资讯安全基础认知教材.ppt

資訊安全基礎認知 資訊安全基礎認知 前言電子資料的特性與資訊安全資訊世界的潛在威脅電腦病毒簡介自我安全防護社交工程網頁惡意掛馬網 存取控制NetworkAccessControl NAC 媒體儲存安全資訊安全管理系統認證簡史資訊安全管理系統資安案例說明 一 前言 由一個著名的作家 一本超流行的著作 丹 布朗的 達文西密碼 說起 丹 布朗的5部偉大的著作 魔鬼與天使 數位密碼 大騙局 達文西密碼 與 失落的符號 先知與大器晚成的作家 一本 駭客 與 悍克 的必讀的教戰手冊 數位密碼 密碼的戰爭與資訊安全 二 電子資料的特性與資訊安全 一 電子資料的特性1 資訊內容是 磁性物質的磁化狀態及半導體物質的電子狀態 0與1 電磁波或光 電訊號2 儲存媒體是 磁片或記憶體晶片 電纜線 光纖或大氣層 無線通信 3 在處理 儲存及傳輸過程中容易被篡改 變造而不留痕跡 二 資訊安全技術的普及1 十九世紀末期 電報日益普及 於軍事 外交商業等需要注意資訊安全的環境中 已大量使用密碼技術處理 例 清光緒五年 西元1879年 清朝已開始使用密電 2 隨著電子科技的一日千里 資訊設備已進入社會大眾的生活中 密碼技術的日益普及已指日可待 3 資訊安全是科學 數學 工程 社會學等的 跨領域 整合技術 三 資訊犯罪的特性1 具有高度專業性 民國八十二年五月 台灣地區破獲的首次偽造金融卡案 即為典型 2 與行為人職務關係密切 民國八十四年六月 台灣地區破獲有史以來人數最多的 32官 23商 的隱私權案 即為典型 3 具有經濟犯罪性質 民國八十四年八月 台灣地區爆發的一百億元國票事件案 即為典型 4 偵察困難 蒐證不易 民國八十四年十二月 台灣地區發生的對美國柯林頓總統的電子郵件恐嚇信案 即為典型 5 犯罪技術可遙控犯罪且犯罪行為人常甚少或無犯罪感 民國八十四年十一月 第一個被稱為悍客 Craker 的資訊安全專家Peal駭客 Hacker 被捕例 即為典型 6 智慧型犯罪 民國八十五年二月 台灣地區爆發的積體電路佈局被離職員工修改案 即為典型 三 資訊世界的潛在威脅 1 環境的威脅 15 17 火災 10 12 水災 5 7 意外性災害如地震 比例很低 但會釀成巨禍 2 人的威脅 佔83 85 1 內部人員 80 85 人為疏忽及犯錯 約60 不誠實的員工 約10 心懷怨恨的員工 約10 2 外部人員 3 5 網路悍客 Hacker 電腦病毒 Viruses 及其他惡意的軟體 網蟲 Worms 從電子佈告欄上抄來的非法軟體 檔案資料 竊聽電波而譯出其上傳輸的訊息 美國國防部資訊系統防衛署 DISA 之資訊系統安全弱點評估 一 測試時間 2008 2009 二 測試結果 外部人員造成之資訊安全一些實例 Nov 1988MorrisWorm造成6000部以上之電腦當機每部2小時以上 Mar 1989WestGermanSpyRingsAttacksU S Computers May1990HackersRunUp50MillionPhoneBill Feb 1995KevinMiltonic第三次因電腦犯罪就擒 Mar 1995由2個美國人 2個荷蘭人 1個以色列人等6人組成的電腦犯罪團體非法侵入花旗銀行現金管理電腦系統 將許多存戶2仟8佰萬美金的存款轉到他們設在其他國家至少12個不同的銀行帳戶中 僅得手40萬美金的主嫌在AOSaturn軟體公司工作的俄羅斯人VladimirLevin在倫敦機場被捕 AOL釣魚客面臨101年刑期 譯自2007 1 16CNETN JeffreyBrettGoodin日前假冒AOL收款部門寄出電郵給他們的使用者 指引他們到一個偽裝的網站去更新帳戶資料 藉此得到這些客戶的信用卡號等重要資訊 再冒用信用卡購物 他被起訴多項罪名 包括 網路詐欺 未經授權冒用信用卡 濫用AOL商標等十項 被起訴刑期高達101年 外部人員造成之資訊安全一些實例 木馬偷窺即時通駭客抓劈腿 2007 8 25聯合報 十多名社會新鮮人 竟花6 000元向任職電子工程師的駭客求助 入侵女友或另一半的電腦 窺探她們在即時通訊與人對話的隱私 警方日前逮捕該名駭客移送偵辦 並將約談入侵女子電腦的男子到案函送法辦 外部人員造成之資訊安全一些實例 熊貓燒香病毒製造者被批准逮捕 2007 3 17新聞晨報 轟動全國的 熊貓燒香 病毒製造者李俊涉嫌 破壞電腦資訊系統罪 15日被湖北省仙桃市檢察院批准逮捕 據李俊的辯護律師介紹 他對自己的行為非常後悔 並表示將來願意做義工向社會贖罪 外部人員造成之資訊安全一些實例 外部人員造成之資訊安全一些實例 讓沒有進入權利的人或系統能夠未經授權地使用他人資源 目的在破壞資訊的機密性 例如 木馬偷窺即時通 讓惡意的人或系統能夠干擾或阻斷他人網路或服務 目的在破壞資訊的可用性 例如 熊貓燒香病毒 外部人員造成之資訊安全一些實例 ElkCloner是最早期的電腦病毒 virus 1982年由一位15歲的學生RichSkrenta寫在AppleII電腦上 以軟碟為感染媒介 使用受感染的磁片開機50次 就會在銀幕上出現一首打油詩 Melissa為1999年由電子郵件傳播的Word巨集病毒 他會利用受感染電腦的電子郵件通訊錄 發出50封病毒郵件 數小時之內就可以傳遍全球 CodeRed蠕蟲 worm 利用當時微軟作業系統的瑕疵 在2001 7 19一天內 讓全球359 000台電腦同步受到感染 2004年的Witty蠕蟲攻擊InternetSecuritySystems ISS 公司的防火牆及其他資訊安全產品的漏洞 在2個小時內癱瘓全球12 000台電腦 受害者都是裝備有安全防護的主機 其他案例將在下堂 法規與案例說明 中詳述 外部人員造成之資訊安全一些實例 四 電腦病毒 是一個寄居在其他程式上的小軟體 通常他只有兩大目的 傳染給別台電腦並讓受害電腦不能運作 電腦病毒傳染有三個途徑 經由受感染的可移式媒體 removablemedia 如軟碟 CDROM USB碟傳染給其他電腦 經由電子郵件的附件傳染 這類病毒常再利用受害者的通訊錄傳送病毒給更多的潛在受害者 附著在別的 正常 軟體上 尤其越來越多人肆意的從網路上下載軟體 卻未細究該軟體是否已受感染 網路蠕蟲雖然 蠕蟲 worm 與 病毒 virus 兩個名詞常被混用 在正式定義上 兩者的差異在於 蠕蟲可以自己存在 不需要寄生於別的程式或檔案 蠕蟲複製自己後 可以自行在網際網路上傳播 不需靠人的參與 病毒則否 網路蠕蟲 蠕蟲造成的傷害經常範圍極廣 因為蠕蟲在受害電腦上大量複製 再經由郵件通訊錄上的地址或TCP IP位址傳播 蠕蟲快速複製與傳播的能力常大規模地占用系統資源 如記憶體 與網路頻寬 導致網站 網路服務 與電腦系統無法正常運作 形成阻斷服務 DoS 的結果 木馬程式可以自行存在 但不以複製或擴散為目的 它看似好的程式 卻暗藏惡意 例如一個網路上下載的電玩程式 卻同時在收集系統裡的密碼檔案 偵測木馬程式有時並不容易 因為它執行起來像是一個正常的應用程式 此外 較新的木馬程式也會使用躲避監視的手法 不同於病毒或蠕蟲只會產生破壞 木馬程式可能為攻擊者帶來利益 因此木馬攻擊似有凌駕前兩者的趨勢 木馬程式 木馬程式 木馬程式 一位19歲的俄國駭客在1999年侵入CDUniverse 盜取30萬筆信用卡資料 在勒索十萬美元贖金未遂後 他將其中的數千筆資料公布在網際網路上 2000年9月 全球首屈一指的金融服務機構WesternUnion關閉網站五天 因為遭到駭客入侵並盜走一萬五千筆信用卡資料 駭客利用系統維修時沒有防火牆的15分鐘空檔入侵 木馬程式 中共駭客入侵五角大廈 2007 09 10聯合報 美國國防部的情治報告指出 中共計畫在2050年之前取得壓制全球敵人的 電子優勢 尤其是針對美 英 俄與南韓等國 為了達成這項目標 中共解放軍的兩名空軍軍官已擬具發動毀滅性網路攻擊的計畫 企圖癱瘓美軍的航空母艦戰鬥群 西方媒體上周報導 中共解放軍的駭客今年六月入侵美國國防部的電腦系統 並經常滲透英國政府十個部門的電腦 竊取軍事檔案等機密 中國駭客今年也曾滲透德國政府的電腦系統 五 自我安全防護 資訊安全弱點與威脅 弱點 是導致威脅發生的原因 會直接導致資訊資產的損害常 的弱點 未受訓 或未俱備安全認知的人員 錯誤的選擇及使用密碼 缺乏存取控制 資 沒有備份 資訊安全弱點與威脅 威脅 任何會直接導致資訊資產受到損害的人事物常 的威脅 人員操作錯誤 意破壞資訊及設備 病毒感染 駭客入侵 社交工程 防毒軟體 為 麼我需要防毒軟體 您的防毒軟體是否有定期 新病毒碼 有 防毒軟體是否還需要個人防火牆 防毒軟體 防毒排名防毒軟體評比2010June1 GDATA2008version18 2 7310 844 99 05 2 F Secure2008version8 00 103 98 75 3 TrustPortversion2 8 0 1835 98 06 4 Kasperskyversion8 0 0 357 97 95 卡巴斯基5 EScanversion9 0 742 1 97 44 6 TheShield2008 97 43 7 AntiVirversion8 1 00 331Premium 97 13 8 Ashampooversion1 61 97 09 9 Ikarusversion1 0 82 96 05 10 AntiVirversion8 1 00 295Classic 95 54 freetopone11 AVGversion8 0 100Free 94 85 12 BitDefender2008version11 0 16 94 70 13 Avastversion4 8 1201Professional 93 78 14 Nod32version3 0 650 0 93 36 15 F Protversion6 0 9 1 91 87 16 BitDefenderversion10Free 91 32 防毒排名防毒軟體評比2010June 17 ArcaVir2008 88 65 18 Normanversion5 92 08 87 72 19 Vba32version3 12 6 6 87 21 20 McAfeeEnterpiseversion8 5 0i 86 57 21 McAfeeversion12 0 177 86 39 22 RisingAVversion20 46 52 85 87 23 Norton2008 83 34 頓24 Dr Webversion4 44 5 82 87 25 AntiyGhostbustersversion5 2 3 80 23 26 VirusBusterversion5 002 62 77 19 27 Outpostversion6 0 2294 253 0490 75 35 28 V3InternetSecurityversion2008 05 31 00 75 23 29 ViRobotExpertversion5 5 74 50 30 VirusChaserversion5 0a 73 65 31 A squaredAnti Malwareversion3 5 71 66 32 PCToolsversion4 0 0 26 69 82 33 TrendMicroAntivirus Antispyware2008version16 10 1079 67 28 趨勢 密碼猜測攻擊使用者名稱 username 與密碼 password 是時下電腦 系統 與網路身分認證最常用的方法 破解密碼的手法不外以下幾種 以電腦重複去試各種可能的密碼 以社交工程 網路釣魚 或使用中間監看工具來騙取密碼 由於許多使用者不願費心記憶密碼 故以直覺或觀察法也甚為有效 可以先試8 9 812349 abcd9 password 之類的懶人密碼 或是輸入使用者名稱 許多人將這兩者設為相同 若可取得私人資料 則試其配偶 子女之姓名拼音或生日 或以上合併 觀察當下環境裡是否有適合做為密碼的字 例如網址 網名 廣告詞等 看看鍵盤下面 螢幕後面的小紙條 說不定會有意外的驚喜 安全的密碼原則 設定密碼的小技巧 以注音輸入法按鍵 當成密碼 你好嗎 Su cla 8 以英文字或 字穿插 Sister 456789 S4i5s6t7e8r9將英文字母往前位移 Birthday往前位移1個字母 Ahqsgczx以英文的一 諺語或一段歌詞取每個英文字字首當成密碼 BestwishesforahappyNewYear BwfahNY 電腦檔案安全 使用密碼保護 微軟Office系 工具 選項 然後選擇 安全性 標籤 在 保護密碼 項目中輸入密碼 電腦檔案安全 將文件檔案加密 選擇要加密的檔案或資 夾 按 鼠右鍵選擇 內容 進階 勾選 加密內容 保護資 電腦檔案安全 設定檔案使用權限 我的電腦 工具 資 夾選項 檢視 將 使用簡 檔案共用 建議使用 打勾取消 接著 選取檔案按 鼠右鍵後 點選內容 安全性 即可去對權限做修改 小心隱私的潛在危機 cookie 去過哪些網站 輸入過哪些資 帳號 密碼 是資 可能外洩的 源 控制台 網際網 選項 小心隱私的潛在危機 工具 清除隱私資 選項 解決惱人的彈出視窗 可 用WindowsXPSP2 Explorer中的快顯阻擋選項 IE 工具 快顯封鎖程式 可安裝各入口網站所提供免費ToolBar 這些ToolBar 具有阻擋彈跳視窗功能 包括Google Yahoo或MSN等很多防毒軟體 網 防護工具亦提供阻擋彈跳視窗功能 有安裝這些軟體 記得將阻擋彈跳視窗設定開啟 六 社交工程 社交工程攻擊之定義 利用人性弱點 人際交往或互動特性所發展出來的一種攻擊方法早期社交工程是使用電話或其他非網路方式來詢問個人資料 而目前社交工程大都是利用電子郵件或網頁來進行攻擊透過電子郵件進行攻擊之常見手法假冒寄件者使用讓人感興趣的主旨與內文含有惡意程式的附件利用應用程式之弱點 包括零時差攻擊 社交工程攻擊模式 駭客設計攻擊陷阱程式 如特殊Word檔案 將攻擊程式埋入電子郵件中 寄發電子郵件給特定的目標 受害者開啟電子郵件 啟動駭客設計的陷阱 並被植入後門程式 後門程式逆向連接 向遠端駭客報到 Internet 軟體弱點與零時差攻擊 只要是軟體即有可能存在弱點 若未能及時修補弱點 即可能讓駭客入侵成功軟體弱點在沒有任何修補方式之前 出現相對應的攻擊行為時 此類攻擊稱為 零時差攻擊 Zero dayAttack 修補程式公告 弱點被發現 安全時期 安全時期 危險時期 18個月 社交工程範 社交工程駭客 學務處的同仁嗎 您好 我這 是電算中心 為測試系統新功能 可以給我您的密碼嗎 我幫你測試新系統是否可用 內部員工 網 釣魚 網 釣魚 Phishing 是常 的透過電子郵件手段的一種網 社交工程 籍由誘惑使用者點選網頁 結 用預覽功能 甚至 必等使用者點選 或打開副加檔案以植入 意程式 例如 木馬 後門等 網 釣魚範 發信者非單位人員 意 結 意 結將 往 明IP位址 社交工程與網 釣魚之防範 避免人性弱點遭到 用的方式提升自我資訊安全認知與警覺性 重要資 或密碼輸入時 應注意是否有旁人窺視 討 業務機密應注意場合 透過網 或電話溝通時 應確認對方身分 使用者代碼 借給別人 密碼 洩 給任何人 社交工程與網 釣魚之防範 電子郵件防禦社交工程應注意事項 隨意開啟郵件 注意陌生之寄件者 取消郵件預覽 隨意下載附件 確認寄件人與主旨的關係 非經查證 可直接點選郵件中的超 結 善用密件收件人 隨意 下郵件地址予他人 定期自我執 病毒與後門程式掃瞄 解組織傳送郵件規定 熟悉社交工程的可能手法 通報相關單位 七 網頁惡意掛馬 什麼是網頁惡意掛馬 駭客入侵 知名的 網站不更動原有的畫面下 修改網站內容 加入惡意程式碼使瀏覽該網站的使用者被植入惡意程式進而竊取個人資料或當成跳板主機 階梯數位學院網站又被植入惡意連結 階梯數位學院網站又被植入惡意連結 此惡意程式為Lineage和Agent變種 請各位暫時不要瀏覽這個網站 以免中毒惡意連結是放置在首頁 其他頁面可能要仔細檢查一下囉 中的 網頁惡意掛馬攻擊模式 網站server 掛馬 用戶 駭客 惡意程式網站 導向惡意程式網站 下載並安裝惡意程式 遙控受害電腦 網頁惡意掛馬的危害 對網站擁有者而言因管理不善導致他人被入侵而負上法律責任商譽的損失對一般使用者而言資料失竊隱私資料 信用卡資料 線上遊戲虛擬寶物等被當跳板主機可能面臨法律責任 網頁惡意掛馬的原因 網站伺服器的弱點或管理不當不當的設定與管理不安全的預設網站路徑與紀錄檔檔案配置沒有更改預設的管理者密碼不當設定讓使用者能存取任何網頁目錄過於寬鬆的網頁權限設定沒有刪除不必要之網站或虛擬目錄SQLInjection利用SQL語法可以串連的特性 串連惡意的SQL語法執行新增 修改內容或刪除資料表等攻擊動作 意圖危害網站的正常作業 網頁惡意掛馬統計資料 2010年6月5日星期六網頁遭入侵 值入惡意程式事件統計 遭入侵數 主機 829 827 遭值入數 主機 269 179 2010 06 06媒體報導Google最新統計 目前全台有984個網站被植入惡意程式碼 其中不乏知名的台灣奧迪汽車 ESPN體育台和眾多商業網站這些網站含有 隱匿強迫下載 惡意程式 網友看文章欣賞照片時 不知不覺被安裝木馬 後門程式 間諜軟體或其他病毒軟體 電腦無故當機只是小Case 嚴重時會竊取電腦中個人資料 曾在網路銀行輸入的帳號密碼 也可能被側錄 網站惡意掛馬預防方法 安裝修補程式使用防毒軟體宣導 或規定 不隨意瀏覽網站提高IE的安全性設定 停用Script和ActiveX元件下載考慮IE以外的瀏覽器經常檢視重要機器其開機執行程序狀態 例如 使用ProcessExplorer Autoruns等程式或其它廠商開發之工具來比對降低網頁瀏覽權限 網站惡意掛馬預防方法 危機意識與正確的資安觀念預防詐騙手法的攻擊提高警覺 加強危機意識不隨意開啟或下載電子郵件或軟體定期做系統更新與資料備份工作 八 網 存取控制 NAC NetworkAccessControl 資 外洩日 嚴重 2009 7月美國TJX公司因內部無線網 遭入侵 導致歹徒可以自由進出公司資 庫 竊取客戶資 2010 4月警察機關的個人電腦安裝FOXY造成筆 與偵查報告外洩 ForresterResearch於2010 指出有52 的機密資 經由可以移除式的儲存裝置外洩 除網 安全亦著眼於端點安全 端點安全 人的風險 資訊安全防護中最弱的一環就是 人 人 的風險真的只能靠教育訓 控制端點就是在控制 人 的風險 用技術 加以管 人 的風險 網 存取控制 端點控制軟體 網 存取控制 基於正向 白名單的管 措施 只允許使用符合安全政策 或達一定安全層級的端點上線 除此之外的端點 一 禁用 設備分 控制元 ControlUnit 如 由器 防火牆 入侵防禦系統 代 伺服器等 受管 的端點裝置 EndpointDevice 如 主機 個人電腦 無線設備 動裝置 嵌入式系統等 控制元功能 判斷端點裝置是否符合資安政策 允許或拒絕端點裝置的使用權限 追蹤或協助改善端點裝置的資安 態 驗證端點安全性 身份 別與驗證 端點身份與個人身份 所在位置與存取資源 存取控制清單 安全 態 端點裝置安全層級 端點控制 主機與個人電腦 硬體元件 軟體元件 系統與應用程式設定值 弱點管 健康 監控 資安防護 嵌入式系統 熱抽插裝置 無線設備與 動裝置 線方式 作業系統 資安防護 網 存取控制接受 2010 美大型企業網 存取控制接受 將超過5成2008 2010 知道是否建置 資 源 InfoneticsResearch 網 存取控制與ISO27001 網 存取控制與ISO27001相關的要求 網 存取控制三大主要元件 終端軟體政策執 據點政策伺服器身份驗證資 庫 PolicyEnforcementPoint PolicyServer 偵查兵大門衛兵司 部長官 我們的風險在哪 主機弱點修 情形 主機系統存取控管 帳號管 事件通報機制建 員工使用電腦的習慣 儲存媒體使用管 主管是否瞭解我們的風險在哪 九 儲存媒體安全 隨身碟安全問題 使用隨身碟有可能帶 麼安全疑慮嗎 最大 源 兇 自動播放 當您把隨身碟插入電腦的USB 接埠的時候 系統設定要自動執 的程式 確保隨身碟安全 在自己的電腦上安裝USBProtector及USBVirusKiller 在隨身碟上建 一個autorun inf的資 夾使用公用電腦前先重開機 關閉Windows的自動播放 Autorun 避免Windows自動播放 Autorun 放入隨身碟時請趕緊壓按Shift鍵可以暫時 非永久 關閉autorun的功能 關閉Windows的自動播放 開始 執 輸入 gpedit msc WindowsXPHomeEdition 適用本方法 確定 出現 群組原則 視窗 依序選左邊電腦設定 系統管 範本 系統 找到右邊視窗的 關閉自動播放 鼠左鍵雙擊 出現 關閉自動播放內容 對話窗 點選 已啟用 再下 在 停用自動播放 在的下 選單 選擇 所有裝置 完成 插上隨身碟就 會再自動執 信任可信任者的深思 洩漏機密的主因九成以是由內部產生 內部洩漏機密之主要原因不外乎 作業疏忽 作業疏忽的主要漏洞又來自 可信任者 可信任者包括 最高管理者 技術專家 專業人員 系統或軟體開發者與維修人員 含委外廠商與專家 外部入侵可以用弱點掃描與偵測來預防 內部危害要用雙倍能量來管控 系統管理與技術管理 信任可信任者的省思 資訊社會攻擊類型 資訊社會威脅類型 十 資訊安全管理系統認證簡史 1990年 世界經濟合作開發組織 OECD 轄下之資訊 電腦與通訊政策組織開始草擬資訊系統安全指導綱要 1992年 OECD於1992年11月26日正式通過 資訊系統安全指導綱要 1993年 英國工業與貿易部頒布 資訊安全管理實務準則 1995年 英國訂定 資訊安全管理實務準則 之國家標準BS7799第一部分 並提交國際標準組織 InternationalOrganizationforStandardization 簡稱ISO 成為ISODIS14980 1996年 BS7799 Part 提交國際標準組織 ISO 審議 沒有通過成為ISO標準之要求 1998年 英國公布BS7799 Part 資訊安全管理規範 並為資訊安全管理認證之依據 2000年 增修後之7799 Part 於2000年12月1日通過ISO審議 成為ISO IEC17799國際標準 7799 Part 未通過審議2002年12月5日 我國經濟部標準檢驗局分別基於ISO IEC17799與BS7799 2 中國國家標準CNS17799及CNS17800 2005年6月15日 ISO IEC17799 2005 E 正式發行 ISO IEC於ISO IEC17799 2005 E 之前言敘明於2007年發行ISMS的27000標準系列 ISO IEC17799 2005 E 將由ISO IEC27002取代 基於ISO IEC17799 2005 E 與BS7799 2 1999之ISO IEC27001 2005 E 於2005年10月15日正式發行 資訊安全管理系統認證簡史 十一 ISO27001資訊安全管理系統 ISO27001 2005資訊安全管理系統標準 制定資訊安全政策之管理手冊 本手冊是描述 資訊安全政策 資訊安全管理系統 要求事項與 適用性聲明書 三各項目所組成 為推動 資訊安全管理系統 之 最高指導原則與方向 驗證適用範圍說明 控管目標與管控機制之指引 ISO27001國際標準條文與附錄A 之控制目標與控制措施之說明 適用內容及排除條款說明 所有相關人員本身之權責及需注意的重點以及執行的規範 本校資安全政策 暫定 資訊安全管理目標 暫定 資訊保護 全體動員 目標落實資訊保護政策 確實遵守資訊存取與實體環境安全管理作業程序 尊重智慧財產權 禁止安裝未經授權之電腦軟體 並對可攜式設備之使用嚴加管控 全體共同攜手動員 確保資訊妥適安全 防止任何外力危害 資訊安全管理目標 暫定 資訊安全 人人有責 目標落實資訊安全政策 加強資訊安全教育宣導 建立資訊安全量測指標 評估資訊安全運作成效 落實營運持續與管理改善 嚴格遵守網路與通訊管理作業程序規定 防止各類惡意程式與電腦病毒入侵 人人遵守資訊存取控制管理作業程序規定 避免資訊安全人為疏失 持續不斷提升資訊安全專業技術 知識 提供客戶最佳服務 取得客戶充分信賴 ISMS建置方法論 規劃資安現況分析確認管理目標建立資安組織 執行進行教育訓練執行風險評估建立管理制度 檢查資安內部稽核進行管理審查評估執行成果 調整執行矯正預防持續進行改善確認管理績效 PLAN DO CHECK ACT PLAN DO CHECK ACT ContinuousImprovement Policy 資訊安全管理系統 InformationSecurityManagementSystem 簡稱ISMS 過程框架 資訊安全政策與適用性聲明書 資訊安全政策此文件說明本系統的資訊安全政策 適用範圍與ISO27001 2005附錄A 5 A 15之相關管控目標與管控措施等 詳見 資訊安全政策 適用性聲明書本文件說明資訊安全管理系統適用於ISO27001 2005附錄A 5 A 15之對應措施 排除項目與以及相對應的控管文件 詳見 適用性聲明書 風險評鑑 應建立適當的風險評估方法 識別營運資訊安全 法律與法規要求的風險 定義本校資訊室及機房之資產的威脅 脆弱點 並訂定風險可接受的等級 詳細資訊資產與風險評估的管理詳見 資訊資產與風險評估管理程序 文件內容說明與實施辦法 本校資訊安全管理系統在實施過程中 應選擇適當的控制目標與控制方法 並應被認定是正當的 應訂定適用性聲明 內容包括ISO27001 2005附錄A 5 A 15之所有項目 如有排除應明確說明不選擇該控制目標的理由 同時應與 資訊安全政策 相呼應 資訊安全之風險管理進行模式 資訊資產三要素 Confidentiality機敏性 Integrity完整性 Availability可用性 資訊資產 InformationSecurity 三要素說明 機密性 Confidentiality 確保只有經過授權的人才能存取資訊 完整性 Integrity 維護提供使用之資訊為正確與完整 未受破壞或篡改 可用性 Availability 確保經過授權的用戶在需要時可以存取資訊並使用相關資訊 系統的文件架構 第一階 資訊安全手冊 資訊安全政策與適用性聲明書 第二階 資訊安全相關之程序文件 包含所有控管程序的內容說明 第三階 各種管理辦法 檢查項目 第四階 各項實作 運作 監視 審查及改進活動的紀錄與表單 系統的文件說明 由於第一階文件會衍伸出第二 三 四階文件及相關的紀錄 故管理手冊為所有文件的源頭 再由次階文件與紀錄連接 成為一個嚴謹的文件架構體系 可參照 ISO27001 2005條文要求與文件表單對照一覽表 文件管制 資訊安全管理系統的文件在發行後 要審查其是否符合本校的需要 如有需要應重新修改已經核准的標準文件 確保文件在變更與修訂後 能更新並保持最新版本 確保在使用場所有備妥最新版本適用之文件 確保文件保持易於閱讀並容易識別 確保外來原始文件已加以識別 確保文件分發已被妥善管制 防止失效文件被誤用 過期文件需保留時 應予以適當識別 紀錄管制 本系統所產生的文件與報表 紀錄 應依照政府與本校的相關規定 及ISO 27001 2005標準所要求的期限 妥適保存 所有相關紀錄的鑑別 儲存 保護 檢索 保存期限及報廢 應建立書面程序 清楚說明管制的方法 紀錄應以隨時可取回的方式被儲存與維護 並防止損壞 變質或漏失 以維持紀錄清晰易讀 容易識別及檢索 應自各類相關資訊安全的法規與標準或要求中 篩選出與本系統有關聯者納入管理 作為本系統改善的參考 本系統符合要求及有效運作的佐證依據 應建立總覽表管理那些紀錄的持續有效運作 到底多少紀錄要納入管理 應在實施過程中加以增減 各項過程績效監控與本系統 安全事件 有關紀錄應保存 管理階層責任 管理階層承諾本校之管理階層應藉由下列各項方式 對本系統的建立 實施 操作 監控 審查 維持與改進之承諾提供證據 建立一項資訊安全政策 確保建立各項資訊安全目標及計畫 為資訊安全建立角色與權責 傳達符合遵守資訊安全政策 資訊安全目標 管理階層以合法情況下所授與的權責 持續改進之需求 決定可接受風險值 分數 提供充分資源以開發 實施 操作及維持本系統 執行本系統之管理階層審查 管理階層責任 資源提供本校應決定並提供下列工作之必要資源 建立 實作 運作 監控 審查 維持及改進本系統 確保所有資訊安全程序文件支援營運要求 識別並因應法律與法規的要求 以及契約的安全義務 所有已經實作的控制措施或管理辦法 維護適當的資訊安全 必要時進行審查 並針對審查結果作適當反應 需要時 改進本系統之有效性 管理階層責任 訓練 認知及能力應確保在本系統中所有擔負某項責任的人 都受過相關教育訓練 並有能力執行系統所要求的工作 提供相關的能力訓練 必要時聘僱具備相關技術 能力的人員 來滿足本系統管理與技術的需求 應採取有效評估措施 查驗訓練結果是否有效 維持教育訓練 技術能力 相關經驗的資歷與紀錄 應確保所有相關人員 已經充分瞭解其本身所從事的作業與資訊安全活動的關連性及重要性 應確保所有相關人員 都能知道其本身對資訊安全目標達成的貢獻 稽核 應規劃執行本系統的內部稽核 以決定本系統管理目標 控制措施 各過程及程序是否符合下列要求 應規劃稽核計畫 考慮被稽核之過程及區域的狀況與重要性 以及先前稽核結果 稽核準則 範圍 頻率及方法應予以界定 稽核員之遴選與稽核過程之執行 應確保客觀性與公正性 稽核員不應稽核其本身之工作 規劃與執行稽核 稽核結果報告與紀錄保存之責任與要求 應在程序書中說明 受稽核區域負責管理的主管 應確保稽核過程的順暢 沒有不當之延誤 並說明不符合事項發生的原因 並對該不符合事項提出對應的改善建議 應對所有採取改進措施跟催查證 與效果確認 管理階層審查 管理階層至少每年 需對本系統進行 次審查 以確保本系統能持續其適用性 適切性及有效性 審查應包括改進時機之評估 以及本系統變更之需求 含資訊安全政策與目標 審查結果應予以文件化 紀錄應予保存 審查輸入審查輸出 資訊安全管理系統之改進 持續改進矯正措施預防措施 A 5安全政策A 6組織資訊安全A 7安全政策資產管理A 8人力資源安全A 9實體與環境安全A 10通訊與作業管理A 11存取控制A 12資訊系統取得 開發 及維護A 13資訊安全事故管理A 14營運持續管理A 15營運持續管理符合性 七 ISO27001 2005附錄A 管理目標與控制措施 十二 資安案例說明 一 網站涉洩露學師生個人資料 一 案由 中部某所知名大學網站因控管不當 透過Yahoo Google等搜尋引擎 便可直接取得該校就學貸款學生名冊 名冊內含學生身份證字號 貸款金額等個人資料 讓學生資料暴露於危險之中 一 網站涉洩露學師生個人資料 二 預防方式 網站應指派專人管理審核內容 以避免洩漏學生 教師個人資料 不適合公開的檔案不可存放在公開之網站上 網站上過期的資料應進行檔案刪除 不可只移除超連結 以免被搜尋引擎取得而被讀取 二 電腦失竊造成資料遺失 一 案由 南部某國小電腦遭竊 人事教職員資料因存放於電腦中而一並外洩 會計預算電子檔案亦於電腦中一同遺失 二 電腦失竊造成資料遺失 二 預防方式 行政業務資料應養成備份習慣 避免造成資料永久遺失 筆記型電腦 行動碟等儲存設備因攜帶方便 容易遺失 應設定密碼保護或資料加密 並儘可能避免存放機密公務資料 並妥善保管 辦公處所應加強門禁管制 設備遭竊應立即向所轄派出所報案 三 學生駭客竊取帳號修改網站 一 案由 北區某知名高中之學生於駭客教學網站習得駭客入侵技巧 練習入侵多所學校網站 並於某小學網站發布 學校寒假延長訊息 假消息 另刪除多所學校網站重要資料 三 學生駭客竊取帳號修改網站 二 預防方式 校園應加強宣導駭客行為必須擔負法律責任 建置網站開發程式應加強系統安全 如輸入欄位必須進行字元檢查 避免產生程式漏洞 遭駭客入侵 網站作業系統 資料庫 服務軟體 如webServer 應定期更新軟體 避免系統漏洞產生 四 電子郵件帳號遭駭客竊取 一 案由 國內4所大學之郵件伺服器與駭客中繼站建立連線 且特定電子郵件帳號遭登入下載郵件查看 疑似洩漏重要資訊內容 四 電子郵件帳號遭駭客竊取 二 預防方式 應注意電子郵件使用安全 勿開啟來路不明之信件 以免被植入後門程式竊取資料 郵件帳號及瀏覽器應取消記憶密碼功能 以避免帳號密碼記錄被駭客利用木馬程式竊取 個人電腦應安裝防毒軟體 且作業系統及防毒軟體應隨時更新 以避免漏洞產生 電子郵件及相關系統登入之密碼應定期更換 五 公事家辦洩密 一 案由 轉載自法務部 某中央政府機關內人員習慣將公文之電子檔案 以隨身碟拷貝至家中電腦辦公並儲存 因家中電腦已遭駭客植入後門程式 以致長期大量經手之機密文書外洩 又經各媒體大幅報導 損害政府機關形象 五 公事家辦洩密 二 預防方式 公務機密資料攜出應依程序辦理 依國家機密保護法規定 公務機密資料攜出辦公處所 應經機關首長核准 家中電腦之使用較缺乏定期更新軟體與防毒程式之習慣 應妥善設定自動更新機制 以防範病毒入侵 家中電腦連線上網時通常沒有防火牆保護 應加裝個人電腦防火牆 以降低遭入侵之機率 六 8警所私灌FOXY偵查筆錄外洩 一 案由 轉載自法務部 據電腦犯罪防制中心指出 8所警察機關之警員擅自安裝FOXY 檔案下載軟體 於警所電腦中 且不熟悉FOXY之設定方式 誤將電腦中所有資料開放予所有人下載 造成警所電腦筆錄資料外洩 警政署怒追究相關人員的疏失責任 六 8警所私灌FOXY偵查筆錄外洩 二 預防方式 點對點 P2P 檔案下載軟體因版本與種類繁多 軟體容易被改寫加入木馬或後門程式 故不要安裝P2P軟體 如Bittorrent BT eMule FOXY等 以免造成機密資料外洩 另P2P下載之檔案也容易含有病毒或是非法之盜版軟體 容易遭到廠商追蹤舉發而產生訴訟與巨額賠償 七 全台近千網站植入惡意程式 一 案由 據媒體報導 平均每10個網頁 就有1個植入惡意程式碼 拒絕壞程式基金會 http stopbadware org 發布 全台近千網站植入惡意程式 訊息 顯示目前網站內含惡意程式碼問題嚴重 七 全台近千網站植入惡意程式 二 預防方式 勿瀏覽非公務用途網站 個人電腦應安裝防毒軟體 作業系統及防毒軟體隨時更新 瀏覽器安全等級應設定為中級或更高等級 勿任意下載或安裝來路不明 有違反法令疑慮 如版權 智慧財產權等 的電腦軟體 八 網路銀行資料遭竊取 一 案由 轉載自刑事警察局 據科技犯罪防制中心指出 有犯罪集團利用假資料註冊與國內知名網路銀行 航空公司等極為類似之網址 再於各大搜尋引擎公司購買關鍵字廣告 誘使民眾連結至藏有木馬程式網頁 俟民眾電腦遭植入木馬後再導向正常網站 此時木馬程式已開始進行鍵盤側錄與竊取檔案 竊取民眾網路銀行帳號密碼 其後再進行轉帳盜取 此類損失達已數千萬元 八 網路銀行資料遭竊取 二 預防方式 使用搜尋引擎時需特別注意關鍵字廣告與正牌網站之區隔 個人電腦應安裝防毒與防火牆軟體 作業系統及防毒軟體應定期更新 避免將個人基本資料於網路上流傳 避免於辦公室瀏覽非公務網站