Download
1 / 34
340 likes | 472 Views
第 3 章. 資訊管理的挑戰. 編者:湯宗泰、劉文良. 本章學習重點. 資訊安全 資訊倫理 資訊與法律 電腦犯罪 網路犯罪. 導讀 — 防不勝防,小心假網站. 根據趨勢科技調查顯示,一些知名銀行、企業或組織的網站如匯豐銀行、中國工商銀行,或是線上金流支付網站 PayPal 等,皆有和真實網站相似網域的「分身」,這些分身其實都是釣魚網站,跟本尊相似度百分百,是專門等粗心網友上勾,若不慎登入,資料可能馬上外流。
E N D
第3章 資訊管理的挑戰 編者:湯宗泰、劉文良 溫金豐,組織理論與管理,第二章
本章學習重點 • 資訊安全 • 資訊倫理 • 資訊與法律 • 電腦犯罪 • 網路犯罪 溫金豐,組織理論與管理,第二章
導讀—防不勝防,小心假網站 • 根據趨勢科技調查顯示,一些知名銀行、企業或組織的網站如匯豐銀行、中國工商銀行,或是線上金流支付網站PayPal等,皆有和真實網站相似網域的「分身」,這些分身其實都是釣魚網站,跟本尊相似度百分百,是專門等粗心網友上勾,若不慎登入,資料可能馬上外流。 • 這些分身假網站專門等網友輸入網址時,可能拼錯字或按錯鍵盤而進入,並以幾乎完全一樣的網頁來騙取網友的銀行密碼以及私密資料,一旦網友不小心疏忽未查,就會在渾然不知的情況下,將個人資訊曝露在網路駭客所架設的假網站上。 溫金豐,組織理論與管理,第二章
企業在考慮資訊安全時,必須重視幾種風險 1.物理破壞:例如火災、水災、電源損壞等 2.人為錯誤:偶然的或不經意的行為造成破壞 3.設備故障:系統及週邊設備的故障 4.內、外部攻擊:內部人員、外部駭客之有目的或無目的的攻擊 5.資料誤用:共用機密資料或資料被竊 6.資料遺失:故意或非故意的以破壞方式遺失資料 7.程式錯誤:計算錯誤、輸入錯誤、緩衝區溢出等 溫金豐,組織理論與管理,第二章
資訊安全的基本需求 1.隱密性(Confidentiality):確保系統或網路中之資料,只會被經過授權的人所看到。 2.身份辨識(Authentication):確認使用者身份。 3.不可否認(Non-repudiation):驗證使用者確實已接受過某項服務,或使用過某項資源。 4.存取控制(Access Control):使用者資料存取權限之設定應依使用者工作職權而給予,以降低未經授權存取系統資源之風險。 5.可獲得性(Availability):確保當經過授權之人員,要求存取某項資源時,資源可經系統及傳輸媒介獲得。 6.完整性(Integrity):確保系統或網路中之資料,不會被未經授權的人員修改。 7.稽核(Audit):稽核是用來幫助系統管理者追查出可疑的行為 溫金豐,組織理論與管理,第二章
資訊安全的基本需求 溫金豐,組織理論與管理,第二章
資訊安全管理系統(ISMS)的六大步驟 溫金豐,組織理論與管理,第二章
資訊安全管理標準—BS7799 • 國際標準制定機構英國標準協會(BSI),於1995年提出BS 7799資訊安全管理系統(Information Security Management Systems,稱ISMS),最新的一次修訂已於2005年完成,並經國際標準化組織(ISO)正式通過成為ISO 27001:2005資訊安全管理系統要求標準,為目前國際公認最完整之資訊安全管理標準。 • ISO27001標準可幫助組織鑑別、管理和減少資訊所面臨的各種風險,尤其在高速網路化之資訊開放服務環境。通過ISO 27001國際標準驗證,是對於客戶及組織資訊的安全,提出最大的承諾與保證。 • BS7799包含10大管控項目,36個管控目標及127個管控措施,目的是建立一套完整的資訊安全管理系統。 溫金豐,組織理論與管理,第二章
10大管控項目 1.安全政策(Security Policy) 2.安全組織(Organizational Security) 3.資產分類與控制(Asset Classification and Control) 4.人員安全(Personnel Security) 5.實體與環境安全(Physical and Environmental Security) 6.通訊與作業管理(Communications and Operations Management) 7.存取控制(Access Control) 8.系統開發及維護(Systems Development and Maintenance) 9.營運持續管理(Business Continuity Management) 10.符合性(Compliance) 溫金豐,組織理論與管理,第二章
主要的安全防護工具 • 使用者帳號與密碼 • 防火牆 • 虛擬私人網路 (VPN) • 入侵偵測系統 溫金豐,組織理論與管理,第二章
基本上,防火牆可以分成三大類 1.封包過濾防火牆(Packet Filtering Firewall) 2.代理伺服器防火牆(Proxy Server Firewall) 3.狀態檢驗式防火牆(Stateful Inspection Firewall) 溫金豐,組織理論與管理,第二章
虛擬私人網路(VPN)運作架構 溫金豐,組織理論與管理,第二章
入侵偵測系統依不同的分類方式 1.主機式架構(Host Based)vs.網路式架構(Network Based) 2.線上即時偵測(On-line)vs.離線偵測(Off-line) 3.誤用式偵測(Misused Detection)vs.異常偵測(Anomaly Detection) 溫金豐,組織理論與管理,第二章
資訊倫理 • 「倫理」仍人倫之理,也就是做人的道理。倫理的英文為「Ethic」或「Ethics」;而道德的英文則為「Mortal」或「Mortality」。「倫理」與「道德」概念,無論是中文或英文的意思,大致為相同或相通的,在同詞上也可以互相代替,但傳統上並不做嚴格的區分。 • 一般而言,當表示規範或理論的時候,比較傾向使用「倫理」;當表示現象的時候,就比較傾向使用「道德」。兩者在大多數情況下都是同義詞,彼此間或有微殊而無大異;更為學者認為,「倫理」可以說是更細緻的道德。 • 「資訊倫理」是指資訊社會中,人與人之間相關的道理,它可以是指科技時代下利用電腦或網際網路,使用各種資訊的規範,也是因應資訊科技的問世所創立的規則。簡而言之,資訊倫理就是與資訊科技相關的倫理。 溫金豐,組織理論與管理,第二章
資訊倫理的四大議題 溫金豐,組織理論與管理,第二章
資訊倫理的參考準則 1.普遍性理論(Universalism):強調「只要是大家都認為不合倫理的事,無論理由多麼冠冕堂皇,都不可採取行動」。Kant提出普遍性理論,其認為具有倫理的行為應符合下列三則條件: (1)具有普遍性,可以應用至所有人及所有情況,但又不會傷害到別人 (2)能尊敬其他人,並保證他人的權利不會受損 (3)尊敬他人的自主權,每個人都有權去自由選擇他們想要的 2.黃金準則(Golden Rule):強調「己所不欲,勿施於人」,亦即不做出自已也不希望遇到的不公平對待。 3.集體功利主義(Utilitarian Principle):集體功利主義認為,任何人都應採取為整體社會帶來最大利益的行動。 4.天下沒有白吃的午餐(No Free Lunch Rule):除非有特別宣告,否則幾乎所有有形和無形的東西,都是由他人所擁有。如果他人已經創造了某種東西對你有價值,它就具有價值,而你應該假設創造者會希望這個成果能獲得補償,也因此獲取任何對我們有利益的資訊或知識,都必須付出某種代價。 溫金豐,組織理論與管理,第二章
美國計算機倫理學會制定的十條戒律 1.不應用計算機(電腦)去傷害別人。 2.不應干擾別人的計算機(電腦)工作。 3.不應窺探別人的計算機(電腦)文件。 4.不應用計算機(電腦)進行偷竊。 5.不應用計算機(電腦)作偽証。 6.不應使用或拷貝你沒有付錢的軟體。 7.不應未經許可而使用別人的計算機(電腦)資源 8.不應盜用別人的智力成果﹔ 9.應該考慮你所編寫的程式,所造成的社會後果。 10.應該以深思熟慮和慎重的方式來使用計算機(電腦) 溫金豐,組織理論與管理,第二章
個人資料保護法 • 行政院乃於民國82年間研擬完成「電腦處理個人資料保護法」草案,送請立法院審議,並於民國84年7月12日三讀通過,民國84年8月11日公布實施,而「電腦處理個人資料保護法施行細則」於民國85年5月1日公發布實施。 • 我國《電腦處理個人資料保護法》的立法目的,在於規範電腦處理個人資料,「以避免人格權受侵害」,同時「促進個人資料之合理利用」。 • 「電腦處理個人資料保護法」的主要目的,就在於保護使用電腦個人之人格權。 溫金豐,組織理論與管理,第二章
電子簽章法 • 行政院為推動電子交易之普及運用,確保電子交易安全,促進電子化政府及電子商務之發展,已於民國90年11月14日公布電子簽章法,並自民國91年4月1日施行。 • 電子簽章法最大的目的,就是希望透過賦予電子文件和電子簽章法律效力,建立可信賴的網路交易環境,確保能夠掌握某一資訊在網路傳輸過程中,是否遭到偽造、竄改或竊取,以保障資訊正確與完整性,並透過識別交易雙方身分,防止事後否認已完成交易的事實。 溫金豐,組織理論與管理,第二章
隱私權 • 隱私權是二十世紀才出現的法律概念,起源於美國。在美國的法律系統中,隱私權被視為是一種「不受干擾的權利」(The Right To Be Let Alone),也是個人控制與自己有關資訊的權利。主要的目的在保護個人的心境、精神與感覺,不受非法侵犯。 • 任何能用來識別、找出,或連絡個人的資料,謂之「個人可識別資訊」。而資訊隱私權包含特定資訊不受政府或商業公司收集的權利,以及個人有控制本身相關資訊之用途的權利。 溫金豐,組織理論與管理,第二章
隱私權偏好平台(Platform of Privacy Preference, P3P) • 隱私權偏好平台(P3P)其目的是統一各網站隱私權政策的格式,它是一項標準,用來向Internet使用者傳達網站的隱私權政策 • 這是由於隱私權政策的內容都大同小異(不外乎是個人資料如何使用、Cookies的使用、第三方使用個人資料的政策…等等),但格式卻是大不同。 • 首先網站必須提供隱私權政策,而使用者需設定隱私權偏好設定。當隱私權政策符合使用者的偏好設定時,那麼使用者即可提供個人資料;當隱私權政策不符合使用者的偏好設定時,則拒絕提供個人資料。這個判決符合不符合的過程都是由瀏覽器自動執行,而使用者只需要設定隱私權偏好設定就可以了。 溫金豐,組織理論與管理,第二章
隱私權保護 1.個人有被告知資料收集的權利 2.企業有考量實際使用,適當收集資料的義務 3.個人有修改、刪除個人資料及選擇使用方式的權利 4.企業有保持資料正確性與即時性的義務 5.企業有安全管理並保護個人資料的義務 6.企業有展現對個人資料負責的義務 溫金豐,組織理論與管理,第二章
智慧財產權 • 所謂的「智慧財產權」包含了人類心智的各種有形及無形的產品。 • 智慧財產權主要包括: • 著作權 • 專利權 • 商標權 • 網域名稱權 • 值得注意的是,著作權、專利權、商標權在網路上一樣被保護 • 暫時性重製目前在台灣並無罰責。 溫金豐,組織理論與管理,第二章
著作權 • 著作權法保護了原著在各種可觸及媒體間的表達 • 凡語文、音樂、戲劇、舞蹈、美術、攝影、圖形、視聽、錄音、建築及電腦程式及表演等著作均屬著作權法所規定例示之著作。 • 依著作權法第十三條規定:「著作人於著作完成時享有著作權。」因此,法定著作不必申請登記,亦受著作權法保護。至於是否申請著作權登記,悉由著作人自行決定,不論有無登記,對其著作權之取得均無影響。 • 著作財產權,除本法另有規定外,存續於著作人之生存期間及其死亡後50年。著作於著作人死亡後40年至50年間首次公開發表者,著作財產權之期間,自公開發表時起存續10年。 溫金豐,組織理論與管理,第二章
1.免費軟體(Freeware)是指著作權人同意使用者可以免費使用該軟體,但著作權人仍保有完整的著作權,亦即使用者在個人非營利的使用外,無權為任何營利、公眾使用或割裂、篡改等行為。1.免費軟體(Freeware)是指著作權人同意使用者可以免費使用該軟體,但著作權人仍保有完整的著作權,亦即使用者在個人非營利的使用外,無權為任何營利、公眾使用或割裂、篡改等行為。 2. 共享軟體(Shareware)通常容許使用者使用一段期間,待特定期間期滿後,使用者必須上網註冊、付費或其他特定行為後方可繼續使用,故著作權人僅開放部份著作財產權的時間利益予使用人,並無拋棄著作權之意。目前市面上流通的共享軟體,並不會因為創作人同意讓大家免費下載、或在一定期間免費使用等等優惠措施,就使喪失著作權的保障。 3.至於著作權人聲明放棄著作權之公共所有軟體(Public Domain),使用者可以盡情使用,但仍應注意避免侵害著作人之著作人格權(包括:姓名表示權、公開發表權、同一性保持權)。 4.另外,由美國自由軟體協會(Free Software Foundation,FSF)主導的大眾公有版權(General Public License,GRL)概念,主張揚棄不合時宜的軟體著作權制度,藉以保障使用者的自由,但僅限於該團體成員方能享有。 溫金豐,組織理論與管理,第二章
專利權 • 我國的「專利權」規定保護的客體是「發明」、「新型」與「新式樣」,對於利用自然法則之技術思想創作,在符合法定要件下提出申請,經專責機關審查與核准後,並於三個月內繳納證書費及第一年年費後始予公告,並自公告日起給予發明專利證書。 • 專利權限自申請日起算20年或12年屆滿,視專利種類而定,在此期間內以法律加以保護,但保護力過去大多採「民事」與「刑事」併行之保護,但近來多數國家則改採僅有「民事」保護。依我國專利法規定,發明、新型、新式樣專利均自核准公告之日起給予專利權,其屆滿之期限為「發明專利權」自申請日起算20年,「新型專利權」期限自申請日起算10年,「新式樣專利權」期限自申請日起算12年。 溫金豐,組織理論與管理,第二章
商標權 • 商標權是用來表彰商品或勞務的來源,使商品或勞務能與其他提供者有所區別,也使消費者易於辦識。 • 在商業上,商業的侵權行為測定係以: 1.惡意誤導 2.混淆市場。 • 「商標法」有三個立法目的: 1.主要的目的是區別商品與服務的來源。 2.次要的目的是保護消費者的利益,保證商品或服務的品質,以彰顯經濟價值。 3.第三個目的是作為銷售的廣告用途。 溫金豐,組織理論與管理,第二章
電腦犯罪(Computer Crime) • 目前大都採用廣義的解釋,「凡犯罪行為係透過電腦之使用或對電腦本身所造成之損害皆屬之」 • 雖然多數學者大多採用「電腦犯罪」一詞,以定其在電腦領域中研發生之犯罪型態,但至今仍有不少學者,認為應以「電腦濫用」(Computer Abuse)取代之。其認為假如使用「電腦犯罪」一詞,無異是對電腦的一種歧視,且容易使人們對電腦產生錯誤的觀念,或對電腦的使用產生排斥與疑懼,進而影響電腦之正常使用與發展。凡使用電腦的過程中有任何不當之行為皆屬於「電腦濫用」,其行為之主體或為電腦之所有人或操作者,因此,凡故意或過失不當使用電腦,致他人受損害或有受損者,即為電腦濫用。 溫金豐,組織理論與管理,第二章
電腦犯罪與網路犯罪 • 電腦犯罪是一種利用電腦知識或電腦科技作為從事不法的犯罪行為 • 網路犯罪通常是指利用網際網路知識或網路網路科技作為從事不法的犯罪行為 溫金豐,組織理論與管理,第二章
網路犯罪具有五項電腦犯罪所沒有的特質 1.隱匿性:網際網路十分開放、分散,而且無遠弗屆的特性,成為隱匿性犯罪的最佳場所。 2.普及性:網際網路的普及性,讓未具有電腦專業知識的使用者也能操作,儘管是初學者也能輕易達到犯罪目的。 3.犯罪客體多樣化:各式各樣的網路犯罪樣態,例如:散播網路病毒、電子郵件恐嚇、透過網路竄改他人資料,均較電腦犯罪更加繁雜。 4.更具專業性:某些網路犯罪較一般單純電腦犯罪更具專業性,例如:利用網路逃避電腦安全的稽核防護。 5.偵查更為困難:犯罪者經常以匿名與跨國方式進行犯罪行為,被發現後可能無法追蹤,甚至跨國辦案。 溫金豐,組織理論與管理,第二章
常見的電腦犯罪類型 1.資料竄改:利用一些非法的手段來改變電腦系統中原重要的資料。 2.特洛伊木馬:是指在電腦程式中擅自植入一些指令,而使得此程式不但能正常工作,而且還能執行一些未經授權的程式作業。 3.邏輯炸彈:是指一個程式或片段程式,它們可以被設計成隨時或在某個特定的時刻來執行某些為授權或迫壞系統作業的行為。 4.惡意程式:例如,電腦病毒通常是經由網路下載程式的方式,或從磁碟複製資料時,來傳輸的一段破壞性的程式。 5.電腦駭客:是指某些人因興趣而利用電腦或終端機強行突破某些電腦系統的安全管制措施的行為,以滿足個人成就感或其他目地。 6.網路蟑螂:專門在網路上事先登記一些知名企業的名稱作為網址,然後再以高價向相關企業來兜售的人,以賺取高額利潤。 7.軟體盜版:凡是未經過授權就複製或使用一些電腦合法程式都算構成犯罪行為止。 溫金豐,組織理論與管理,第二章
常見的網路犯罪內容 1.線上張貼猥褻圖片 2.線上販賣色情光碟 3.提供超連結色情網站 4.線上散佈性交易訊息 5.線上販賣盜版光碟 6.線上販賣違禁品或管制品 7.線上販賣贓物 8.網路詐欺:包括線上盜刷、線上虛設行號 9.妨害名譽 10.入侵他人網站 11.散佈電腦病毒 12.網路賭博 13.線上販賣個人資料 溫金豐,組織理論與管理,第二章
惡意程式 • 「電腦病毒」單純指的是「Virus」,而「惡意程式」(Malicious Code)則泛指所有不懷好意的程式碼,包括「電腦病毒」、「特洛伊木馬程式」(Trojan)、「電腦蠕蟲」(Worm)、「後門程式」(Backdoor)。 • 有些企業為了達到系統安全檢查的目的,會僱用一群技術好的電腦高手,由外部網路試著入侵公司系統,這一群人俗稱White hat。而那些專門對外公佈系統有弱點網路,以獲取名聲的網路駭客,則俗稱Gray hat。 溫金豐,組織理論與管理,第二章
個案—YouTube的成與敗法律爭議 1.如果你是YouTube的執行長(CEO),將如何處理YouTube的法律爭議?請提出你的看法? 2.如果你是YouTube的資訊長(CIO),將如何處理YouTube的資訊安全需求?請提出你的資訊安全政策與實際作為? 溫金豐,組織理論與管理,第二章
