2012年6月7日 星期四

教師之資訊安全素養(第一篇)


一、資訊安全基本概述
二、甚麼是個人資料保護法?
三、資訊安全性缺口對學校的影響
四、資訊安全管理概述
()、常見電腦中毒的徵兆:
   ()、常見的資安威脅來源:



一、  資訊安全基本概述
資訊安全事件指的是任何違反常軌的異常行為,其可能造成資訊、系統、及網路的安全威脅,經鑒明可能導致資訊系統運行事件或事故情況及其後續故障效應的事件。
從設備故障、人員差錯、人爲事件或自然事件之類的單一事件到 各種事件的複雜組合均屬於資安事件範疇內的事件案例

資訊安全(三大原則):一般指影響資訊安全的三個基礎:
1.不被洩露與確保機密(機密性,C
    確保只有經授權的人才可以取得資訊,避免資訊洩露。
案例:軍演、筆錄資料洩漏
2.資訊、系統、服務等正確性被扭曲(完整性,I

    確保資訊不受未經授權的竄改與資訊處理方法的正確性。
案例:東京瑞穗證券交易輸入錯誤
3.系統不會因破壞而影響持續運轉(可用性,A
    確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。
案例:東京證交所軟體升級導致交易中斷
*************************************************************
例如:內部事件(遭人為惡意破壞毀損、作業不慎等危安事件)
1.設備故障
     能直接或間接影響機房安全資訊系統的各個設備的故障可視爲資通事件
2.人員差錯
     錯誤的或不良的維護、錯誤設定和操縱員的其他錯誤行為
3.其他內部事件
     內部原因引起的火災、爆炸等對機房安全也可能産生重要影響
例如:90512東方科學園區大火,延燒43小時,超過200家企業受影響,損失超過100
註:根據Datapro Research Corporation的資安調查,約有5成的資安事件是由人為失誤所造成,加上離職員工或內部犯罪所佔1成,人為
因素造成資安事件所佔的比例高達6
*************************************************************
例如:外部事件
    自然事件或外部事件引起某一安全重要系統、元件和建築物故障的可能性,通過設計和建造中所採取的措施可降低到可接受的程度
1.病毒感染事件
     駭客攻擊(或非法入侵)事件
2.自然事件
     天然災害:颱風、水災、地震
3.重大突發事件:火災、爆炸、核子事件
二、甚麼是個人資料保護法?

•個人資料保護法:
•立法目的:避免人格權侵害,促進個人資料合理利用。
•新法修正重點:
1. 擴大適用主體:
•打破行業別限制,包括各行各業及個人。
•受委託蒐集、處理或利用個人資料者,視同委託機關。
2. 擴大保護客體:
•以任何方式(包括紙本)留存的資料。
•任何方式取得個人資料。
•生存之特定或得特定之自然人。
3.  增訂告知義務:
•直接蒐集及間接蒐集之告知義務。
•當事人拒絕行銷之權利。
•資料違法外洩之通知義務
4.  調整賠償義務及罰則:
•民事賠償:新台幣2千萬元→2億元

•刑事處罰:新台幣5萬元→100萬元
    有期徒刑:3年以下→5年以下
    意圖營利犯罪者,非告訴乃論
•行政處罰:新台幣10萬元→50萬元

簡單來說,個資大概就是你不大想公開的個人資料
1:新、舊版個資法的最大差異,是在於以前只有電腦處理的個資才受到保護;未來不論是電腦、口頭或書面的個資,都在保護範圍之內。
2:此外,以前民眾如果想告企業洩漏個資,必須舉證是該企業洩漏才告得成;修法後舉證責任變成企業負責,民眾只要合理懷疑,都可提出訴訟,並賦予主管機關隨時進入企業檢查與扣留證物的權力。企業必須舉證沒有洩漏客戶個資、或已善盡保管責任,否則將面臨民、刑事責任。
3(1)個資外洩  面臨民刑事責任  (2)個資法開鍘 最高罰2
4:駭客取得個資的方式
(1)在你的電腦裡攻擊 client取得個資
(2)在伺服器上,資料中心攻擊 server取得個資
(3)在你心裡透過社交工程取得個資
建議:相關檔案或文件,請加密管理
*************************************************************
補充:電腦處理個人資料保護法施行細則
第三十四條-公務機關保有個人資料檔案者,應訂定電腦處 理個人資料安全維護法令,其內容應包括資料安全、資料稽核、設備管理及其他安全維護等事項。
說明:
1.個人資料:指自然人之姓名、出生年月日、身份證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動 及其他足資識別該個人之資料。
2.個人資料檔案:指基於特定目的儲存於電磁紀 錄物或其他類似媒體之個人資料之集合。
3.罰責為告訴乃論
*************************************************************
三、資訊安全性缺口對學校的影響
1.  實質財物損失
2.  學生信心動搖
3.  影響主管單位對學校的信任
4.  聲譽受損
5.  遺失或洩漏資料
6.  事務處理流程中斷
7.  法律後果
*************************************************************
四、資訊安全管理概述
()、常見電腦中毒的徵兆:
1. 執行速度比平常慢
2. 常常鎖定或不回應
3. 磁碟或磁碟機無法存取
4. 畫面上的功能表及對話方塊扭曲
5. 不斷打開新視窗
6. 不斷的當機或重新啟動
7. 印表機印不出來
8. 畫面顯示不尋常的錯誤訊息
9. 多一堆莫名其妙的檔案
10.無法開啟防毒或進行系統更新
……等等
*************************************************************
()、常見的資安威脅來源:
1.駭客
駭客工具通常會偽裝成一些有趣的小程式,然後由駭客送出或使用者自行從Internet下載這些經過偽裝的程式可以取得使用者電腦系統中的重要資料,並偷偷的回傳給駭客,它也可以暗地打開某些通訊埠 (port),作為駭客自由進出你的 電腦系統的後門,進而隨意存取您的電腦資料。

例子:
19歲駭客侵大考中心 盜百萬筆資料 警方偵破一起電腦駭客案,19歲的建中資優生 蘇柏榕,不僅連續多年入侵大考中心、國中基 測資料庫,盜拷上百萬筆考生資料,再以每次 五到十五萬元的代價,賣給補習班,連總統 府、台北悠遊卡系統等,都遭到他的入侵。
還好大考中心在清查後表示,考生的原始資料成績,沒有被篡改的跡象。(2005/4/26)
*************************************************************
2.電腦病毒
電腦病毒是一種電腦程式,設計有特定的功能,並且會感染寄生或附著在別的電腦程式或文件檔案裡面。有些電腦病毒就只有自我複製,這個單一的功能與目的,有些電腦病毒則會破壞電腦裡面的資料,甚至會破壞電腦系統。
*************************************************************
3.電腦蠕蟲
電腦蠕蟲也可說是電腦病毒的一種,與病毒不同的是,蠕蟲不會感染寄生在其他檔案。蠕蟲的主要特性是會自我複製並主動散播到網路系統上的其他電腦裡面。就像蟲一樣在網路系統裡面到處爬竄,所以稱為「蠕蟲」。
影響:其會造成電腦網路的故障,或整個單位網路系統的癱瘓。
*************************************************************
4.木馬程式
木馬程式是一種電腦程式,偽裝成某種有用的 或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者的密碼等等。在學術定義上,特洛伊木馬不會自我複製,也不會主動散播到別的電腦裡面。
*************************************************************
5.網路釣魚(Phishing)
利用假冒網頁或郵件以帳戶重新認證等名義,騙取民眾密碼、信用卡等機密資訊的詐騙行為。
例如:常見異常網址連結判斷
u  www.hinet.com
u  www.hinet1.net
u  www.h1net.net
u  或使用不明IP 代替URL(如:http://220.33.444.12/
*************************************************************
6.後門程式-僵屍電腦(Zombie Computer) (電腦原使用者-成為代罪羔羊)
隨著網路駭客侵入技術日益詭譎多變,連線網路的個人電腦在不自知的情形下被秘密植入後門程式而變成僵屍電腦。
例如:常見的資安事件
l  收集電腦及網路資訊
l  發動分散式阻絕服務
l  寄發垃圾郵件

例子:
20066月時,CipherTrust的研究報告則顯示全球專門發送垃圾信件的郵件伺服器當中,台灣竟占了64%,其次則為美國的23%,中國則佔3%,其中仍以僵屍電腦的問題特別嚴重。

沒有留言:

張貼留言