网路安全简介上

網路安全簡介(上)校園網路策進會例行課程主講人：系統部莊明躍※本文件僅為教學宣導使用,文件中提及之商標或軟體,則為該公司所有,若需其相關資訊,請逕洽詢該公司.※CopyLeft(L)2002AllRightReleased！9/9/20221大綱便利vs安全個人電腦的安全網路安全基本概念相關法律結論下集預告9/9/20222便利vs安全最方便的電腦不用動腦的電腦備齊各種工具隨點隨執行最安全的電腦動腦也覺得難用的電腦工具DIY不曉得從那邊點起方便與安全是永遠相對且講不完的9/9/20223個人電腦的安全惡意程式搗蛋、破壞、竊取、偷窺…惡意程式的種類惡意程式的來源惡意程式的產生惡意程式的影響惡意程式的路俓惡意程式的防止9/9/20224惡意程式的種類Ⅰ搗蛋、破壞型電腦病毒(Virus,具感染/繁殖)程式無法使用，檔案遭刪除，硬碟遭格式化網路蠕蟲(Worm,具感染/繁殖傳染)消耗甚至癱瘓主機及網路設備的運作思坎(Sircam):E-mail病毒紅色警戒(CodeRed)→娜妲(Nimda):利用MicrosoftIIS1988,9/2,InternetWorm:利用fingerd網路細菌Bacteria、兔子Rabbit大量繁殖→阻斷服務(DoS/DDoS)攻擊攻擊程式郵件炸彈(MailBomb)，耗盡使用者信箱空間，癱瘓伺服器9/9/20225惡意程式的種類Ⅱ竊取、偷窺型後門程式：Back/TrapDoor–跳過授權程序木馬程式：TrojanHorse–偽裝精良的陷井程式監聽掃瞄：TrafficDump,Scanner直搗黃龍型利用程式的錯誤(Bug)，直接獲取進階權限攻擊跳板網路編織法攻擊NetworkWeaving連接延申攻擊ConnectionLaundering野心大膽子小祕密通道程式：用隱密的程式，讓自己也可以藏龍！怎麼會這樣型作者自己也控制不了，一下子就爆發成大災難的9/9/20226惡意程式的來源系統管理者(S.A)的需求駭客(Hacker)的實驗証明鬼客(Cracker)的善用工具資訊恐怖份子Info-Terrorist網際間碟Cyber-Spy軟體公司程式工程師最普通的最莫名其妙的天才叫做一般人！9/9/20227惡意程式的產生與影響Ⅰ限制功能、特殊功能：保護智財權發掘、驗証漏洞：考慮不週詳、意外、非故意產生的程式錯誤(Bug)惡作劇、為破壞而作：故意寫的破壞程式刪除資料、檔案、硬碟格式消耗電腦資源：CPU運算、記憶體空間、硬碟空間癱瘓網路服務：阻斷服務DenialofService(DoS)為了竊取、偷窺：個人隱私、商業機密9/9/20228惡意程式的產生與影響Ⅱ入侵、未授權使用：侵權、擴權偽造資料，竊取資料：財務記錄、社會記錄、成績偷取電腦資源：CPU運算、硬碟空間等為名、利而作：入侵WWW伺服器，刪改網頁資料盜用電腦主機帳號從事犯罪行為盜刷信用卡銀行存款紀錄遭入侵盜領，商譽受損，客戶出走。9/9/20229惡意程式的路俓怎麼進來的？怎麼發生的？主動抓取或藉由漏洞入侵？磁片、硬碟、光碟等從親友同學處來的、大補帖、甚至原版產品網路FTP：植入應用程式中的電腦病毒或特洛伊木馬(TrojanHorse)E-mail:小遊戲,夾檔中的巨集病毒WWW網頁:網頁中的病毒(VBScript,JavaScript,JavaApplet,...)其他莫名其妙的因素獲得進階權限來路不明的應用程式直搗黃龍程式9/9/202210惡意程式的防止Ⅰ調整系統以及知名軟體到較安全的模式MicrosoftInternetExplorer(IE)MicrosoftOutlookExpressMicrosoftWork,Excel,PowerPoint阻斷惡意程式的進入管道不執行來路不明的軟體套用較安全的模式來使用應用軟體安裝應用軟體修補程式(patch)注意電腦病毒的防治新聞裝設個人電腦防火牆或網路防火牆執行前先掃毒9/9/202211惡意程式的防止Ⅱ不要怕找人咨詢台灣電腦網路危機處理中心–國科會科資中心–專業公司(如松鈺國際–等)注意安全公告(有最好的嗎？)微軟安全佈告欄MicrosoftSecurityBulletin-趨勢科技病毒情報中心-http://網路安全相關公告如SecurityFocus的Bugtraq等9/9/202212網路安全基本概念絕對的安全vs絕對的方便即使做好惡意程式的防止，仍需擔心不要輕易洩漏出自己的祕密資料(如密碼)隨時提高自己祕密資料的複雜性(換密碼)時時更新系統與軟體使用保密軟體避免遭竊聽關閉不需要用的功能9/9/202213相關法律Ⅰ 因應電腦及高科技犯罪，我國刑法曾於八十六年十月八日修正公布第二百二十條、第三百十五條、第三百二十三條、第三百五十二條等條文；並增訂第三百十八條之一、第三百十八條之二、第三百三十九條之一至第三百三十九條之三等條文。惟因電腦科技快速發展，特別是近年來網際網路高度普及後，新興電腦犯罪案例層出不窮，世界先進國家如美國與歐盟，亦均重新檢討修訂電腦犯罪相關法規，故刑法實有針對新興電腦犯罪類型重新檢討修正之必要。爰參考美國與歐盟之立法例，修正現行刑法中有關電磁紀錄、詐欺及毀損文書之規定，並增訂妨害電腦使用罪章。9/9/202214相關法律Ⅱ修正刪除電磁紀錄擬制為動產之規定。（修正條文第三百二十三條）修正提高不正利用自動付款設備罪之刑度。（修正條文第三百三十九條之二）修正刪除干擾電磁紀錄規定。（修正條文第三百五十二條）增訂妨害電腦使用罪章。增訂無故入侵電腦罪。（修正條文第三百五十八條）增訂保護電磁紀錄之規定。（修正條文第三百五十九條）9/9/202215相關法律Ⅲ增訂干擾電腦系統及相關設備罪。（修正條文第三百六十條）增訂對於公務機關之電腦或其相關設備犯罪之加重處罰。（修正條文第三百六十一條）增訂製作專供電腦犯罪用之程式罪。（修正條文第三百六十二條）增訂第三十六章部分條文告訴乃論之規定。（修正條文第三百六十三條）9/9/202216結論便利與安全是trade-off個人電腦的基本安全在於惡意程式的防止惡意程式有時候是不是故意的，但卻無法控制降低自己被入侵的機會～網路安全基本概念不被侵入亦不入侵可免於法律刑