網路概論 第17章　資訊安全與隱私權

17-1　資訊安全 會危及資訊安全的因素： 作業方面的疏失 實體方面的疏失 員工方面的疏失 技術方面的疏失

17-1 資訊安全 17-1-1 身份認證 身份認證是用來確認某人是否為合法使用 者，以進行存取控制，常見的鑑定方式如下： 使用者名稱及密碼 17-1　資訊安全 17-1-1　身份認證 身份認證是用來確認某人是否為合法使用 者，以進行存取控制，常見的鑑定方式如下： 使用者名稱及密碼 持有的物件 生物辨識裝置

17-1　資訊安全 17-1-2　硬體竊盜 藉由上鎖、僱用保全、警民連線、投保竊盜險等方式來加以防範 將電腦或行動裝置設定密碼或生物辨識裝置

17-1　資訊安全 17-1-3　軟體竊盜 其一是盜版 其二是軟體的設計人員在離職時，能否將軟體攜離公司？答案是如果軟體的設計人員是在受僱於公司的情形下設計出該軟體，那麼該軟體的版權屬於公司，不能攜離公司

17-1 資訊安全 17-1-4 資訊竊盜 一個安全的系統必須考慮到下列四個需求： 保密 (privacy) 17-1　資訊安全 17-1-4　資訊竊盜 一個安全的系統必須考慮到下列四個需求： 保密 (privacy) 認證 (authentication) 完整 (integrity) 確認 (nonrepudiation)

17-1　資訊安全 17-1-5　加密/解密(秘密金鑰與公開金鑰) 秘密金鑰加密/解密

17-1　資訊安全 17-1-5　加密/解密(秘密金鑰與公開金鑰) DES演算法

17-1　資訊安全 17-1-5　加密/解密(秘密金鑰與公開金鑰) 公開金鑰加密/解密

17-1　資訊安全 17-1-5　加密/解密(秘密金鑰與公開金鑰) RSA演算法

17-1 資訊安全 17-1-5 加密/解密(秘密金鑰與公開金鑰) RSA演算法除了建議選擇很大的數字之外，還要遵守下列原則： 17-1　資訊安全 17-1-5　加密/解密(秘密金鑰與公開金鑰) RSA演算法除了建議選擇很大的數字之外，還要遵守下列原則： 選擇兩個很大的質數p、q； 計算n = p * q； 計算 z = (p - 1) * (q - 1)，然後選擇一個小於n且和z互質的數字d； 選擇一個滿足 (d * e) mod z = 1的數字e。

17-1　資訊安全 17-1-6　數位簽章 簽署整個文件

17-1　資訊安全 17-1-6　數位簽章 簽署文件的摘要

17-1 資訊安全 17-1-6 數位簽章 <技術部落> 電子簽章 17-1　資訊安全 17-1-6　數位簽章 <技術部落> 電子簽章 電子簽章 (electronic signature) 和前面介紹的數位簽章不同，它所涵蓋的範圍較廣，除了數位簽章之外，諸如指紋、掌紋、臉部影像、視網膜、聲紋、簽名筆跡等能夠辨識使用者的資料均包含在內。

17-1 資訊安全 17-1-6 數位簽章 <技術部落> 公開金鑰基礎建設 (PKI) 17-1　資訊安全 17-1-6　數位簽章 <技術部落> 公開金鑰基礎建設 (PKI) 公開金鑰基礎建設 (PKI，public key infrastucture) 指的是實際應用公開金鑰技術所需的規範與建設，涉及各國的交互認證、法律制度、認證中心之間的共通性…。 PKI電子憑證就像虛擬身份證，用來辨識使用者身份並確保網路資料的正確性，建立網路交易雙方的信賴關係。

17-1　資訊安全 17-1-7　Web安全 Web安全涉及下列三個方面： 保護瀏覽器的安全 保護伺服器的安全 保護資訊的安全

17-1 資訊安全 17-1-7 Web安全 電子商務主要的安全機制有下列兩種： SSL (secure socket layer) 17-1　資訊安全 17-1-7　Web安全 電子商務主要的安全機制有下列兩種： SSL (secure socket layer) SET (secure electronic transaction)

17-1 資訊安全 17-1-8 備份與復原 備份類型： 完整備份： 複製所有程式與檔案。 差異備份： 只複製上一次完整備份 17-1　資訊安全 17-1-8 　備份與復原 備份類型： 完整備份： 複製所有程式與檔案。 差異備份： 只複製上一次完整備份 後有變動的程式與檔案。 漸增備份： 或漸增備份後有變動的 程式與檔案。

17-1　資訊安全 17-1-8 　備份與復原 預防電力中斷： 穩壓器 (surge protector) 不斷電系統 (UPS)

17-1 資訊安全 17-1-8 備份與復原 災害復原方案： 緊急方案 (emergency plan) 17-1　資訊安全 17-1-8 　備份與復原 災害復原方案： 緊急方案 (emergency plan) 備份方案 (backup plan) 復原方案 (recovery plan) 測試方案 (test plan)

17-2 電腦病毒 電腦病毒 (computer virus) 是一個會將自己的程式碼複製，並附加到其它檔案的小程式。 症狀輕者有： 17-2　電腦病毒 電腦病毒 (computer virus) 是一個會將自己的程式碼複製，並附加到其它檔案的小程式。 症狀輕者有： 突然自動關機或重新開機 。 出現奇怪的舉動，例如開啟網頁卻出現不相干的網頁。 沒有上網傳送檔案或接收電子郵件，但連線燈號卻閃爍不停。 沒有進行任何工作，上網速度卻越來越慢。 硬碟的壞磁區增加或空間減少、讀寫時間變長、速度變慢。 檔案的長度、日期改變或無故失蹤。 系統記憶體減少，執行速度變慢，甚至經常當機。 唱歌給您聽、發出奇怪的聲音或邀您玩猜數字、台灣拳、美女拳…。 在螢幕上顯示反白區塊或亂碼 。 改變軟碟名稱 。

17-2 電腦病毒 症狀重者有： 電腦病毒V.S. 駭客 電腦病毒V.S. 臭蟲 程式檔案無法執行。 資料檔案遭到破壞或刪除。 17-2　電腦病毒 症狀重者有： 程式檔案無法執行。 資料檔案遭到破壞或刪除。 硬碟損毀無法啟動。 電腦病毒V.S. 駭客 電腦病毒V.S. 臭蟲

您拷到一張軟碟片或光碟片，內有資料檔案、解毒程式或新遊戲，但裡面藏有病毒，大家都不知道 病毒趁著您將檔案拷貝到硬碟的同時，潛伏在電腦系統內，待特定時間一到，就跑出來毀滅您的程式和資料 從此，經由您的電腦執行過的軟碟片都極可能染上病毒，而不知情的您又把檔案與好朋友分享 於是您的好朋友無條件的接受此一病毒，然後熱心的他又透過 Internet傳送給遠方的友人 最後遠方友人的電腦可說是集病毒一身！如果有一天他反過來複製了最新版的遊戲送給您，您就糟糕囉

17-2　電腦病毒 17-2-1　電腦病毒的傳染途徑 透過網路自動向外散播 透過電子郵件自動向外散播 閱讀電子郵件時自動向外散播

17-2 電腦病毒 17-2-2 電腦病毒的類型 檔案型病毒 (file infector virus) 17-2　電腦病毒 17-2-2　電腦病毒的類型 檔案型病毒 (file infector virus) 開機型病毒 (boot strap sector virus) 複合型病毒 (multi-partite virus) 網路系統病毒 (network virus) 千面人病毒 (polymorphic virus) 巨集病毒 (macro virus) Script病毒

17-2 電腦病毒 17-2-2 電腦病毒的類型 除了電腦病毒之外，目前還有如下類型的程式會危害電腦： 17-2　電腦病毒 17-2-2　電腦病毒的類型 除了電腦病毒之外，目前還有如下類型的程式會危害電腦： 特洛伊木馬 (trojan horse) 電腦蠕蟲 (worm) 惡性程式 (malicious code、malware)

17-2 電腦病毒 電腦病毒 特洛伊木馬 電腦蠕蟲 感染其它檔案 會 不會 被動散播自己 是 不是 主動散播自己 造成程式增加數目 17-2　電腦病毒 電腦病毒 特洛伊木馬 電腦蠕蟲 感染其它檔案 會 不會 被動散播自己 是 不是 主動散播自己 造成程式增加數目 電腦使用率愈高，檔案受感染的數目愈多 不會增加 取決於網路連結情況，連結範圍愈廣，散佈的數目愈多 破壞力 取決於病毒作者 無 對企業的影響 中 低 高

17-2 電腦病毒 17-2-3 防治電腦病毒 勿使用來歷不明的軟碟開機。 勿開啟或執行來歷不明的檔案或程式，尤其是電子郵件的附加檔案。 17-2　電腦病毒 17-2-3 　防治電腦病毒 勿使用來歷不明的軟碟開機。 勿開啟或執行來歷不明的檔案或程式，尤其是電子郵件的附加檔案。 沒有存取網路時要離線。 資料檔案要經常備份。 定期使用防毒程式偵測病毒，同時要更新防毒程式的病毒碼。 Internet是電腦病毒散播的溫床，使用時請小心。 定期更新Windows作業系統及瀏覽器 。

17-3　電腦犯罪 駭客 (hacker) 白帽駭客 (white-hat hacker) 電子扒手

17-3 電腦犯罪 17-3-1 電腦犯罪的手法 冒用身份 偽造資料 積少成多 軟體炸彈 (software bomb) 17-3　電腦犯罪 17-3-1　電腦犯罪的手法 冒用身份 偽造資料 積少成多 軟體炸彈 (software bomb) 時間炸彈 邏輯炸彈 特洛依木馬 (trojan horse)

17-3 電腦犯罪 17-3-1 電腦犯罪的手法 程式後門 (back door) 緩衝區溢位攻擊 17-3　電腦犯罪 17-3-1　電腦犯罪的手法 程式後門 (back door) 緩衝區溢位攻擊 阻斷服務攻擊 (DoS attack，denial of service attack)、分散式阻斷服務攻擊 (DDoS attack，distributed DoS attack) 網路釣魚 (phishing) 間諜軟體 (spyware)

17-3 電腦犯罪 17-3-2 電腦犯罪的類型與刑責 入侵他人電腦或網站 販售或購買盜版軟體 販售或購買贓物 販售或購買違禁品、管制品 17-3　電腦犯罪 17-3-2　電腦犯罪的類型與刑責 入侵他人電腦或網站 販售或購買盜版軟體 販售或購買贓物 販售或購買違禁品、管制品 網路賭博 撰寫並散佈惡性程式 販售個人資料或名單

17-3　電腦犯罪 17-3-2　電腦犯罪的類型與刑責 散佈色情資訊 妨害名譽 詐欺 數位著作相關的資訊權 著作權 商標權 公開權 隱私權

17-3 電腦犯罪 17-3-3 電腦犯罪的蒐證與起訴 網路犯罪肆無忌憚的因素很多，包括： 破案率極低，很難查出犯罪者的真實身份。 17-3　電腦犯罪 17-3-3　電腦犯罪的蒐證與起訴 網路犯罪肆無忌憚的因素很多，包括： 破案率極低，很難查出犯罪者的真實身份。 缺乏國際共同的法律標準。 網路信用卡認證機制不夠完善，容易發生盜刷。 系統漏洞沒有即時修正及駭客工具容易取得。

17-4 資訊隱私權 資訊隱私權 (information privacy) 泛指個人和公司行號拒絕或限制他人蒐集、傳遞或販售其資訊的權利 17-4　資訊隱私權 資訊隱私權 (information privacy) 泛指個人和公司行號拒絕或限制他人蒐集、傳遞或販售其資訊的權利 下面幾個情況也會涉及資訊隱私權的爭議： 監看員工使用電腦的情況 監看網站的瀏覽者