【正文】 處置 (可能會被利用的威脅例：失竊的威脅 ) 。 未控制複製 (可能會被利用的威脅例：失竊的威脅 ) 。 人員的不足 (可能會被利用的威脅例：員工不足的威脅 ) 。 沒有適當(dāng)管理在外工作的員工 (可能會被利用的威脅例：失竊的威脅 ) 。 安全訓(xùn)練不足 (可能會被利用的威脅例：員工操作錯誤的威脅 ) 。 缺乏安全察覺 (可能會被利用的威脅例：使用者執(zhí)行錯誤的威脅 ) 。 不正確的使用軟體和硬體 (可能會被利用的威脅例：員工操作錯誤的威脅 ) 。 缺乏監(jiān)督機(jī)構(gòu) (可能會被利用的威脅例：在未經(jīng)合法授權(quán)的方式下使用資訊資源 的威脅 ) 。 缺乏正確使用資訊媒體和訊息的政策 (可能會被利用的威脅例：未經(jīng)合法授權(quán)的使 用網(wǎng)路設(shè)備的威脅 ) 。 招募程序不足 (可能會被利用的威脅例：刻意損害的威脅 ) 。 單點失效 (可能會被利用的威脅例：通訊服務(wù)失效的威脅 ) 。 維護(hù)回應(yīng)服務(wù)不足 (可能會被利用的威脅例：硬體失能的威脅 ) 。 資訊安全脆弱性 資料來源 : ISO/IEC TR 133353:1998(E) , Annex D. 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 18 法規(guī)案例說明 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 19 壹、電腦與網(wǎng)路犯罪 一、妨害電腦使用 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 20 想惡作劇，擅自把同學(xué)選的課給退選了 小心吃上官司！ ?事件描述 【 案號： 1100】 ?2020年 2月，一名義守大學(xué)的女學(xué)生，未經(jīng)同意情況下，輸入同學(xué)的帳號、密碼，替同學(xué)退選已經(jīng)選好的課，被害人隔天登入才發(fā)現(xiàn)，跟學(xué)校反應(yīng)，校方報警後才發(fā)現(xiàn)，竟然是同學(xué)惡作劇，雖然情況不嚴(yán)重，但檢方昨天偵查終結(jié)，將惡作劇學(xué)生以「妨害電腦使用罪」起訴，懲罰她。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 21 ?事件描述 【 案號： 1100】 ?開學(xué)前，都是大學(xué)生選課的尖峰時段，沒想到有人趁機(jī)惡作劇，還吃上官司！ 2020年 2月 5日，一名義守大學(xué)女學(xué)生，人在瑞芳家中上網(wǎng)，未經(jīng)同意，連續(xù)輸入 5位同學(xué)的帳號、密碼登入選課系統(tǒng)，看到同學(xué)選的一門「美食與病菌」課程，竟惡作劇按下「退選」鍵，隔天其中兩名同學(xué)登入，才發(fā)現(xiàn)選好的課「不翼而飛」！ ?學(xué)校報警後才發(fā)現(xiàn)，竟然是同學(xué)的「傑作」，讓被害的學(xué)生無法置信！其實，鑄下大錯女學(xué)生也很後悔，對於造成同學(xué)困擾，十分過意不去，也對她本人造成一定的影響，不過檢方還是以妨害電腦使用罪，將女學(xué)生起訴。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 22 ? 法律意見 ? 事實上好幾年前，銘傳大學(xué)也有學(xué)生因為和同學(xué)吵架，擅自上網(wǎng)竄改同學(xué)的選課表，還有男學(xué)生自以為是駭客，把不順眼的同學(xué)課程和成績修改，害他無故被當(dāng)，這兩起案件都被警方函送，所以，別以為一時好玩，換來快感，小心惹上官司。 ? 為因應(yīng)網(wǎng)路入侵型犯罪，我國於民國 92年通過刑法第三十六章「妨害電腦使用」罪章，將包括無故入侵、無故取得刪除變更電磁紀(jì)錄、無故干擾電腦系統(tǒng)、與製作專供犯罪電腦程式等四種犯罪型態(tài)納入刑罰規(guī)範(fàn)。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 23 ?本案事實中，未經(jīng)當(dāng)事人同意， 輸入同學(xué)帳號與密碼登錄網(wǎng)站之行為，已明顯觸犯刑法第 358條入侵電腦罪，得處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 ?而其刪除、變更同學(xué)的個人網(wǎng)頁資料之行為，可該當(dāng)同法第 359條無故取得、刪除或變更他人電腦或其相關(guān)設(shè)備之電磁紀(jì)錄罪，得處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 ?兩罪數(shù)罪並罰，尌周女入侵網(wǎng)站進(jìn)行破壞之行為，即可能被處以高達(dá) 八年的有期徒刑，併科高達(dá)三十萬元的罰金 。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 24 你的無名小站，被無名氏竄改資料了嗎？ ? 事件描述 【 案號： 1101】 ? 周女與羅女原係好友，因細(xì)故心生嫌隙，周女先後二次未經(jīng)羅女同意，使用其帳號、密碼登錄羅女在無名小站所申請的網(wǎng)站，刪除、變更網(wǎng)頁內(nèi)容，且刊登不堪入目的描述與援交訊息，供不特定人上網(wǎng)瀏覽。羅女發(fā)現(xiàn)後報警處理，然已嚴(yán)重?fù)p及其名譽。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 25 ? 法律意見 ? 隨著網(wǎng)路的高度發(fā)展，民眾對網(wǎng)路的依賴性愈來愈深，各種傳統(tǒng)或新興的犯罪態(tài)樣相繼發(fā)生於網(wǎng)路空間中。 ? 特別是網(wǎng)路具有散布迅速與可匿名性之特性，其無遠(yuǎn)弗屆的影響力，也讓各類犯罪的影響層面擴(kuò)大，讓現(xiàn)行法令以及執(zhí)法單位面臨巨大的挑戰(zhàn)。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 26 ?為因應(yīng)網(wǎng)路入侵型犯罪，我國於民國 92年通過刑法第三十六章「妨害電腦使用」罪章，將包括無故入侵、無故取得刪除變更電磁紀(jì)錄、無故干擾電腦系統(tǒng)、與製作專供犯罪電腦程式等四種犯罪型態(tài)納入刑罰規(guī)範(fàn)。 ?本案事實中，周女未經(jīng)羅女同意，輸入羅女帳號與密碼登錄網(wǎng)站之行為，已明顯觸犯刑法第 358條入侵電腦罪，得處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 ?而其刪除、變更羅女個人網(wǎng)頁資料之行為，可該當(dāng)同法第 359條無故取得、刪除或變更他人電腦或其相關(guān)設(shè)備之電磁紀(jì)錄罪，得處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 ?兩罪數(shù)罪並罰，尌周女入侵網(wǎng)站進(jìn)行破壞之行為，即可能被處以高達(dá)八年的有期徒刑。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 27 ?除此之外，周女為損害羅女名譽目的，刊登毀謗羅女之描述與援交訊息，可另成立刑法第 310條第 2項的加重誹謗罪，依法得處二年以下有期徒刑、拘役或一千元以下罰金。 ?在網(wǎng)路虛擬空間中，帳號與密碼成為識別個人身分的重要憑據(jù)。 ?雖然當(dāng)事人事後得以法律途徑尋求救濟(jì)，但類似妨害名譽行為，其透過網(wǎng)路所造成的損害實無法具體評估。 ?類似案例另常見於親密愛人共用帳號與密碼，其後因故分手而報復(fù)。 ?所有網(wǎng)路使用者宜明瞭於此，妥善保管自己的帳號與密碼，以免造成遺憾。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 28 用垃圾郵件「駭」對手只為搶生意 ? 事件描述 【 案號： 1102】 ? 2020年在高雄發(fā)生一件兩家距離五十公尺的網(wǎng)咖為搶客源，利用電腦長才而攻擊對方網(wǎng)路系統(tǒng)之案例。 ? 為另一家網(wǎng)咖系統(tǒng)架設(shè)時之工程師，其後自行創(chuàng)業(yè)，為了搶客人而扮演電腦駭客，利用寄發(fā)大量垃圾郵件手法，意圖癱瘓競爭對手的網(wǎng)路系統(tǒng)，讓其網(wǎng)路傳輸速度變慢，進(jìn)而影響其生意。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 29 ?法律意見 ?本案行為人藉由在一段時間內(nèi)消耗網(wǎng)站對外頻寬資源，使得頻寬流量擁塞而無法正常提供相關(guān)網(wǎng)路服務(wù)的一種攻擊方式，又稱為「阻絕服務(wù)」（ DenialofService，簡稱 DoS)攻擊。 ?阻絶服務(wù)攻擊並不以篡改或竊取主機(jī)資料為目的，而是癱瘓系統(tǒng)主機(jī)使之無法正常運作。 ?由於一般網(wǎng)路系統(tǒng)的系統(tǒng)資源 (例如記憶體、磁碟空間以及網(wǎng)路頻寬等 )有限，有心人士可以根據(jù)部分網(wǎng)路系統(tǒng)或相關(guān)通信協(xié)定設(shè)計或?qū)嵶魃系穆┒?，在短暫時間內(nèi)透過傳送大量且密集的封包至特定網(wǎng)站，使該網(wǎng)站無法立即處理這些封包而導(dǎo)致癱瘓，讓正常用戶無法連上該網(wǎng)站而被阻絕在外。 ?這種攻擊對網(wǎng)站設(shè)備本身而言並不具破壞性，只是造成系統(tǒng)無法即時處理所傳送的大量指令而停滯或當(dāng)機(jī)。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 30 ?為嚇阻此類阻絶式攻擊事件的發(fā)生，我國於增訂刑法第 36章妨礙電腦使用罪章時，特別加入第 360 條，無故干擾他人電腦與相關(guān)設(shè)備罪。 ?若無故以電腦程式或其他電磁方式干擾他人電腦或其相關(guān)設(shè)備，致生損害於公眾或他人者，依本罪之規(guī)定，得處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 ?本案中的網(wǎng)咖店老闆為了搶生意，故意透過傳送大量垃圾郵件方式，詴圖癱瘓競爭對手網(wǎng)路之行為，即可能觸犯本條規(guī)定。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 31 下載新版 MSN？當(dāng)心變成殭屍電腦 ? 事件描述 【 案號： 1103】 ? 2020年 1月出現(xiàn)了一種「蘭迪斯變種 F」病毒 ()，它偽裝成流行的網(wǎng)上聊天工具 MSN ，自動向 MSN上的好友名單發(fā)送 MSN ，誘騙其他人點擊隨附網(wǎng)址，該網(wǎng)址指向一個仿冒微軟公司的下載網(wǎng)站，用戶只要從這個網(wǎng)站下載運行「 MSN 」，電腦尌會中毒，成為遭駭客得以遠(yuǎn)端控制的殭屍電腦，除了可能被盜取個人隱私資訊外，也可進(jìn)一步被做為其他犯罪的工具或跳板。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 32 ?法律說明 ?所謂「電腦病毒」，在技術(shù)上來說，是一種會自我複製的電腦程式執(zhí)行檔。 ?有些電腦病毒於程式被執(zhí)行時，會破壞檔案資料、重新格式化電腦硬碟，有些電腦病毒會暗藏指令，自動運行電腦擁有者所不知道的功能，或竊取資料，或修改應(yīng)用程式，干擾整個電腦系統(tǒng)的運作等等。 ?尌算病毒未發(fā)作，它也可能佔據(jù)電腦系統(tǒng)中的記憶體空間，並尋找機(jī)會自行繁殖複製，使電腦運算變得遲緩。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 33 ?近年來透過資安教育的宣導(dǎo)與資安軟體廠商在技術(shù)方面的努力，關(guān)於電腦病毒感染造成大規(guī)模損害的新聞已經(jīng)少見。 ?目前實務(wù)上較具危害性的病毒，為具有後門功能的智慧型病毒。 ?這類程式的設(shè)計通常具有針對性，或針對特定對象 （ 如金融服務(wù)業(yè)或特定的政府機(jī)構(gòu) ） ，或針對特定系統(tǒng)程式漏洞、應(yīng)用環(huán)境不斷地變種，再搭配社交工程，利用人性的弱點散布，一般網(wǎng)路使用者甚難察覺與防範(fàn)。 ?而中毒後的電腦，則常被用來當(dāng)作跳板，作為掩飾駭客身分或隱藏攻擊來源的屏障。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 34 ?從法律層面而言，只要當(dāng)事人能證明因病毒散布而造成的損害、能確認(rèn)施放病毒或入侵者身分，均可以透過法律求償。 ?我國更為了遏止此類惡性程式的製作，特別於刑法第 362 條訂有「製作專攻犯罪電腦程式罪」。 ?惟病毒或木馬程式的散布，往往透過大量的跳板轉(zhuǎn)接，實務(wù)上欲發(fā)現(xiàn)病毒製作者或入侵者的真實身分可說相當(dāng)困難。 ?而在跳板雙方當(dāng)事人均可能為受害者的情況下，相關(guān)侵權(quán)行為的損害賠償責(zé)任更難釐清。 ?網(wǎng)路環(huán)境雖然危機(jī)四伏，但也不需因噎廢食。只要每位網(wǎng)路使用者都能具有資訊安全風(fēng)險意識，不隨意開啟、接收或下載來路不明的檔案，並善用資安工具，定期進(jìn)行資安防護(hù)工作，才可能避免成為別人犯罪的幫兇，保護(hù)自己也保護(hù)別人。 中華科技大學(xué) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 35 自動更新的病毒專攻臺灣區(qū) ?事件描述 【 案號： 1104】 ?「防毒軟體會自動更新最新的病毒碼，以防止病毒與惡意程式的攻擊」是眾所周知的常識，現(xiàn)在這樣的動作連病毒也學(xué)會了。 2020年 1月出現(xiàn)的新型態(tài)巴克雷病毒 ()，在成功入侵電腦後，會自動連回網(wǎng)路檢視病毒本身有沒有