第1章 資訊安全與密碼學概論

1-1　基本概念與名詞

1-2　資訊安全目標

1-3　資訊安全風險

1-4　資訊安全管理的重要

1-5　資訊安全標準組織

1-6　管理系統標準

1-7　基礎密碼學

1-8　加解密原理

1-9　資訊安全威脅



第2章 網路基本概念

2-1　網路基本概念

2-2　OSI模型

2-3　OSI 特點

2-4　TCP/IP 協定

2-5　IP 協定

2-6　TCP 與 UDP 協定

2-7　網路基本設備：交換器與路由器

2-8　網路基本設備：防火牆

2-9　伺服器分類(1)

2-10　伺服器分類(2)

2-11　伺服器軟體(1)

2-12　伺服器軟體(2)

2-13　伺服器安全威脅：惡意程式

2-14　伺服器安全威脅：駭客入侵、SQL隱碼與DDoS攻擊

2-15　伺服器安全威脅：XSS攻擊

2-16　系統漏洞

2-17　漏洞防護

2-18　漏洞攻擊案例：Heartbleed與DROWN漏洞

2-19　漏洞攻擊案例：EternalBlue



第3章?? 密碼學基礎

3-1　前言

3-2　常見的演算法

一、對稱式密碼

3-3　DES

3-4　DES 加密與解密程序

3-5　DES的優勢與劣勢

3-6　3DES

3-7　AES 簡介

3-8　AES 加密流程

二、非對稱式金鑰加密

3-9　非對稱式密碼基礎

3-10　基本運作流程

3-11　RSA

3-12　公鑰加密標準：PKCS

三、雜湊函數

3-13　單向雜湊函數

3-14　MD5

3-15　SHA

3-16　雜湊函數的應用

3-17　雜湊函數的攻擊：生日攻擊

3-18　雜湊函數的攻擊：中途相遇攻擊

四、數位簽章

3-19　簽章的流程

3-20　簽章與加密結合

3-21　數位簽章演算法

3-22　數位簽章的攻擊方式



第4章 公開金鑰基礎建設

4-1　基本概念

4-2　各國發展沿革：歐美

4-3　各國發展沿革：東亞與跨國聯盟

4-4　信賴錨

4-5　我國發展沿革

4-6　數位憑證

4-7　X.509 憑證格式

4-8　憑證註冊中心

4-9　憑證管理中心

4-10　憑證撤銷清單

4-11　生命週期

4-12　政策與準則

4-13　PKI的應用：加解密

4-14　PKI的應用：HTTPS

4-15　PKI的應用：VPN

4-16　安全議題：金鑰的發放

4-17　安全議題：密碼是否安全



第5章 憑證授權中心實務

5-1　建置憑證機構：軟體介紹

5-2　CA 軟體安裝

5-3　執行 CA

5-4　功能介紹

5-5　簽發憑證

5-6　憑證管理工具：keytool

5-7　產生 CSR

5-8　電子郵件簽章設定

5-9　發送具備簽章的信件

5-10　設定 HTTPS 網站



第6章 IC卡國際標準規範

6-1　IC卡國際標準規範：ISO/IEC 7816

6-2　IC卡簡介

6-3　IC卡規格

6-4　智慧卡硬體架構與溝通模式

6-5　檔案結構

6-6　智慧卡應用

6-7　智慧卡的讀取：APDU命令與回應

6-8　IC 智慧卡程式：Java Applet

6-9　健保 IC 卡內容

6-10　健保 IC 卡的讀取



附錄 範例程式

?

序



　　多年前筆者服務於某企業的時候，負責國內公文電子交換認證與安控的建置開發。期間，配合許多參與的政府機關與企業協同作業的過程，經歷許多密碼學實務開發的關鍵環節，也感受到國內許多企業在密碼學運作與資訊安全領域的重視與投入。不過，除了資安專業公司之外，一般民眾大多對於訊息加解密的原理與資安認識不深；此外，有關介紹密碼學的書籍，大多是過於深奧的演算法，較少描述密碼學如何運作在整個資安環境的關鍵，讓非資安背景的民眾難以通盤地了解與掌握。



　　如同《孫子兵法》謀攻篇提到的「知彼知己，百戰不殆」，以及更為上策的是「不戰而屈人之兵，善之善者也」，相當符合面對資安威脅的處理的情形。傳統上，除了透過密碼學的應用，將訊息加密確保內容的隱密，並採取資安檢測避免系統環境有漏洞存在，當遭受攻擊後，再謀求如何迅速恢復的做法。因此，除了需要明瞭系統的弱點、漏洞的修補與防範之外，還需要知道駭客可能攻擊的方式與管道，達到知己知彼。更進一步的做法還需要隨時獲知可能漏洞的最新發展，配合多方面防範措施的對應、模擬攻擊與檢測，最重要的是加強所有使用者資安的觀念與認識。系統有了完善的資安防護；使用者具備正確的資安知識，就會令駭客更難攻擊系統，而達到屈人之兵的效果。



　　而資安的防護涵蓋許多領域，除了密碼學的應用，還包含政策、硬體設備、軟體系統、使用者認知等。因此本書針對這些範圍，先從基礎概論開始，再搭配介紹各種應用範圍所需具備的知能，希望能夠達到全方位且快速地學習資安的理論基礎、實務上的作法，以及現今漏洞與駭客的攻擊方式與類型。由於矛與盾對決的不斷發展，本書也特別強調介紹軟體開發所需資安防護的程式套件、系統檢驗的工具、即時漏洞通報…等最新的來源管道。



　　本書特色是以淺顯的內容，每單元搭配簡潔的圖解說明，從最基本的加解密原理、網路環境涉及資安的軟硬體，一直到整體資安運作過程的各個環節，均以深入淺出的方式，提供讀者全方位學習。無論是從事資訊相關行業的人員、身處資訊應用環境的使用者、學生，或是任何對於資安有疑惑的大眾，都能輕鬆學習到符合實務所需的密碼學與資安知識。



　　在本書出版之際，非常感謝五南圖書的推薦與支持。本書雖經多次修訂，但資訊軟、硬體的發展與變化，致使疏漏與錯誤在所難免，非常歡迎各界先進批評指導，得以不斷改善，並期許資安的認知能夠更普及於大眾。

?