资讯安全基本认知

****學院行政人員資訊安全訓練教材資訊安全基本認知主講人資訊管理系教授***目錄何謂資訊安全資訊安全知識網路安全人員與環境安全資料與存取安全系統安全資訊安全相關法令建立ISMS2019/10/22行政人員資安教育學術單位的資訊安全為什麼學校單位需要資訊安全學生學籍資料成績資訊教師與員工相關個人資訊………學校單位所擁有的資訊特色大多屬於非機密性具敏感性且涉及隱私及個人資料保護法相關規定2019/10/23行政人員資安教育何謂資訊安全有效的防止資訊遭到竊取、竄改、毀損、滅失或遺漏。簡言之，就是確保資訊的CIA：Confidentiality機密性：保護資訊不被非法存取或揭露。Integrity完整性：確保資訊在任何階段都沒有不適當的修改或損毀。Availability可用性：經授權的使用者能適時的存取所需資訊。2019/10/24行政人員資安教育資訊安全的範圍保護及維護資料的安全，包含：資料的使用資料的傳遞資料的處理資料的儲存2019/10/25行政人員資安教育資訊安全管理重點人員資安知識與能力資安控管流程資安處理技術2019/10/26行政人員資安教育資訊安全案例與知識網路安全電子郵件垃圾郵件網路購物公用電腦使用人員與環境安全資料與存取安全系統安全2019/10/27行政人員資安教育電子郵件：e-mail附件不是執行檔也有危險？為駭客開啟一扇大門小趙收到E-mail：Confidential（機密）不明人士打開e-mail同時也透過網路自動下載一個執行檔後門程式也因此得以植入他的電腦系統當中駭客使用遠端遙控2019/10/28行政人員資安教育電子郵件防範措施1.不任意開啟來路不明的電子郵件及其附加檔案，不論附檔名為何，最好直接這類郵件刪除。2.設定作業系統的自動更新機制（如WindowsUpdates），進行系統漏洞修補，使電腦系統隨時保持最新的安全狀態。3.安裝防毒軟體並定期更新病毒碼，以防阻e-mail可能夾帶的電腦病毒。4.安裝個人防火牆，以防阻e-mail中可能夾帶的間諜程式竊取資訊。5.即使郵件是來自於熟識者，在打開附件檔案前，仍應使用防毒軟體掃瞄後才可開啟，尤其是「轉寄郵件」。2019/10/29行政人員資安教育電子郵件名詞解釋(1/3)backdoor後門程式後門指的是可以“繞過”、“規避”電腦內部安全系統的另一個管道。可能是在軟體設計時，程式設計師方便未來進入系統維護所留下的程式，也可能是電腦遭受到入侵而被植下的程式。許多駭客會經由後門繞過安全驗證，非法進入電腦進行破壞或竊取資料。Hacker駭客「Hacker」電腦駭客原是指電腦很強的人；「Cracker」則表示有犯罪記錄或行為的電腦高手。但是後來大家卻混淆了這兩個字的含意，而將凡是在網路上利用技術危害他人的人，統稱為「駭客」。2019/10/210行政人員資安教育電子郵件名詞解釋(2/3)木馬程式是一種後門程式，也是目前非常流行的病毒程式，與一般的病毒不同，它不會自我繁殖，也不會刻意地去感染其他文件。木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵，並透過偽裝吸引用戶下載執行或安裝，提供種木馬者打開被種者的電腦門戶，使種木馬的人可以任意毀壞、竊取被種者的文件或操作畫面，甚至遠端操控被種者的電腦。木馬程式最終的目的就是蒐集情資、等待時機執行破壞任務、當作跳板進行滲透。手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉送達到跳板功能…等。絕大部分的木馬程式所具備的功能與目的，不僅具備單一功能、單一目的，而是具備混合功能(hybrid)與多目標導向。netbus殭屍網路是一種木馬程式，可提供植入者能在遠端遙控被植入者電腦，作為攻擊者的傀儡電腦，隱藏其攻擊軌跡。2019/10/211行政人員資安教育電子郵件名詞解釋(3/3)anti-virus電腦防毒軟體防毒軟體是一種程式，安裝於電腦內能夠檢測入侵電腦的電腦病毒、木馬程式與電腦蠕蟲，當檢測到病毒時，程式會將病毒進行隔離或刪除，以避免病毒程式對電腦系統進行破壞。firewall防火牆網路防火牆用以管制外部使用者對內部網路及網站的連結和存取，並執行稽核作業。裝設防火牆就如同住戶為了住家安全性，特意加上一層的門禁系統。防火牆會控制和監控所有外部和內部網路的交通；包括讓內部使用者可以對外取得整體的服務，而對於外來使用者則以選擇性的條件加以檢驗，只允許經授權的使用者連線使用，阻擋可能進入企業內部網路的駭客、病毒和電腦蟲。2019/10/212行政人員資安教育垃圾郵件：垃圾郵件防範DIY溫馨的5月母親節主題垃圾郵件夾帶電腦病毒、或以偽裝成大型購物網站的連結騙取使用者密碼、銀行帳號等隱私資訊…2019/10/213行政人員資安教育垃圾郵件防範措施(1/2)1.絕不回信2.在搜尋引擎中鍵入你的e-mail，檢查看看是否你的e-mail是否很容易讓垃圾郵件佈者取得；若可能，盡可能地移除掉email曝光的機會。3.將你的郵件軟體設定為「不顯示圖片」，某些廠商會在發送html格式含圖片的電子郵件時，加上網站信（Webbeacons），用來計算開啟電子郵件的數目、或者統計哪個電子郵件地址開啟了哪些郵，關閉垃圾郵件的圖片顯示可以阻斷Webbeacons功能。2019/10/214行政人員資安教育垃圾郵件防範措施(2/2)4.絕不按下垃圾郵件提供的超連結。5.絕不使用其「取消訂閱」的功能，因為當你按下「取消訂閱」時也同時讓垃圾郵件散佈者確認你的e-mail是有效的。6.在任何網站上留下你的電子郵件資料時，先閱讀該網站的隱私權政策，確保你的電子郵件資料不會用作其他用途。7.設定2個email帳號，其中一個為日常通訊用途，另一個則用來訂閱電子報、或用來參加網路活動填問卷。2019/10/215行政人員資安教育網路購物：糾紛與詐騙網路購物購買一個皮包匯錢後卻遲遲沒收到商品，李小姐遇到詐騙，個人資料通通被網路釣魚網騙取!2019/10/216行政人員資安教育網路購物防範措施1.向個人賣家購物，一定要保留雙方關於買賣的對話紀錄或通聯紀錄。2.保留匯款單據。3.向商家索取發票，通常合法商家會開立發票，選擇有發票的商家較有保障。4.如使用線上刷卡，在刷卡後立即與銀行確認消費紀錄。5.瞭解自己的權益，依消保法規定，消費者可於收受商品七日內退回，無須說明理由及負擔任何費用。6.如果發現受騙或被盜刷等情況，應通知刷卡銀行並報警處理。2019/10/217行政人員資安教育網路購物：網拍詐騙增多，買賣兩頭空歹徒賣家買家匯一萬五2019/10/218行政人員資安教育網路購物防範措施1.選擇有信譽之交易對象，仔細瞭解對方的信用風評…等，並注意網址的正確性，避免落入仿冒網站。2.利用問與答的機制，於詢問時留意賣家專業度，可瞭解賣家是否夠真心投入、認真經營。賣家若將網路開店視為長期經營，勢必會重視客戶反應及商品品質。3.從賣家出貨速度、反應問題速度，決定未來是否再向這個賣家購買商品。4.當拍賣商品具有「預訂性質」時，為求謹慎，建議向有口碑店面或信用優良的商家訂購，以防預訂詐騙。5.不論是賣家還是買家，堅持面交，一手交錢一手交貨，當場確認物品及金額無誤後才能銀貨兩訖。2019/10/219行政人員資安教育公用電腦:使用他人電腦沒清除記錄，帳號密碼遭竄改盜用女方帳號、密碼發現無法登入電子郵件及msn張貼女方裸照並傳送給所有聯絡人(已加入女方新帳密)新申請帳號密碼點閱郵件法現自己的裸照並通知警方2019/10/220行政人員資安教育防範措施：1.使用電腦後隨手清除網頁瀏覽記錄及cookie資料，並清除在網站上所留下的個人資料。2.養成不使用自動記憶帳號密碼的功能。3.避免使用他人或公共電腦，上網處理重要或私密事務。4.使用他人或公共電腦時，特別注意坐在或站在你旁邊的人，因為他們可以輕易地從電腦螢幕上看到你所輸入的帳號、密碼或其他個人資料。5.若經常使用公共電腦，更換密碼的要更高。2019/10/221行政人員資安教育名詞解釋cookies網路紀錄cookies是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網頁的資訊，例如：瀏覽的網站位址、使用者曾經輸入的資訊等，當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網頁。cookies也會紀錄使用者的帳號與密碼，因此在使用者再次進入相同頁面時，不需要重新輸入名稱與密碼。由於cookies的功能會記錄重要的個人資料與網路使用習慣，通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。2019/10/222行政人員資安教育資訊安全案例與知識網路安全人員與環境安全防範員工外洩客戶資料防範社交工程的攻擊公司機密外洩的處理報廢電腦的資料安全資料與存取安全系統安全2019/10/223行政人員資安教育人員與環境安全案例一、員工偷偷外洩客戶資料案例二、防範社交工程的攻擊案例三、公司機密外洩的處理案例四、報廢電腦的資料安全2019/10/224行政人員資安教育員工偷偷外洩客戶資料不法集團政府機關電信事業金融事業單位2019/10/225行政人員資安教育防範措施：1.針對資料保密、客戶隱私權等相關法令對所有員工進行教育宣導，尤其是「電腦處理個人資料保護法」的瞭解，說明若將客戶資料外洩或私自盜賣，最重可處三年以下有期徒刑。2.依職務需求授予資料或檔案的存取權限，避免非相關職務人員皆能存取隱私資料。3.針對員工使用私人儲存媒體進行規範，例如禁止員工使用USB隨身碟或磁片，如此可避免員工因職務上的便利，將機密帶離公司。4.限制員工電子郵件可夾帶檔案的大小，以避免員工透過電子郵件外洩大量公司料。2019/10/226行政人員資安教育防範社交工程的攻擊電腦中毒不明信件個人電腦2019/10/227行政人員資安教育防範措施：1.儘量避免加入不明來源的MSN使用者，不接受不明聯絡人的檔案。2.使用掃毒程式—在點閱信件之前確認件的安全性。3.限制如果系統主動對外發信必須通過系統管理員同意。4.對權限加以分級控管，非屬於個人份事宜不應掌握帳號密碼等特殊權限，以免因為不了解安全等級而不慎外流重要資訊。5.安裝個人防火牆，阻擋不明程式嘗試對外連線。2019/10/228行政人員資安教育名詞解釋socialengineering社交工程社交工程主要是利用人性的弱點而進行詐騙。社交工程是一種非技術性的入侵，是藉由與人透過社交手段進行犯罪行為。現代病毒已開始結合社交工程概念，例如ILOVEYOU病毒就是透過在電子郵件中以我愛你為附加檔案的檔名，誘導使用者打開附件，然而在使用者打開附件的同時，即被植入病毒，這就是利用社交工程入侵電腦的一個範例。2019/10/229行政人員資安教育公司機密外洩的處理竊取公司機密竊取公司重型機車引擎設計圖、電腦檔案與相關模具組等商業機密員工旅遊期間利用貨櫃，私運到美國被警方逮捕2019/10/230行政人員資安教育防範措施1.資訊分級授權：將企業內部資產與資訊列冊並評鑑機密等級，依等級訂定授權。2.權限控管：授權不能氾濫，應依職務分級授予存取、傳遞、交換等權限，並期審查權限適當性，以及保留存取權限稽核資料。3.簽訂安全／保密合約：與員工簽訂合約，除了可供違約時的責任追溯與求償外，具有一定的預防遏阻作用。4.隨身碟禁用規定：為防止員工私自複製司機密資料，可限制員工使用行動碟、MP3隨身碟等儲存裝置。5.安全通報與處理機制：若員工發現同仁有異常行為，應透過安全通報機制立即反應，預防危安事件發生。2019/10/2行政人員資安教育31名詞解釋authorization授權授權，指的是將資源系統的使用權限授與特定人員的過程。獲得授權的人員具有使用特定資源系統的權限。通常系統管理員會按企業相關規定或政策，來給予使用者不同的授權，以及使用者能使用