【文章內(nèi)容簡介】 瞭解資安事件通報之程序。 ? 學(xué)校鼓勵或安排資訊組長 /老師 /系統(tǒng)管理人員、以及所有教職員參與資訊安全教育訓(xùn)練或宣導(dǎo)活動，以提昇資訊安全認(rèn)知。 60 相關(guān)法規(guī)的認(rèn)知 ? 智慧財產(chǎn)權(quán) ? 個人資訊的資料保護及隱私 ? 電子簽章法 61 後續(xù)推動工作 ? 辦理各級學(xué)校資訊安全稽核，針對館所、學(xué)院、?？啤⒏咧新?、國中小，依各個類別至少稽核20個單位。 ? 維護修訂 「國中小學(xué)資通安全管理系統(tǒng)實施原則」規(guī)範(fàn)文件 。 ? 國中小學(xué)資安認(rèn)知推廣活動 ? 線上學(xué)習(xí)輔助教材 ? 資安認(rèn)知及資安健檢種子教師巡迴教育訓(xùn)練 ? 建立規(guī)劃資安建檢測驗題庫資料庫 與相關(guān)推廣活動 62 導(dǎo)入之流程 單位內(nèi)部達(dá)成共識 定義導(dǎo)入的範(fàn)圍 判斷以往有無落實執(zhí)行 Yes No 風(fēng)險評估 補強 (文件化、落實執(zhí)行 … 等） 建置 (程序、執(zhí)掌責(zé)任、文件化 … 等） 專家、顧問 63 小測驗 ? 請針對貴校目前在資訊安全管理上，可能的安全威脅進行風(fēng)險評鑑與管理 ? 適用範(fàn)圍：學(xué)校電腦機房 /教室 ? 可能風(fēng)險：未定期進行系統(tǒng)更新或修補作業(yè) ? 違反項目：對抗惡意軟體、隱密通道及特洛依木馬程式 ? 改善措施：設(shè)定電腦排程，每月自動更新。 64 來自 個人資安責(zé)任 65 個人資安責(zé)任 ? 密碼管理 ? 設(shè)備管理 ? 桌面、螢?zāi)粶Q(jìng)空管理 ? 電子郵件管理 ? 即時通訊管理 ? 電腦作業(yè)威脅 ? 備份管理 ? 個人資安觀念 66 密碼管理 ? 定期更新密碼。 ? 不使用弱密碼 ? 避免使用重複數(shù)字、字母。 ? 避免使用個人相關(guān)資訊之密碼 (生日、身份證字號、電話號碼、姓名等 )。 ? 避免使用有意義之字詞。 ? 不寫下密碼。 ? 不提供密碼予他人。 ? 有洩漏的懷疑即更換密碼。 67 設(shè)備管理 ? 安裝防毒和防火牆軟體。 ? 定期做好資料備份 (公務(wù)上的需要 )。 ? 定期更新系統(tǒng)與軟體之修復(fù)檔 (Path)。 ? 不遺留機敏資料在印表機、掃瞄機、傳真機等設(shè)備。 ? 不提供給他人使用。 ? 不使用他人設(shè)備處理機敏資料。 ? 養(yǎng)成關(guān)機的習(xí)慣。 68 桌面、螢?zāi)粶Q(jìng)空管理 ? 機敏資料不隨意置放在桌面上。 ? 設(shè)定螢?zāi)槐Ｗo程式 (要設(shè)定密碼 )。 ? 離開座位或不使用螢?zāi)粫r，要鎖定螢?zāi)弧? 69 電子郵件管理 ? 不隨意開啟來路不明郵件的附加檔案。 ? 設(shè)定垃圾郵件過濾之規(guī)則。 ? 使用垃圾郵件過濾軟體。 ? 不回覆垃圾郵件。 ? 不轉(zhuǎn)寄帶來好運或厄運的信件。 ? 寄送機敏資料給多人時，可使用密件副本功能。 ? 不寄送機敏資料給非相關(guān)人士。 70 即時通訊管理 ? 不使用記錄密碼之功能。 ? 不隨意存取他人傳輸之檔案。 ? 不隨意點選他人傳送之網(wǎng)址。 ? 避免於工作時使用。 ? 不透露訊息或傳遞檔案給他人。 ? 定期更新程式。 71 電腦作業(yè)威脅 —電腦病毒 (1/2) ? 電腦中毒徵兆 ? 電腦系統(tǒng)運行速度異常緩慢。 ? 上網(wǎng)速度越來越遲緩。 ? 異常的系統(tǒng)訊息通知。 ? 螢?zāi)伙@示異常，例如畫面突然一片空白。 ? 來自防毒軟體的警告訊息。 ? 電腦無故自動關(guān)機或不斷重新開機。 ? 瀏覽器自動出現(xiàn)產(chǎn)品廣告或色情網(wǎng)頁。 ? 網(wǎng)路流量異常，例如沒有使用網(wǎng)路服務(wù)或收發(fā)電子郵件，但網(wǎng)路的連線燈號卻一直閃爍。 72 電腦作業(yè)威脅 —電腦病毒 (2/2) ? 電腦病毒的防範(fàn) ? 確認(rèn)防毒軟體隨時運作。 ? 勿隨意安裝未經(jīng)許可的電腦軟體。 ? 確保軟體在最新更新狀態(tài)。 ? 使用有問題立即反應(yīng)。 73 電腦作業(yè)威脅 —廣告 /間諜軟體 (1/2) ? 廣告或間諜軟體的癥狀 ? 沒有上網(wǎng)卻還是一直看見廣告視窗。 ? 網(wǎng)路速度時快時慢。 ? 首頁被更改成奇怪的網(wǎng)站。 ? 視窗下方的工具列出現(xiàn)許多原本沒有的工具 ? 瀏覽器多出沒有安裝過的工具列、搜尋工具，而且無法移除。 ? 電腦處理速度變慢或當(dāng)機頻率增加。 74 電腦作業(yè)威脅 —廣告 /間諜軟體 (2/2) ? 廣告或間諜軟體的防範(fàn) ? 使用防火牆阻擋。 ? 關(guān)閉網(wǎng)路瀏覽器的 ActiveX 功能。 ? 安裝封鎖彈跳視窗功能的工具。 ? 下載免費軟體前仔細(xì)閱讀所有相關(guān)資訊。 ? 學(xué)習(xí) 資料備份基本技巧。 75 電腦作業(yè)威脅 —駭客入侵 (1/3) ? 駭客入侵的徵兆 ? 檔案及資料庫內(nèi)容遭到竊取或篡改。 ? 不知名的 IP來源與電腦連線。 ? 系統(tǒng)中異常的服務(wù)程式。 ? 異常通訊埠開啟。 ? 稽核紀(jì)錄及檔案中的異常事件。 ? 系統(tǒng)帳號的異常增加。 ? 系統(tǒng)異常的訊息或行為 。 76 電腦作業(yè)威脅 —駭客入侵 (2/3) ? 駭客入侵的簡易處理 ? 定期系統(tǒng)備份。 ? 針對可能入侵途徑系 統(tǒng)作隔離。 ? 蒐集入侵紀(jì)錄、檔案等軌跡。 ? 追查駭客 IP來源。 ? 分析資料找出入侵方式並改善。 ? 報告相關(guān)單位。 ? 適時尋求協(xié)助。 77 電腦作業(yè)威脅 —駭客入侵 (3/3) ? 駭客入侵的防範(fàn) ? 即時更新修正檔。 ? 檢視權(quán)限設(shè)定。 ? 日常備份作業(yè)。 ? 紀(jì)錄及檢視稽核軌跡。 ? 設(shè)定自動時間校正作業(yè) 。 78 備份管理 ? 不論是紙本或電子檔的 重要資料 ，皆應(yīng)： ? 定期備份。 ? 存放在不同地方 (異地備份 )。 ? 資料備份原則 ? 資料價值較高時應(yīng)優(yōu)先備份。 ? 擇適合之儲存媒介進行資料備份工作。 ? 按所欲備份的資料型態(tài)，選擇方法進行備份 (如： 完 全備份、選擇性備份、漸進式 (增量 )備份 )。 ? 備份的資料需定期做資料回復(fù)測試，以確認(rèn)備份資料的可用性。 79 個人資安觀念 ? 遵守資訊安全政策與規(guī)定。 ? 不在公眾場合洩漏機敏訊息與資料。 ? 避免在網(wǎng)路上記錄個人資訊。 ? 謹(jǐn)慎處理機敏資料。 ? 定期接受資安訓(xùn)練。 ? 隨時留意各種資安訊息。 ? 小心駭客尌在你身邊。 80 來自 資訊安全相關(guān)法令 81 資訊安全相關(guān)法令 ? 國家機密保護法 ? 電子簽章法 ? 刑法 (防駭條款 ) ? 電腦處理個人資料保護法 ? 檔案法 ? 著作權(quán)法 ? 行政院及所屬各機關(guān)資訊安全管理要點 ? 機關(guān)公文電子交換作業(yè)辦法 ? 智慧財產(chǎn)權(quán) Intellectual Property Rights (IPR) 82 案例一 ? 案例描述 (資料來源 :教育部網(wǎng)站 ) ? 王小浩是上一波「網(wǎng)路泡沫化」的犧牲者，在網(wǎng)路幻夢破滅後，王小浩在一夕之間成了無業(yè)遊民。 ? 由於沉重的經(jīng)濟壓力，王小浩被迫鋌而走險，他在網(wǎng)路上架設(shè)一個與國內(nèi)知名的 A銀行網(wǎng)站首頁完全相同的網(wǎng)頁，並以該銀行名義，發(fā)出數(shù)十萬封偽造的電子郵件， 該郵件標(biāo)題為「銀行系統(tǒng)轉(zhuǎn)換，重新登錄」，要求該銀行的網(wǎng)路銀行用戶，點選該郵件上的網(wǎng)頁鏈結(jié)，進行網(wǎng)路銀行帳戶號碼與個人密碼的重新確認(rèn)。 ? 黎小芬是上述 A銀行網(wǎng)路銀行的用戶，她收到上述的電子郵件尌依照其上的指示進行，發(fā)現(xiàn)所鏈結(jié)的網(wǎng)頁確實是與 A銀行的網(wǎng)站首頁一模一樣，因此不疑有他，便在該網(wǎng)頁上登錄了自己的銀行帳戶號碼與個人密碼，王小浩利用騙得的帳號與密碼，將黎小芬的帳戶餘額 10萬元，轉(zhuǎn)帳至自己所設(shè)的一個銀行人頭帳戶中。隔天黎小芬發(fā)現(xiàn)後，她馬上打電話與該銀行聯(lián)繫，並且向警方報案處理。 ? 適用法條 ? 在網(wǎng)路上架設(shè)與 A銀行網(wǎng)站首頁完全相同的網(wǎng)頁，並以該銀行的名義，發(fā)出偽造的電子郵件，已觸犯刑法第 210條之「 偽造私文書罪 」。 ? 利用騙得的網(wǎng)路銀行帳戶號碼與個人密碼，入侵受害者在 A銀行的網(wǎng)路銀行帳戶，已觸犯刑法第 358條之「 無故入侵電腦罪 」。 ? 將受害者帳戶存款轉(zhuǎn)走之行為觸犯刑法第 3393條之「 電腦詐欺罪 」 83 案例二 ? 案例描述 (資料來源 :2023/02/10 工商時報 ) ? 國內(nèi)多家金融投資顧問公司， 遭駭客入侵破解通行碼 ，將客戶個資及投顧研究分析結(jié)果竊走，業(yè)者近一年來損失超過三億元。刑事局偵九隊昨偵破此一地下投顧犯罪集團，將主嫌陳慶興逮捕到案，刑事局呼籲金融、證券公司應(yīng)加強電腦資安，特別是 系統(tǒng)帳號、密碼不宜明文儲存於網(wǎng)路主機，以防駭客入侵 ，損害客戶及公司權(quán)益。 ? 適用法條 ? 觸犯刑法第 358條「 無故入侵電腦罪 」。 ? 觸犯刑法第 359條「 無故取得、刪除或變更他人電磁紀(jì)錄罪 」。 ? 違反證券投資信託及顧問法。 84 案例三 ? 案例描述 (資料來源 :2023/08/18 蘋果日報 ) ? 小米今年十九歲，是剛要升大二的女生，最喜歡的休閒活動尌是看韓劇，因為電視播的進度太慢，乾脆去夜市買整套ＤＶＤ回來看。 由於正版太貴，便選擇便宜的 盜版片 ，買回家後才一個禮拜便看完了，意猶未盡的我，前後買了六部韓劇，我靈機一動，想把看過的ＤＶＤ上網(wǎng)拍賣，尌可以再去買新的。 於是，我以買來的七折價網(wǎng)拍，並標(biāo)明可面交，三天後有買家出價競標(biāo)，三部韓劇全由同一買家買下，我們約在捷運站出口交易，交易當(dāng)天，我依約到達(dá)。十分鐘後，一名中年男子前來和我攀談，問我是不是韓劇ＤＶＤ賣家，我點頭示意後，他便表明警察身分，旁邊也出現(xiàn)另名穿制服警員，表示有人檢舉我在 網(wǎng)路販賣盜版光碟 ，依法須將我?guī)Щ刈龉P錄，這時我才知自己犯法，但已來不及了。 ? 適用法條 ? 賣家行為已違反「 著作權(quán)法 」可處 3年以下有期徒刑、拘役， 或併科 50萬元以下罰金 。 85 妨害電腦使用罪簡介 ? 隨著資訊科技快速發(fā)展，網(wǎng)際網(wǎng)路應(yīng)用日益普及與多元，除了帶給我們許多生活上的便利，但也衍生一些資通安全問題，特別是網(wǎng)路犯罪行為已有增多趨勢。 ? 網(wǎng)路犯罪行為大約可歸類下列三種 ? 以網(wǎng)路作為犯罪工具 –網(wǎng)路詐欺、網(wǎng)路恐嚇等 ? 以網(wǎng)路作為攻擊標(biāo)的 –竄改檔案、阻斷式服務(wù)攻擊、駭客入侵、電腦病毒等。 ? 以網(wǎng)路作為犯罪場所 –如色情、誹謗、賭博等 ? 為避免電腦犯罪與維護網(wǎng)路秩序，特於刑法中設(shè)立相關(guān)法令條文以為管理 刑法第 36章 「 妨害電腦使用罪 」章。 86 妨害電腦使用罪主要內(nèi)容 (1/2) ? 第 358條 無故入侵電腦罪 ? 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統(tǒng)之漏洞，而入侵他人之電腦或其相關(guān)設(shè)備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 ? 本條主要目的為 遏止駭客入侵行為 。 ? 第 359條 無故取得、刪除或變更他人電磁紀(jì)錄罪 ? 無故取得、刪除或變更他人電腦或其相關(guān)設(shè)備之電磁紀(jì)錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 ? 本條主要目的為 確保電腦內(nèi)部電磁紀(jì)錄安全 。 ? 第 360條 無故干擾電腦系統(tǒng)罪 ? 無故以電腦程式或其他電磁方式干擾他人電腦或其相關(guān)設(shè)備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 ? 本條主要目的為 維護電腦及網(wǎng)路運作正常 。 87 妨害電腦使用罪主要內(nèi)容 (2/2) ? 第 361條 對公務(wù)機關(guān)犯罪之加重 ? 對於公務(wù)機關(guān)之電腦或其相關(guān)設(shè)備犯前三條之罪者，加重其刑至二分之一。 ? 本條主要目的為 確保國家安全 。 ? 第 362條 製作供犯罪程式罪 ? 製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 ? 本條主要目的為 防止犯罪工具之利用與擴散 。 ? 第 363條 告訴乃論 ? 第三百五十八條至第三百六十條之罪，須告訴乃論。 ? 本條主要目的為 集中司法資源對抗重大犯罪 。 88 電腦處理個人資料保護法說明 (1/3) ? 立法目的 ? 對公務(wù)與非公務(wù)機關(guān)蒐集、處理、與利用個人資料的情形，加以明文規(guī)範(fàn)。 ? 避免個人 人格權(quán)（隱私權(quán)） 遭受侵害，促進個人資料之合理利用，特此制定電腦處理個人資料保護法。 ? 保護客體 ? 本法保護客體限於 經(jīng)電腦處理的個人資料 。 ? 受本法保護之個人資料以 現(xiàn)仍生存之自然人為限 ，已死亡之自然人與法人，不受本法之規(guī)範(fàn)。 ? 個人資料包含 :自然人之姓名、出生年月日、身分證統(tǒng)一編號、特徵、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財務(wù)情況、社交活動、及其他 足以識別該個人之資料 。 89 電腦處理個