資安服務說明 關於本網站 網站導覽
i-Security 電子報 第 112期【2011/08/31】

(2011.08.31  第一一二期)

資安隨堂測驗

Q1. D
Q2. D

Q3. B

 




 
網路世界暗藏危機
陳政邦 (2011/4/11)

壹、前言
  從西元18世紀開始,西方科學家發明蒸汽機,藉由蒸汽機取代人力以提升工作效率,並釋放大量人力到市場從事其他活動而促進經濟成長,這就是所謂的工業革命。西方國家在工業革命之後,擁有當時世界上最充沛的生產力,在人民衣食豐足的情況下,國家自然壯大興盛,帶動了西方國家的武力發展,也造成後來的殖民主義興起,形成西方國家稱霸的時代。

  再將時光追溯至近百年的發展,在科技上有許多突破性的進步,像是發明無線電、汽車、電視機、電腦、網路、手機和衛星設備等,每一項發明都澈底改變人們的生活型態,儼然似一波爭奪資訊霸權的時代。其中,影響人類最深的科技或許是網路的運用,因其可將散布於世界各地的使用者連結在一起互相討論、分享各種議題;這種無遠弗屆的力量是其他傳播媒介或是工具所無法比擬的。再者,網路的使用成本低、操作方便、不受時空限制等因素,讓大部分人都有能力負擔與使用。

貳、網路攻擊出乎預期
  現代人在生活上相當倚賴網路,無論何時、何地、何事都需要使用網路,諸如線上購物、訂票、查詢、部落格、聯絡朋友、玩遊戲等,網路的影子無所不在。由於網路在現代人的生活中是極重要的一部分,所以我們對其所潛伏的危險性更應有所警惕,以免在不知情的情況下遭受惡意攻擊。

  網路是每個人最方便向外獲取資訊及與人互動的電子媒介,但另一方面也是最容易遭受外部攻擊的管道之一。根據臺灣網路資訊中心的調查,臺灣網路的惡意活動相當頻繁,以數量計算,臺灣排名全球前10名;若以密度來看,排名高居全球前3名;而電腦主機淪為殭屍電腦的數量,則排名全球第7。由此可知,我們需要時時提防網路上的惡意攻擊,尤其我國處於網路攻擊最頻繁、電腦病毒侵襲最嚴重的地區,更應小心維護電腦使用之安全。

  近兩年來,在臺灣蔚為流行的社交網站「Facebook」引起一陣風潮,吸引上百萬的會員加入,成為臺灣最多會員的社交網站之ㄧ。今年有一部電影《社群網站》上映,其內容是根據「Facebook」的創辦過程改編而成;在電影一開始,主角因為和女友分手,為了報復而侵入大學的宿舍網站竊取住宿女學生的資料,並將所獲得的資料公布在網路上,在短時間內便吸引大量的人潮上網瀏覽。這段電影情節說明網路侵襲的嚴重性,即使是大學機構管理的網站,也未必能成功地防堵駭客的入侵,更何況是一般大眾所使用的電腦。

  或許讀者認為自身不是駭客鎖定的目標,因此不會遭受惡意侵襲,電腦的資料更不會因此外流或遭受破壞,但事實卻未必如此。我們可從新聞報導發現,某知名網站經常有會員將其私密照片加密放在網路相簿上,結果密碼被破解後導致照片外流。也許你認為到目前為止個人使用的電腦仍是安全的,但是否真的如你所想,就不得而知了。有部分人認為只要電腦能開機、能連上網路、可以執行電腦程式,就代表電腦是安全的,殊不知其電腦可能早就被木馬或其他惡意程式入侵了!惡意程式可能早已將該電腦中的重要資料傳送出去,甚至被駭客設置為「殭屍電腦」或其資料竊取傳輸的中繼站。

參、公務家辦洩密肇因分析與預防作為
  為何公務家辦容易造成資料外洩?因為機關內部的電腦有層層嚴密的防護措施,有專業資訊技術人員的監控防護,而家中的私人電腦防護能力通常較為薄弱,很容易遭到駭客入侵或感染病毒、木馬等惡意程式,造成資料的外洩。現今大家對網路的應用與需求已不可同日而語,但也讓有心人士覬覦網路所帶來龐大的政治、經濟與軍事效能,因此,機密維護工作的落實與否,其結果已超越人們所能預判的範疇,其後的發展演變,亦非個人行為所能掌握與操持,影響所及更非個人生死榮辱所能彌補於萬一;洩密之嚴重後果由此可想而知。

  本案被告身為國軍高階軍官幹部,理應為士官兵之表率,明知單位再三宣導「嚴禁將公務攜返家中處理」之規定,且其曾於97年4月間因違反前述規定而遭該管記過2次處分,猶不知警惕,竟因個人誤認在家中處理公務時,只要不連接網際網路且作業完成後將電子檔刪除,即不致外洩資料;殊不知該電腦因未以防毒軟體掃瞄病毒或設定Windows作業系統之防火牆等防護網路安全措施,仍有機會遭惡意程式感染並擷取資料外傳,肇致洩密情事發生。探究其洩密肇因,不外乎以下幾點:一、漠視保密作業規範。二、個人法紀觀念淡薄。三、資訊安全常識不足。四、資安管控機制失調。五、個人品行習性不佳。六、保密安全警覺鈍化。七、心存僥倖貪圖便利。八、掃毒軟體未保常新。九、資訊保密紀律鬆散。十、監督機制日久玩忽。

  范員因輕忽資安保密紀律,除造成國家機密外洩,其個人亦受到軍法審判,並因該案辦理退伍,斷送美好前程。爰就上開洩密肇因,提出防杜公務家辦之具體作為如下:一、深耕資安教育,建立守法觀念。二、嚴肅保密規定,強化資安紀律。三、培養良好習性,落實保密措施。四、健全預防機制,提高違規罰責。五、恪遵資安規定,加強保密警覺。六、妥採防護作為,綿密人員考核。七、貫徹風險管理,強化風險評估。

參、結論與建議
  在最近的數十年內,人類的生活已有重大的改變,我們不但要熟悉已在使用的科技,還要學習運用新科技;在這種快速變動的環境中,我們除應不斷學習新知,也要懂得防護自身的安全。將來使用電子設備是無可避免的潮流,「e化」更是未來生活必定的趨勢。

  目前在電腦網路的運用上,要完全避免病毒或駭客的襲擊是不容易的,所以我們必須要有正確的觀念與應對措施,才能在安全的前提下,享用電腦和網路帶來的便捷。以下的作為應是電腦使用者的基本安全素養:

  一、使用正版軟體:盜版軟體除了侵害智慧財產權、運用上不如正版軟體來得穩定外,也常挾帶惡意程式,導致電腦中毒或被入侵,資料被竊取或遭篡改,甚至成為惡意郵件的散播者。

  二、重要資料加密:為避免重要資料外流,最基本的功夫就是將重要檔案加密,並且設定為隱藏檔案,置於特定的目錄夾內,以降低被人搜尋發現的機會。

  三、不公務家辦:若將公事帶出辦公室不僅會增加洩密之風險,且因家中電腦在安全機制上往往不如辦公室,又可能多人使用該電腦,甚至早已被植入木馬,所以公務家辦經常成為資料外流的主因。

  四、避免開啟不明網站或不明郵件:許多不明網站之網頁或不明郵件經常暗藏或被寫入惡意程式,同時藉由驚聳誘人的標題或連結,吸引他人點閱,藉以散播惡意程式或竊取帳號密碼等,造成當事人的財產損失、資料被竊。

  五、定時更新病毒碼與掃毒:惡意程式翻新與變化的速度非常快,所以我們最基本的防護必須定時更新掃毒引擎與病毒碼,時常進行掃毒以降低電腦被駭的風險。

  現代人時時應有「預防勝於治療」的觀念,若能事先採取預防措施,則能降低電腦被駭、資料外洩或受損的威脅。因此,落實電腦的安全防護,除了要有正確的觀念外,更應從日常生活中養成資通安全的正確習慣,才能自然而然避開網路世界暗藏的危機,將網路使用的風險降至最低。

資料來源:法務部調查局
 

 
Copyright ©NII 產業發展協進會 隱私權政策免責聲明IPR