《资讯保全与隐私在电脑与Internet上.ppt》由会员分享,可在线阅读,更多相关《资讯保全与隐私在电脑与Internet上.ppt(60页珍藏版)》请在三一办公上搜索。
1、資訊保全與隱私在電腦與 Internet 上,第十一章,學習目的,了解電腦犯罪的類型,以及電腦犯罪難以發現與起訴的特質了解電腦保全的重要性,包含發生問題後的復原計劃,軟體與資料的保全,與電腦保全的法律問題以一般術語說明病毒的運作方式、它們會造成什麼損害、以及防止這類損害發生的程序解釋個人電腦和Internet對個人隱私所造成的威脅。說明維護隱私權你可以採取什麼樣的行動,內容,電腦犯罪電腦保全災難回復計劃備份病毒隱私權垃圾郵件保護兒童,電腦犯罪,偷竊並使用或販賣資料:公司資料公司檔案內的個人資料,電腦犯罪,員工與個人都必須體認到電腦系統可能會遭遇的危險,小心保護它們的資產,電腦犯罪資料保全與隱私
2、權,保障資料的安全遺失意外的損毀被竊取被間諜偷取,保障資料的隱私薪資病歷身分證號碼銀行存款,資料通訊的能力也為保護資料的安全與隱私帶來了新的挑戰,電腦犯罪是資料而不是設備,保護資料安全的方法將伺服器上鎖可卸式硬碟機在非使用中時必須上鎖讓硬碟機必須要使用特別的工具才能拆下來在電腦四周加上外殼以避免外人接觸替檔案設定密碼保護,電腦犯罪,駭客(Hacker)的工具PC網路連線為什麼要入侵?騷擾愛現想要免費取得某些電腦服務取得資訊加以販賣牟利,駭客是企圖非法進入他人電腦系統的人,這些技術人員是受雇來嘗試以各種方法入侵系統發掘出系統的弱點補救這些漏洞為了要測試員工的應變能力,公司可能會故意不告訴員工Ti
3、ger teamsIntrusion testerhackers for hire,電腦犯罪白帽駭客,電腦犯罪什麼樣的系統已被入侵過?,企業網路一半以上美國大型公司的電腦被入侵過競爭對手所為?政府網路美國國防部電腦每年遭受超過200,000次的攻擊其它國家的電腦攻擊能力如何?網站,電腦犯罪電腦系統為何如此容易受傷害?,社交工程透過電話以及良好的說話技巧,欺騙沒有戒心的人交出密碼電子扒手使用電腦轉移或更改資料而增加自己的資產,電腦犯罪常見的犯罪型態,信用卡詐欺信用卡號碼被不法人士盜用資料通訊詐欺私接他人的通訊網路利用公司的網路做私人的用途透過電腦直接挪用公司的資金非法存取電腦資料存取員工的機密資
4、料竊取商業機密與產品價格結構非法拷貝版權軟體朋友之間不經意地共享合法軟體有計劃地大量複製合法軟體,電腦犯罪,軟體炸彈(Bomb)觸發時造成系統損害的程式通常設在一些特定的時間發作可能會埋藏在公眾軟體中,特別是共享軟體偽造資料(Data diddling)在資料進入系統之前或當時就變更資料轟炸攻擊(DOS)駭客針對某個網站持續發出要求服務的請求,多到網站無法負荷使得守法的使用者反而無法存取這個網站 看起來好像攻擊行動是同時來自許多個網站,冒用身份(Piggybacking)合法的使用者沒有適當的簽出系統就離開入侵者就只要接續使用原來的使用者所留下的環境,就可以存取系統和檔案積少成多(Salami
5、 technique)侵吞公款在垃圾中搜尋(Scavenging)在垃圾及資源回收物中尋找個人資訊,電腦犯罪,程式後門(Trapdoor)由合法程式執行完成後留在系統中的非法程式成為入侵者的一個秘密且非法的入口特洛伊木馬(Trojan horse)藏在合法程式中的一些非法指令這些指令會同時做有用的事與進行破壞入侵(Zapping)用來避過安全系統的軟體,電腦犯罪,發現犯罪不容易發現意外被發現有85%的電腦犯罪案例沒有向主管機關報告起訴法律界人士由於缺乏電腦知識而不容易了解電腦犯罪,電腦犯罪發現犯罪與起訴,電腦詐欺與濫用法案 1986 年電腦罪犯被起訴且定罪時罰款入獄電腦設備也被沒收在美國各州的
6、法律條文裡已經增加這條法律,有些州增加了許多符合他們需要的電腦法律條文,電腦犯罪發現犯罪與起訴,電腦搜證專家專門搜尋在法庭上可用的電腦資訊証據,電腦犯罪發現犯罪與起訴,電腦保全,天然災害火災意外惡意破壞,偷竊資料損毀資料工業間諜駭客,它是一套用來保護電腦系統與資料,免於遭受有意無意的傷害,或是非使用者入侵的機制,電腦保全身份識別與存取權,有被授權的個人方能存取系統使用以下其中一種方式你有什麼你知道什麼你做些什麼你是誰,電腦保全身份識別與存取權,你有什麼鑰匙識別證通關密碼塑膠卡片 上有磁條電子識別卡 藉由紅外線訊號可以偵測到佩帶者的所在位置,電腦保全身份識別與存取權,你知道什麼密碼身分證件號碼組
7、合,電腦保全身份識別與存取權,你做些什麼驗證簽名 軟體可以確認掃描或線上的簽名,電腦保全身份識別與存取權,你是誰 生化特徵 經由人體特徵來辨認身分的科學指紋聲紋視網膜整個臉型,電腦保全身份識別與存取權,內部控管交易記錄稽核檢查哪些人在資料不常被使用的時間存取資料?利用軟體來檢驗系統運作與輸出的正確性,電腦保全身份識別與存取權,注意廢棄物使用碎紙機將垃圾桶上鎖申請者審查確認履歷表上的陳述是否真實調查背景內建保護軟體記錄未經授權的存取嘗試記錄使用者個人的使用狀況,電腦保全軟體保全,誰是軟體的擁有者程式設計師若是受僱於公司,那麼所製作出來軟體的版權就是屬於公司如果程式設計師不是公司的員工,那麼就必須
8、要在合約裡頭寫明清楚軟體是有版權的,電腦保全Internet,防火牆使用一台專責電腦來控管內部網路與 Internet 之間的溝通加密Data Encryption Standard(DES),電腦保全個人電腦,將電腦與纜線上鎖穩壓器不斷電裝置(UPS)定期並有系統地為檔案做備份,災難回復,硬體損失可以被取代暫時縮減了處理能力軟體損失業界標準做法 備份程式檔案,災難回復,資料損失重建記錄顧客資料會計資料設計成果災難回復主要的成本與時間是花在這裡,災難回復計劃,當系統遭到破壞而停止運作或是檔案受損時,讓電腦重新復原運作以及復原資料的計畫,災難回復計劃作法,暫時使用人工作業向提供服務的公司購買電腦
9、計算能力的時間互助式的協定兩家或更多的公司同意彼此互助,當有一家發生災害時,其它的公司可以提供必要的電腦運算能力如果發生大區域的災害,這種協定仍舊無法解決問題,災難回復計劃作法,同盟協定共同投資完整的電腦系統定期測試只有在緊急事件發生時才使用站台熱站 擁有完整電腦硬體、環境控制、安全保護與通訊設備等的電腦中心冷站 一個環境合適的空殼,災難回復計劃事先的安排,除了硬體設備外,其它的資訊副本都應該另存於有一段距離的安全場所程式和資料檔案程式列表程式與作業系統文件硬體廠商清冊資料輸出格式災難回復計劃,災難回復計劃包括,程式的優先順序如何通知員工需要動用到哪些設備和從哪裡可以取得替代的電腦設備輸入與輸
10、出資料的處理程序緊急事故訓練,備份為何要備份?,“如果你沒有經常的備份你的檔案,你就要有接受檔案遺失的心理準備”使用者平均每年都會有一次損失資料的經驗,備份什麼情況會造成資料損失?,軟體操作不當輸入資料有誤軟體可能會破壞資料硬碟故障無意間刪除了某些檔案感染電腦病毒,備份,備份方法完整備份差異備份漸增備份,備份媒體磁片磁帶Zip 磁碟CD-R/CR-RWDVD-RAM映射磁碟機,臭蟲與病毒,設計目的是使電腦系統失效或造成某種非預期情況的程式可能會干擾到 PC 的正常功能,臭蟲,罕見經由網路轉移到另一台電腦在目標電腦的硬碟上自我繁殖成為另一個獨立的檔案,病毒,透過一些不合法的指令,病毒自己會傳染給
11、其它的程式可能是良性的也可能會對電腦造成損害破壞主義者,病毒,病毒疫苗或防毒軟體阻止電腦病毒的擴散安裝軟體定期下載最新的病毒碼,病毒,反撲病毒它擁有反擊疫苗的能力,甚至可能會刪除防毒軟體成本每年損失數十億美元讓使用者覺得不安,病毒的傳播,網路磁片,病毒感染途徑,執行病毒程式使用開機區已經遭到病毒感染的磁片開機,包括將有病毒的非開機磁片留在軟碟機裡也會被傳染下載已遭到病毒感染的檔案並執行它開啟已遭到病毒感染的電子郵件附件檔案在某些版本的Outlook,可能只要觀看遭到病毒感染的電子郵件就會被傳染,病毒預防措施,小心來自 Internet 或朋友的免費軟體只安裝包裝完好的軟體磁片使用病毒掃描軟體檢
12、查所有要寫入你硬碟的檔案或文件,隱私權,我的資料在哪裡?別人如何使用我的資料?哪些人看過我的資料?我的隱私權是否有受到保障?,關於你的所有事情可能儲存在不只一個電腦檔案裡,隱私權他們如何取得我的資料?,貸款百貨公司記帳卡郵購訂雜誌繳稅表格申請學校、工作或加入俱樂部,保險公司住院記錄銀行監理處政黨組織慈善機構選擇陪審團,隱私權他們如何取得我的資料?,隱私權法案,公平信用報告法 1970資訊自由法 1970聯邦隱私法 1974租片隱私防護法 1988電腦比對與個人隱私保護法 1988,隱私權 你的老闆正在監視你!,監視軟體電腦螢幕畫面電子郵件每分鐘敲擊鍵盤的次數員工休息的時間哪些電腦檔案有被使用和
13、使用了多久個人隱私促進團體正在督促政府立法,要求雇主在監視員工之前必須先警告員工,隱私權網站正在監視你,記錄下:城市你剛剛去過哪個網站你在網站上的一舉一動你所使用的電腦軟硬體按了哪些電腦按鍵使用者按了哪些滑鼠鈕從這個網站到另一個網站使用者在網站上選了哪些網頁來瀏覽,隱私權網站正在監視你,Cookie儲存關於你的資訊檔案是儲存在你自己的硬碟裡對你有益的用法儲存你的瀏覽喜好網路購物有安全保護的網站會將你的密碼保存在 cookie 裡比較引人爭議的用法為廣告商記錄你的瀏覽習慣你可以設定瀏覽器拒絕 cookie 或是要在你電腦上放 cookie時警告你有軟體可以協助你管理硬碟上的 cookie,隱私權
14、,P3PPlatform for Privacy Preference Project由 World Wide Web Consortium(W3C)組織所提出的標準使用者可以自己設定隱私權原則網站會傳送穩私權原則由軟體來決定該網站是否符合使用者的穩私權原則網站的加入則是自願的,垃圾郵件,比散發一般廣告信件成本較低Spamming收集使用者的電子郵件住址 傳送電子郵件訊息給“每個人”,垃圾郵件,幫助減少垃圾電子郵件在網路上留下電子郵件住址的時候,盡可能小心一點,例如新聞群組不要填任何的申請表格,除非對方承諾不會販售你的資訊或拿來交換對濫發郵件的人絕對不要回應使用過濾軟體有些州已經開始立法懲罰那些不請自來的垃圾電子郵件,保護兒童,阻隔軟體 高科技伴讀人檢查瀏覽器的歷史記錄,了解曾經去過哪些網站儘量將電腦放在半開放、有很多人會經過的空間,保護兒童,立法Communications Decency Act 1996Childrens Online Privacy Protection Act(COPPA)2000,
