學習目標 電腦安全 網路犯罪 網路入侵 網路攻擊 防範措施 未經授權存取 與使用 硬體竊盜 及破壞 軟體剽竊行為 加密技術

資訊正確性、智慧財產權、行為規範、綠色運算 學習目標 防止系統故障 備份電腦資源 無線通訊風險 預防電腦傷害與健康失調 資訊正確性、智慧財產權、行為規範、綠色運算 資訊隱私

電腦安全風險 電腦安全風險：造成電腦硬體、軟體、資 料、資訊或處理能力失去或損壞的事件 電腦安全風險：造成電腦硬體、軟體、資 料、資訊或處理能力失去或損壞的事件 企業：保護客戶信用記錄、員工和顧客資 料、採購資料、商業機密等敏感資料 一般人：防止信用卡或身份證字號外洩、 保護銀行密碼、薪資、病歷等隱私資料 網路犯罪(Cybercrime)：網路上非法行為

網路犯罪者 駭客(Hacker)：原先指電腦專家，現在較負面 破壞客(Cracker)：非法破壞或竊取資料的人 腳本小子(ScriptKiddie)：利用現成的駭客或破 壞程式入侵電腦，並一定是電腦專家 商業間碟(CorporateSpy)：竊取商業機密的人 不道德員工：販售機密或採取報復行動的員工 網路勒索者(Cyberextortionist)：傳送勒索信件， 不付錢機公布機密、入侵安全漏洞或網路攻擊 網路恐佈份子(Cyberterrorist)：利用網路摧毀、 攻擊或破壞航管、電力或電信系統網路戰爭

線上安全服務 資訊透過網路傳輸，會比存放在公司風險更高 線上安全服務：一種協助檢查電腦，是否有網際網路及電子郵件安全弱點的網站

第一類電腦安全風險(惡意軟體) 電腦病毒 蠕蟲 木馬程式 Rootkit 改變電腦運作方式，對電腦造成負面影響或感染 重複複製自己，會耗光資源並關閉電腦或網路 木馬程式 隱藏或偽裝成合法程式的惡意程式間碟程式 Rootkit 藏身在某電腦中，能從遠端位置控制該台電腦

破壞現像(Payload) 速度比平常慢很多 記憶體容量變少 檔案損毀 螢幕顯示不正常訊息或影像 隨機播放音樂或異常聲響 原有的程式和檔案忽然消失 程式或檔案無法正常運作 不認識的程式或神秘檔案 系統屬性發生變化 作業系統無法啟動 作業系統突然關機

防範電腦病毒或惡意軟體 開機時不預先放入光碟或隨身碟以免中毒 關閉光碟或隨身碟的自動開啟功能 不隨意開啟陌生電子郵件或下載網路檔案 巨集病毒：在文書處理或試算表的指令中，設定巨集的安全層級，只開啟信任的文件 防毒軟體：使用較新的版本並更新病毒碼 個人防火牆：保護電腦和資料不被入侵 WindowsUpdate設定自動更新 了解最新病毒的警告與資訊

防毒軟體 掃描網路下載的檔案、電子郵件附件、開啟中的檔案以及卸除式媒體 辨識並移除在記憶體、儲存媒體或新進檔案中發現的病毒或隔離該感染檔案 防範試圖修改開機程式、作業系統的可疑程式或惡意軟體 先對程式檔打預防針，記錄檔案大小與建立日期的資訊，偵測是否有病毒竄改程式 有些電子郵件伺服器也有裝防毒軟體

資訊安全與網路攻擊 後門程式(BackSoor)：由合法程式執行完後， 留下的非法程式，形成一個能入侵的非法入口 假冒(Spoofing)：使網路傳輸(電子郵件或網站 IP)，看起來像是合法的一種詐騙技巧 僵屍網路(Botnet)：被外人從網路遠端控制用 來攻擊他人、散佈病毒或郵件，又稱僵屍軍隊 阻斷服務攻擊(DenialofServiceAttack)：大量傳 送無用的資料，使電腦無法存取網路服務

資訊安全與網路攻擊 惡作劇病毒(VirusHoax)：以連鎖信件謊稱某作業系統檔案是病毒，並煽動使用者轉送給其他人，導致刪除檔案後電腦無法開機 冒用身份(Piggybacking)：使用者沒有適當的登出電腦或網路系統就離開，因而被冒用身份 垃圾搜尋(Scavenging)：搜尋垃圾筒及廢紙堆常可找到公司機密、帳號/密碼或信用卡號碼 社交工程(SocialEngineering)：使用電話或網路工具，哄騙他人提供個人資料(如帳號/密碼)

資訊安全防護措施 防火牆(Firewall)：使用軟體或硬體防止病毒或惡意軟體入侵，並管理或監控電腦(IP)利用網路進出系統或存取敏感資料 代理伺服器(ProxyServer)：架設在公司網路外部，過濾所有進出訊息，負責控制那些通訊可進入公司網路(防火牆的元件之一) 入侵偵測軟體(IDS)：會自動分析所有網路流量、評估系統弱點、偵測未經授權的入侵行為 誘捕系統(Honeypot)：引誘入侵者破解假的系統，可分析所遭受的攻擊，甚至抓到入侵者

未經授權存取及使用 (UnauthorizedAccess/Use) 未經授權存取：沒有足夠權限的情況下使用電腦或網路 未經授權使用：在未經核准的私人、甚至非法活動上，使用電腦或資料

避免未經授權存取及使用 可接受使用政策(AUP)：電腦可以用來處理私事的範疇 關閉檔案及印表機的共享功能、安裝防火牆、入侵偵測軟體 存取控制：誰能存取電腦、何時可以存取，以及當存取電腦時可執行什麼動作 識別和驗證使用者：使用者名稱、密碼、通關密語、持有物件(卡片)、生物特徵

避免未經授權存取及使用 查核追蹤記錄：利用稽核軟體檢視非正常時間、來自遠端電腦、失敗登入、重要資料的存取，確認不是駭客入侵 CAPTCHA：程式會顯示一串被扭曲的字元，確認使用者輸入不是由電腦大量產生 數位鑑識：發現、收集和分析在電腦及網路上找到的證據，如執法機關、罪犯起訴、軍事情報、保險公司、資訊安全部門

硬體竊盜及破壞 偷竊、毀損或破壞電腦設備的行為 實體存取控制 警報系統 固定設備 即時鎖定系統 密碼、證件或生物辨識

軟體竊取 偷竊軟體媒體：如偷竊實體的軟體光碟 蓄意刪除軟體：離職員工刪除或破壞程式 非法複製軟體：又稱軟體剽竊(Piracy)指 未經授權及非法複製有版權軟體 非法註冊或啟動軟體：利用註冊碼產生器 非法產生註冊序號，以規避購買正版軟體

軟體授權合約 使用者不可以會違反版權 使用者可以 將軟體安裝在網路上 在自己繼續使用軟體的情況下，將軟體複製給他人 將軟體出口到別的國家 出租或租賃軟體 使用者可以 在合約授權的電腦安裝軟體 將軟體複製一份當作備份 將軟體贈與或販售給另一位使用者之前必須先將軟體從自己電腦上移除

資訊竊取 資訊竊取發生在當有人偷取個人或機密資料時

資訊竊取的安全技術 加密(Encryption)：將可閱讀資料(明文)轉 換成不可閱讀的字元(密文)，避免未經授 權存取的程序，必須要解密才能閱讀 數位簽章(Digital Signature)：讓個人、網 站或機構資料能附加在電子訊息中，以驗 證訊息傳送者身份的加密編碼，通常用來 確保參與網際網路交易的人不是偽裝的

資訊竊取的安全技術 安全網站：採用加密技術保護資料的網站 安全傳輸協定(SSL)：為用戶與伺服器間 所有往來資料進行加密，新版本為TLS 數位憑證：保證使用者或網站為合法的 憑證管理中心(CA)：經過授權可以核發和 驗證數位憑證的個人或公司 虛擬私人網路(VPN)：透過防火牆讓使用 者能以安全的方式連線到公司網路伺服器

系統故障 (System Failure) 硬體老化、天然災害、電力(雜訊、電壓不穩)、 程式錯誤等，造成硬體、軟體、資料的損失 環境(主機房)：溫度、濕度、粉末或灰塵 突波保護器(穩壓器)或不斷電系統(UPS) 容錯電腦：重複的CPU,RAM,HD,電源、電腦

備份(Backup) 當原始版本遺失、缺漏或損壞時，可拿來使用的檔案、程式、系統、磁碟拷貝副本 即時備份(RAID)、批次備份(離峰時間) 異地備份：光碟/磁碟、備用主機、雲端 完整備份、差異備份(完整備份後所有更改處)、漸增備份(前次備份後之更改處)、選擇性備份(只備份重要的資料)

無線技術安全性 便利的無線存取也造成額外的安全風險 大約80%的無線網路並無任何安全保護 入侵者會攔截並監視在空中傳輸的內容 駕駛攻擊(War Driving)：開車經過有無線 網路的區域，並利用行動裝置偵測並入侵 沿途的無線網路 除使用防火牆外，還有重新設定無線網路 的存取點，如WPA和802.11i網路

無線技術安全性 服務設定識別碼(SSID)：無線網路的名稱 或識別碼 無線存取點(WAP)：應設定成不要廣播 SSID，並更改預設的SSID名稱，且設定 WAP為只有特定裝置可以存取 使用WPA(Wi-Fi Protected Access)加密技 術或WPA2(802.11i)等更精密的安全標準

使用電腦的健康考量 重複性施力傷害(RSI)：如肌腱炎、手腕隧道症候群(CTS)休息、伸展 電腦視覺症候群(CVS)：乾燥、對焦 人體工學(Ergonomics)：將舒適、效率和安全性納入工作場所物品的設計與規範，如電腦設備(滑鼠/鍵盤/螢幕)、桌椅、燈光、空調、環境…

電腦上癮 當電腦佔據某人全部的社交生活時 使用者的症狀包括下列徵兆： 迫切想要 使用電腦 在電腦前 過份喜悅 無法停止在電腦上活動 不使用電腦時焦躁不安 忽略家人 及朋友 工作或學習出現問題

保護兒童 阻隔軟體(BlockingSoftware)：暴力色情 監督兒童：限制上網、遊戲、電話、簡 訊/App、時間、地點(房間、網咖) 保護兒童的法律：個資、圖片與影像的 隱私權政策

電腦倫理 判斷電腦及資訊系統使用的道德準則 資訊正確性：公佈在網站上的資訊不一 定都是正確，如部落客為廠商代言 資訊正確性：公佈在網站上的資訊不一 定都是正確，如部落客為廠商代言 數位影像：下載、散佈或修改在網路上 的數位影像(自己、他人、自用、販賣) 軟體：非法下載或修改有版權的軟體 傳播不實、可能傷害他人或非法資訊

智慧財產權 智慧財產權(IP)：保護創作者的創意、發明、藝術、寫作、製程、專利、商標等獨特性和原創性的作品所擁有的權利 版權：提供文學或藝術創作者有權控制其作品的使用和散佈方式(盜版) 專利權：給予專利權所有人獨家使用其發明成果的權利(需要申請且有年限) 商標權：可識別出某企業或其產品的字句、名稱、符號或裝置(網路蟑螂)

資訊社會中的著作權基本常識 電腦程式：不論儲存在何種媒體都受到保護 網路下載、離線閱讀(MP3)都屬於侵權行為 購買軟體：可在合法授權內修改程式與備份， 但僅限於自己使用，且不得安裝於多台電腦 大補帖：販賣或購買大補帖(各種盜版軟體 的總合)需負刑事與民事責任 著作完成即享有著作權，沒有申請著作權登 記，不影響著作權的取得 著作權屬於僱請程式設計師的軟體公司所有

影印半本書大學生求處拘役 台中地檢署(2007/11/08)將一名就讀技 術學院影印原版書的莊姓學生，依違 反著作權法起訴 台中地檢署(2007/11/08)將一名就讀技 術學院影印原版書的莊姓學生，依違 反著作權法起訴 檢方向法官求處六個月有期徒刑，並 聲請簡易判決，至少求處拘役20天 的莊姓學生被起訴覺得很冤枉，警訊 時他雖認錯，他和多數同學一樣，只 想省些書錢，沒有惡意

如果你當駭客被抓會怎樣？ 第358條(無故入侵他人之電腦) 第359條(無故取得、刪除或變更他人之電腦) 無故輸入他人帳號密碼、破解使用電腦之保護措施 或利用系統之漏洞，入侵他人之電腦或相關設備者 處三年以下有期徒刑、拘役或併科10萬元以下罰金 第359條(無故取得、刪除或變更他人之電腦) 無故取得、刪除或變更他人電腦或其相關設備之電 磁紀錄，致生損害於公眾或他人者 處五年以下有期徒刑、拘役或併科20萬元以下罰金

軟體合法使用範圍 作者已放棄著作權、超過保護期限、試用期內 免費軟體擁有著作權，可在原著者的授意下，在網路上散佈、使用與複製，但不可販賣圖利 教育、研究、評論、報導或個人非營利使用等目的，在法律允許條件下，可於適當範圍內不經著作權人同意逕行使用他人著作 適當範圍：使用目的、著作性質、佔原著作比例與對市場潛在影響等 超連結：連結後的內容不在自己網頁的框架內

資訊隱私權 資訊隱私權：個人及公司可拒絕或限制有 關自身資訊被收集與使用的權利 資訊隱私權：個人及公司可拒絕或限制有 關自身資訊被收集與使用的權利 以前是各自維護檔案，如今使用龐大的資 料庫將資料全部儲存，個人資訊容易外洩 或被販售給其他機構團體 讓使用者指定是否願意散佈個人資訊

Cookie 網路伺服器儲存在你電腦上的一個小型文字檔案，記錄你在網路上的所有行為 允許個人化 使用者偏好 儲存使用者的密碼 協助 線上購物 記錄來訪 網站的頻率 尋找廣告 目標客戶

47

48

電腦倫理與社會 垃圾電子郵件(Spam)：不請自來的電 子郵件訊息或新聞群組張貼訊息 網路釣魚(Phishing)：詐騙者傳送外觀 看似正式的電子郵件，騙取你的個人和 財務資料 網址嫁接(Pharming)：透過假冒網址方 式騙取你的個人和財務資料 點閱挷架(Clickjacking)：點選某物件 就會下載病毒或導向到假冒網站

資訊隱私保護 內容過濾：針對網路上某些內容限制存取的程序，許多企業會使用內容過濾功能 Web過濾軟體：可限制對特定網站的存取 電子郵件過濾：阻攔指定來源的電子郵件 防垃圾郵件程式：在垃圾郵件抵達你的收件匣之前便試著移除 監視員工(Employee Monitoring)：包括使用電腦觀察、記錄和檢視員工使用電腦的情況

隱私權法案(以美國為例) 各國政府針對個人資料的儲存和披 露方式，陸續制訂出相關法令 公平信用報告法(1970) 資訊自由法(1970) 聯邦隱私法(1974) 租片隱私防護法(1988) 電腦比對與個人隱私保護法(1988) 健康保險通用與保管法

資訊正確性、智慧財產權、行為規範、綠色運算及資訊隱私權 本章摘要 電腦風險 防範措施 無線網路安全風險和防範方式 電腦的健康問題和預防措施 資訊正確性、智慧財產權、行為規範、綠色運算及資訊隱私權