中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06 Contact Info.: wkb@wkb.idv.tw
Outline 網路攻擊手法 網管人員資安防護 校園基本資安概念 自我安全防護 本投影片中圖片部分取自網路 本章將介紹無線區域網路環境下網路行動化(Network Mobility)的架構與相關技術 及應用,其中包括行動IP(Mobile IP)通訊協定和無線應用協定(Wireless Application Protocol, WAP)。這兩種通訊協定提供無線漫遊的網路環境以及可在 應用層次支援無線網路行動化。 本投影片中圖片部分取自網路
殭屍病毒猖獗 側錄按鍵竊個資 中央社-2011年11月16日 趨勢科技提醒網路使用者,駭客持續用 「SpyEye殭屍網路」發動攻擊,一旦被植入 程式,使用者造訪特定網站時敲擊的鍵盤會 被側錄、竊取個資,目前97%受害者在美國, 用戶需小心。 http://tw.news.yahoo.com/殭屍病毒猖獗-側錄按鍵竊個資-041118718.html
駭客大會示範破解地鐵卡 MIT學生被告 2008/08/12 這三名學生原本計畫本月10日,在今年的拉斯維 加斯駭客大會上,示範如何從波士頓地鐵收費 系統上的設計漏洞,入侵竄改票卡的收費紀錄, 以達到免費搭乘地鐵的駭客任務。 http://www.epochtimes.com/b5/8/8/12/n2225609.htm
中共網軍 中國軍方吸收民間頂尖駭客 視其專長編組,依任務別使 用「間諜程式」、「蠕蟲程 式」、「木馬程式」、「釣 魚程式」與「電腦病毒」等, 透過網路入侵各國。受害者 包含德國、美國、英國等政 府官方網站,但中國官方對 外一概否認到底。 http://n.yam.com/tlt/china/200812/20081209393328.html
民進黨官網遭駭! 五星旗變首頁 民進黨中央黨部的網 站,驚傳遭到中國駭 客入侵!2008-12-23日 上午7點多,民進黨 官網首頁竟然出現中 國五星旗圖樣 http://www.itis.tw/node/2419
攻擊的類型(Types of Attacks) 監聽(Eavesdropping) 掃描(Scanning) 社交工程(Social Engineering) 密碼破解(Password Cracking) 漏洞(Vulnerability) 惡意軟體(malicious code, malware) 病毒(Virus) 阻斷服務(Denial of Service) IP欺騙(IP Spoofing) 會議劫持(Hijacking) http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4
攻擊的類型(Types of Attacks) http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4
惡意軟體(malicious code, malware) 病毒(Virus) 電腦病毒的特徵是根據生物 界的病毒而來 通常具備潛伏、繁殖、觸發、 執行等特性,而當病毒進入 執行階段,往往也就開始竊 取或破壞使用者資料,甚至 損毀系統而造成無法開機 郵件炸彈(Email bombs) https://www.owasp.org/index.php/Network_Eavesdropping
惡意軟體(malicious code, malware) 蠕蟲(Worm) 蠕蟲的行為和病毒非常類似( 會複製),但是病毒會感染並 依附著「宿主」程式,而蠕 蟲不需要宿主,是個可以獨 立執行的程式 蠕蟲病毒會利用一些媒介大 量的自我複製。例如郵件通 訊錄 https://www.owasp.org/index.php/Network_Eavesdropping
惡意軟體(malicious code, malware) 間諜軟體(spyware) 在未經使用者同意的情況之 下,藉由網路對使用者進行 廣告,或者會收集使用者的 電腦操作行為或個人資訊, 甚至進而修改電腦設定的程 式。 Cookie https://www.owasp.org/index.php/Network_Eavesdropping
惡意軟體(malicious code, malware) 特洛伊木馬程式(Trojan Horses) 有特別的目的 不會感染其他程式,也不會自我 複製 邏輯炸彈(Logic bombs) 義大利臘腸式詭計(Salami Methods) 後門程式(Backdoor) 資料竄改(Data diddling) https://www.owasp.org/index.php/Network_Eavesdropping
郵件攻擊 退信攻擊 假冒寄件者假冒寄件者 規避過濾技術 惡意程式附件檔 偽裝知名網域的連結 假冒的社群網站邀請信 假冒銀行通知 在關鍵字詞中插入字體小且暗藏的隨機文字 惡意程式附件檔 HTML附加檔 Word、Excel、PDF附件檔惡意超連結 偽裝知名網域的連結 透過轉址服務網站間接轉址 透過知名網站的CrossSiteScript漏洞夾帶網址
掃描(Scanning) Port Scan OS Fingerprint Version Detection https://www.owasp.org/index.php/Network_Eavesdropping
監聽(Eavesdropping) 鍵盤記錄攻擊 (Keylogger attack) https://www.owasp.org/index.php/Network_Eavesdropping
監聽(Eavesdropping) 封包監聽(Sniffer) https://www.owasp.org/index.php/Network_Eavesdropping
●●或**都會變成明碼了!!
鍵盤駭客入侵網路銀行安全堪虞 陳姓駭客專門在網路 上販賣虛擬銀行、ATM 的讀卡機,然後在驅 動程式中加入自己設 計的鍵盤側錄程式, 只要民眾在網路上使 用晶片卡,條碼就會 被完全側錄。 http://www.cib.gov.tw/news/news01_2.aspx?no=790
社交工程(Social Engineering) 非技術手段,利用人 性弱點 騙術,假冒身分,假 冒情境 比多數侵入式的惡意 軟體攻擊更可怕的是, 社交工程陷阱攻擊更 加難以防禦 http://blog.trendmicro.com.tw/?p=958&securityterm/社交工程的運作原理好奇心是最大的安全漏洞
因應PDF攻擊的手法,原本對於呼叫不會 有警告的Foxit Reader,和Adobe Reader在自動 執行其他程式時,都會跳出警告框。不過正 如前面說到,這也能透過社交工程去動手腳, 欺騙使用者。目前看來,唯一能夠阻止這種 手法的防範 之道,只有透過偏好設定裡的 信任管理程式,把允許使用外部應用程式開 啟非PDF檔案附件的選項關掉。
可疑檔案上傳分析 利用各家防毒軟毒軟體的掃描引擎,同時對單一 一個檔案,作是否為病毒、木馬檔案的分析可協 助檢測確認檔案本身是否異常。 VirusTotal:免費線上病毒和惡意軟體掃瞄 http://www.virustotal.com/zh-tw/ VirSCAN.org:線上防毒引擎掃描網站 v1.00 目前 支援 36 款防毒引擎 http://www.virscan.org/ Online malware scan http://virusscan.jotti.org/
密碼破解(Password Cracking) http://www.wkb.idv.tw/plog/post/1/182 以暴力攻擊(brute force attack,如ssh attack)法設計的密碼 破解器Ophcrack能在160秒內破解『Fgpyyih804423』這個 密碼 攻擊者可以用Rainbow Hash Tables來攻擊密碼透過龐大 的、針對各種可能的字母組合,預先計算好其雜湊值 http://www.itis.tw/node/1023
漏洞(Vulnerability) 緩衝區溢位攻擊 (buffer overflow) 零時差攻擊(Zero day attack) Web安全威脅(Web Threats) 定期修補漏洞 https://www.owasp.org/index.php/Network_Eavesdropping
零時差攻擊(Zero day attack) 根據賽門鐵克第14期網路安全威脅研究在 2008年分析的所有瀏覽器中,Safari平均要在 漏洞出現9天後才會完成修補,需時最久; Mozilla Firefox平均短於1天,需時最短。 http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?Cn lID=10&id=0000142208_RD711B5S1W6I3579387U 8#ixzz1uDiSK4IM
Web安全威脅(Web Threats) 跨站腳本攻擊(Cross-Site Scripting, XSS) 網路釣魚(Phishing) SQL注入式攻擊(SQL Injection) Cracker為何喜歡攻擊Web AP (廣告商) 防火牆與入侵偵測系統無法阻擋 Web程式設計師忙於功能與效能,缺乏資安素養 只要入侵一個知名網站,等於成功入侵數十萬台 PC
網站掛馬測試 http://www.urlvoid.com/ URLVoid為一個惡意掛馬檢查的網站,只要使 用者輸入可能被植入木馬網站的網址,即可檢 測出是否該網站是否被被植入木馬。 它可以幫我們將你輸入的網址丟到Google Diagnostic、McAfee SiteAdvisor、MyWOT、Norton SafeWeb、TrendMicro Web Reputation...等等20種網 頁檢測、掃毒服務 http://www.urlvoid.com/
APT網路攻擊 網管人員最大的挑戰就是 APT (Advanced Persistent Threat) : APT — Advanced Persistent Threat ,一般稱為進階持續性威脅, 是針對特定組織進行複雜且多方位的攻擊。 APT 不似從前的一 般惡意程式攻擊:缺乏嚴格掌控;不限定目標地亂槍打鳥。 APT 會花費較長的時間規劃、執行:偵查、蒐集資料;發掘目標的 安全漏洞或弱點。 特性 鎖定特定目標:針對特定政府或企業,長期間進行有計劃性、 組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長 的時間。
APT網路攻擊(cont.) 假冒信件:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件, 如冒充長官的來信,取得在電腦植入惡意程式的第一個機會 低調且緩慢:為了進行長期潛伏,惡意程式入侵後,具有自我隱 藏能力避免被偵測,伺機竊取管理者帳號、密碼。 客製化惡意元件:攻擊者除了使用現成的惡意程式外亦使用客 制化的惡意元件。 安裝遠端控制工具:攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本 給命令和控制伺服器(C&C Server)審查。 傳送情資:將過濾後的敏感機密資料,利用加密方式外傳
APT攻擊案例-1 2010 年 1 月 — Google: 在一起名為「極光行動」的事件中, Google 遭受 APT 攻 擊。當時一位 Google 員工點了即時通訊訊息中的一個連結, 接著就連上了一個惡意網站,不知不覺下載了惡意程式, 開啟了接下來的一連串 APT 事件。 在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財 產以及重要人士帳戶資料。 以線上更新軟體之名義!! http://tw.trendmicro.com/
APT攻擊案例-2 •RSA SecurID竊取攻擊簡介: -2011年3月,EMC公司下屬的RSA公司遭受入侵,部SecurID技術及客 戶資料被竊取。其後果導致很多使用SecurID作為認證憑據建立VPN網 絡的公司受到攻擊,重要資料被竊取。 http://security.chinaitlab.com/hack/863937.html
RSA發現開發用服務器(Staging server)遭入侵,攻擊方立即撤離,加密並壓縮所有資料並以FTP傳送至遠程主機,隨後清除入侵痕跡; •攻擊過程回放: 攻擊者給RSA的母公司EMC的4名員工發送了兩組惡意郵件,附件名為“2011 Recruitment plan.xls”; 其中一位員工將其從垃圾郵件中取出來閱讀,被當時最新的Adobe Flash的0day漏洞(CVE-2011-0609)命中; 該員工電腦被植入木馬,開始從BotNet的C&C服務器下載指令執行任務; 首批受害的使用者並非“位高權重”人物,緊接著相關聯的人士包括IT與非IT等服務器管理員相繼被黑; RSA發現開發用服務器(Staging server)遭入侵,攻擊方立即撤離,加密並壓縮所有資料並以FTP傳送至遠程主機,隨後清除入侵痕跡; 在拿到SecurID信息後,攻擊者開始對使用SecurID的公司展開進一步攻擊。
好用免費工具列表 1.檔案完整性檢查:WindMD5 , Tripwire 2. Process監控:ProcessExplorer , Process Monitor , KillBox 3. Registry監控:RegMon 4. 開機監控:Autoruns , Autostart Viewer 5. File監控:Filemon , FileDate Changer 5. File 監控:Filemon , FileDate Changer 6. Port監控:TCPView , TDIMon , Fport
7. Network監控: Wireshark(以前稱Ethereal), myNetMon , MRTG , NetTools 8.Rootkit偵測:Icesword, RootkitRevealer, Gmer 9. Windows Live CD:Kaspersky Rescue CD, WinPE , BartPE 10.多合一檢測工具:Hijackthis , SREng , AVZ , GetSystemInfo
網路技術攻擊如何防護?! 定期更新軟體、密碼 安裝防毒、個人防火牆軟體 正確瀏覽網站,不任意下載來路不明 的軟體 確認來信者是您的真朋友!! 這些資安事件約佔20~30%
非技術攻擊及漏洞才是令人擔心!! 高達70%~
房仲洩個資5千求職者受害 投訴組/台北報導 信義房屋總公司驚傳將今年1月至今的5000比求職者履歷資料,夾 帶在電子郵件中寄出,已寄出200多封,求職者的姓名、性別、出生年月日、連絡 電話一覽無遺,有外洩求職者個資之嫌。對此,信義房屋總公司坦承,承辦人員誤 將求職者資料夾帶在電子 郵件中寄出,已立即停止寄發,並予懲處。律師表示, 民眾可依<個人資料保護法>請求損害賠償。 已寄200多封電郵 王先生說,他7月初到信義房屋應徵工作 ,8月8號收到信義房屋寄出的未錄取通 知電子郵件,開啟電子郵件夾帶的檔案,內容竟是近5000比求職者的個人資料,其 中也包含他的資料,讓他相當震驚,隨即向信義房屋反映,雖然信義房屋有道歉, 他仍無法接受,抱怨「萬一資料外流遭人盜用怎麼辦?」 信義房屋總公司發言人周莊雲坦承疏失,表示是承辦人員疏失,誤將今年1月起求 職者的資料夾帶在電子 郵件中寄出,已寄出200多封,內部第一時間發現後,立即 停止發送,並緊急聯絡收到夾檔的求職者,請他們刪掉相關檔案,也會懲處失職人 員。 可請求損害賠償 宇國聯合律師事務所律師張智剛表示,依《個人資料保護法》規定,建造資料的單 位若有故意或過失而外洩個資,當事人可請求損害賠償,即使無法證明實際損失, 也可請求2萬元以上、10萬元以下賠償。
軍機外洩凸顯資安管理疏失 日前爆發的漢光演習軍機外洩事件,意外凸顯了常被忽略 在資安防護機制外的資訊安全管理問題。 根據媒體報導,一名國防大學教官違反資安管制規定,將 漢光演習機密資料藉由隨身碟帶回家「辦公」,雖無洩露 目的,但卻因家中電腦遭植入木馬,造成機密資料外洩, 引起高度重視。 雖然國防部立刻出面澄清外洩資料危害不大,但隨身碟卻 是企業員工常見設備,將公司資料帶回家加班,都早已司 空見慣,資安專家便警告,同樣的機密外洩風險也極可能 在企業部發生。
南韓個資外洩 3500萬人受害 當局指源頭來自中國 【明報專訊】韓國(南韓)昨 日遭遇歷來最大規模網上襲擊, 該國第3大搜尋引擎及最大社交網站懷疑受中國黑客入侵,導致 多達3500萬名用戶的個人資料外泄,佔總人口約七成,衝擊前所 未見。韓國傳媒形容其嚴重程度如同「除了不會使用網絡的嬰 幼兒和老人家,全國人民的個人情報外泄」。韓國通訊監管機 構指襲擊源頭來自中國,中方暫未有回 應。 韓國通訊監管機關廣播通訊委員會昨發表聲明稱﹕「目前掌握 的證據顯示,源自中國的IP非法進入SK Comms系統,3500萬客戶 資料,包括姓名、登入名稱、電郵、電話號碼、住民登錄號碼 (即身分證)和秘密號碼泄漏。」
南韓個資外洩(cont.) 上網須用身分證登記會籍 SK Comms證實發生客戶資料外泄事件,總裁朱亨喆就事件道歉,承 諾協助警方調查及改善保安。該公司負責網絡監察的課長昨晨發現, 黑客周二通過惡意程式施 襲,導致客戶資料外泄。雖然仍在調查黑客 入侵規模,但該公司估計,其經營的搜尋引擎Nate和博客社交網站 Cyworld,合共有3500萬個會員的個人 資料外泄。Nate與Cyworld分別有 3300萬和2500萬會員。兩個網站的服務,跟流動電話服務商SK電訊有 緊密關係。 韓國政府為 網絡保安考慮,規定民眾上網做會員時必須以住民登錄 號碼登記,所以原則上一個人只能做一個網站的會員。按此計算,這 次事件受影響人數佔韓國5051萬人口 的69%,約每三個人就有兩人出 事。而據韓國互聯網振興院數據,去年全韓國滿3歲的上網人口,達 3701萬人。當局擔心會歹徒利用竊取資料進行挪用銀行帳 戶資金及詐 騙等活動,造成第二波乃至第三波的損失。首爾市民金東根道﹕「我 的資料全遭外泄,頗為徬徨。」
網購業者個資外洩 ○ ○ home網購個資外洩? 女網友:我被詐騙集團性騷擾! 2009年10月22日10:01 記者蘇湘雲/台北報導網路購物讓資料外洩? ○○home線上購物被多名網友投訴,刷卡消費後卻接到詐騙集團電話威脅 核對銀行資料,甚至有大陸口音男子性騷擾詢問「三圍多少?晚上會不會 寂寞?」網友懷疑購物網站外洩了消費者交易資料,笑說「上○○home購 物就會免費附送詐騙電話一通。」Mobile 01網路論壇從18日至20日,出現 140篇網友討論○ ○ home線上購物個資外洩問題。多數網友表示,接到開 頭號碼為+02270的電話,有大陸人口音要求核對銀行帳戶資料,還語帶威 脅說,如果不核對就會連續收到12期的信用卡帳單記錄。另外,也有網友 workcool說,接到台灣女子口音電話,把她的○○home購物帳單說的一清 二楚,甚至問「三圍多少?住哪裡?有沒有男朋友?晚上會不會寂寞?」 讓人聽得火大。消費者馬小姐說,她在網購買隨身酒壺卻接到大陸女子口 音的詐騙集團電話,懷疑是駭客盜取交易個資,致電○○home客服中心, 客服人員向她坦承「最近確實接到很多諸如此類的反應電話」,不過,客 服卻說,網路有加密管理,不會發生外洩問題,反而要她自己上網更改資 料並把訂單取出,留言給客服報警處理。
個資文件保管失當?! 蘋果日報2010年06月20日姓名電話帳號全都露 【突發、財經中心╱台北報導】銀行竟將民眾重要個資丟棄在路 邊,真是太離譜!北縣八里鄉西濱快速道路一處路段,前天被 人發現上千張前○ ○信託局開戶申請的文件散落一地,部分還 掉落下方涵洞,單據上除了姓名、電話,還有身分證號及銀行 帳戶等重要個資,《蘋果》依文件資料的電話號碼聯繫到數名 開戶人,一名開戶者驚呼:「若被壞人拿去,後果不堪設想!」
個資文件再利用?! 丟棄文件管控失誤○ ○醫院錯將病歷當便條紙2011-08-05 為了避免資源浪費及撙節成本,許多企業都設有廢紙回收箱,回收只有單面列印的 A4紙張,做為列印紙或便條紙來用,這種做法雖然符合環保精神,但若管控不當, 很可能造成資料外洩。日前, ○ ○醫院被民眾檢舉,服務台提供的便條紙背面竟 然是另一名病患的就診資料,包括姓名、性別、年齡、體重、生日、看診日、及相 關診斷與檢查結果,雖然○ ○醫院事後清查,只有一張病歷資料外流,但對醫院 形象已經造成嚴重影響。 先就事發原因來看,根據○ ○醫院行政副院長陳○賢的說法,這張洩露病患隱 私的便條紙,很可能是批價單。按照醫院看診流程,電腦列印出批價單之後,正本 交給就診民眾、副本則貼在紙本病歷上保存,不過有時因為電腦問題,可能會多印 或重印,這些多出來的表單就會被當成廢棄文件。 至於廢棄文件的處理也有一定程序。○ ○醫院將廢棄文件分為機密與一般兩種 類別,總務處負責收取各單位廢棄的機密文件,再委託業者銷毀,至於一般文件則 做為影印回收紙或便條紙來使用。這次的意外應該是經手人員分錯類別,沒有經院 內正常程序銷毀,反而流到志工手中當成重複使用的便條。
個資外洩案例 ○新銀2萬筆個資外洩受害人每月接詐騙電話警:不知轉賣幾次 2011年12月24日 警方偵破詐騙集團,從查扣電腦中赫然發現多年前外洩的○新銀行客戶個資,達2萬筆。 翻攝畫面【都會、財經中心╱報導】警方月前破獲詐騙集團,查扣電腦中發現約2萬筆○ 新銀行現金卡個資,數量多到需以身分證英文字母排序!《蘋果》從個資中隨機訪尋, 當事人痛批:「他們(銀行)沒有善盡保護(個資)責任,每個月都接詐騙電話,實在 可惡!」連新北市議員鄭金隆也因辦信用卡而受害。最令警方憂心的是,「歹徒得到資 料後,會不斷轉賣,根本無從得知資料轉賣了多少次?」 警方1個多月前破獲詐騙集團,查扣電腦中赫然發現,有大量○新銀行客戶個資,數量 多達2萬筆,檔案夾以A、B、C、D……等區分,並以身分證字號排序,滑鼠點入就可看 到客戶填寫的現金卡申請書,填寫時間約在2003至2005年間。一名警官透露:「A資料夾 檔案,就是身分證A開頭,也就是台北市,B就是台中市,每個資料夾都有上千筆內容, 歹徒就像從銀行電腦裡直接把資料copy出來,實在離譜。」 戶籍存摺全都有 《蘋果》檢視,外洩個資被轉存影像檔,方便不法集團轉賣牟利,資料詳載客戶姓名、 卡號、身分證、電話及地址,甚至還有健保卡、戶籍、存摺。外流資料包括Story晶片現 金卡轉換申請書,還有軍人辦貸款時,提供的軍人身分證或薪資單,也有○新員工訪查 貸款者記錄。
個資外洩案例 個資外洩客遭騙十萬北市: ○坤要負責 中廣新聞網– 2012年1月5日下午3:51 網路詐騙案件不斷增加,台北市法規會提醒,最近有兩種詐 騙手法,民眾要小心注意,包括有詐騙集團,以網路購物刷卡 誤設為分期付款方式,要民眾解除ATM分期付款設定為由,進行 詐財;另外還有MSN即時通訊,假冒好友身份詐騙購買遊戲點數, 北市消保官最近也接獲六位民眾申訴,表示他們在○坤消費, 卻接到相關詐騙電話,甚至還有人因此被騙十多萬元,提醒曾 於燦坤網站刷卡消費的民眾,要小心留意。(林麗玉報導)
資料儲存與銷毀 二手硬碟藏個資! 落實銷毀程序以免外洩資料 03/05/2012 買來的二手硬碟,竟然裝著滿滿的個人資料?!日前有民眾向立委陳情, 自市場上採購的中古硬碟,不但沒有格式化,還存放著某家銀行與客 戶往來的業務資料,銀行局表示已著手調查中。 接獲民眾陳情的立法委員黃偉哲辦公室指出,這些內含民眾個資的 相關報表可從硬碟直接存取,提供硬碟的陳情民眾表示沒有透過還原 軟體還原。至於是哪一家銀行外洩?從報表資料可看出是來自某銀行 的某一個分行,其實陳情民眾陸續提供了五、六顆二手硬碟中,每一 顆都有類似狀況,由此來看,外洩個資的應不只一家銀行。另有未經 證實的消息指出,這些資料原始來源是銀行,但硬碟本身是來自民間 某債務整合業者。
入侵盜個資案例 補習業者涉僱駭客 竊80校個資 自由時報 2008/06/26 入侵盜個資案例 補習業者涉僱駭客 竊80校個資 自由時報 2008/06/26 高雄檢方偵辦國中基測個資外洩案,發現剛高中畢業的楊同學,受雇於補習業者,扮駭客高手,侵入至少八十所國中小學網站,竊取十多萬筆學生資料。 學校網站設計有缺陷,幫駭客開了另一扇門。 http://www.twtimes.com.tw/html/modules/news/article.php?storyid=10505 49 49
低齡化-網童破160萬 聯合晚報 2009/03/18 學者公布『兒童網路安全趨勢報告』,指出國內網路使用低齡化,國內12歲以下兒童上網人數 6年來成長54%,突破160萬人。 四成兒童不會管理上網時間。 五成會相信網友的身份描述。 兩成五的兒童會在網路上洩漏個人資料。 此外,有兩成五的兒童對數位智財權瞭解不足。 http://eteacher.edu.tw/ReadFocus.aspx?PostID=75
個資法 個人資料保護法 2010年4月27日通過 根據中央法規標準法總統公布後3日後實施 陳院長認為有窒礙難行處退回 2012年5月~6月暫時不會實施
個資法部分條文 第1條 為規範個人資料之蒐集、處理及利用,以避免人 格權受侵害,並促進個人資料之合理利用,特制定本法。 個人資料檔案:指依系統建立而得以自動化機器或其他非自動 化方式檢索、整理之個人資料之集合。 蒐集:指以任何方式取得個人資料。 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、 儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳 送。 利用:指將蒐集之個人資料為處理以外之使用。
個資法部分條文(cont.) 第2條 個資:一般資料、特種資料 一般資料: 生存自然人、姓名、出生年月日、身分證、統編、 護照、特徵、指紋、婚姻、二等親內之血親或姻親、家庭、教 育、職業、病歷、聯絡方式、財務、社會活動 特種資料 :醫療: 記錄醫療的相關資料、基因、性生活: Sexual orientation、健檢、前科 第5條 個人資料之蒐集、處理或利用,應尊重當 事人之權益,依誠實及信用方法為之,不得逾越 特定目的之必要範圍,並應與蒐集之目的具有正 當合理之關聯。
個資法部分條文(cont.) 公務機關或非公務機關應維護個人資料之正確,並應主 動或依當事人之請求更正或補充之。(第11 條) 公務機關或非公務機關違反本法規定,致個人資料被竊 取、洩漏、竄改或其他侵害者,應查明後以適當方式通知 當事人。(第12條) 公務機關保有個人資料檔案者,應指定專人辦理安全維 護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 (第18條) 公務機關保有個人資料檔案者,應採行適當之安全措施, 防止個人資料被竊取、竄改、毀損、滅失或洩漏。(第27 條 )
電腦帳號資料拷貝器 網路新聞 2008~ 新的儲存設備安插在鍵盤和PC連接線的尾端,專門 用於保存鍵入的內容。大部分被用在網咖、展 覽館、酒店、機場,因此,在這些地方上網並 輸入銀行帳號或其它重要資訊的人要特別注意。 在你輸入銀行帳號並離開PC後,你的帳號可被 輕易地再次打開並且你所有鍵入的資訊已經被 保存在背後的裝置中。 http://examine.nownews.com/examine_detail.php?pageno=0&eid=4448
因此,當你在公眾場合通 過網路處理重要資訊之前, 請檢查PC背後的任何 可疑裝置。
小心遭人從背後竊取資料
資訊安全的基本概念(Information Security Concept)
資訊安全三要素 機密性(Confidentiality) 完整性(Integrity) 可用性(Availability) C.I.A.
機密性(Confidentiality) 確保資訊不可被未授 權的個人、實體或流 程所取得的特性。 如學生資料的就屬於 有機密性
完整性(Integrity) 將資訊資產依風險等 級分類,並提供適當 的保護以確保資訊資 產的完整性。 如學生資料、學籍資 料就必須有足夠的完 整性,不可輕易被更 改
可用性(Availability) 確保被授權的個體要 求時可取得並使用的 特性。 當被授權承辦人員必 須可有足夠權限去使 用
資訊資產(Asset) 電子化資訊 軟體 硬體 技術服務 書面文件 人員 http://www.pvbtconsulting.com/Chinese/publish.htm
安全是一種程序而非產品 防毒軟體 Basic but Intruder? 防火牆 Avoid inside attack? 入侵偵測 Exception? 漏洞掃描 Update and repair? 策略管理 People 存取控制 Something you know 智慧卡 Something you have 生物特徵 Something you are 加密 Easy to use? 實體安全機制 People
資訊安全的弱點 弱點是導致威脅發生的 原因,不會直接導致資 訊資產的損害。 常見的弱點如下: 未受訓練或具備安全認 知的人員 錯誤的選擇及使用密碼 缺乏存取控制、資料沒 有備份... http://www.pvbtconsulting.com/Chinese/publish.htm
資訊安全最弱的一環是什麼? 如果你有美金一百萬元, 你會如何破解最高等級的安全系統
資訊安全資訊外洩 根據美國CSI的調查數據顯示,公司機密資 料外洩的狀況有70%是由內部合法使用者所 造成。 而ICM的研究報告亦指出,有39%的員工曾 將客戶資料寄出,52%曾在離職時帶走工作 資料,86%坦承習慣性將郵件轉寄他人,因 此「合法使用者」才是真正危害公司安全的 最大因素。
學校單位為第二大攻擊目標 駭客針對特定目標進行攻擊從中獲利,其中大受其害的產業包括: 賽門鐵克第11期全球網路安全威脅研究報告指出 政府機構(25%) 教育(20%) 醫療(14%) 金融(9%) 保險(6%)等 edu.tw網域中還包含了中小學,因預算和人力都有限,校園網站設計老舊,並注重功能導向,不重視資通安全,最容易被駭。 若學校管理單位對資安沒有足夠的認知,很可能成為駭客用來犯罪的工具。 71
文件的 管理 文件的控管 反問,各校都如何保護這些學生與家長個資?
個資法國際發展趨勢 資策會 http://gcis.nat.gov.tw/ec/knowledge/notes/
個人資料保護法現行法 與修正草案對照表
資安責任 資安問題只需交給資訊部門或資訊人員解決,這是錯誤的觀念。 個資洩漏時,管理相關單位必須能證明已盡力防止義務外,但仍可能因管理或保護不當而造成個資外洩,將可能需負擔民、刑事責任,並必須賠償受害者。 依個資法,1案2萬元,整體事件上限2億元 (舉證之所在、敗訴之所在!!)
教育單位三不政策?! 學校長官 – 不知道如何符合個資法 各級主管 – 不清楚何謂良善責任 資訊組長 – 請不要再煩我!!
Ex.1 網路芳鄰
Ex.2 個人資料 在公用電腦上操作任 何文件,請記得帶 什麼來,要帶什麼 走!! 以免個資外洩 但請小心usb病毒!!
Ex.3 個人mail外漏
資訊人員自我資安防護 PCRD Plan (計畫與規定) Cooperation (合作廠商) Record (記錄) Destruction (銷毀)
Plan (計畫與規定) 公文簽辦 訂定資安程序 資料收集聲明 機密個資使用及來源 資料分級 教育訓練
Cooperation (合作廠商) 委外技術支援 提供資安設備建議、技術維謢 委外責任分擔 技術控管、設備更新
Record (記錄) 各項系統記錄 活動、文件記錄 資料庫存取記錄 各項資安事件向上報告 資料備份 多方面資料、資訊收集留存 硬體儲存保護設備(保險箱、上鎖櫃)
Destruction (銷毀) 硬體替換時之資料刪除 儲存設備之實體銷毀
大人,請原諒我們小小的資訊人員
自我安全防護 資訊保護全體動員.資訊安全人人有責
電子資料加密 ◎基本防護(密碼強度要夠) ◎利用加密工具 ◎OFFICE(WORD及EXCEL加密) ◎WINRAR ◎有些轉檔(WDL或PDF)時可以加密 ◎備份的存放位置要上鎖 取自交通部教育訓練教材
電子資料加密_WORD △儲存工具一般選項 △版本不同所以加密的位置可能會不同 取自交通部教育訓練教材
電子資料加密_EXCEL △儲存工具一般選項 △版本不同所以加密的位置可能會不同 取自交通部教育訓練教材
電子資料加密_WINRAR 取自交通部教育訓練教材
電子資料加密_轉WDL 取自交通部教育訓練教材
電子資料加密_轉PDF 取自交通部教育訓練教材
防毒軟體安裝 ◎基本的防護 ◎確定有運作正常 ◎確認版本及病毒碼的更新 ◎注意相關訊息 ◎即時反應 取自交通部教育訓練教材
防火牆開啟 ◎基本防護(可利用WINDOWS XP以 上版本或免費防火牆軟體) ◎防火牆有硬體及軟體 ◎防毒軟體不一定等於防火牆 ◎確定有開啟 ◎設定正確 取自交通部教育訓練教材
取消檔案分享 取自交通部教育訓練教材
開機帳號及密碼 ◎基本防護(密碼強度要夠) ◎BIOS開機密碼 ◎作業系統開機密碼 取自交通部教育訓練教材
微軟安全情報報告 微軟安全情報報告 (Microsoft Security Intelligence Report) 軟體弱點逐漸減少,但更 容易被利用。 木馬程式仍是最大的威脅。 中國的電腦感染瀏覽器惡 意軟體的比率最高。 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=b2984562-47a2-48ff-890c-edbeb8a0764c
資訊安全新知 資安之眼 大砲開講 資通安全會報
防毒軟體(AntiVirus Software) 免費還是授權? AntiVir http://www.avira.com/zh-tw/ Avast http://www.avast.com 病毒碼更新
個人防火牆(Personal Firewall) 免費還是授權? 內建防火牆 port, TCP, UDP AP base
安全的密碼(Robust Password) 定期更新 密碼強度 利用特殊符號 避免使用簡單且字典查 得到的單字或學校名稱 縮寫 避免重複使用已使用 過的密碼
螢幕保護程式(Screen Saver) 設定電腦不使用後幾 分鐘啟動螢幕保護程 式 需輸入密碼解除螢幕 保護程式
作業系統更新(OS Update) Windows Update 設定自動更新 避免弱點攻擊
結論 定期更新軟體、密碼 安裝防毒軟體、防火牆 正確瀏覽網站,不任意下載來路不明的 軟體 資訊安全,不僅是資訊技術,良好的習 慣是現代必須的資安素養!!