INFORMATION TECHNOLOGY ADVISORY 台 北 市 教 育 網 路 中 心 資 訊 安 全 管 理 與 個 人 資 料 保 護 宣 導 ADVISORY 安 侯 企 業 管 理 股 份 有 限 公 司 中 華 民 國 98 年 12 月 講 師 謝 昀 澤 (Jason Hsieh) 現 職 : 安 侯 企 管 KPMG 資 訊 科 技 諮 詢 服 務 部 協 理 國 立 台 灣 科 技 大 學 兼 任 講 師 教 育 部 TANet ISMS 建 置 專 案 協 同 主 持 人 教 育 部 96-99 年 提 升 校 園 資 訊 安 全 計 畫 協 同 主 持 人 教 育 部 推 動 RFID 校 園 安 全 計 畫 資 安 審 議 委 員 專 業 資 格 : 國 立 交 通 大 學 資 訊 管 理 研 究 所 碩 士 ISO 27001 主 導 評 審 員 訓 練 合 格 ISO 20000 主 導 評 審 員 訓 練 合 格 國 際 認 證 電 腦 稽 核 師 (CISA) 美 國 計 算 機 技 術 協 會 (CompTIA)Security+ 認 證 合 格 Oracle 資 料 庫 管 理 師 (OCP) 認 證 合 格 資 訊 安 全 講 授 經 驗 - 網 路 安 全 / 防 火 牆 安 全 系 列 課 程 兼 任 講 座 : 台 灣 大 學 資 管 所 萬 能 科 技 大 學 資 管 所 人 事 行 政 局 研 習 中 心 金 管 會 檢 查 局 等 5 個 單 位 資 訊 安 全 講 授 經 驗 - 資 安 技 術 訓 練 講 師 : 司 法 院 中 央 健 保 局 臺 北 市 國 稅 局 等 18 個 單 位 資 訊 安 全 講 授 經 驗 - 網 路 安 全 研 討 會 講 師 : CNET PCWEEK ITHOME IBM 資 安 人 等 30 場 資 訊 安 全 實 務 經 驗 : ICBC 證 交 所 日 月 光 集 團 証 券 集 保 公 司 等 18 個 單 位 網 路 安 全 專 案 規 劃 與 查 核 經 驗 國 家 資 通 安 全 會 報 資 訊 安 全 專 刊 RUN PC 雜 誌 資 安 診 療 室 特 約 撰 述 美 商 CA 組 合 國 際 電 腦 公 司 首 席 資 訊 安 全 顧 問 荷 商 荷 蘭 銀 行 資 訊 管 理 部 副 理 page 1 1
課 程 大 綱 網 路 應 用 的 新 機 會 2010 年 校 園 資 安 管 理 的 新 挑 戰 看 新 聞 學 資 安 - 最 新 資 安 案 例 探 討 個 人 電 腦 資 安 防 護 秘 笈 Q&A page 2 資 安 迷 思 篇 我 的 電 腦 沒 有 重 要 資 料 檔 案 駭 客 不 會 找 上 我? 我 的 電 腦 已 安 裝 防 毒 軟 體, 不 會 遭 到 駿 客 攻 擊? 被 駭 客 入 侵 安 裝 木 馬 程 式, 電 腦 重 灌 就 好? 我 買 了 一 套 繪 圖 軟 體, 拿 到 辦 公 室 的 電 腦 處 理 公 務? 共 享 軟 體 / 免 費 軟 體 是 免 費 共 用 的, 我 安 裝 起 來 試 看 看? 學 校 頻 寬 大, 是 使 用 P2P 軟 體 的 好 地 方 page 3 2
網 路 應 用 的 新 機 會 page 4 從 圖 書 館, 到 親 密 互 動 的 朋 友 早 期 的 網 路, 多 數 使 用 者 僅 能 靜 態 點 閱, 被 形 容 是 一 座 豐 富 的 圖 書 館 網 路 發 表 個 人 心 得 現 代 的 網 路, 多 數 使 用 者 可 以 參 與 互 動, 被 形 容 是 一 位 親 密 的 朋 友 網 路 可 以 買 美 食 網 路 可 以 談 戀 愛 page 5 3
從 英 文 到 多 國 語 言 page 6 從 單 機 計 算, 到 雲 端 運 算 雲 端 運 算 範 例 : 利 用 你 的 空 閒 電 腦 研 發 抗 癌 藥 物 絕 大 部 分 的 電 腦 並 沒 有 發 揮 它 100% 的 效 能. 即 使 你 是 上 網 打 CS, 處 理 影 像, 上 網 找 資 料. 而 UD Agent 即 是 一 種 軟 體, 能 使 我 們 利 用 電 腦 閒 置 的 時 間, 搜 尋 包 圍 癌 細 胞 並 抑 制 其 繁 殖 的 分 子, 牛 津 大 學 化 學 系 主 任 國 家 癌 症 研 究 基 金 會 英 國 辦 公 室 主 任 理 Graham Richards 表 示, 分 散 式 運 算 可 能 減 少 十 幾 年 的 新 藥 研 發 時 間 page 7 4
從 觀 看 參 與 互 動 到 創 造 性 質 Web 1.0( 從 前 ) Web 2.0( 現 在 ) 1. 出 發 以 資 料 為 核 心 以 人 為 出 發 點 點 2. 知 識 角 度 將 以 前 沒 有 放 在 網 上 的 人 類 知 識, 通 過 商 業 的 力 量, 放 到 網 上 去 將 這 些 知 識, 通 過 每 個 用 戶 的 瀏 覽 求 知 的 力 量, 協 同 工 作, 把 知 識 有 機 的 組 織 起 來, 在 這 個 過 程 中 繼 續 將 知 識 深 化, 並 産 生 新 的 思 想 火 花 Blogs Messaging Social Software Wikis Folksonomies AJAX Semantic Web Web Services 3. 內 容 産 生 者 角 度 4. 交 互 性 5. 技 術 上 主 要 以 商 業 公 司 爲 主 體, 將 內 容 直 接 放 置 於 網 路 上 網 站 對 用 戶 爲 主 進 入 門 砍 高 以 用 戶 爲 主, 以 簡 便 隨 意 方 式, 通 過 blog/podcasting 方 式 把 新 內 容 往 網 上 搬 加 入 P2P 應 用 WEB 用 戶 端 化, 各 項 技 術 越 來 越 易 用 SIP (x)html MPLS IPv6 CMS RSS/Atom Service-Oriented Architecture Web 2.0 P2P GRID VoIP page 8 奉 公 守 法 夠 了 嗎? 2010 年 校 園 資 安 管 理 的 新 挑 戰 page 46 5
傳 統 資 安 案 例 : 教 育 人 員 疑 洩 漏 個 人 資 料 牟 利 盜 賣 基 測 個 資 主 嫌 求 刑 10 年 2008/10/15 聯 合 報 記 者 楊 濡 嘉 / 高 雄 報 導 97 年 度 國 中 基 測 學 生 資 料 遭 盜 賣 案, 多 達 496 名 被 害 學 生 提 告, 高 雄 地 檢 署 檢 察 官 劉 河 山 昨 天 偵 結, 涉 案 的 承 包 基 測 電 腦 作 業 的 博 暐 公 司 實 際 負 責 人 林 正 杰 許 慧 珠 分 別 被 求 刑 10 年 9 年 ; 另 有 10 名 涉 無 償 取 得 或 提 供 學 生 資 料 的 私 立 高 中 校 長 主 任 國 中 組 長 被 處 以 緩 起 訴 起 訴 書 指 出, 林 正 杰 (56 歲 ) 和 許 慧 珠 (47 歲 ) 是 博 暐 圖 書 網 路 公 司 大 正 資 訊 網 路 公 司 實 際 負 責 人,97 年 國 立 桃 園 高 中 受 教 育 部 指 定 辦 理 國 中 基 測, 由 博 暐 得 標 負 責 基 測 各 項 電 子 作 業, 博 掌 握 所 有 考 生 個 資 和 測 驗 分 數 林 許 與 博 暐 公 司 人 員 呂 錫 恩 陳 錫 卿 葉 適 杰, 今 年 4 月 複 製 學 生 個 資 和 分 數, 分 別 以 100 萬 元 180 萬 元 25 萬 元, 賣 學 生 個 資 給 台 北 高 雄 桃 園 9 家 補 習 班, 另 依 學 校 需 求 無 償 提 供 給 桃 園 新 興 高 中 等 7 學 校 林 正 杰 在 一 名 家 長 請 託 下, 二 度 為 參 加 基 測 的 一 名 李 姓 學 生 更 改 分 數, 使 這 名 男 學 生 可 以 進 入 私 立 醒 吾 高 中 就 讀, 執 行 更 改 的 博 暐 電 腦 工 程 師 張 煒 翔 (33 歲 ) 也 被 起 訴 檢 警 也 查 出 案 外 案, 以 蒐 集 及 販 賣 個 人 資 料 為 業 的 男 子 吳 茂 德 (59 歲 ), 利 用 擔 任 高 雄 縣 田 徑 比 賽 裁 判 之 便, 與 熟 識 的 高 雄 縣 前 峰 國 中 體 育 組 長 王 逸 森 說 好, 更 改 前 峰 國 中 3 名 學 生 的 田 徑 比 賽 成 績, 王 則 提 供 學 校 一 年 級 學 生 資 料 給 吳 王 被 處 以 緩 起 訴, 吳 被 以 背 信 偽 造 文 書 起 訴, 檢 察 官 求 刑 6 年 間 接 向 博 暐 購 買 到 學 生 個 資 並 轉 賣 的 男 子 羅 濟 彰 (43 歲 ), 被 起 訴 且 求 刑 5 年 提 供 羅 學 生 資 料 的 新 竹 忠 信 高 中 一 名 黃 姓 主 任 則 被 緩 起 訴 page 47 公 務 員 借 職 務 之 便 洩 漏 並 販 賣 民 眾 資 料 可 能 觸 犯 之 法 條 ( 一 ) 貪 污 治 罪 條 例 第 4 條 第 1 項 第 5 款 : 對 於 違 背 職 務 之 行 為, 要 求 期 約 或 收 受 賄 賂 或 其 他 不 正 利 益 者 處 無 期 徒 刑 或 十 年 以 上 有 期 徒 刑, 得 併 科 新 台 幣 一 億 元 以 下 罰 金 ( 二 ) 貪 污 治 罪 條 例 第 6 條 第 1 項 第 4 款 : 對 於 主 管 或 監 督 之 事 務, 明 知 違 背 法 令, 直 接 或 間 接 圖 自 己 或 其 他 私 人 不 法 利 益, 因 而 獲 得 利 益 者 第 5 款 : 對 於 非 主 管 或 監 督 之 事 務, 明 知 違 背 法 令, 利 用 職 權 機 會 或 身 分 圖 自 己 或 其 他 私 人 不 法 利 益, 因 而 獲 得 利 益 者 處 五 年 以 上 有 期 徒 刑, 得 併 科 新 臺 幣 三 千 萬 元 以 下 罰 金 ( 三 ) 刑 法 第 132 條 ( 洩 漏 國 防 以 外 之 密 秘 罪 ): 公 務 員 洩 漏 或 交 付 關 於 中 華 民 國 國 防 以 外 應 秘 密 之 文 書 圖 畫 消 息 或 物 品 者, 處 三 年 以 下 有 期 徒 刑 因 過 失 犯 前 項 之 罪 者, 處 一 年 以 下 有 期 徒 刑 拘 役 或 三 百 元 以 下 罰 金 非 公 務 員 因 職 務 或 業 務 知 悉 或 持 有 第 一 項 之 文 書 圖 畫 消 息 或 物 品, 而 洩 漏 或 交 付 之 者, 處 一 年 以 下 有 期 徒 刑 拘 役 或 三 百 元 以 下 罰 金 ( 四 ) 電 腦 處 理 個 人 資 料 保 護 法 第 33 條 ( 意 圖 違 反 規 定 或 限 制 命 令 罪 ): 意 圖 營 利 違 反 第 七 條 第 八 條 第 十 八 條 第 十 九 條 第 一 項 第 二 項 第 二 十 三 條 之 規 定 或 依 第 二 十 四 條 所 發 布 之 限 制 命 令, 致 生 損 害 於 他 人 者, 處 二 年 以 下 有 期 徒 刑 拘 役 或 科 或 併 科 新 臺 幣 四 萬 元 以 下 罰 金 page 48 6
公 務 員 借 職 務 之 便 洩 漏 並 販 賣 民 眾 資 料 可 能 觸 犯 之 法 條 ( 續 ) ( 五 ) 電 腦 處 理 個 人 資 料 保 護 法 第 35 條 ( 公 務 員 犯 罪 之 加 重 處 罰 ): 公 務 員 假 借 職 務 上 之 權 力 機 會 或 方 法, 犯 前 二 條 之 罪 者, 加 重 其 刑 至 二 分 之 一 ( 六 ) 公 務 員 服 務 法 第 四 條 ( 保 密 義 務 ): 公 務 員 有 絕 對 保 守 政 府 機 關 機 密 之 義 務, 對 於 機 密 事 件 無 論 是 否 主 管 事 務, 均 不 得 洩 漏, 退 職 後 亦 同 ( 七 ) 稅 捐 稽 徵 法 第 33 條 : 稅 捐 稽 徵 人 員 對 於 納 稅 義 務 人 之 財 產 所 得 營 業 及 納 稅 等 資 料, 除 對 下 列 人 員 及 機 關 外, 應 絕 對 保 守 秘 密, 違 者 應 予 處 分 ; 觸 犯 刑 法 者, 並 應 移 送 法 院 論 罪 : 一 納 稅 義 務 人 本 人 或 其 繼 承 人 二 納 稅 義 務 人 授 權 代 理 人 或 辯 護 人 三 稅 捐 稽 徵 機 關 四 監 察 機 關 五 受 理 有 關 稅 務 訴 願 訴 訟 機 關 六 依 法 從 事 調 查 稅 務 案 件 之 機 關 七 經 財 政 部 核 定 之 機 關 與 人 員 八 債 權 人 已 取 得 民 事 確 定 判 決 或 其 他 執 行 名 義 者 page 49 2010 年 校 園 機 構 資 安 管 理 的 新 挑 戰 評 比 面 向 個 資 法 舉 證 責 任 個 資 法 告 訴 乃 論 個 資 法 賠 償 內 容 個 資 法 範 圍 資 安 通 報 惡 意 駭 客 民 眾 媒 體 AS IS 由 受 害 者 舉 證 資 料 持 有 機 關 之 個 人 隱 私 保 障 缺 失 告 訴 乃 論 機 關 僅 負 有 限 的 賠 償 責 任 公 務 機 關 等 重 要 產 業 資 料 遺 失 沒 有 義 務 需 通 報 資 訊 系 統 破 壞 或 入 侵 知 識 僅 由 少 數 駭 客 掌 握 僅 注 重 教 育 的 效 率 與 品 質 媒 體 暴 料 文 化 盛 行 TO BE 由 資 料 持 有 機 關 舉 證 已 進 行 良 善 之 民 眾 個 資 資 料 保 護 責 任 部 分 行 為 取 消 告 訴 乃 論 機 關 需 承 擔 巨 大 的 賠 償 責 任 所 有 行 業 都 適 用 必 須 依 據 規 定 向 主 管 機 關 與 治 安 機 關 通 報 攻 擊 工 具 垂 手 可 得, 人 人 都 可 是 駭 客,24 小 時 進 行 主 動 式 無 時 差 攻 擊 家 長 與 師 生 皆 開 始 具 備 個 人 資 料 保 護 與 資 訊 安 全 意 識, 並 非 常 重 視 個 人 資 料 安 全 媒 體 針 對 教 育 機 構 的 資 訊 保 護 作 為, 更 加 無 孔 不 入 的 進 行 監 視 page 50 7
誰 在 製 造 網 路 威 脅 page 51 從 顧 客 來 的 威 脅 page 52 8
從 網 路 狗 仔 隊 來 的 威 脅 隨 處 存 在 的 網 路 攝 影 機 按 一 下 影 片 開 始 播 放 page 53 從 賺 外 快 者 來 的 威 脅 網 路 上 的 菸 酒 廣 告 近 日 成 為 網 路 駭 客 攻 擊 目 標, 駭 客 刪 除 廣 告 警 語 後, 再 向 政 府 檢 舉 該 則 菸 酒 廣 告 未 加 註 警 語, 藉 機 領 取 檢 舉 獎 金, 業 者 接 到 罰 單 後 才 驚 覺 網 路 廣 告 遭 駭 客 入 侵, 轉 向 立 委 陳 情 立 委 要 求 執 法 單 位 應 先 開 勸 導 單 再 開 罰, 以 免 菸 酒 商 無 辜 受 罰 page 54 9
從 龜 山 島 來 的 威 脅 另 類 駭 客 - 從 龜 山 島 轉 進 官 網 洩 恨 一 名 女 導 遊, 因 屢 次 申 請 宜 蘭 龜 山 島 觀 光 許 可 不 成, 竟 入 侵 觀 光 局 網 站 假 官 方 名 義, 寄 電 郵 取 消 其 他 業 者 登 島 資 格 ; 女 子 落 網 後 表 示, 她 入 侵 網 站, 發 現 幾 乎 是 固 定 領 隊 和 隊 員 申 請 通 過, 她 懷 疑 觀 光 局 包 庇 特 定 業 者, 才 會 心 生 不 滿, 取 消 同 業 許 可 出 氣 page 55 從 空 氣 來 的 威 脅 有 線 網 路 的 設 備 可 以 利 用 線 路 找 尋 設 備 資 訊, 封 包 加 密 較 完 整, 如 果 有 人 從 線 路 中 竊 取 資 訊, 至 少 還 有 軌 跡 可 尋, 無 論 是 管 理 安 全 記 錄 資 訊 較 為 方 便, 然 而 無 線 網 路 的 環 境 就 複 雜 許 多 無 線 網 路 的 安 全 問 題 是 最 令 組 織 擔 心 的 原 因, 由 於 無 線 電 波 摸 不 著, 透 過 空 氣 傳 遞 訊 號, 只 要 架 設 發 射 訊 號 的 儀 器, 無 論 在 局 內 哪 個 節 點, 都 能 傳 遞 無 線 訊 號, 另 外 使 用 接 收 無 線 訊 號 的 儀 器, 只 要 在 訊 號 範 圍 內, 就 算 在 圍 牆 外, 都 能 擷 取 訊 號 資 訊, 沒 有 線 路 可 以 依 循, 管 理 無 線 網 路 安 全 維 護 比 有 線 網 路 更 困 難 微 型 無 線 基 地 台 (AP) page 56 10
台 灣 政 府 機 關 面 對 的 主 要 威 脅 來 源 常 見 團 體 大 陸 中 國 鷹 盟 ChinaEagle http://www.chinaeagle.com/ 最 早 成 立 之 駭 客 團 體 遍 佈 最 廣 紅 客 聯 盟 CNHONKER http://www.cnhonker.com/ 中 國 紅 客 網 路 技 術 聯 盟 2000 年 成 立 主 導 2001 年 5 月 1 日 中 美 駭 客 大 戰 黑 客 聯 盟 CNHACKER http://www.cnhacker.net/ 中 國 黑 客 聯 盟 2001 年 11 月 成 立 page 57 中 國 網 軍 的 最 高 機 密 研 發 台 灣 政 府 專 用 的 攻 擊 ( 惡 意 ) 程 式 惡 意 程 式 可 以 輕 易 閃 躲 防 毒 軟 體 惡 意 程 式 主 要 進 行 秘 密 的 檔 案 竊 取 而 非 暴 力 破 壞 電 腦 台 灣 沒 有 真 正 的 本 土 防 毒 軟 體, 病 毒 防 治 有 空 窗 期 利 用 人 性 弱 點, 誘 騙 台 灣 政 府 公 務 員 自 願 被 入 侵 針 對 男 性, 利 用 情 色 影 片 與 破 解 程 式 軟 體 針 對 女 性, 利 用 HelloKitty 等 可 愛 程 式 針 對 公 務 員, 利 用 國 旅 卡 養 生 等 誘 騙 信 件 針 對 政 黨 機 構, 利 用 選 舉 內 幕 檔 案 等 誘 騙 信 件 建 立 網 軍 入 侵 捷 徑 1- 先 入 侵 家 用 電 腦, 再 感 染 辦 公 室 (USB 家 用 電 腦 公 用 ) 建 立 網 軍 入 侵 捷 徑 2- 先 入 侵 台 商 大 陸 廠 房 電 腦, 再 page 58 11
從 對 岸 來 的 威 脅 中 國 木 馬 破 我 軍 中 樞??? (2005/11/18) page 59 從 內 部 粗 心 員 工 來 的 威 脅 不 規 避 旁 人, 如 重 要 資 料 或 密 碼 的 輸 入 不 隨 手 關 機 隨 時 討 論 業 務 機 密 密 碼 輸 入? 明 碼 張 貼!! 使 用 者 代 碼 隨 便 借 給 別 人 印 出 的 報 表 隨 手 亂 放 檔 案 資 料 未 事 先 分 類 硬 碟 存 放 私 人 資 料 page 60 12
看 新 聞 學 資 安 (1)- 2006 年 的 大 學 考 試 網 站 入 侵 事 件 page 61 19 歲 駭 客 侵 大 考 中 心 盜 百 萬 筆 資 料 案 例 分 析 19 歲 駭 客 侵 大 考 中 心 盜 百 萬 筆 資 料 警 方 偵 破 一 起 電 腦 駭 客 案,19, 歲 的 建 中 資 優 生 蘇 柏 榕, 不 僅 連 續 多 年 入 侵 大 考 中 心 國 中 基 測 資 料 庫, 盜 拷 上 百 萬 筆 考 生 資 料, 再 以 每 次 五 到 十 五 萬 元 的 代 價, 賣 給 補 習 班, 連 總 統 府 台 北 悠 遊 卡 系 統 等, 都 遭 到 他 的 入 侵 還 好 大 考 中 心 在 清 查 後 表 示, 考 生 的 原 始 資 料 成 績, 沒 有 被 篡 改 的 跡 象 (2005/4/26) page 62 13
駭 客 的 長 相 page 63 被 害 苦 主 的 長 相 page 64 14
大 考 中 心 有 三 層 的 防 火 牆 使 用 規 則 匹 配 式 演 算 page 65 看 新 聞 學 資 安 (2)- 2007 年 CDC 洩 漏 肺 結 核 患 者 隱 私 事 件 page 66 15
新 便 民 系 統 上 線? 肺 結 核 患 者 病 情, 上 Google 免 帳 號 即 可 查 page 67 究 竟 是 哪 裡 出 了 錯? 1. Google 亂 蒐 集 資 料? 2. CDC 沒 有 設 防 火 牆? 3. CDC 沒 有 弱 點 掃 描? 4. 系 統 遭 駭 客 入 侵? => 以 上 皆 非 錯 誤 的 程 式 設 計 + 錯 誤 的 資 訊 系 統 架 構 + 未 盡 落 實 的 上 線 流 程 然 後 遇 上 強 大 的 Google 網 頁 扒 取 程 式 (Spider) 不 巧 又 有 個 愛 報 料 的 記 者 =>CDC Google Hacking page 68 16
如 何 避 免 成 為 下 一 個 Google Hacking 的 受 害 者? (for 業 務 單 位 主 管 ) 1. 分 配 少 數 人 力 經 常 在 搜 尋 引 擎 (Google.Yahoo) 上 對 業 管 相 關 系 統 進 行 檢 索, 檢 查 是 否 含 有 可 能 對 系 統 造 成 危 害 的 資 訊 2. 請 確 認 在 網 頁 上 的 敏 感 性 資 料 存 在 之 需 求, 考 量 要 移 除 該 目 錄 或 使 用 密 碼 保 護 3. 若 有 需 要, 請 對 各 業 管 系 統 維 護 廠 商 要 求 在 網 站 根 目 錄 建 立 搜 尋 引 擎 排 除 協 定 標 準 文 字 檔 robot.txt, 禁 止 Google 的 搜 尋 機 器 人 扒 走 根 目 錄 下 的 資 料 4. 如 發 現 搜 尋 引 擎 所 找 到 的 內 容 是 不 適 合 出 現 的 資 訊, 請 透 過 線 上 表 單 通 知 Google, 將 該 網 頁 的 資 訊 從 搜 尋 結 果 以 及 快 取 中 移 除 5. 系 統 及 網 站 上 線 或 更 新 前, 請 確 實 檢 查 是 否 只 有 需 要 被 公 開 的 資 訊 能 被 看 到 6. 系 統 設 計, 請 考 量 互 動 型 態 的 必 要 性 ( 查 詢 論 壇 BBS 線 上 表 單 留 言 版 上 傳 資 料 等 ) 一 般 而 言, 靜 態 與 單 向 網 頁, 安 全 性 高 於 多 媒 體 互 動 式 網 頁 page 69 更 重 要 的 是. 1. 注 意! Google Hacking 只 是 上 千 種 網 路 威 脅 的 一 小 類 2. 拒 絕 Google 搜 尋, 並 無 法 拒 絕 不 懷 好 意 的 使 用 者 造 訪 3. 因 業 務 需 要 考 慮 e 化 系 統 時, 應 同 時 考 慮 相 對 帶 來 的 資 訊 使 用 風 險, 並 預 先 規 劃 控 制 措 施 - 什 麼 的 業 務, 需 要 提 供 公 眾 網 路 上 的 公 開 服 務? - 基 本 的 查 詢 限 制 與 存 取 控 制, 建 立 了 嗎? - 定 期 的 弱 點 檢 測 與 追 蹤, 做 了 嗎? - 管 理 者 與 系 統 使 用 者 教 育, 做 了 嗎? - 機 敏 資 料 的 網 路 傳 輸 保 護, 做 了 嗎? - 資 料 庫 的 管 理 與 定 期 備 份, 做 了 嗎? 4. 平 日 即 熟 悉 並 規 劃 應 變 組 織. 5. 預 防 勝 於 治 療! page 70 17
看 新 聞 學 資 安 (3)- 2008 年 的 一 級 科 技 大 廠 洩 密 事 件 page 71 網 路 環 境 示 意 圖 Client Hardening page 72 18
風 險 分 析 與 管 理 作 為 列 印 管 制 email 防 火 牆 Print IM 其 他 攻 擊 防 禦 機 制 Fax FTP 檔 案 另 存 轉 寄 複 製 Photo 管 制 etc etc 網 路 傳 輸 管 制 電 子 郵 件 內 容 管 制 其 他 輸 出 設 備 管 制 邊 界 實 體 檢 查 Employee 照 相 手 機 管 制 嘿 嘿 嘿, 我 有 權 限!! Copy/Paste 把 他 洩 漏 給 外 面 的 人 看!! HD USB CD NB etc.. 機 密 文 件 客 戶 資 料, 設 計 圖, 報 價 單 page 73 意 料 之 外 還 有 您 想 不 到 的 方 法?? page 74 19
何 謂 良 善 的 資 安 內 部 管 理 責 任? page 75 資 訊 安 全 管 理 三 要 素 資 安 控 管 流 程 資 安 處 理 技 術 人 員 資 安 知 識 與 能 力 page 76 20
ISMS 實 作 循 環 page 77 應 執 行 的 資 安 管 理 範 圍 - 依 據 國 際 資 安 標 準 資 訊 安 全 政 策 組 織 資 訊 安 全 資 產 管 理 人 力 資 源 管 理 ISO27001 是 國 際 資 訊 安 全 標 準, 用 以 規 範 並 驗 證 ISMS 之 建 置 成 果 包 含 11 項 安 全 控 制 章 節, 共 39 項 主 要 安 全 種 類 135 項 控 制, 與 一 項 介 紹 風 險 評 鑑 與 處 理 的 章 節 實 體 與 環 境 安 全 通 訊 與 作 業 管 理 存 取 控 制 資 訊 系 統 取 得 / 開 發 與 維 護 資 訊 安 全 事 件 管 理 營 運 持 續 管 理 符 合 性 page 78 21
組 織 資 安 目 標 強 化 基 礎 架 構 與 管 理 策 略 提 升 使 用 者 資 訊 服 務 滿 意 度 建 立 資 訊 安 全 管 理 制 度 與 流 程 加 強 資 安 防 禦 機 制 活 化 系 統 整 體 架 構 改 善 資 訊 系 統 效 能 建 立 標 準 作 業 程 序 提 升 人 員 反 應 能 力 降 低 資 安 事 件 損 害 明 確 資 安 組 織 權 責 降 低 資 訊 使 用 風 險 增 加 主 管 機 關 信 賴 提 高 民 眾 使 用 信 心 增 強 組 織 資 安 意 識 提 升 危 機 處 理 能 力 建 立 資 訊 安 全 制 度 進 行 資 訊 資 產 管 理 完 成 資 訊 風 險 評 鑑 執 行 資 安 事 故 通 報 確 保 業 務 持 續 營 運 制 定 資 安 稽 核 制 度 奠 定 良 好 驗 證 基 礎 page 79 教 育 機 構 保 護 個 資 之 應 有 作 為 僅 收 集 業 務 所 需 之 資 料, 不 要 過 度 收 集 個 資 的 獲 取 與 傳 遞, 需 取 得 學 生 家 長 或 當 事 人 同 意 檢 視 現 有 校 務 資 訊 作 業 流 程 是 否 存 在 安 全 之 漏 洞 檢 視 現 有 校 務 公 開 資 訊 是 否 做 到 最 小 揭 露 原 則 導 入 適 當 資 安 技 術 控 管 機 制 以 防 止 資 訊 外 洩 加 強 作 業 人 員 之 資 安 訓 練 與 政 策 宣 導 依 據 資 安 分 級, 積 極 參 考 教 育 體 系 資 安 管 理 規 範 執 行 各 項 管 理 與 技 術 之 資 安 防 護 制 度, 以 作 為 事 前 良 善 資 料 管 理 責 任 的 積 極 證 據 校 園 通 用 之 資 安 管 理 原 則 請 參 考 : http://cissnet.edu.tw/manage.aspx 教 育 體 系 資 安 管 理 規 範 請 參 考 : http://cissnet.edu.tw/rule_edu.aspx page 80 22
何 謂 良 善 的 資 安 委 外 管 理 責 任? page 81 常 見 的 資 訊 作 業 委 外 種 類 由 委 外 內 容 區 分 資 料 處 理 作 業 委 外 ( 資 料 整 理 登 打 掃 描 印 刷 等 ) 應 用 程 式 開 發 委 外 ( 網 站 維 運 程 式 設 計 程 式 撰 寫 等 ) 系 統 維 運 委 外 ( 於 委 外 廠 商 機 房 等 場 所, 進 行 主 機 代 管 網 路 代 管 電 郵 代 管 等 ) 資 訊 服 務 委 外 ( 於 機 關 內 部 進 行 重 要 網 路 服 務 協 助 資 料 庫 管 理 協 助 網 站 開 發 協 助 主 機 管 理 協 助 資 安 工 作 協 助 等 ) 其 他 由 委 外 方 式 區 分 由 業 務 單 位 獨 立 進 行 發 包 與 委 外 管 理 由 資 訊 單 位 獨 立 進 行 發 包 與 委 外 管 理 由 業 務 單 位 進 行 發 包, 並 由 資 訊 單 位 參 與 委 外 管 理 由 資 訊 單 位 進 行 發 包, 並 由 業 務 單 位 參 與 委 外 管 理 page 82 23
常 見 委 外 安 全 管 理 風 險 疏 失 政 府 委 外 資 訊 作 業 常 見 之 資 安 風 險 事 件 委 外 網 站 遭 入 侵 或 攻 擊 而 導 致 營 運 中 斷 委 外 網 站 資 料 遭 不 當 揭 露 (MOE, CCD) 委 外 資 訊 作 業 營 運 中 斷.Others 政 府 委 外 資 訊 作 業 常 見 之 管 理 疏 失 未 於 合 約 明 列 完 整 資 安 要 求 系 統 開 發 完 成 未 進 行 安 全 測 試 即 驗 收 廠 商 系 統 維 運 環 境 與 網 路 安 全 措 施 未 盡 完 善 廠 商 使 用 正 式 資 料 進 行 測 試 廠 商 於 驗 收 完 成 後, 仍 持 有 系 統 最 高 權 限 帳 號 廠 商 進 行 程 式 更 新 時, 未 有 完 整 之 上 線 測 試 程 序 廠 商 進 行 程 式 更 新 後, 未 有 定 期 之 安 全 測 試 程 序 廠 商 直 接 以 非 組 織 移 動 式 設 備, 連 接 組 織 內 網 路 維 護 合 約 未 及 時 銜 接 page 83 完 整 之 資 訊 委 外 安 全 檢 核 建 議 擬 案 與 規 劃 ( 可 明 列 於 RFP 或 合 約 條 款 中, 要 求 廠 商 遵 守 ) 資 安 原 則 保 密 條 款 稽 核 權 力 維 護 與 保 固 惡 意 損 害 賠 償 合 理 成 本 分 析 服 務 水 準 協 議 (SLA) 安 全 技 術 規 格 設 計 ( 可 提 示 於 RFP 中, 由 廠 商 自 行 規 劃 ) 系 統 開 發 委 外 - 應 用 程 式 安 全 / 後 門 系 統 維 運 委 外 - 機 房 安 全 設 計 / 網 路 安 全 設 計 / 存 取 控 制 方 法 ) 系 統 測 試 ( 可 提 示 於 RFP 中, 由 廠 商 自 行 規 劃 ) 使 用 者 測 試 方 法 系 統 安 全 測 試 方 法 系 統 上 線 與 維 運 ( 可 提 示 於 RFP 中, 由 廠 商 自 行 規 劃 ) 程 式 變 更 管 理 弱 點 管 理 備 援 備 份 設 計 資 安 事 件 通 報 與 處 理 page 84 24
常 見 應 用 程 式 弱 點 - SQL Injection 正 常 連 線 狀 態 ID=A123456789 Passwd=1234 網 際 網 路 select * from member where UID ='A123456789' And Passwd='1234' page 85 常 見 應 用 程 式 弱 點 - SQL Injection ( 續 ) SQL Injection 攻 擊 ID=Admin' -- Passwd=1234 網 際 網 路 select * from member where UID = 'Admin' --' And Passwd= '1234' page 86 25
系 統 漏 洞 駭 客 發 佈 弱 點 更 新 修 補 Internet page 87 安 全 的 Web 應 用 程 式 委 外 開 發 原 則 系 統 設 計, 請 考 量 互 動 型 態 的 必 要 性 ( 查 詢 論 壇 BBS 線 上 表 單 留 言 版 上 傳 資 料 噗 浪 等 ) 一 般 而 言, 靜 態 與 單 向 網 頁, 安 全 性 高 於 多 媒 體 互 動 式 網 頁 系 統 與 設 備 置 於 組 織 內, 在 組 織 內 資 源 可 行 之 情 況 下, 安 全 性 高 於 系 統 維 運 委 外 定 期 的 應 用 程 式 安 全 檢 測 是 例 行 的 必 要 工 作 後 台 管 理 系 統 的 安 全 性, 應 高 於 前 台 系 統 page 88 26
Web 程 式 登 入 之 安 全 機 制 設 計 確 保 系 統 內 部 架 構 的 隱 密 避 免 帳 號 權 限 遭 受 暴 力 攻 擊 避 免 機 密 資 料 傳 輸 遭 截 聽 page 89 網 頁 程 式 自 我 揭 露 - 暴 露! http://hotel.ezfly.com/hotel/quickers/roomlist.asp?1=1&eventcd=dhh&w ebsite=ezhome-- go02&rtdetailname=&sacode=&newsection1=109&dh_img.x=16&new hotelid1=213&dhindate=2009/6/23&dhcityselect= 台 南 &DHIDSelect=213&rdDHDay=on&newh_area1= 台 南 &indate=2009/6/23&price=0&dh_img.y=10&placeno=109&place= 台 南 &DHAreaSelect=109&outdate=2009/6/24&RoomCount=1&StayN=1 page 90 27
網 頁 程 式 自 我 揭 露 - 安 全! page 91 個 人 資 安 小 秘 方 - 如 何 安 全 的 使 用 個 人 電 腦 page 92 28
個 人 電 腦 ( 含 NB) 使 用 安 全 秘 笈 - 基 本 型 系 統 密 碼 需 設 定 防 毒 軟 體 常 更 新 重 要 資 料 勤 備 份 釣 魚 網 站 有 警 覺 官 方 網 站 較 可 靠 不 明 郵 件 勿 開 啟 系 統 漏 洞 需 補 強 螢 幕 保 護 要 啟 動 機 敏 檔 案 得 加 密 公 務 電 腦 不 共 用 無 線 網 路 有 風 險 安 裝 軟 體 停 看 聽 page 93 個 人 電 腦 ( 含 NB) 使 用 安 全 秘 笈 - 進 階 型 考 慮 安 裝 個 人 防 火 牆 注 意 USB 使 用 技 巧 ( 勿 執 行 自 動 啟 動 ) 最 好 採 用 浮 動 IP( 家 用 電 腦 ) 考 慮 針 對 機 密 檔 案 採 用 DLP 資 料 防 護 工 具 考 慮 使 用 硬 碟 加 密 系 統 page 94 29
電 腦 密 碼 設 定 原 則 - 應 避 免 絕 對 避 免 的 密 碼 : 嚴 禁 不 設 密 碼 與 帳 號 相 同 與 主 機 相 同 生 日 身 分 證 字 號 英 文 姓 名 等 個 人 資 料, 以 及 公 司 部 門 等 公 司 資 訊 使 用 1111 1234 123456 2000 aaaa abcdef 此 類 簡 單 的 組 合 密 碼 別 留 在 紙 上 或 是 文 字 檔 中 應 該 避 免 的 密 碼 : 避 免 使 用 英 文 單 字 或 詞 語, 如 iloveyou superman 避 免 全 部 使 用 數 字 避 免 連 號 或 順 序, 如 nopqrs 987654 page 95 電 腦 密 碼 設 定 原 則 - 應 做 到 較 佳 的 密 碼 原 則 : 通 行 密 碼 應 至 少 每 三 個 月 更 換 一 次, 通 行 密 碼 組 成 為 八 位 英 數 字 ( 英 文 字 母 區 分 大 小 寫 ), 且 嚴 禁 轉 知 他 人 如 於 密 碼 使 用 期 間, 有 被 他 人 窺 知 之 情 形 者, 應 即 更 換 新 碼 ; 如 因 故 被 冒 用 致 造 成 不 良 後 果 者, 應 負 洩 密 之 責 密 碼 沒 有 明 顯 含 義 密 碼 要 能 記 得 住, 一 個 連 使 用 者 都 無 法 記 住 的 密 碼 是 無 意 義 的 一 些 密 碼 設 定 小 技 巧 : 可 以 讓 l == 1 or! or, O == 0, S == 5, A == 4, q == 9 以 中 文 輸 入 法 按 鍵 來 當 成 密 碼, 例 如 \" 密 碼 \" 的 注 音 輸 入 為 5j4up 以 英 文 的 一 句 諺 語 或 一 段 歌 詞, 取 每 個 英 文 字 字 首 當 成 密 碼 以 兩 個 英 文 字 或 數 字 穿 插 : 例 如 : abcd + 1234 = a1b2c3d4, 不 過 兩 段 數 字 的 穿 插 是 沒 有 意 義 將 英 文 字 母 位 移 數 個 字 : 例 如 : with 往 前 位 移 三 個 字 母 -> tfqe 自 行 變 化 原 則, 可 以 把 上 面 的 綜 合 起 來 使 用, 也 可 以 自 訂 原 則 如 鏡 印 藏 頭 去 尾 page 96 30
個 人 資 安 小 秘 方 - 如 何 安 全 的 使 用 電 子 郵 件 page 97 網 路 騙 術 何 其 多? 網 路 釣 魚 與 社 交 工 程 實 況 模 擬 花 旗 銀 行 通 知 函 : 您 的 帳 號 密 碼 過 期 請 重 新 確 認 案 例 : 花 旗 銀 行 的 通 知 函? 同 時 駭 客 取 得 客 戶 帳 號 密 碼 連 入 幾 可 亂 真 的 花 旗 網 銀 依 指 示 重 新 確 認 帳 號 密 碼 開 始 進 行 網 路 轉 帳 登 入 成 功 連 線 至 真 正 花 旗 網 銀 顯 示 網 址 -http://www.citibank.com.tw 實 際 網 址 -http://www.citibank.com.tw hacker@cn page 98 31
社 交 工 程 演 練 概 述 社 交 工 程 (Social Engineering).. 利 用 人 性 的 弱 點 進 行 詐 騙, 是 一 種 非 全 面 技 術 性 的 資 訊 安 全 攻 擊 方 式, 藉 由 人 際 關 係 的 互 動 進 行 犯 罪 行 為 駭 客 通 常 由 電 話 Email 或 是 假 扮 身 份, 問 些 看 似 無 關 緊 要 的 問 題 等 各 種 方 法 來 進 行 社 交 工 程 社 交 工 程 攻 擊 目 的 竊 取 帳 號 密 碼 身 分 證 號 碼 或 其 他 機 敏 資 料, 進 而 造 成 企 業 或 個 人 極 大 威 脅 和 損 失 的 駭 客 攻 擊 手 法 社 交 工 程 常 見 手 法 偽 造 信 件 主 題 與 內 容 偽 造 寄 信 來 源 假 造 的 URL 位 址 列 網 頁 中 夾 帶 木 馬 與 間 諜 軟 體 page 99 電 子 郵 件 管 理 困 境 困 境 電 腦 病 毒 感 染 垃 圾 郵 件 機 密 / 敏 感 資 料 外 洩 員 工 工 作 效 率 page 100 32
電 子 郵 件 的 使 用 管 理 應 注 意 下 列 事 項 禁 止 冒 用 他 人 的 帳 號 直 接 刪 除 來 路 不 明 或 可 疑 郵 件 不 理 會 任 何 廣 告 信 不 隨 意 洩 露 個 人 之 Email 資 料 轉 寄 郵 件 時, 刪 除 他 人 的 轉 寄 記 錄 page 101 社 交 工 程 自 我 保 護 電 子 郵 件 防 禦 社 交 工 程 的 方 式 不 隨 意 開 啟 郵 件 ( 注 意 陌 生 之 寄 件 者 ) 取 消 郵 件 預 覽 不 隨 意 下 載 附 件 確 認 寄 件 人 與 主 旨 的 關 係 非 經 查 證, 禁 止 直 接 點 選 郵 件 中 的 超 連 結 善 用 密 件 收 件 人 不 隨 意 留 下 郵 件 地 址 予 他 人 了 解 組 織 傳 送 郵 件 規 定 page 102 33
Q&A page 103 kpmg.com.tw 68F, Taipei 101 Tower, No. 7, Sec. 5 Xinyi Road Taipei 11049 Taiwan Tel: +886 2 8101 6666 Fax: +886 2 8101 6667 台 北 市 11049 信 義 路 五 段 7 號 68 樓 ( 台 北 101 金 融 大 樓 ) 電 話 : +886 2 8101 6666 傳 真 : +886 2 8101 6667 The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. 2009 KPMG Advisory Services Co., Ltd., a Taiwan company limited by shares and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in Taiwan. 34