《资讯保全与隐私在电脑与Internet上.ppt》由会员分享,可在线阅读,更多相关《资讯保全与隐私在电脑与Internet上.ppt(60页珍藏版)》请在三一文库上搜索。
1、資訊保全與隱私 在電腦與 Internet 上,第十一章,學習目的,了解電腦犯罪的類型,以及電腦犯罪難以發現與起訴的特質 了解電腦保全的重要性,包含發生問題後的復原計劃,軟體與資料的保全,與電腦保全的法律問題 以一般術語說明病毒的運作方式、它們會造成什麼損害、以及防止這類損害發生的程序 解釋個人電腦和Internet對個人隱私所造成的威脅。說明維護隱私權你可以採取什麼樣的行動,內容,電腦犯罪 電腦保全 災難回復計劃 備份 病毒 隱私權 垃圾郵件 保護兒童,電腦犯罪,偷竊並使用或販賣資料: 公司資料 公司檔案內的個人資料,電腦犯罪,員工與個人都必須體認到電腦系統可能會遭遇的危險,小心保護它們的資
2、產,電腦犯罪 資料保全與隱私權,保障資料的安全 遺失 意外的損毀 被竊取 被間諜偷取,保障資料的隱私 薪資 病歷 身分證號碼 銀行存款,資料通訊的能力也為保護資料的安全與隱私帶來了新的挑戰,電腦犯罪 是資料而不是設備,保護資料安全的方法 將伺服器上鎖 可卸式硬碟機在非使用中時必須上鎖 讓硬碟機必須要使用特別的工具才能拆下來 在電腦四周加上外殼以避免外人接觸 替檔案設定密碼保護,電腦犯罪,駭客 (Hacker) 的工具 PC 網路連線 為什麼要入侵? 騷擾 愛現 想要免費取得某些電腦服務 取得資訊加以販賣牟利,駭客是企圖非法進入他人電腦系統的人,這些技術人員是受雇來嘗試以各種方法入侵系統 發掘出
3、系統的弱點 補救這些漏洞 為了要測試員工的應變能力,公司可能會故意不告訴員工 Tiger teams Intrusion tester hackers for hire,電腦犯罪 白帽駭客,電腦犯罪 什麼樣的系統已被入侵過?,企業網路 一半以上美國大型公司的電腦被入侵過 競爭對手所為? 政府網路 美國國防部電腦每年遭受超過200,000次的攻擊 其它國家的電腦攻擊能力如何? 網站,電腦犯罪 電腦系統為何如此容易受傷害?,社交工程 透過電話以及良好的說話技巧,欺騙沒有戒心的人交出密碼 電子扒手 使用電腦轉移或更改資料而增加自己的資產,電腦犯罪 常見的犯罪型態,信用卡詐欺 信用卡號碼被不法人士盜用
4、 資料通訊詐欺 私接他人的通訊網路 利用公司的網路做私人的用途 透過電腦直接挪用公司的資金 非法存取電腦資料 存取員工的機密資料 竊取商業機密與產品價格結構 非法拷貝版權軟體 朋友之間不經意地共享合法軟體 有計劃地大量複製合法軟體,電腦犯罪,軟體炸彈 (Bomb) 觸發時造成系統損害的程式 通常設在一些特定的時間發作 可能會埋藏在公眾軟體中,特別是共享軟體 偽造資料 (Data diddling) 在資料進入系統之前或當時就變更資料 轟炸攻擊 (DOS) 駭客針對某個網站持續發出要求服務的請求,多到網站無法負荷 使得守法的使用者反而無法存取這個網站 看起來好像攻擊行動是同時來自許多個網站,冒用
5、身份 (Piggybacking) 合法的使用者沒有適當的簽出系統就離開 入侵者就只要接續使用原來的使用者所留下的環境,就可以存取系統和檔案 積少成多 (Salami technique) 侵吞公款 在垃圾中搜尋 (Scavenging) 在垃圾及資源回收物中尋找個人資訊,電腦犯罪,程式後門 (Trapdoor) 由合法程式執行完成後留在系統中的非法程式 成為入侵者的一個秘密且非法的入口 特洛伊木馬 (Trojan horse) 藏在合法程式中的一些非法指令 這些指令會同時做有用的事與進行破壞 入侵 (Zapping) 用來避過安全系統的軟體,電腦犯罪,發現犯罪 不容易發現 意外被發現 有85
6、%的電腦犯罪案例沒有向主管機關報告 起訴 法律界人士由於缺乏電腦知識而不容易了解電腦犯罪,電腦犯罪 發現犯罪與起訴,電腦詐欺與濫用法案 1986 年 電腦罪犯被起訴且定罪時 罰款 入獄 電腦設備也被沒收 在美國各州的法律條文裡已經增加這條法律,有些州增加了許多符合他們需要的電腦法律條文,電腦犯罪 發現犯罪與起訴,電腦搜證專家 專門搜尋在法庭上可用的電腦資訊証據,電腦犯罪 發現犯罪與起訴,電腦保全,天然災害 火災 意外 惡意破壞,偷竊資料 損毀資料 工業間諜 駭客,它是一套用來保護電腦系統與資料,免於遭受有意無意的傷害,或是非使用者入侵的機制,電腦保全 身份識別與存取權,有被授權的個人方能存取系
7、統 使用以下其中一種方式 你有什麼 你知道什麼 你做些什麼 你是誰,電腦保全 身份識別與存取權,你有什麼 鑰匙 識別證 通關密碼 塑膠卡片 上有磁條 電子識別卡 藉由紅外線訊號可以偵測到佩帶者的所在位置,電腦保全 身份識別與存取權,你知道什麼 密碼 身分證件號碼 組合,電腦保全 身份識別與存取權,你做些什麼 驗證簽名 軟體可以確認掃描或線上的簽名,電腦保全 身份識別與存取權,你是誰 生化特徵 經由人體特徵來辨認身分的科學 指紋 聲紋 視網膜 整個臉型,電腦保全 身份識別與存取權,內部控管 交易記錄 稽核檢查 哪些人在資料不常被使用的時間存取資料? 利用軟體來檢驗系統運作與輸出的正確性,電腦保全
8、 身份識別與存取權,注意廢棄物 使用碎紙機 將垃圾桶上鎖 申請者審查 確認履歷表上的陳述是否真實 調查背景 內建保護軟體 記錄未經授權的存取嘗試 記錄使用者個人的使用狀況,電腦保全 軟體保全,誰是軟體的擁有者 程式設計師若是受僱於公司,那麼所製作出來軟體的版權就是屬於公司 如果程式設計師不是公司的員工,那麼就必須要在合約裡頭寫明清楚 軟體是有版權的,電腦保全 Internet,防火牆 使用一台專責電腦來控管內部網路與 Internet 之間的溝通 加密 Data Encryption Standard (DES),電腦保全 個人電腦,將電腦與纜線上鎖 穩壓器 不斷電裝置 (UPS) 定期並有系
9、統地為檔案做備份,災難回復,硬體損失 可以被取代 暫時縮減了處理能力 軟體損失 業界標準做法 備份程式檔案,災難回復,資料損失 重建記錄 顧客資料 會計資料 設計成果 災難回復主要的成本與時間是花在這裡,災難回復計劃,當系統遭到破壞而停止運作或是檔案受損時,讓電腦重新復原運作以及復原資料的計畫,災難回復計劃 作法,暫時使用人工作業 向提供服務的公司購買電腦計算能力的時間 互助式的協定 兩家或更多的公司同意彼此互助,當有一家發生災害時,其它的公司可以提供必要的電腦運算能力 如果發生大區域的災害,這種協定仍舊無法解決問題,災難回復計劃 作法,同盟協定 共同投資 完整的電腦系統 定期測試 只有在緊急
10、事件發生時才使用 站台 熱站 擁有完整電腦硬體、環境控制、安全保護與通訊設備等的電腦中心 冷站 一個環境合適的空殼,災難回復計劃 事先的安排,除了硬體設備外,其它的資訊副本都應該另存於有一段距離的安全場所 程式和資料檔案 程式列表 程式與作業系統文件 硬體廠商清冊 資料輸出格式 災難回復計劃,災難回復計劃 包括,程式的優先順序 如何通知員工 需要動用到哪些設備和從哪裡可以取得 替代的電腦設備 輸入與輸出資料的處理程序 緊急事故訓練,備份 為何要備份?,“如果你沒有經常的備份你的檔案,你就要有接受檔案遺失的心理準備” 使用者平均每年都會有一次損失資料的經驗,備份 什麼情況會造成資料損失?,軟體操
11、作不當 輸入資料有誤 軟體可能會破壞資料 硬碟故障 無意間刪除了某些檔案 感染電腦病毒,備份,備份方法 完整備份 差異備份 漸增備份,備份媒體 磁片 磁帶 Zip 磁碟 CD-R / CR-RW DVD-RAM 映射磁碟機,臭蟲與病毒,設計目的是使電腦系統失效或造成某種非預期情況的程式 可能會干擾到 PC 的正常功能,臭蟲,罕見 經由網路轉移到另一台電腦 在目標電腦的硬碟上自我繁殖成為另一個獨立的檔案,病毒,透過一些不合法的指令,病毒自己會傳染給其它的程式 可能是良性的 也可能會對電腦造成損害 破壞主義者,病毒,病毒疫苗或防毒軟體 阻止電腦病毒的擴散 安裝軟體 定期下載最新的病毒碼,病毒,反撲
12、病毒 它擁有反擊疫苗的能力,甚至可能會刪除防毒軟體 成本 每年損失數十億美元 讓使用者覺得不安,病毒的傳播,網路 磁片,病毒 感染途徑,執行病毒程式 使用開機區已經遭到病毒感染的磁片開機,包括將有病毒的非開機磁片留在軟碟機裡也會被傳染 下載已遭到病毒感染的檔案並執行它 開啟已遭到病毒感染的電子郵件附件檔案 在某些版本的Outlook,可能只要觀看遭到病毒感染的電子郵件就會被傳染,病毒 預防措施,小心來自 Internet 或朋友的免費軟體 只安裝包裝完好的軟體磁片 使用病毒掃描軟體檢查所有要寫入你硬碟的檔案或文件,隱私權,我的資料在哪裡? 別人如何使用我的資料? 哪些人看過我的資料? 我的隱私
13、權是否有受到保障?,關於你的所有事情可能儲存在不只一個電腦檔案裡,隱私權 他們如何取得我的資料?,貸款 百貨公司記帳卡 郵購 訂雜誌 繳稅表格 申請學校、工作或加入俱樂部,保險公司 住院記錄 銀行 監理處 政黨組織 慈善機構 選擇陪審團,隱私權 他們如何取得我的資料?,隱私權法案,公平信用報告法 1970 資訊自由法 1970 聯邦隱私法 1974 租片隱私防護法 1988 電腦比對與個人隱私保護法 1988,隱私權 你的老闆正在監視你!,監視軟體 電腦螢幕畫面 電子郵件 每分鐘敲擊鍵盤的次數 員工休息的時間 哪些電腦檔案有被使用和使用了多久 個人隱私促進團體正在督促政府立法,要求雇主在監視員
14、工之前必須先警告員工,隱私權 網站正在監視你,記錄下: 城市 你剛剛去過哪個網站 你在網站上的一舉一動 你所使用的電腦軟硬體 按了哪些電腦按鍵 使用者按了哪些滑鼠鈕從這個網站到另一個網站 使用者在網站上選了哪些網頁來瀏覽,隱私權 網站正在監視你,Cookie 儲存關於你的資訊 檔案是儲存在你自己的硬碟裡 對你有益的用法 儲存你的瀏覽喜好 網路購物 有安全保護的網站會將你的密碼保存在 cookie 裡 比較引人爭議的用法 為廣告商記錄你的瀏覽習慣 你可以設定瀏覽器拒絕 cookie 或是要在你電腦上放 cookie時警告你 有軟體可以協助你管理硬碟上的 cookie,隱私權,P3P Platfo
15、rm for Privacy Preference Project 由 World Wide Web Consortium (W3C) 組織所提出的標準 使用者可以自己設定隱私權原則 網站會傳送穩私權原則 由軟體來決定該網站是否符合使用者的穩私權原則 網站的加入則是自願的,垃圾郵件,比散發一般廣告信件成本較低 Spamming 收集使用者的電子郵件住址 傳送電子郵件訊息給 “每個人”,垃圾郵件,幫助減少垃圾電子郵件 在網路上留下電子郵件住址的時候,盡可能小心一點,例如新聞群組 不要填任何的申請表格,除非對方承諾不會販售你的資訊或拿來交換 對濫發郵件的人絕對不要回應 使用過濾軟體 有些州已經開始立法懲罰那些不請自來的垃圾電子郵件,保護兒童,阻隔軟體 高科技伴讀人 檢查瀏覽器的歷史記錄,了解曾經去過哪些網站 儘量將電腦放在半開放、有很多人會經過的空間,保護兒童,立法 Communications Decency Act 1996 Childrens Online Privacy Protection Act (COPPA) 2000,