资讯安全基本素养教育训练绪论.ppt

五、正確的使用電子郵件(二) 防範訣竅： 除非使用者相當確定信件來源與信件夾帶的附件內容為何，否則決不輕易開啟或執行電子信件裡的附件檔案。 安裝防毒軟體。 五、正確的使用電子郵件 除了上述的防範訣竅，對於電子郵件的正確使用與資訊安全、權益維護，還包括下列幾點︰ 不要將電子郵件密碼告知任何人，即使對方是系統管理者。 不要將電子郵件帳號轉借他人使用。 不要使用電子郵件傳輸任何不當資訊，包括不法、暴力、色情、違法交易、侵犯隱私或威脅他人的資料。 五、正確的使用電子郵件 不要轉寄不明網路謠言及發送廣告信。 避免在電子郵件夾帶大容量檔案，以免造成收件人收信時間冗長的困擾。 轉寄或回覆郵件時，勿隨意修改作者原始文字。 郵件中如含有他人之個人隱私資訊，在轉寄時應先取得同意。 五、正確的使用電子郵件 同時寄件給多人時，為保護各收信人資訊，最好使用「密件副本」方式傳送。 六、確認防毒軟體隨時運作 防毒軟體的偵測與防範功能只有在該軟體有在運作、且有時常更新病毒碼情形下，才會產生效用。 六、確認防毒軟體隨時運作 防範訣竅： 不關閉、不刪除防毒軟體。 隨時注意防毒軟體的病毒碼是在最新的狀態。 定期執行掃毒。 七、勿隨意安裝未經許可的電腦軟體 網路上有許多免費分享的實用軟體或遊戲，但通常提供企業使用的軟體並非永久免費的。 任意下載、安裝網路上的免費軟體、或來路不明的軟體，也是感染電腦病毒、間諜軟體與特洛依木馬程式的主要途徑。 某些合法軟體因為不明軟體的使用產生衝突情況，也可能因此造成電腦系統部故障。 七、勿隨意安裝未經許可的電腦軟體 防範訣竅： 絕對不下載、安裝未經許可的軟體。 八、謹慎使用即時通訊軟體 即時通訊軟體（如MSN、Yahoo即時通…等）雖然是快速且方便的網路溝通工具，但也有可能成為電腦病毒傳遞途徑，也可能遭受其它惡意程式與網路釣魚的攻擊，使用即時通訊系統時必須小心謹慎。 八、謹慎使用即時通訊軟體 存在的風險 病毒威脅 垃圾訊息 檔案交換 洩密 工作效率的影響 八、謹慎使用即時通訊軟體 正確的運用方法： 登入密碼最好不要用「儲存密碼」記錄於系統內。 不任意傳遞與分享單位重要資訊或檔案。 不任意接收來路不明之分享檔案和連結。 使用者必須秉持以公事使用之目的使用即時訊息。 隨時更新使用端程式。 九、確保軟體在更新狀態 當軟體被使用一段時間後，通常會出現一些小問題或安全漏洞，這些漏洞也是駭客容易利用的弱點，零時差攻擊即目前駭客最喜歡利用的手法。 因此信譽好的軟體商通常會設計更新或修補程式來修正這些問題。 九、確保軟體在更新狀態 防範訣竅： 檢查以下重要應用程式或軟體是否為最新版本： 作業系統(Windows XP 或2000、Mac、Linux…等) 網頁瀏覽程式(IE、FireFox…等) 辦公室應用軟體(Office、Adobe PDF…等) 電子郵件收發軟體(如outlook、outlook express…等) 大部分的軟體都會提供一項「自動更新」功能，啟動自動更新功能為最方便也最迅速的一種定時更新方法。 零時差攻擊 何謂零時差攻擊(Zero Day Attack)？有兩種解釋： Software Cracks 這牽涉到聰明的crackers(怪客)能透過管道，例如透過軟體開發者或販售部門，早就事先取得了軟體進行破解，因此可以在產品正式出現在市面上不到一天(0 day)，得以進行漏洞攻擊。（早就分析透徹得出破解之道） 零時差攻擊 Remote Exploits ?0-day也是指有心人士搶在軟體廠商尚未公佈漏洞及補丁之前，先發現到漏洞再利用漏洞攻擊目標得逞。 零時差攻擊 過去大家認為只有執行檔(.exe)才會夾帶惡意程式，現在已大為改觀，MS Word檔、甚至是PowerPoint 檔都可能被駭客利用。 近年來越來越多的駭客攻擊是透過社交工程手法，以笑話、政治、健康、色情等引人好奇的內容，甚至是假冒名義寄送經特殊設計之 Word 文件檔案，誘使收件人開啟以達成功入侵之目的，同時再利用尚未公佈之弱點設計「零時差攻擊」，以達成即使是在弱點完整修補之電腦上，亦能夠成功入侵之目的。 零時差攻擊 面對此類結合社交工程與零時差攻擊的新興威脅，建議使用者除了勿任意開啟來路不明的電子郵件外，在檢視可疑電子郵件中所附的Word 文件時，可先利用附屬應用程式之WordPad閱讀，或至微軟公司網站下載Word Viewer 2003安裝後再閱讀。 或是降低電腦使用者的使用權限，避免賦予最高權限等做法，以降低「零時差攻擊」之風險。 十、正確使用可攜式媒體 自動播放不等於自動執行。 USB病毒利用自動播放的特性去誘導出自動執行的動作，進而去執行(開啟)惡意的程式。 有效避免自動執行的方法： 十、正確使用可攜式媒體 檔案總管操作