如何维护电脑资讯安全维护.docVIP

『如何維護電腦資訊安全維護』 壹、前言 電腦資訊發達，在二十世紀末帶給人類又一次的科技革命，從大到外太空的各種試驗，小至個人的理財消費，皆透過電腦在運作，可以說是無處無時不在使用電腦，依賴電腦。運用電腦協助工作，使吾人不論在資訊的擷取傳播，人際關係的接觸拓展，工作的多元蛻變等等，均較往昔迅捷與蓬勃，電腦科技的不斷精進，也的確為人類帶來無限的美好遠景，然而，不可諱言，衍生而來的高科技、高智慧的犯罪型態與案件也就層出不窮，例如傳聞某國家中學生可透過電腦網路窺得該國國防機密、日前電腦駭客傳送病毒破壞我駐美機構網站、國內某銀行遭駭客侵入內部網路篡盜客戶存款、徵信社業者勾結不肖警員及電信人員竊取個人電腦資料、電腦維修商透過網路進入機關資料庫窺得限閱資料等。有鑑於此，吾等在享受便利快捷的資訊服務的同時，亦應隨時提高警覺，防範電腦洩密及影響單位安全事件發生。因此如何確保電腦設施安全及資訊保密，防範不法情事，已成為當前不可忽視的重要課題，茲謹提出以下對電腦犯罪認知與應採取之安全保密措施等，俾供參考。 貳、認識電腦犯罪的態樣 電腦對於資料之管理、存取、維護雖然提供了快速便捷的功能，但是也使電腦罪犯之犯案手法與型態不斷的翻新，如散播植入多變的電腦病毒、利用網際網路竊私牟利等等，不勝枚舉。一般而言，電腦犯罪之態樣大致如下： 一、範圍：由資料之破壞至資料庫之毀損以至於整個系統之侵入與毀滅；由破壞主機至整個網路設備之毀損等。 二、類型：對資料的竊取、洩露、篡改、增減、毀滅、破壞等；或散播電腦病毒侵蝕主機系統或利用網路及電子傳輸達到犯罪目的等。 三、方式：透過數據機藉由資訊網路進入單位電腦檔案查詢屬敏感或機密資料；利用電腦維修非法進入資訊網路系統；以個人電腦專業知識動手腳；以電腦病毒摧毀程式等。 參、在如何維護電腦設備安全部分 一、厲行管制措施： 電腦設備於各使用單位裝機測試完成後，使用單位宜建立相關之管制卡，並由使用人或保管人簽章，妥善使用與保管，以明責任。機關中之電腦設備應一律由資訊部門負責安裝、維修及管制，各使用單位不得擅自拆卸電腦或其週邊設備。使用人不得操作與自己業務不相關之軟體系統；未經資訊部門同意，不得擅自加裝介面卡或變更硬碟規格。機密或較敏感資料應儲存於軟碟磁片或燒錄於光碟中，嚴禁儲存於電腦硬碟中，並由專人保管，停止操作時應將磁碟片︵或光碟片︶抽出，並將螢幕上之資料消除。儲存機密資料磁碟片，除經權責主管核准，不得擅自攜出辦公處所。各單位對應用系統軟體使用人之身分碼，應定期造冊交資訊部門保存，以便稽核。 二、建構防範災害設施： 電腦設施應置於通風良好，無水氣、乾燥之冷氣房中，勿受日光直接曝曬，辦公室應有乾粉式防火滅火設備，不得存有易燃易爆物品。電腦應加裝防止雷擊自動跳電裝置，及不斷電設備，並注意地震及颱風等天災的防範措施。 （一）建立備份回復系統： 重要的電腦系統，應設計使用自動切換備援電路，如﹁多路由﹂設計及自動電話線撥接備援，以免資料不當毀損。各項檔案應依性質，分別訂定備份數，並定期備份。重要檔案宜備份三份以上，其中一份儲放於防火櫃內，一份儲放於異地建築物之防火櫃內。各項程式檔案之更新與註銷均應依照一定的程序進行，並訂定電腦系統回復標準程序及注意事項貫徹執行。 （二）落實程式安管： 單位內對於電腦程式及其設計、測試、製作、使用、維護等均應管制。管制事項包括程式指令、工作控制語言、程式變更申請、程式製作標準等及操作說明、測試報告、變更報告等相關文件。使用終端機與其他機關主機連線作業者，應由權責單位核准後列管，並於系統內限制其可運作範圍。程式設計完成時，由非原程式設計人審核，以杜流弊；程式一經核定，不得擅自更改，如有變更必要時，應報請權責長官核准。單位對於重要的程式應用系統，應詳加評估是否已具備適當及足夠的安全保護措施後，始得使用。 （三）防範電腦病毒侵害： 不使用來路不明之磁片，不使用非經許可之軟體程式；在電腦設備中加裝防毒軟體，及妥善規劃網路防毒措施。要求電腦廠商於例行維護作業時，加強掃毒檢查，並適時更新防毒軟體。電腦使用中，如懷疑有病毒侵入，例如無法正常開機、資料無法讀取或出現異常畫面等，應立即反映資訊部門妥處。 （四）加強人員及門禁管制： 對非管理或未經許可之人員應管制其進入資訊部門，並加強警衛巡查或保全監視系統，以確保門禁安全。電腦需維修廠商維修時，應派員在場監督，如需攜出進廠檢修時，單位應完成設備攜出手續，方可放行。進用資訊人員時，應先辦理資格審查，及完成保密切結。並保證離職後，仍負有工作期間職務上應守密之義務，如有違背，依法檢討刑事、民事責任。 肆、在如何維護電腦資訊機密部分 一、建立資訊輸出入制度： 各項資料之輸出入，均應建立識別碼、通行碼之管理制度，並視需要經常更新識別碼、通行碼。