資訊安全宣導(教師版)(439 KB )
Download
Report
Transcript 資訊安全宣導(教師版)(439 KB )
資訊安全宣導
教務處 資訊組 20130827
資訊處理作業時應注意事項
• 密碼不可在便利貼在附近
• 人離開電腦要鎖定螢幕或登出
• 人離開桌面,敏感性紙本要先收好,不可隨便置
於桌面
• 密碼不可太過簡單,最好有多組輪流定期更換
• 公務電腦一定要有資安防護軟體
• 不要在公務電腦安裝非法軟體,以造成系統漏洞
• 紙本敏感性資料,繕打錯誤或不用時一定要碎掉,
不可變成資源回收品
密碼安全設定
• 密碼強度不足,使你危機四伏
• 剖析不良的密碼設定方式
• 密碼安全設定原則
密碼強度不足,使你危機四伏
• 簡單來說,帳號就像我們住的房子,而密
碼就是大門的門鎖,如果帳號沒有設定密
碼,就像未上鎖的大門,陌生人都可以輕
易的進出,對安全造成極大隱憂!
「暴力破解」輕鬆解開弱密碼
• 所謂的「暴力破解」,就是利用電腦程式,
反覆不斷地嘗試輸入密碼,直到密碼被破
解為止。
密碼被暴力破解的實驗統計結果
千萬要避免的密碼設定方式
•
•
•
•
•
•
密碼與帳號相同
使用生日、身分證字號、英文名字等個人
資料
使用公司、部門、單位名稱
使用與系統管理相關專有名詞(如admin、
password等)
不設定密碼(空白密碼)
使用簡單字元組合(如1234、abcd、
111111等)
應盡量避免的密碼設定方式
•
•
•
•
隨意數字組合
連續字元組合(如mnopqr、87654等)
鍵盤順序組合(如asdfgh、1qaz等)
英文單字或片語(如superman、iloveyou等)
密碼安全設定原則
•
•
•
•
•
不使用懶人密碼
長度與複雜度
密碼無明顯含義
避免重覆
定期更新
不使用懶人密碼
• 懶人密碼就是使用者貪圖一時方便,使用
極為簡單的密碼設定(如123456),甚者
是使用空白密碼,或將密碼與帳號設定相
同,而這種毫無強度的密碼設定,是十分
危險的 !
長度與複雜度
• 密碼長度應至少8碼以上,並且混合大小寫
英文字母、數字及特殊符號,一個複雜度
符合安全要求的密碼應至少包含:
– 大寫英文字母
– 小寫英文字母
– 數字
– 特殊字元,如: ! @ # $ % & 等
密碼無明顯含義
• 密碼設定應避免單純使用單字或片語,因
為容易遭到字典檔攻擊而被破解,或是有
特殊意義之名詞組合(如:家人的姓名、
生日或興趣),皆使得意圖入侵者有跡可
循。
避免重覆
• 不要為了方便,把自己的所有網路服務都
設定成同樣的帳號與密碼!這樣一來,反
而提供了有心人士一個最方便的機會盜用
與假冒你所有的網路身分。
定期更新
• 除了密碼設定要符合安全性要求,定期更
新也是密碼安全防護的重要一環,建議應
至少每60~90天重新設定新密碼。
密碼設定小撇步
• 其實中文輸入法即是種最簡單又有效的變
換方式,只要把特定的幾個中文字,採用
不同的輸入法鍵入,即是一串旁人難以理
解的密碼囉!
• 範例:將「我愛你」採注音輸入法成為JI3
94 SU3,倉頡輸入法則為HQI BBPE ONF,
無蝦米輸入法則為IX ENHP PNS。
測試密碼強度軟體
• 密碼強度檢測器(Password Strength
Checker)是一個檢測密碼強度工具,只要
輸入密碼,就會自動幫你偵測密碼強度,
不過若密碼太弱的話,你就要自己修正其
密碼安全度,這網站只提供檢測服務,並
沒有密碼產生的功能喔!
• http://www.refly.net/passwordchecker/
手機上網安全
• 手機實體安全防範
• APP 使用風險與安全建議
• 享受社群網路服務同時保護個人資料
手機實體安全防範
• 過去,我們的手機裡儲存的個人資料可能只有通
訊錄內親朋好友的手機號碼。
• 近期因為智慧型手機的推出與風行,加上3G、
Wi-Fi 行動上網的普及,也讓越來越多的消費者開
始利用手機登入自己或公司的電子郵件、在
Facebook 上與朋友互動、上傳YouTube 影片,
或直接在手機上進行線上購物、買票、銀行轉帳
交易,甚至現在手機還可以當作是進出高鐵閘門
的票券 !
• 一旦手機遺失,也代表這些個人帳號、密碼、交
易資料,都有洩漏的可能。
幾個基本的手機實體安全小撇步
•
•
•
•
設定手機密碼保護手機
使用PIN碼保護手機SIM 卡
記下你的手機唯一識別碼 (IMEI)
安裝搜尋手機軟體
設定手機密碼保護手機
• 手機密碼是指當開機時須輸入的密碼。
• 此密碼是對手機本身的鎖定,輸入後手機
才能夠使用。
• 一般手機的預設密碼值是 1234 或 0000,
建議使用者必須更改為自己的密碼。
使用PIN碼保護手機SIM 卡
• PIN 碼可保護你的手機 SIM 卡,避免他人
未經同意使用你的手機撥打電話。
• 建議你將電信公司提供預設PIN 碼變更為自
己的密碼。
• 為防止他人未經同意利用你的 SIM 卡撥打
電話,當不正確的 PIN 碼輸入太多次 (通
常為 3 次),你的電信服務業者會封鎖
SIM 卡,讓SIM卡無法繼續正常使用
記下你的手機唯一識別碼 (IMEI)
• 每一個手機都有一個獨立的手機序號列,稱之為
IMEI 碼,相當於行動電話的身分證號碼。
• 通常可以在手機上輸入 *#06# 後即可以查詢自己
手機的IMEI 碼。
• 請記下你的手機 IMEI 碼,當你的手機被偷或遺失
時,這組號碼是電信公司向警察單位查詢尋獲手
機或贓機的辨識號碼,通常在失竊手機報案時,
警察也會詢問你的IMEI碼。
安裝搜尋手機軟體
• 當遺失手機時可以找尋手機位置,還可以
遠端清除資料
– Find My Iphone(IOS)
– Find My Phone (Android )
絕對不把密碼儲存在手機中
• 許多人為了方便或擔心忘記,會把密碼
(尤其是不常使用的密碼)儲存在手機中,
也有許多人喜歡利用手機的電話簿功能,
直接將密碼或PIN碼儲存成為一組電話號碼
(當然這組電話號碼是撥不通的)。在你
的電話遭竊或遺失時,這樣的做法是很危
險的 !
什麼是手機APP?
• 常常聽到的APP其實是英文應用程式
application 的縮寫。
• APP就是智慧型手機與平板專用的應用程
式。
• 它會透過專屬的應用程式平台讓使用者進
行下載
– IOS:APP Store
– Android :Google Play
APP 使用風險
• 智慧型手機、平板電腦等行動設備其實也
是一種電腦,有處理器、記憶體與儲存空
間,可以安裝各種軟體,能夠上網、玩遊
戲和瀏覽影音等,因此也像一般電腦一樣
可能存在惡意程式竊取你的資料,或偷偷
執行其他動作。
APP Store與Google Play比較
APP Store
Google Play
支援作業系統
IOS
Android
APP審核機制
由Apple審核
採使用者審核
惡意APP
較少
較多
手機病毒的危害
• 導致使用者資訊遭竊
• 傳播非法訊息
• 使手機無法運作
導致使用者資訊遭竊
• 越來越多的手機使用者將個人資訊儲存在
手機上,這些資料也引起駭客透過編寫各
種病毒入侵手機的方式來進行竊取,再使
用於詐騙或冒用身分等不法行為。
傳播非法訊息
• 就如同一般個人電腦中毒可能造成的危害,
一旦你的手機中毒或被植入惡意程式,駭
客會以你的名義,透過你的手機簡訊或電
子郵件等管道,大量對外散布色情、非法
圖片、電影等資訊或垃圾郵件。
使手機無法運作
• 這是最常見的手機病毒危害,病毒或惡意
程式會破壞手機的軟、硬體或系統,導致
手機無法正常運作。
手機受病毒感染的癥狀
• 當你發現以下癥狀時,你的手機可能已經
遭到惡意程式或病毒的感染了 !
– 電話帳單金額沒有任何理由地暴增。
– 手機簡訊與電子郵件信箱的寄件備份中,出現
你不曾寄出過的訊息或電子郵件。
– 手機使用介面(如桌布、主題、手機桌面的擺
設方式) 突然自行改變。
手機 APP 安全使用注意事項
•
•
•
•
注意警告標語
只在信譽良好的網站中下載APP
點選超連結之前請三思
安裝手機防毒軟體
注意警告標語
• 需特別注意會詢問你是否允許某個軟體安
裝到你手機的警告標語,如果你不清楚該
軟體是什麼內容,就不要安裝,因為犯罪
者會試圖欺騙用戶下載惡意程式。
只在信譽良好的網站中下載APP
• 建議只在像是Apple APP Store或Google
Play Store 等作業系統業者所提供的APP交
易平台下載。
• 避免透過手機的瀏覽器下載APP程式,因
為從未知或不可靠的來源下載的程式有可
能就是惡意程式。
點選超連結之前請三思
• 透過手機收到含有超連結的訊息,點選超
連結之前請三思,特別是當這些訊息來自
於你完全不認識的電話號碼或傳訊來源時,
一定不要點選訊息中所包含的超連結,因
為這些超連結可能會暗藏間諜軟體或病毒,
或引導你前往惡意網站。
安裝手機防毒軟體
• 手機也可以像電腦一樣安裝防毒軟體,當
你透過安裝APP時,它會自動掃描檔案的
安全性,避免惡意軟體竄入手機。
• Sophos Mobile Security (Android系統)
如何判別手機惡意程式?
• 注意該APP 的星級評價
• 觀察使用者對該APP 之評論
• 查看該APP 的存取權限設定
注意該APP 的星級評價
• 在APP交易平台中,每一個APP都有自己的星級。
• 星級可以讓我們了解其他的下載使用者對於該APP好壞的
評價,若大家給的評等都很低(例如1-2顆星),可能代
表這個APP不好用,但是4或5顆星的APP也不一定都是沒
問題的,應該要注意給評價的人數,若只有10個人說這個
APP有5顆星,參考價值可能就不高,若上千個人都給予
高評價,那麼就可以考慮下載。
觀察使用者對該APP 之評論
• 除了星級之外,還可以透過觀察其他使用
者對該APP的評論內容來查探一下有沒有
其他人被該 APP 欺騙過。在APP交易平台
的下載頁面中就能找到其他已經下載過該
APP的使用者評論,如果你看到評論中已
有受害者的控訴言論,那麼就不要冒險下
載這個APP囉 !
查看該APP 的存取權限設定
• 作業平台為Android 的手機使用者在下載
APP前,手機的頁面上都會告訴你這個
APP 會存取手機的哪些權限,請仔細閱讀,
不要為了趕快玩APP遊戲而一直按下一步。
• 如果你只是要下載一個手電筒照明功能的
APP,但這個APP卻要求要有GPS定位的
權限,這時候你就要注意這個APP是否有
其他的意圖,而不要輕易下載喔 !
享受社群網路服務要保護個人資料
• 隨著社群網路滲透率提高,智慧型手機夾
帶的3G行動上網優勢,降低了使用者對於
社群網路服務的使用時間及地點上的限制,
使得利用智慧型手機或平板電腦使用社群
網路成為趨勢。
• 在缺乏充分的資安認知情況下用手機玩社
群網路服務,很容易讓自己或親朋好友的
重要資訊及隱私被竊取或曝光!
手機的社群網路應用個資保護
•
•
•
•
只接受你認識的朋友邀請
謹慎思考要張貼哪些資訊
幫朋友打卡與Tag 前,先取得同意
定期檢視你的隱私權設定
只接受你認識的朋友邀請
• 盲目接受來自任何人的朋友邀請是非常危
險的,接受邀請之前應確認對方為自己所
認識且可信任的朋友,若發現已經加入成
為朋友者有問題,也可以透過從朋友清單
移除方式,與對方切斷關係。
謹慎思考要張貼哪些資訊
• 許多人也會將自己的全名、email、電話、
手機、生日、寵物名字、爸媽或伴侶的名
字、婚姻狀況等私密資料全部公開,請務
必謹慎思考要張貼哪些資訊在你的社群網
站中,儘量避免提供過多的個人資料細節,
以免遭到詐騙集團或有心人士的利用。
幫朋友打卡與Tag 前,先取得同意
• 若未取得身旁朋友的同意就標示上的話,
很可能會讓朋友的隱私也受到侵害,例如
朋友不願意讓其他人知道他的行蹤等,從
尊重他人隱私的角度,建議幫朋友打卡與
Tag 之前,應該先取得對方同意後再進行。
定期檢視你的隱私權設定
• 部分社群網站預設的使用者隱私權設定為
公開讓所有人看得到你的個人資料,但是
大多數的網站都允許使用者可以進一步做
調整與客制化其隱私權設定,建議使用者
一定要調整自己的隱私權設定值,最小化
可以取得你個人資料的人數。
你有手機使用過度或成癮的症狀嗎
1. 你花在手機的週邊設備費用比手機本身還要多。例如備
用電池、螢幕保護貼、保護殼(套)、汽車充電器、藍
芽無線耳機與收話器、專屬喇叭或擴音機等。
2. 你的智慧型手機中安裝了超過 30 個 APP,且每一個
APP 都在使用。
3. 你的手機已設定鈴聲提醒你生活中的每一件大小事,從
重要公司會議到醫生看診預約時間等,若你的手機設定
提醒你本週三傍晚要倒垃圾的話,你過度仰賴手機的程
度算是很嚴重喔 !
4. 一有機會就使用手機。
5. 省下所有的生活必需開支以負擔手機通話與上網費用,
例如用走的省下公車錢、吃泡麵省下餐費。
你有手機使用過度或成癮的症狀嗎
6. 一顆充滿電力的電池無法支撐你手機一日的使用,
每天上班第一件事情就是幫手機充電,下班一回
家的第一件事情也是。
7. 手機故障時,就好像失去了一個好朋友般。
8. 當遇到一位和你使用相同款式手機的朋友,你只
想和對方討論有關手機的主題。
9. 將手伸到口袋或手提包底部卻沒摸著手機的瞬間,
會感到驚慌,你不一定是遺失了手機,而只是忘
記把手機帶在身上而已。
10. 你會帶著手機一起如廁。
• 低頭族的日常
– http://news.gamme.com.tw/548508
• 放下手機,找回最真實的感動
– https://www.youtube.com/watch?v=O5EP1Vz
kZSM
電子郵件安全
• 電子郵件威脅
• 電子郵件安全小撇步
• 防範垃圾郵件
電子郵件威脅
• 夾帶病毒及惡意程式
• 社交工程
• 垃圾郵件
夾帶病毒及惡意程式
• 電子郵件是傳播電腦病毒、蠕蟲、木馬程
式……等惡意內容的常見管道。
• 若收件者不慎開啟夾帶有惡意程式的電子
郵件,不但有可能造成
– 系統資料毀損
– 成為殭屍電腦而任由駭客擺佈其電腦
– 造成整個內部網路服務的癱瘓
– 部分電腦病毒甚至會關閉掃毒引擎,造成防毒
功能失效等。
社交工程
• 所謂的社交工程(Social Engineering)是以
運用擬真並極具吸引力的方式,來欺騙他
人以獲得有用的資訊。
• 電子郵件社交工程類型主要分為以下二種:
– 「設計吸引收件者開啟郵件的主旨」
– 「釣魚郵件」
設計吸引收件者開啟郵件的主旨
• 此類的電子郵件會誘發人們的好奇心,或是偽裝
成來自合法組織、時下流行的話題等,讓收件者
以為收到的是無害的電子郵件,但其實收到的是
電腦病毒。
–
–
–
–
–
–
公文09-881234567號
週休二日的最好去處
RE: 關於訂單出貨資訊
2012 年度招募計畫
宜蘭童玩節好好玩 !
過年賞櫻秘境大公開
釣魚郵件
• 釣魚郵件的常見模式為網路詐騙者發送帶
有偽冒網站超連結的電子郵件,引誘不知
情者前往該山寨版的網站並輸入自己的帳
號與密碼,因為山寨版網站的外觀與實際
的官方網站十分相像,也讓其有機會剽竊
受騙者的帳號密碼。
垃圾郵件
• 所謂的「垃圾郵件」是指未經受信者同意
而寄送到電子信箱裡的信件,也有人稱之
為廣告信、大宗郵件。
• 這些垃圾郵件的內容大多是商品廣告,例
如:藥品、情色、美容、快速賺錢、愛心
募款、低利息貸款等誇大訊息居多。
防範垃圾郵件
• 不曝光:即使是在自己的個人網站上,也盡量不曝光您常
用的電子郵件,改採取其他的方式來進行告知。
• 不提供:若非必要,不將電子郵件提供他人,若真的必須
在網站中留下資料時,請仔細閱讀網站隱私權保護聲明,
了解其用途。
• 不回覆:不明來源的信件中即使含「取消訂閱」的連結,
仍應不予理會直接刪除,避免讓寄件者知道此信箱為有效
且在使用中。
• 不購買:許多垃圾郵件內容可能充斥吸引人的商品,不過
一旦您進行購買行為,等同鼓勵寄件者持續不斷地寄發垃
圾郵件。
• 不轉寄:常見有聲稱不轉寄給10 個人就會倒楣的電子郵
件,這種由親友間串接式的轉寄行為,最容易被蒐集大量
有效名單。
• 不混淆:設定一個私人專用郵件帳號,作為重要、可信任
的聯繫溝通,再建立分身電子郵件,作為活動參與或網站
註冊之用。
電子郵件安全小撇步
•
•
•
•
安裝防毒軟體,不安裝來源不明的軟體
更新軟體修補程式
不要啟用郵件的預覽窗格
辨識釣魚郵件四大重點
安裝防毒軟體
• 電腦安裝防毒軟體為最基本的病毒防護措
施,除安裝防毒軟體外,並應下載及使用
最新的病毒碼。
更新軟體修補程式
• 電腦系統與軟體通常在推出後,軟體開發
業者會根據使用者所反映的意見,針對軟
體的功能、效能、系統安全漏洞或錯誤等
進行加強與修正,然後推出更新的軟體版
本 。
• 通常,軟體在進行更新之後在運作上會更
為順暢,或者因為新功能的強化,使軟體
變得更為好用。
如何設定微軟的系統自動更新
• WinXP系統自動更新
– 開始\設定\控制台\自動更新\從Windows
Update安裝更新
• Win7系統自動更新
– 開始\搜尋方塊輸入Update\Windows Update\
變更設定
不要啟用郵件的預覽窗格
• 為避免因預設開啟而誤觸病毒信件,建議
將讀信模式調整為「整頁模式」或「關閉
讀取窗格」。
辨識釣魚郵件四大重點
• 觀察信件主旨
• 檢視信件內的超連結
• 注意郵件提供者的警示標語
觀察信件主旨
• 有心人士的詐騙或釣魚電子郵件最常使用
引人感興趣的電子郵件主旨,來吸引及誘
騙收信人開啟郵件。
– 當下流行或熱門的話題
– 服務或系統管理者通知信
– 生活資訊分享
– 色情影音下載
– 政治話題
當下流行或熱門的話題
•
•
•
•
•
林書豪限量球衣拍賣
女神卡卡演唱會門票
劉德華女兒相片曝光
前往倫敦看奧運
王建民重返洋基隊……等
服務或系統管理者通知信
•
•
•
•
•
•
電子郵件系統更新
臉書帳號停權通知
網路銀行密碼確認
即時通系統管理員通知
您的訂單出貨通知
退稅通知……等
生活資訊分享
•
•
•
•
•
賞櫻秘境大公開
節稅小撇步
好康優惠
實用軟體免費下載
如何提高中獎機率……等
政治話題
• 藍綠立委選舉登記
• 加入候選人粉絲團
• 選舉買票舞弊揭密……等
檢視信件內的超連結
• 當您覺得某一封電子郵件很可疑時,請特
別注意該信件中所包含的超連結網址,檢
視方式為,不要立即點選該超連結,而是
將您的電腦滑鼠移至該超連結的上方,且
注意不要點擊,稍微等候幾秒鐘後,您的
郵件視窗下方會出現該超連結真正會連往
的網址,此時請確認超連結的網址是否和
顯示的文字一樣,如果發現不一致,很可
能是釣魚郵件,請勿點選該連結,並立即
刪除該信件。
檢視信件內的超連結
注意郵件提供者的警示標語
網路釣魚的防範撇步
• 對於詢問您個人資料的信件提高警覺
• 不要隨意點選信件中的網址連結及開啟附
件
• 勿貪小便宜點選好康連結
• 定期檢查交易紀錄與網站帳號
• 透過加密的網頁功能傳送個人資料
• 使用安全有效的防護產品
對於詢問您個人資料的信件提高警
覺
• 當收到詢問相關敏感資訊(例如:使用者
名稱、帳號、密碼等)的信件要提高警覺,
尤其含對外超連結的內容。
• 通常一般大型企業、銀行,都不會透過email 的方式詢問使用者個人資訊。
不要隨意點選信件中的網址連結及
開啟附件
• 建議可將經常使用的網站加入「我的最愛」
書籤,直接透過書籤連結至正確網站,或
可開啟新的瀏覽器視窗手動輸入網址, 除
可避免誤連詐騙歹徒設立的假網頁。
勿貪小便宜點選好康連結
• 天下沒有白吃的午餐, 對於「免費優惠」、
「好康大放送」 ……等吸引人的好康廣告
文案,常會引導使用者輸入敏感資料來換
取優惠或利益,請務必留意此網站的真實
性,並詳知所同意留下的資料之用途及造
成的影響。
定期檢查交易紀錄與網站帳號
• 對於重要的個人交易網站,應經常檢查帳
號和瀏覽交易紀錄, 如收到信用卡和銀行
帳戶的交易紀錄時,請確認是否有任何未
經授權的收費。
透過加密的網頁功能傳送個人資料
• 若網頁要求輸入任何敏感性資料,注意網
址是否為https(資訊加密協定)開頭、在
瀏覽器頁面是否出現黃色鎖頭圖示、或SSL
安全性警示視窗。
使用安全有效的防護產品
• 確保個人電腦維持在安全的狀態,除自身
需具備充足的資訊安全觀念,亦建議安裝
防護軟體並隨時更新,更加提昇安全性。