【正文】 得逾越特定目的之必要範圍 ，以確保當事人權益，避免人格權受到侵害。 ? 醫(yī)院、學校、電信業(yè)、金融業(yè)、證券業(yè)、保險業(yè)、大眾傳播業(yè)。 89 電腦處理個人資料保護法說明 (2/3) ? 適用主體 ? 本法規(guī)範的對象有公務機關及非公務機關。 ? 避免個人 人格權（隱私權） 遭受侵害，促進個人資料之合理利用，特此制定電腦處理個人資料保護法。 ? 本條主要目的為 防止犯罪工具之利用與擴散 。 ? 本條主要目的為 維護電腦及網(wǎng)路運作正常 。 ? 本條主要目的為 遏止駭客入侵行為 。 85 妨害電腦使用罪簡介 ? 隨著資訊科技快速發(fā)展，網(wǎng)際網(wǎng)路應用日益普及與多元，除了帶給我們許多生活上的便利，但也衍生一些資通安全問題，特別是網(wǎng)路犯罪行為已有增多趨勢。 由於正版太貴，便選擇便宜的 盜版片 ，買回家後才一個禮拜便看完了，意猶未盡的我，前後買了六部韓劇，我靈機一動，想把看過的ＤＶＤ上網(wǎng)拍賣，尌可以再去買新的。 ? 適用法條 ? 觸犯刑法第 358條「 無故入侵電腦罪 」。 ? 適用法條 ? 在網(wǎng)路上架設與 A銀行網(wǎng)站首頁完全相同的網(wǎng)頁，並以該銀行的名義，發(fā)出偽造的電子郵件，已觸犯刑法第 210條之「 偽造私文書罪 」。 80 來自 資訊安全相關法令 81 資訊安全相關法令 ? 國家機密保護法 ? 電子簽章法 ? 刑法 (防駭條款 ) ? 電腦處理個人資料保護法 ? 檔案法 ? 著作權法 ? 行政院及所屬各機關資訊安全管理要點 ? 機關公文電子交換作業(yè)辦法 ? 智慧財產(chǎn)權 Intellectual Property Rights (IPR) 82 案例一 ? 案例描述 (資料來源 :教育部網(wǎng)站 ) ? 王小浩是上一波「網(wǎng)路泡沫化」的犧牲者，在網(wǎng)路幻夢破滅後，王小浩在一夕之間成了無業(yè)遊民。 ? 謹慎處理機敏資料。 ? 備份的資料需定期做資料回復測試，以確認備份資料的可用性。 ? 存放在不同地方 (異地備份 )。 ? 日常備份作業(yè)。 ? 報告相關單位。 ? 針對可能入侵途徑系 統(tǒng)作隔離。 ? 稽核紀錄及檔案中的異常事件。 75 電腦作業(yè)威脅 —駭客入侵 (1/3) ? 駭客入侵的徵兆 ? 檔案及資料庫內容遭到竊取或篡改。 ? 關閉網(wǎng)路瀏覽器的 ActiveX 功能。 ? 首頁被更改成奇怪的網(wǎng)站。 ? 確保軟體在最新更新狀態(tài)。 ? 瀏覽器自動出現(xiàn)產(chǎn)品廣告或色情網(wǎng)頁。 ? 異常的系統(tǒng)訊息通知。 ? 不透露訊息或傳遞檔案給他人。 70 即時通訊管理 ? 不使用記錄密碼之功能。 ? 不回覆垃圾郵件。 ? 離開座位或不使用螢幕時，要鎖定螢幕。 ? 不使用他人設備處理機敏資料。 ? 定期做好資料備份 (公務上的需要 )。 ? 不寫下密碼。 64 來自 個人資安責任 65 個人資安責任 ? 密碼管理 ? 設備管理 ? 桌面、螢幕淨空管理 ? 電子郵件管理 ? 即時通訊管理 ? 電腦作業(yè)威脅 ? 備份管理 ? 個人資安觀念 66 密碼管理 ? 定期更新密碼。 ? 學校鼓勵或安排資訊組長 /老師 /系統(tǒng)管理人員、以及所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。 ? 桌面淨空與螢幕淨空政策 ? 結束工作時，所有學校教職員工應將其所經(jīng)辦或使用具有機密或敏感特性的資料（例如公文、學籍資料等）及資料的儲存媒體（如 USB隨身碟、磁碟片、光碟等），妥善存放。 ? 廠商進入安全區(qū)域需簽訂安全保密切結書。 ? 電源供應 ? 學校重要的資訊設備（如主機機房）應有適當?shù)碾娏υO施，例如設置 UPS、電源保護措施，以免斷電或過負載而造成損失。 56 實體安全 (1/3) ? 設備安置及保護 ? 學校重要的資訊設備（如主機機房）應置於設有空調空間。 ? 通報安全事件與處理 ? 資訊安全事件包括：任何來自網(wǎng)路的駭客攻擊、病毒感染、垃圾郵件、資料或網(wǎng)頁遭竄改、以及通訊中斷等。 ? 由學校發(fā)佈通行碼（ Password）制定與使用規(guī)則給使用者，[參考優(yōu)質通行碼設定原則與使用原則，文件編號 A3]，內容應包含以下各項： ? 使用者應該對其個人所持有通行碼盡保密責任 ? 要求使用者的通行碼設定，避免使用易於猜測之數(shù)字或文字，例如生日、名字、鍵盤上聯(lián)繫的字母與數(shù)字（如 12345678 或 asdfghjk），以及過多的重複字元等。 ? 定期（建議每學期）檢查並取消多餘的使用者識別碼和帳號。 ? 使用者註冊 ? 學校應制定電腦系統(tǒng)使用的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業(yè)應包括以下內容： ? 使用唯一的使用者識別碼（ ID）。 52 系統(tǒng)安全 (3/6) ? 資料備份 ? 學校 (或委託 )系統(tǒng)管理人員需針對學校重要系統(tǒng)（例如系統(tǒng)檔案、應用系統(tǒng)、資料庫等）定期進行備份工作，或採用自動備份機制；建議週期為每週進行一次。 ? 網(wǎng)路安全管理服務委外廠商合約之安全要求 ? 委外開發(fā)或維護廠商必須簽訂安全保密切結書 50 系統(tǒng)安全 (1/6) ? 職責區(qū)隔 ? 學校主機電腦可依個別應用系統(tǒng)之需要，設置專屬電腦，例如網(wǎng)路服務主機（電子郵件、網(wǎng)站主機）、教學系統(tǒng)主機（例如隨選視訊主機）。 □ 是 □ 否 44 資通安全教育訓練實施架構 ? 國中小領域之教職員資通安全教育訓練實施架構分為三個層次： ? 由培訓機構培訓全國各縣市網(wǎng)路中心具備至少一名種子教師 ? 由各縣市網(wǎng)路中心種子教師負責各縣市中小學校的資訊組長 /老師 /系統(tǒng)管理師之教育訓練 ? 由各校資訊老師 /系統(tǒng)管理師負責一般教職員的資安宣導 45 資安推廣網(wǎng)站架構與雛形 資安推動網(wǎng)站首頁 學生專屬網(wǎng)站 ? 揭示教育部推動教育領域資訊安全政策與措施（如本計畫產(chǎn)出的各項規(guī)範、文件） ? 提供適合老師、家長以及學生多元、具實用性的資通安全概念與應用訊息 46 一般教師之資通安全指南 47 來自 國中小資通安全管理系統(tǒng) 48 適用範圍 ? 國中、小學內電腦、資訊與網(wǎng)路服務相關的系統(tǒng)、設備、程序、及人員。 ? 適用範圍 ? 縣市教育網(wǎng)路中心提供國中、小學網(wǎng)際網(wǎng)路與網(wǎng)路安全服務功能之相關系統(tǒng)、設備、程序、及人員。 33 規(guī)劃原則 ? 與現(xiàn)有各個縣市網(wǎng)路中心的功能配合，並提供維護國中小學資通安全管理之統(tǒng)一規(guī)範建議 ? 針對各個縣市網(wǎng)路中心支援網(wǎng)路安全服務應有的人力、設備、經(jīng)費進行規(guī)劃與建議。 ? 第二群 (高中職 )：本群適用單位以公私立高中職學校資訊管理單位 (或因規(guī)模、資源因素轉至本群者 )為主要對象。 27 TANet連線學校資通安全管理規(guī)範 (2/4) ? 適用範圍 ? 本標準適用於教育部電算中心、部屬館所、縣市網(wǎng)中心、大專院校以及高中職資訊管理單位等資訊業(yè)務相關單位 (或其他管理單位認為應加入 ISMS規(guī)範範圍之部門 )。 ? 無線網(wǎng)路與網(wǎng)路基礎建設成為下一波攻擊標的。 ? 駭客攻擊轉向有目的的行為 ? 竊取機敏資料 ? 要資料也要錢 18 未來資安趨勢 ? 駭客攻擊的手法趨於多樣化及混和型的攻擊。 ? 攻擊使用者端，以竊取資訊或控制 zombie電腦 ? Web based Malicious激增 ? Web page + Malicious software (Malware) ? 隱私資訊 /個人資料外洩 ? 部落格、會員資料、暱稱、消費資訊 …etc., ? 逐漸從技術問題演變成為社會問題 ? 網(wǎng)路詐騙、釣魚 ? 網(wǎng)路上的個人資訊 個人生活模式 16 Web application 頭號嚴重資安弱點 17 分析這些現(xiàn)象 … ? 人人都知道資安很重要，但卻不知如何做。（ ） ? “自由電子報被駭！ 首頁換成五星旗” (東森新聞 ) ? 隱私 /資訊 洩漏 ? “利用銀行假網(wǎng)頁釣魚 竊取兩萬多筆個資” (卡優(yōu)新聞網(wǎng) ) ? “ 無名小站遇「駭」 個資流入中國”（自由時報 ） 12 Web 威脅 /危機 (3/6) ? 惡意網(wǎng)頁 ? Google： 的網(wǎng)站很危險 ? 〈瀏覽器潛在的魅影：網(wǎng)路惡意軟體之分析〉 (The Ghost in the Browser: Analysis of Webbased Malware) ? 歐洲逾萬網(wǎng)站遭駭 (2023/06 ) ? 駭客隨機挑選安全防護較不完整的網(wǎng)站為跳板，植入惡意連結程式，竊取個人機密資料及植入木馬程式做為跳板，藉以造成更大規(guī)模的感染。 ? 保護資訊的安全必須瞭解： ? What? ? Why? ? How? ? When? ? Where? 6 資訊安全的威脅 資料安全威脅 外部威脅 ? 天然災害 ? 硬體損毀 ? 駭客病毒 ? 明文傳遞 ? 連線欺騙 內部威脅 ? 系統(tǒng)弱點 ? 內部員工 ? 管理不當 ? 內部網(wǎng)路 ? 協(xié)力廠商 7 最近觀察到的狀況 (1/3) ? 舊的威脅與弱點仍然存在，且改善不多 …. ? 2023年 2023年，仍有大部分政府及商業(yè)網(wǎng)站仍存在 SQL Injection弱點。來自 智慧財產(chǎn)及資訊安全管理系統(tǒng)規(guī)範 1 Outline ? 資安現(xiàn)況與威脅 ? 教育體系資通安全規(guī)範推動 ? 國中小資通安全管理系統(tǒng) ? 個人的資安責任 ? 中小學資訊安全管理系統(tǒng) (ISMS)之推動 ? 結論 2 來自 資安現(xiàn)況與威脅 3 安全重要？ ? 汽車的安全性是否重要？ ? 國人購買汽車的考慮因素： 1. 價格 2. 性能 3. 省油 4. 外觀 5. 安全 4 安全不要？ ? 依 WHO統(tǒng)計，每十萬人車禍死亡率上，臺灣 2023年即高達 ，相對高出美國 7人。 ? 資源的投入 ≠完善的安全。 10 Web 威脅 /危機 (1/6) 11 歷年 Web應用程式資安事件統(tǒng)計 資料來源：資策會， Web應用程式安全參考指引草案 Web 威脅 /危機 (2/6) ? 竄改網(wǎng)頁 (攻陷網(wǎng)站系統(tǒng) ) ? 微軟英國網(wǎng)站被駭客攻擊並且淪陷，將微軟主頁更改為一位孩子揮舞著沙烏地阿拉伯的國旗。 13 1 10 Web 威脅 /危機 (4/6) TW 網(wǎng)站淪陷資料庫 國內網(wǎng)站淪陷列表 14 Web 威脅 /危機 (5/6) 網(wǎng)站架構 傳統(tǒng)的保護方法 15 Web 威脅 /危機 (6/6) ? 趨勢： ? 從 Server Side的攻擊到 Client Side的攻擊。 ? 犯罪者利用來進行犯罪行為。 ? 攻擊後，資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。 26 TANet連線學校資通安全管理規(guī)範 (1/4) ? 參考規(guī)範 以 ISO 27001:2023(E)、 ISO 17799:2023規(guī)範為主要參考依據(jù)，並考量各連線單位之規(guī)模及需求，進行內容之調整；並以行政院及所屬各機關資訊安全管理規(guī)範為主要的稽核點內容依據(jù)，配合各規(guī)範之條款，進行各項目之調整。 28 TANet連線學校資通安全管理規(guī)範 (3/4) ? 第一群 (大專以上 )：本群適用單位以教育部電算中心、部屬館所、縣市網(wǎng)中心、公私立大專院校計中等為主。 ? 與國際推動資訊安全機制、標準組織進行經(jīng)驗交流，儲備未來技術輸出之能量。 37 縣市網(wǎng)路中心資安建置驗證程序 （草案） 縣市教育網(wǎng)路中心 資通安全推動小組 主管機關：教育部 委託、授權 安排年度驗證時程表 書面通知受驗證單位 準備各項配合作業(yè) 召開啟動會議，進行驗證作業(yè)說明 結果報告由雙方代表認可簽字並保存 召開結束會議，說明驗證結果 進行驗證作業(yè) 推動小組尌驗證結果報告進行審核 資安標章 是 否 38 國、中小學校 縣市教育網(wǎng)路中心 主管機關：教育部 委託、授權 安排年度之訪視時程表 書面通知受訪視學校 繳交系統(tǒng)安全自我檢測表 訪視結果報告由雙方代表認可簽字並保存 召開結束會議，說明訪視結果與建議事項 以自我檢測表填寫項目為依據(jù)，到校進行訪視作業(yè) 推動小組尌訪視結果報告進行審核（教育部授權） 資安標章 是 否 進行資安自我檢測 訪視員檢視自我檢測表