【正文】 制定資訊安全政策之管理手冊 本手冊是描述「資訊安全政策」、「資訊安全管理 系統(tǒng)」要求事項(xiàng)與「適用性聲明書」三各項(xiàng)目所組 成，為推動「資訊安全管理系統(tǒng)」之： ? 最高指導(dǎo)原則與方向。 9. ISO/IEC於 ISO/IEC 17799： 2022(E)之前言敘明於 2022年發(fā)行 ISMS的 27000標(biāo)準(zhǔn)系列， ISO/IEC 17799： 2022(E)將由 ISO/IEC 27002取代。 7. 2022年：增修後之 7799(Part Ι)於 2022年 12月 1日通過 ISO審議，成為 ISO/IEC 17799國際標(biāo)準(zhǔn)； 7799(Part Π)未通過審議 2022年 12月 5日，我國經(jīng)濟(jì)部標(biāo)準(zhǔn)檢驗(yàn)局分別基於ISO/IEC 17799 與 BS 77992，中國國家標(biāo)準(zhǔn) CNS 17799及CNS 17800。 5. 1996年： BS 7799(Part Ι)提交國際標(biāo)準(zhǔn)組織 (ISO)審議，沒有通過成為 ISO標(biāo)準(zhǔn)之要求。 3. 1993年：英國工業(yè)與貿(mào)易部頒布：「資訊安全管理實(shí)務(wù)準(zhǔn)則」。 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 83 中華科技大學(xué) 資訊社會威脅類型 資訊時(shí)代威脅圖 國家安全威脅 資訊戰(zhàn)士 減少國家決策空間及戰(zhàn)略優(yōu)勢，製造混亂，進(jìn)行目標(biāo)破壞 情報(bào)機(jī)構(gòu) 搜集政治、軍事、經(jīng)濟(jì)資訊 共同威脅 恐怖分子 破壞公共秩序，製造混亂，發(fā)動政變 工業(yè)間諜 掠奪競爭優(yōu)勢，恐嚇 犯罪團(tuán)體 施行報(bào)復(fù)，實(shí)現(xiàn)經(jīng)濟(jì)目的，破壞制度 局部威脅 社會型駭客 攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望 娛樂型駭客 以嚇人為樂，喜歡挑戰(zhàn) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 84 中華科技大學(xué) 十 、 資訊安全管理系統(tǒng)認(rèn)證簡史 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 85 中華科技大學(xué) 1. 1990年：世界經(jīng)濟(jì)合作開發(fā)組織（ OECD）轄下之資訊、電腦與通訊政策組織開始草擬資訊系統(tǒng)安全指導(dǎo)綱要」。 分發(fā)攻擊 分發(fā)攻擊指的是在工廠內(nèi)或在產(chǎn)品分發(fā)過程中惡意修改硬體、韌體或軟體。 內(nèi)部人員攻擊 內(nèi)部人員攻擊可以是惡意的非惡意的，惡意攻擊是指內(nèi)部人員有計(jì)畫地竊聽、或損壞資訊；以欺騙方式使用資訊，或阻絕其他授權(quán)用戶的存取。 實(shí)體臨近攻擊 實(shí)體臨近攻擊指未授權(quán)個(gè)人以更改、收集或阻絕存取資訊為目的而在地理上接近網(wǎng)路、系統(tǒng)或設(shè)備。其實(shí)現(xiàn)方式包括攻擊網(wǎng)路樞紐、利用傳輸中的資訊、電子滲透某個(gè)區(qū)域或攻擊某個(gè)正在設(shè)法連接到一個(gè)飛地 (Enclave)上的合法的過程用戶。例如，洩漏信用卡號和醫(yī)療文檔等個(gè)人資訊。被動攔截網(wǎng)路操作可以獲得對手將發(fā)動的行為的徵兆和警報(bào)。 6. 信任可信任者的省思。 4. 可信任者包括：最高管理者、技術(shù)專家、專業(yè)人員、系統(tǒng)或軟體開發(fā)者與維修人員（含委外廠商與專家）。 2. 內(nèi)部洩漏機(jī)密之主要原因不外乎「作業(yè)疏忽」。再下來在「停用自動播放」在的下拉選單，選擇「所有裝置」完成，插上隨身碟尌不會再自動執(zhí)行。 ? 避免 Windows 自動播放（ Autorun）： 放入隨身碟時(shí)請趕緊壓按 Shift 鍵可以暫時(shí)（非永久）關(guān)閉 autorun 的功能。 ? 在隨身碟上建立一個(gè) 的資料夾使用公用電腦前先重開機(jī)。 ? 當(dāng)您把隨身碟插入電腦的USB連接埠的時(shí)候，系統(tǒng)設(shè)定要自動執(zhí)行的程式。 ? 儲存媒體使用管理。 ? 事件通報(bào)機(jī)制建立。 ? 無線設(shè)備與行動裝置：連線方式、作業(yè)系統(tǒng)、資安防護(hù) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 73 中華科技大學(xué) 網(wǎng)路存取控制 接受度 2022年北美大型企業(yè) 網(wǎng)路存取控制 接受度將超過 5成 2022年 2022年 不知道是否建置 資料來源： Infoics Research ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 74 中華科技大學(xué) 網(wǎng)路存取控制與 ISO 27001 ? 網(wǎng)路存取控制與 ISO 27001相關(guān)的要求： 網(wǎng)路控制措施 網(wǎng)路服務(wù)的使用政策 網(wǎng)路服務(wù)安全 網(wǎng)路設(shè)備識別 存取控制政策 遠(yuǎn)端診斷阜與組態(tài)阜保護(hù) 特權(quán)管理 網(wǎng)路區(qū)隔 使用者存取權(quán)限審查 網(wǎng)路連線控制 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 75 中華科技大學(xué) 網(wǎng)路存取控制 三大主要元件 終端軟體 政策執(zhí)行據(jù)點(diǎn) 政策伺服器 身份驗(yàn)證資料庫 （ Policy Enforcement Point）（ Policy Server） 偵查兵 大門衛(wèi)兵 司令部長官 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 76 中華科技大學(xué) 我們的風(fēng)險(xiǎn)在哪？ ? 主機(jī)弱點(diǎn)修復(fù)情形。 ? 安全狀態(tài)：端點(diǎn)裝置安全層級。 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 71 中華科技大學(xué) 驗(yàn)證端點(diǎn)安全性 ? 身份識別與驗(yàn)證：端點(diǎn)身份與個(gè)人身份。 ? 允許或拒絕端點(diǎn)裝置的使用權(quán)限。 ? 受管理的端點(diǎn)裝置（ Endpoint Device），例如：主機(jī)、個(gè)人電腦、無線設(shè)備、行動裝置、對入式系統(tǒng)等。 ? 利用技術(shù)來加以管理 『 人 』 的風(fēng)險(xiǎn) 網(wǎng)路存取控制、端點(diǎn)控制軟體。 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 65 中華科技大學(xué) □ □□ ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 66 中華科技大學(xué) 端點(diǎn)安全 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 67 中華科技大學(xué) 人的風(fēng)險(xiǎn) ? 資訊安全防護(hù)中最弱的一環(huán)尌是 『 人 』 。 ? 2022年 4月警察機(jī)關(guān)的個(gè)人電腦安裝 FOXY造成筆錄與偵查報(bào)告外洩。 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 54 中華科技大學(xué) 七、網(wǎng)頁惡意掛馬 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 55 中華科技大學(xué) 什麼是網(wǎng)頁惡意掛馬 ? ? 駭客入侵 (知名的 )網(wǎng)站 ? 不更動原有的畫陎下，修改網(wǎng)站內(nèi)容，加入 惡意程式碼 ? 使瀏覽該網(wǎng)站的使用者 被植入惡意程式 ? 進(jìn)而 竊取個(gè)人資料 或 當(dāng)成跳板主機(jī) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 56 中華科技大學(xué) 階梯數(shù)位學(xué)院網(wǎng)站又被植入惡意連結(jié) ? 階梯數(shù)位學(xué)院網(wǎng)站又被植入惡意連結(jié)，此惡意程式為 Lineage 和 Agent 變種， 請各位暫時(shí)不要瀏覽這個(gè)網(wǎng)站，以免中毒 ? 惡意連結(jié)是放置在首頁 (其他頁陎可能要仔細(xì)檢查一下囉 ) 中的： ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 57 中華科技大學(xué) 網(wǎng)頁惡意掛馬攻擊模式 網(wǎng)站 server 掛馬 用戶 駭客 惡意程式網(wǎng)站 瀏覽網(wǎng)頁 導(dǎo)向惡意 程式網(wǎng)站 下載並安裝 惡意程式 遙控受害電腦 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 58 中華科技大學(xué) 網(wǎng)頁惡意掛馬的危害 ? 對網(wǎng)站擁有者而言 – 因管理不善導(dǎo)致他人被入侵而負(fù)上法律責(zé)任 – 商譽(yù)的損失 ? 對一般使用者而言 – 資料失竊 ? 隱私資料、信用卡資料、線上遊戲虛擬寶物等 – 被當(dāng)跳板主機(jī) ? 可能陎臨法律責(zé)任 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 59 中華科技大學(xué) 網(wǎng)頁惡意掛馬的原因 ? 網(wǎng)站伺服器的弱點(diǎn)或管理不當(dāng) – 不當(dāng)?shù)脑O(shè)定與管理 – 不安全的預(yù)設(shè)網(wǎng)站路徑與紀(jì)錄檔檔案配置 – 沒有更改預(yù)設(shè)的管理者密碼 – 不當(dāng)設(shè)定讓使用者能存取任何網(wǎng)頁目錄 – 過於寬鬆的網(wǎng)頁權(quán)限設(shè)定 – 沒有刪除不必要之網(wǎng)站或虛擬目錄 ? SQL Injection – 利用 SQL語法可以串連的特性，串連惡意的 SQL語法執(zhí)行新增、修改內(nèi)容或刪除資料表等攻擊動作，意圖危害網(wǎng)站的正常作業(yè) ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 60 中華科技大學(xué) 網(wǎng)頁惡意掛馬統(tǒng)計(jì)資料 ? 2022年 6月 5日 星期六 ? 網(wǎng)頁遭入侵 /值入惡意程式事件統(tǒng)計(jì) : 遭入侵?jǐn)?shù) (主機(jī) ): 829 (827) 遭值入數(shù) (主機(jī) ): 269 (179) ? 媒體報(bào)導(dǎo) – Google最新統(tǒng)計(jì)，目前全臺有 984個(gè)網(wǎng)站 被植入惡意程式碼，其中不乏知名的臺灣奧迪汽車、 ESPN體育臺和眾多商業(yè)網(wǎng)站 – 這些網(wǎng)站含有 「隱匿強(qiáng)迫下載」惡意程式 ，網(wǎng)友看文章欣賞照片時(shí)，不知不覺被安裝木馬、後門程式、間諜軟體或其他病毒軟體，電腦無故當(dāng)機(jī)只是小 Case ，嚴(yán)重時(shí)會竊取電腦中個(gè)人資料，曾在網(wǎng)路銀行輸入的帳號密碼，也可能被側(cè)錄。 ? 熟悉社交工程的可能手法。 ? 定期自我執(zhí)行病毒與後門程式掃瞄。 ? 善用密件收件人。 ? 確認(rèn)寄件人與主旨的關(guān)係。 ? 不隨意開啟郵件（注意陌生之寄件者）。 ? 密碼不洩漏給任何人。 ? 透過網(wǎng)路或電話溝通時(shí)，應(yīng)確認(rèn)對方身分。 ? 重要資料或密碼輸入時(shí)，應(yīng)注意是否有旁人窺視。 ） → 內(nèi)部員工 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 49 中華科技大學(xué) 網(wǎng)路釣魚 ? 網(wǎng)路釣魚 (Phishing）是常見的透過電子郵件手段的一種網(wǎng)路社交工程；籍由誘惑使用者點(diǎn)選網(wǎng)頁連結(jié)（利用預(yù)覽功能 ,甚至不必等使用者點(diǎn)選?。┗虼蜷_副加檔案以植入惡意程式（例如：木馬、後門等）。接著，選取檔案按滑鼠右鍵後，點(diǎn)選內(nèi)容 → 安全性，即可去對權(quán)限做修改。 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 36 中華科技大學(xué) 安全的密碼原則 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 37 中華科技大學(xué) 設(shè)定密碼的小技巧 ? 以注音輸入法按鍵來當(dāng)成密碼： 你好嗎 → Sucla8amp。 ? 觀察當(dāng)下環(huán)境裡是否有適合做為密碼的字，例如網(wǎng)址、網(wǎng)名、廣告詞等。 ? 由於許多使用者不願(yuàn)費(fèi)心記憶密碼，故以直覺或觀察法也甚為有效： ? 可以先詴 8////9,812349, “ abcd9, “password”之類的懶人密碼；或是輸入使用者名稱，許多人將這兩者設(shè)為相同。 破解密碼的手法不外以下幾種： ? 以電腦重複去詴各種可能的密碼。中國駭客今年也曾滲透德國政府的電腦系統(tǒng)。 ? 科技管理 永遠(yuǎn)領(lǐng)先 客氣客觀 客戶滿意 Page 28 中華科技大學(xué) 木馬程式 中共駭客入侵五角大廈 【 2022/09/10 聯(lián)合報(bào) 】 ? 美國國防部的情治報(bào)告指出，中共計(jì)畫在 2050年之前取得壓制全