Transcript 資訊安全講習課程
南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知 主講人 資訊管理系助理教授 侯望倫 目錄 何謂資訊安全 資訊安全知識 網路安全 人員與環境安全 資料與存取安全 系統安全 資訊安全相關法令 建立ISMS 2015/4/10 行政人員資安教育 2 學術單位的資訊安全 為什麼學校單位需要資訊安全 學生學籍資料 成績資訊 教師與員工相關個人資訊 ……… 學校單位所擁有的資訊特色 2015/4/10 大多屬於非機密性 具敏感性且涉及隱私及個人資料保護法相關規定 行政人員資安教育 3 何謂資訊安全 有效的防止資訊遭到竊取、竄改、毀損、滅失 或遺漏。簡言之,就是確保資訊的CIA: 2015/4/10 Confidentiality 機密性:保護資訊不被非法存取或揭 露。 Integrity 完整性:確保資訊在任何階段都沒有不適當 的修改或損毀。 Availability 可用性:經授權的使用者能適時的存取所 需資訊。 行政人員資安教育 4 資訊安全的範圍 保護及維護資料的安全,包含: 2015/4/10 資料的使用 資料的傳遞 資料的處理 資料的儲存 行政人員資安教育 5 資訊安全管理重點 人員資安知識與能力 資安處理技術 資安控管流程 2015/4/10 行政人員資安教育 6 資訊安全案例與知識 網路安全 電子郵件 垃圾郵件 網路購物 公用電腦使用 人員與環境安全 資料與存取安全 系統安全 2015/4/10 行政人員資安教育 7 電子郵件:e-mail 附件不是執行檔也有危險? 不明人 士 打開e-mail 同時也透過網路自動下載一個執行檔 後門程式也因此得以植入他的電腦系統當中 駭客使用遠端遙控 小趙收到E-mail:Confidential (機密) 2015/4/10 為駭客開啟一扇大門 行政人員資安教育 8 電子郵件防範措施 1.不任意開啟來路不明的電子郵件及其附加檔案, 不論附檔名為何,最好直接這類郵件刪除。 2.設定作業系統的自動更新機制(如Windows Updates),進行系統漏洞修補,使電腦系統隨時 保持最新的安全狀態。 3.安裝防毒軟體並定期更新病毒碼,以防阻email可能夾帶的電腦病毒。 4.安裝個人防火牆,以防阻e-mail中可能夾帶的 間諜程式竊取資訊。 5.即使郵件是來自於熟識者,在打開附件檔案前, 仍應使用防毒軟體掃瞄後才可開啟,尤其是「轉 寄郵件」。 2015/4/10 行政人員資安教育 9 電子郵件名詞解釋(1/3) back door後門程式 後門指的是可以“繞過”、“規避”電腦內部安全系統的另一個 管道。 可能是在軟體設計時,程式設計師方便未來進入系統維護所留下 的程式,也可能是電腦遭受到入侵而被植下的程式。 許多駭客會經由後門繞過安全驗證,非法進入電腦進行破壞或竊 取資料。 Hacker 駭客「Hacker」 2015/4/10 電腦駭客原是指電腦很強的人;「Cracker」則表示有犯罪記錄或 行為的電腦高手。 但是後來大家卻混淆了這兩個字的含意,而將凡是在網路上利用 技術危害他人的人,統稱為「駭客」。 行政人員資安教育 10 電子郵件名詞解釋(2/3) 木馬程式 是一種後門程式,也是目前非常流行的病毒程式,與一般的病毒不同, 它不會自我繁殖,也不會刻意地去感染其他文件。 木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行 為特徵,並透過偽裝吸引用戶下載執行或安裝,提供種木馬者打開被種 者的電腦門戶,使種木馬的人可以任意毀壞、竊取被種者的文件或操作 畫面,甚至遠端操控被種者的電腦。 木馬程式最終的目的就是蒐集情資、等待時機執行破壞任務、當作跳板 進行滲透。 手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞 、傳遞情資、提供封包轉送達到跳板功能…等。 絕大部分的木馬程式所具備的功能與目的,不僅具備單一功能、單一目 的,而是具備混合功能(hybrid) 與多目標導向。 netbus殭屍網路是一種木馬程式,可提供植入者能在遠端遙控被植 入者電腦,作為攻擊者的傀儡電腦,隱藏其攻擊軌跡。 2015/4/10 行政人員資安教育 11 電子郵件名詞解釋(3/3) anti-virus電腦防毒軟體 防毒軟體是一種程式,安裝於電腦內能夠檢測入侵電 腦的電腦病毒、木馬程式與電腦蠕蟲,當檢測到病毒 時,程式會將病毒進行隔離或刪除,以避免病毒程式 對電腦系統進行破壞。 firewall防火牆 2015/4/10 網路防火牆用以管制外部使用者對內部網路及網站的 連結和存取,並執行稽核作業。裝設防火牆就如同住 戶為了住家安全性,特意加上一層的門禁系統。 防火牆會控制和監控所有外部和內部網路的交通;包 括讓內部使用者可以對外取得整體的服務,而對於外 來使用者則以選擇性的條件加以檢驗,只允許經授權 的使用者連線使用,阻擋可能進入企業內部網路的駭 客、病毒和電腦蟲。 行政人員資安教育 12 垃圾郵件:垃圾郵件防範DIY 溫馨的5月母親節 主題垃圾郵件 夾帶電腦病毒、 或以偽裝成大型購物網站的 連結騙取使用者密碼、 銀行帳號等隱私資訊… 2015/4/10 行政人員資安教育 13 垃圾郵件防範措施(1/2) 1.絕不回信 2.在搜尋引擎中鍵入你的e-mail,檢查看看是 否你的e-mail是否很容易讓垃圾郵件佈者取得; 若可能,盡可能地移除掉email曝光的機會。 3.將你的郵件軟體設定為「不顯示圖片」,某 些廠商會在發送html格式含圖片的電子郵件時, 加上網站信(Webbeacons),用來計算開啟電 子郵件的數目、或者統計哪個電子郵件地址開 啟了哪些郵,關閉垃圾郵件的圖片顯示可以阻 斷Web beacons功能。 2015/4/10 行政人員資安教育 14 垃圾郵件防範措施(2/2) 4.絕不按下垃圾郵件提供的超連結。 5. 絕不使用其「取消訂閱」的功能,因為當你按 下「取消訂閱」時也同時讓垃圾郵件散佈者確認 你的e-mail是有效的。 6.在任何網站上留下你的電子郵件資料時,先閱 讀該網站的隱私權政策,確保你的電子郵件資料 不會用作其他用途。 7.設定2個email帳號,其中一個為日常通訊用途, 另一個則用來訂閱電子報、或用來參加網路活動 填問卷。 2015/4/10 行政人員資安教育 15 網路購物:糾紛與詐騙 購買一個皮包 網路購物 2015/4/10 匯錢後卻遲遲 沒收到商品, 李小姐遇到詐 騙,個人資料 通通被網路釣 魚網騙取! 行政人員資安教育 16 網路購物防範措施 1.向個人賣家購物,一定要保留雙方關於買賣的對話紀錄 或通聯紀錄。 2.保留匯款單據。 3.向商家索取發票,通常合法商家會開立發票,選擇有發 票的商家較有保障。 4.如使用線上刷卡,在刷卡後立即與銀行確認消費紀錄。 5.瞭解自己的權益,依消保法規定,消費者可於收受商品 七日內退回,無須說明理由及負擔任何費用。 6.如果發現受騙或被盜刷等情況,應通知刷卡銀行並報警 處理。 2015/4/10 行政人員資安教育 17 網路購物:網拍詐騙增多,買賣兩頭空 買家匯一萬五 賣家 歹徒 2015/4/10 行政人員資安教育 18 網路購物防範措施 1.選擇有信譽之交易對象,仔細瞭解對方的信用風 評…等,並注意網址的正確性,避免落入仿冒網站。 2.利用問與答的機制,於詢問時留意賣家專業度,可 瞭解賣家是否夠真心投入、認真經營。賣家若將網路 開店視為長期經營,勢必會重視客戶反應及商品品質。 3.從賣家出貨速度、反應問題速度,決定未來是否再 向這個賣家購買商品。 4.當拍賣商品具有「預訂性質」時,為求謹慎,建議 向有口碑店面或信用優良的商家訂購,以防預訂詐騙。 5.不論是賣家還是買家,堅持面交,一手交錢一手交 貨,當場確認物品及金額無誤後才能銀貨兩訖。 2015/4/10 行政人員資安教育 19 公用電腦: 使用他人電腦沒清除記錄,帳號密碼遭竄改 盜用女方 帳號、密碼 已聯並張 加絡傳貼 入人送女 女 給方 方 所裸 新 有照 帳 密 ( 新 申 請 帳 號 密 碼 發現無法登入 電子郵件及msn ) 點閱郵件法現自己的裸照 並通知警方 2015/4/10 行政人員資安教育 20 防範措施: 1.使用電腦後隨手清除網頁瀏覽記錄及cookie資 料,並清除在網站上所留下的個人資料。 2.養成不使用自動記憶帳號密碼的功能。 3.避免使用他人或公共電腦,上網處理重要或私 密事務。 4.使用他人或公共電腦時,特別注意坐在或站在 你旁邊的人,因為他們可以輕易地從電腦螢幕上 看到你所輸入的帳號、密碼或其他個人資料。 5.若經常使用公共電腦,更換密碼的要更高。 2015/4/10 行政人員資安教育 21 名詞解釋 cookies網路紀錄 2015/4/10 cookies是存在瀏覽器中的小型文字檔,記錄使用者瀏 覽網頁的資訊,例如:瀏覽的網站位址、使用者曾經輸 入的資訊等,當使用者下次再度使用瀏覽器時,電腦能 自動顯示最近使用過的網頁。 cookies 也會紀錄使用者的帳號與密碼,因此在使用者 再次進入相同頁面時,不需要重新輸入名稱與密碼。 由於cookies 的功能會記錄重要的個人資料與網路使用 習慣,通常網站都會在其隱私權政策中詳述其透過 cookies蒐集使用者資訊的用途。 行政人員資安教育 22 資訊安全案例與知識 網路安全 人員與環境安全 防範員工外洩客戶資料 防範社交工程的攻擊 公司機密外洩的處理 報廢電腦的資料安全 資料與存取安全 系統安全 2015/4/10 行政人員資安教育 23 人員與環境安全 2015/4/10 案例一、員工偷偷外洩客戶資料 案例二、防範社交工程的攻擊 案例三、公司機密外洩的處理 案例四、報廢電腦的資料安全 行政人員資安教育 24 員工偷偷外洩客戶資料 政府機關 電信事業 不法集團 金融事業單位 2015/4/10 行政人員資安教育 25 防範措施: 1.針對資料保密、客戶隱私權等相關法令對所有 員工進行教育宣導,尤其是「電腦處理個人資料 保護法」的瞭解,說明若將客戶資料外洩或私自 盜賣,最重可處三年以下有期徒刑。 2.依職務需求授予資料或檔案的存取權限,避免 非相關職務人員皆能存取隱私資料。 3.針對員工使用私人儲存媒體進行規範,例如禁 止員工使用USB隨身碟或磁片,如此可避免員工因 職務上的便利,將機密帶離公司。 4.限制員工電子郵件可夾帶檔案的大小,以避免 員工透過電子郵件外洩大量公司料。 2015/4/10 行政人員資安教育 26 防範社交工程的攻擊 個人電腦 不明信件 電腦中毒 2015/4/10 行政人員資安教育 27 防範措施: 1.儘量避免加入不明來源的MSN 使用者,不接受不明聯絡 人的檔案。 2.使用掃毒程式—在點閱信件之前確認件的安全性。 3.限制如果系統主動對外發信必須通過系統管理員同意。 4.對權限加以分級控管,非屬於個人份事宜不應掌握帳號 密碼等特殊權限,以免因為不了解安全等級而不慎外流重 要資訊。 5.安裝個人防火牆,阻擋不明程式嘗試對外連線。 2015/4/10 行政人員資安教育 28 名詞解釋 social engineering 社交工程 2015/4/10 社交工程主要是利用人性的弱點而進行詐騙。社交工程 是一種非技術性的入侵,是藉由與人透過社交手段進行 犯罪行為。現代病毒已開始結合社交工程概念,例如 "ILOVEYOU"病毒就是透過在電子郵件中以"我愛你"為附 加檔案的檔名,誘導使用者打開附件,然而在使用者打 開附件的同時,即被植入病毒,這就是利用社交工程入 侵電腦的一個範例。 行政人員資安教育 29 公司機密外洩的處理 竊取公司機密 員工旅遊期間 被警方逮捕 竊取公司重型機車引擎設計圖、 電腦檔案與相關模具組等商業機密 2015/4/10 行政人員資安教育 利用貨櫃,私運到美國 30 防範措施 1.資訊分級授權:將企業內部資產與資訊列冊並評鑑機密 等級,依等級訂定授權。 2.權限控管:授權不能氾濫,應依職務分級授予存取、傳 遞、交換等權限,並期審查權限適當性,以及保留存取權 限稽核資料。 3.簽訂安全/保密合約:與員工簽訂合約,除了可供違約 時的責任追溯與求償外,具有一定的預防遏阻作用。 4.隨身碟禁用規定:為防止員工私自複製司機密資料,可 限制員工使用行動碟、MP3隨身碟等儲存裝置。 5.安全通報與處理機制:若員工發現同仁有異常行為,應 透過安全通報機制立即反應,預防危安事件發生。 2015/4/10 行政人員資安教育 31 名詞解釋 authorization 授權 2015/4/10 授權,指的是將資源系統的使用權限授與特定人員 的過程。獲得授權的人員具有使用特定資源系統的 權限。通常系統管理員會按企業相關規定或政策, 來給予使用者不同的授權,以及使用者能使用資源 系統的的權限與層級有多大。 行政人員資安教育 32 報廢電腦的資料安全 報廢電腦 2015/4/10 不當處理 行政人員資安教育 資料外洩 33 防範措施: 1.電腦報廢前,針對整個電腦系統或內含資訊的進 行備份。 2.將上述的備份移轉至新的機器或其他備份裝置中。 3.執行完整的資訊設備報廢處理程序,包括針對電 腦硬碟執行重新格式化、相關作業軟體、資料及具 有版權之系統軟體;針對磁碟或光碟片等儲存媒體 進行實體銷毀,如切碎、折損等。 2015/4/10 行政人員資安教育 34 名詞解釋 Malicious URL injection 網頁隱藏式惡意連結 2015/4/10 又稱為「網頁惡意掛馬」或「網頁掛馬」。指駭客竄改 所攻擊的網頁,植入惡意連結,或者是設立惡意網站, 透過宣傳手法,利用一般人的好奇心吸引觀眾到站瀏覽, 使用者只要連上網站,就會轉落入駭客預先設計好的陷 阱,被植入木馬程式。進而被竊取電腦中的資料或機密 造成損失。 行政人員資安教育 35 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 定期檢查存取權限 帳號借他人使用出包 使用者密碼管理 設定優質密碼保障資料安全 10大企業資訊安全內賊現象 筆記型電腦資料安全管理 儲存媒體的保存 系統安全 2015/4/10 行政人員資安教育 36 定期檢查存取權限 離 職 將公司重要文件 轉寄私人信箱 竊取公司帳號、密碼 2015/4/10 行政人員資安教育 37 防範措施: 員工離職前應提醒其保密義務及法律責任。 員工離職後應立即取消其網路存取權限。 員工離職,應酌量風險決定凍結或移除其帳號並 變更密碼。 針對公司重要系統主機應定期檢查帳號及密碼之 設定。 針對公司重要系統主機應定期檢查存取權限及存 取紀錄。 2015/4/10 行政人員資安教育 38 帳號借他人使用出包 友人提供網路帳號密碼使用 利用他人名義販售商品 (教育部網站) 楊姓主任 2015/4/10 行政人員資安教育 39 防範措施︰ (1)個人帳號不可借任何人使用,包括像公務資料 系統、網站、e-mail、網路金融、ISP帳號等。 (2)不要將帳號密碼隨手記錄於紙本隨意置;更不 要將密碼寫在便利貼貼在電腦螢幕邊。 (3)不要告訴任何人您的帳號密碼,包括像對方來 電表示自己是資訊部門人員、銀行客服人員等。 (4)重要系統、網站在登入時,應留意一下系統提 醒的連線歷史紀錄是否有不明的登入紀錄。 2015/4/10 行政人員資安教育 40 使用者密碼管理 盜用網拍帳號 2015/4/10 行政人員資安教育 41 防範措施(1/2) 一、防禦的技巧 2015/4/10 (1)簽署保密聲明:要求使用者簽署對個人帳號密碼保 密之聲明。 (2)強制變更密碼:確保一開始即提供使用者安全之臨 時密碼,也應強制使用者在第一次登入系統時立刻更改。 (3)在提供新的、替換或臨時密碼前,須驗證使用者身 分。 (4)以安全的方式將密碼交給使用者,勿交由第三方轉 交或使用明碼傳送。 (5)密碼不得以無保護形式儲存於任何實體設備或可攜 式設備中。 行政人員資安教育 42 防範措施(2/2) 二、解決的技巧 2015/4/10 (1)網頁開發時,結合自然人憑證之機制,於使用者 (買方或賣方)登入或登出時均啟動確認身分之機制; 目前僅有以信用卡/轉帳付款時,才啟動確認身分之機 制,顯然是不足的。 (2)應有健全的通報機制,例如例假日或非上班時段, 可增列語音或發送簡訊的處置機制,由值班之客服人員 判定處理優先順序。 應從資安事件中學習及檢討,例如透過客服系統,定期 統計及彙整出相關事件發生之來由及解決方案,作為改 善及提升服務品質之依據。 行政人員資安教育 43 設定優質密碼保障資料安全 上傳私密照片到網路相簿 遭他人竊取帳密並惡意散布私密照片 2015/4/10 行政人員資安教育 44 優質密碼防範措施(1/2) 1.密碼長度建議至少六碼以上,且最好可參雜數 字、英文字母、特殊符號、大小寫。 2.應儘量避免使用易猜測或公開資訊為設定,例 如 2015/4/10 個人姓名、出生年月日、身分證字號 機關、單位名稱或其他相關事項 使用者ID、其他系統ID 電腦主機名稱、作業系統名稱 電話號碼 英文或是其他外文字典的字彙 專有名詞 空白 行政人員資安教育 45 優質密碼防範措施(2/2) 3.應保護密碼,維持密碼的機密性,勿使用同一 套密碼行遍天下,以避免所有關的登入資料同時 都被破解。 4.需定期更新密碼,建議更新頻率至少為三個月 一次。 5.不使用過於複雜而不易記憶的密碼,以免擔心 遺忘,而必須將密碼寫下,卻可能提高了密碼外 洩的風險。 2015/4/10 行政人員資安教育 46 10大企業資訊安全內賊現象 主管 員工 2015/4/10 給予帳號密碼 行政人員資安教育 47 10大企業資訊安全內賊現象 惡意竊取或損壞資料類型: 2015/4/10 1.竊取身份資料:員工存取或偷竊公司客戶的身份證號 碼等隱私資料。 2.竊取機密資料:員工閱覽公司機密資料,並將資料複 製至其隨身碟或透過電子郵件送出公司。 3.毀損資料:員工進入公司的研發或業務重要資料夾, 刻意毀損企業具有價值的智慧財產。 4.財務欺騙行為:員工直接在公司資訊系統中竄改自己 的薪資紀錄、或假冒發出採購單等行為。 行政人員資安教育 48 10大企業資訊安全內賊現象 違背政策的不當使用類型: 未授權存取系統駭客類型: 5.不當的資料存取:員工將不可攜出公司的工作相關資 料帶回家處理。 6.濫用特殊權限:員工利用其特殊的系統存取權限執行 非業務相關工作,如本案例中所提到銀行技工濫用權限 從事舞弊之行為。 7.非法將資料庫備份至光碟或隨身碟中。 8.SQL攻擊:員工利用 Web 程式的表格檔案竄改程式以 取得不該取得的資料。 9.軟體攻擊:員工利用公司使用的應用程式或軟體弱點 進行攻擊。 無意的資料錯誤處理類型: 2015/4/10 10.因人為操作錯誤而將敏感資料刪除或而無法復原。 行政人員資安教育 49 名詞解釋 access control 存取控管 2015/4/10 存取控管是一種對於資料或資訊系統使用的安全控制措 施,類似守門人的功能。 電腦系統管理者可利用密碼或其他身分驗證的方式,來 對於電腦系統的使用者進行授權/拒絕的存取與控管。 換言之,存取控制在指派與控制使用者之權限(如使用 者的身份、使用系統之時間等條件)。存取控管可提供 資源系統使用安全功能,降低駭客入侵或資料不當外洩 的風險。 行政人員資安教育 50 筆記型電腦資料安全管理 遭偷竊筆記型電腦 2015/4/10 行政人員資安教育 51 防範措施: 1.使用防護鎖或移動感應器來降低筆記型電腦失 竊機率。 2.電腦開機設定保護密碼 3.重要資料使用加密措施,防止未經授權存取。 4.定時備份重要資料於其它儲存媒體中,並予以 妥善保存 。 2015/4/10 行政人員資安教育 52 儲存媒體的保存 規劃公司整個網路儲存架構 阿嘉 2015/4/10 行政人員資安教育 53 防範措施: 1、使用磁碟陣列等可靠度較高的設備。 2、建立巢狀架構,避免單點損壞之風險。 3、建構異地備援。 4、建立備援儲存計畫,採用正常、複製、差異、”增量 與每天等正規方式儲存資料,並標示好時間與日期。 5、過期資料應使用強力消磁設備消磁,嚴禁隨意丟棄。 6、建立好銷毀流程規範,嚴格要求。 7、作好機房人員進出控管,建立授權名單,可以考慮進 一步使用指紋辨識系統。 8、資料內容加密。 2015/4/10 行政人員資安教育 54 名詞解釋 disaster recovery plan 災難復原計畫 2015/4/10 災難復原,是指當任何緊急事件(如地震、颱風、 人為疏失等)發生時,包含人員與資訊系統都應於 第一時間立即因應處理~ 行政人員資安教育 55 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 系統安全 2015/4/10 防範電腦駭客的入侵 遭遇電腦駭客入侵的因應對策 行政人員資安教育 56 防範電腦駭客的入侵 設計電腦鍵盤側錄程式 側錄線上遊戲者帳號 2015/4/10 行政人員資安教育 57 防範措施 1.系統作業更新:時常進行系統程式修正或更新,防範程 式漏洞導致入侵事件。 2.權限設定檢視:權限設定宜審慎,避免不合適或錯誤的 設定,給予駭客入侵機會。 3.日常作業備份:完善的備份,是降低入侵破壞傷害的基 本防線,方式包含備份於USB儲存設備,及硬碟等外接裝 置,或將檔案壓縮後置於檔案伺服器。 4.稽核軌跡管理:啟動各種系統、應用程式、網路設備的 事件稽核功能,使所有存取紀錄皆有跡可查。 5.時間校正:所有電腦與網路設備應設定自動校正時間, 避免因時間紀錄不一致,影響入侵事件的分析。 2015/4/10 行政人員資安教育 58 遭遇電腦駭客入侵的因應對策 建中學生 大學入試中心 學生個資 補習班 2015/4/10 行政人員資安教育 59 防範措施 1.系統備份:一旦發生駭客入侵,首要之務在於立即進行 系統備份,一方面保存重要檔案資料,另一方面,也保存 受害證據,以供日後告發之用。 2.系統隔離:包含以防火牆將受害電腦隔離封鎖、移除受 害電腦網路連線、關閉受害系統與無關帳號,以避免災害 擴大。 3.稽核紀錄:清查作業系統、服務程式、防火牆、入侵偵 測,及網路設備等所有可能留下的稽核紀錄,以作報警處 理之用。 4.分析追查:從上述各事件紀錄,追查入侵的IP來源、入 侵過程與方法。 5.復原與改善:將受損電腦進行復原,並針對入侵事件, 改善與強化資安工作。 2015/4/10 行政人員資安教育 60 名詞解釋 何謂P2P軟體? (點對點通訊傳輸工具) 2015/4/10 傳統HTTP/FTP傳送檔案方式,採用戶與主機的通訊模 式(Client-Server Mode) 。 新制P2P檔案傳送,採取用戶與用戶的通訊模式,可以 同時連接多個下載點,分散式下載檔案。使得P2P可以 快速完成檔案下載的目標。Skype也是P2P的一種應用 工具。 檔案分享是目前 P2P 最主要的一種應用,P2P 檔案分 享軟體本身是合法的,合不合法則是在分享的檔案。 行政人員資安教育 61 P2P軟體可能安全問題 P2P軟體可能影響的網路安全問題 P2P工具包,可能被惡意人員放置木馬後門程式,與病毒蠕蟲。 P2P軟體本身的漏洞,造成駭客入侵。 使用P2P軟體,誤將本機目錄開放共享。 使用P2P軟體下載影音檔案,多半為mp3與mpeg, avi等檔案,可 能造成侵權行為。 防範措施 2015/4/10 下載任何工具軟體,從原廠官方網站取得。 不要在公眾或公務電腦下載P2P檔案。 使用P2P工具,要縮短暴露在網際網路的時間。 使用任何網路工具(包含P2P檔案下載工具),不應侵害他人權益,入侵他 人電腦或是侵害著作權。 P2P技術是技術潮流,不反對P2P發展,而是『反對在辦公室與校園,使用 P2P檔案下載』。 行政人員資安教育 62 資通安全相關法令 資通安全相關法令 國家機密保護法 電子簽章法 刑法(防駭條款) 電腦處理個人資料保護法 檔案法 著作權法 行政院及所屬各機關資訊安全管理要點 機關公文電子交換作業辦法 智慧財產權Intellectual Property Rights (IPR) 2015/4/10 行政人員資安教育 64 妨害電腦使用罪簡介 隨著資訊科技快速發展,網際網路應用日益普及與多 元,除了帶給我們許多生活上的便利,但也衍生一些 資通安全問題,特別是網路犯罪行為已有增多趨勢。 網路犯罪行為大約可歸類下列三種 以網路作為犯罪工具–網路詐欺、網路恐嚇等 以網路作為攻擊標的–竄改檔案、阻斷式服務攻擊、駭客入 侵、電腦病毒等。 以網路作為犯罪場所–如色情、誹謗、賭博等 為避免電腦犯罪與維護網路秩序,特於刑法中設立相 關法令條文以為管理-刑法第36章「妨害電腦使用罪」 章。 2015/4/10 行政人員資安教育 65 妨害電腦使用罪主要內容(1) 第358條無故入侵電腦罪 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用 電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處 三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 本條主要目的為遏止駭客入侵行為。 第359條無故取得、刪除或變更他人電磁紀錄罪 2015/4/10 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄, 致生損害於公眾或他人者,處五年以下有期徒刑、拘役或 科或併科二十萬元以下罰金。 本條主要目的為確保電腦內部電磁紀錄安全。 行政人員資安教育 66 妨害電腦使用罪主要內容(2) 第360條無故干擾電腦系統罪 無故以電腦程式或其他電磁方式干擾他人電腦或其 相關設備,致生損害於公眾或他人者,處三年以下 有期徒刑、拘役或科或併科十萬元以下罰金。 本條主要目的為維護電腦及網路運作正常。 第361條對公務機關犯罪之加重 2015/4/10 對於公務機關之電腦或其相關設備犯前三條之罪者, 加重其刑至二分之一。 本條主要目的為確保國家安全。 行政人員資安教育 67 妨害電腦使用罪主要內容(3) 第362條製作供犯罪程式罪 製作專供犯本章之罪之電腦程式,而供自己或他人 犯本章之罪,致生損害於公眾或他人者,處五年以 下有期徒刑、拘役或科或併科二十萬元以下罰金。 本條主要目的為防止犯罪工具之利用與擴散。 第363條告訴乃論 2015/4/10 第三百五十八條至第三百六十條之罪,須告訴乃論。 本條主要目的為集中司法資源對抗重大犯罪。 行政人員資安教育 68 個人資料保護法制簡介 侯望倫 什麼是隱私權(Privacy)? The Right To Be Let Alone 隱私權的種類 身體隱私權 通訊隱私權 領域隱私權 資訊隱私權 個人資料自決權 2015/4/10 任何人對於其相關之個人資料,如不涉及公益 原 則上均得自我決定是否公開或提供他人利用 行政人員資安教育 70 個人資料之定義 個人資料:指自然人之姓名、出生年月日、國 民身分證統一編號、護照號碼、特徵、指紋、 婚姻、家庭、教育、職業、病歷、醫療、基因、 性生活、健康檢查、犯罪前科、聯絡方式、財 務情況、社會活動及其他得以直接或間接方式 識別該個人之資料。 2015/4/10 行政人員資安教育 71 個人資料當事人之權利 查詢及請求閱覽 請求製給複製本 請求補充或更正 請求停止電腦處理及利用 請求刪除 ☆不得預先拋棄或以特約限制☆ 2015/4/10 行政人員資安教育 72 預防措施_1 防止蓄意竊取敏感資料者 提防授權者公器私用 立即封鎖機密資料外傳行為,並通知IT管理員紀錄員工是否 有外傳機密資料的行為,如寫出管道、使用電腦、登入帳號、 寫出位置與違規時間等。 根據調查,78%的資料外流來自內部授權的使用者,企業必 須紀錄授權者接觸機密資料的行為與時間,並且強迫要求輸 入密碼加密以落實離開控管後的保護。 提防組織內的粗心使用者 2015/4/10 當員工企圖將機密資料以USB、email、IM或FTP等管道傳輸 出去時,系統會立即在其的電腦視窗示警,以此教育使用者 並記錄其行為。 行政人員資安教育 73 預防措施_2 提防機密資料存放終端電腦 透過定期終端電腦掃描的方式,預防、避免員工將只能 存放在檔案伺服器中的機密文件拷貝至個人電腦裡。 可搭配輔助舉證的資料 2015/4/10 有辦法確認資料外洩者是否平日即有權限存取機密或敏 感資料、檔案? 是否有系統可以記錄資料外洩者平常存取、複製的檔案 資料與持門禁卡進出公司的時間? 貴單位是否有明文規定機密或敏感資料不得存於USB? 以及當單位陷入涉嫌外洩個資時,能否即刻拿出相關的 登入紀錄與錄影機的紀錄等佐證資料? 行政人員資安教育 74 建立ISMS ISMS規範與控制項 資訊安全政策訂定與評估 資訊安全組織 資訊資產分類與管制 人員安全管理與教育訓練 實體與環境安全 通訊與作業安全管理 存取控制安全 系統開發與維護之安全 資訊安全事件之反應及處理 業務永續運作管理 相關法規與施行單位政策之符合性 2015/4/10 行政人員資安教育 76 ISMS建置步驟-規劃 依據該單位之類型、規模、資源、業務性質等 特性,定義ISMS之範圍; 考慮相關法律、法規以及合約之要求,於適度 評估風險及應對措施後,訂出經由管理階層核 准之ISMS政策; 並擬定一份適用性聲明書文件。 2015/4/10 行政人員資安教育 77 ISMS建置步驟-執行 施行單位應確實實施控制措施,以符合控管的 目標, 並執行訓練與認知計畫,確保偵測安全事件的 能力,以及迅速回應和應對處理的時效。 2015/4/10 行政人員資安教育 78 ISMS建置步驟-考核 施行單位應針對ISMS進行監控程序與其他控 制措施,即時鑑別資安事件的發生、處理順序 與解決方法; 定期審查ISMS之有效性(建議一學年至少一次) ,並將相關有顯著影響之活動與事件記錄下來 。 2015/4/10 行政人員資安教育 79 ISMS建置步驟-改善 施行單位應定期實行改進活動,採取適當的矯 正與預防措施, 並得到管理階層之同意,並確保各項措施達到 預期目標。 2015/4/10 行政人員資安教育 80 ISMS建置步驟 2015/4/10 行政人員資安教育 81 行政人員的協助與參與重點 參與教育訓練 協助資訊資產盤點 協助風險分析 提出安全需求 定期實施查核 協助持續改善,完成PDCA循環 2015/4/10 行政人員資安教育 82