1 / 48

資訊安全觀念與案例概述

資訊安全觀念與案例概述 . 圖書資訊館 邱秀莉 96.12.6. 課程大綱. 前言 常見資訊安全問題防護 資訊相關法律簡介 資安事件案例宣導 參考資料. 前言. 資訊科技與網際網路的興起為我們的生活帶來許多便利性 , 但也開始引發一些新興的安全議題,特別是利用網路進行犯罪引發的治安疑慮。這些問題,小則影響個人權益,大則影響國家安全。 資訊安全之維護不只在建立防火牆或是購置硬體設備,有越來越多研究報告指出,資訊人員的安全教育是最重要的一環。. 常見資訊安全問題防護. 安全認證網站 Cookie 紀錄 數位簽章 社交工程 網路釣魚 殭屍電腦.

aquila
Download Presentation

資訊安全觀念與案例概述

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊安全觀念與案例概述 圖書資訊館 邱秀莉 96.12.6

  2. 課程大綱 • 前言 • 常見資訊安全問題防護 • 資訊相關法律簡介 • 資安事件案例宣導 • 參考資料

  3. 前言 • 資訊科技與網際網路的興起為我們的生活帶來許多便利性,但也開始引發一些新興的安全議題,特別是利用網路進行犯罪引發的治安疑慮。這些問題,小則影響個人權益,大則影響國家安全。 • 資訊安全之維護不只在建立防火牆或是購置硬體設備,有越來越多研究報告指出,資訊人員的安全教育是最重要的一環。

  4. 常見資訊安全問題防護 • 安全認證網站 • Cookie紀錄 • 數位簽章 • 社交工程 • 網路釣魚 • 殭屍電腦

  5. 安全認證網站 • 安全認證標章是由公正第三方之驗證機構,針對網路商店之交易安全進行檢驗;通過驗證之網路商店,驗證機構會提供「安全認證標章」張貼於該網站上,以便消費者辨識該網站之交易安全與可靠。常見的安全認證標章如: • 防護秘訣: • 使用網路交易或者填寫個人資料時,需先檢查該網站是否有安全認證標章。 • 使用網路購物或網路銀行時,應檢查網址列開頭是否為https,以確保資料傳輸有加密安全機制。

  6. cookie紀錄 • cookie是存在瀏覽器中的小型文字檔,記錄使用者瀏覽網頁的資訊、帳號與密碼。當使用者下次再度使用瀏覽器時,電腦能自動顯示最近使用過的網頁,使用者也無需重新輸入帳號與密碼。 • 防護秘訣: • cookie紀錄重要的個人資料與網路使用習慣,應隨手刪除電腦裡的cookie紀錄。 • 詳讀每個網站的隱私權政策,尤其是cookie所蒐集的使用者資訊用途,以避免個人資料被濫用。

  7. 數位簽章 • 如同書面文件的簽名、蓋章,網路環境中也有數位簽章,作為通信與交易的基礎。由於數位簽章是簽署人向憑證機構申請後核發,且文件傳遞過程亦經加密與驗證,所以具有防止竄改偽造、確認交易對象身份、避免事後否認等功能。 • 防護秘訣: • 有法律保障的數位簽章,是由主管機關公告核定的憑證機構所核發。 • 應確認數位憑證的有效期限。

  8. 社交工程 • 社交工程就是一種利用人性弱點的詐騙技術,藉由與人之間的互動而形成的犯罪行為。它避開了嚴密的資通安全技術防護,是非常難以防範的攻擊模式。 • 防護秘訣: • 遇到他人以任何身份要求個人或公司資料時,應先謹慎確認身份。 • 不管是信件或言詞交談,應小心勿隨意透露重要資訊給不認識的人。

  9. 網路釣魚 • 網路釣魚是駭客仿冒知名公司網站,架設神似的假網頁,誘騙使用者登入假網站輸入個人資料。 • 防護秘訣: • 勿用電子郵件內提供的超連結,以自己輸入網址方式取代。 • 收到要求輸入個人資料的電子郵件時,一定要和原公司求證,以減少被騙機會。

  10. 殭屍電腦 • 受到殭屍病毒(BotNet)感染的主機,會猶如殭屍般任由駭客控制,上網連線速度會突然變慢。駭客會以遠端控制受感染的主機,進行網路攻擊,包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務等網路犯罪行為。 • 防護秘訣: • 不開啟任何來路不明的磁片、光碟、email的附加檔,尤其是不認識的人寄來的電子郵件附加檔。 • 不能心存僥倖,電腦一定要安裝防毒軟體,因惡意軟體變化日新月異,病毒碼也要時時更新。

  11. 資訊相關法律簡介 • 刑法妨害電腦使用罪章 • 國家機密保護法 • 電腦處理個人資料保護法

  12. 刑法妨害電腦使用罪章條文(1/2) • 第358條 無故入侵電腦罪 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。 • 第359條 無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。

  13. 刑法妨害電腦使用罪章條文(1/2) • 第360條 無故干擾電腦系統罪 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。 • 第362條 製作程式供犯罪之用 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。 • 第361條 對公務機關加重其刑 • 第363條 告訴乃論

  14. 案例分析(1/3) • 2004年10月初,多達400萬會員的天堂網路遊戲服務驚爆遊戲公司網站疑似遭到駭客攻擊事件,傳出許多玩家的帳號遭盜、寶物遭竊(2004/10/7 民視新聞)。 • 適用法條: • 刑法第358條 • 刑法第359條

  15. 案例分析(2/3) • 一名大學肄業黃姓男子利用網路釣魚(phishing)手法,涉嫌架設虛假的「中X銀行」的網路銀行網頁,利用相似的網址,以魚目混珠的方式,誘騙兩家網路銀行的客戶誤信點選登入,從而套取其帳號、密碼,再憑此將被害人存款轉至人頭帳戶,被害人多達六百多人。 • 適用法條: • 刑法 偽造準文書罪 • 刑法第359條 無故變更電磁紀錄罪 • 第339-3條 電腦詐欺罪

  16. 案例分析(3/3) • 南部某家知名冷飲店一再遭人惡意中傷,在電子郵件、網路留言版或聊天室上經常發現有詆毀性的文章,包括「該家冷飲店的飲料含有茶精、添加代糖,吃多會致癌」等內容,該公司摘錄30多封網路留言及相關轉寄電子郵件後報請台南市刑大偵辦,警方詢問幾位措辭嚴重且強烈的行為人到案說明後移送地檢署。 • 適用法條 • 刑法第310 條 • 民法第195 條

  17. 國家機密保護法內容 (1/3) • 2003年2月6日公發佈 • 「國家機密」三個構成要件 • 為確保國家安全或利益而有保密之必要 • 政府機關持有或保管之資訊 • 依本法核定機密等級者(絕對機密/極機密/機密) • 機密之核定與變更 • 應注意相關準備文件、草稿 • 依職權或申請註銷、解除或變更等級 • 核定國家機密等級時,應併予核定其保密期限或解除機密之條件。 • 涉及國家安全情報來源或管道之國家機密應永久保密

  18. 國家機密保護法內容 (2/3) • 明確標示等級、保密期限或解除機密條件 • 書面授權原則 • 其他機關需使用國家機密應經原核定機關同意 • 國家機密之收發、傳遞、使用、持有、保管、複製及移交,應依其等級分別管制。(以電子通信工具傳遞者,應加裝政府權責主管機關核發或認可之保密裝備或加密技術。) • 複製物應視同原件,依本法規定保護。 • 絕對機密不得複製

  19. 國家機密保護法內容 (3/3) • 刑罰 • 基本上沿襲刑法規定方式 • 增加刑法所無之刑罰 • 毀棄、損壞、隱匿國家機密 • 未經核准擅自出境或逾越核准地區 • 擴大對過失犯之處罰 • 「過失洩漏或交付」之行為人不再以公務員為限 • 毀棄、損壞、隱匿國家機密亦罰及過失 • 緩衝期限規定 • 本法施行前,依其他法令核定之國家機密,應於本法施行後2年內,依本法重新核定,其保密期限溯自原先核定之日起算。 • 屆滿2年尚未重新核定者,自屆滿之日起視為解除機密。

  20. 案例分析(1/2) • 有洪姓記者涉嫌於民國89年非法取得國軍漢光演習計畫相關資料,於勁報第三版撰寫關於本件「演習課目計劃表」之報導,內容包括「演習項目」、「內容」、「實施地點」及「方式」等消息,被法院依洩漏國防秘密罪判處有期徒刑一年(92年訴更(一)字第2號判決)。

  21. 案例分析(2/2) • 調查局公布一起洩漏國防機密案,電訊發展室莊姓少校因涉嫌將愛國者三型飛彈、天弓及鷹式等飛彈之雷達參數資料,洩漏給黃姓民間友人而遭拘提。據了解,該資料已低價轉賣中共軍方。此外,部分承包國軍重要武器裝備零組件的製造廠商,將零件轉往大陸生產,而後再返台組裝(蘋果日報2005/5/11)。 國家機密

  22. 電腦處理個人資料保護法內容(1/5) • 規範主體:公務機關與非公務機關 • 非公務機關 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或人、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八項行業(個資法第三條第一項第7款) • 個人資料之定義 自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業健康、病歷、財務情況社會活動及其他足資識別該個人之資料。

  23. 電腦處理個人資料保護法內容(2/5) • 規範之行為 • 特定目的蒐集、處理與利用 • 保持正確與蒐集目的消失後刪除義務 • 當事人之個人資料自主權 • 查詢及請求閱覽 • 請求製給複製本 • 請求補充或更正 • 請求停止電腦處理及利用 • 請求刪除 (不得預先拋棄或以特約限制)

  24. 電腦處理個人資料保護法內容(3/5) • 得為特定目的外利用之情形 • 法令明文規定 • 有正當理由而僅供內部使用 • 為維護國家安全、增進公共利益 • 為免除當事人之生命、身體、自由或財產上之急迫危險 • 為防止他人權益之重大危害而有必要 • 為學術研究而有必要且無害於當事人之重大利益 • 有利於當事人權益 • 當事人書面同意

  25. 電腦處理個人資料保護法內容(4/5) • 公務機關應依當事人之請求,就其保有之個人資料檔案,答覆查詢、提供閱覽或製給複製本(個資法第12條)。 • 公務機關保有個人資料檔者應指定專人依相關法令辦理安全維護事項(個資法第17條)。

  26. 電腦處理個人資料保護法內容(5/5) • 機關:國家賠償 • 違反規定致當事人權益受損時,須負賠償責任(包括財產及非財產上損害賠償); 責任總額最高為新台幣二千萬元。 • 公務員:刑事責任 • 個資法第33條意圖營利違反規定命令罪或第34條非法輸出、干擾、變更、刪除、妨害正確罪,依個資法第35條規定,須加重其刑至二分之一。 • 機關賠償當事人後,仍可向該員求償。

  27. 案例分析 • 台北地檢署追查高雄市衛生局官員涉嫌販售新生兒資料案,發現有衛生局工作之人員,涉嫌長期販售職務上掌管的孕婦與新生兒資料給王姓嫌犯,對外販售獲利。檢方已依貪污治罪條例將這些公務人起訴。 • 同案中另發現屏東縣衛生局某官員之妻,疑似利用丈夫職務之便偷印名冊轉寄給王姓主嫌,被依個資法起訴(聯合報2005/9/15)。

  28. 資安事件案例宣導 • 網站涉洩露師生個人資料 • 電腦失竊資料遺失 • 學生駭客竊取帳號修改網站 • 電子郵件帳號遭駭客竊取 • 公事家辦洩密 • 8 警所私灌FOXY 偵查筆錄外洩 • 全台近千網站被植入惡意程式 • 網路銀行資料遭竊取 • 涉國家安全研究領域教授之E-mail 帳號遭盜用

  29. 網站洩露學師生個人資料 案由: • 中部某所知名大學網站因控管不當,透過Yahoo 、Google 等搜尋引擎,便可直接取得該校助學貸款學生名冊,名冊內含學生身份證字號、貸款金額等個人資料,讓學生資料暴露於危險之中。

  30. 網站洩露學師生個人資料 預防方式: • 網站應指派專人管理審核內容,以避免洩漏學生、教師個人資料。 • 不適合公開的檔案不可存放在公開之網站上。 • 網站上過期的資料應進行檔案刪除、不可只移除超連結,以免被搜尋引擎取得而被讀取。

  31. 電腦失竊資料遺失 案由: • 南部某國小電腦遭竊,人事教職員資料因存放於電腦中而一並外洩、會計預算電子檔案亦於電腦中一同遺失。

  32. 電腦失竊資料遺失 預防方式: • 行政業務責料應養成備份習慣,避免造成資料永久遺失。 • 筆記型電腦、行動碟等儲存設備因攜帶方便、容易遺失,應設定密碼保護或資料加密,並儘可能避免存放機密公務資料,並妥善保管。 • 辦公處所應加強門禁管制,設備遭竊應立即向所轄派出所報案。

  33. 學生駭客竊取帳號修改網站 案由: • 北區某知名高中之學生於駭客教學網站習得駭客入侵技巧,練習入侵多所學校網站,並於某小學網站發布『 學校寒假延長訊息』 假消息,另刪除多所學校網站重要資料。

  34. 學生駭客竊取帳號修改網站 預防方式: • 校園應加強宣導駭客行為必須擔負法律責任。 • 建置網站開發程式應加強系統安全(如輸入欄位必須進行字元檢查),避免產生程式漏洞,遭駭客入侵。 • 網站作業系統、資料庫、服務軟體(如web Server )應定期更新軟體,避免系統漏洞產生。

  35. 電子郵件帳號遭駭客竊取 案由: • 國內4 所大學之郵件伺服器與駭客中繼站建立連線,且特定電子郵件帳號遭登入下載郵件查看,疑似洩漏重要資訊內容。

  36. 電子郵件帳號遭駭客竊取 預防方式: • 應注意電子郵件使用安全,勿開啟來路不明之信件,以免被植入後門程式竊取資料。 • 郵件帳號及瀏覽器應取消記憶密碼功能,以避免帳號密碼記錄被駭客利用木馬程式竊取。 • 個人電腦應安裝防毒軟體,且作業系統及防毒軟體應隨時更新,以避免漏洞產生。 • 電子郵件及相關系統之登入密碼應定期更新。

  37. 公事家辦洩密 案由: • 某中央政府機關內人員習慣將公文之電子檔案,以隨身碟拷貝至家中電腦辦公並儲存。因家中電腦已遭駭客植入後門程式,以致長期大量經手之機密文書外洩,又經各媒體大幅報導,損害政府機關形象。

  38. 公事家辦洩密 預防方式: • 公務機密資料攜出應依程序辦理。(依國家機密保護法規定:公務機密資料攜出辦公處所,應經機關首長核准)。 • 家中電腦之使用較缺乏定期更新軟體與防毒程式之習慣,應妥善設定自動更新機制,以防範病毒入侵。 • 家中電腦連線上網時通常沒有防火牆保護,應加裝個人電腦防火牆,以降低遭入侵之機率。

  39. 8 警所私灌FOXY 偵查筆錄外洩 案由: • 據電腦犯罪防制中心指出:8 所警察機關之警員擅自安裝F0XY (檔案下載軟體)於警所電腦中,且不熟悉FOXY 之設定方式,誤將電腦中所有資料開放予所有人下載,造成警所電腦筆錄責料外洩,警政署怒追究相關人員的疏失責任。

  40. 8 警所私灌FOXY 偵查筆錄外洩 預防方式: • 點對點(P2P )檔案下載軟體因版本與種類繁多,軟體容易被改寫加入木馬或後門程式,故不要安裝P2P 軟體,如Bittorrent ( BT )、eMule 、FOXY 等,以免造成機密資料外洩;另P2P 下載之檔案也容易含有病毒或是非法之盜版軟體,容易遭到廠商追蹤舉發而產生訴訟與巨額賠償。

  41. 全台近千網站被植入惡意程式 案由: • 據媒體報導:平均每10 個網頁,就有1 個植入惡意程式碼,「拒絕壞程式基金會」(http : / / stopbadware . org )發布「全台近千網站植入惡意程式」訊息,顯示目前網站內含惡意程式碼問題嚴重。

  42. 全台近千網站被植入惡意程式 預防方式: • 勿瀏覽非公務用途網站。 • 個人電腦應安裝防毒軟體,作業系統及防毒軟體隨時更新。 • 瀏覽器安全等級應設定為中級或更高等級。 • 勿任意下載或安裝來路不明、有違反法令疑慮(如版權、智慧財產權等)的電腦軟體。

  43. 網路銀行資料遭竊取 案由: • 據科技犯罪防制中心指出:有犯罪集團利用假資料註冊與國內知名網路銀行、航空公司等極為類似之網址,再於各大搜尋引擎公司購買關鍵字廣告,誘使民眾連結至藏有木馬程式網頁,俟民眾電腦遭植入木馬後再導向正常網站,此時木馬程式已開始進行鍵盤側錄與竊取檔案,竊取民眾網路銀行帳號密碼,其後再進行轉帳盜取,此類損失已達數千萬元。

  44. 網路銀行資料遭竊取 預防方式: • 使用搜尋引擎時需特別注意關鍵字廣告與正牌網站之區隔。 • 個人電腦應安裝防毒與防火牆軟體,祚業系統及防毒軟體應定期更新。 • 避免將個人基本資料於網路上流傳。 • 避免於辦公室瀏覽非公務網站。

  45. 國家安全研究領域教授之E-mail 帳號遭盜用 案由: • 法務部調查局調查駭客中繼站發現某研究中共軍事、國家安全等領域教授,其E-mail 帳號已遭竊取,追查來源為中國大陸。

  46. 國家安全研究領域教授之E-mail 帳號遭盜用 預防方式: • 針對校內承接政府計畫或學術研究涉國家安全、軍事機密等教職員、學生,各校應提醒及宣導該人員應特別注意資通安全,並協助其資訊安全防護。 • 機密性、敏感性資料應妥善處理,不可置於公開網路上或使用E-mail 傳遞。

  47. 參考資料 • 教育部資訊安全宣導案例 • 網路文官學院資訊安全課程 (http://elearning.nat.gov.tw/) • 資訊相關法律簡介 • 資訊安全概論 • 2007全民資安健檢網站(https://www.i-security.tw/nicst-gov/index.aspx)

  48. 報告完畢謝謝大家

More Related