第 11章 資訊安全與隱私權

章節大綱 11-1 　 資訊安全 11-2 　 電腦病毒 11-3 　 電腦犯罪 11-4 　 資訊隱私權

11-1 　 資訊安全

危及資訊安全的因素： 作業方面的疏失 實體方面的疏失 員工方面的疏失 技術方面的疏失

回章節大綱回章節大綱

11-1-1 　 身份認證

身份認證 (authentication) 用來確認某人是否為合法

使用者，以進行存取控制 (access control) ，常見的

鑑定方式如下： 使用者名稱與密碼 持有的物件 生物辨識裝置

回章節大綱回章節大綱

11-1-2 　 硬體竊盜

硬體竊盜 (hardware theft) 藉由上鎖、僱用保全、警民連線、投保竊盜險等方式加以防範。

將電腦或行動裝置設定密碼或生物辨識裝置

回章節大綱回章節大綱

11-1-3 　 軟體竊盜

盜版，利用儲存裝置複製或安裝未經授權的軟體 軟體設計人員離職時，能否將軟體攜離公司？

回章節大綱回章節大綱

11-1-4 　 資訊竊盜

安全系統必須考慮到下列四個需求： 保密 (privacy) 認證 (authentication) 完整 (integrity) 確認 (nonrepudiation)

回章節大綱回章節大綱

11-1-5 　 加密 / 　解密 (秘密金鑰與公開金鑰 )

秘密金鑰DES 演算法

公開金鑰RSA 演算法

– 除了建議選擇很大的數字外，須遵守下列原則：– 選擇兩個很大的質數 p 、 q

– 計算 n = p * q

– 計算 z = (p - 1) * (q - 1) ，選擇一個小於 n 且和 z 互質的數字 d

– 選擇一個滿足 (d * e) mod z = 1 的數字 e

回章節大綱回章節大綱

11-1-6 　 數位簽章

數位簽章的範圍： 簽署整個文件

公開金鑰演算法，發訊者以自己的私鑰將資訊加密，收訊者以發訊者的公鑰將資訊解密。

簽署文件的摘要將資訊做雜湊函數運算，發訊者以自己的私鑰將摘要

加密，收訊者以發訊者的公鑰將摘要解密，同時將資訊做雜湊函數運算，只要兩者結果相同，就能確認是由發訊者所傳送。

回章節大綱回章節大綱

11-1-7 　 Web安全

Web 安全涉及下列三個方面： 保護瀏覽器的安全 ( 如防火牆 ) 保護伺服器的安全 保護資訊的安全

電子商務主要的安全機制有下列兩種： SSL (secure socket layer) SET (secure electronic transaction)

回章節大綱回章節大綱

11-1-8 　 備份與復原

備份類型完整備份差異備份漸增備份

預防電力中斷穩壓器不斷電系統

災害復原方案緊急方案 備份方案復原方案測試方案

回章節大綱回章節大綱

11-2 　 電腦病毒

電腦病毒 (computer virus) 會複製自己的程式碼，附加到開機磁區或其它檔案程式，藉由軟碟、光碟或網路的傳染散播至您的電腦。

電腦中毒後所產生的症狀亦不同，常見的有：突然自動關機、重新開機或無故當機系統記憶體減少、執行速度變慢出現不明常駐程式或不明檔案硬碟壞磁區突增、讀寫時間變長檔案無法執行、被刪除或遭到破壞

回章節大綱回章節大綱

11-2-1 　 電腦病毒的生命週期

一、創造期二、孕育期三、潛伏期四、發病期五、死亡期

回章節大綱回章節大綱

11-2-2 　 電腦病毒的傳染途徑

透過網路自動向外散播 透過電子郵件自動向外散播 閱讀電子郵件時自動向外散播

回章節大綱回章節大綱

11-2-3 　 電腦病毒的類型

檔案型病毒 (file infector virus) 開機型病毒 (boot strap sector virus) 複合型病毒 (multi-partite virus) 網路系統病毒 (network virus)千面人病毒 (polymorphic virus)巨集病毒 (macro virus) Script 病毒

回章節大綱回章節大綱

11-2-3 　 電腦病毒的類型

除了電腦病毒外，如下類型的程式會危害電腦： 電腦蠕蟲 (worm)特洛伊木馬 (trojan horse)惡性程式 (malicious code 、 malware)

回章節大綱回章節大綱

11-2-3 　 電腦病毒的類型

回章節大綱回章節大綱

電腦病毒 特洛伊木馬 電腦蠕蟲感染其它檔案 會 不會 不會

被動散播自己 是 是 不是

主動散播自己 不是 不是 是

造成程式增加數目

電腦使用率愈高，檔案感染數目愈多

不會增加 網路連結情況，範圍愈廣散佈愈多

破壞力 取決於病毒作者 取決於病毒作者 無

對企業影響 中 低 高

11-2-4 　 電腦病毒的防治方法

安裝防毒軟體 定期備份資料勿使用來歷不明的軟碟開機勿開啟或執行來歷不明的檔案或電子郵件沒有存取網路時要離線多使用 Web Mail 定期更新Windows 作業系統及瀏覽器 製作緊急救援磁片 安裝 IP分享器或防火牆

回章節大綱回章節大綱

11-3 　 電腦犯罪

駭客 (hacker)以非法手段或利用系統漏洞入侵他人電腦，進而竊取、竄改或破壞電腦上的資料

白帽駭客 (white-hat hacker) 受過專業訓練的電腦專家，嘗試以駭客慣用手法入侵

公司電腦，發掘漏洞加以防堵。 電子扒手

熟悉電腦操作，卻非電腦專家因職務之便，有機會進行金錢犯罪

回章節大綱回章節大綱

11-3-1 　 電腦犯罪的手法

積少成多冒用身份偽造資料 軟體炸彈 (software bomb)

時間炸彈邏輯炸彈

特洛依木馬 (trojan horse) 程式後門 (back door)

回章節大綱回章節大綱

11-3-1 　 電腦犯罪的手法

暴力入侵 利用漏洞入侵緩衝區溢位攻擊冒用主機阻斷服務攻擊、分散式阻斷服務攻擊 網路監聽 網路釣魚 (phishing) 間諜軟體 (spyware)

回章節大綱回章節大綱

11-3-2 　 電腦犯罪的類型與刑責

入侵他人電腦或網站 撰寫並散佈惡性程式詐欺 網路蟑螂妨害名譽及偽造文書 網路賭博販售或購買盜版軟體 散佈色情資訊

回章節大綱回章節大綱

11-3-2 　 電腦犯罪的類型與刑責

販售或購買贓物 販售個人資料或名單交易違禁品或管制品 數位著作相關的資訊權

著作權商標權公開權隱私權

回章節大綱回章節大綱

11-3-3 　 電腦犯罪的蒐證與起訴

網路犯罪肆無忌憚的因素很多，包括：破案率極低缺乏國際共同的法律標準 網路信用卡認證機制不夠完善 系統漏洞沒有即時修正及駭客工具容易取得

回章節大綱回章節大綱

11-4 　 資訊隱私權

資訊隱私權 (information privacy) 泛指個人和公司行號拒絕或限制他人蒐集、傳遞或販售其資訊的權利

下列情況也會涉及資訊隱私權的爭議： 濫發垃圾郵件監看員工使用電腦的情況 監看網站的瀏覽者

回章節大綱回章節大綱