资讯安全观念与案例叙述.pptVIP

資訊安全觀念與案例概述 圖書資訊館 邱秀莉 96.12.6 課程大綱 前言 常見資訊安全問題防護 資訊相關法律簡介 資安事件案例宣導 參考資料 前言 資訊科技與網際網路的興起為我們的生活帶來許多便利性,但也開始引發一些新興的安全議題，特別是利用網路進行犯罪引發的治安疑慮。這些問題，小則影響個人權益，大則影響國家安全。 資訊安全之維護不只在建立防火牆或是購置硬體設備，有越來越多研究報告指出，資訊人員的安全教育是最重要的一環。 常見資訊安全問題防護 安全認證網站 Cookie紀錄 數位簽章 社交工程 網路釣魚 殭屍電腦 安全認證網站 安全認證標章是由公正第三方之驗證機構，針對網路商店之交易安全進行檢驗；通過驗證之網路商店，驗證機構會提供「安全認證標章」張貼於該網站上，以便消費者辨識該網站之交易安全與可靠。常見的安全認證標章如： 防護秘訣： 使用網路交易或者填寫個人資料時，需先檢查該網站是否有安全認證標章。 使用網路購物或網路銀行時，應檢查網址列開頭是否為https，以確保資料傳輸有加密安全機制。 cookie紀錄 cookie是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網頁的資訊、帳號與密碼。當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網頁，使用者也無需重新輸入帳號與密碼。 防護秘訣： cookie紀錄重要的個人資料與網路使用習慣，應隨手刪除電腦裡的cookie紀錄。 詳讀每個網站的隱私權政策，尤其是cookie所蒐集的使用者資訊用途，以避免個人資料被濫用。 數位簽章 如同書面文件的簽名、蓋章，網路環境中也有數位簽章，作為通信與交易的基礎。由於數位簽章是簽署人向憑證機構申請後核發，且文件傳遞過程亦經加密與驗證，所以具有防止竄改偽造、確認交易對象身份、避免事後否認等功能。 防護秘訣： 有法律保障的數位簽章，是由主管機關公告核定的憑證機構所核發。 應確認數位憑證的有效期限。 社交工程 社交工程就是一種利用人性弱點的詐騙技術，藉由與人之間的互動而形成的犯罪行為。它避開了嚴密的資通安全技術防護，是非常難以防範的攻擊模式。 防護秘訣： 遇到他人以任何身份要求個人或公司資料時，應先謹慎確認身份。 不管是信件或言詞交談，應小心勿隨意透露重要資訊給不認識的人。 網路釣魚 網路釣魚是駭客仿冒知名公司網站，架設神似的假網頁，誘騙使用者登入假網站輸入個人資料。 防護秘訣： 勿用電子郵件內提供的超連結，以自己輸入網址方式取代。 收到要求輸入個人資料的電子郵件時，一定要和原公司求證，以減少被騙機會。 殭屍電腦 受到殭屍病毒（BotNet）感染的主機，會猶如殭屍般任由駭客控制，上網連線速度會突然變慢。駭客會以遠端控制受感染的主機，進行網路攻擊，包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務等網路犯罪行為。 防護秘訣： 不開啟任何來路不明的磁片、光碟、email的附加檔，尤其是不認識的人寄來的電子郵件附加檔。 不能心存僥倖，電腦一定要安裝防毒軟體，因惡意軟體變化日新月異，病毒碼也要時時更新。 資訊相關法律簡介 刑法妨害電腦使用罪章 國家機密保護法 電腦處理個人資料保護法 刑法妨害電腦使用罪章條文(1/2) 第358條 無故入侵電腦罪 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。 第359條 無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。 刑法妨害電腦使用罪章條文(1/2) 第360條 無故干擾電腦系統罪 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。 第362條 製作程式供犯罪之用 製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。 第361條 對公務機關加重其刑 第363條 告訴乃論 案例分析(1/3) 2004年10月初，多達400萬會員的天堂網路遊戲服務驚爆遊戲公司網站疑似遭到駭客攻擊事件，傳出許多玩家的帳號遭盜、寶物遭竊（2004/10/7 民視新聞）。 適用法條： 刑法第358條 刑法第359條 案例分析(2/3) 一名大學肄業黃姓男子利用網路釣魚（phishing）手法，涉嫌架設虛假的「中X銀行」的網路銀行網頁，利用相似的網址，以魚目混珠的方式，誘騙兩家網路銀行的客戶誤信點選登入，從而套取其帳號、密碼，再憑此將被害人存款轉至人頭帳戶，被害人多達六