資訊安全宣導講習

大綱 前言 常見的資安問題 認識APT攻擊 網路釣魚 & 社交工程 個人資料保護 電腦病毒與電腦安全防護 宣導 : GCB政府組態基準

前言 不論單位內部採用多強大的防火牆系統、防毒軟 體、或其他資安技術軟硬體設施，仍無法確保單 位內網路使用與電腦使用是百分之百的安全。 國內外許多的研究調查機構均提到，資訊網路安 全中最薄弱的一環，往往是電腦及網路系統的使 用者。 確保使用者具備基礎的資訊安全概念，不但能夠 有效地提升企業資訊安全落實成果，其效果更勝 於高價採購最新技術與設備。

常見的資安問題 利用網路下載未經授權之程式、音樂、影片 網路上的芳鄰資料分享 可攜式儲存媒體（隨身碟）被病毒感染或被植入 後門程式 網路購物（網路釣魚） E- mail 使用的安全性問題

利用網路下載未經授權之程式、音樂、影片 不要用P2P(點對點)續傳軟體。 即時通(IM)程式。 安裝免費軟體？小心感染木馬程式使密碼遭竊。 點選搜尋引擎所提供的連結，注意網址是否正確。 盡量勿用「不具有惡意連結提醒」之搜尋引擎。 網站停看聽：色情網站、中國網站、駭客網站。 定期清理網頁暫存檔。

網路上的芳鄰資料分享 網路上的芳鄰很方便，但是不安全。 不要隨意設定設定，要留意設定的權限！ 唯讀？或是全部開放？ 善用單位網路所提供的共用儲存空間。 發現電腦有異狀，請儘速報修。  

可攜式儲存媒體被病毒感染或被植入後門程式 隨身碟正確使用方法 : ※. 開啟隱藏檔選項 (顯示所有檔案) ※. 關閉自動執行(AutoRun)的功能 開啟隨身碟時，先把彈跳的視窗關閉。 不急著開啟，建議養成先掃毒的好習慣。

網路購物（網路釣魚） 帳號、密碼定期更新並不隨意供人使用。 留意網站公告與新聞，並確認該網站是正確的。 線上交易前，確認電腦環境是乾淨無毒的狀態。 網路釣魚指利用電子郵件的管道發送仿效知名網站的 電子郵件，引誘無知的使用者進入偽裝的知名網站， 藉此騙取使用者帳號、密碼或姓名、地址、電話及信 用卡資料，然後再利用這些資料獲取不當利益。 利用「關鍵字廣告」網路搜尋以連結惡意網頁。

E- mail 使用的安全性問題 勿開啟及預覽任何人所寄來之匿名、垃圾郵件。 以下的副檔名不要任意開啟： (.vbs .bat .lnk .pif .shs .scr .exe .com .eml) 開啟任何郵件之附件檔前，須記得「另存新檔」掃毒 後再開啟。 可疑郵件的特徵：突然收到一大串有固定標題的郵件、 寄件者，收件者等欄位都是空白、來路不明的郵件、 標題或本文中有奇怪的訊息、預覽或開啟郵件時，問 你要不要開啟附檔。 個人電腦可能感染病毒廣發e-mail 。

認識APT攻擊 進階持續性滲透攻擊 Advanced Persistent Threat

什麼是 APT？ 簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。 認識 APT : 以往駭客發動的APT攻擊雖然以政府為主，但從2010 年開始企業成為駭客鎖定竊取情資的受駭者越來越多， 2011年幾個世界性的組織在目標攻擊下淪陷，付出 了昂貴的成本。RSA和Sony是 2011年最大的兩個 APT攻擊 (Advanced Persistent Threat)的目標。幾 個世界性的組織在目標攻擊下淪陷，付出了昂貴的成 本。他們失去了數百萬客戶的資料，光是完成修復就 花費了鉅資。

APT 攻擊特色: 【鎖定特定目標】 【假冒信件】 【低調且緩慢】 【客製化惡意元件】 【安裝遠端控制工具】 【傳送情資】 針對目標計劃性、組織性的進行竊取情資, 可能持續幾週，幾個月，甚至更長的時間。 【假冒信件】 鎖定對象寄送幾可亂真的社交工程郵件，如冒充長官的來信,取得植入惡意程式的機會。 【低調且緩慢】 為了長期潛伏,惡意程式入侵後具有自我隱藏能力避免被偵測, 伺機竊取帳號、密碼。 【客製化惡意元件】 攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。 【安裝遠端控制工具】 建立類似殭屍/傀儡網路的遠端控制架構,定期傳送有潛在價值文件副本給控制伺服器。 【傳送情資】 將過濾後的敏感機密資料，利用加密方式外傳。

APT的要素 從基本面來看，有三項特點可判定為APT攻擊 : ※.出於經濟利益或競爭優勢 ※.一個長期持續的攻擊 ※.針對一個特定的公司，組織或平台 企業和政府是APT的目標原因很明顯。企業擁有高度價值 的金融資產和知識產權。而從有政府組織以來，政府組織 就是會面臨外來的攻擊。因此，APT的概念在許多方面都 沒有什麼新意。唯一新的是執行這種威脅的方法，已經進 入網路和應用程式的領域了。

APT攻擊案例(一) : Google (2010) 在一起名為「極光行動」的事件中， Google 遭受 APT 攻擊。 當時一位 Google 員工點了即時通訊訊息中的一個連結， 接著就連上了一個惡意網站，不知不覺下載了惡意程式， 開啟了接下來的一連串APT 事件。 在此事件中，攻擊者成功滲透 Google 伺服器，竊取部分 智慧財產以及重要人士帳戶資料。

APT攻擊案例(二) : 西門子 (2010) Stuxnet 是世界上第一隻攻 擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒， 主要攻擊目標為發電廠或煉 油廠等等的自動化生產與控 制系統（ SCADA ）。 Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈，其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

APT攻擊案例(三) : Sony (2011) Sony PSN 資料庫遭侵入，部分用戶資料未經加密遭竊，另 有信用卡資料、購買歷程明細、帳單地址等等。 官方說法為商未修補的已知系統漏洞遭攻擊。到了 10 月又 遭攻擊者冒名登入，並取得 9 萬多筆用戶資料。 遭竊的信用卡資料在地下網站上拍賣。

APT攻擊實例樣本

加密的惡意附件

防毒軟體無法偵測

還原加密字串

惡意程式連結到 Blog

如何避免APT 進階性持續威脅攻擊? 對一般民眾的建議： · 養成良好的電腦使用習慣，避免開啟來路不明的郵件附件檔 · 安裝具有信譽的資訊安全軟體，並定期進行系統更新與掃毒 對企業與組織的建議： · 建立早期預警系統,監控可疑連線及電腦 · 佈建多層次的資安防禦機制,以達到縱深防禦效果 · 對企業內部敏感資料建立監控與存取政策 · 企業內部應定期執行社交工程攻擊演練

網路釣魚 & 社交工程

社交工程 社交工程就是一種利用人性弱點的詐騙技術，藉 由與人之間的互動而形成的犯罪行為。它避開了 嚴密的資通安全技術防護，是非常難以防範的攻 擊模式。

郵件社交工程類型 假冒寄件者 使用與業務相關或令人感興趣的郵件內容 含有惡意程式的附件或連結 利用應用程式之弱點(包括零時差攻擊)

釣魚郵件攻擊模式

冒牌網站範例

可疑電子郵件之自我保護措施 關閉預覽窗格。 非必要閱讀之郵件逕行刪除。 設定為純文字讀取模式再開啟郵件閱讀。 開啟郵件內含之超連結時先確認連線網址之網域 名稱(DomainName)是否足以識別？ 若為數字IP之網址勿輕易開啟。不隨意輸入資料 送出，傳送私密資料時確認是否有啟動加密機制。 分辨電子郵件的真偽。

使用者在收取電子郵件時應有的習慣 檢查寄件者的真偽。 確認信件內容的真實度。 不輕易開啟郵件中的超連結以及附件。 開啟超連結或檔案前，確認對應軟體都保持在最 新的修補狀態。 提高警覺，加強危機意識。

網路釣魚 - Facebook

網路釣魚 - Yahoo

提高警覺 - 別上鉤了...

個人資料保護

個人資料的重要性 種種的個人資料集合起來，例如姓名加上電話，或是 地址加上家庭狀況，就可以知道某個人的大概狀況， 甚至可以直接聯絡上某個特定的人 這些資料落到有心人士的手上，被他們用來進行騷擾 和詐騙，對我們的生活和安全都可能造成很大的威脅。 使用網路時，常會遇到信箱服務、網路購物、會員資 格申請、網路抽獎等等需要填寫詳細個人資料的機會， 這個時候就要特別謹慎小心；或是電腦內及個人信箱 中常有一些私密的資料或是照片，我們也必須小心這 些資料被盜取或被窺視。

如何做? 電腦基本設定保護個資 設定開機密碼 清除公共電腦資訊 電腦送修時資料刪除 網路互動確保個人資料勿外洩 隱私權聲明 避免在網路上透露個人資料

設定電腦開機密碼 設定密碼。 使用「大小寫英文字母+數字+特殊符號」組合而 成的密碼，且至少八個字元以上。 定期更換密碼。 不要把密碼貼在桌上或螢幕上。

個資保護七大妙招 電腦開機設密碼 每三個月要更新 英文數字混符號 密碼強度才足夠 公用電腦請小心 帳號密碼不留存 電腦送修先備份 原始資料清乾淨 填寫個資請留意 隱私條款詳細讀 個資換獎危險多 小心辨識不貪心 網路互動高警覺 個人資料勿亂留

電腦病毒與電腦安全防護

電腦病毒 最早出現的「電腦病毒」是某位軟體作者為了保 護自己撰寫的程式而設計，這隻病毒的使用會在 有人盜拷磁片時發作，作為給盜版者的一點小小 懲罰。接著就不斷地有人撰寫各種不同類型的 「電腦病毒」，而「電腦病毒」也不斷出現各種 不同的類型及破壞方式。 「電腦病毒」會對特定的目標，造成不同層度的 損害，輕則刪除特定檔案、癱瘓網 路，嚴重時還 可能會對整個硬碟進行格式化（Format）的動作， 導致所有的資料全數損毀，其造成的損害實在是 不可忽視。

電腦病毒傳染途徑 早期電腦的硬體週邊還不像現在這 麼發達，網路的環境也尚未成型， 人與人之間只能透過進行小容量的 檔案交換，例如1.2 MB或1.44 MB 的軟式磁碟片，後來硬體技術不斷 發展，各種大容量的磁碟裝置不斷 推出，再加上網際網路跟USB隨身 碟也逐漸普及，因此這些都成為病 毒進行傳播及感染其他電腦的途徑 而只要我們使用上述的各種磁碟或 網路，我們的電腦就可能受到病毒 的感染。

如何防毒防駭？ 面對著危機四伏的環境，你是否也對無孔不入的 病毒、駭客感到寢食難安呢？其實只要有正確的 觀念，防毒、防駭也不是一件困難的事情，接著 我們就來看看該如何建立應有的觀念，保障電腦 系統的安全吧！ 無論是電腦病毒或是駭客，都要透過資料的交換， 或者電腦與電腦的連接，才能夠侵入電腦或對電 腦造成破壞，其實只要把握以下的幾個原則，我 們也可以向病毒及駭客說「不」喔！

安裝防毒軟體 可偵測惡意程式，避免被一些心懷不軌的人設計 用來干擾電腦使用的惡意工具。 經常當機、平常可以運作的系統和文件突然無法 開啟、存檔時系統會一直提醒你空間不夠，以及 系統運行速度莫名變慢，就有可能是電腦受到病 毒攻擊的結果。 定期掃毒，移除高危險的檔案並且定期更新病毒 碼。 謹慎使用隨身碟且定期掃瞄。

安裝防火牆 「防火牆」就像是我們家中的門窗可以為我們阻 擋陌生人和壞人的入侵，因為在網路上，駭客會 利用病毒或是惡意程式試圖闖進沒有受到保護的 電腦中，如果加裝防火牆，就能阻隔大部分的惡 意入侵

防範病毒的5大原則 不要用盜版軟體 小心使用隨身碟 安裝一套防毒軟體並隨時進行更新 不隨意開啟電子郵件的夾帶檔案 經常進行病毒及木馬程式的掃瞄

其它注意事項 拒點不明連結或檔案 定期更新系統程式

GCB政府組態基準

前言 政府組態基準(GCB)目的在於規範資通訊終端設 備（如：個人電腦）的一致性安全設定（如：密 碼長度、更新期限等），以降低成為駭客入侵管 道，進而引發資安事件之疑慮。 Intel IT中心於2012年，針對美國與英國各200個 政府機關與企業，調查最關心的個人電腦安全議 題，端點設備安全位居第3名（前2名分別為雲端 運算與行動裝置）。

防護案例 情境： 使用者不小心將含有惡意程式的隨身碟插入公務電腦中。 防護： ※. 由於組態設定禁止可攜式媒體的自動播放功能，因此 可降低電腦遭受惡意程式感染的機率。 ※. 組態設定強制Windows之安全性更新保持在最新的狀 態，因此可大幅減少惡意程式所能利用的漏洞。 ※. 萬一不幸網域內其他電腦遭受惡意程式感染，組態設 定禁止電腦回應廣播的封包，可避免惡意程式的感染 範圍擴大。

GCB相關政策說明 102年5月30日行政院國家資通安全會報第24次委 員會會議，報告案二、政府組態基準設定推動情形， 決議事各機關儘早導入政府組態基準(GCB)設定。 請各部會務必完成Windows7或IE8環境導入政府 組態基準(GCB)設定及現行系統取得ActiveX簽章等 作業；對於新建置之客製化軟體，則應將ActiveX 安全性檢測（至少含弱點掃描、源碼檢測及滲透測 試等必要項目）納為專案需求。

控管內容簡介 密碼長度與複雜度要求 密碼使用期限與更改期限 電源管理原則 網路存取限制 本機權限控管 ...... 共計115個項次 註. 原則上所內已全數套用，12月上旬前將全面佈署

報告完畢 Q & A