Transcript CH5資訊安全與倫理
5 資訊安全與倫理 5-1 資訊安全與保護 5-2 智慧財產權與軟體授權 5-3 網路素養與網路倫理 5-4 正視網路危險 5-1.1 資訊安全是什麼? 上一頁 下一頁 「資訊安全」是保護「資訊」和「資訊系統」不 受未經許可的人任意存取、使用、修改、破壞及 洩漏機密資訊。 資訊安全(C.I.A.)的目標分為: 機密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 回首頁 目錄頁 5-1.2 資訊安全的威脅因素 上一頁 下一頁 資訊科技與我們生活變得密不可分,相對地,我 們對資訊科技也產生嚴重地依賴,以下是常見的 資訊安全威脅因素: 天災與設備損壞 人為過失 電腦犯罪 回首頁 目錄頁 千禧蟲 早期程式設計師為了節省記憶體儲存空間,在儲存 電腦時間時只儲存後兩位數,例如1965年就簡記為65。 上一頁 但是一旦到了西元2000年,年份就會變成00,電腦無法 下一頁 分辨00是代表1900年? 還是2000 年? 這種問題就稱為 回首頁 千禧蟲(Y2K bug或Year 2000 bug)。 目錄頁 因電腦日期計算錯誤而產生的社會問題,便屬於威 脅資訊安全的因素中的「人為過失」。 5-1.3 常見的電腦犯罪行為 上一頁 下一頁 人為的犯罪行為是資訊安全最大的挑戰之一。 以下是幾種常見的電腦犯罪類型: 惡性軟體(Malware) 釣魚網站(Phishing Site) 僵屍網路(Botnet) 安全漏洞(Security Vulnerability) 無線網路盜連(Wi-Fi Hack) 鍵盤側錄(Keystroke Logging) 回首頁 目錄頁 5-1.3 常見的電腦犯罪行為(續) 上一頁 下一頁 惡性軟體(Malware): 指會對電腦運作造成負面影響的軟體,如電腦病 毒、蠕蟲、木馬程式等。 釣魚網站(Phishing Site): 通常會仿冒各種網路服務的頁面 ,以騙取使用者的個人資料。 另外,利用人性弱點誘使人們洩 漏重要資訊的行為稱為「社交工 程」。 回首頁 目錄頁 5-1.3 常見的電腦犯罪行為(續) 上一頁 下一頁 回首頁 僵屍網路(Botnet): 駭客將特殊程式植入到許多受害者的電腦,使其 能受駭客所控制。這些電腦會接收駭客所發出的 指令,對目標進行分散式拒絕服務攻擊(DDoS) 。 安全漏洞(Security Vulnerability): 作業系統或程式中,存在可能被入侵的弱點。一 旦廠商沒有發布新的修正檔(Patch)修補漏洞,或 使用者沒有自行更新,就可能為電腦帶來危害。 目錄頁 5-1.3 常見的電腦犯罪行為(續) 上一頁 下一頁 回首頁 無線網路盜連(Wi-Fi Hack): 當無線網路沒有設定密碼或密碼太容易破解,就 有可能讓無線網路被他人盜連,造成網路速度變 慢或是竊取共享資料夾中的檔案。 鍵盤側錄(Keystroke Logging): 當電腦被植入鍵盤側錄程式後,只要使用者操作 鍵盤,輸入的訊息(如銀行帳號、密碼及信用卡卡 號等)便會被攔截,並傳送至遠端的駭客手上。 目錄頁 5-1.3 常見的電腦入侵手法(續) 上一頁 下一頁 電腦病毒可以透過各種硬體裝置如光碟、隨身碟 及硬碟等,或者是透過網路進行傳播。 下列幾種方式為常見的電腦病毒入侵手法: 電子郵件 即時通訊軟體 執行或開啟不明程式及Office文件檔 JPEG圖片檔 網頁Flash動畫 多媒體檔案 回首頁 目錄頁 電腦病毒 當使用者發現電腦有下列異狀時,就有可能已經發 生病毒感染的問題。 上一頁 檔案長度、日期無故改變,或無故消失。 電腦執行速度不正常變慢。 下一頁 回首頁 目錄頁 電腦出現奇怪的錯誤訊息和音樂,或系統經常無故 當機甚至無法開機。 網路或硬體出現不正常而頻繁的存取動作。 出現磁碟裝置找不到或應用程式打不開的狀況。 瀏覽器多了不明工具列、不時跳出廣告視窗或預設 首頁改變等情形。 電腦病毒的分類 上一頁 下一頁 病毒(Virus) 會感染作業系統或程式,造成電腦無法正常開機或檔案毀 損等現象的皆屬於「病毒」,下表是不同病毒的簡介。 回首頁 目錄頁 電腦病毒的分類(續) 上一頁 下一頁 蠕蟲(Computer Worm) 是一種透過網路連線或電子郵件附件散播且能自我複製的 程式,會消耗有限的網路頻寬、系統資源或佔用硬碟的空 間,例如梅莉莎(Melissa)、I LOVE YOU病毒等。 特洛伊木馬程式(Trojan Horse) 是一種進行破壞或竊取重要資料的惡性程式,本身不會自 行傳播,通常駭客會將木馬程式與工具程式包裝在一起, 以「吸引」使用者下載。 回首頁 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 添購可保護資訊系統的設備 為了避免突如其來的中斷, 使用不斷電設備(UPS) 可穩定電壓並提供緊急電力。 不斷電設備 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 使用防火牆 防火牆(Firewall)是一種用來管制網路存取安全的裝 置,可分為軟體式和硬體式防火牆。 右:硬體防火牆 左:軟體防火牆 目錄頁 5-1.5 資訊安全的防護策略 上一頁 安裝防毒軟體 隨時保持高度防毒意識 是防範電腦病毒入侵的 第一步,安裝完作業系 統,一定要優先安裝防 毒軟體。 防毒軟體 下一頁 回首頁 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 定期建立資料備份 即使做好各種防護仍然 是有可能發生意外,因 此定期使用備份軟體備 份電腦資料的動作十分 重要。 透過備份軟體定期備份重要資料 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 加強人員訓練與密碼管制 透過訓練課程能提昇操作人員的電腦素養,降低不 當操作所造成的資安意外。 使用具有加密技術的網路交易安全機制 為了讓資料能夠更安全的在網路上傳輸,企業商家 紛紛採行各種資料加密技術與交易安全機制,保障 消費者能安全的進行交易。 以下列舉幾種網路上常見的資料加密/解密機制: 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 安全電子交易標準(SET) SET是一種應用於網際網路上的電子交易標準。為 了解決消費者、商家與銀行間在線上的信用卡交易 問題,1996年由Master Card和Visa聯合 Netscape,Microsoft等公司共同制定了標準。 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 安全通道層/傳送層保全(SSL/TLS) 而使用SSL/TLS安全機制的網頁,在網址列會以「 https」為開頭,透過SSL/TLS傳遞機密資料時, 有些瀏覽器在狀態列或工具列會出現「鎖」的圖 案提示。 使用SSL/TLS加密機制的網頁 目錄頁 5-1.5 資訊安全的防護策略 上一頁 下一頁 回首頁 目錄頁 數位簽章 透過公、私鑰的加/解密與比對技術,以驗證網路 交易、下載檔案等數位內容,以降低網路詐欺、 誤入釣魚網站、感染木馬程式的機會。 數位簽章憑證 5-1.6 電腦中毒的處理步驟 上一頁 下一頁 回首頁 目錄頁 5 資訊安全與倫理 5-1 資訊安全與保護 5-2 智慧財產權與軟體授權 5-3 網路素養與網路倫理 5-4 正視網路危險 5-2.1 智慧財產權簡介 上一頁 下一頁 智慧財產 指人類基於思想進行創作活動,所產生的精神上 、智慧上的無形產物,其他人不可以任意引用甚 至抄襲, 這種就稱為智慧財產權(IPR)。 版權標誌 回首頁 目錄頁 5-2.1 智慧財產權簡介 上一頁 下一頁 常見的著作權問題 名 稱 著 作 著作權 說 明 該創作具有原創性與客觀化的一定形式即為著作權法所保護之著作,必須屬於文 學、科學、藝術或其他學術範圍之創作。 著 作 人格權 用來保護著作人的名譽、聲望及其人格利益,不可以讓與或繼承,著 作人於著作發表時有具名、使用別名或不具名的權利。 著 作 財產權 包括重製權、公開口述、播送、上映、演出、傳輸、展示權、改作權 、編輯權、散布權及出租權。 著作權 的取得 著作在完成的同時即由著作人享有著作權,並不以登記為取得要件。 著作權 存 續 一般情形下,著作財產權存續於著作人之生存期間及其死亡後五十年,共同著作 則存續至最後死亡的著作人死亡後五十年。 重 製 印刷、複印、拷貝、錄音、錄影、筆錄等皆屬於著作權法中之重製行為,若未取 得著作人同意,不得任意重製複製他人著作。 公 開 傳輸權 凡透過網路向公眾提供或傳達著作內容,都是屬於公開傳輸權的範疇,若在網路 上使用他人的著作,除了要取得重製的權利之外,也要取得公開傳輸的授權。 備 份 合法的軟體購買人可因備份的需求重製該軟體一份,但也僅限於個人在原授權範 圍內使用(例如同時間內只能在一台機器上安裝使用)。 回首頁 目錄頁 5-2.1 智慧財產權簡介 上一頁 下一頁 回首頁 著佐權 著作權是藉由賦予對著作的專有權利,同時也限 制了他人使用創作物的自由。而著佐權(Copyleft) 則是為了保護上述自由而發展出來的概念。 Copyleft意象標誌 目錄頁 5-2.1 智慧財產權簡介 著佐權 GNU通用公開執照 創用CC(Creative Commons) 標示創用CC授權類型的網站 上一頁 下一頁 回首頁 目錄頁 5-2.2 軟體使用授權 上一頁 下一頁 軟體使用權 當我們購買一套軟體時 , 事實上購買的是軟體 的「使用權」而不是軟 體本身,因此任何重製 或修改圖利的行為都是 不被允許的。 盜版軟體 軟體使用授權合約視窗 盜版軟體是指未經軟體公司正式授權的軟體。 回首頁 目錄頁 5-2.2 軟體使用授權分類 上一頁 下一頁 公用軟體(Public Domain Software): 已經超過法律上的著作權保護年限,或者是開發 者自己放棄著作權並進行散布的軟體。 免費軟體(Freeware): 不用任何費用就可以使用的軟體,但本身擁有著 作權保護。 自由軟體(Free Software): 以GPL的方式發行,允許使用者進行重製、散布 與修改,至於是否收費則不在GPL 的限制內。 回首頁 目錄頁 5-2.2 軟體使用授權分類(續) 上一頁 下一頁 共享軟體(Shareware): 使用者可免費取得軟體試用版,但通常會有一些 功能的限制,若試用滿意則可付款給開發者以取 得完整的正式版本。 私有軟體(Proprietary Software): 擁有著作權保護,因此未經同意不能擅自複製、 改寫等行為,使用者必須付費才能使用軟體。 回首頁 目錄頁 5-2.2 軟體使用授權分類(續) 上一頁 軟體使用授權分類整理 類 型 著作權保護 是否付費 範 公用軟體 無 否 FreeCAD 免費軟體 有 否 iTunes Adobe Reader 自由軟體 有,但需開放程式碼 大部分免費 Open Office.org Linux 共享軟體 有 試用版免費 Kaspersky 30 天試用版 私有軟體 有 是 Windows 7 MS Office 例 下一頁 回首頁 目錄頁 軟體授權的方式 上一頁 下一頁 回首頁 目錄頁 5-2.3 智慧財產權的相關法律 上一頁 下一頁 回首頁 侵權行為與相關法律刑責 侵權行為項目 使用或贈送盜版軟體 使用P2P軟體下載或 上傳有版權的軟體、 音樂、影片 觸犯法律條文 說 明 著作權法第91-1 條 明知係侵害著作財產權之重製物而散布或意 圖散布而公開陳列或持有者,處3 年以下有 期徒刑,得併科新臺幣7 萬元以上75 萬元以 下罰金。 著作權法第91 條 擅自以重製之方法侵害他人之著作財產權者 ,處3年以下有期徒刑、拘役,或科或併科新 臺幣75 萬元以下罰金。 著作權法第91 條 意圖銷售或出租而擅自以重製於光碟之方法 侵害他人著作財產權者,處6 個月以上5 年 以下有期徒刑,得併科新臺幣50 萬元以上 500 萬元以下罰金。 著作權法第88 條 因故意或過失不法侵害他人之著作財產權或 製版權者,負損害賠償責任。 販賣盜版光碟 目錄頁 5-2.3 智慧財產權的相關法律 上一頁 下一頁 回首頁 侵權行為與相關法律刑責 侵權行為項目 公布軟體安裝序號、 破解有版權軟體、影 音光碟檔案的保護措 施 架設網站供人下載有 版權的軟體、音樂、 影片 觸犯法律條文 說 明 著作權法第80-2 條 第二項 著作權人所採取禁止或限制他人擅自進入著 作之防盜拷措施,未經合法授權不得予以破 解、破壞或以其他方法規避之。 著作權法第96-1 條 違反著作權法第80-2 條第二項規定者,處一 年以下有期徒刑、拘役,或科或併科新臺幣2 萬元以上25萬元以下罰金。 著作權法第87 條 第一項第七款 未經著作財產權人同意或授權,意圖供公眾 透過網路公開傳輸或重製他人著作,侵害著 作財產權,對公眾提供可公開傳輸或重製著 作之電腦程式或其他技術,而受有利益者。 著作權法第93 條 違反著作權法第87 條第一項第七款規定者, 處2 年以下有期徒刑、拘役,或科或併科新 臺幣50 萬元以下罰金。 目錄頁 5 資訊安全與倫理 5-1 資訊安全與保護 5-2 智慧財產權與軟體授權 5-3 網路素養與網路倫理 5-4 正視網路危險 5-3.1 網路素養 上一頁 下一頁 回首頁 網路雖然自由,但需要靠彼此自我約束,讓每個 人都能享受它的便利,因此應遵守以下規範: 1.不可利用網路作傷害他人的事。 2.不可利用網路干擾他人的工作。 3.未經他人同意,不可利用網路窺視他人電腦裡的檔 案。 4.不可利用網路從事偷竊行為。 5.不可利用網路製造假資料。 目錄頁 5-3.1 網路素養 上一頁 下一頁 網路雖然自由,但需要靠彼此自我約束,讓每個 人都能享受它的便利,因此應遵守以下規範: 6.不可複製或使用未付費的有版權軟體。 7.獲得擁有者授權之後,才可以使用他人的電腦資 源。 8.不可將他人的智慧成果佔為己有。 9.在設計程式之前,應先考量會對社會的影響。 10.使用網路時,應表現對他人的尊重與體諒。 回首頁 目錄頁 5-3.2 網路倫理 上一頁 下一頁 回首頁 美國的管理資訊科學專家Mason提出了四個主要 倫理議題, 簡稱為「PAPA」: 隱私權(Privacy) 正確性(Accuracy) 財產權(Property) 取用權(Accessibility) 目錄頁 數位落差(Digital Divide) 數位落差(Digital Divide)是指能夠有效使用資訊科 技者與無法有效使用者之間的差距。由於電腦與網路科技 上一頁 的高度發展,具備資訊應用能力成為現代人必備的基本能 下一頁 力,使用電腦機會的多寡及運用資訊科技能力的高低,將 回首頁 成為影響貧富差距的關鍵力量。 目錄頁 5 資訊安全與倫理 5-1 資訊安全與保護 5-2 智慧財產權與軟體授權 5-3 網路素養與網路倫理 5-4 正視網路危險 5-4.1 網路危險的類型 上一頁 下一頁 要避免網路所帶來的危險,就要先認識危險的類 型有哪些,以下是常見的網路危險類型與實例: 網路成癮(Internet Addiction Disorder) 網路霸凌(Cyberbullying) 網路援交 網路詐騙 回首頁 目錄頁 5-4.2 如何避免網路危險 上一頁 下一頁 學習如何去辨識網路上的危險因子且避開即可, 以下是避免網路危險的守則: 1.培養其他正當的休閒活動,不要將上網當成唯一 的休閒活動, 若出現想上網的慾望,可以用運動 或勞動的方式取代。 2.如果出現網路成癮的現象,且無法自己克服,則 可選擇尋找心理醫師協助治療。 3.遇到網路霸凌時要勇於求助,保存被霸凌的資訊 ,投訴網站管理員刪除或是告訴有權處理的人。 回首頁 目錄頁 5-4.2 如何避免網路危險 上一頁 下一頁 回首頁 學習如何去辨識網路上的危險因子且避開即可, 以下是避免網路危險的守則: 4. 當你發現到網路霸凌的訊息時, 要即時向網站站 長檢舉, 如果訊息內容有嚴重的暴力行為,應報 警處理。 5. 在網路不要隨便透露自己的個人資料,不要隨便 允諾網路上網友的單獨邀約見面。 6. 若有不明人士恐嚇,或要求匯款,千萬要保持冷 靜,並速撥「165專線」請求援助。 目錄頁 5-4.2 如何避免網路危險 上一頁 下一頁 回首頁 學習如何去辨識網路上的危險因子且避開即可, 以下是避免網路危險的守則: 7. 進行網路交易之前,要確認賣家的拍賣紀錄與連 絡細節,如果這類資訊不明確,請不要輕易進行 交易。 8. 收到可疑的電子郵件或彈跳視窗要求輸入個人資 料、或者是和財務相關的資訊,千萬不要回覆該 訊息,也不要因好奇而點取訊息中所提供的超連 結。 目錄頁