第13章资讯安全与隐私权.ppt.ppt

Chapter 13 資訊安全與隱私權 13-1　資訊安全 13-2　電腦犯罪 13-3　資訊隱私權 13-1　資訊安全 危及資訊安全的因素： 1.作業方面的疏失 2.實體方面的疏失 3.員工方面的疏失 4.技術方面的疏失 13-1-1　身份認證 使用者名稱與密碼 系統管理人員可以根據一定的規則賦予合法使用者一組使用者名稱與密碼，而且使用者名稱（user name）必須唯一，取密碼時請留意下列事項： 1.不要取容易聯想的密碼 2.將密碼記在腦子裡 3.大部分系統均不接受中文密碼 4.大部分系統支援的密碼會區分英文字母大小寫 5.不同系統支援的密碼長度不一 13-1　資訊安全 持有的物件 持有的物件（possessed object）指的是使用者必須持有諸如鑰匙、磁卡、徽章等物件，才能進入辦公室、電腦室、開啟終端機或電腦等，其中最常見的就是磁卡。 生物辨識裝置 生物辨識裝置（biometric device）是時下流行的話題，這些裝置可以透過指紋、掌紋、臉部影像、視網膜、聲紋、簽名筆跡等特徵，辨識使用者的身份。 13-1-2　資訊竊盜 事實上，一個安全的系統必須考慮到下列四個需求： 1.保密（privacy） 2.認證（authentication） 3.完整（integrity） 4.確認（nonrepudiation） 13-1　資訊安全 13-1-3　軟體竊盜 軟體竊盜（software theft）有兩種，其一是盜版，也就是利用儲存裝置複製或安裝未經授權的軟體；其二是軟體的設計人員在離職時，能否將軟體攜離公司？ 13-1-4　硬體竊盜 對家庭來說，硬體竊盜（hardware theft）並不難防範，但對機關行號來說，硬體竊盜就比較棘手，他們通常會藉由上鎖、僱用保全、警民連線、投保竊盜險等方式來加以防範。 13-1　資訊安全 13-1-5　加密/ 解密（秘密金鑰與公開金鑰） 13-1　資訊安全 13-1-6　數位簽章 簽署整個文件 13-1　資訊安全 簽署文件的摘要 13-1　資訊安全 13-1-7　備份與復原 常見的備份類型如下，一個好 的備份策略必須包含定期的完整備份，再搭配差異備份或漸增備份： 1.完整備份（full backup） 2.差異備份（differential backup） 3.漸增備份（incremental backup） 災害復原方案 一套完善的災害復原方案（disaster recovery plan）必須包括下列四個部分： 1. 緊急方案（emergency plan） 2.備份方案（backup plan） 3.復原方案（recovery plan） 4.測試方案（test plan） 13-1　資訊安全 13-1-8　Web 安全 Web 安全涉及下列三個方面： 1.保護瀏覽器的安全，包括不被惡意程式攻擊、防止資訊遭到竊取，這可以透過防毒防駭軟體、防火牆、代理人伺服器等安全措施來做防範。 2.保護伺服器的安全，包括不被入?? 侵、破壞、偷窺或阻斷服務攻擊?，這可以透過防毒防駭軟體、防火牆等安全措施來做防範。 3.保護資訊的安全，包括不被未經授權或冒用身份的第三者偷窺或竄改、完整傳送?，這可以透過加密/ 解密、數位簽章等安全措施來做防範。 13-2　電腦犯罪 13-2-1　電腦犯罪的手法 電腦犯罪（computer crime）指的是使用電腦或對抗電腦系統的非法行為，常見的手法如下：積少成多、冒用身份、偽造資料、軟體炸彈、程式後門、漏洞入侵、緩衝區溢位攻擊、暴力入侵、冒用主機、網路監聽、阻斷服務攻擊、電腦病毒等。 13-2-2　電腦犯罪的類型與刑責 入侵他人電腦或網站、撰寫並散佈惡性程式、詐欺、妨害名譽及偽造文書、網路賭博、網路蟑螂（域名搶註）、販售或購買盜版軟體、散佈色情資訊、販售或購買贓物、交易違禁品或管制品、販售個人資料或名單、數位著作相關的資訊權。 13-2-3　電腦犯罪的蒐證與起訴 駭客卻仍肆無忌憚，其間的因素很多，包括： 1. 破案率極低 2. 缺乏國際共同的法律標準 3. 網路信用卡認證機制不夠完善，容易發生盜刷 4. 系統漏洞沒有即時修正及駭客工具容易取得，都會造成駭客橫行 13-3　資訊隱私權 資訊隱私權（information privacy）泛指個人和公司行號拒絕或限制他人蒐集、傳遞或販售其資訊的權利；在國內，除了適用於公司行號的營業秘密法之外，內政部亦針對個人制定了「電腦處理個人資料保護法」，目的是避免人格權受侵害，並促進個人資料的合理利用。 接下來討論幾個涉及資訊隱私權爭議的情況： 1.監看員工使用電腦的情況 2.濫發垃圾郵件 3.監看網站的瀏覽者