
- 受測單位會把資訊分享給測試人員,所以測試人員知道內部網路的完整知識,可以使探測時間縮短,可以集中火力針對可能的漏洞進行測試
- 在測試時,人員扮演內部人員,可模擬組織內部惡意工作人員的攻擊行為
資安政策:
- 資安政策-把高階管理者對資安的期許與要求文件化
- 人員知不知道資安目標
- 資安組織-成立資安部門,並定義組織架構圖,運作流程,責任歸屬
- 委外廠商是否簽屬保密切結書
- 資產管理-依造資訊資產的價值,並將它分類,再用不同的方法保護
- 人力資源安全-將低人員疏失的發生機率,並減少人為惡意侵害
- 人員脫離組織或換單位權限要更改或移除
- 實體與環境安全-規範有形資產的保護方法,安全裝備與一般控管原則
- 設備淘汰時內部資料清除
- 通訊與作業管理-確認通訊設備的作業處理之安全性
- MSN傳輸DATA
- 存取控制-使用者權限設定應依職權給予
- 資訊系統開發/維護/獲取-規劃組織內系統開發與維護過程,將列入資安範圍
- 機密性資料,在傳輸或儲存時,是否加密
- 資安事故管理-確保資安事件能以適當方式在組織內傳遞,並得以即時採取適當方案
- 擬定資安EVENTS的通訊程序
- 營運持續管理-針對可能的意外,擬訂不同的應變方法
- 1台伺服器壞,用第二台
- 遵循姓-遵循法律或契約
- 不可以用非法軟體
CMMI-成熟等級
- 第一級-初階階段 (英雄式主義)
- 沒有固定流程,無提供穩定的環境與資源,無法正確評估人力,無時程,預算,無法複製成功經驗,成功也只是偶然,無規定流程
- 第二級-已管理階段 (時程及成本控制等經驗)
- 建立了基本專案管理過程,有一系統發展進度來追蹤費用,像似的專案可用以前的經驗,有專案管理流程,有對流程管控
- 第三級-已定義階段 (標準化 / 一致性)
- 開發與管理活動已經標準化且可以整理為組織的標準作業流程,六大階段都有相關文件
- 第四級-量化管理階段(已用統計方法進行組織性分析)
- 產品成果和發展過程都可以用數量方式控制,可以找出流程變異的原因並矯正,有數據知道品質
- 第五級-最佳化階段(持續改進的發展過程)
- 經過量化回饋機制,產生新的想法和技術藉以最佳化流程
- 有數據可以知道它的新想法或科技
密碼學
- 混淆性
- 盡量讓加密後的密文看起來很不像原文
- 像是多重字母替換法
- 擴散性
- 原文做任何一點變更,密文都要有巨大的變化
- 像是 HASH函數
- 對稱式加密-加解密都是同一把鑰匙
- 優點
- 比非對稱式快
- 除了暴力破解法不然無解
- 運算法/工具容易取得,且大多免費
- DES加密法可以變形成一次性密碼本的功能
- LIKE CBC
- 缺點
- 由於家吀密用同一把鑰匙,可以用非對稱解或電話告知
- 兩者之間都用不同鑰匙,N個人就需要(N(N-1)/2)把鑰匙,鑰匙的管理就會很複雜
- 對稱式只可以文件保密,不可身分證明(需要非對稱),會使鑰匙的傳輸變得很重要
- 非對稱式加密
- 優點
- 可保護機密性與隱私,因為文件要對方的SECRETKEY才能解
- 可用於存取控制,因為私鑰只有一位使用者有
- 可以做身分認證,因為傳送方才有私鑰
- 可以維護文件的完整性
- 缺點
- 運算複雜度高
- 電腦不擅長處理非對稱
- RSA 要找大質數做因式分解並做Mod非線性運算(電腦只容易運算位移/查表與轉圈(對稱式))
- 加解密速度慢
- 數位簽章
- 不可否認性,因為用私鑰
- 正確性,因為HASH函數用公鑰解開後重算HASH函數,可得真實性,正確性
- 電子文件一旦更改,HASH值就會不一樣,就無法通過驗證
- 區塊加密
- Des 一次只能加密64位元,所以每64位元就是一個加密,一次加一個區塊,解密也一樣
- A1 — E — B1
- A2 — E — B1
- 串流加密
- 讓鑰匙不停變化來模擬一次性密碼本,將明文中每個位元加密,解密也是
- 因為XOR運算簡單,所以加密很快,若鑰匙流可以事先算好,那適合用在即時環境,如:語音加密
- 數位憑證
- 是個體在網路上進行的網路交流或商務活動的身分證明
- 簽章憑證可以用對訊息做數位簽章,以保證訊息的不可否認性
- 加密憑證可用來對訊息做加密,以保證訊息的真實性與正確性
- 內容包含了使用者身分資訊,使用者公鑰,憑證管理中心,數位簽章的數據
- CA 負責發行、撤銷、配送數位憑證
- 客戶端 → ← (CA 訊息加憑證) → ← 伺服器