專 輯 - directorate-general of personnel …...專 輯 3 4 2008.7.16 第47卷第1期 275...
TRANSCRIPT
專 輯
34 ◆ 2008.7.16 第47卷第1期 275
公務人員資訊安全意識之提升
壹
前言
隨著網際網路時代的快速發展及演進,
各種新的網際網路應用工具及互動模式不斷
地開發及產生,不僅帶給現代人生活的便利
性與資訊取得的方便及多元性,也加深了人
們對網路的依賴。然而在這一切講求迅速、
方便、多元的時代,網路亦往往成為有心人
士獲取不法利益或惡意破壞的一重要管道。
對於政府部門而言,其掌握國家安全
之國家機密、民眾權益之個人及財產隱私,
如何防止國家及民眾資料外洩、網路犯罪以
及不良言論散播,已經成為攸關國家安全之
重要議題。有鑑於此,為統籌並加速我國資
訊通訊安全基礎建設,以強化資通訊安全能
力,國家安全會議於八十九年五月奉 總
統指示研提「建立我國通資訊基礎建設安
全機制」建議書,於九十年一月第二七一八
次院會核定通過第一期資通安全機制計畫
(九十年至九十三年),並成立「國家資通安
全會報」積極推動我國資通安全基礎建設工
作,九十三年三月行政院則頒佈實施第二期
資通安全機制計畫(九十四年至九十七年)1。
上述相關計畫之執行包括針對三七一三
個重要政府機關機構建立一完整的資通安全
整體防護體系,同時針對二十個影響國家安
全、社會安定的國家重要基礎建設資訊系統
實施嚴格管制,各項資通安全軟、硬體的建
置、教育訓練的實施、資通安全管理制度的
推廣、建立國家資通安全事件通報及危機應
變體系、健全國家資通安全防護能力、強化
國家資通安全認知與訓練推廣作業、及確保
國家安全及促進國際資通安全之合作。
在「國家資通安全會報」積極推動國
家資訊通信安全政策下,各機關在這幾年來
依其資訊安全責任等級執行相對應之工作事
項,如表一2所示,包括防毒、防火牆、入侵
偵測系統、安全營運中心(SO C)等建置、
導入並通過I S O27001認證、機關內部定期
稽核、資安教育訓練及資安專業證照之取得
等。即便如此,政府部門資安事件之發生仍
層出不窮,其乃因工具技術只能解決30%的
問題,另外70%要靠人員安全意識的提升以
及良好的資訊安全管理制度3,其二者相輔相
成,並逐步落實及加以精進。本文之目的即
在透過實例的介紹,讓讀者進一步暸解資訊
安全的重要性,進而將資訊安全概念融入個
人生活與工作之中。
曾宜君 行政院人事行政局資訊室 科長
2008.7.16 第47卷第1期 275 ◆ 35
專
輯
貳
公部門資料外洩發生之案例
近一年多來政府與學校有關資料外洩之
資安事件約可分為二類,一是機關或資訊部
門的疏漏,另一類則是使用者個人缺乏資訊
安全意識所導致,以下列舉幾個相關案例4。
就機關或資訊部門的疏漏來看,如96年
11月23日東森新聞報刊載台北市選委會把上
屆參選人的個人資料包括戶籍地址、身分證
號等個人機密隱私資料放於其網頁上,造成
民眾透過搜尋引擎網站就可輕易找到相關資
料;96年11月17日中國時報刊載衛生署疾
病管制局因電腦網路管控不當,導致1279名
被限制搭機的結核病患者個人資料在網路曝
光,民眾在知名網站「Google」(中文版)
就可搜尋到病人資料,包括姓名、居住地、
身分證號、罹病狀況均一目了然;96年5月
31日蘋果日報刊載台北縣立三芝國中將全校
學生共1008人的姓名、身分證號公佈在網站
上,校方亦坦承誤把學生資料上傳至網站,
導致使用Google搜尋引擎輸入關鍵字,可查
到三芝國中全體學生的姓名及身分證號。
而就使用者個人行為因素的案例,如
96年11月2日民視新聞刊載資源分享網站
FOX Y,竟然被人公佈200多名教官的個人跟
財務資料,教育部軍訓處趕緊回應,已經要
求美國F O X Y總公司將資料刪除,同時追查
表一 各類資安系統等級應執行之工作事項
作業
內容 名稱
等級
防禦機
制強度防禦縱深
ISMS
推動作業推動方式
資安教育訓練
(主官、主管、
技術、一般)
專業證照
A級 強度等級4
N S O C直接防
護/自建
SOC IDS、防
火牆、防毒
96年通過第
三者認證
每年至少
執行2次
內稽
每年至少(4,
6,18,4小時)
96年資安專
業鑑定2張
B級 強度等級3
S O C ( O p -
ti o n a l)、
I D S、防火
牆、防毒
97年通過第
三者認證
每年至少
執行1次
內稽
每年至少(4,
6,16,4小時)
96年資安專
業鑑定1張
C級 強度等級2
IDS、
防火牆、
防毒
各單位自行
成立推動小
組規劃作業
自我檢視每年至少(2,
6,12,4小時)
資安專
業訓練
D級 強度等級1防火牆、
防毒
推動ISMS觀
念宣導自我檢視
每年至少(1,
4,8,2小時)
資安專
業訓練
專 輯
36 ◆ 2008.7.16 第47卷第1期 275
到資料外洩的原因是從新竹縣某學校軍訓室
流出的,並追究洩密人員的責任;96年4月
24日自由時報刊載,指許多軍方人員違規在
電腦灌入F o x y分享軟體,導致許多重要機
密外洩,其中包括等級為機密的「漢光十八
號演習督考報告簽呈」與「中科院漢光廿三
號演習的UAV飛行路線圖」,甚至已在中
國駭客論壇被全文張貼,軍機外洩情形非常
嚴重。三月初在中國駭客論壇有人貼出透過
F o x y搜尋到的台灣軍機,洋洋灑灑地列出
數十個檔名,還將內容完整貼出,貼出不
到五分鐘就吸引十七人次瀏覽,後來被網管
發現而刪除,但也顯示台灣軍事人員的網路
保密觀念極為淡薄;96年4月13日台視新聞
刊載警方辦案的筆錄竟然被上傳到網路隨意
外洩。刑事局發現,有員警在公務電腦上安
裝FOX Y這個P2P的分享軟體,而造成筆錄等
資料被人任意下載,目前至少有五個縣市的
筆錄外洩,警方除了追究洩密刑責,也趕緊
要求公務電腦全面移除這類分享軟體。由於
P2P分享軟體會將使用者的資料上傳,刑事
局在二月就發現資料外洩的危機,趕緊通報
各單位禁止安裝這類P2P的軟體,沒想到還
是有部分單位疏忽,不但會面臨行政處分,
還可能面對刑法起訴。雖然警方已經展開清
查,但是民眾如果個人資料因此外洩,可以
申請國賠償。
由上述案例可見,其實許多資料外洩的
案件並非來自該機關是否建置相關資安防禦
設備,如防火牆、入侵偵測系統…等有關,
而是與使用者本身的電腦使用行為及個人資
訊安全認知有關,如發生一連串由於公務電
腦裝設P2P分享軟體而導致機密資料外洩事
件等。許多人裝置P2P軟體是為免費取得MP3
歌曲、軟體…等簡單的動機,但在使用分享
軟體享受其便利性的同時,有時卻因使用者
的操作錯誤或軟體的設計不良,導致其電腦
內的資料與全世界其他使用P2P軟體的人分
享,而造成不堪設想的後果。
參
網路釣魚手法
由於個人電腦使用行為導致資料外洩的
管道除上述所提到的P2P軟體外,網路釣魚
亦是目前駭客經常使用的手法。由於網路釣
魚涵蓋的範圍非常廣泛,包括惡意網站、惡
意電子郵件及惡意程式……等,本節將就網
路釣魚方式作一探討5。
近年來,利用假冒網頁、郵件、簡訊傳
遞以帳戶重新認證等名義,騙取民眾密碼、
信用卡等機密資訊的詐騙行為越來越多,這
種犯罪行為有個專屬的英文名詞「p h i s h-
i n g」,音同英文的釣魚(fis h i n g),所
以譯作「網路釣魚」。「網路釣魚」的詐騙
手段,就是引誘被害人連結至假網站,而造
成重要資料外洩,進而使財產損失的一種行
為。這種犯罪手法的技術性並不高,有心犯
罪者可以輕易的執行網路釣魚的行為。
網路釣魚散佈及引誘手法包括廣告
郵件、即時通訊、部落格、簡訊……的散
佈、縮網址、搜尋引擎、魚叉式網釣、網
址置換技術、類似網址與怪網址、網址嫁
接(Pharming)、入侵正常網站、Vishing
(VoIP+Phishing)等方式,以下擇述相關手
2008.7.16 第47卷第1期 275 ◆ 37
專
輯
法。
一、透過郵件傳遞
(一) 拍賣網站:拍賣結標後,以偽冒信件
詐騙買方匯款
拍賣物品結標後,有些拍賣系統會顯示
出價投標者的帳號訊息,因此駭客便可
以輕易查到最後結標者的相關訊息,進
而發送假的匯款訊息郵件給結標者,誘
使受騙上當。
(二) 會員通知:以偽冒信件通知會員修改
密碼
駭客利用假冒信件冒充一些知名網站,
尤其是金融、網路銀行、旅遊網站、社
群網站等,要求使用者因某些原因需點
取信中連結進行密碼變更,該連結的網
頁可能就是釣魚網頁,可騙取紀錄使用
者的帳號密碼資料,甚至再下載惡意程
式安裝。
(三) 垃圾郵件:駭客發送大量廣告電子信
件
藉由發送廣告信、電子報等信件,若收
信者不願收到此電子報廣告信等,可點
選信中所附之連結來取消收取,該連結
的網頁可能就是釣魚網頁,可收集該信
箱為有效信箱,甚至再下載惡意程式安
裝。
二、透過即時通訊軟體:
感染MS N病毒的電腦會自動發送具有惡
意程式的超連結給好友清單中的使用者,誘
使好奇使用者點選,開啟該網頁,而自動被
植入木馬程式。
三、BBS或部落格:
駭客在知名的BB S留言討論版、知名入
口網站的討論版或知名人氣的部落格,留下
具有惡意程式的超連結,誘使好奇使用者點
選,開啟該網頁,而自動被植入木馬程式。
四、縮網址
利用部份網頁提供的縮址功能,來
隱藏網頁的真實位址,常見於各大論壇
與B B S站。幾個知名縮址網站如h t t p://
tinyurl.com/、http://0rz.tw/、http://
kuso.cc、http://myurl.com.tw。
五、入口網站熱門關鍵字搜尋
駭客向入口網站購買短時效的關鍵字搜
尋服務或贊助刊登廣告,使搜尋到的惡意連
結排名在搜尋結果的最前面,誘使查詢者不
注意而點選開啟,例如某銀行關鍵字,開啟
的網頁可能就是釣魚網頁,而騙取登入者的
帳號密碼。
六 、 魚 叉 式 ( 目 標 式 ) 網 釣
(Spear-phishing)
此為鎖定特定目標(企業)進行網路
釣魚攻擊模式,方式包括精心設計郵件內容
且只傳送特定人士,或鎖定特定企業員工每
天瀏覽固定網頁的習慣,在這些網頁置入病
毒自動下載器,而且每天更新病毒變種到受
害系統裡,如果被攻擊對象無法找出問題的
源頭,就得隨時應付無窮無盡的新變種病毒
或惡意程式的攻擊。通常竊取的資料可能是
更高度敏感性資料,如智慧財產權及商業機
密。在特定的節日時期,駭客會鎖定特定
專 輯
38 ◆ 2008.7.16 第47卷第1期 275
的企業網站進行網釣,且可為此企業設計專
用的木馬惡意程式。由於攻擊範圍小、樣式
少,防毒公司軟體也無輒。而經過精心特別
設計的魚叉式攻擊,不但又快、又準、又精
確、且時效短,通常駭客達到目的後,企業
仍不知覺。
肆
個人如何防範資訊外洩
在這個對網路及資訊高度依賴的時代,
駭客正虎視眈眈藉由各種可能管道來入侵個
人電腦並竊取資料,而面對這無時無刻無所
不在的威脅,唯有提升個人資訊安全認知,
加強相關防護知識,以將資訊外洩的風險降
到最低。
個人在資訊安全應注意之事項列舉如
下:
一、勿隨意開啟來路不明之電子郵件
對於來路不明或朋友轉寄之電子郵件,
在未確認其安全性之前,切勿一時好奇而將
其開啟,因大多數的郵件或其附件檔案都夾
帶著後門或惡意程式,一但開啟便自動被植
入程式。此外,關閉電子郵件之預覽功能亦
可降低因誤點選郵件而開啟中毒的機率。
二、勿逛奇怪的網站
根據2008年2月Goog l e最新的研究報告
指出,平均千分之一的網站是惡意網站,其
中67%的惡意網站出自中國大陸6。因此盡量
避免情色、影音、軟體、遊戲、及破解碼下
載等網站,勿點選或連結地址不明的可疑網
站,必要時於點選前先查證,並將瀏覽器之
安全層級設定為「中安全性」以上7。
三、勿下載來路不明之軟體
網站上許多免費或遊戲軟體,除非是
至該軟體發行之原創公司網站下載,否則
在確認其安全性之前,切勿任意去下載。
因大多數的程式可透過加殼的技術將木
馬或惡意程式包裝於其中,一但下載該經
加殼的程式,等於敞開大門歡迎惡意程式
進駐你的電腦。對於電腦中可疑的程式,
可將其上載至Viru s t o t a l網站(http://
www.virustotal.com),其可針對該程式做
病毒掃描,掃描報告中的PeiD項目則顯示該
程式是否經過加殼程式處理。
四、定期更新作業系統及軟體之漏洞
微軟或其他軟體公司會針對其系統漏洞
或安全性問題推出修補或更新程式,因此定
期更新相關程式可減少因軟體漏洞所帶來電
腦遭入侵之風險。
五、 電腦裝設防毒軟體及經常性更新病毒碼
根據調查,目前全球大約不到25%的電
腦裝有正常運作的防毒軟體6。雖然防毒軟體
不是萬能,其無法阻擋所有的威脅,但此為
個人電腦最基本之防護,保持其於正常運作
狀態,並隨時更新病毒碼,可降低外在病毒
威脅的機率。
六、 開啟電腦Windows防火牆或裝設個人
防火牆
2008.7.16 第47卷第1期 275 ◆ 39
專
輯
Windows或個人防火牆會監視與限制在
個人電腦與網路或網際網路之間流通的資
訊。如此提供一條界線,防止有人由防火牆
之外,未經使用者的同意就嘗試存取其電
腦。
七、不使用P2P軟體
使用P2P軟體,易造成電腦機密資料外
洩,或下載到他人故意分享之惡意軟體。
八、避免電腦24小時不關機
若長時間不使用電腦,請將電腦關機,
切忌24小時均不關機,不僅耗費電力、金錢
及電腦壽命,亦增加被駭客入侵、竊取資料
及利用之風險。
伍
結語
政府部門掌握國家機密及民眾個人隱
私,防止國家及民眾資料外洩為公務人員當
然之職責,然再多的工具技術只能解決部分
資料外洩的問題,面對道高一尺魔高一丈且
無孔不入的駭客組織,端需仰賴公務人員資
訊安全意識的提升,才可降低資安事件之發
生。
1. 行政院國家資通安全會報,2004,「94年
~97年『建立我國通資訊基礎建設安全機
制計畫』」。
2. 行政院國家資通安全會報,2005,「政府
機關(構)資訊安全責任等級分級作業施
行計畫」。
3. h t t p://w w w.h o p e.c o m.t w/N e w s/
ShowNews.asp?O=200609121720007372。
4. 蘇俊榮,2007,「電腦處理個人資料保護
法案例剖析──如何避免執行公務時洩漏
個人資料」。
5. 張裕敏,2008,「行政院主計處Windows系
統攻防實務課程」。
6. 邱宇、黃惠美,2008,「Single sign-on
的資安因應之道:【制敵先機】防制公務
資料外洩的最佳建議準則」。
7. 宏碁電子化服務事業群安全技術與管理
處,2008,「如何防範公務或個人資料遭
竊教育訓練」。
參考文獻