资讯保全与隐私在电脑与Internet上.ppt

資訊保全與隱私在電腦與 Internet 上 第十一章 學習目的 了解電腦犯罪的類型，以及電腦犯罪難以發現與起訴的特質 了解電腦保全的重要性，包含發生問題後的復原計劃，軟體與資料的保全，與電腦保全的法律問題 以一般術語說明病毒的運作方式、它們會造成什麼損害、以及防止這類損害發生的程序 解釋個人電腦和Internet對個人隱私所造成的威脅。說明維護隱私權你可以採取什麼樣的行動 內容 電腦犯罪 電腦保全 災難回復計劃 備份 病毒 隱私權 垃圾郵件 保護兒童 電腦犯罪 偷竊並使用或販賣資料： 公司資料 公司檔案內的個人資料 電腦犯罪 員工與個人都必須體認到電腦系統可能會遭遇的危險，小心保護它們的資產 電腦犯罪資料保全與隱私權 保障資料的安全 遺失 意外的損毀 被竊取 被間諜偷取 保障資料的隱私 薪資 病歷 身分證號碼 銀行存款 電腦犯罪是資料而不是設備 保護資料安全的方法 將伺服器上鎖 可卸式硬碟機在非使用中時必須上鎖 讓硬碟機必須要使用特別的工具才能拆下來 在電腦四周加上外殼以避免外人接觸 替檔案設定密碼保護 電腦犯罪 駭客 (Hacker) 的工具 PC 網路連線 為什麼要入侵？ 騷擾 愛現 想要免費取得某些電腦服務 取得資訊加以販賣牟利 這些技術人員是受雇來嘗試以各種方法入侵系統 發掘出系統的弱點 補救這些漏洞 為了要測試員工的應變能力，公司可能會故意不告訴員工 Tiger teams Intrusion tester hackers for hire 電腦犯罪什麼樣的系統已被入侵過？ 企業網路 一半以上美國大型公司的電腦被入侵過 競爭對手所為？ 政府網路 美國國防部電腦每年遭受超過200,000次的攻擊 其它國家的電腦攻擊能力如何？ 網站 電腦犯罪電腦系統為何如此容易受傷害？ 社交工程 透過電話以及良好的說話技巧，欺騙沒有戒心的人交出密碼 電子扒手 使用電腦轉移或更改資料而增加自己的資產 電腦犯罪常見的犯罪型態 信用卡詐欺 信用卡號碼被不法人士盜用 資料通訊詐欺 私接他人的通訊網路 利用公司的網路做私人的用途 透過電腦直接挪用公司的資金 非法存取電腦資料 存取員工的機密資料 竊取商業機密與產品價格結構 非法拷貝版權軟體 朋友之間不經意地共享合法軟體 有計劃地大量複製合法軟體 電腦犯罪 軟體炸彈 (Bomb) 觸發時造成系統損害的程式 通常設在一些特定的時間發作 可能會埋藏在公眾軟體中，特別是共享軟體 偽造資料 (Data diddling) 在資料進入系統之前或當時就變更資料 轟炸攻擊 (DOS) 駭客針對某個網站持續發出要求服務的請求，多到網站無法負荷 使得守法的使用者反而無法存取這個網站 看起來好像攻擊行動是同時來自許多個網站 電腦犯罪 冒用身份 (Piggybacking) 合法的使用者沒有適當的簽出系統就離開 入侵者就只要接續使用原來的使用者所留下的環境，就可以存取系統和檔案 積少成多 (Salami technique) 侵吞公款 在垃圾中搜尋 (Scavenging) 在垃圾及資源回收物中尋找個人資訊 電腦犯罪 程式後門 (Trapdoor) 由合法程式執行完成後留在系統中的非法程式 成為入侵者的一個秘密且非法的入口 特洛伊木馬 (Trojan horse) 藏在合法程式中的一些非法指令 這些指令會同時做有用的事與進行破壞 入侵 (Zapping) 用來避過安全系統的軟體 電腦犯罪發現犯罪與起訴 發現犯罪 不容易發現 意外被發現 有85%的電腦犯罪案例沒有向主管機關報告 起訴 法律界人士由於缺乏電腦知識而不容易了解電腦犯罪 電腦犯罪發現犯罪與起訴 電腦詐欺與濫用法案 – 1986 年 電腦罪犯被起訴且定罪時 罰款 入獄 電腦設備也被沒收 在美國各州的法律條文裡已經增加這條法律，有些州增加了許多符合他們需要的電腦法律條文 電腦犯罪發現犯罪與起訴 電腦搜證專家 專門搜尋在法庭上可用的電腦資訊証據 電腦保全 天然災害 火災 意外 惡意破壞 偷竊資料 損毀資料 工業間諜 駭客 電腦保全身份識別與存取權 有被授權的個人方能存取系統 使用以下其中一種方式 你有什麼 你知道什麼 你做些什麼 你是誰 電腦保全身份識別與存取權 你有什麼 鑰匙 識別證 通關密碼 塑膠卡片– 上有磁條 電子識別卡 –藉由紅外線訊號可以偵測到佩帶者的所在位置 電腦保全身份識別與存取權 你知道什麼 密碼 身分證件號碼 組合 電腦保全身份識別與存取權 你做些什麼 驗證簽名 – 軟體可以確認掃描或線上的簽名 電腦保全身份識別與存取權 你是誰 生化特徵 – 經由人體特徵來辨認身分的科學 指紋 聲紋 視網膜 整個臉型 電腦保全身份識別與存取權 內部控管 交易記錄 稽核檢查 哪些人在資料不常被使用的時間存取資料？ 利用軟體來檢驗系