资讯安全认知.pptVIP

帳號借他人使用出包友人提供網路帳號密碼使用利用他人名義販售商品(教育部網站)楊姓主任**行政人員資安教育防範措施︰(1)個人帳號不可借任何人使用，包括像公務資料系統、網站、e-mail、網路金融、ISP帳號等。(2)不要將帳號密碼隨手記錄於紙本隨意置；更不要將密碼寫在便利貼貼在電腦螢幕邊。(3)不要告訴任何人您的帳號密碼，包括像對方來電表示自己是資訊部門人員、銀行客服人員等。(4)重要系統、網站在登入時，應留意一下系統提醒的連線歷史紀錄是否有不明的登入紀錄。

**行政人員資安教育使用者密碼管理盜用網拍帳號**行政人員資安教育防範措施(1/2)一、防禦的技巧(1)簽署保密聲明：要求使用者簽署對個人帳號密碼保密之聲明。(2)強制變更密碼：確保一開始即提供使用者安全之臨時密碼，也應強制使用者在第一次登入系統時立刻更改。(3)在提供新的、替換或臨時密碼前，須驗證使用者身分。(4)以安全的方式將密碼交給使用者，勿交由第三方轉交或使用明碼傳送。(5)密碼不得以無保護形式儲存於任何實體設備或可攜式設備中。

**行政人員資安教育防範措施(2/2)二、解決的技巧(1)網頁開發時，結合自然人憑證之機制，於使用者（買方或賣方）登入或登出時均啟動確認身分之機制；目前僅有以信用卡/轉帳付款時，才啟動確認身分之機制，顯然是不足的。(2)應有健全的通報機制，例如例假日或非上班時段，可增列語音或發送簡訊的處置機制，由值班之客服人員判定處理優先順序。應從資安事件中學習及檢討，例如透過客服系統，定期統計及彙整出相關事件發生之來由及解決方案，作為改善及提升服務品質之依據。**行政人員資安教育設定優質密碼保障資料安全上傳私密照片到網路相簿遭他人竊取帳密並惡意散布私密照片**行政人員資安教育優質密碼防範措施(1/2)1.密碼長度建議至少六碼以上，且最好可參雜數字、英文字母、特殊符號、大小寫。2.應儘量避免使用易猜測或公開資訊為設定，例如個人姓名、出生年月日、身分證字號機關、單位名稱或其他相關事項使用者ID、其他系統ID電腦主機名稱、作業系統名稱電話號碼英文或是其他外文字典的字彙專有名詞空白**行政人員資安教育優質密碼防範措施(2/2)3.應保護密碼，維持密碼的機密性，勿使用同一套密碼行遍天下，以避免所有關的登入資料同時都被破解。4.需定期更新密碼，建議更新頻率至少為三個月一次。5.不使用過於複雜而不易記憶的密碼，以免擔心遺忘，而必須將密碼寫下，卻可能提高了密碼外洩的風險。

**行政人員資安教育10大企業資訊安全內賊現象員工主管給予帳號密碼收取客人資料並盜用**行政人員資安教育10大企業資訊安全內賊現象惡意竊取或損壞資料類型：1.竊取身份資料：員工存取或偷竊公司客戶的身份證號碼等隱私資料。2.竊取機密資料：員工閱覽公司機密資料，並將資料複製至其隨身碟或透過電子郵件送出公司。3.毀損資料：員工進入公司的研發或業務重要資料夾，刻意毀損企業具有價值的智慧財產。4.財務欺騙行為：員工直接在公司資訊系統中竄改自己的薪資紀錄、或假冒發出採購單等行為。**行政人員資安教育10大企業資訊安全內賊現象違背政策的不當使用類型：5.不當的資料存取：員工將不可攜出公司的工作相關資料帶回家處理。6.濫用特殊權限：員工利用其特殊的系統存取權限執行非業務相關工作，如本案例中所提到銀行技工濫用權限從事舞弊之行為。7.非法將資料庫備份至光碟或隨身碟中。未授權存取系統駭客類型：8.SQL攻擊：員工利用Web程式的表格檔案竄改程式以取得不該取得的資料。9.軟體攻擊：員工利用公司使用的應用程式或軟體弱點進行攻擊。無意的資料錯誤處理類型：10.因人為操作錯誤而將敏感資料刪除或而無法復原。**行政人員資安教育名詞解釋accesscontrol存取控管存取控管是一種對於資料或資訊系統使用的安全控制措施，類似守門人的功能。電腦系統管理者可利用密碼或其他身分驗證的方式，來對於電腦系統的使用者進行授權/拒絕的存取與控管。換言之，存取控制在指派與控制使用者之權限(如使用者的身份、使用系統之時間等條件）。存取控管可提供資源系統使用安全功能，降低駭客入侵或資料不當外洩的風險。**行政人員資安教育筆記型電腦資料安全管理遭偷竊筆記型電腦居民個人資料外洩個資未加密該如何保障?**行政人員資安教育防範措施：

1.使用防護鎖或移動感應器來降低筆記型電腦失竊機率。2.電腦開機設定保護密碼3.重要資料使用加密措施，防止未經授權存取。4.定時備份重要資料於其它儲存媒體中，並予以妥善保存。