南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知

Presentation on theme: "南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知"— Presentation transcript:

1 南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知
主講人 資訊管理系助理教授 侯望倫

2 目錄 何謂資訊安全 資訊安全知識 資訊安全相關法令 建立ISMS 網路安全 人員與環境安全 資料與存取安全 系統安全 2017/2/28
行政人員資安教育

3 學術單位的資訊安全 為什麼學校單位需要資訊安全 學校單位所擁有的資訊特色 學生學籍資料 成績資訊 教師與員工相關個人資訊 ………
大多屬於非機密性 具敏感性且涉及隱私及個人資料保護法相關規定 2017/2/28 行政人員資安教育

4 何謂資訊安全 有效的防止資訊遭到竊取、竄改、毀損、滅失或遺漏。簡言之，就是確保資訊的CIA：
Confidentiality 機密性：保護資訊不被非法存取或揭露。 Integrity 完整性：確保資訊在任何階段都沒有不適當的修改或損毀。 Availability 可用性：經授權的使用者能適時的存取所需資訊。 2017/2/28 行政人員資安教育

5 資訊安全的範圍 保護及維護資料的安全，包含： 資料的使用 資料的傳遞 資料的處理 資料的儲存 2017/2/28 行政人員資安教育

6 資訊安全管理重點 人員資安知識與能力 資安控管流程 資安處理技術 2017/2/28 行政人員資安教育

7 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 系統安全 電子郵件 垃圾郵件 網路購物 公用電腦使用 2017/2/28
行政人員資安教育

8 電子郵件：e-mail 附件不是執行檔也有危險？
為駭客開啟一扇大門 小趙收到 ：Confidential（機密） 不明人士 打開 同時也透過網路自動下載一個執行檔 後門程式也因此得以植入他的電腦系統當中 駭客使用遠端遙控 充滿好奇心的小趙收到一封郵件主旨是「Confidential（機密）」的電子郵件，信件內容為：「請分別在附件地圖中的這些地點與某人會面」，並且包含一個附件電子地圖檔案「map.wmf」。 即使知道這應該是封垃圾郵件，不是寄給他本人的，但是好奇心驅使，想一探究竟，再加上附件檔案是.wmf的圖檔，並非一般會中毒的.exe或.vbs、.pif等奇怪的附檔名，所以就安心的將電子地圖檔打開瞧瞧。 打開該附加檔案的同時，小趙的電腦系統也在不自覺中情況下，透過網路自動下載了一個名為「CALC.EXE」的執行檔，另一個名為「BKDR_AGENT.AXO」的後門程式也因此得以植入他的電腦系統當中，為駭客開啟了一個大門。時間：2005/11/1 2017/2/28 行政人員資安教育

9 電子郵件防範措施 1.不任意開啟來路不明的電子郵件及其附加檔案，不論附檔名為何，最好直接這類郵件刪除。
2.設定作業系統的自動更新機制（如Windows Updates），進行系統漏洞修補，使電腦系統隨時保持最新的安全狀態。 3.安裝防毒軟體並定期更新病毒碼，以防阻 可能夾帶的電腦病毒。 4.安裝個人防火牆，以防阻 中可能夾帶的間諜程式竊取資訊。 5.即使郵件是來自於熟識者，在打開附件檔案前，仍應使用防毒軟體掃瞄後才可開啟，尤其是「轉寄郵件」。 2017/2/28 行政人員資安教育

10 電子郵件名詞解釋(1/3) back door後門程式 Hacker 駭客「Hacker」
後門指的是可以“繞過”、“規避”電腦內部安全系統的另一個管道。 可能是在軟體設計時，程式設計師方便未來進入系統維護所留下的程式，也可能是電腦遭受到入侵而被植下的程式。 許多駭客會經由後門繞過安全驗證，非法進入電腦進行破壞或竊取資料。 Hacker 駭客「Hacker」 電腦駭客原是指電腦很強的人；「Cracker」則表示有犯罪記錄或行為的電腦高手。 但是後來大家卻混淆了這兩個字的含意，而將凡是在網路上利用技術危害他人的人，統稱為「駭客」。 2017/2/28 行政人員資安教育

11 電子郵件名詞解釋(2/3) 木馬程式 是一種後門程式，也是目前非常流行的病毒程式，與一般的病毒不同，它不會自我繁殖，也不會刻意地去感染其他文件。 木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵，並透過偽裝吸引用戶下載執行或安裝，提供種木馬者打開被種者的電腦門戶，使種木馬的人可以任意毀壞、竊取被種者的文件或操作畫面，甚至遠端操控被種者的電腦。 木馬程式最終的目的就是蒐集情資、等待時機執行破壞任務、當作跳板進行滲透。 手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉送達到跳板功能…等。 絕大部分的木馬程式所具備的功能與目的，不僅具備單一功能、單一目的，而是具備混合功能(hybrid) 與多目標導向。 netbus殭屍網路是一種木馬程式，可提供植入者能在遠端遙控被植入者電腦，作為攻擊者的傀儡電腦，隱藏其攻擊軌跡。 2017/2/28 行政人員資安教育

12 電子郵件名詞解釋(3/3) anti-virus電腦防毒軟體 firewall防火牆
防毒軟體是一種程式，安裝於電腦內能夠檢測入侵電腦的電腦病毒、木馬程式與電腦蠕蟲，當檢測到病毒時，程式會將病毒進行隔離或刪除，以避免病毒程式對電腦系統進行破壞。 firewall防火牆 網路防火牆用以管制外部使用者對內部網路及網站的連結和存取，並執行稽核作業。裝設防火牆就如同住戶為了住家安全性，特意加上一層的門禁系統。 防火牆會控制和監控所有外部和內部網路的交通；包括讓內部使用者可以對外取得整體的服務，而對於外來使用者則以選擇性的條件加以檢驗，只允許經授權的使用者連線使用，阻擋可能進入企業內部網路的駭客、病毒和電腦蟲。 2017/2/28 行政人員資安教育

13 垃圾郵件：垃圾郵件防範DIY 溫馨的5月母親節 主題垃圾郵件 夾帶電腦病毒、 或以偽裝成大型購物網站的 連結騙取使用者密碼、
銀行帳號等隱私資訊… 溫馨的5月母親節也成了垃圾郵件與病毒散佈者利用的對象，各式各樣以「母親節」為主題的垃圾郵件充斥氾濫，像網路訂花服務、母親節禮品購物網站廣告等。部分垃圾郵件甚至夾帶電腦病毒、或以偽裝成大型購物網站的連結騙取使用者密碼、銀行帳號等隱私資訊…時間：2007/5/14 2017/2/28 行政人員資安教育

14 垃圾郵件防範措施(1/2) 1.絕不回信 2.在搜尋引擎中鍵入你的 ，檢查看看是否你的 是否很容易讓垃圾郵件佈者取得；若可能，盡可能地移除掉 曝光的機會。 3.將你的郵件軟體設定為「不顯示圖片」，某些廠商會在發送html格式含圖片的電子郵件時，加上網站信（Webbeacons），用來計算開啟電子郵件的數目、或者統計哪個電子郵件地址開啟了哪些郵，關閉垃圾郵件的圖片顯示可以阻斷Web beacons功能。 2017/2/28 行政人員資安教育

15 垃圾郵件防範措施(2/2) 4.絕不按下垃圾郵件提供的超連結。
5. 絕不使用其「取消訂閱」的功能，因為當你按下「取消訂閱」時也同時讓垃圾郵件散佈者確認你的 是有效的。 6.在任何網站上留下你的電子郵件資料時，先閱讀該網站的隱私權政策，確保你的電子郵件資料不會用作其他用途。 7.設定2個 帳號，其中一個為日常通訊用途，另一個則用來訂閱電子報、或用來參加網路活動填問卷。 2017/2/28 行政人員資安教育

16 網路購物：糾紛與詐騙 購買一個皮包 網路購物 匯錢後卻遲遲沒收到商品， 李小姐遇到詐騙，個人資料 通通被網路釣魚網騙取! 2017/2/28
行政人員資安教育

17 網路購物防範措施 1.向個人賣家購物，一定要保留雙方關於買賣的對話紀錄或通聯紀錄。 2.保留匯款單據。
3.向商家索取發票，通常合法商家會開立發票，選擇有發票的商家較有保障。 4.如使用線上刷卡，在刷卡後立即與銀行確認消費紀錄。 5.瞭解自己的權益，依消保法規定，消費者可於收受商品七日內退回，無須說明理由及負擔任何費用。 6.如果發現受騙或被盜刷等情況，應通知刷卡銀行並報警處理。 2017/2/28 行政人員資安教育

18 網路購物：網拍詐騙增多，買賣兩頭空 買家匯一萬五 退五千給仿買家 賣家 仿買家 向賣家購入 一萬元商品 歹徒 仿賣家以一萬五千賣給買家
面交後，雙雙得手! 買家匯一萬五 近年網路詐騙手法不斷翻新，現在出現了「買空賣空」的手法，不僅僅「買家」匯款後拿不到商品，「賣家」也在交貨後莫名的賠上一筆錢或是吃上官司。 根據調查這種手法通常是歹徒先假冒買家，向Ａ賣家購買一萬元的商品，再扮賣家以一萬五千元賣給Ｂ買家，並提供Ａ賣家的帳號供Ｂ買家轉帳並要求Ａ賣家面交商品。當面交時，歹徒會請A賣家將多匯的五千元退還並取貨，不僅商品免費到手，錢也被歹徒以移花接木手法騙進口袋，而網拍買賣雙方卻都成了被害人。 此手法最明顯特徵在於「銀行帳戶內有超過成交金額之進帳」，網路賣家於拍賣成交後，若發現帳戶內有此情形，應立刻查證匯款來源，千萬勿聽任歹徒要求交付帳戶多餘款，以免賠錢、賠貨還成了詐欺人頭戶。時間： 2009/12/1 2017/2/28 行政人員資安教育

19 網路購物防範措施 1.選擇有信譽之交易對象，仔細瞭解對方的信用風評…等，並注意網址的正確性，避免落入仿冒網站。
2.利用問與答的機制，於詢問時留意賣家專業度，可瞭解賣家是否夠真心投入、認真經營。賣家若將網路開店視為長期經營，勢必會重視客戶反應及商品品質。 3.從賣家出貨速度、反應問題速度，決定未來是否再向這個賣家購買商品。 4.當拍賣商品具有「預訂性質」時，為求謹慎，建議向有口碑店面或信用優良的商家訂購，以防預訂詐騙。 5.不論是賣家還是買家，堅持面交，一手交錢一手交貨，當場確認物品及金額無誤後才能銀貨兩訖。 補充： 網路賣家遇有不正確入帳情形，可迅速撥打165，尋求警方協助聯繫相關銀行。以進一步釐清入帳來源，避免成為詐欺人頭戶。 2017/2/28 行政人員資安教育

20 公用電腦: 使用他人電腦沒清除記錄，帳號密碼遭竄改
盜用女方 帳號、密碼 發現無法登入 電子郵件及msn 張貼女方裸照 並傳送給所有 聯絡人 (已加入女方新帳密) 新申請帳號密碼 點閱郵件法現自己的裸照 並通知警方 一名女子和男友分手之後，發現自己的電子信箱與即時通訊帳號都無法進入，後來自己的裸照甚至還被貼上網路，她報警才發現這些都是前男友一手造成。 根據警方調查，兩人原是公司同事，後來女子發現男友已經結婚，便和他分手，並且離開公司。幾個月後，她發現使用多年的電子郵件信箱無法登入，就連MSN也失效無法使用。女子無奈之下才重新申請電子信箱與MSN的帳號密碼。後來有一個陌生人把她的MSN帳號加入聯絡人，對方貼網址要她點閱，她才發現自己的裸照竟然被貼到網路，她看到之後急得報警處理。 原來兩人交往時，女子時常用男友的電腦收信或使用MSN，而且都設定自動記憶帳號密碼，兩人分手後她忘記清除電腦內的記憶設定，於是被男友私自竄改及利用。時間：2009/5/5 2017/2/28 行政人員資安教育

21 防範措施： 1.使用電腦後隨手清除網頁瀏覽記錄及cookie資料，並清除在網站上所留下的個人資料。 2.養成不使用自動記憶帳號密碼的功能。
3.避免使用他人或公共電腦，上網處理重要或私密事務。 4.使用他人或公共電腦時，特別注意坐在或站在你旁邊的人，因為他們可以輕易地從電腦螢幕上看到你所輸入的帳號、密碼或其他個人資料。 5.若經常使用公共電腦，更換密碼的要更高。 2017/2/28 行政人員資安教育

22 名詞解釋 cookies網路紀錄 cookies是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網頁的資訊，例如：瀏覽的網站位址、使用者曾經輸入的資訊等，當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網頁。 cookies 也會紀錄使用者的帳號與密碼，因此在使用者再次進入相同頁面時，不需要重新輸入名稱與密碼。 由於cookies 的功能會記錄重要的個人資料與網路使用習慣，通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。 2017/2/28 行政人員資安教育

23 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 系統安全 防範員工外洩客戶資料 防範社交工程的攻擊 公司機密外洩的處理
報廢電腦的資料安全 資料與存取安全 系統安全 2017/2/28 行政人員資安教育

24 人員與環境安全 案例一、員工偷偷外洩客戶資料 案例二、防範社交工程的攻擊 案例三、公司機密外洩的處理 案例四、報廢電腦的資料安全
2017/2/28 行政人員資安教育

25 員工偷偷外洩客戶資料 政府機關 電信事業 不法集團 金融事業單位
台北市檢調在2004年偵破個人資料外洩暨販售案，包括三家公司勾結公務機關或特定民營公司不肖人員，不法蒐集與販售上千萬筆企業及個人資料。此三個集團掌握資料超過2千萬筆，經調查發現，資料外洩的單位包括政府機關、電信事業以及金融事業單位等。某位求職者在某家人力銀行登錄個人資料，但是卻由另外一家人力銀行致電告知求職者，已為其找到合適的工作。求職者納悶之際，向原登錄的人力銀行查詢，意外發現該家人力銀行業者的資料庫，被同業藉由不同的管道，進入取得求職者的資料。 時間：2004/6/1 2017/2/28 行政人員資安教育

26 防範措施： 1.針對資料保密、客戶隱私權等相關法令對所有員工進行教育宣導，尤其是「電腦處理個人資料保護法」的瞭解，說明若將客戶資料外洩或私自盜賣，最重可處三年以下有期徒刑。 2.依職務需求授予資料或檔案的存取權限，避免非相關職務人員皆能存取隱私資料。 3.針對員工使用私人儲存媒體進行規範，例如禁止員工使用USB隨身碟或磁片，如此可避免員工因職務上的便利，將機密帶離公司。 4.限制員工電子郵件可夾帶檔案的大小，以避免員工透過電子郵件外洩大量公司料。 補充第一點： 1.除了宣導與法令說明外，更必須簽訂保密 合約以確實規範和警示法律責任，致達到 遏阻作用。 2017/2/28 行政人員資安教育

27 防範社交工程的攻擊 個人電腦 電腦中毒 不明信件
小漳是一位年近三十確仍然保持單身的科技新貴，因為平日專注於研發工作，所以並沒有其他機會認識朋友，只能透過網路這虛擬的媒介來拓展自己的人際關係，擴大自己的生活圈，所以每天小漳進公司第一件事情就是打開outlook收信。今天他很驚訝的看到一封信的主題寫著”I Love U”的信件，一時之間又驚又喜連忙點開這封信，但是點開之後發現Outlook通訊錄的名單自動寄發大量郵件；同時覆寫數種檔案格式的附檔，導致電腦無法使用，小漳這時才發現自己中毒了。 時間：2006/7/3 2017/2/28 行政人員資安教育

28 防範措施： 1.儘量避免加入不明來源的MSN 使用者，不接受不明聯絡人的檔案。 2.使用掃毒程式—在點閱信件之前確認件的安全性。
3.限制如果系統主動對外發信必須通過系統管理員同意。 4.對權限加以分級控管，非屬於個人份事宜不應掌握帳號密碼等特殊權限，以免因為不了解安全等級而不慎外流重要資訊。 5.安裝個人防火牆，阻擋不明程式嘗試對外連線。 ＊此案例已違反ISO27001條例 A 資訊安全認知、教育與訓練、A 對抗惡意碼的控制措施項目，且屬於網路犯罪。 2017/2/28 行政人員資安教育

29 名詞解釋 social engineering 社交工程
社交工程主要是利用人性的弱點而進行詐騙。社交工程是一種非技術性的入侵，是藉由與人透過社交手段進行犯罪行為。現代病毒已開始結合社交工程概念，例如"ILOVEYOU"病毒就是透過在電子郵件中以"我愛你"為附加檔案的檔名，誘導使用者打開附件，然而在使用者打開附件的同時，即被植入病毒，這就是利用社交工程入侵電腦的一個範例。 2017/2/28 行政人員資安教育

30 公司機密外洩的處理 竊取公司機密 員工旅遊期間 被警方逮捕 竊取公司重型機車引擎設計圖、 電腦檔案與相關模具組等商業機密
利用貨櫃，私運到美國 被警方逮捕 台灣鼎力公司芬蘭籍總工程師潘提拉(Penttila H. J.)，企圖將價值約新台幣十億元的機密資料，以貨櫃闖關私運到美國。 潘提拉是利用公司舉辦員工旅遊期間，竊取公司重型機車引擎設計圖、電腦檔案與相關模具組等商業機密，所幸警方即時在台中港查獲潘提拉的貨櫃（但因潘提拉已事先出境轉往美國，警方只能發佈通緝，而鼎力公司也準備打一場國際官司）。 時間：2005/3/16 2017/2/28 行政人員資安教育

31 防範措施 1.資訊分級授權：將企業內部資產與資訊列冊並評鑑機密等級，依等級訂定授權。
2.權限控管：授權不能氾濫，應依職務分級授予存取、傳遞、交換等權限，並期審查權限適當性，以及保留存取權限稽核資料。 3.簽訂安全／保密合約：與員工簽訂合約，除了可供違約時的責任追溯與求償外，具有一定的預防遏阻作用。 4.隨身碟禁用規定：為防止員工私自複製司機密資料，可限制員工使用行動碟、MP3隨身碟等儲存裝置。 5.安全通報與處理機制：若員工發現同仁有異常行為，應透過安全通報機制立即反應，預防危安事件發生。 2017/2/28 行政人員資安教育

32 名詞解釋 authorization 授權 授權，指的是將資源系統的使用權限授與特定人員的過程。獲得授權的人員具有使用特定資源系統的權限。通常系統管理員會按企業相關規定或政策，來給予使用者不同的授權，以及使用者能使用資源系統的的權限與層級有多大。 2017/2/28 行政人員資安教育

33 報廢電腦的資料安全 報廢電腦 不當處理 資料外洩
一名美國內華達州的民眾購買了一台二手電腦，發現電腦中有當地藥局先前所儲存的病患處方籤資料，筆數甚至超過2,000筆，資料內容包括患者姓名、地址、社會安全號碼、醫師處方及治療紀錄等… 同樣的情況，位於印第安那州的美國退役軍人管理醫學中心汰換了約140台的桌上型電腦，部分的老舊電腦捐給教育機構，部分電腦則公開販售。一名電視記者在二手店買了其中一台舊電腦，竟發現電腦中有大量的敏感醫療資訊，甚至包括患有愛滋病患者資料、信用卡號碼等… 時間：2004/8/1 一名美國內華達州的民眾購買了一台二手電腦，發現電腦中有當地藥局先前所儲存的病患處方籤資料，筆數甚至超過2,000筆，資料內容包括患者姓名、地址、社會安全號碼、醫師處方及治療紀錄等… 同樣的情況，位於印第安那州的美國退役軍人管理醫學中心汰換了約140台的桌上型電腦，部分的老舊電腦捐給教育機構，部分電腦則公開販售。一名電視記者在二手店買了其中一台舊電腦，竟發現電腦中有大量的敏感醫療資訊，甚至包括患有愛滋病患者資料、信用卡號碼等… 時間：2004/8/1 2017/2/28 行政人員資安教育

34 防範措施： 1.電腦報廢前，針對整個電腦系統或內含資訊的進行備份。 2.將上述的備份移轉至新的機器或其他備份裝置中。
3.執行完整的資訊設備報廢處理程序，包括針對電腦硬碟執行重新格式化、相關作業軟體、資料及具有版權之系統軟體；針對磁碟或光碟片等儲存媒體進行實體銷毀，如切碎、折損等。 2017/2/28 行政人員資安教育

35 名詞解釋 Malicious URL injection 網頁隱藏式惡意連結
又稱為「網頁惡意掛馬」或「網頁掛馬」。指駭客竄改所攻擊的網頁，植入惡意連結，或者是設立惡意網站，透過宣傳手法，利用一般人的好奇心吸引觀眾到站瀏覽，使用者只要連上網站，就會轉落入駭客預先設計好的陷阱，被植入木馬程式。進而被竊取電腦中的資料或機密造成損失。 2017/2/28 行政人員資安教育

36 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 系統安全 定期檢查存取權限 帳號借他人使用出包 使用者密碼管理
設定優質密碼保障資料安全 10大企業資訊安全內賊現象 筆記型電腦資料安全管理 儲存媒體的保存 系統安全 2017/2/28 行政人員資安教育

37 定期檢查存取權限 離職 竊取公司帳號、密碼 將公司重要文件 轉寄私人信箱 2017/2/28 行政人員資安教育

38 防範措施： 員工離職前應提醒其保密義務及法律責任。 員工離職後應立即取消其網路存取權限。
員工離職，應酌量風險決定凍結或移除其帳號並變更密碼。 針對公司重要系統主機應定期檢查帳號及密碼之設定。 針對公司重要系統主機應定期檢查存取權限及存取紀錄。 2017/2/28 行政人員資安教育

39 帳號借他人使用出包 友人提供網路帳號密碼使用 (教育部網站) 楊姓主任 利用他人名義販售商品
早前某縣政府教育網站被人檢舉，指某國中楊姓教務主任濫用網站「做生意」，販售金銀飾品及日常百貨等物品，教育局長得知後，亦表示太誇張了，並指示即刻調查。 事件曝光後，該教務主任解釋，是他的友人向他借帳號，說需要一些網路空間放檔案，因此才將縣政府教育網站帳號借他使用。楊姓教務主任表示，平時他很少上教育網站，完全不知道友人利用教育網站賣東西。 楊姓教務主任雖緊急尋找該名友人處理事件，但教育局已決定先取消他的帳號，並且由於公務員規定不得兼職做生意，因此查獲屬實，亦可能遭懲處處份。 時間：2006/11/1 2017/2/28 行政人員資安教育

40 防範措施︰ (1)個人帳號不可借任何人使用，包括像公務資料系統、網站、e-mail、網路金融、ISP帳號等。
(2)不要將帳號密碼隨手記錄於紙本隨意置；更不要將密碼寫在便利貼貼在電腦螢幕邊。 (3)不要告訴任何人您的帳號密碼，包括像對方來電表示自己是資訊部門人員、銀行客服人員等。 (4)重要系統、網站在登入時，應留意一下系統提醒的連線歷史紀錄是否有不明的登入紀錄。 2017/2/28 行政人員資安教育

41 使用者密碼管理 盜用網拍帳號 Ｘ小姐投訴，日前她的網拍帳號被盜，盜用者利用假日該客服單位無法立即處理申訴之漏洞，盜用帳號刊登商品行騙，雖然她在第一時間發現卻因申訴無門無法阻止。 Ｘ小姐說，她經常利用網拍網站作網拍，前幾天，她上網查看電子郵件時，竟看到1封網拍網站寄給她的通知信，告知她已在網拍上刊登500件商品，此時才警覺帳號已遭盜用…！ 時間：2007/4/26 2017/2/28 行政人員資安教育

42 防範措施(1/2) 一、防禦的技巧 (1)簽署保密聲明：要求使用者簽署對個人帳號密碼保密之聲明。
(2)強制變更密碼：確保一開始即提供使用者安全之臨時密碼，也應強制使用者在第一次登入系統時立刻更改。 (3)在提供新的、替換或臨時密碼前，須驗證使用者身分。 (4)以安全的方式將密碼交給使用者，勿交由第三方轉交或使用明碼傳送。 (5)密碼不得以無保護形式儲存於任何實體設備或可攜式設備中。 2017/2/28 行政人員資安教育

43 防範措施(2/2) 二、解決的技巧 (1)網頁開發時，結合自然人憑證之機制，於使用者（買方或賣方）登入或登出時均啟動確認身分之機制；目前僅有以信用卡/轉帳付款時，才啟動確認身分之機制，顯然是不足的。 (2)應有健全的通報機制，例如例假日或非上班時段，可增列語音或發送簡訊的處置機制，由值班之客服人員判定處理優先順序。 應從資安事件中學習及檢討，例如透過客服系統，定期統計及彙整出相關事件發生之來由及解決方案，作為改善及提升服務品質之依據。 2017/2/28 行政人員資安教育

44 設定優質密碼保障資料安全 上傳私密照片到網路相簿 遭他人竊取帳密並惡意散布私密照片
一名20歲年輕少婦小莉（化名）為了記錄青春美好時光，留下美麗的倩影，將自己數十張裸照以及與老公的親密性愛照，全數PO上某相簿網站上，並設下密碼，想要留作紀念。 不料網站密碼遭人破解，小莉私密照片大量外洩，被有心人士惡意PO上網並廣為流傳，還因此淪為色情網站的女主角。小莉友人在上色情網站時意外發現這些照片，立刻前往她部落格留言告知，小莉才發現事態嚴重，憤而告上警察局，希望警方能協助刪除照片並揪出肇事者。 警方清查色情網站時發現除了小莉外，還有有多人受害，其中不乏夫妻倆、情侶檔。在調閱網路IP位址後發現色情網站是設於國外，實在難以杜絕防範。 時間：2009/3/13 2017/2/28 行政人員資安教育

45 優質密碼防範措施(1/2) 1.密碼長度建議至少六碼以上，且最好可參雜數字、英文字母、特殊符號、大小寫。
2.應儘量避免使用易猜測或公開資訊為設定，例如 個人姓名、出生年月日、身分證字號 機關、單位名稱或其他相關事項 使用者ID、其他系統ID 電腦主機名稱、作業系統名稱 電話號碼 英文或是其他外文字典的字彙 專有名詞 空白 補充第二點： B. 機關、單位名稱或其他相關事項 C. 使用者ID、其他系統ID D. 電腦主機名稱、作業系統名稱 E. 電話號碼 F. 英文或是其他外文字典的字彙 G. 專有名詞 H. 空白 2017/2/28 行政人員資安教育

46 優質密碼防範措施(2/2) 3.應保護密碼，維持密碼的機密性，勿使用同一套密碼行遍天下，以避免所有關的登入資料同時都被破解。
4.需定期更新密碼，建議更新頻率至少為三個月一次。 5.不使用過於複雜而不易記憶的密碼，以免擔心遺忘，而必須將密碼寫下，卻可能提高了密碼外洩的風險。 補充第二點： B. 機關、單位名稱或其他相關事項 C. 使用者ID、其他系統ID D. 電腦主機名稱、作業系統名稱 E. 電話號碼 F. 英文或是其他外文字典的字彙 G. 專有名詞 H. 空白 2017/2/28 行政人員資安教育 46

47 10大企業資訊安全內賊現象 主管 員工 給予帳號密碼 收取客人資料並盜用
今年4月中，某國營銀行爆發員工舞弊金額達9百多萬的資安事件。某員工擔任銀行分行技工職務，因工作經歷資深，受主管信任而給予其帳號與密碼，使其能夠以一般行員的身份進行相關工作。 然而該名員工在長達7年的工作期間，以收到真正客戶還款金額時虛列還款帳務，扣除自己的貸款金額作假帳，這段期間銀行皆毫無察覺。 至事件爆發後，該銀行因為未確實執行內部控制制度，而遭主管機關核處4百萬元罰鍰；所幸經銀行仔細調查，客戶相關權益並未受損，共計9人因此遭到處分。 時間：2007/4/19 2017/2/28 行政人員資安教育

48 10大企業資訊安全內賊現象 惡意竊取或損壞資料類型： 1.竊取身份資料：員工存取或偷竊公司客戶的身份證號碼等隱私資料。
2.竊取機密資料：員工閱覽公司機密資料，並將資料複製至其隨身碟或透過電子郵件送出公司。 3.毀損資料：員工進入公司的研發或業務重要資料夾，刻意毀損企業具有價值的智慧財產。 4.財務欺騙行為：員工直接在公司資訊系統中竄改自己的薪資紀錄、或假冒發出採購單等行為。 2017/2/28 行政人員資安教育

49 10大企業資訊安全內賊現象 違背政策的不當使用類型： 未授權存取系統駭客類型： 無意的資料錯誤處理類型：
5.不當的資料存取：員工將不可攜出公司的工作相關資料帶回家處理。 6.濫用特殊權限：員工利用其特殊的系統存取權限執行非業務相關工作，如本案例中所提到銀行技工濫用權限從事舞弊之行為。 7.非法將資料庫備份至光碟或隨身碟中。 未授權存取系統駭客類型： 8.SQL攻擊：員工利用 Web 程式的表格檔案竄改程式以取得不該取得的資料。 9.軟體攻擊：員工利用公司使用的應用程式或軟體弱點進行攻擊。 無意的資料錯誤處理類型： 10.因人為操作錯誤而將敏感資料刪除或而無法復原。 2017/2/28 行政人員資安教育

50 名詞解釋 access control 存取控管 存取控管是一種對於資料或資訊系統使用的安全控制措施，類似守門人的功能。
電腦系統管理者可利用密碼或其他身分驗證的方式，來對於電腦系統的使用者進行授權/拒絕的存取與控管。 換言之，存取控制在指派與控制使用者之權限(如使用者的身份、使用系統之時間等條件）。存取控管可提供資源系統使用安全功能，降低駭客入侵或資料不當外洩的風險。 2017/2/28 行政人員資安教育

51 筆記型電腦資料安全管理 遭偷竊筆記型電腦 個資未加密該如何保障? 居民個人資料外洩
美國交通部位於邁阿密總監察長辦公室的一台筆記型電腦，被歹徒破壞公務車門鎖後由車上偷走，該筆記型電腦中含有13萬筆佛羅里達州居民的個人資料。 這些個人資料包括姓名、住址、生日及社會安全號碼等，雖然這台筆記型電腦需要密碼才能登入，但那些個人資料皆未加密。該辦公室只能思考如何設法保障這些資料的安全… 時間：2007/8/1 2017/2/28 行政人員資安教育

52 防範措施： 1.使用防護鎖或移動感應器來降低筆記型電腦失竊機率。 2.電腦開機設定保護密碼 3.重要資料使用加密措施，防止未經授權存取。
4.定時備份重要資料於其它儲存媒體中，並予以妥善保存 。 2017/2/28 行政人員資安教育

53 儲存媒體的保存 阿嘉 規劃公司整個網路儲存架構
阿嘉是一家科技公司的網管工程師，由於公司日漸成長，老闆要求他重新規劃公司整個網路儲存架構，特別是儲存媒體的保存，因為公司業務是從事晶片研發，所以資料機密等級與重要性都遠高於一般企業，也必須特別要注重資訊安全防護與災害及時恢復功能。 時間：2006/8/11 2017/2/28 行政人員資安教育

54 防範措施： 1、使用磁碟陣列等可靠度較高的設備。 2、建立巢狀架構，避免單點損壞之風險。 3、建構異地備援。
4、建立備援儲存計畫，採用正常、複製、差異、”增量與每天等正規方式儲存資料，並標示好時間與日期。 5、過期資料應使用強力消磁設備消磁，嚴禁隨意丟棄。 6、建立好銷毀流程規範，嚴格要求。 7、作好機房人員進出控管，建立授權名單，可以考慮進一步使用指紋辨識系統。 8、資料內容加密。 ＊儲存媒體的保存屬於ISO17799條例中(1) 資訊備份 (2) 可移除式媒體的管理 (3) 資訊處置程序等規範範疇。 2017/2/28 行政人員資安教育

55 名詞解釋 disaster recovery plan 災難復原計畫
災難復原，是指當任何緊急事件(如地震、颱風、人為疏失等)發生時，包含人員與資訊系統都應於第一時間立即因應處理～ 2017/2/28 行政人員資安教育

56 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 系統安全 防範電腦駭客的入侵 遭遇電腦駭客入侵的因應對策 2017/2/28
行政人員資安教育

57 防範電腦駭客的入侵 設計電腦鍵盤側錄程式 側錄線上遊戲者帳號
就讀桃園縣某高中二年級的黃姓學生，涉嫌設計電腦鍵盤側錄程式，供劉姓主嫌植入他人電腦，以側錄並竊取線上遊戲玩家的帳號與密碼，共計有上千筆資料遭側錄。 由於警方接獲許多線上遊戲玩家反映密碼遭竊，經追查駭客網站討論區，發現這位年僅17歲的嫌犯。黃姓學生坦承自己以5千元代價，幫劉姓嫌犯撰寫程式。警方依妨害電腦使用罪將黃同學移送法辦，並通緝逃亡大陸的劉姓主嫌。 時間：2006/2/25 2017/2/28 行政人員資安教育

58 防範措施 1.系統作業更新：時常進行系統程式修正或更新，防範程式漏洞導致入侵事件。
2.權限設定檢視：權限設定宜審慎，避免不合適或錯誤的設定，給予駭客入侵機會。 3.日常作業備份：完善的備份，是降低入侵破壞傷害的基本防線，方式包含備份於USB儲存設備，及硬碟等外接裝置，或將檔案壓縮後置於檔案伺服器。 4.稽核軌跡管理：啟動各種系統、應用程式、網路設備的事件稽核功能，使所有存取紀錄皆有跡可查。 5.時間校正：所有電腦與網路設備應設定自動校正時間，避免因時間紀錄不一致，影響入侵事件的分析。 2017/2/28 行政人員資安教育

59 遭遇電腦駭客入侵的因應對策 建中學生 大學入試中心 學生個資 補習班
十九歲的蘇姓大學輟學生，因受補習班負責人利用，入侵大學考試中心與國中基測電腦系統，並將取得的超過100萬筆全國國、高中生的個人資料，交給補習班作為招攬生意之用。 這位蘇姓學生於就讀建中時，即以曾入侵總統府網站而聞名，並因道歉而獲得原諒；但之後他仍陸續入侵其他企業網站。而儘管這次蘇同學是主動自首，但警方仍依刑法之妨害電腦使用罪等罪名，將蘇同學及補習班涉案人員移送法辦。 時間：2006/10/23 2017/2/28 行政人員資安教育

60 防範措施 1.系統備份：一旦發生駭客入侵，首要之務在於立即進行系統備份，一方面保存重要檔案資料，另一方面，也保存受害證據，以供日後告發之用。
2.系統隔離：包含以防火牆將受害電腦隔離封鎖、移除受害電腦網路連線、關閉受害系統與無關帳號，以避免災害擴大。 3.稽核紀錄：清查作業系統、服務程式、防火牆、入侵偵測，及網路設備等所有可能留下的稽核紀錄，以作報警處理之用。 4.分析追查：從上述各事件紀錄，追查入侵的IP來源、入侵過程與方法。 5.復原與改善：將受損電腦進行復原，並針對入侵事件，改善與強化資安工作。 2017/2/28 行政人員資安教育

61 名詞解釋 何謂P2P軟體？ (點對點通訊傳輸工具)
傳統HTTP/FTP傳送檔案方式，採用戶與主機的通訊模式(Client-Server Mode) 。 新制P2P檔案傳送，採取用戶與用戶的通訊模式，可以同時連接多個下載點，分散式下載檔案。使得P2P可以快速完成檔案下載的目標。Skype也是P2P的一種應用工具。 檔案分享是目前 P2P 最主要的一種應用，P2P 檔案分享軟體本身是合法的，合不合法則是在分享的檔案。 2017/2/28 行政人員資安教育

62 P2P軟體可能安全問題 P2P軟體可能影響的網路安全問題 防範措施 P2P工具包，可能被惡意人員放置木馬後門程式，與病毒蠕蟲。
使用P2P軟體下載影音檔案，多半為mp3與mpeg, avi等檔案，可能造成侵權行為。 防範措施 下載任何工具軟體，從原廠官方網站取得。 不要在公眾或公務電腦下載P2P檔案。 使用P2P工具，要縮短暴露在網際網路的時間。 使用任何網路工具(包含P2P檔案下載工具)，不應侵害他人權益，入侵他人電腦或是侵害著作權。 P2P技術是技術潮流，不反對P2P發展，而是『反對在辦公室與校園，使用P2P檔案下載』。 2017/2/28 行政人員資安教育

63 資通安全相關法令

64 資通安全相關法令 國家機密保護法 電子簽章法 刑法(防駭條款) 電腦處理個人資料保護法 檔案法 著作權法 行政院及所屬各機關資訊安全管理要點
機關公文電子交換作業辦法 智慧財產權Intellectual Property Rights (IPR) 2017/2/28 行政人員資安教育

65 妨害電腦使用罪簡介 隨著資訊科技快速發展，網際網路應用日益普及與多元，除了帶給我們許多生活上的便利，但也衍生一些資通安全問題，特別是網路犯罪行為已有增多趨勢。 網路犯罪行為大約可歸類下列三種 以網路作為犯罪工具–網路詐欺、網路恐嚇等 以網路作為攻擊標的–竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等。 以網路作為犯罪場所–如色情、誹謗、賭博等 為避免電腦犯罪與維護網路秩序，特於刑法中設立相關法令條文以為管理-刑法第36章「妨害電腦使用罪」章。 2017/2/28 行政人員資安教育

66 妨害電腦使用罪主要內容(1) 第358條無故入侵電腦罪 第359條無故取得、刪除或變更他人電磁紀錄罪
無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 本條主要目的為遏止駭客入侵行為。 第359條無故取得、刪除或變更他人電磁紀錄罪 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 本條主要目的為確保電腦內部電磁紀錄安全。 2017/2/28 行政人員資安教育

67 妨害電腦使用罪主要內容(2) 第360條無故干擾電腦系統罪 第361條對公務機關犯罪之加重
無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 本條主要目的為維護電腦及網路運作正常。 第361條對公務機關犯罪之加重 對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一。 本條主要目的為確保國家安全。 2017/2/28 行政人員資安教育

68 妨害電腦使用罪主要內容(3) 第362條製作供犯罪程式罪 第363條告訴乃論
製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 本條主要目的為防止犯罪工具之利用與擴散。 第363條告訴乃論 第三百五十八條至第三百六十條之罪，須告訴乃論。 本條主要目的為集中司法資源對抗重大犯罪。 2017/2/28 行政人員資安教育

69 個人資料保護法制簡介 侯望倫

70 什麼是隱私權（Privacy）？ The Right To Be Let Alone 隱私權的種類 個人資料自決權 身體隱私權 通訊隱私權
領域隱私權 資訊隱私權 個人資料自決權 任何人對於其相關之個人資料，如不涉及公益 原則上均得自我決定是否公開或提供他人利用 2017/2/28 行政人員資安教育

71 個人資料之定義 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 2017/2/28 行政人員資安教育

72 個人資料當事人之權利 ☆不得預先拋棄或以特約限制☆ 查詢及請求閱覽 請求製給複製本 請求補充或更正 請求停止電腦處理及利用 請求刪除
2017/2/28 行政人員資安教育

73 預防措施_1 防止蓄意竊取敏感資料者 提防授權者公器私用 提防組織內的粗心使用者
立即封鎖機密資料外傳行為，並通知IT管理員紀錄員工是否有外傳機密資料的行為，如寫出管道、使用電腦、登入帳號、寫出位置與違規時間等。 提防授權者公器私用 根據調查，78%的資料外流來自內部授權的使用者，企業必須紀錄授權者接觸機密資料的行為與時間，並且強迫要求輸入密碼加密以落實離開控管後的保護。     提防組織內的粗心使用者 當員工企圖將機密資料以USB、 、IM或FTP等管道傳輸出去時，系統會立即在其的電腦視窗示警，以此教育使用者並記錄其行為。 2017/2/28 行政人員資安教育

74 預防措施_2 提防機密資料存放終端電腦 可搭配輔助舉證的資料
透過定期終端電腦掃描的方式，預防、避免員工將只能存放在檔案伺服器中的機密文件拷貝至個人電腦裡。 可搭配輔助舉證的資料 有辦法確認資料外洩者是否平日即有權限存取機密或敏感資料、檔案？ 是否有系統可以記錄資料外洩者平常存取、複製的檔案資料與持門禁卡進出公司的時間？ 貴單位是否有明文規定機密或敏感資料不得存於USB？ 以及當單位陷入涉嫌外洩個資時，能否即刻拿出相關的登入紀錄與錄影機的紀錄等佐證資料？ 2017/2/28 行政人員資安教育

75 建立ISMS

76 ISMS規範與控制項 資訊安全政策訂定與評估 資訊安全組織 資訊資產分類與管制 人員安全管理與教育訓練 實體與環境安全 通訊與作業安全管理
存取控制安全 系統開發與維護之安全 資訊安全事件之反應及處理 業務永續運作管理 相關法規與施行單位政策之符合性 2017/2/28 行政人員資安教育

77 ISMS建置步驟-規劃 依據該單位之類型、規模、資源、業務性質等特性，定義ISMS之範圍；
並擬定一份適用性聲明書文件。 2017/2/28 行政人員資安教育

78 ISMS建置步驟-執行 施行單位應確實實施控制措施，以符合控管的目標，
並執行訓練與認知計畫，確保偵測安全事件的能力，以及迅速回應和應對處理的時效。 2017/2/28 行政人員資安教育

79 ISMS建置步驟-考核 施行單位應針對ISMS進行監控程序與其他控制措施，即時鑑別資安事件的發生、處理順序與解決方法；
2017/2/28 行政人員資安教育

80 ISMS建置步驟-改善 施行單位應定期實行改進活動，採取適當的矯正與預防措施， 並得到管理階層之同意，並確保各項措施達到預期目標。
2017/2/28 行政人員資安教育

81 ISMS建置步驟 2017/2/28 行政人員資安教育

82 行政人員的協助與參與重點 參與教育訓練 協助資訊資產盤點 協助風險分析 提出安全需求 定期實施查核 協助持續改善，完成PDCA循環
2017/2/28 行政人員資安教育