資訊安全觀念

(1)「人」是資訊安全中最薄弱的一環

     「人」是資訊安全中最薄弱的一環，生活中發生許多的資安意外大多都是人為造成的。駭客利用人的弱點來放陷阱，例如透過聳動特別的郵件標題，讓使用者產生好奇心並點下網址造成電腦中毒，又或是透過過度便宜的商品價格，吸引消費者登入購買，藉機盜取使用者個資的假網拍，常常造成企業損失慘重，這些發生的原因都可以歸咎到「使用者資安意識欠缺」，為了解決此問題，許多企業開始針對員工進行教育訓練，提升使用者的資安意識，降低資安外洩風險。

(2)世界上沒有任何一套系統及措施可提供百分之百的安全防護

     世界上沒有任何一套系統及措施可提供百分之百的安全防護，每個防毒系統都有失誤機率，有時候也會因為設備不同，造成防毒出現錯誤。所以公司除了為每台工作機都裝上防毒之餘，也利用不同的工具來找出是否有防毒漏洞。例如每周針對公司內網網段進行掃描，確認所有使用裝置是否有安裝防毒，再透過掃描報告追蹤未安裝防毒之設備，確認其設備為何與未安裝防毒原因，訂定不同的防護方案，如安裝Traps、SAFELOCK等其他防護軟體。透過不同的軟體交叉使用與掃描，讓防護網越來越嚴謹，使資安漏洞風險降到最低，當然，這並不是一個百分之百的防護網，至少當出事時，我可以透過完善的管理制度與確實的追蹤報告，迅速地找出問題主機並協處防護，使其損失降到最低。

(3)便利性及安全性常常互相衝突

     在需多餐廳裡面很多店家為了消費者方便使用wifi而將其密碼設為電話號碼或重複性數字，另外現代人在上網時需要創建帳號登入密碼，為了怕忘記，往往同一組帳密打天下，一旦駭客從資安較不全的網站取得會員帳密就能同時駭入其他如line，信用卡，Paypal等不同會員，進行串改密碼和資料盜取。這些都是方便與安全性的衝突之一，建議店家可以固定更換密碼，並區隔重要設備所使用的網路與供客人使用的網路，駭客不好掌握重要資訊。針對使用者的帳號密碼設定，在管理上可以用安全性的不同來進行分級，重要的銀行信用卡、paypal設一種密碼，line、facebook等設另一種密碼，其餘資安不足的設為另一種密碼，使駭客就算擁有你其中一組資料，也沒辦法駭入其他的會員，將低其損失。

 

帳戶管理不當的潛在風險

     在英業達實習時，公司會為每位員工都設立一個員工帳戶，員工的出勤狀況、辦公聯絡都可以透過這帳戶做使用。但由於英業達屬於規模較大的公司，其員工數大約有2000多人上下，人使的流動也相當平凡，在管理帳戶上也有需多潛在風險要，所以要注意是否有以下幾點事項，降低資安外洩的可能性。

 (1)允許使用容易猜測與破解的密碼

     每年網路安全產品公司 SplashData 都會公布最糟密碼排行榜，許多使用者為了方便記憶常常會將密碼設為簡單有規律的數字或是與自己相關的生日電話英文名字，這些易猜密碼當駭客在破解時，密碼輕鬆就能拿到，所以當公司同仁在設定密碼時，系統會自動判斷是否易破解，並規定每三個月更換密碼，更改密碼不可與近期密碼重複，降低駭客取得密碼的機率。

 (2)不使用有安全性弱點的驗證方法

     在登錄帳戶的過程中，若單純只有用帳號密碼來做驗證，當駭客不幸取得了帳密，資料就容易外洩。但若在輸入帳密的同時也做了兩種以上驗證，例如智慧卡、指紋、臉部辨識或利用使用者工作的場合及位置作為驗證的依據，都可以大幅降低外洩風險，其認證稱之｢嚴謹驗證｣。

 (3)使用者特權管理符合最低權限原則

     在設定帳戶權限時，不同等級的人員所賦予的權限不盡相同，遵循最低權限賦予原則，以避免逾越權限。若全部人的全縣都相同，容易造成有心人士未經授權進行存取串改，讓公司資料外洩。

 (4)稽核使用者帳戶

     透過定期的稽核，隨時掌控使用者在系統上的各項安全性行動，包含登入次數、紀錄帳戶新增變更與移除目，並確認特殊使用者行使使用者權限的安全性管理，目的在用來追查使用者在系統上的活動並作權責歸屬。

 (5)不濫用管理員帳戶

     管理員帳戶非常重要，它擁有無法刪除、可以停用、允許鎖定網路或變更名稱等安全特性，具有本機完全的管理權限。允許無限制的執行所有管理工作的權限，一旦帳戶被誤用或密碼被破解，系統安全將完全瓦解，所以管理員帳戶應嚴格的保護，謹慎的使用。

 

ISO27001資訊安全管理

(1)資訊安全三大原則CIA

機密性 (Confidentiality)：確保資訊只有獲得授權的人才能存取。

完整性 (Integrity)：確保資訊在維護與處理過程中沒有遭到變動與竄改。

可用性 (Availability)：確保經授權的使用者在需要時，可以適時取得資訊。

(2)什麼使ISMS?

     稱為「資訊安全管理系統」或「資訊安全管理制度」，目的在於保護資訊資產的機密性、可用性與完整性。乃組織整體管理制度的一部份，必需依據風險管理的方法加以制訂，進而用以建立、執行、操作、監控、審查、維護與改進組織的資訊維護與改進組織的資訊安全。

(3)什麼是ISO27001資訊安全管理

     ISO27001為目前國際上最廣泛採用之資訊安全管理制度標準規範，為建立完善之資訊安全管理制度提供一個良好的起點及系統化的方法。資訊安全管理制度標準規範中，絕大部份著重的是在於管理面的要求，其次才是技術面的專業知識。此制度標準規範提醒在建構及管理整個制度面時，所須留意且不可忽略的層面，並藉由審查機制、事件的回饋及內部稽核，以預防資訊安全事件的或是降低損失的風險。其稽核涵蓋內容非常廣包含11 個管理領域、39個控制目標、133個控制要點。

(4)ISO27001導入與建置方法-PDCA

規劃：建立與管理風險及改進資訊安全相關之ISMS的政策、目標、過程及程序 以產生與組織整體政策和目標相一致之結果。(建立ISMS)

執行：實作與運作ISMS的政策、控制措施、過程及程序。(實作與運作ISMS)

檢查：依據ISMS政策、目標及實際經驗，評鑑及在適用時測量過程績效，並將 結果回報給管理階層審查。(監視與審查ISMS)

行動：基於ISMS內部稽核與管理階層審查結果或其它相關資訊採取矯正與預 防措施，以達成ISMS的持續改進。(維持與改進ISMS)

(5)ISO27001專案導入規劃注意事項

1.導入規模：

確認參與人數、Site、資訊系統，不同的規格報價也不盡相同。

2.調查組織現有規範與要求強度：

將ISO27001規範與組織現有規範與要求進行比對，統整出一個能夠相互使用的制度規範。

3.專案人員參與程度：

由於專案涵蓋範圍廣，會影響到公司許多的部門，需要有一名上級主管當作資訊長，負責推動專案與協調各部門工作，讓專案能順利進行。

4.調查組織資訊委外情況：

了解集團控制與外包情形。

 

(6)ISO27001資訊安全管理有何效益

1.確認風險並採取控制措施以管理或排除風險

2.彈性處理控制措施以適用於貴公司的全部或部分領域

3.取得利害關係人和客戶的信任，使他們相信自己的資料有受到保護 

4.藉由遵循法規之實踐贏得供應商首選的地位

5.遵循法規之實踐更符合招標要求 

 

電腦病毒

(1)什麼是電腦病毒？

     在技術上來說，電腦病毒是一種會自行重覆複製的可執行碼(也就是程式)。在真實的世界中，所有的電腦病毒都有一個共通的特性-它們通常都會發病。當病毒發病時，它會破壞硬碟的一些重要部分。

​

(2)電腦病毒的種類

1.巨集病毒 (Macro Virus):

     巨集病毒是目前最熱門病毒之一。它主要是利用軟體本身所提供的巨集能力來設計病毒， 所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能，如Word，Excel，AmiPro都相繼傳出巨集病毒危害的事件，在台灣最著名的例子正是Taiwan NO.1 Word巨集病毒。

​

2.開機型病毒 (Boot Strap Sector Virus):

     開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的架構設計，使得病毒可以於每次開機時，在作業系統還沒被載入之前就被載入到記憶體中，這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制，並且擁有更大的能力去進行傳染與破壞。

​

3.檔案型病毒 (File Infector Virus):

     檔案型病毒通常寄生在可執行檔(如 *.COM, *.EXE等)中。當這些檔案被執行時, 病毒的程式就跟著被執行。檔案型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種 :

a.非常駐型病毒(Non-memory Resident Virus) :

     非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。

b.常駐型病毒(Memory Resident Virus) :

     常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般(如 Interrupts)，由於這個原因, 常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中, 只要執行檔被執行, 它就對其進行感染的動作, 其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。

​

4.複合型病毒 (Multi-Partite Virus):

     複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM, *.EXE 檔，也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性, 使得這種病毒具有相當程度的傳染力。一旦發病，其破壞的程度將會非常可觀！ 例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒皆是．

​

5.隱型飛機式病毒 (Stealth Virus):

     隱型飛機式病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義, 它藉由控制DOS的中斷向量來讓DOS以及防毒軟體認為所有的檔案都是乾淨的。

​

6.千面人病毒 (Polymorphic/Mutation Virus):

     千面人病毒可怕的地方, 在於每當它們繁殖一次, 就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中, 所含的病毒碼都不一樣, 對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如Whale病毒依附於.COM檔時，幾乎無法找到相同的病毒碼, 而Flip病毒則只有2 byte的共同病毒碼（好像戴面具只剩兩個眼睛露出來）。

(3)電腦中毒的可能症狀

1.系統執行速度下降

2.執行檔的大小和日期被改變

3.出現奇怪的訊息和圖像

4.檔案莫名其妙消失

5.硬碟空間突然不足

6.I/O動作不正常*系統經常無故當機

(5)中毒了怎麼辦？

     如果病毒已經發病且顯示出怪異的訊息，或是正在清除硬碟裡的資料，可以嘗試的動作是：馬上關機，改用一台安全的電腦開機，看看C槽是否還存在。如果C槽資料還在，可以儘快地執行備份的動作，然後用防毒軟體解毒。如果C槽已經不存在或解毒不成功，可以嘗試著將硬碟送至店家，由有維修經驗的工程師來試試看是否能夠救回一些資料。
■如果病毒尚未發作這種狀況就安全多了。病毒大多仍在繁殖當中，但是尚未發病。下面有幾個方式可以辨認病毒是否正在感染您的檔案：

1. 檔案的大小無緣無故地增加或減少！
2. 儘管您沒有做任何存檔的動作，硬碟的空間卻越來越小。
3. 在一個目錄中的檔案數目變得越來越多。

若病毒尚未發作您可以採取的行動：首先，不要執行任何的程式，並且關閉所有正在執行中的程式。下一步，如果您還沒擁有一套防毒軟體，趕緊去準備一套，利用防毒軟體去除電腦病毒。（一個例外是，在開始解毒之前，您可以先嘗試去備份您的硬碟。但是您必須了解，這份備份仍含有病毒。在還沒弄清楚狀況之前，不要隨便將這份備份還原回來。）

​

公司資安防護處理方法

(1)發現異常

面對大量的設備需要管理時，為了有效率的掌控所有設備，會設定合規的標準並每周例行確認，當設備未合規時，就容易發現異常並緊急處理。通常駭客在攻擊時，都會先攻擊設備的防毒，所以當防毒出現異常時就表示可能有異常需要注意並處理了。

(2)發現問題，研擬對策

發現異常時，先通知不合規電腦的管理者進行初步修復，若依然無法修復則須個別確認，判斷其異常原因為何，找到漏洞並開始研擬對策去修復與阻止疫情擴大。駭客在發現漏洞後，除了攻擊防毒也會順便在電腦植入一些後門程式。因此發現問題的同時也要確認是否有不熟悉的軟體突然出現。

(3)開始圍堵

發現問題與異常設備後，為了防止它成為跳板機入侵其他電腦，需要將其對外port進行封鎖，並優先保護重要伺服器與主機不備入侵。當一台電腦已經備入侵時，駭客為將其當作跳板機，繼續入侵其他台電腦，擒賊先擒王伺服器與管理主機通常都會被列入優先入侵對向，因此優先防護不但能阻止駭客繼續攻擊，更能減少公司因駭客攻擊而造成的損失。

(4)外部專家廠商協助

當漏洞開始圍堵後，情況緊急技術成面也較高，會請各面向的專家前來支援，讓圍堵行動能更順利，並確認修復方法，開始修復。

(5)內部統計分析

當災情受到控制後，要去統計這次災害所造成的損失與其修復成本，並釐清責任歸屬並訂定防護SOP減少相關問題再次發生。

​