臺灣科技大學資訊安全教育訓練

臺灣科技大學臺灣科技大學臺灣科技大學臺灣科技大學

網網路四通八達 應如何防範路四通八達 應如何防範網網路四通八達，應如何防範路四通八達，應如何防範

Davies Wang 2.2,2012

NIIEPA版權所有，未經書面授權請勿翻印或轉載1

臺灣科技大學資訊安全教育訓練

課程大綱課程大綱課程大綱課程大綱

瞭解資訊安全威脅瞭解資訊安全威脅

網路購物的安全網路購物的安全

行動上網的安全

防護電腦的基本作為與良好習慣

NIIEPA版權所有，未經書面授權請勿翻印或轉載

與良好習慣

2

臺灣科技大學資訊安全教育訓練

瞭解資訊安全威脅瞭解資訊安全威脅瞭解資訊安全威脅瞭解資訊安全威脅

NIIEPA版權所有，未經書面授權請勿翻印或轉載3

臺灣科技大學資訊安全教育訓練

案例：案例：駭客入侵花旗信用卡駭客入侵花旗信用卡的網路帳戶的網路帳戶!!案例說明：

資安市場相當不平靜，知名企業相繼傳出資料外洩的新聞，先是RSA、Sony，緊接著又有花旗銀行。根據外電報導，北美地區約有20萬筆花旗信用卡客戶的資料外洩，消息見報後，花旗集團（Citigroup Inc）才發表聲明，承認在上月初的例行監控檢查中發現資料庫遭駭客入侵，推估受害者約20萬人。在花旗的聲明稿中指出，駭客入侵花旗信用卡的網路帳戶（Citi Account Online），該處存有持卡人基本資料，包括姓名、帳號、E-mail等，粗估約有1%（20萬筆）的客戶資料被駭，其他個資因存放資料庫不同 未被盜取 另外 花旗強調駭客攻擊僅限北美地區 其他地區的他個資因存放資料庫不同，未被盜取，另外，花旗強調駭客攻擊僅限北美地區，其他地區的持卡人資料安全無虞。

在這起事件中，最引人爭議之處為，花旗沒有在第一時間讓客戶知曉，之後的聲明稿也未詳細說明整起事件，相同的情況若發生在台灣、而且是新版個資法正式上路之後，台灣企業也能比照相同方式來處理嗎？能比照相同方式來處理嗎？

新版個資法第12條規定，遇到個資外洩事件，應於查明後以適當方式通知當事人，倘若未履行通知義務，依照第48條規定，可處新台幣2~20萬元罰鍰，換句話說，駭客入侵不一定會造成資料外洩，企業必須調查可能的損害，倘若確認資料外洩情事，就要立即通報個資當事人。

資安事故原因分析

資料外洩大多是由外部網站入侵

預防措施

1. 需要加強外部主機弱點掃瞄與內部資料外送控管機制。資料外洩大多是由外部網站入侵

與內部作業疏失所導致。 2. 建議規劃建置加強機敏資料外洩之防護

新聞來源：資安人

NIIEPA版權所有，未經書面授權請勿翻印或轉載

新聞來源：資安人

4

臺灣科技大學資訊安全教育訓練

案例：案例：SonySony個資外洩：台灣個資外洩：台灣25.525.5萬萬PSNPSN會員受累會員受累案例說明：案例說明：

Sony PlayStation Network（PSN）被駭導致全球7700萬會員資料外洩，台灣也有25.5萬PSN會員受累，Sony呼籲本週PSN服務恢復後，會員應儘速更改密碼 並慎防有心人士詐騙行為 近月中Son PSN被駭客應儘速更改密碼，並慎防有心人士詐騙行為。 近月中Sony PSN被駭客入侵，為調查事件Sony關閉PSN網路進行調查，估計全球7700萬PSN會員資料，包括姓名、地址、電子郵件等明碼資料被竊，信用卡資料被加密保護，但不排除也被竊取的可能，引起美國、英國、愛爾蘭等政府關切 台北市政府也行文要求S 說明關切，台北市政府也行文要求Sony說明。

資安事故原因分析

資料外洩大多是由外部網站入侵

預防措施

1. 需要加強外部主機弱點掃瞄與內部資料外送控管機制。資料外洩大多是由外部網站入侵

與內部作業疏失所導致。 2. 建議規劃建置加強機敏資料外洩之防護

新聞來源：資安人

NIIEPA版權所有，未經書面授權請勿翻印或轉載

新聞來源：資安人

5

臺灣科技大學資訊安全教育訓練

如何發生如何發生如何發生如何發生

利用網站應用伺服器之弱點利用網站應用伺服器之弱點◦ 攻擊者使用認證成功之 session，透過更改 URL 之方式插入 account number (疑似 SQL Injection)攻擊者利用該攻擊手法 重複幾萬次以獲取用戶◦ 攻擊者利用該攻擊手法，重複幾萬次以獲取用戶資料

影響影響◦ 已經發行之 360,083信用卡用戶◦ 對於這次洩漏事件，似乎並沒有直接之詐騙交易事件事件◦ 所有受害之用戶將有可能遭受社交工程之攻擊 (高持續性威脅)持續性威脅)◦ 現階段，還未能評估由於信譽損失、法律費用、重新發卡、客戶流失所造成之損失

NIIEPA版權所有，未經書面授權請勿翻印或轉載6

臺灣科技大學資訊安全教育訓練

攝影機遭遠端遙控攝影機遭遠端遙控 女子裸照女子裸照POPO上網上網攝影機遭遠端遙控攝影機遭遠端遙控 女子裸照女子裸照POPO上網上網

◦ 資安威脅類型人員疏失人員疏失

非法存取

違反法律、法規違反法律 法規

資安觀點

定期更新防毒軟體

拒絕下載不明軟體

視訊用畢後關閉或封貼鏡頭

NIIEPA版權所有，未經書面授權請勿翻印或轉載

資料來源：資安人網站

7

臺灣科技大學資訊安全教育訓練

20112011年十大安全威脅排名預測年十大安全威脅排名預測20112011年十大安全威脅排名預測年十大安全威脅排名預測1. 進階持續性威脅攻擊(APT, Advance Persistent

Threat)。2. 行動裝置的資料保護。

來自內部的威脅3. 來自內部的威脅。4. 透過瀏覽器的攻擊持續增加。5 社群網站引起的安全及隱私問題5. 社群網站引起的安全及隱私問題。6. 檔案安全日趨重要。7 資料安全走入雲端。7. 資料安全走入雲端。8. 駭客越來越猖獗。9 資安變成商業營運必備要素。9. 資安變成商業營運必備要素。10.資料安全與隱私條例在全球有逐漸被聚合的趨勢。

資料來源：資安人網站

NIIEPA版權所有，未經書面授權請勿翻印或轉載

資料來源：資安人網站

8

臺灣科技大學資訊安全教育訓練

網路購物的安全網路購物的安全

NIIEPA版權所有，未經書面授權請勿翻印或轉載9

臺灣科技大學資訊安全教育訓練

網路的風險網路的風險 ──以線上交易為例以線上交易為例網路的風險網路的風險 以線上交易為例以線上交易為例

網際網路

網路商店網站伺服器

網路下單

ISP公司

NIIEPA版權所有，未經書面授權請勿翻印或轉載10

臺灣科技大學資訊安全教育訓練

網站植入木馬網站植入木馬網站植入木馬網站植入木馬攻擊網站, 植入網頁後門，等不知情的民眾上網站時下

駭客

載後門

NIIEPA版權所有，未經書面授權請勿翻印或轉載11

臺灣科技大學資訊安全教育訓練

網路騙術何其多網路騙術何其多??真假網站真假網站網路騙術何其多網路騙術何其多??真假網站真假網站

NIIEPA版權所有，未經書面授權請勿翻印或轉載12

臺灣科技大學資訊安全教育訓練

資訊安全防護資訊安全防護

使用網路服務需知

進行線上交易時要確認有加密措施，如在網址開頭的地方是https，而非http。還有在畫面右下角會出畫面右下角會出現一個黃色鎖匙上鎖的圖示

NIIEPA版權所有，未經書面授權請勿翻印或轉載13

臺灣科技大學資訊安全教育訓練

行動上網的安全行動上網的安全行動上網的安全行動上網的安全

NIIEPA版權所有，未經書面授權請勿翻印或轉載14

臺灣科技大學資訊安全教育訓練

全球行動市場全球行動市場

1000

全球行動市場全球行動市場iPhone 3G / Apple

2B iPhone 應用程式開始下載

iPad / iPhone 4

800

900 Total Operator Revenue

/ Apple App Store

iPhone 2G

始下載

600

700

ns

Operator Data Revenue

第一支

Google 說服 FCC 開放700MHz 頻帶

Android 2 1

400

500

$Billion 第 支

Android 手機

Android 開放原始碼作業系統開始

Blackberry 電子郵件

2.1

Blackberry B ld和

Blackberry App World

200

300美國 3G 推出

日本 > 50% 3G

日本 3G 推出

電子郵件

Windows 推

HP 購併Palm

Bold 和Storm 系列

App World

美國 4G 推出

0

100

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

Symbian 變成開放原始碼

Symbian 推出Mobile 推出

NIIEPA版權所有，未經書面授權請勿翻印或轉載

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010營收資料來源：2010 年 Chetan Sharma Consulting 公佈

3

臺灣科技大學資訊安全教育訓練

好萊塢艷照風暴好萊塢艷照風暴好萊塢艷照風暴好萊塢艷照風暴根據外媒報導，美國聯邦調查局（FBI）逮捕涉嫌竊取明星電腦內艷照的駭客柴尼（Ch i t h艷照的駭客柴尼（Christopher Chaney）並非唯一犯案的人，疑尚有其他駭客握有多名名人裸照。外媒報導，早在多年前就曾有駭外媒報導，早在多年前就曾有駭客多次以郵件傳送多名名人裸照給該媒體，但該媒體並未刊登；美國聯邦政府表示，柴尼入侵蜜拉庫妮絲（Mila Kunis）的手機並（ ）竊取庫妮絲和賈斯汀（Justin Timberlake）的裸照，但這些裸照早已有其他駭客發送給該媒體，柴尼並非唯一1個入侵名人手機與電腦的駭客 35歲的柴尼被機與電腦的駭客。35歲的柴尼被指控入侵多位女明星電腦，竊取且公佈裸照而被逮捕，受害人包括星蜜拉庫妮絲、史嘉蕾喬韓森（Scarlett Johansson）、克莉絲（Scarlett Johansson） 克莉絲汀（Christina Aguilera）等50名影歌星。

NIIEPA版權所有，未經書面授權請勿翻印或轉載

資料來源：爽報

16

臺灣科技大學資訊安全教育訓練

安全威脅安全威脅: C.I.A.: C.I.A.竄改

安全威脅安全威脅: C.I.A.: C.I.A.

竊聽

騙子、駭客消費者

商家

中斷中斷

NIIEPA版權所有，未經書面授權請勿翻印或轉載

假冒17

臺灣科技大學資訊安全教育訓練

朋友？詐騙集團？朋友？詐騙集團？朋友？詐騙集團？朋友？詐騙集團？

NIIEPA版權所有，未經書面授權請勿翻印或轉載18

臺灣科技大學資訊安全教育訓練

範例：社交網站個資類別範例：社交網站個資類別範例：社交網站個資類別範例：社交網站個資類別

個人照片

性別

生日

家鄉

婚姻婚姻

E-mail個人網站

教育程度教育程度

畢業學校

工作資訊

NIIEPA版權所有，未經書面授權請勿翻印或轉載19

臺灣科技大學資訊安全教育訓練

行動策略與解決方案行動策略與解決方案

行動裝置企業 /資料中心

電信業者 /服務供應商

vvvv跨平台

電子郵件防惡意程式/防垃圾郵件

新一代網路電子郵件防惡意程式/防垃電子郵件防惡意程式/防垃

圾郵件

行動管理

行動安全性 網頁安全性

防止資料外洩

電子郵件加密

圾郵件圾郵件

二維身份驗證 (VIP)

託管型 PKI

二維身份驗證 (VIP)

行動加密

端點虛擬化

電子郵件加密 維身份驗證 ( )

金鑰管理

維身份驗證 ( )

裝置憑證 詐騙偵測

NIIEPA版權所有，未經書面授權請勿翻印或轉載

金鑰管

20

臺灣科技大學資訊安全教育訓練

防護電腦的防護電腦的基本作為與基本作為與良好習慣良好習慣防護電腦的防護電腦的基本作為與基本作為與良好習慣良好習慣

NIIEPA版權所有，未經書面授權請勿翻印或轉載21

臺灣科技大學資訊安全教育訓練

電腦送修機密資料外洩電腦送修機密資料外洩電腦送修機密資料外洩電腦送修機密資料外洩

資安觀點:1.電腦及儲存媒體送修前應確認是否含有機敏性檔案。2.在網路上張貼猥褻照片或販賣淫照光碟，依妨害風化、違反著作權法移送法辦，最高可處2年以下徒刑。

NIIEPA版權所有，未經書面授權請勿翻印或轉載蘋果日報

22

臺灣科技大學資訊安全教育訓練

「存 過必留痕跡「存 過必留痕跡 消失檔案可復原消失檔案可復原「存」過必留痕跡「存」過必留痕跡 消失檔案可復原消失檔案可復原

只要資料曾經儲存在電腦硬碟，就算刪除了，只要硬碟複寫不嚴只要資料曾經儲存在電腦硬碟，就算刪除了，只要硬碟複寫不嚴重，透過還原程式，有重，透過還原程式，有99%99%的機率能把遺失的資料找回來。的機率能把遺失的資料找回來。

因為資源回收桶在因為資源回收桶在WindowsWindows上面，只是屬於暫時性上面，只是屬於暫時性((刪除刪除))，雖然，雖然因為資源回收桶在因為資源回收桶在 上面 只是屬於暫時性上面 只是屬於暫時性((刪除刪除)) 雖然雖然它在系統上面不會看到，可是實際上它的資料還是儲存在硬碟它在系統上面不會看到，可是實際上它的資料還是儲存在硬碟空間上面。空間上面。

如果不想給有心人可趁之機，機密資料平時最好儲存在外接式的如果不想給有心人可趁之機，機密資料平時最好儲存在外接式的裝置中 不要直接存在電腦裡面才比較安全裝置中 不要直接存在電腦裡面才比較安全裝置中，不要直接存在電腦裡面才比較安全裝置中，不要直接存在電腦裡面才比較安全 。。

((資料來源：資料來源：ET Today ET Today ) )

NIIEPA版權所有，未經書面授權請勿翻印或轉載23

臺灣科技大學資訊安全教育訓練

電腦送修、買賣前電腦送修、買賣前記得刪除電腦內的資料記得刪除電腦內的資料記得刪除電腦內的資料記得刪除電腦內的資料!!!!

NIIEPA版權所有，未經書面授權請勿翻印或轉載24

臺灣科技大學資訊安全教育訓練

避免個資外洩避免個資外洩 少用少用P2PP2P軟體軟體避免個資外洩避免個資外洩 少用少用P2PP2P軟體軟體歌手的最新專輯、最新院線片，已可以在歌手的最新專輯、最新院線片，已可以在P2PP2P軟體搜尋到，並免軟體搜尋到，並免

費下載！就是因為快速又免費下載影音資料費下載！就是因為快速又免費下載影音資料 P2PP2P軟體每天吸軟體每天吸費下載！就是因為快速又免費下載影音資料，費下載！就是因為快速又免費下載影音資料， P2PP2P軟體每天吸軟體每天吸引數十萬網友使用。不過網路專家表示，引數十萬網友使用。不過網路專家表示， P2PP2P軟體容易造成電軟體容易造成電腦中毒或是個人資料外洩，應盡量避免使用。腦中毒或是個人資料外洩，應盡量避免使用。

網路消費者協會法律顧問表示 使用網路消費者協會法律顧問表示 使用P2PP2P軟體並不違法 但只要軟體並不違法 但只要網路消費者協會法律顧問表示，使用網路消費者協會法律顧問表示，使用P2PP2P軟體並不違法，但只要軟體並不違法，但只要分享或是下載未經授權的資料，例如音樂或是影片，會觸犯分享或是下載未經授權的資料，例如音樂或是影片，會觸犯《《著作權法著作權法》》，可處三年以下有期徒刑，得併科七十五萬元以，可處三年以下有期徒刑，得併科七十五萬元以下罰金下罰金下罰金。下罰金。

使用使用P2PP2P軟體注意事項軟體注意事項使用使用P2PP2P軟體注意事項軟體注意事項隨時更新電腦的防毒軟體，預防中毒。隨時更新電腦的防毒軟體，預防中毒。

勿將個人資料放入分享資料夾，以免外洩。勿將個人資料放入分享資料夾，以免外洩。勿將個人資料放入分享資料夾 以免外洩勿將個人資料放入分享資料夾 以免外洩

下載的檔案先掃毒後再開啟，避免中毒。下載的檔案先掃毒後再開啟，避免中毒。

不要下載或分享未經授權的檔案，以免觸法。不要下載或分享未經授權的檔案，以免觸法。

NIIEPA版權所有，未經書面授權請勿翻印或轉載25

臺灣科技大學資訊安全教育訓練

防止資料外流小撇步防止資料外流小撇步防止資料外流小撇步防止資料外流小撇步電腦電腦

重要資料避免直接存在電腦，最好燒成備重要資料避免直接存在電腦，最好燒成備份光碟，或是存在外接式的硬碟中。份光碟，或是存在外接式的硬碟中。

定期清空資料夾 設定磁碟完整格式化定期清空資料夾 設定磁碟完整格式化定期清空資料夾，設定磁碟完整格式化。定期清空資料夾，設定磁碟完整格式化。

電腦送修前，安裝新硬碟再送修。電腦送修前，安裝新硬碟再送修。

下載清除軟體，可以針對特定的資料內容下載清除軟體，可以針對特定的資料內容下載清除軟體 可以針對特定的資料內容下載清除軟體 可以針對特定的資料內容進行永久清除。進行永久清除。

手機手機手機手機

將圖檔或影音檔做好備份後刪除，再下載將圖檔或影音檔做好備份後刪除，再下載更新軟體，徹底清空記憶卡資料。更新軟體，徹底清空記憶卡資料。

((資料來源：中廣資料來源：中廣 、、 ET Today ET Today ))

NIIEPA版權所有，未經書面授權請勿翻印或轉載26

臺灣科技大學資訊安全教育訓練

USBUSB暗殺、影音刺客暗殺、影音刺客 木馬竊取電腦資料木馬竊取電腦資料USBUSB暗殺、影音刺客暗殺、影音刺客 木馬竊取電腦資料木馬竊取電腦資料

視訊木馬(Backdoor, Bifrose.C)、USB暗殺木馬(Trojan. Mournor)影音刺客(Trojan.Brisv.A)

駭客目的

……

視訊聊天 偷取私密資料

側錄鍵盤(帳號/密碼

觀賞熱門影音

碼)

使用者個資外洩

刪除 修改 竄改

USB隨身碟

刪除、修改、竄改系統檔案

偷渡不明檔案

NIIEPA版權所有，未經書面授權請勿翻印或轉載27

臺灣科技大學資訊安全教育訓練

使用者管理使用者管理

• 預設帳號(Administrator)於安裝時可能為空白使用者帳號必須遵守密碼設定原則• 使用者帳號必須遵守密碼設定原則

• 來賓帳號(guest)必須關閉、或必須設定密碼並變更權限 (預設為系統管理員)更權限 (預設為系統管理員)

• 不明帳號立即關閉並通知管理人員• 請不要冒然核取「記住我的密碼」功能

NIIEPA版權所有，未經書面授權請勿翻印或轉載

」

28

臺灣科技大學資訊安全教育訓練

電腦幫忙記密碼電腦幫忙記密碼 小心被駭偷光光小心被駭偷光光電腦幫忙記密碼電腦幫忙記密碼 小心被駭偷光光小心被駭偷光光◦ 資安案例

帳號密碼太多太難記 想靠電腦記憶省腦力 事實上電腦不一定比人腦可靠 專◦ 帳號密碼太多太難記，想靠電腦記憶省腦力，事實上電腦不一定比人腦可靠，專家指出，讓瀏覽器把密碼記下來，一旦電腦遭入侵，重要的帳號密碼就很容易被偷走，建議民眾除了時常更新密碼外，也不要把所有的帳號密碼存在同一個檔案裡。有沒有算過一整天使用電腦要輸入幾組帳號密碼？打開電腦，收發電子郵件、啟動即時通、進入部落格甚至是上網轉帳，一般人少說有四組以上的帳號密碼，更別談是電腦重度使用者，要靠腦袋瓜記住這麼多數字 光想就暈頭轉向 不少人為了方便使用 乾脆讓電腦幫忙記住密袋瓜記住這麼多數字，光想就暈頭轉向，不少人為了方便使用，乾脆讓電腦幫忙記住密碼，不過專家提醒，電腦被入侵，最大的損失通常是帳號密碼被竊取，而讓伺服器記憶密碼，其實藏有潛在風險。

◦

資安威脅類型：◦ 資安威脅類型：人員疏失

Cookies可以提供哪些資料?

NIIEPA版權所有，未經書面授權請勿翻印或轉載

資料來源：中廣新聞網

29

臺灣科技大學資訊安全教育訓練

正確的資安正確的資安觀念觀念正確的資安正確的資安觀念觀念

USB隨身碟是病毒傳播常用媒介。USB隨身碟是病毒傳播常用媒介拒絕開啟不明（異常）郵件。

拒絕下載安裝外部軟體。

不與家人共用電腦（尤其公務家辦者）。

隨身碟與筆記型電腦不外借。

公眾無線上網與旅館上網潛在危險多。

不要太相信入口網站的下載資料。

如果要下載程式 請從官方正式網站下載如果要下載程式，請從官方正式網站下載。

不要相信公眾網路（含無線網路）的安全機制。

視訊會議鏡頭不用時最好拔除或將鏡頭蓋上。視訊會議鏡頭不用時最好拔除或將鏡頭蓋上

資安觀念必須從辦公環境延伸至家裡（通常是資安大漏洞）。

NIIEPA版權所有，未經書面授權請勿翻印或轉載30

臺灣科技大學資訊安全教育訓練

結論結論結論結論

預防重於治療

隨時注意更新隨時注意更新

正確的觀念正確的觀念

NIIEPA版權所有，未經書面授權請勿翻印或轉載31

臺灣科技大學資訊安全教育訓練

Q&AQ&A 問題與討論問題與討論Q&A Q&A 問題與討論問題與討論

NIIEPA版權所有，未經書面授權請勿翻印或轉載32

臺灣科技大學資訊安全教育訓練

聯絡資訊

王吉祥 (D i ) 資深經理王吉祥 (Davies) 資深經理+886 970 350 128davies@nii org twdavies@nii.org.tw

NIIEPA版權所有，未經書面授權請勿翻印或轉載33