资讯安全素养介绍及案例研讨

-1-資訊安全素養介紹及案例研討壹、資訊安全初探由於網際網路Internet具有便捷、傳輸迅速及互動性的特色，它的影響已深入各個階層及各種行業，使得網際網路愈來愈大眾化，未來網路社會可能成為主要的生活方式。然而，過度資訊化的結果必須正視高科技帶來的副作用，因為資訊科技的不當使用已對社會造成不少傷害，有時遠超過該科技所帶來的便利。如果有心人士想利用這種具跨國性、隱密性、無距離限制而又錯綜複雜的網路進行犯罪，可真是叫人防不勝防。目前在網際網路上所透露出與我們個人相關的資訊安全問題有下列幾種實例：１．收不完的垃圾郵件：此種情形在一般人身上時有所聞，但對一些單位主管或是網管人員而言，他們的電子郵件信箱往往被公佈在網站上面，經過專門蒐集電子郵件信箱販售圖利的人四處販賣這些資料後，就極可能較常人有收不完的垃圾郵件。這種狀況可能不會有什麼實際的危險，但卻會造成生活上實際困擾，例如：浪費時間精力處理這些垃圾郵件或是在丟掉垃圾郵件時一個稍微快一點的動作把重要的郵件也一併給刪掉，如此惱人的垃圾郵件如何避免呢？２．「網路」遇故知：曾經收過別人轉寄的電子郵件嗎？每一次郵件轉寄後，是不是都會出現曾收過信的郵件地址，可否在轉了好幾次的郵件中看見往日好友的名字及郵件地址？以往他鄉遇故知是人生一大樂事，當事人可能當場興奮莫名，相擁而泣。但在網際網路世界中你可能笑不出來，因為你的郵件地址也同樣會在郵件轉寄當中四處流傳，最後傳得有多廣多遠早超乎我們的想像，如此一來你的個人隱私還有幾分？另外有專家做過實驗，如果想寄信給特定對象，在不知其email地址情況下發信給所有認識的人請他們轉寄，實驗數據顯示這封信要轉寄到此特定對象手中，所需的平均轉寄次數為6次，可見跨越國界的藩籬，地球上人與人之間的距離遠比想像中來得親密，如果不小心謹慎，轉寄mail這件事會是暴露他人隱私的一個方便途徑。※保護之道:轉寄之前先將他人的郵件地址刪去,以免把別人的郵件地址給傳出去３．填問卷：幾乎人人都有機會被邀請填寫問卷的經驗，多數人覺得這只是舉手之勞無關緊要，或是當作日行一善。也有人為了得到一個小小的贈品例如：一隻原子筆、一包面紙……等，把自己的個人資料拱手送人，結果極可能收到一堆垃圾郵件，較令人擔心的是不知這份資料輾轉流入何人手中？會拿去作什麼？會不會有不法的動機？背後隱藏的損失將是無法言喻的。因此問卷上較私人的資料如：身分證字號、電話、出生年月日……等，在填寫問卷時不得不深思。-2-※保護之道:不隨便填問卷,真有必要填個人資料時要避免把身份證字號,出生年月日填上.４．教師網站上的輔導資料：有些熱心的教師將自己輔導學生經驗放在班級網頁上，原意是希望可以分享資料供別人參考，其中卻也含有安全上的隱憂。因為，教師把學生的真實姓名、發生事件、家庭狀況都鉅細靡遺地放在網頁上，對學生而言公開這些輔導資料是違反教師輔導學生的保密原則，直接侵犯學生的隱私權，間接地將學生暴露在另一個危險當中，要是有心人利用這些資料去拼湊出這位學生是誰，會不會對學生人身安全帶來威脅呢？※保護之道:網頁上有必要出現學生姓名時可用化名,不然就得事先徵詢家長同意.５．「網路假拍賣實習女老師坑40萬」：今年剛從南部某師範學院畢業邱姓女實習老師二月間利用網路以八千元購買數位相機，結果對方一直沒有送貨，邱女不甘受騙，因此興起報復念頭。四月間假借別人為人頭，在雅虎奇摩拍賣網站自設購物網站，偽稱低價拍賣化妝品，向近百名被害女性詐騙四十多萬元後撤站逃逸。並利用網路拍賣當中信用平等的機制在網路上假造身份，拉高拍賣網站的信用騙取上網購物者的信任。６．盜取「天幣」：桃園縣龜山警分局在2003年3月16日查獲一名國小六年級呂姓學童，在2002年11月間涉嫌假冒身分申請網路帳號，又把鄰居朱姓少年的網路遊戲密碼鍵入，上網玩「天堂遊戲」，在冒用他人的身份、密碼後，取走朱姓少年在虛擬世界中的尤米長弓、艾盔、腕甲、鋼靴等價值約2千多萬「天幣」（折合新台幣20000元）的寶物，呂童不知在虛擬世界中這樣的行為涉嫌竊盜，家長則是被警方傳喚後才知孩子沈迷網路遊戲觸法。７．「流光」暗藏後門：「流光」是一種駭客用的工具程式，讓人誤以為自己安裝了此程式後便可以去「駭」別人，當程式安裝後其中的「後門」程式也跟著啟動，電腦內的資料就在後門程式開啟後流入別人的手中。類似「引狼入室」的手法，只不過引入的是一個你以為可以「駭」人的程式，結果卻是自己的資料被「駭」走，得不償失。※保護之道：不隨便打開不明郵件，不安裝不明程式.8.英國小女生與美國大兵私奔巴黎：這是日前發生的一宗跨國網路交友事件，十二歲英國女生在網路上認識三十一歲美國大兵，兩人在網路上均謊稱是十九歲，經過一段網路交往聊天後，相約在法國見面，此案例只是網路交友危險的一角，背後凸顯的是網路聊天室的安全性。目前透過網路視訊交友的情形日漸蓬勃，己有人在網路視訊上看到不雅不當的猥褻畫面，精神和生活深受影響。９．利用「社會工程」手法盜取個人資訊或業務機密：網路知名駭客米特尼克（KevinMitnick），將自己犯案的手法自稱為「社會工程」（socialengineering）意即：精心計畫的交際行為。此手法並非是實-3-際的電腦技術，而是透過刻意設計的人際互動，進而達成盜取資料的目的。米特尼克曾為了順利進入某大學資訊中心使用電腦進行程式解密，先在垃圾堆找尋可用的線索，發現一張資訊中心的警衛輪班表，假裝是校內的教授和輪班警衛聊天中，故意談及從輪班表當中得知的警衛姓名，使警衛的戒心鬆懈後，雖然沒通行證也讓他進入資訊中心。因此有心人士善用「社會工程」手法之下，對我們的資訊安全絶對有直接或間接的威脅。貳、資訊安全素養一.共用電腦的資料安全問題1、無心的疏忽：由於學校經費的關係，在學校使用電腦設備，除非是你自己帶電腦到學校使用，你才有機會能夠單獨使用電腦，否則你可能要與其他人共用電腦。如果你是用學校的電腦處理學生成績或是其他事務時，你的檔案很有可能會被別人看到、修改或是刪除，此時你辛苦所建立的成果便會毀於一旦。所以使用電腦時，最好能夠留意資訊安全，最好將重要的檔案儲存於其他媒體，若是有修改設定檔也記得要改回來，當畫面出現任何問題時，最好先看清楚，不要只是按「是」或「同意」，以免洩漏自己的重要資訊。2、有意的作為：對於存心想竊取電腦資料的人，你用任何的方法可能都會被破解，唯一的方法，就是自己要小心，將資料隨身保存會是不錯的方法，譬如說利用隨身碟儲存自己的重要資料。一般性的資料最好建立一個屬於自己的資料夾，不要只是將檔案儲存於「桌面」，因為放再桌面上的檔案不僅會讓別人任意瀏覽，也會被任意刪除，到你要使用時，你將會找不到你的檔案。所以養成檔案管理的習慣，是每位老師必須具備的基本素養。3、活用工具軟體：善用一些工具，可以讓你的檔案更加安全，大家都知道使用磁碟片可以將你的檔案帶著走，但是你可能不知道，磁碟片儲存資料是不-4-可靠的，因為磁碟片可能會因為磁碟機磁頭髒污而導致磁碟片刮傷損毀，到時候再重要的檔案也將不保。利用FTP來儲存檔案，會是比使用磁碟片更好的選擇，但是這也不是全然沒有風險，切記一個通則「不要將全部的雞蛋放在同一個籃子裡」。使用瀏覽器可以直接連接FTP，無需使用其他軟體。做法：直接在網址列輸入ftp://[username]@[ftpaddress]，然後再輸入username與password即可。4、養成好的習慣：使用電腦，雖然是很方便，但是電子資料很有可能已經被別人複製尚不自覺，在你使用電腦的時候，養成良好使用電腦的習慣，不僅對使用者本身有保障，進而對其所管理的資料更是一種無形的保障。二.共用資料夾的安全問題1、共用資料夾--「網路上的芳鄰」(1)便利性學校裡面的資訊組長或資訊教師，對於學校電腦系統的安全可說是傷透了腦筋，在費心建立起銅牆鐵壁般的防護措施時，有可能因為一般教師為了方便使用電腦及其他週邊設備，開啟了分享檔案及資源分享的功能，也就是所謂「網路上的芳鄰」，使用網路上的芳鄰可以提升使用電腦的便利性，但是由於作業系統及使用者的使用習慣，可能會讓別人有機會可以入侵你的電腦。(2)Nimda：2002年9月正式名稱為W32/Nimda@MM，但被泛稱為Nimda的病蟲，其嘗試透過以下幾種方式散佈：Email:受感染的電腦會透過email傳遞複製的病蟲，嘗試感染其他使用者。Webservers:受感染的電腦會嘗試透過已受感染的伺服器，或找出易攻擊可以入侵的InternetInformationServer(IIS)，將病毒-5-碼傳遞給其他webservers。一旦感染，webserver會嘗試感染其他造訪此網站的使用者的機器。檔案共享:受感染的電腦會搜尋未受保護，可讓任何人加入檔案的電腦系統，一旦找到這樣的電腦，則將感染的檔案加入。(3)疾風病毒疾風病毒(Blaster，或稱MSBlast、LovSan)從2003年8月11日開始在歐美蔓延，病毒主要透過發送封包，積極搜尋有漏洞可鑽的主機；加上大家都不會注意應該定期安裝Windows升級的servicepack，所以常有很多作業系統的漏洞都沒有修補。病毒運用bufferoverflows/bufferoverrun攻擊技巧，導致造成電腦作業系統及網路流量大幅升高，企業網路不堪負荷而形同癱瘓。(4)Sobig病毒名列十大電子郵件病毒的Sobig病毒會假冒許多知名企業寄發電子郵件，並隨信附上一個副檔名為pif、大小約74K的附加檔案，不知情的收信人一開啟附加檔案，病毒就會自我複製並感染整個系統；再假冒Outlook通訊錄裡的聯絡人，大量寄發含有病毒的信件給其他聯絡人，速度十分驚人。除此之外，它還會將自己複製到網路共用資料夾，透過網路分享開啟中毒的檔案，攻擊使用微軟視窗作業系統的電腦，攻擊力不輸疾風。(5)W32.Bugbear.B@mm病蟲：2003-06-16W32.Bugbear.B@mm是一種利用電子郵件來進行大量散佈的蠕蟲，它亦可以藉網路共享資源和感染特定的程式檔來傳播。此病毒具有鍵盤側錄和後門功能，這有可能會導至密碼洩露和中毒的電腦被非法入侵。2、共用資料夾安全性：(1)資料夾權限：以作業系統為例，我們常用的Windows9X，分享資料夾的安全性就不是很好，若是不小心為設定密碼又為完全存取的話，無疑是開啟一個後門讓有意破壞的人可以毫無阻礙得隨意進出，這不僅對於系統安全有嚴重的影響，對於資訊安全更潛藏著危機。(2)為檔案加一件外衣：若是你已經將自己暴露在危險的情形下，最後的防線就剩下你自己了，對於機密的檔案，除了備份來確認檔案的存在，為了避免資料外洩，建議可以使用加密軟體，來確保資料的安全。但是不論如何，對於資料的保全還是要自己多用心多留意。(3)實際案例：可以利用IPSCAN掃描學校電腦網路，若是這台電腦打開分享且未採取任何防禦措施的話，你將可以輕易的控制這個分享的資料夾。-6-三.網路活動的安全問題1、駭客處處上網～風險重重!!網路安全你放心嗎？你擔心網路安全嗎？提起人人為之色變的網路駭客，你的認知有多少？你知道網路上潛藏多少駭客嗎?網路提供資源存取互通、共享的開放環境，因此免不了可能的駭客攻擊或病毒入侵等風險。。在網路安全猶未健全的今日，國人對網路駭客的認知與網路安全的擔憂又是如何?根據智邦生活館線上市調中心在六月一日至六月十四日針對網友所作問卷調查顯示，五成以上的受訪者對網際網路的整體安全性抱持可接受的態度，不過若問到電子商務交易及線上刷卡的安全性，則多半持以較保守的憂慮心情。約有不到三分之一的回函者表示可以接受線上刷卡的安全性，但一般的態度仍偏向擔心，感到不安全，程度上更甚於電子商務交易本身。所幸，規模愈大的網站也明顯能讓四分之三以上的網友感到較放心。然而，哪些網路安全問題是網友們最擔心的？有近九成的受訪者最擔心自己的基本資料被人拿去不當利用，擔心受到病毒侵襲的有八成，害怕上網時會被人偷取資料的則超過四分之三。由此可知，網友對於自己的基本資料與隱私極度重視，對於被病毒破壞資料造成不便、導致系統受損也十分在意。再者就是擔心被人竊取資料，同樣佔有明顯的比重。