資訊安全教育訓練

圖書資訊處 網路與資訊安全組 �林家寬 技術專員

1

大綱

• 名詞解釋
• 資訊安全政策宣導
• 資訊安全案例

2

名詞解釋

• 駭客(Hacker)
• 指技術高超的程式設計師。
• 白帽、灰帽、黑帽
• Cracker
• 惡意、非法的破解程式、系統或網路的人。

​

3

資訊安全政策宣導

4

層出不窮的資安問題

• 資訊安全影響政治、金融、民生等各種層面。
• 以今年美國大選為例，希拉蕊電郵門事件，讓國家機密暴露在高風險，現今資安防禦的需求已擴及整個國家，成為國家資訊安全的重要環節。

​

5

國內十大資安事件(續)

• 1.資料外洩
• 2.進階持續性威脅(Advanced Persistent Threat，APT)攻擊事件
• 3.分散式阻斷服務(Distributed Denial-of-Service Attacks，DDoS)攻擊
• 4.資料庫遭駭
• 5.社交工程郵件詐騙
• 6.手機或即時通訊息詐騙
• 7.惡意程式威脅
• 8.網站(頁)遭駭
• 9.身分帳密遭盜用
• 10.USB威脅事件
• -- RUN!PC 施鑫澤 2014/6/6
• http://www.runpc.com.tw/news.aspx?id=101271

6

資訊安全的威脅來源

7

資安事件歸納及因應

8

• 網頁遭竄改
• 資料庫被入侵
• 系統登入機制被破解
• 系統或網路服務中斷
• 垃圾郵件
• 資料外洩

​

• 相簿破解
• 刊登色情照片/影片
• 侵權 MP3/文章下載
• 網路誹謗
• 網路交易糾紛
• 網路釣魚
• 網路詐騙

​

• 個資外洩
• 未建立資安管理制度
• 資安管理制度未落實

強化系統安全

落實之管理制度

建立易於操作與

增進資安認知

加強教育訓練

NII 產業發展策進會

資訊安全與資訊安全管理系統

• 資訊安全 (Information Security)意指在於保護資訊之機密性、完整性與可用性。
• 機密性(Confidentiality)：確保只有被授權的人可以存取
• 完整性(Integrity)：確保資訊及處理方法的正確及完整
• 可用性(Availability)：確保被授權的人有需要時可以存取
• 資訊安全管理系統(Information security management system，簡稱ISMS)：乃組織整體管理制度的一部份，必需依據風險管理的方法加以制訂，進而用以建立、執行、操作、監控、審查、維護與改進組織的資訊安全。其目的在於保護資訊資產的機密性、可用性與完整性。

9

資訊安全案例

10

資安案例

• 簡易資訊安全防範
• 作業系統更新、加裝防毒軟體並定期掃毒
• 避免將帳號密碼紀錄在他人可輕易獲取的地方。
• 可使用二次驗證增加帳號登入安全。
• 避免下載來路不明的程式。
• 避免開啟來路不明的信件。
• 避免瀏覽具有中毒高風險的網頁。
• 定期更換密碼，並使用他人不易猜出的密碼。
• 避免被聳動的標題吸引而點擊連結。
• 105年資安動畫金像獎

​

11

資安案例

• 美國聯邦貿易委員會於2017年1月5日提出，D-Link無線路由器、網路攝影機易遭駭客攻擊，希望D-Link針對此漏洞立即更新
• 筆記型電腦的攝影機也是攻擊對象之一
• 防範措施
• 網路攝影機韌體更新
• 更換密碼
• 將筆記型電腦攝影機貼起來

​

12

資安案例

• 案例三
• Dropbox為跨平台檔案交換平台，BUSINESS INSIDER(2012年8月)報導指出有員工的密碼被駭，導致駭客進一步取得6800萬組dropbox帳號密碼
• 可透過「Have I Been Pwned」網站查詢自己的帳號是否已經外流

​

​

13

資安案例

• 案例五
• Yahoo個資外洩
• 2016年9月雅虎證實至少有5億筆用戶資料被駭客竊取，失竊的資料可能包括用戶姓名、電子郵件地址、出生日期和加密密碼。
• 駭客利用入侵yahoo的帳戶，意圖搜尋其他帳戶的密碼或使用相同安全問答的答案。

14

資安案例

• 英國每日鏡報（Mirror）2016年11月報導(原文網址)，個資外流的雅虎帳號中，最常用的密碼分別是以下十個

​

15

資安案例

• LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼類型」

​

16

資安案例

• 網路釣魚攻擊
• 駭客利用偷竊來的帳號，偽裝成yahoo或其他公司寄來的電子郵件，使受害者受騙上當點擊連結，除帳號密碼失竊的可能外，還有可能使自身電腦受到病毒感染。
• 各個帳號使用同組密碼
• 可能導致一組帳號密碼失竊後，其他帳號密碼也一併被竊取，使受害範圍擴大。
• 105年資安動畫金像獎

17

資安案例

• 案例四
• 手機中毒事件
• 用社交工程手法誘騙點擊簡訊中的連結網址，使手機被植入惡意程式，以致民眾收到高額電信帳單受害
• 刑事局查獲橫跨兩岸的惡意簡訊詐騙集團！國內近10萬手機遭感染！
• Android 漏洞導致Google 帳號遭駭，利用Android 4.0 和 5.0 作業系統漏洞，獲取在手機裡的Google相關應用程式資料(參考網址)

​

18

資安案例

• IOS手機就不會中毒? – NO!!
• IOS系統也不是沒有漏洞，只是由於封閉式的系統特性使得漏洞能夠及時的被發現和處理(原文網址)
• 【iPhone】中國多款 App 被植入木馬程式
• JailBreak(簡稱JB)後更容易中毒

​

19

資安案例

• 簡易防範手機中毒
• 隨時更新手機作業系統
• 勿點擊來路不明訊息
• 勿下載來路不明的app(特別是APK檔)
• 使用兩階段驗證確保帳號安全
• 可依需求安裝手機用防毒軟體

​

20

資安案例

• 簡易防範措施
• 應用程式更新，確保漏洞已修補
• 留意各種吸引點擊的連結，可能夾帶惡意檔案
• 檢視網路硬碟與共用資料夾之使用者存取權限，避免非必要使用存取
• 定期資料備份

21

資安案例

• 案例八
• 因所使用之Wi-Fi無加密，讓有心人士側錄網路傳輸的封包，導致交易紀錄及相關機密資料被駭客竊取(網路相關資料)
• Wi-Fi的使用必須要再加密，以防止不明人士側錄相關個人資料，也盡量不要在公開的Wi-Fi中，進行網路購物或使用網路銀行

22

資安案例

• 案例九
• P2P(Point To Point)軟體的資訊安全漏洞
• P2P軟體除可能會違反著作權法外，也有可能將惡意程式帶入自己的電腦中
• 使用P2P傳輸需要大量網路頻寬，容易導致校園網路癱瘓
• 學術網路教育部建置有偵測機制來篩檢網路不當使用，其中以P2P軟體傳送侵權資料為主要偵測對象，因此，校園網路禁止使用P2P軟體

​

23