行政人员资讯安全训练教材资讯安全基本认知课件.pptx

1、南亚技术学院行政人员信息安全训练教材信息安全基本认知主讲人信息管理系助理教授 xx1谢谢观赏2019-6-19目录n何谓信息安全n信息安全知识q网络安全q人员与环境安全q资料与存取安全q系统安全n信息安全相关法令n建立ISMS2019-6-192谢谢观赏学术单位的信息安全n为什么学校单位需要信息安全q学生学籍资料q成绩信息q教师与员工相关个人信息qn学校单位所拥有的信息特色q大多属于非机密性q具敏感性且涉及隐私及个人资料保护法相关规定2019-6-193谢谢观赏何谓信息安全n有效的防止信息遭到窃取、窜改、毁损、灭失或遗漏。简言之，就是确保信息的CIA：qConfidentiality 机密性：

2、保护信息不被非法存取或揭露。qIntegrity 完整性：确保信息在任何阶段都没有不适当的修改或损毁。qAvailability 可用性：经授权的使用者能适时的存取所需信息。2019-6-194谢谢观赏信息安全的范围n保护及维护资料的安全，包含：q资料的使用q资料的传递q资料的处理q资料的储存2019-6-195谢谢观赏信息安全管理重点人员资安知识与能力资安控管流程资安处理技术2019-6-196谢谢观赏信息安全案例与知识n网络安全q电子邮件q垃圾邮件q网络购物q公用计算机使用n人员与环境安全n资料与存取安全n系统安全2019-6-197谢谢观赏电子邮件：e-mail 附件不是执行档也有危险？

3、为黑客开启一扇大门小赵收到E-mail：Confidential（机密）不明人士打开e-mail 同时也透过网络自动下载一个执行档 后门程序后门程序也因此得以植入他的计算机系统当中黑客使用远端遥控2019-6-198谢谢观赏电子邮件防范措施n1.1.不任意开启不任意开启来路不明的电子邮件及其附加档案，不论附档名为何不论附档名为何，最好直接这类邮件删除删除。n2.2.设定作业系统的自动更新机制自动更新机制（如Windows Updates），进行系统漏洞修补，使计算机系统随时保持最新的安全状态。n3 3.安装防毒软件安装防毒软件并定期更新病毒码定期更新病毒码，以防阻e-mail可能夹带的计算机病

4、毒。n4.4.安装个人防火墙安装个人防火墙，以防阻e-mail中可能夹带的间谍程序窃取信息。n5.5.即使邮件是来自于熟识者，在打开附件档案前，仍应使用防毒软件扫瞄后防毒软件扫瞄后才可开启，尤其是转寄邮件。2019-6-199谢谢观赏电子邮件名词解释(1/3)nback doorback door后门程序后门程序 q后门指的是可以“绕过”、“规避”计算机内部安全系统的另一个管道。q可能是在软件设计时，程序设计师方便未来进入系统维护所留下的程序，也可能是计算机遭受到入侵而被植下的程序。q许多黑客会经由后门绕过安全验证，非法进入计算机进行破坏或窃取资料。nHacker Hacker 黑客黑客Hac

5、kerq计算机黑客原是指计算机很强的人；Cracker则表示有犯罪记录或行为的计算机高手。q但是后来大家却混淆了这两个字的含意，而将凡是在网络上利用技术危害他人的人，统称为黑客。2019-6-1910谢谢观赏电子邮件名词解释(2/3)n木马程序木马程序q是一种后门程序，也是目前非常流行的病毒程序，与一般的病毒不同，它不会自我繁殖，也不会刻意地去感染其他文件。q木马程序具有隐蔽、自动启动、欺骗、自我恢复、破坏、传输资料的行为特征，并透过伪装吸引用户下载执行或安装，提供种木马者打开被种者的计算机门户，使种木马的人可以任意毁坏、窃取被种者的文件或操作画面，甚至远端操控被种者的计算机。q木马程序最终的

6、目的就是搜集情资、等待时机执行破坏任务、当作跳板进行渗透。q手段包含匿踪、占领、远端遥控、截听封包、记录键盘输入资料、破坏、传递情资、提供封包转送达到跳板功能等。q绝大部分的木马程序所具备的功能与目的，不仅具备单一功能、单一目的，而是具备混合功能(hybrid)与多目标导向。nnetbus殭尸网络殭尸网络是一种木马程序，可提供植入者能在远端遥控被植入者计算机，作为攻击者的傀儡计算机，隐藏其攻击轨迹。2019-6-1911谢谢观赏电子邮件名词解释(3/3)nanti-virusanti-virus计算机防毒软件计算机防毒软件 q防毒软件是一种程序，安装于计算机内能够检测入侵计算机的计算机病毒、木

7、马程序与计算机蠕虫，当检测到病毒时，程序会将病毒进行隔离或删除，以避免病毒程序对计算机系统进行破坏。nfirewallfirewall防火墙防火墙 q网络防火墙用以管制外部使用者对内部网络及网站的连结和存取，并执行稽核作业。装设防火墙就如同住户为了住家安全性，特意加上一层的门禁系统。q防火墙会控制和监控所有外部和内部网络的交通；包括让内部使用者可以对外取得整体的服务，而对于外来使用者则以选择性的条件加以检验，只允许经授权的使用者连线使用，阻挡可能进入企业内部网络的黑客、病毒和计算机虫。2019-6-1912谢谢观赏垃圾邮件：垃圾邮件防范DIY温馨的5月母亲节主题垃圾邮件夹带计算机病毒、或以伪装

8、成大型购物网站的连结骗取使用者密码、银行账号等隐私信息2019-6-1913谢谢观赏垃圾邮件防范措施(1/2)n1.绝不回信绝不回信n2.在搜寻引擎中键入你的e-mail，检查看看是否你的e-mail是否很容易让垃圾邮件布者取得；若可能，尽可能地移除掉移除掉emailemail曝光曝光的机会。n3.将你的邮件软件设定为不显示图片，某些厂商会在发送html格式含图片的电子邮件时，加上网站信（Webbeacons），用来计算开启电子邮件的数目、或者统计哪个电子邮件地址开启了哪些邮，关闭垃圾邮件的图片显示可以阻断Web beacons功能。2019-6-1914谢谢观赏垃圾邮件防范措施(2/2)n4

9、.绝不按下垃圾邮件提供的超连结垃圾邮件提供的超连结。n5.绝不使用其取消订阅的功能绝不使用其取消订阅的功能，因为当你按下取消订阅时也同时让垃圾邮件散布者确认你的e-mail是有效的。n6.在任何网站上留下你的电子邮件资料时，先阅阅读该网站的隐私权政策读该网站的隐私权政策，确保你的电子邮件资料不会用作其他用途。n7.设定设定2 2个个emailemail账号账号，其中一个为日常通讯用途，另一个则用来订阅电子报、或用来参加网络活动填问卷。2019-6-1915谢谢观赏网络购物：纠纷与诈骗网络购物购买一个皮包汇钱后却迟迟没收到商品，李小姐遇到诈骗，个人资料通通被网络钓鱼网骗取!2019-6-1916

10、谢谢观赏网络购物防范措施n1.向个人卖家购物，一定要保留双方关于买卖的对话纪录或通联纪录。n2.保留汇款单据。n3.向商家索取发票，通常合法商家会开立发票，选择有发票的商家较有保障。n4.如使用在线刷卡，在刷卡后立即与银行确认消费纪录。n5.了解自己的权益，依消保法规定，消费者可于收受商品七日内退回，无须说明理由及负担任何费用。n6.如果发现受骗或被盗刷等情况，应通知刷卡银行并报警处理。2019-6-1917谢谢观赏网络购物：网络购物：网拍诈骗增多，买卖两头空网拍诈骗增多，买卖两头空歹徒仿卖家以一万五千卖给买家仿买家向卖家购入一万元商品卖家退五千给仿买家面交后，双双得手!买家汇一万五2019-

11、6-1918谢谢观赏网络购物防范措施n1.选择有信誉之交易对象，仔细了解对方的信用风评等，并注意网址的正确性，避免落入仿冒网站。n2.利用问与答的机制，于询问时留意卖家专业度，可了解卖家是否够真心投入、认真经营。卖家若将网络开店视为长期经营，势必会重视客户反应及商品质量。n3.从卖家出货速度、反应问题速度，决定未来是否再向这个卖家购买商品。n4.当拍卖商品具有预订性质时，为求谨慎，建议向有口碑店面或信用优良的商家订购，以防预订诈骗。n5.不论是卖家还是买家，坚持面交，一手交钱一手交货，当场确认物品及金额无误后才能银货两讫。2019-6-1919谢谢观赏公用计算机公用计算机:使用他人计算机没清除

12、记录，账号密码遭窜使用他人计算机没清除记录，账号密码遭窜改改盗用女方账号、密码发现无法登入电子邮件及msn张贴女方裸照并传送给所有联络人(已加入女方新帐密)新申请账号密码点阅邮件法现自己的裸照并通知警方2019-6-1920谢谢观赏防范措施：防范措施：n1.使用计算机后随手清除网页浏览记录及cookie资料，并清除在网站上所留下的个人资料。n2.养成不使用自动记忆账号密码的功能。n3.避免使用他人或公共计算机，上网处理重要或私密事务。n4.使用他人或公共计算机时，特别注意坐在或站在你旁边的人，因为他们可以轻易地从计算机荧幕上看到你所输入的账号、密码或其他个人资料。n5.若经常使用公共计算机，更

13、换密码的要更高。2019-6-1921谢谢观赏名词解释ncookiescookies网络纪录网络纪录 qcookies是存在浏览器中的小型文字档，记录使用者浏览网页的信息，例如：浏览的网站位址、使用者曾经输入的信息等，当使用者下次再度使用浏览器时，计算机能自动显示最近使用过的网页。qcookies 也会纪录使用者的账号与密码，因此在使用者再次进入相同页面时，不需要重新输入名称与密码。q由于cookies 的功能会记录重要的个人资料与网络使用习惯，通常网站都会在其隐私权政策中详述其透过cookies搜集使用者信息的用途。2019-6-1922谢谢观赏信息安全案例与知识n网络安全n人员与环境安全q

14、防范员工外泄客户资料q防范社交工程的攻击 q公司机密外泄的处理 q报废计算机的资料安全 n资料与存取安全n系统安全2019-6-1923谢谢观赏人员与环境安全人员与环境安全n案例一、员工偷偷外泄客户资料案例一、员工偷偷外泄客户资料 n案例二、防范社交工程的攻击案例二、防范社交工程的攻击 n案例三、公司机密外泄的处理案例三、公司机密外泄的处理 n案例四、报废计算机的资料安全案例四、报废计算机的资料安全 2019-6-1924谢谢观赏员工偷偷外泄客户资料不法集团政府机关电信事业金融事业单位2019-6-1925谢谢观赏防范措施：防范措施：n1.针对资料保密、客户隐私权等相关法令对所有员工进行教育倡

15、导，尤其是计算机处理个人资料保护法的了解，说明若将客户资料外泄或私自盗卖，最重可处三年以下有期徒刑。n2.依职务需求授予资料或档案的存取权限，避免非相关职务人员皆能存取隐私资料。n3.针对员工使用私人储存媒体进行规范，例如禁止员工使用USB随身碟或磁盘，如此可避免员工因职务上的便利，将机密带离公司。n4.限制员工电子邮件可夹带档案的大小，以避免员工透过电子邮件外泄大量公司料。2019-6-1926谢谢观赏防范社交工程的攻击计算机中毒不明信件个人计算机2019-6-1927谢谢观赏防范措施：防范措施：n1.尽量避免加入不明来源的MSN 使用者，不接受不明联络人的档案。n2.使用扫毒程序在点阅信件

16、之前确认件的安全性。n3.限制如果系统主动对外发信必须通过系统管理员同意。n4.对权限加以分级控管，非属于个人份事宜不应掌握账号密码等特殊权限，以免因为不了解安全等级而不慎外流重要信息。n5.安装个人防火墙，阻挡不明程序尝试对外连线。2019-6-1928谢谢观赏名词解释nsocial engineering social engineering 社交工程社交工程q社交工程主要是利用人性的弱点而进行诈骗。社交工程是一种非技术性的入侵，是藉由与人透过社交手段进行犯罪行为。现代病毒已开始结合社交工程概念，例如ILOVEYOU病毒就是透过在电子邮件中以我爱你为附加档案的档名，诱导使用者打开附件，然而

17、在使用者打开附件的同时，即被植入病毒，这就是利用社交工程入侵计算机的一个范例。2019-6-1929谢谢观赏公司机密外泄的处理窃取公司机密窃取公司重型机车引擎设计图、计算机档案与相关模具组等商业机密员工旅游期间利用货柜，私运到美国被警方逮捕2019-6-1930谢谢观赏防范措施n1.信息分级授权：将企业内部资产与信息列册并评鉴机密等级，依等级订定授权。n2.权限控管：授权不能泛滥，应依职务分级授予存取、传递、交换等权限，并期审查权限适当性，以及保留存取权限稽核资料。n3.签订安全保密合约：与员工签订合约，除了可供违约时的责任追溯与求偿外，具有一定的预防遏阻作用。n4.随身碟禁用规定：为防止员工

18、私自复制司机密资料，可限制员工使用行动碟、MP3随身碟等储存装置。n5.安全通报与处理机制：若员工发现同仁有异常行为，应透过安全通报机制立即反应，预防危安事件发生。2019-6-19谢谢观赏31名词解释nauthorization authorization 授权授权q授权，指的是将资源系统的使用权限授与特定人员的过程。获得授权的人员具有使用特定资源系统的权限。通常系统管理员会按企业相关规定或政策，来给予使用者不同的授权，以及使用者能使用资源系统的的权限与层级有多大。2019-6-1932谢谢观赏报废计算机的资料安全报废计算机不当处理资料外泄2019-6-1933谢谢观赏防范措施：n1.计算机

19、报废前，针对整个计算机系统或内含信息的进行备份。n2.将上述的备份移转至新的机器或其他备份装置中。n3.执行完整的信息设备报废处理程序，包括针对计算机硬盘执行重新格式化、相关作业软件、资料及具有版权之系统软件；针对磁碟或光盘片等储存媒体进行实体销毁，如切碎、折损等。2019-6-1934谢谢观赏名词解释nMalicious URL injectionMalicious URL injection网页隐藏式恶意连结网页隐藏式恶意连结q又称为网页恶意挂马或网页挂马。指黑客窜改所攻击的网页，植入恶意连结，或者是设立恶意网站，透过宣传手法，利用一般人的好奇心吸引观众到站浏览，使用者只要连上网站，就会转

20、落入黑客预先设计好的陷阱，被植入木马程序。进而被窃取计算机中的资料或机密造成损失。2019-6-1935谢谢观赏信息安全案例与知识n网络安全n人员与环境安全n资料与存取安全q定期检查存取权限 q账号借他人使用出包 q使用者密码管理 q设定优质密码保障资料安全 q10大企业信息安全内贼现象 q笔记型计算机资料安全管理 q储存媒体的保存 n系统安全2019-6-1936谢谢观赏定期检查存取权限 离职窃取公司账号、密码将公司重要文件转寄私人信箱2019-6-1937谢谢观赏防范措施：n员工离职前应提醒其保密义务及法律责任。n员工离职后应立即取消其网络存取权限。n员工离职，应酌量风险决定冻结或移除其账

21、号并变更密码。n针对公司重要系统主机应定期检查账号及密码之设定。n针对公司重要系统主机应定期检查存取权限及存取纪录。2019-6-1938谢谢观赏账号借他人使用出包友人友人提供网络账号密码使用利用他人名义贩售商品商品(教育部网站教育部网站)杨姓主任2019-6-1939谢谢观赏防范措施n(1)个人账号不可借任何人使用，包括像公务资料系统、网站、e-mail、网络金融、ISP账号等。n(2)不要将账号密码随手记录于纸本随意置；更不要将密码写在便利贴贴在计算机荧幕边。n(3)不要告诉任何人您的账号密码，包括像对方来电表示自己是信息部门人员、银行客服人员等。n(4)重要系统、网站在登入时，应留意一下

22、系统提醒的连线历史纪录是否有不明的登入纪录。2019-6-1940谢谢观赏使用者密码管理盗用网拍账号2019-6-1941谢谢观赏防范措施(1/2)n一、防御的技巧q(1)签署保密声明：要求使用者签署对个人账号密码保密之声明。q(2)强制变更密码：确保一开始即提供使用者安全之临时密码，也应强制使用者在第一次登入系统时立刻更改。q(3)在提供新的、替换或临时密码前，须验证使用者身分。q(4)以安全的方式将密码交给使用者，勿交由第三方转交或使用明码传送。q(5)密码不得以无保护形式储存于任何实体设备或便携式设备中。2019-6-1942谢谢观赏防范措施(2/2)n二、解决的技巧q(1)网页开发时，

23、结合自然人凭证之机制，于使用者（买方或卖方）登入或登出时均启动确认身分之机制；目前仅有以信用卡/转帐付款时，才启动确认身分之机制，显然是不足的。q(2)应有健全的通报机制，例如例假日或非上班时段，可增列语音或发送简讯的处置机制，由值班之客服人员判定处理优先级。q应从资安事件中学习及检讨，例如透过客服系统，定期统计及汇整出相关事件发生之来由及解决方案，作为改善及提升服务质量之依据。2019-6-1943谢谢观赏设定优质密码保障资料安全上传私密照片到网络相簿遭他人窃取帐密并恶意散布私密照片2019-6-1944谢谢观赏优质密码防范措施(1/2)n1.密码长度建议至少六码以上，且最好可参杂数字、英文

24、字母、特殊符号、大小写。n2.应尽量避免使用易猜测或公开信息为设定，例如q个人姓名、出生年月日、身分证字号q机关、单位名称或其他相关事项q使用者ID、其他系统IDq计算机主机名称、作业系统名称q电话号码q英文或是其他外文字典的字汇q专有名词q空白 2019-6-1945谢谢观赏优质密码防范措施(2/2)n3.应保护密码，维持密码的机密性，勿使用同一套密码行遍天下，以避免所有关的登入资料同时都被破解。n4.需定期更新密码，建议更新频率至少为三个月一次。n5.不使用过于复杂而不易记忆的密码，以免担心遗忘，而必须将密码写下，却可能提高了密码外泄的风险。2019/6/1946行政人员资安教育46谢谢观

25、赏2019-6-1910大企业信息安全内贼现象员工主管给予账号密码收取客人资料并盗用2019-6-1947谢谢观赏10大企业信息安全内贼现象n恶意窃取或损坏资料类型：恶意窃取或损坏资料类型：q1.窃取身份资料：员工存取或偷窃公司客户的身份证号码等隐私资料。q2.窃取机密资料：员工阅览公司机密资料，并将资料复制至其随身碟或透过电子邮件送出公司。q3.毁损资料：员工进入公司的研发或业务重要资料夹，刻意毁损企业具有价值的智慧财产。q4.财务欺骗行为：员工直接在公司信息系统中窜改自己的薪资纪录、或假冒发出采购单等行为。2019-6-1948谢谢观赏10大企业信息安全内贼现象n违背政策的不当使用类型：违

26、背政策的不当使用类型：q5.不当的资料存取：员工将不可携出公司的工作相关资料带回家处理。q6.滥用特殊权限：员工利用其特殊的系统存取权限执行非业务相关工作，如本案例中所提到银行技工滥用权限从事舞弊之行为。q7.非法将数据库备份至光盘或随身碟中。n未授权存取系统黑客类型：未授权存取系统黑客类型：q8.SQL攻击：员工利用 Web 程序的表格档案窜改程序以取得不该取得的资料。q9.软件攻击：员工利用公司使用的应用程序或软件弱点进行攻击。n无意的资料错误处理类型：无意的资料错误处理类型：q10.因人为操作错误而将敏感资料删除或而无法复原。2019-6-1949谢谢观赏名词解释naccess cont

27、rol access control 存取控管存取控管q存取控管是一种对于资料或信息系统使用的安全控制措施，类似守门人的功能。q计算机系统管理者可利用密码或其他身分验证的方式，来对于计算机系统的使用者进行授权/拒绝的存取与控管。q换言之，存取控制在指派与控制使用者之权限(如使用者的身份、使用系统之时间等条件）。存取控管可提供资源系统使用安全功能，降低黑客入侵或资料不当外泄的风险。2019-6-1950谢谢观赏笔记型计算机资料安全管理遭偷窃笔记型计算机居民个人资料外泄个资未加密该如何保障?2019-6-1951谢谢观赏防范措施：防范措施：n1.使用防护锁或移动感应器来降低笔记型计算机失窃机率。n

28、2.计算机开机设定保护密码 n3.重要资料使用加密措施，防止未经授权存取。n4.定时备份重要资料于其它储存媒体中，并予以妥善保存。2019-6-1952谢谢观赏储存媒体的保存阿嘉规划公司整个网络储存架构2019-6-1953谢谢观赏防范措施：n1、使用磁碟阵列等可靠度较高的设备。n2、建立巢状架构，避免单点损坏之风险。n3、建构异地备援。n4、建立备援储存计划，采用正常、复制、差异、”增量与每天等正规方式储存资料，并标示好时间与日期。n5、过期资料应使用强力消磁设备消磁，严禁随意丢弃。n6、建立好销毁流程规范，严格要求。n7、作好机房人员进出控管，建立授权名单，可以考虑进一步使用指纹辨识系统。

29、n8、资料内容加密。2019-6-1954谢谢观赏名词解释ndisaster recovery plan disaster recovery plan 灾难复原计划灾难复原计划q灾难复原，是指当任何紧急事件(如地震、台风、人为疏失等)发生时，包含人员与信息系统都应于第一时间立即因应处理 2019-6-1955谢谢观赏信息安全案例与知识n网络安全n人员与环境安全n资料与存取安全n系统安全q防范计算机黑客的入侵 q遭遇计算机黑客入侵的因应对策 2019-6-1956谢谢观赏防范计算机黑客的入侵设计计算机键盘侧录程序侧录在线游戏者账号2019-6-1957谢谢观赏防范措施防范措施n1.系统作业更新：

30、时常进行系统程序修正或更新，防范程序漏洞导致入侵事件。n2.权限设定检视：权限设定宜审慎，避免不合适或错误的设定，给予黑客入侵机会。n3.日常作业备份：完善的备份，是降低入侵破坏伤害的基本防线，方式包含备份于USB储存设备，及硬盘等外接装置，或将档案压缩后置于档案服务器。n4.稽核轨迹管理：启动各种系统、应用程序、网络设备的事件稽核功能，使所有存取纪录皆有迹可查。n5.时间校正：所有计算机与网络设备应设定自动校正时间，避免因时间纪录不一致，影响入侵事件的分析。2019-6-1958谢谢观赏遭遇计算机黑客入侵的因应对策建中学生补习班大学入试中心学生个资2019-6-1959谢谢观赏防范措施n1.

31、系统备份系统备份：一旦发生黑客入侵，首要之务在于立即进行系统备份，一方面保存重要档案资料，另一方面，也保存受害证据，以供日后告发之用。n2.系统隔离系统隔离：包含以防火墙将受害计算机隔离封锁、移除受害计算机网路连线、关闭受害系统与无关账号，以避免灾害扩大。n3.稽核纪录稽核纪录：清查作业系统、服务程序、防火墙、入侵侦测，及网络设备等所有可能留下的稽核纪录，以作报警处理之用。n4.分析追查分析追查：从上述各事件纪录，追查入侵的IP来源、入侵过程与方法。n5.复原与改善复原与改善：将受损计算机进行复原，并针对入侵事件，改善与强化资安工作。2019-6-1960谢谢观赏名词解释n何谓何谓P2P软件？

32、软件？(点对点通讯传输工具)q传统HTTP/FTP传送档案方式，采用户与主机的通讯模式(Client-Server Mode)。q新制P2P档案传送，采取用户与用户的通讯模式，可以同时连接多个下载点，分散式下载档案。使得P2P可以快速完成档案下载的目标。Skype也是P2P的一种应用工具。q档案分享是目前 P2P 最主要的一种应用，P2P 档案分享软件本身是合法的，合不合法则是在分享的档案。2019-6-1961谢谢观赏P2P软件可能安全问题nP2P软件可能影响的网络安全问题qP2P工具包，可能被恶意人员放置木马后门程序，与病毒蠕虫。qP2P软件本身的漏洞，造成黑客入侵。q使用P2P软件，误将

33、本机目录开放共享。q使用P2P软件下载影音档案，多半为mp3与mpeg,avi等档案，可能造成侵权行为。n防范措施q下载任何工具软件，从原厂官方网站取得。q不要在公众或公务计算机下载P2P档案。q使用P2P工具，要缩短暴露在网际网络的时间。q使用任何网络工具(包含P2P档案下载工具)，不应侵害他人权益，入侵他人计算机或是侵害著作权。qP2P技术是技术潮流，不反对P2P发展，而是反对在办公室与校园，使用P2P档案下载。2019-6-1962谢谢观赏资通安全相关法令63谢谢观赏2019-6-19资通安全相关法令n国家机密保护法n电子签章法n刑法(防骇条款)n计算机处理个人资料保护法n档案法n著作权

34、法n行政院及所属各机关信息安全管理要点n机关公文电子交换作业办法n智慧财产权Intellectual Property Rights(IPR)2019-6-1964谢谢观赏妨害计算机使用罪简介n随着信息科技快速发展，网际网络应用日益普及与多元，除了带给我们许多生活上的便利，但也衍生一些资通安全问题，特别是网络犯罪行为已有增多趋势。n网络犯罪行为大约可归类下列三种q以网络作为犯罪工具网络诈欺、网络恐吓等q以网络作为攻击标的窜改档案、阻断式服务攻击、黑客入侵、计算机病毒等。q以网络作为犯罪场所如色情、诽谤、赌博等n为避免计算机犯罪与维护网络秩序，特于刑法中设立相关法令条文以为管理-刑法第36章妨害

35、计算机使用罪章。2019-6-1965谢谢观赏妨害计算机使用罪主要内容(1)n第358条无故入侵计算机罪q无故输入他人账号密码、破解使用计算机之保护措施或利用计算机系统之漏洞，而入侵他人之计算机或其相关设备者，处三年以下有期徒刑、拘役或科或并科十万元以下罚金。q本条主要目的为遏止黑客入侵行为。n第359条无故取得、删除或变更他人电磁纪录罪q无故取得、删除或变更他人计算机或其相关设备之电磁纪录，致生损害于公众或他人者，处五年以下有期徒刑、拘役或科或并科二十万元以下罚金。q本条主要目的为确保计算机内部电磁纪录安全。2019-6-1966谢谢观赏妨害计算机使用罪主要内容(2)n第360条无故干扰计算

36、机系统罪q无故以计算机程序或其他电磁方式干扰他人计算机或其相关设备，致生损害于公众或他人者，处三年以下有期徒刑、拘役或科或并科十万元以下罚金。q本条主要目的为维护计算机及网络运作正常。n第361条对公务机关犯罪之加重q对于公务机关之计算机或其相关设备犯前三条之罪者，加重其刑至二分之一。q本条主要目的为确保国家安全。2019-6-1967谢谢观赏妨害计算机使用罪主要内容(3)n第362条制作供犯罪程序罪q制作专供犯本章之罪之计算机程序，而供自己或他人犯本章之罪，致生损害于公众或他人者，处五年以下有期徒刑、拘役或科或并科二十万元以下罚金。q本条主要目的为防止犯罪工具之利用与扩散。n第363条告诉乃

37、论q第三百五十八条至第三百六十条之罪，须告诉乃论。q本条主要目的为集中司法资源对抗重大犯罪。2019-6-1968谢谢观赏个人资料保护法制简介侯望伦69谢谢观赏2019-6-19什么是隐私权（Privacy）？nThe Right To Be Let Alonen隐私权的种类q身体隐私权q通讯隐私权q领域隐私权q信息隐私权n个人资料自决权q任何人对于其相关之个人资料，如不涉及公益 原则上均得自我决定是否公开或提供他人利用2019-6-1970谢谢观赏个人资料之定义n个人资料：指自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、

38、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。2019-6-1971谢谢观赏个人资料当事人之权利n查询及请求阅览n请求制给复制本n请求补充或更正n请求停止计算机处理及利用n请求删除不得预先抛弃或以特约限制不得预先抛弃或以特约限制2019-6-1972谢谢观赏预防措施_1n防止蓄意窃取敏感资料者q立即封锁机密资料外传行为，并通知IT管理员纪录员工是否有外传机密资料的行为，如写出管道、使用计算机、登入帐号、写出位置与违规时间等。n提防授权者公器私用q根据调查，78%的资料外流来自内部授权的使用者，企业必须纪录授权者接触机密资料的行为与时间，并且强迫要求输

39、入密码加密以落实离开控管后的保护。n提防组织内的粗心使用者q当员工企图将机密资料以USB、email、IM或FTP等管道传输出去时，系统会立即在其的计算机视窗示警，以此教育使用者并记录其行为。2019-6-1973谢谢观赏预防措施_2n提防机密资料存放终端计算机q透过定期终端计算机扫描的方式，预防、避免员工将只能存放在档案服务器中的机密文件拷贝至个人计算机里。n可搭配辅助举证的资料q有办法确认资料外泄者是否平日即有权限存取机密或敏感资料、档案？q是否有系统可以记录资料外泄者平常存取、复制的档案资料与持门禁卡进出公司的时间？q贵单位是否有明文规定机密或敏感资料不得存于USB？q以及当单位陷入涉嫌

40、外泄个资时，能否即刻拿出相关的登入纪录与录像机的纪录等佐证资料？2019-6-1974谢谢观赏建立ISMS75谢谢观赏2019-6-19ISMS规范与控制项n信息安全政策订定与评估n信息安全组织n信息资产分类与管制n人员安全管理与教育训练n实体与环境安全n通讯与作业安全管理n存取控制安全n系统开发与维护之安全n信息安全事件之反应及处理n业务永续运作管理n相关法规与施行单位政策之符合性2019-6-1976谢谢观赏ISMS建置步骤-规划n依据该单位之类型、规模、资源、业务性质等特性，定义ISMS之范围；n考虑相关法律、法规以及合约之要求，于适度评估风险及应对措施后，订出经由管理阶层核准之ISMS

41、政策；n并拟定一份适用性声明书文件。2019-6-1977谢谢观赏ISMS建置步骤-执行n施行单位应确实实施控制措施，以符合控管的目标，n并执行训练与认知计划，确保侦测安全事件的能力，以及迅速回应和应对处理的时效。2019-6-1978谢谢观赏ISMS建置步骤-考核n施行单位应针对ISMS进行监控程序与其他控制措施，实时鉴别资安事件的发生、处理顺序与解决方法；n定期审查ISMS之有效性(建议一学年至少一次)，并将相关有显著影响之活动与事件记录下来。2019-6-1979谢谢观赏ISMS建置步骤-改善n施行单位应定期实行改进活动，采取适当的矫正与预防措施，n并得到管理阶层之同意，并确保各项措施达到预期目标。2019-6-1980谢谢观赏ISMS建置步骤2019-6-1981谢谢观赏2019-6-1982谢谢观赏行政人员的协助与参与重点n参与教育训练n协助信息资产盘点n协助风险分析n提出安全需求n定期实施查核n协助持续改善，完成PDCA循环2019-6-19谢谢观赏832019-6-1984谢谢观赏