1、*學院行政人員資訊安全訓練教材資訊安全基本認知主講人資訊管理系教授*目錄n何謂資訊安全n資訊安全知識q網路安全q人員與環境安全q資料與存取安全q系統安全n資訊安全相關法令n建立ISMS2023/1/162行政人員資安教育學術單位的資訊安全n為麼學校單位需要資訊安全q學生學籍資料q成績資訊q教師與員工相關個人資訊qn學校單位所擁有的資訊特色q大多屬於非機密性q具敏感性且涉及隱私及個人資料保護法相關規定2023/1/163行政人員資安教育何謂資訊安全n有效的防止資訊遭到竊取、竄改、毀損、滅失或遺。簡言之,就是確保資訊的CIA:qConfidentiality 機密性:保護資訊被非法存取或揭。qIn
2、tegrity 完整性:確保資訊在任何階段都沒有適當的修改或損毀。qAvailability 可用性:經授權的使用者能適時的存取所需資訊。2023/1/164行政人員資安教育資訊安全的範圍n保護及維護資料的安全,包含:q資料的使用q資料的傳遞q資料的處理q資料的儲存2023/1/165行政人員資安教育資訊安全管理重點人員資安知識與能資安控管程資安處理技術2023/1/166行政人員資安教育資訊安全案例與知識n網路安全q電子郵件q垃圾郵件q網路購物q公用電腦使用n人員與環境安全n資料與存取安全n系統安全2023/1/167行政人員資安教育電子郵件:e-mail 附件是執行檔也有危險?為駭客開啟一
3、扇大門小趙收到E-mail:Confidential(機密)明人士打開e-mail 同時也透過網路自動下載一個執行檔 後門程式後門程式也因此得以植入他的電腦系統當中駭客使用遠端遙控2023/1/168行政人員資安教育電子郵件防範措施n1.1.任意開啟任意開啟來路明的電子郵件及其附加檔案,論附檔名為何論附檔名為何,最好直接這類郵件刪除刪除。n2.2.設定作業系統的自動更新機制自動更新機制(如Windows Updates),進行系統洞修補,使電腦系統隨時保持最新的安全狀態。n3 3.安裝防毒軟體安裝防毒軟體並定期更新病毒碼定期更新病毒碼,以防阻e-mail可能夾帶的電腦病毒。n4.4.安裝個人防
4、火牆安裝個人防火牆,以防阻e-mail中可能夾帶的間諜程式竊取資訊。n5.5.即使郵件是來自於熟識者,在打開附件檔案前,仍應使用防毒軟體掃瞄後防毒軟體掃瞄後才可開啟,尤其是轉寄郵件。2023/1/169行政人員資安教育電子郵件名詞解釋(1/3)nback doorback door後門程式後門程式 q後門指的是可以“繞過”、“規避”電腦內部安全系統的另一個管道。q可能是在軟體設計時,程式設計師方便未來進入系統維護所留下的程式,也可能是電腦遭受到入侵而被植下的程式。q許多駭客會經由後門繞過安全驗證,非法進入電腦進行破壞或竊取資料。nHacker Hacker 駭客駭客Hackerq電腦駭客原是指
5、電腦很強的人;Cracker則表示有犯罪記錄或行為的電腦高手。q但是後來大家卻混淆了這兩個字的含意,而將凡是在網路上利用技術危害他人的人,統稱為駭客。2023/1/1610行政人員資安教育電子郵件名詞解釋(2/3)n木馬程式木馬程式q是一種後門程式,也是目前非常行的病毒程式,與一般的病毒同,它會自我繁殖,也會刻意地去感染其他文件。q木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵,並透過偽裝吸引用戶下載執行或安裝,提供種木馬者打開被種者的電腦門戶,使種木馬的人可以任意毀壞、竊取被種者的文件或操作畫面,甚至遠端操控被種者的電腦。q木馬程式最終的目的就是蒐集情資、等待時機執行破
6、壞任務、當作跳板進行滲透。q手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉送達到跳板功能等。q絕大部分的木馬程式所具備的功能與目的,僅具備單一功能、單一目的,而是具備混合功能(hybrid)與多目標導向。nnetbus殭屍網路殭屍網路是一種木馬程式,可提供植入者能在遠端遙控被植入者電腦,作為攻擊者的傀儡電腦,隱藏其攻擊軌跡。2023/1/1611行政人員資安教育電子郵件名詞解釋(3/3)nanti-virusanti-virus電腦防毒軟體電腦防毒軟體 q防毒軟體是一種程式,安裝於電腦內能夠檢測入侵電腦的電腦病毒、木馬程式與電腦蠕蟲,當檢測到病毒時,程式會
7、將病毒進行隔離或刪除,以避免病毒程式對電腦系統進行破壞。nfirewallfirewall防火牆防火牆 q網路防火牆用以管制外部使用者對內部網路及網站的連結和存取,並執行稽核作業。裝設防火牆就如同住戶為了住家安全性,特意加上一層的門禁系統。q防火牆會控制和監控所有外部和內部網路的交通;包括讓內部使用者可以對外取得整體的服務,而對於外來使用者則以選擇性的條件加以檢驗,只允許經授權的使用者連線使用,阻擋可能進入企業內部網路的駭客、病毒和電腦蟲。2023/1/1612行政人員資安教育垃圾郵件:垃圾郵件防範DIY溫馨的5月母親節主題垃圾郵件夾帶電腦病毒、或以偽裝成大型購物網站的連結騙取使用者密碼、銀行
8、帳號等隱私資訊2023/1/1613行政人員資安教育垃圾郵件防範措施(1/2)n1.絕回信絕回信n2.在搜尋引擎中鍵入你的e-mail,檢查看看是否你的e-mail是否很容易讓垃圾郵件佈者取得;若可能,盡可能地移除掉移除掉emailemail曝光曝光的機會。n3.將你的郵件軟體設定為顯示圖片,某些廠商會在發送html格式含圖片的電子郵件時,加上網站信(Webbeacons),用來計算開啟電子郵件的數目、或者統計哪個電子郵件地址開啟了哪些郵,關閉垃圾郵件的圖片顯示可以阻斷Web beacons功能。2023/1/1614行政人員資安教育垃圾郵件防範措施(2/2)n4.絕按下垃圾郵件提供的超連結垃
9、圾郵件提供的超連結。n5.絕使用其取消訂閱的功能絕使用其取消訂閱的功能,因為當你按下取消訂閱時也同時讓垃圾郵件散佈者確認你的e-mail是有效的。n6.在任何網站上留下你的電子郵件資料時,先閱閱讀該網站的隱私權政策讀該網站的隱私權政策,確保你的電子郵件資料會用作其他用途。n7.設定設定2 2個個emailemail帳號帳號,其中一個為日常通訊用途,另一個則用來訂閱電子報、或用來參加網路活動填問卷。2023/1/1615行政人員資安教育網路購物:糾紛與詐騙網路購物購買一個皮包匯錢後卻遲遲沒收到商品,李小姐遇到詐騙,個人資料通通被網路釣魚網騙取!2023/1/1616行政人員資安教育網路購物防範措
10、施n1.向個人賣家購物,一定要保留雙方關於買賣的對話紀錄或通聯紀錄。n2.保留匯款單據。n3.向商家索取發票,通常合法商家會開立發票,選擇有發票的商家較有保障。n4.如使用線上刷卡,在刷卡後立即與銀行確認消費紀錄。n5.瞭解自己的權益,依消保法規定,消費者可於收受商品七日內退回,無須說明理由及負擔任何費用。n6.如果發現受騙或被盜刷等情況,應通知刷卡銀行並報警處理。2023/1/1617行政人員資安教育網路購物:網路購物:網拍詐騙增多,買賣兩頭空網拍詐騙增多,買賣兩頭空歹徒仿賣家以一萬五千賣給買家仿買家向賣家購入一萬元商品賣家退五千給仿買家面交後,雙雙得手!買家匯一萬五2023/1/1618行
11、政人員資安教育網路購物防範措施n1.選擇有信譽之交易對象,仔細瞭解對方的信用風評等,並注意網址的正確性,避免落入仿冒網站。n2.利用問與答的機制,於詢問時留意賣家專業度,可瞭解賣家是否夠真心投入、認真經營。賣家若將網路開店視為長期經營,勢必會重視客戶反應及商品品質。n3.從賣家出貨速度、反應問題速度,決定未來是否再向這個賣家購買商品。n4.當拍賣商品具有預訂性質時,為求謹慎,建議向有口碑店面或信用優良的商家訂購,以防預訂詐騙。n5.論是賣家還是買家,堅持面交,一手交錢一手交貨,當場確認物品及金額無誤後才能銀貨兩訖。2023/1/1619行政人員資安教育公用電腦公用電腦:使用他人電腦沒清除記錄,
12、帳號密碼遭竄改使用他人電腦沒清除記錄,帳號密碼遭竄改盜用女方帳號、密碼發現無法登入電子郵件及msn張貼女方裸照並傳送給所有聯絡人(已加入女方新帳密)新申請帳號密碼點閱郵件法現自己的裸照並通知警方2023/1/1620行政人員資安教育防範措施:防範措施:n1.使用電腦後隨手清除網頁瀏覽記錄及cookie資料,並清除在網站上所留下的個人資料。n2.養成使用自動記憶帳號密碼的功能。n3.避免使用他人或公共電腦,上網處理重要或私密事務。n4.使用他人或公共電腦時,特別注意坐在或站在你旁邊的人,因為他們可以輕易地從電腦螢幕上看到你所輸入的帳號、密碼或其他個人資料。n5.若經常使用公共電腦,更換密碼的要更
13、高。2023/1/1621行政人員資安教育名詞解釋ncookiescookies網路紀錄網路紀錄 qcookies是存在瀏覽器中的小型文字檔,記錄使用者瀏覽網頁的資訊,例如:瀏覽的網站位址、使用者曾經輸入的資訊等,當使用者下次再度使用瀏覽器時,電腦能自動顯示最近使用過的網頁。qcookies 也會紀錄使用者的帳號與密碼,因此在使用者再次進入相同頁面時,需要重新輸入名稱與密碼。q由於cookies 的功能會記錄重要的個人資料與網路使用習慣,通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。2023/1/1622行政人員資安教育資訊安全案例與知識n網路安全n人員與環境安全q
14、防範員工外洩客戶資料q防範社交工程的攻擊 q公司機密外洩的處理 q報廢電腦的資料安全 n資料與存取安全n系統安全2023/1/1623行政人員資安教育人員與環境安全人員與環境安全n案例一、員工偷偷外洩客戶資料案例一、員工偷偷外洩客戶資料 n案例二、防範社交工程的攻擊案例二、防範社交工程的攻擊 n案例三、公司機密外洩的處理案例三、公司機密外洩的處理 n案例四、報廢電腦的資料安全案例四、報廢電腦的資料安全 2023/1/1624行政人員資安教育員工偷偷外洩客戶資料不法集團政府機關電信事業金融事業單位2023/1/1625行政人員資安教育防範措施:防範措施:n1.針對資料保密、客戶隱私權等相關法令對
15、所有員工進行教育宣導,尤其是電腦處理個人資料保護法的瞭解,說明若將客戶資料外洩或私自盜賣,最重可處三年以下有期徒刑。n2.依職務需求授予資料或檔案的存取權限,避免非相關職務人員皆能存取隱私資料。n3.針對員工使用私人儲存媒體進行規範,例如禁止員工使用USB隨身碟或磁片,如此可避免員工因職務上的便利,將機密帶離公司。n4.限制員工電子郵件可夾帶檔案的大小,以避免員工透過電子郵件外洩大量公司料。2023/1/1626行政人員資安教育防範社交工程的攻擊電腦中毒不明信件個人電腦2023/1/1627行政人員資安教育防範措施:防範措施:n1.儘量避免加入明來源的MSN 使用者,接受明聯絡人的檔案。n2.
16、使用掃毒程式在點閱信件之前確認件的安全性。n3.限制如果系統主動對外發信必須通過系統管理員同意。n4.對權限加以分級控管,非屬於個人份事宜應掌握帳號密碼等特殊權限,以免因為了解安全等級而慎外重要資訊。n5.安裝個人防火牆,阻擋明程式嘗試對外連線。2023/1/1628行政人員資安教育名詞解釋nsocial engineering social engineering 社交工程社交工程q社交工程主要是利用人性的弱點而進行詐騙。社交工程是一種非技術性的入侵,是藉由與人透過社交手段進行犯罪行為。現代病毒已開始結合社交工程概念,例如ILOVEYOU病毒就是透過在電子郵件中以我愛你為附加檔案的檔名,誘導
17、使用者打開附件,然而在使用者打開附件的同時,即被植入病毒,這就是利用社交工程入侵電腦的一個範例。2023/1/1629行政人員資安教育公司機密外洩的處理竊取公司機密竊取公司重型機車引擎設計圖、電腦檔案與相關模具組等商業機密員工旅遊期間利用貨櫃,私運到美國被警方逮捕2023/1/1630行政人員資安教育防範措施n1.資訊分級授權:將企業內部資產與資訊列冊並評鑑機密等級,依等級訂定授權。n2.權限控管:授權能氾濫,應依職務分級授予存取、傳遞、交換等權限,並期審查權限適當性,以及保留存取權限稽核資料。n3.簽訂安全保密合約:與員工簽訂合約,除了可供違約時的責任追溯與求償外,具有一定的預防遏阻作用。n
18、4.隨身碟禁用規定:為防止員工私自複製司機密資料,可限制員工使用行動碟、MP3隨身碟等儲存裝置。n5.安全通報與處理機制:若員工發現同仁有異常行為,應透過安全通報機制立即反應,預防危安事件發生。2023/1/16行政人員資安教育31名詞解釋nauthorization authorization 授權授權q授權,指的是將資源系統的使用權限授與特定人員的過程。獲得授權的人員具有使用特定資源系統的權限。通常系統管理員會按企業相關規定或政策,來給予使用者同的授權,以及使用者能使用資源系統的的權限與層級有多大。2023/1/1632行政人員資安教育報廢電腦的資料安全報廢電腦不當處理資料外洩2023/1
19、/1633行政人員資安教育防範措施:n1.電腦報廢前,針對整個電腦系統或內含資訊的進行備份。n2.將上述的備份移轉至新的機器或其他備份裝置中。n3.執行完整的資訊設備報廢處理程序,包括針對電腦硬碟執行重新格式化、相關作業軟體、資料及具有版權之系統軟體;針對磁碟或光碟片等儲存媒體進行實體銷毀,如切碎、折損等。2023/1/1634行政人員資安教育名詞解釋nMalicious URL injectionMalicious URL injection網頁隱藏式惡意連結網頁隱藏式惡意連結q又稱為網頁惡意掛馬或網頁掛馬。指駭客竄改所攻擊的網頁,植入惡意連結,或者是設立惡意網站,透過宣傳手法,利用一般人的
20、好奇心吸引觀眾到站瀏覽,使用者只要連上網站,就會轉落入駭客預先設計好的陷阱,被植入木馬程式。進而被竊取電腦中的資料或機密造成損失。2023/1/1635行政人員資安教育資訊安全案例與知識n網路安全n人員與環境安全n資料與存取安全q定期檢查存取權限 q帳號借他人使用出包 q使用者密碼管理 q設定優質密碼保障資料安全 q10大企業資訊安全內賊現象 q筆記型電腦資料安全管理 q儲存媒體的保存 n系統安全2023/1/1636行政人員資安教育定期檢查存取權限 離職竊取公司帳號、密碼將公司重要文件轉寄私人信箱2023/1/1637行政人員資安教育防範措施:n員工離職前應提醒其保密義務及法律責任。n員工離
21、職後應立即取消其網路存取權限。n員工離職,應酌量風險決定凍結或移除其帳號並變更密碼。n針對公司重要系統主機應定期檢查帳號及密碼之設定。n針對公司重要系統主機應定期檢查存取權限及存取紀錄。2023/1/1638行政人員資安教育帳號借他人使用出包友人友人提供網路帳號密碼使用利用他人名義販售商品商品(教育部網站教育部網站)楊姓主任2023/1/1639行政人員資安教育防範措施n(1)個人帳號可借任何人使用,包括像公務資料系統、網站、e-mail、網路金融、ISP帳號等。n(2)要將帳號密碼隨手記錄於紙本隨意置;更要將密碼寫在便利貼貼在電腦螢幕邊。n(3)要告訴任何人您的帳號密碼,包括像對方來電表示自
22、己是資訊部門人員、銀行客服人員等。n(4)重要系統、網站在登入時,應留意一下系統提醒的連線歷史紀錄是否有明的登入紀錄。2023/1/1640行政人員資安教育使用者密碼管理盜用網拍帳號2023/1/1641行政人員資安教育防範措施(1/2)n一、防禦的技巧q(1)簽署保密聲明:要求使用者簽署對個人帳號密碼保密之聲明。q(2)強制變更密碼:確保一開始即提供使用者安全之臨時密碼,也應強制使用者在第一次登入系統時立刻更改。q(3)在提供新的、替換或臨時密碼前,須驗證使用者身分。q(4)以安全的方式將密碼交給使用者,勿交由第三方轉交或使用明碼傳送。q(5)密碼得以無保護形式儲存於任何實體設備或可攜式設備
23、中。2023/1/1642行政人員資安教育防範措施(2/2)n二、解決的技巧q(1)網頁開發時,結合自然人憑證之機制,於使用者(買方或賣方)登入或登出時均啟動確認身分之機制;目前僅有以信用卡/轉帳付款時,才啟動確認身分之機制,顯然是足的。q(2)應有健全的通報機制,例如例假日或非上班時段,可增列語音或發送簡訊的處置機制,由值班之客服人員判定處理優先順序。q應從資安事件中學習及檢討,例如透過客服系統,定期統計及彙整出相關事件發生之來由及解決方案,作為改善及提升服務品質之依據。2023/1/1643行政人員資安教育設定優質密碼保障資料安全上傳私密照片到網路相簿遭他人竊取帳密並惡意散布私密照片202
24、3/1/1644行政人員資安教育優質密碼防範措施(1/2)n1.密碼長度建議至少六碼以上,且最好可參雜數字、英文字母、特殊符號、大小寫。n2.應儘量避免使用易猜測或公開資訊為設定,例如q個人姓名、出生年月日、身分證字號q機關、單位名稱或其他相關事項q使用者ID、其他系統IDq電腦主機名稱、作業系統名稱q電話號碼q英文或是其他外文字典的字彙q專有名詞q空白 2023/1/1645行政人員資安教育優質密碼防範措施(2/2)n3.應保護密碼,維持密碼的機密性,勿使用同一套密碼行遍天下,以避免所有關的登入資料同時都被破解。n4.需定期更新密碼,建議更新頻率至少為三個月一次。n5.使用過於複雜而易記憶的
25、密碼,以免擔心遺忘,而必須將密碼寫下,卻可能提高了密碼外洩的風險。2023/1/1646行政人員資安教育10大企業資訊安全內賊現象員工主管給予帳號密碼收取客人資料並盜用2023/1/1647行政人員資安教育10大企業資訊安全內賊現象n惡意竊取或損壞資料類型:惡意竊取或損壞資料類型:q1.竊取身份資料:員工存取或偷竊公司客戶的身份證號碼等隱私資料。q2.竊取機密資料:員工閱覽公司機密資料,並將資料複製至其隨身碟或透過電子郵件送出公司。q3.毀損資料:員工進入公司的研發或業務重要資料夾,刻意毀損企業具有價值的智慧財產。q4.財務欺騙行為:員工直接在公司資訊系統中竄改自己的薪資紀錄、或假冒發出採購單
26、等行為。2023/1/1648行政人員資安教育10大企業資訊安全內賊現象n違背政策的當使用類型:違背政策的當使用類型:q5.當的資料存取:員工將可攜出公司的工作相關資料帶回家處理。q6.濫用特殊權限:員工利用其特殊的系統存取權限執行非業務相關工作,如本案例中所提到銀行技工濫用權限從事舞弊之行為。q7.非法將資料庫備份至光碟或隨身碟中。n未授權存取系統駭客類型:未授權存取系統駭客類型:q8.SQL攻擊:員工利用 Web 程式的表格檔案竄改程式以取得該取得的資料。q9.軟體攻擊:員工利用公司使用的應用程式或軟體弱點進行攻擊。n無意的資料錯誤處理類型:無意的資料錯誤處理類型:q10.因人為操作錯誤而
27、將敏感資料刪除或而無法復原。2023/1/1649行政人員資安教育名詞解釋naccess control access control 存取控管存取控管q存取控管是一種對於資料或資訊系統使用的安全控制措施,類似守門人的功能。q電腦系統管理者可利用密碼或其他身分驗證的方式,來對於電腦系統的使用者進行授權/拒絕的存取與控管。q換言之,存取控制在指派與控制使用者之權限(如使用者的身份、使用系統之時間等條件)。存取控管可提供資源系統使用安全功能,降低駭客入侵或資料當外洩的風險。2023/1/1650行政人員資安教育筆記型電腦資料安全管理遭偷竊筆記型電腦居民個人資料外洩個資未加密該如何保障?2023/1
28、/1651行政人員資安教育防範措施:防範措施:n1.使用防護鎖或移動感應器來降低筆記型電腦失竊機率。n2.電腦開機設定保護密碼 n3.重要資料使用加密措施,防止未經授權存取。n4.定時備份重要資料於其它儲存媒體中,並予以妥善保存。2023/1/1652行政人員資安教育儲存媒體的保存阿嘉規劃公司整個網路儲存架構2023/1/1653行政人員資安教育防範措施:n1、使用磁碟陣列等可靠度較高的設備。n2、建立巢狀架構,避免單點損壞之風險。n3、建構異地備援。n4、建立備援儲存計畫,採用正常、複製、差異、”增量與每天等正規方式儲存資料,並標示好時間與日期。n5、過期資料應使用強消磁設備消磁,嚴禁隨意丟
29、棄。n6、建立好銷毀程規範,嚴格要求。n7、作好機房人員進出控管,建立授權名單,可以考慮進一步使用指紋辨識系統。n8、資料內容加密。2023/1/1654行政人員資安教育名詞解釋ndisaster recovery plan disaster recovery plan 災難復原計畫災難復原計畫q災難復原,是指當任何緊急事件(如地震、颱風、人為疏失等)發生時,包含人員與資訊系統都應於第一時間立即因應處理 2023/1/1655行政人員資安教育資訊安全案例與知識n網路安全n人員與環境安全n資料與存取安全n系統安全q防範電腦駭客的入侵 q遭遇電腦駭客入侵的因應對策 2023/1/1656行政人員資
30、安教育防範電腦駭客的入侵設計電腦鍵盤側錄程式側錄線上遊戲者帳號2023/1/1657行政人員資安教育防範措施防範措施n1.系統作業更新:時常進行系統程式修正或更新,防範程式洞導致入侵事件。n2.權限設定檢視:權限設定宜審慎,避免合適或錯誤的設定,給予駭客入侵機會。n3.日常作業備份:完善的備份,是降低入侵破壞傷害的基本防線,方式包含備份於USB儲存設備,及硬碟等外接裝置,或將檔案壓縮後置於檔案伺服器。n4.稽核軌跡管理:啟動各種系統、應用程式、網路設備的事件稽核功能,使所有存取紀錄皆有跡可查。n5.時間校正:所有電腦與網路設備應設定自動校正時間,避免因時間紀錄一致,影響入侵事件的分析。2023
31、/1/1658行政人員資安教育遭遇電腦駭客入侵的因應對策建中學生補習班大學入試中心學生個資2023/1/1659行政人員資安教育防範措施n1.系統備份系統備份:一旦發生駭客入侵,首要之務在於立即進行系統備份,一方面保存重要檔案資料,另一方面,也保存受害證據,以供日後告發之用。n2.系統隔離系統隔離:包含以防火牆將受害電腦隔離封鎖、移除受害電腦網路連線、關閉受害系統與無關帳號,以避免災害擴大。n3.稽核紀錄稽核紀錄:清查作業系統、服務程式、防火牆、入侵偵測,及網路設備等所有可能留下的稽核紀錄,以作報警處理之用。n4.分析追查分析追查:從上述各事件紀錄,追查入侵的IP來源、入侵過程與方法。n5.復
32、原與改善復原與改善:將受損電腦進行復原,並針對入侵事件,改善與強化資安工作。2023/1/1660行政人員資安教育名詞解釋n何謂何謂P2P軟體?軟體?(點對點通訊傳輸工具)q傳統HTTP/FTP傳送檔案方式,採用戶與主機的通訊模式(Client-Server Mode)。q新制P2P檔案傳送,採取用戶與用戶的通訊模式,可以同時連接多個下載點,分散式下載檔案。使得P2P可以快速完成檔案下載的目標。Skype也是P2P的一種應用工具。q檔案分享是目前 P2P 最主要的一種應用,P2P 檔案分享軟體本身是合法的,合合法則是在分享的檔案。2023/1/1661行政人員資安教育P2P軟體可能安全問題nP
33、2P軟體可能影響的網路安全問題qP2P工具包,可能被惡意人員放置木馬後門程式,與病毒蠕蟲。qP2P軟體本身的洞,造成駭客入侵。q使用P2P軟體,誤將本機目錄開放共享。q使用P2P軟體下載影音檔案,多半為mp3與mpeg,avi等檔案,可能造成侵權行為。n防範措施q下載任何工具軟體,從原廠官方網站取得。q要在公眾或公務電腦下載P2P檔案。q使用P2P工具,要縮短暴在網際網路的時間。q使用任何網路工具(包含P2P檔案下載工具),應侵害他人權益,入侵他人電腦或是侵害著作權。qP2P技術是技術潮,反對P2P發展,而是反對在辦公室與校園,使用P2P檔案下載。2023/1/1662行政人員資安教育資通安全
34、相關法令資通安全相關法令n國家機密保護法n電子簽章法n刑法(防駭條款)n電腦處理個人資料保護法n檔案法n著作權法n行政院及所屬各機關資訊安全管理要點n機關公文電子交換作業辦法n智慧財產權Intellectual Property Rights(IPR)2023/1/1664行政人員資安教育妨害電腦使用罪簡介n隨著資訊科技快速發展,網際網路應用日益普及與多元,除了帶給我們許多生活上的便利,但也衍生一些資通安全問題,特別是網路犯罪行為已有增多趨勢。n網路犯罪行為大約可歸類下列三種q以網路作為犯罪工具網路詐欺、網路恐嚇等q以網路作為攻擊標的竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等。q以網路作為
35、犯罪場所如色情、誹謗、賭博等n為避免電腦犯罪與維護網路秩序,特於刑法中設立相關法令條文以為管理-刑法第36章妨害電腦使用罪章。2023/1/1665行政人員資安教育妨害電腦使用罪主要內容(1)n第358條無故入侵電腦罪q無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。q本條主要目的為遏止駭客入侵行為。n第359條無故取得、刪除或變更他人電磁紀錄罪q無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。q本條主要目的為確保電腦
36、內部電磁紀錄安全。2023/1/1666行政人員資安教育妨害電腦使用罪主要內容(2)n第360條無故干擾電腦系統罪q無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。q本條主要目的為維護電腦及網路運作正常。n第361條對公務機關犯罪之加重q對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。q本條主要目的為確保國家安全。2023/1/1667行政人員資安教育妨害電腦使用罪主要內容(3)n第362條製作供犯罪程式罪q製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下
37、有期徒刑、拘役或科或併科二十萬元以下罰金。q本條主要目的為防止犯罪工具之利用與擴散。n第363條告訴乃論q第三百五十八條至第三百六十條之罪,須告訴乃論。q本條主要目的為集中司法資源對抗重大犯罪。2023/1/1668行政人員資安教育個人資料保護法制簡介侯望倫麼是隱私權(Privacy)?nThe Right To Be Let Alonen隱私權的種類q身體隱私權q通訊隱私權q領域隱私權q資訊隱私權n個人資料自決權q任何人對於其相關之個人資料,如涉及公益 原則上均得自我決定是否公開或提供他人利用2023/1/1670行政人員資安教育個人資料之定義n個人資料:指自然人之姓名、出生年月日、國民身分
38、證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。2023/1/1671行政人員資安教育個人資料當事人之權利n查詢及請求閱覽n請求製給複製本n請求補充或更正n請求停止電腦處理及利用n請求刪除得預先拋棄或以特約限制得預先拋棄或以特約限制2023/1/1672行政人員資安教育預防措施_1n防止蓄意竊取敏感資料者q立即封鎖機密資料外傳行為,並通知IT管理員紀錄員工是否有外傳機密資料的行為,如寫出管道、使用電腦、登入帳號、寫出位置與違規時間等。n提防授權者公器私用q根據調查,78
39、%的資料外來自內部授權的使用者,企業必須紀錄授權者接觸機密資料的行為與時間,並且強迫要求輸入密碼加密以落實離開控管後的保護。n提防組織內的粗心使用者q當員工企圖將機密資料以USB、email、IM或FTP等管道傳輸出去時,系統會立即在其的電腦視窗示警,以此教育使用者並記錄其行為。2023/1/1673行政人員資安教育預防措施_2n提防機密資料存放終端電腦q透過定期終端電腦掃描的方式,預防、避免員工將只能存放在檔案伺服器中的機密文件拷貝至個人電腦裡。n可搭配輔助舉證的資料q有辦法確認資料外洩者是否平日即有權限存取機密或敏感資料、檔案?q是否有系統可以記錄資料外洩者平常存取、複製的檔案資料與持門禁
40、卡進出公司的時間?q貴單位是否有明文規定機密或敏感資料得存於USB?q以及當單位陷入涉嫌外洩個資時,能否即刻拿出相關的登入紀錄與錄影機的紀錄等佐證資料?2023/1/1674行政人員資安教育建立ISMSISMS規範與控制項n資訊安全政策訂定與評估n資訊安全組織n資訊資產分類與管制n人員安全管理與教育訓練n實體與環境安全n通訊與作業安全管理n存取控制安全n系統開發與維護之安全n資訊安全事件之反應及處理n業務永續運作管理n相關法規與施行單位政策之符合性2023/1/1676行政人員資安教育ISMS建置步驟-規劃n依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;n考慮相關法律、法規
41、以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之ISMS政策;n並擬定一份適用性聲明書文件。2023/1/1677行政人員資安教育ISMS建置步驟-執行n施行單位應確實實施控制措施,以符合控管的目標,n並執行訓練與認知計畫,確保偵測安全事件的能,以及迅速回應和應對處理的時效。2023/1/1678行政人員資安教育ISMS建置步驟-考核n施行單位應針對ISMS進行監控程序與其他控制措施,即時鑑別資安事件的發生、處理順序與解決方法;n定期審查ISMS之有效性(建議一學年至少一次),並將相關有顯著影響之活動與事件記錄下來。2023/1/1679行政人員資安教育ISMS建置步驟-改善
42、n施行單位應定期實行改進活動,採取適當的矯正與預防措施,n並得到管理階層之同意,並確保各項措施達到預期目標。2023/1/1680行政人員資安教育ISMS建置步驟2023/1/1681行政人員資安教育行政人員的協助與參與重點n參與教育訓練n協助資訊資產盤點n協助風險分析n提出安全需求n定期實施查核n協助持續改善,完成PDCA循環2023/1/16行政人員資安教育8246凡事不要说我不会或不可能,因为你根本还没有去做!47成功不是靠梦想和希望,而是靠努力和实践48只有在天空最暗的时候,才可以看到天上的星星49上帝说:你要什么便取什么,但是要付出相当的代价50现在站在什么地方不重要,重要的是你往什
43、么方向移动。51宁可辛苦一阵子,不要苦一辈子52为成功找方法,不为失败找借口53不断反思自己的弱点,是让自己获得更好成功的优良习惯。54垃圾桶哲学:别人不要做的事,我拣来做!55不一定要做最大的,但要做最好的56死的方式由上帝决定,活的方式由自己决定!57成功是动词,不是名词!28、年轻是我们拼搏的筹码,不是供我们挥霍的资本。59、世界上最不能等待的事情就是孝敬父母。60、身体发肤,受之父母,不敢毁伤,孝之始也;立身行道,扬名於后世,以显父母,孝之终也。孝经61、不积跬步,无以致千里;不积小流,无以成江海。荀子劝学篇62、孩子:请高看自己一眼,你是最棒的!63、路虽远行则将至,事虽难做则必成!
44、64、活鱼会逆水而上,死鱼才会随波逐流。65、怕苦的人苦一辈子,不怕苦的人苦一阵子。66、有价值的人不是看你能摆平多少人,而是看你能帮助多少人。67、不可能的事是想出来的,可能的事是做出来的。68、找不到路不是没有路,路在脚下。69、幸福源自积德,福报来自行善。70、盲目的恋爱以微笑开始,以泪滴告终。71、真正值钱的是分文不用的甜甜的微笑。72、前面是堵墙,用微笑面对,就变成一座桥。73、自尊,伟大的人格力量;自爱,维护名誉的金盾。74、今天学习不努力,明天努力找工作。75、懂得回报爱,是迈向成熟的第一步。76、读懂责任,读懂使命,读懂感恩方为懂事。77、不要只会吃奶,要学会吃干粮,尤其是粗茶淡饭。78、技艺创造价值,本领改变命运。79、凭本领潇洒就业,靠技艺稳拿高薪。80、为寻找出路走进校门,为创造生活奔向社会。81、我不是来龙飞享福的,但,我是为幸福而来龙飞的!82、校兴我荣,校衰我耻。83、今天我以学校为荣,明天学校以我为荣。84、不想当老板的学生不是好学生。85、志存高远虽励志,脚踏实地才是金。86、时刻牢记父母的血汗钱来自不易,永远不忘父母的养育之恩需要报答。87、讲孝道读经典培养好人,传知识授技艺打造能人。88、知技并重,德行为先。89、生活的理想,就是为了理想的生活。张闻天90、贫不足羞,可羞是贫而无志。吕坤
