資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問

Presentation on theme: "資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問"— Presentation transcript:

1 資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問
NCLP, NCLI, Microsoft MVP 黃燕忠自我簡介 專長： 忘記以前所學過的招式 具高效能領導力，找到對的人規劃及解決問題

2 大綱 資訊安全的重要性 (網站災難的影響) 如何預防網站被駭? 如何正確使用電腦來降低故障並減少問題發生
公司資料外洩與未經授權流出等權責法律問題 個人資料保護法 營業秘密法 結語與建議

3 資訊安全的重要性 網路安全事件層出不窮 2007-2008 藍色小舖網站遭駭 2008/4/27駭客癱瘓巴哈姆特網站及遊戲基地
1.2000年遭受DDoS攻擊造成yahoo、eBay、CNN、Amazon等商業網站癱瘓達數小時之久。 2.2001年CodeRed與Nimda蠕蟲造成全球830萬台電腦感染、 3.2003年SQL Slammer Worm攻擊企業網站資料庫，造成美洲及亞洲地區的網路嚴重癱瘓。 4.2003年8月Blast病毒利用Windows系統漏洞進行散佈，亦造成全球重大損失。 5.2004年1月底Mydoom病毒更以最高一秒鐘感染1200封電子郵件，造成全球網路的重大損失。 6.2004年5月Sasser病毒再次針對Windows作業系統漏洞進行傳染攻擊。 7.2004年5月我國刑事局偵九隊破獲木馬程式惡意攻擊竊密案，已有上百企業受害。 8.2004年10月，中國河北省駭客操控六萬台主機，連續三個月發動攻擊北京某音樂網站，造成網站癱瘓。 2005年新型botnet病毒，發動阻斷式服務攻擊(DDoS)多家美國知名公司網站，嚴重影響網路秩序。 2008/4/27駭客癱瘓巴哈姆特網站及遊戲基地 對方利用殭屍病毒(botnet)入侵，癱瘓巴哈姆特網站首頁，還有另一遊戲網站同樣受到相同攻擊….. 藍色小舖網站遭駭 內部：2007年2月21日會員租用的網站空間遭駭，使得網站被植入惡意檔案，而且，已經被當成跳板.... 外部：2008年5月遇到嚴重的DDoS攻擊…….

4 近期資安實例 零時差攻擊! 駭客侵27官網 09-08-11 一名部落客遭駭客全面攻擊，Twitter 受波及當機掛點 2008/07/22
台北市雜誌商業同業公會網站被植入惡意連結 財團法人東元科技文教基金會網站被植入惡意連結 台灣光電與半導體設備產業協會交流論壇網站被植入惡意連結 經濟部國際貿易局貿易便捷化網站被植入惡意連結 零時差攻擊! 駭客侵27官網 社交網站 Facebook 安全人員對外透露，一位喬治亞部落客「Cyxymu」在 Twitter、Facebook、Google Blogger、YouTube 與 Live Journal 的所有帳號，日前遭到駭客全面同時發動阻斷服務攻擊（DOS），導致 Twitter 全站於上周四上午斷線好幾個小時，其他網站也跟著受影響。

5 零時差攻擊(Zero-day Attack)
駭客使用未曾被公開的微軟辦公室軟體(MS-Office)弱點，設計並散播惡意電子郵件；使用者開啟郵件夾帶的附件Word 檔後，將被植入後門程式，可能遭駭客竊取資料。 此弱點為微軟Office XP/2003 Word 軟體處理「智慧標籤」(SmartTag)資料結構時之瑕疵。 Microsoft已公佈此弱點的安全公告(MS06-027)與修補程式。

6 預防零時差攻擊的建議 在檢視可疑電子郵件中所附的 Word 文件時，可先利用附屬應用程式之WordPad 閱讀，或至微軟公司網站下載“Word Viewer 2003”安裝後再閱讀…

7 問題與挑戰 (一) Q1. 請問有那幾個著名網站被駭？ Q2. 請問Microsoft那個軟體的瑕疵，是造成發生零時差攻擊的因素之一？
Q3. 採用___開啟Word 檔案是預防零時差攻擊的預防方法之一？ Q1答： Facebook, Plurk 巴哈姆特、藍色小舖 Q2 : Microsoft Office Word 2003 Q3: Word Pad

8 網站災難的影響 商務處理流程中斷 資料遺失或外洩 聲譽受損 營收損失 投資者信心動搖 法律問題

9 網站安全威脅來源 漏洞(Vulnerability) -- 資安問題的根源 網路釣魚 -- 越來越高明的網路騙術
讓有心人士 利用這些缺點獲取好處 ( 例如，從遠端入侵系統，建立擁有最高權限的帳號以遂行後續的侵害作為：偷取資料、安裝木馬、執行 DDoS 攻擊指令癱瘓其他機器等 … ) 。 網路釣魚 -- 越來越高明的網路騙術 早期網路釣魚手法是透過電子郵件傳遞一個 URL ， 讓收信者點選後自己連結到一個假的網站 ( 但是看起來像是真的 ) 中，以騙取帳號密碼。 現今的網路釣魚技術己經翻新，駭客會先行入侵銀行網站或是 DNS 伺服器後更改 Portal 首頁裡的內層連結 URI/URL 、 DNS 的 IP 對應紀錄，令瀏覽者即使連結的首頁是正確的，卻無從判別後續導向的網頁是否為真。 P2P/IM-- 資安管理的漏洞 P2P/IM 擁有方便好用的檔案分享，許多惡意程式 ( 如木馬、蠕蟲 … ) 更可以利用這個方便之門進入。 (新聞)寫程式監控MSN工程師被逮 漏洞的存在可以說是資安問題的根源，新的漏洞防禦技術則會去了解漏洞的本質，在監控所有連線的過程中只要發現試圖入侵漏洞的惡意程式，不論未知或是已知都會以予攔阻。當然漏洞防禦技術成功與否的關鍵就在對於各種漏洞了解的程度和更新的速度。 面對越來越高明的釣魚騙術，僅採用黑白名單比對已不足以應付，必須同時運用漏洞入侵保護技術 ( 防止伺服器遭入侵 ) 、內容比對檢查方式 ( 阻斷與釣魚網站的連線 ) 才能有效杜絕。 P2P/IM 擁有方便好用的檔案分享功能，但是對於企業或是政府單位來說，除了發生內部人員藉由這些管道將重要傳遞出去損害資安維護的事件時有耳聞之外，許多惡意程式 ( 如木馬、蠕蟲 … ) 更可以利用這個方便之門進入。校園中， P2P 不但侵蝕了大量的網路頻寬資源，非法下載版權電影與音樂所衍生出來的法律問題也相當程度困擾著多數的管理者。想要控管 P2P/IM ，不能只是透過 IP 和 Port# 的封鎖，而必須深入解析 AP 層的內容，才可以真正做到封鎖 P2P/IM 的使用，或是限制可使用的頻寬。

10 威脅電子商務安全的人 駭客 犯罪者 競爭對手 內部員工 2006年超過6000名駭客群聚美國賭城 參加全球最大的駭客會"Defcon"
資安人員缺乏駭客心理學的訓練： 無法有效掌握攻擊者所處的位置與心態，往往等到系統淪陷了才驚覺大事不妙…… 2006年超過6000名駭客群聚美國賭城 參加全球最大的駭客會"Defcon"

11 駭客對web網頁的攻擊手法 下載檔案時：駭客將hacker.exe更改為hacker.jpg,而到user電腦時, 因為windows 預設值是不顯示副檔名,而恰好user的電腦又是設定為隱藏副檔名 利用SCRIPT標籤 <script language="hacker" src="hack.exe"></script> LANGUAGE內容可以為除javascript,VBScript,JScript以外的字串, 漢字也可,SRC的內容為木馬程式地址,延伸名可以變通為.PIF .BAT .COM .SCR,同樣可以執行. 利用LINK標籤,代碼放在<head>和</head>之間 <link href="hack.exe" rel=stylesheet type=text/css> <iframe src=" width="0" height="0" frameborder="0"></iframe> 網站的首頁不會發生變化，但是，由於嵌入的網頁實際上已經打開了， 所以網頁上的下載木馬和執行木馬的腳本還是會隨著user首頁的打開而執行

12 問題與挑戰 (二) Q4. 來自於網路的安全威脅，除了漏洞(Vulnerability) 及、P2P/IM檔案分享的資安漏洞外，還有那一騙術？ 網路釣魚程式 Or XSS 跨網站攻擊程式 中木馬的樣子...

13 被攻擊的目標與方法 攻擊客戶端(Client)的方法 攻擊企業伺服器(Server)的方法 電腦的實際入侵 電腦病毒與惡意程式的散佈
阻斷服務 (Denial of Service) 竄改 網站程式安全寫作一(Secure Programming for Web Applications) 偽造 網站程式安全寫作(二)─Cross Site Scripting(XSS) 竊聽 網站程式安全寫作(三)─Secure Programming for Web Applications

14 SQL injection 一般網管人員為了達到保護網站安全，會利用架設防火牆，設計非軍事區(DMZ)， 限制網站登入者的身分。但SQL Injection並非透過病毒及暴力攻擊手段， 對現階段任何防火牆或是防駭客系統而言，是無法防範的

15 問題與挑戰 (三) Q5. 來自於網路的安全威脅，被攻擊的目標，除了個人電腦(Client)還有那一個？ 答： 巴哈姆特、藍色小舖

16 認識網站(Server)程式安全問題 (一)危險的參數傳遞方式 (二)檔案上傳功能所衍生的諸多漏洞 (三)SQL Injection
利用FORM裡面的INPUT欄位 (二)檔案上傳功能所衍生的諸多漏洞 例如 (三)SQL Injection SELECT * FROM users WHERE username=’$_POST[username]’ AND password=’$_POST[password]’; SELECT * FROM users WHERE username=’’ OR 1=1–- AND password=’’;

17 認識跨網站攻擊程式XSS 跨網站攻擊程式, Cross Site Scripting(XSS)
駭客於正常網站插入惡意程式碼，故意讓一般使用者在不知情的狀況下，點選該連結，甚至無須點選即自動連線執行，進而竊取使用者資料。 假設某網站程式被人輸入了以下程式碼： <iframe src= "javascript:document.location.href=' 另一種方式：嘗試竊取使用者身份，以便未來冒充使用者，牟取不法利益 <script>document.location.href=’ 根據SANS網站每年所公布的Top Security Vulnerabilities統計[1]，我們可以發現過去幾年所發生的資訊安全事件，許多都是肇因於作業系統（Windows、Linux）本身，或者是網站伺服器（如IIS）程式的安全漏洞，造成駭客有機可乘，進而入侵破壞。 近幾年所發生的資訊安全事件，反而多是網站本身的程式設計缺失所造成。

18 安全寫作建議 (一) 使用加密連線傳輸資料 最低權限（least privilege）政策 資料庫端之安全設計
確認伺服器支援https加密連線，以確保網站未來的營運安全。 最低權限（least privilege）政策 設定網站程式目錄及檔案的擁有者（例如：root、user1）不同於上述網站程式的執行帳號（例如：www、nobody）。 資料庫端之安全設計 嚴格設定database帳號權限。如果沒有修改資料必要，僅允許SELECT權限。 利用Server side之Session功能傳遞參數

19 安全寫作建議 (二) 嚴格檢查所有使用者輸入資料（input validation） 嚴格控管使用者上傳檔案 額外的連線來源檢查
避免任何不合法惡意碼乘隙而入 將所有可能成為SQL指令參數的字串，預先過濾檢查，以求萬無一失 必須過濾SQL meta-characters，包括：’ – ; # 以及其hex code %27 %2D %3B %23 嚴格控管使用者上傳檔案 將所有上傳檔案的副檔名自動加上某一字串(例如 .txt或 .haha)，或轉換為內部編碼名稱 額外的連線來源檢查 透過檢查Referer欄位的方式，確認使用者瀏覽的順序步驟，是依照程式開發人員制訂的流程進行。 避免將敏感資訊直接寫於程式碼 正式上線系統取消「顯示debug訊息」功能 將所有debug、warning、notice訊息，集中存放於系統的記錄區（/var/log），或者是傳送到remote的log server

20 問題與挑戰 (四) Q6.跨網站攻擊程式意指下列何者？ (a) DoS (b) DDoS (c) XSS (d) XXS
答: XSS – Cross Site Scripting 跨網站攻擊程式 DoS – Denial of Service 阻斷服務

21 電子商務安全的基本要求 隱密性（Confidentiality） 認證性（Authenticity） 完整性（Integrity）
不可否認性（Non-repudiation）

22 電子商務的安全性令人擔憂？ 從理論上探討： 實際狀況…… 實體商務的安全性 電腦是儲存資料的工具 網際網路是互聯的（匿名與距離性）
網際網路是數位的 法律的周延性不足 實際狀況……

23 2007 CSI 電腦犯罪與安全調查 資訊安全的重要性 --網路安全排名第一 台灣娘子駭客木馬程式盜帳號

24 網站安全事件回報 台灣電腦網路危機處理暨協調中心 -- http://www.cert.org.tw/
大砲開講 -- 惡意連結爆料區 XSS/安全漏洞爆料區 台灣電腦網路危機處理暨協調中心 -- 電腦網路安全事件回報 Mailing List訂閱 弱點資料庫

25 問題與挑戰 (五) Q7. 電子商務安全中｢確認訊息來源正如其所宣稱的｣，意指下列何者？ (a) 隱密性（Confidentiality）
(b) 認證性（Authenticity） (c) 完整性（Integrity） (d) 不可否認性（Non-repudiation） 答: (b)

26 問題與挑戰 (六) Q8. 台灣電腦網路危機處理暨協調中心的網址為下列何者？ (a) www.cai.org.tw
(b) (c) (d) 以上皆非 答: (b)

27 如何預防網站被駭? 實體安全 程序安全 技術安全 McAFee SiteAdvisor 邊境安全 人員控制 網路安全訓練 存取權力與需要相符
簽入程序 人事控制 技術安全 防火牆 資料加密、認證 資料備份與災難復原 完整的入侵偵測與回應計畫 McAFee SiteAdvisor

28 危害實體安全的攻擊行為 破壞硬體 檢視、變更或移除檔案 移除硬體 安裝惡意的程式碼 如果攻擊者得到系統的存取權，儼然就成為這些系統的擁有者。
在某些情況下，攻擊者發動的攻擊純粹是惡意的破壞行為。對組織而言是攻擊所造成的最大問題可能是系統癱瘓，但是從攻擊者的角度來說，變更或刪除他人認為是安全的資料，才算是嚴重的破壞。 實體存取系統也可以讓攻擊者在系統上安裝軟體，而該軟體可能在沒人發現的情況下，在系統上執行好一段時間，並收集重要的商務資料。對組織來說，這可是一大災難。 移除硬體 安裝惡意的程式碼

29 實體安全：層級保護 門要上鎖且安裝警鈴 雇用保全人員 加強進出程序管理 監視進出過程 減少資料輸入裝置 透過遠端存取工具加強安全性
您可以使用各種不同的技術來保護機器設備的安全性。實體安全性的等級需視可用預算而定。在假設的情況下，維護高標準的實體安全性是很容易的。但是在實際的世界中，受到的危害可能與地點、建築物和所實施的安全檢測項目有關。投影片上的清單列出一些 (並非全部) 有助於保護機器設備安全的方法。 深度防禦會在基礎架構的所有元件套用實體安全性時，加以啟動。如果任何未經授權的人員都可以取得環境的實體存取權，這樣的環境就稱不上是安全的環境。例如，維修工程師可能從 RAID1 陣列中，換掉一個含有客戶資料的受損磁碟，而這個磁碟也許是可以修復的，但是這些資料現在卻到了第三者的手中。 首先，將伺服器與人力操作員、使用者分隔開來。將所有伺服器的機房上鎖。進入伺服器機房的人員應該嚴格控管並留下記錄。使用進出控管機制，包括了出入証件及生物辨識系統。進出機房應該事先安排，並取得資深工作人員的授權。如果沒有專用的機房，應該將伺服器安全地放在機櫃中，至少也要鎖在機架上。大多數的機架都可以用簡單的鑰匙打開，所以不要只用廠商提供的鎖。 所有機房都應該具有消防設備，必須具備用於因應縱火這類威脅的措施。 所有進出過程都應該由警衛或閉路電視系統 (CCTV) 進行監視。從 CCTV 測錄的錄影帶可以做為稽核，而安裝攝影機也可以遏止投機者的入侵。請記住，大多數的安全缺口都是因善意而「擅自更動」的人員所造成，而非專門惡搞的駭客。 除了在伺服器上套用實體安全性存取規則以外，還可以在遠端系統管理主控台上加以運用。如果可以透過內部網路上任何一個端點的終端機服務存取伺服器，那麼鍵盤與螢幕的直接保護措施就不具有任何意義了。這份指導方針適用於 IP 電子式多電腦切換 (KVM) 解決方案及遠端管理硬體設備。 同樣的，不管是否善意，降低個人受到危害及系統遭到侵入的可能性也是很重要的。移除系統中不必要的資料輸入裝置，例如軟碟機和 CD-ROM 光碟機。 最後，確認所有網路硬體確實地受到保護。如果伺服器已安全地放置在上鎖的機房或機櫃中，那麼所附帶的路由器與交換器也必須確實地保護。否則，入侵者可以輕易地接上筆記型電腦或桌上型電腦，透過週邊設備攻擊伺服器。再次強調，必須控制網路設備的管理方式，否則可能會被攻擊者利用，做為攻擊其他基礎架構的工具。 減少資料輸入裝置 透過遠端存取工具加強安全性

30 程序安全：使用者應瞭解的做法 不要瀏覽不明網站，下載不明檔案 絕不回覆要求財務或個人資訊的電子郵件。 絕不提供密碼。
不開啟可疑電子郵件檔案附件。 不回應任何可疑或無用的電子郵件。 不安裝未經授權的應用程式。 在未使用電腦時，藉由密碼保護的螢幕保護程式或 Ctrl-Alt-Del 對話方塊來鎖定電腦。 啟用防火牆 在遠端電腦使用強式密碼。

31 以McAfee SiteAdvisor 查證網頁安全

32 查詢”經濟部國際貿易局…” 2008/7/23 2009/08/18 screensaver download

33 一個網站出現37個不安全下載

34 問題與挑戰 (七) Q8. 使用者應瞭解的安全程序做法，下列何者為非？ 答: (a), (b) (a) 上網下載免費的掃毒軟體
(c) 不回應任何可疑或無用的電子郵件。 (d) 不安裝未經授權的應用程式。 答: (a), (b)

35 如何察覺網站中木馬？ 中了木馬怎麼辦？ 電腦運作速度明顯變慢……
微軟線上掃毒 免費，且適用 Windows Vista 的安全掃描 (Beta 版) Hinet 線上掃毒 計次掃毒除駭、 月繳掃毒除駭 僅支援 IE 瀏覽器，請使用 IE 5.0 或更新的版本 ！ (不支援Windows Vista作業系統及IE7瀏覽器) CERT.TW網路安全檢測系統 ( SAS , Security Auditing System ) ? 其他安全檢測工具…… Acunetix Web Vulnerability Scanner 6 Acunetix WVS Reporter 6

36 資訊安全教學影片欣賞 Explaining Computer Security
Introduction to Information Security

37 免費惡意程式移除工具？ 趨勢科技 System Cleaner：請在這裡下載 (整合套件) 微軟惡意軟體移除工具：請在這裡下載 (整合套件)
卡巴斯基病毒移除工具：請在這裡或這裡下載 (整合套件-常常更新或只針對特定惡意程式) avast 病毒移除工具：請在這裡下載 (整合套件) Avira 病毒移除工具：請在這裡下載 (整合套件) Dr.Web 病毒移除工具：請在這裡下載 (整合套件) Norman 病毒移除工具：請在這裡下載 (整合套件) McAfee 病毒移除工具：請在這裡或這裡下載 (整合套件或只針對特定惡意程式) 賽門鐵克病毒移除工具：請在這裡下載 (只針對特定惡意程式) …… 資料來源：

38 警政署- NPASCAN 網災來襲資安不影響治安-警政署為民眾電腦安全把關開發特效「免費電腦健康檢查程式NPASCAN」
免費電腦健康檢查程式NPASCAN v1.7 附件下載： 下載處1. 下載處2.

39 如何防制DDoS殭屍病毒？ 殭屍病毒會集結大量的電腦，在特定時間內將不正常的網路封包湧入特定的網站，使得一般使用者無法進入。
對付這類攻擊，除了增加伺服器，或是抵擋來自這些病毒的網路位址外，還可與網路服務系統商如Hinet等合作，進行區域聯防，將這些殭屍網路轉至其他地方。 DDoS攻擊的趨勢與防禦策略, TWCERT/CC

40 如何防止中隨身碟病病？ 方法一：關閉隨身碟自動播放功能(AutoPlay、Autorun) 方法二：安裝USB防毒軟體
一般情況下，當我們將光碟片放到光碟機中，或將隨身碟插入到US B插座的時候，通常Windows會很貼心的幫我們自動讀取光碟 中的檔案，並執行自動播放的功能。 方法二：安裝USB防毒軟體

41 導入管理 (Implement Management)
成立工作小組，並訂定災難復原執行計畫 設立待命備份資源 評估風險降低程度 訂定災難復原計畫 訂定標準作業程序 進行災難復原計畫測試-計畫演練(undertake initial tests)

42 資訊安全管理要點的盲點 誰來執行? 專業資安人員? 程度如何? 如何執行? 如何評估有效性? 夠安全? 等到發生問題…… 災難復原!!!

43 災難復原規劃四步驟 政府網際服務網:

44 災難復原 企業永續運作計畫 (Business Continuous Plan, BCP)
研析並降低人為或是意外因素對重要業務運作可能導致的威脅…… 目標是企業可以在經歷災難時或後，還能持續運作 災難復原計畫 (Disaster Recovery Plan, DRP) BCP的一環 著重在災難中復原(Recovery)，進行resources redundant & backup, emergency response, and recovery 期望縮短災難發生對營業中斷的影響時間(加速復原) 政府網際服務網:

45 與資訊安全直接相關的法律 刑法第358條~362條 個人資料保護法 營業秘密法
刑法第三百五十九條：「對竊取、刪除或變更他人電腦資訊，導致公眾或電腦重大損害者，處五年以下有期徒刑及科或併科二十萬元以下罰金。」 個人資料保護法 營業秘密法

46 個人資料保護法 (重點) 財團法人或公益社團法人對於造成多數當事人個人資料遭不法蒐集、處理或利用之事件，得由二十人以上受有損害之當事人授與訴訟實施權後，以自己之名義，提起損害賠償訴訟。 意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正而足生損害於他人者，處五年以下有期徒刑、役或科或併科新臺幣一百萬元以下罰金。

47 營業秘密法 營業秘密 係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件者：
一、非一般涉及該類資訊之人所知者。 二、因其秘密性而具有實際或潛在之經濟價值者。 三、所有人已採取合理之保密措施者。

48 何謂侵害營業秘密? 一、 以不正當方法取得營業秘密者。 二、 知悉或因重大過失而不知其為前款之營業秘密，而取得、使用或洩漏者。
 一、 以不正當方法取得營業秘密者。 二、 知悉或因重大過失而不知其為前款之營業秘密，而取得、使用或洩漏者。 三、 取得營業秘密後，知悉或因重大過失而不知其為第一款之營業秘密，而使用或洩漏者 。 四、 因法律行為取得營業秘密，而以不正當方法使用或洩漏者。 五、 依法令有守營業秘密之義務，而使用或無故洩漏者。 前項所稱之不正當方法，係指竊盜、詐欺、脅迫、賄賂、擅自重製、違反保密義務、引誘他人違反其保密義務或其他類似之方法。

49 侵害營業秘密損害賠償責任 因故意或過失不法侵害他人之營業秘密者，負損害賠償責任。數人共同不法侵害者，連帶負賠償責任。
前項之損害賠償請求權，自請求權人知有行為及賠償義務人時起，二年間不行使而消滅；自行為時起，逾十年者亦同。

50 結語與建議 資訊安全？ 正確作法： 說起來………重要! 做起來………次要!! 忙起來………不要!!!
強化員工資訊安全觀念 (教育訓練、演講) 資訊部備委資訊安全預防方案 最高主管授權貫徹推動執行，並檢視成效

51 建議一：資訊安全預防措施 編寫｢企業資訊安全的規範｣ (資訊部) 定期宣導資訊安全及教育訓練 (含新進員工)
提供員工有效的防毒軟體及並定期更新病毒碼 PC 、NB、USB 防毒軟體 警政署電腦健康檢查程式NPASCAN 建置網站安全檢測程序，定期修補系統漏洞 建立網站程式寫作安全程序 定期檢測企業內部電腦是否有未經授權的軟體 建立異地備份機制及災難復原機制

52 建議二：使用者應注意事項 目的： 做法： 正確使用電腦來降低故障並減少問題發生 了解及遵守企業資訊安全規範 定期更新防毒軟體及病毒碼
不要下載安裝未經授權的軟體 不要開啟來路不明的郵件或附件檔案 發現電腦有問題不要自行處理 若中毒應交由資訊部專業人員處理

53 附件一：資訊安全管理要點 (部份重點) 二十二、各機關利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研擬妥適的安全控管措施。 二十三、各機關開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 二十四、各機關與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與機關內部網路之資料傳輸與資源存取。 二十五、各機關開放外界連線作業之資訊系統，必要時應以代理伺服器等方式提供外界存取資料，避免外界直接進入資訊系統或資料庫存取資料。 行政院所屬各機關資訊安全管理要點

54 資訊安全管理要點 (續) 二十六、各機關利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公布。機關網站存有個人資料及檔案者，應加強安全保護措施，防止個人隱私資料遭不當或不法之竊取使用。 二十七、各機關應訂定電子郵件使用規定，機密性資料及文件，不得以電子郵件或其他電子方式傳送。機密性資料以外之敏感性資料及文件，如有電子傳送之需要，各機關應視需要以適當的加密或電子簽章等安全技術處理。機關業務性質特殊，須利用電子郵件或其他電子方式傳送機密性資料及文件者，得採用權責主管機關認可之加密或電子簽章等安全技術處理。 二十八、各機關採購資訊軟硬體設施，應依國家標準或權責主管機關訂定之政府資訊安全規範，研提資訊安全需求，並列入採購規格。各機關發展及應用加密技術，應採用權責主管機關認可之密碼模組產品。各機關採購外國產製之密碼模組產品，應請廠商提出輸出許可或相關授權文件，確保密碼模組之安全性，並避免採購金鑰代管或金鑰回復功能之產品。 行政院所屬各機關資訊安全管理要點

55 附件二：安全性的十大不變法則 法則 #1：如果壞人可以說服您在電腦上執行他的程式，它就不再是您的電腦了。
法則 #2：如果壞人可以在您電腦上改變作業系統，它就不再是您的電腦了。 法則 #3：如果壞人可以無限制地存取您的電腦，它就不再是您的電腦了。 法則 #4：如果您允許壞人上載程式到您的網站上，它就不再是您的網站了。 法則 #5：弱小的密碼也能造就強大的安全性。 法則 #6：機器安不安全就看系統管理員是否值得信任。 法則 #7：加密資料的安全就等於解密金鑰的安全。 法則 #8：過期的掃毒程式比完全沒有掃毒程式好不到哪裡去。 法則 #9：在現實生活中或在 Web 上，絕對匿名不切實際。 法則 #10：技術不是萬靈丹。

56 附件三：資安宣導參考影片 台灣娘子駭客木馬程式盜帳號 零時差攻擊! 駭客侵27官網
零時差攻擊! 駭客侵27官網 調查指全港只有極少無線網絡是絕對安全_2009_02_23 入侵無線網絡盜用信用卡 看店員如何複製你的信用卡 使用公用電腦, 風險可以是100% 中木馬的樣子...

57 參考資料 陳俊賢，BCP企業永續運作計畫-災難復原計畫，中華電信數據通信分公司
異地備援系統的規劃與建議, 行政院國家資通安全會報技術服務中心 立法院資訊系統異地備援中心簡介 Microsoft TechNet IT 人員常用資源 管理惡意程式碼風險的策略 TechNet 資訊安全中心 DDoS攻擊的趨勢與防禦策略, TWCERT/CC, 網站程式安全寫作(一 ~三), 台大計算機及資訊網路中心技術論壇 資訊安全概論 (英文)Explaining Computer Security