1、資訊安全宣導教務處 資訊組 20130827資訊處理作業時應注意事項資訊處理作業時應注意事項 密碼不可在便利貼在附近 人離開電腦要鎖定螢幕或登出 人離開桌面,敏感性紙本要先收好,不可隨便置於桌面 密碼不可太過簡單,最好有多組輪流定期更換 公務電腦一定要有資安防護軟體 不要在公務電腦安裝非法軟體,以造成系統漏洞 紙本敏感性資料,繕打錯誤或不用時一定要碎掉,不可變成資源回收品 密碼安全設定密碼安全設定 密碼強度不足,使你危機四伏 剖析不良的密碼設定方式 密碼安全設定原則 密碼強度不足,使你危機四伏 簡單來說,帳號就像我們住的房子,而密碼就是大門的門鎖,如果帳號沒有設定密碼,就像未上鎖的大門,陌生人
2、都可以輕易的進出,對安全造成極大隱憂!暴力破解輕鬆解開弱密碼暴力破解輕鬆解開弱密碼 所謂的暴力破解,就是利用電腦程式,反覆不斷地嘗試輸入密碼,直到密碼被破解為止。密碼被暴力破解的實驗統計結果千萬要避免的密碼設定方式千萬要避免的密碼設定方式 密碼與帳號相同 使用生日、身分證字號、英文名字等個人資料 使用公司、部門、單位名稱 使用與系統管理相關專有名詞(如admin、password等)不設定密碼(空白密碼)使用簡單字元組合(如1234、abcd、111111等)應盡量避免的密碼設定方式應盡量避免的密碼設定方式 隨意數字組合 連續字元組合(如mnopqr、87654等)鍵盤順序組合(如asdfgh
3、、1qaz等)英文單字或片語(如superman、iloveyou等)密碼安全設定原則密碼安全設定原則 不使用懶人密碼不使用懶人密碼 長度與複雜度長度與複雜度 密碼無明顯含義密碼無明顯含義 避免重覆避免重覆 定期更新定期更新 不使用懶人密碼不使用懶人密碼 懶人密碼就是使用者貪圖一時方便,使用極為簡單的密碼設定(如123456),甚者是使用空白密碼,或將密碼與帳號設定相同,而這種毫無強度的密碼設定,是十分危險的!長度與複雜度長度與複雜度 密碼長度應至少8碼以上,並且混合大小寫英文字母、數字及特殊符號,一個複雜度符合安全要求的密碼應至少包含:大寫英文字母 小寫英文字母 數字 特殊字元,如:!#$%
4、&等 密碼無明顯含義密碼無明顯含義 密碼設定應避免單純使用單字或片語,因為容易遭到字典檔攻擊而被破解,或是有特殊意義之名詞組合(如:家人的姓名、生日或興趣),皆使得意圖入侵者有跡可循。避免重覆避免重覆 不要為了方便,把自己的所有網路服務都設定成同樣的帳號與密碼!這樣一來,反而提供了有心人士一個最方便的機會盜用與假冒你所有的網路身分。定期更新定期更新 除了密碼設定要符合安全性要求,定期更新也是密碼安全防護的重要一環,建議應至少每6090天重新設定新密碼。密碼設定小撇步密碼設定小撇步 其實中文輸入法即是種最簡單又有效的變換方式,只要把特定的幾個中文字,採用不同的輸入法鍵入,即是一串旁人難以理解的密
5、碼囉!範例:將我愛你採注音輸入法成為JI3 94 SU3,倉頡輸入法則為HQI BBPE ONF,無蝦米輸入法則為IX ENHP PNS。測試密碼強度軟體 密碼強度檢測器(密碼強度檢測器(Password Strength Checker)是一個檢測密碼強度工具,只要輸入密碼,就會自動幫你偵測密碼強度,不過若密碼太弱的話,你就要自己修正其密碼安全度,這網站只提供檢測服務,並沒有密碼產生的功能喔!http:/ 手機實體安全防範 APP 使用風險與安全建議 享受社群網路服務同時保護個人資料 手機實體安全防範手機實體安全防範 過去,我們的手機裡儲存的個人資料可能只有通訊錄內親朋好友的手機號碼。近期因
6、為智慧型手機的推出與風行,加上3G、Wi-Fi 行動上網的普及,也讓越來越多的消費者開始利用手機登入自己或公司的電子郵件、在Facebook 上與朋友互動、上傳YouTube 影片,或直接在手機上進行線上購物、買票、銀行轉帳交易,甚至現在手機還可以當作是進出高鐵閘門的票券!一旦手機遺失,也代表這些個人帳號、密碼、交易資料,都有洩漏的可能。幾個基本的手機實體安全小撇步設定手機密碼保護手機 使用PIN碼保護手機SIM 卡記下你的手機唯一識別碼(IMEI)安裝搜尋手機軟體設定手機密碼保護手機 手機密碼是指當開機時須輸入的密碼。此密碼是對手機本身的鎖定,輸入後手機才能夠使用。一般手機的預設密碼值是 1
7、234 或 0000,建議使用者必須更改為自己的密碼。使用PIN碼保護手機SIM 卡 PIN 碼可保護你的手機 SIM 卡,避免他人未經同意使用你的手機撥打電話。建議你將電信公司提供預設PIN 碼變更為自己的密碼。為防止他人未經同意利用你的 SIM 卡撥打電話,當不正確的 PIN 碼輸入太多次(通常為 3 次),你的電信服務業者會封鎖 SIM 卡,讓SIM卡無法繼續正常使用記下你的手機唯一識別碼(IMEI)每一個手機都有一個獨立的手機序號列,稱之為 IMEI 碼,相當於行動電話的身分證號碼。通常可以在手機上輸入*#06#後即可以查詢自己手機的IMEI 碼。請記下你的手機 IMEI 碼,當你的手
8、機被偷或遺失時,這組號碼是電信公司向警察單位查詢尋獲手機或贓機的辨識號碼,通常在失竊手機報案時,警察也會詢問你的IMEI碼。安裝搜尋手機軟體 當遺失手機時可以找尋手機位置,還可以遠端清除資料 Find My Iphone(IOS)Find My Phone(Android)絕對不把密碼儲存在手機中 許多人為了方便或擔心忘記,會把密碼(尤其是不常使用的密碼)儲存在手機中,也有許多人喜歡利用手機的電話簿功能,直接將密碼或PIN碼儲存成為一組電話號碼(當然這組電話號碼是撥不通的)。在你的電話遭竊或遺失時,這樣的做法是很危險的!什麼是手機APP?常常聽到的APP其實是英文應用程式 applicatio
9、n 的縮寫。APP就是智慧型手機與平板專用的應用程式。它會透過專屬的應用程式平台讓使用者進行下載 IOS:APP StoreAndroid:Google PlayAPP 使用風險使用風險 智慧型手機、平板電腦等行動設備其實也是一種電腦,有處理器、記憶體與儲存空間,可以安裝各種軟體,能夠上網、玩遊戲和瀏覽影音等,因此也像一般電腦一樣可能存在惡意程式竊取你的資料,或偷偷執行其他動作。APP Store與Google Play比較APP StoreGoogle Play支援作業系統IOSAndroidAPP審核機制由Apple審核採使用者審核惡意APP較少較多手機病毒的危害 導致使用者資訊遭竊導致使
10、用者資訊遭竊 傳播非法訊息傳播非法訊息 使手機無法運作使手機無法運作 導致使用者資訊遭竊導致使用者資訊遭竊 越來越多的手機使用者將個人資訊儲存在手機上,這些資料也引起駭客透過編寫各種病毒入侵手機的方式來進行竊取,再使用於詐騙或冒用身分等不法行為。傳播非法訊息傳播非法訊息 就如同一般個人電腦中毒可能造成的危害,一旦你的手機中毒或被植入惡意程式,駭客會以你的名義,透過你的手機簡訊或電子郵件等管道,大量對外散布色情、非法圖片、電影等資訊或垃圾郵件。使手機無法運作使手機無法運作 這是最常見的手機病毒危害,病毒或惡意程式會破壞手機的軟、硬體或系統,導致手機無法正常運作。手機受病毒感染的癥狀 當你發現以下
11、癥狀時,你的手機可能已經遭到惡意程式或病毒的感染了!電話帳單金額沒有任何理由地暴增。手機簡訊與電子郵件信箱的寄件備份中,出現你不曾寄出過的訊息或電子郵件。手機使用介面(如桌布、主題、手機桌面的擺設方式)突然自行改變。手機手機 APP 安全使用注意事項安全使用注意事項 注意警告標語注意警告標語 只在信譽良好的網站中下載只在信譽良好的網站中下載APP 點選超連結之前請三思點選超連結之前請三思 安裝手機防毒軟體安裝手機防毒軟體 注意警告標語注意警告標語 需特別注意會詢問你是否允許某個軟體安裝到你手機的警告標語,如果你不清楚該軟體是什麼內容,就不要安裝,因為犯罪者會試圖欺騙用戶下載惡意程式。只在信譽良
12、好的網站中下載只在信譽良好的網站中下載APP 建議只在像是Apple APP Store或Google Play Store 等作業系統業者所提供的APP交易平台下載。避免透過手機的瀏覽器下載APP程式,因為從未知或不可靠的來源下載的程式有可能就是惡意程式。點選超連結之前請三思點選超連結之前請三思 透過手機收到含有超連結的訊息,點選超連結之前請三思,特別是當這些訊息來自於你完全不認識的電話號碼或傳訊來源時,一定不要點選訊息中所包含的超連結,因為這些超連結可能會暗藏間諜軟體或病毒,或引導你前往惡意網站。安裝手機防毒軟體安裝手機防毒軟體 手機也可以像電腦一樣安裝防毒軟體,當你透過安裝APP時,它會
13、自動掃描檔案的安全性,避免惡意軟體竄入手機。Sophos Mobile Security(Android系統)如何判別手機惡意程式?注意該APP 的星級評價 觀察使用者對該APP 之評論 查看該APP 的存取權限設定注意該APP 的星級評價 在APP交易平台中,每一個APP都有自己的星級。星級可以讓我們了解其他的下載使用者對於該APP好壞的評價,若大家給的評等都很低(例如1-2顆星),可能代表這個APP不好用,但是4或5顆星的APP也不一定都是沒問題的,應該要注意給評價的人數,若只有10個人說這個APP有5顆星,參考價值可能就不高,若上千個人都給予高評價,那麼就可以考慮下載。觀察使用者對該AP
14、P 之評論 除了星級之外,還可以透過觀察其他使用者對該APP的評論內容來查探一下有沒有其他人被該 APP 欺騙過。在APP交易平台的下載頁面中就能找到其他已經下載過該APP的使用者評論,如果你看到評論中已有受害者的控訴言論,那麼就不要冒險下載這個APP囉!查看該APP 的存取權限設定 作業平台為Android 的手機使用者在下載APP前,手機的頁面上都會告訴你這個 APP 會存取手機的哪些權限,請仔細閱讀,不要為了趕快玩APP遊戲而一直按下一步。如果你只是要下載一個手電筒照明功能的APP,但這個APP卻要求要有GPS定位的權限,這時候你就要注意這個APP是否有其他的意圖,而不要輕易下載喔!享受
15、社群網路服務要保護個人資料享受社群網路服務要保護個人資料 隨著社群網路滲透率提高,智慧型手機夾帶的3G行動上網優勢,降低了使用者對於社群網路服務的使用時間及地點上的限制,使得利用智慧型手機或平板電腦使用社群網路成為趨勢。在缺乏充分的資安認知情況下用手機玩社群網路服務,很容易讓自己或親朋好友的重要資訊及隱私被竊取或曝光!手機的社群網路應用個資保護手機的社群網路應用個資保護 只接受你認識的朋友邀請 謹慎思考要張貼哪些資訊 幫朋友打卡與Tag 前,先取得同意 定期檢視你的隱私權設定 只接受你認識的朋友邀請 盲目接受來自任何人的朋友邀請是非常危險的,接受邀請之前應確認對方為自己所認識且可信任的朋友,若
16、發現已經加入成為朋友者有問題,也可以透過從朋友清單移除方式,與對方切斷關係。謹慎思考要張貼哪些資訊 許多人也會將自己的全名、email、電話、手機、生日、寵物名字、爸媽或伴侶的名字、婚姻狀況等私密資料全部公開,請務必謹慎思考要張貼哪些資訊在你的社群網站中,儘量避免提供過多的個人資料細節,以免遭到詐騙集團或有心人士的利用。幫朋友打卡與Tag 前,先取得同意 若未取得身旁朋友的同意就標示上的話,很可能會讓朋友的隱私也受到侵害,例如朋友不願意讓其他人知道他的行蹤等,從尊重他人隱私的角度,建議幫朋友打卡與Tag 之前,應該先取得對方同意後再進行。定期檢視你的隱私權設定 部分社群網站預設的使用者隱私權設
17、定為公開讓所有人看得到你的個人資料,但是大多數的網站都允許使用者可以進一步做調整與客制化其隱私權設定,建議使用者一定要調整自己的隱私權設定值,最小化可以取得你個人資料的人數。你有手機使用過度或成癮的症狀嗎1.你花在手機的週邊設備費用比手機本身還要多。例如備用電池、螢幕保護貼、保護殼(套)、汽車充電器、藍芽無線耳機與收話器、專屬喇叭或擴音機等。2.你的智慧型手機中安裝了超過 30 個 APP,且每一個 APP 都在使用。3.你的手機已設定鈴聲提醒你生活中的每一件大小事,從重要公司會議到醫生看診預約時間等,若你的手機設定提醒你本週三傍晚要倒垃圾的話,你過度仰賴手機的程度算是很嚴重喔!4.一有機會就
18、使用手機。5.省下所有的生活必需開支以負擔手機通話與上網費用,例如用走的省下公車錢、吃泡麵省下餐費。你有手機使用過度或成癮的症狀嗎6.一顆充滿電力的電池無法支撐你手機一日的使用,每天上班第一件事情就是幫手機充電,下班一回家的第一件事情也是。7.手機故障時,就好像失去了一個好朋友般。8.當遇到一位和你使用相同款式手機的朋友,你只想和對方討論有關手機的主題。9.將手伸到口袋或手提包底部卻沒摸著手機的瞬間,會感到驚慌,你不一定是遺失了手機,而只是忘記把手機帶在身上而已。10.你會帶著手機一起如廁。低頭族的日常 http:/.tw/548508 放下手機,找回最真實的感動 https:/ 電子郵件安全
19、電子郵件安全 電子郵件威脅 電子郵件安全小撇步 防範垃圾郵件電子郵件威脅電子郵件威脅 夾帶病毒及惡意程式 社交工程 垃圾郵件 夾帶病毒及惡意程式 電子郵件是傳播電腦病毒、蠕蟲、木馬程式等意內容的常管道。若收件者慎開啟夾帶有惡意程式的電子郵件,但有可能造成 系統資毀損 成為殭屍電腦而任由駭客擺佈其電腦 造成整個內部網路服務的癱瘓 部分電腦病毒甚至會關閉掃毒引擎,造成防毒功能失效等。社交工程 所謂的社交工程(Social Engineering)是以運用擬真並極具吸引的方式,欺騙他人以獲得有用的資訊。電子郵件社交工程類型主要分為以下二種:設計吸引收件者開啟郵件的主旨 釣魚郵件設計吸引收件者開啟郵件
20、的主旨設計吸引收件者開啟郵件的主旨 此類的電子郵件會誘發人們的好奇心,或是偽裝成來自合法組織、時下流行的話題等,讓收件者以為收到的是無害的電子郵件,但其實收到的是電腦病毒。公文09-881234567號 週休二日的最好去處 RE:關於訂單出貨資訊 2012 年度招募計畫 宜蘭童玩節好好玩!過年賞櫻秘境大公開 釣魚郵件釣魚郵件 釣魚郵件的常模式為網詐騙者發送帶有偽冒網站超結的電子郵件,引誘不知情者前往該山寨版的網站並輸入自己的帳號與密碼,因為山寨版網站的外觀與實際的官方網站十分相像,也讓其有機會剽竊受騙者的帳號密碼。垃圾郵件 所謂的垃圾郵件是指未經受信者同意而寄送到電子信箱裡的信件,也有人稱之為
21、廣告信、大宗郵件。這些垃圾郵件的內容大多是商品廣告,例如:藥品、情色、美容、快速賺錢、愛心募款、低利息貸款等誇大訊息居多。防範垃圾郵件防範垃圾郵件 不曝光:不曝光:即使是在自己的個人網站上,也盡量不曝光您常用的電子郵件,改採取其他的方式來進行告知。不提供:不提供:若非必要,不將電子郵件提供他人,若真的必須在網站中留下資料時,請仔細閱讀網站隱私權保護聲明,了解其用途。不回覆:不回覆:不明來源的信件中即使含取消訂閱的連結,仍應不予理會直接刪除,避免讓寄件者知道此信箱為有效且在使用中。不購買:不購買:許多垃圾郵件內容可能充斥吸引人的商品,不過一旦您進行購買行為,等同鼓勵寄件者持續不斷地寄發垃圾郵件。
22、不轉寄:不轉寄:常見有聲稱不轉寄給10 個人就會倒楣的電子郵件,這種由親友間串接式的轉寄行為,最容易被蒐集大量有效名單。不混淆:不混淆:設定一個私人專用郵件帳號,作為重要、可信任的聯繫溝通,再建立分身電子郵件,作為活動參與或網站註冊之用。電子郵件安全小撇步電子郵件安全小撇步 安裝防毒軟體,不安裝來源不明的軟體 更新軟體修補程式 不要啟用郵件的預覽窗格 辨識釣魚郵件四大重點安裝防毒軟體 電腦安裝防毒軟體為最基本的病毒防護措施,除安裝防毒軟體外,並應下載及使用最新的病毒碼。更新軟體修補程式 電腦系統與軟體通常在推出後,軟體開發業者會根據使用者所反映的意見,針對軟體的功能、效能、系統安全漏洞或錯誤等
23、進行加強與修正,然後推出更新的軟體版本。通常,軟體在進行更新之後在運作上會更為順暢,或者因為新功能的強化,使軟體變得更為好用。如何設定微軟的系統自動更新 WinXP系統自動更新 開始設定控制台自動更新從Windows Update安裝更新 Win7系統自動更新 開始搜尋方塊輸入UpdateWindows Update變更設定不要啟用郵件的預覽窗格 為避免因預設開啟而誤觸病毒信件,建議將讀信模式調整為整頁模式或關閉讀取窗格。辨識釣魚郵件四大重點 觀察信件主旨觀察信件主旨 檢視信件內的超連結檢視信件內的超連結 注意郵件提供者的警示標語注意郵件提供者的警示標語 觀察信件主旨觀察信件主旨 有心人士的詐
24、騙或釣魚電子郵件最常使用引人感興趣的電子郵件主旨,來吸引及誘騙收信人開啟郵件。當下流行或熱門的話題 服務或系統管理者通知信 生活資訊分享 色情影音下載 政治話題當下流行或熱門的話題 林書豪限量球衣拍賣 女神卡卡演唱會門票 劉德華女兒相片曝光 前往倫敦看奧運 王建民重返洋基隊等服務或系統管理者通知信 電子郵件系統更新 臉書帳號停權通知 網路銀行密碼確認 即時通系統管理員通知 您的訂單出貨通知 退稅通知等生活資訊分享 賞櫻秘境大公開 節稅小撇步 好康優惠 實用軟體免費下載 如何提高中獎機率等政治話題 藍綠立委選舉登記 加入候選人粉絲團 選舉買票舞弊揭密等檢視信件內的超連結檢視信件內的超連結 當您覺
25、得某一封電子郵件很可疑時,請特別注意該信件中所包含的超連結網址,檢視方式為,不要立即點選該超連結,而是將您的電腦滑鼠移至該超連結的上方,且注意不要點擊,稍微等候幾秒鐘後,您的郵件視窗下方會出現該超連結真正會連往的網址,此時請確認超連結的網址是否和顯示的文字一樣,如果發現不一致,很可能是釣魚郵件,請勿點選該連結,並立即刪除該信件。檢視信件內的超連結檢視信件內的超連結注意郵件提供者的警示標語注意郵件提供者的警示標語網路釣魚的防範撇步網路釣魚的防範撇步 對於詢問您個人資料的信件提高警覺 不要隨意點選信件中的網址連結及開啟附件 勿貪小便宜點選好康連結 定期檢查交易紀錄與網站帳號 透過加密的網頁功能傳送
26、個人資料 使用安全有效的防護產品 對於詢問您個人資料的信件提高警對於詢問您個人資料的信件提高警覺覺 當收到詢問相關敏感資訊(例如:使用者名稱、帳號、密碼等)的信件要提高警覺,尤其含對外超連結的內容。通常一般大型企業、銀行,都不會透過e-mail 的方式詢問使用者個人資訊。不要隨意點選信件中的網址連結及開啟附件 建議可將經常使用的網站加入我的最愛書籤,直接透過書籤連結至正確網站,或可開啟新的瀏覽器視窗手動輸入網址,除可避免誤連詐騙歹徒設立的假網頁。勿貪小便宜點選好康連結 天下沒有白吃的午餐,對於免費優惠、好康大放送 等吸引人的好康廣告文案,常會引導使用者輸入敏感資料來換取優惠或利益,請務必留意此網站的真實性,並詳知所同意留下的資料之用途及造成的影響。定期檢查交易紀錄與網站帳號定期檢查交易紀錄與網站帳號 對於重要的個人交易網站,應經常檢查帳號和瀏覽交易紀錄,如收到信用卡和銀行帳戶的交易紀錄時,請確認是否有任何未經授權的收費。透過加密的網頁功能傳送個人資料透過加密的網頁功能傳送個人資料 若網頁要求輸入任何敏感性資料,注意網址是否為https(資訊加密協定)開頭、在瀏覽器頁面是否出現黃色鎖頭圖示、或SSL 安全性警示視窗。使用安全有效的防護產品 確保個人電腦維持在安全的狀態,除自身需具備充足的資訊安全觀念,亦建議安裝防護軟體並隨時更新,更加提昇安全性。
