《资讯安全现况与相关法规.ppt》由会员分享,可在线阅读,更多相关《资讯安全现况与相关法规.ppt(65页珍藏版)》请在三一办公上搜索。
1、1,資訊安全現況與相關法規,主講人:鍾沛原國立成功大學 電機工程學系 專任助理E-mail:,2,自我介紹,學經歷義守大學資管所(20012005)義守大學推廣教育中心電腦講師(20032005)成功大學電機系專任助理(2005迄今)承接計畫中小教師主題探索教材與網路學習設群應用計畫(2005迄今,台灣微軟)TANet連線學校資通安全管理規範計劃(20052006,教育部)Web Application委外之資訊安全作業程序研究計畫(20062007,台灣微軟)Web Application委外之資訊安全作業程序委外方查核表與教材推廣案(2007迄今,台灣微軟),3,Outline,安全重要?
2、不要?資安現況與威脅資訊安全相關法令智慧財產權相關案例個人的資安責任中小學資訊安全管理系統(ISMS)之推動結論,4,安全重要?不要?,5,安全重要?,汽車的安全性是否重要?國人購買汽車的考慮因素:價格性能省油外觀安全,6,安全不要?,依WHO統計,每十萬人車禍死亡率上,台灣2005年即高達20.8人,相對高出美國14.6人與日本的7人。86.5%台灣車主認為安全氣囊很重要,但歐美標配一台車6顆,台灣只有1.47顆。,資料來源:,7,安全真的很重要,資訊安全與實體安全同等重要,但忽略資訊安全,所造成的損失很可能會遠高於忽略實體安全的結果。資源的投入完善的安全。保護資訊的安全必須瞭解:What?
3、Why?How?When?Where?,8,資安現況與威脅,9,資訊安全的威脅,資料安全威脅,外部威脅天然災害硬體損毀駭客病毒明文傳遞連線欺騙,內部威脅系統弱點內部員工管理不當內部網路協力廠商,10,最近觀察到的狀況(1/3),舊的威脅與弱點仍然存在,且改善不多.2002年-2005年,仍有大部分政府及商業網站仍存在SQL Injection弱點。eg:駭客新手法 資料隱碼入侵 威脅九成官商網站(2002/04)建中學生入侵總統府網站(2003/04)駭客入侵大考中心 過去三年逾百萬筆資料外流(2005/04)駭客入侵教師介聘網 篡改教師積分(2005/06)大學生欠缺法律觀念當駭客 遭刑事局
4、法辦(2006/01)高二駭客以資料隱碼(SQL INJECTION)的手法侵入資料庫(2006/01),11,最近觀察到的狀況(2/3),駭客變成英雄.媒體的渲染,卻忽略了事件背後的意義用少年駭客、天才等來形容駭客的行為,卻忽略了事件真正的重點法治的觀念.廠商公開徵求進過偵九隊的員工駭客變戰警 助警抓駭客(2005/07)時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事(http:/,12,最近觀察到的狀況(3/3),犯罪高科技化無線溢波洗錢案 駭客利用無線溢波盜刷信用卡的犯罪集團,該集團以接收無線網路溢波的方式盜刷他人信用卡;然後利用線上付款網站、線上遊戲虛擬貨幣買賣洗錢。(
5、2/14)網路詐騙盛行Phishing網路購物詐騙網路截標利用網路電話傳遞訊息兩岸三地犯罪集團利用網路電話聯繫、分工,避免警方查緝監聽。,13,Web 威脅/危機(1/6),13,Web應用程式資安事件統計,資源:資策會,Web應用程式安全參考指引草案,14,Web 威脅/危機(2/6),竄改網頁(攻陷網站系統)微軟英國網站被駭客攻擊並且淪陷,將微軟主頁更改為一位孩子揮舞著沙烏地阿拉伯的國旗。(CNET-2007.7)“自由電子報被駭!首頁換成五星旗”(東森新聞-2007.6)隱私/資訊 洩漏“利用銀行假網頁釣魚竊取兩萬多筆個資”(卡優新聞網-2007.07)“無名小站遇駭 個資流入中國”(自
6、由時報-2006.11),14,15,Web 威脅/危機(3/6),惡意網頁Google:的網站很危險瀏覽器潛在的魅影:網路惡意軟體之分析(The Ghost in the Browser:Analysis of Web-based Malware)歐洲逾萬網站遭駭(2007/06)駭客隨機挑選安全防護較不完整的網站為跳板,植入惡意連結程式,竊取個人機密資料及植入木馬程式做為跳板,藉以造成更大規模的感染。Sophos偵測,2007.6報告指出每天可以檢測出29700個惡意網站。其中有 80%是合法網站,但遭到了駭客入侵,並植入惡意代碼。,15,110,16,Web 威脅/危機(4/6),大砲開
7、講http:/,TW 網站淪陷資料庫http:/compromised,國內網站淪陷列表,16,17,Web 威脅/危機(5/6),網站架構,傳統的保護方法,17,18,Web 威脅/危機(6/6),趨勢:從Server Side的攻擊到Client Side的攻擊。攻擊使用者端,以竊取資訊或控制zombie電腦Web based Malicious激增Web page+Malicious software(Malware)隱私資訊/個人資料外洩部落格、會員資料、暱稱、消費資訊etc.,逐漸從技術問題演變成為社會問題網路詐騙、釣魚網路上的個人資訊-個人生活模式,18,19,Web applic
8、ation頭號嚴重資安弱點,19,20,分析這些現象,人人都知道資安很重要,但卻不知如何做。所以舊的威脅依然存在。錯誤的觀念,將駭客拱成英雄。犯罪者利用來進行犯罪行為。駭客攻擊轉向有目的的行為竊取機敏資料要資料也要錢,21,未來資安趨勢,駭客攻擊的手法趨於多樣化及混和型的攻擊。木馬程式成為洩漏機敏資料的首因。駭客攻擊目標轉向金融機構、企業內部的個人電腦及利用寬頻上網的家用電腦。攻擊後,資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。無線網路與網路基礎建設成為下一波攻擊標的。,22,資訊安全相關法令,23,資訊安全相關法令,國家機密保護法電子簽章法刑法(防駭條款)電腦處理個人資料保護法檔案
9、法著作權法行政院及所屬各機關資訊安全管理要點機關公文電子交換作業辦法智慧財產權 Intellectual Property Rights(IPR),案例一,案例描述(資料來源:教育部網站)王小浩是上一波網路泡沫化的犧牲者,在網路幻夢破滅後,王小浩在一夕之間成了無業遊民。由於沉重的經濟壓力,王小浩被迫鋌而走險,他在網路上架設一個與國內知名的A銀行網站首頁完全相同的網頁,並以該銀行名義,發出數十萬封偽造的電子郵件,該郵件標題為銀行系統轉換,重新登錄,要求該銀行的網路銀行用戶,點選該郵件上的網頁鏈結,進行網路銀行帳戶號碼與個人密碼的重新確認。黎小芬是上述A銀行網路銀行的用戶,她收到上述的電子郵件就依
10、照其上的指示進行,發現所鏈結的網頁確實是與A銀行的網站首頁一模一樣,因此不疑有他,便在該網頁上登錄了自己的銀行帳戶號碼與個人密碼,王小浩利用騙得的帳號與密碼,將黎小芬的帳戶餘額10萬元,轉帳至自己所設的一個銀行人頭帳戶中。隔天黎小芬發現後,她馬上打電話與該銀行聯繫,並且向警方報案處理。,適用法條在網路上架設與A銀行網站首頁完全相同的網頁,並以該銀行的名義,發出偽造的電子郵件,已觸犯刑法第210條之偽造私文書罪。利用騙得的網路銀行帳戶號碼與個人密碼,入侵受害者在A銀行的網路銀行帳戶,已觸犯刑法第358條之無故入侵電腦罪。將受害者帳戶存款轉走之行為觸犯刑法第339-3條之電腦詐欺罪,案例二,案例描
11、述(資料來源:2007/02/10 工商時報)國內多家金融投資顧問公司,遭駭客入侵破解通行碼,將客戶個資及投顧研究分析結果竊走,業者近一年來損失超過三億元。刑事局偵九隊昨偵破此一地下投顧犯罪集團,將主嫌陳慶興逮捕到案,刑事局呼籲金融、證券公司應加強電腦資安,特別是系統帳號、密碼不宜明文儲存於網路主機,以防駭客入侵,損害客戶及公司權益。,適用法條觸犯刑法第358條無故入侵電腦罪。觸犯刑法第359條無故取得、刪除或變更他人電磁紀錄罪。違反證券投資信託及顧問法。,案例三,案例描述(資料來源:2007/08/18 蘋果日報)小米今年十九歲,是剛要升大二的女生,最喜歡的休閒活動就是看韓劇,因為電視播的進
12、度太慢,乾脆去夜市買整套回來看。由於正版太貴,便選擇便宜的盜版片,買回家後才一個禮拜便看完了,意猶未盡的我,前後買了六部韓劇,我靈機一動,想把看過的上網拍賣,就可以再去買新的。於是,我以買來的七折價網拍,並標明可面交,三天後有買家出價競標,三部韓劇全由同一買家買下,我們約在捷運站出口交易,交易當天,我依約到達。十分鐘後,一名中年男子前來和我攀談,問我是不是韓劇賣家,我點頭示意後,他便表明警察身分,旁邊也出現另名穿制服警員,表示有人檢舉我在網路販賣盜版光碟,依法須將我帶回做筆錄,這時我才知自己犯法,但已來不及了。,適用法條賣家行為已違反著作權法 可處3年以下有期徒刑、拘役,或併科50萬元以下罰金
13、。,27,妨害電腦使用罪簡介,隨著資訊科技快速發展,網際網路應用日益普及與多元,除了帶給我們許多生活上的便利,但也衍生一些資通安全問題,特別是網路犯罪行為已有增多趨勢。網路犯罪行為大約可歸類下列三種以網路作為犯罪工具網路詐欺、網路恐嚇等以網路作為攻擊標的竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等。以網路作為犯罪場所如色情、誹謗、賭博等為避免電腦犯罪與維護網路秩序,特於刑法中設立相關法令條文以為管理-刑法第36章妨害電腦使用罪章。,28,妨害電腦使用罪主要內容(1/2),第358條 無故入侵電腦罪無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者
14、,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為遏止駭客入侵行為。第359條 無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。本條主要目的為確保電腦內部電磁紀錄安全。第360條 無故干擾電腦系統罪無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為維護電腦及網路運作正常。,29,妨害電腦使用罪主要內容(2/2),第361條 對公務機關犯罪之加重對於公務機關之電腦或其相關設備犯
15、前三條之罪者,加重其刑至二分之一。本條主要目的為確保國家安全。第362條 製作供犯罪程式罪製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。本條主要目的為防止犯罪工具之利用與擴散。第363條 告訴乃論第三百五十八條至第三百六十條之罪,須告訴乃論。本條主要目的為集中司法資源對抗重大犯罪。,30,電腦處理個人資料保護法說明(1/3),立法目的對公務與非公務機關蒐集、處理、與利用個人資料的情形,加以明文規範。避免個人人格權(隱私權)遭受侵害,促進個人資料之合理利用,特此制定電腦處理個人資料保護法。保護客體本法保護客體限
16、於經電腦處理的個人資料。受本法保護之個人資料以現仍生存之自然人為限,已死亡之自然人與法人,不受本法之規範。個人資料包含:自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社交活動、及其他足以識別該個人之資料。,31,電腦處理個人資料保護法說明(2/3),適用主體本法規範的對象有公務機關及非公務機關。公務機關係指依法行使公權力之中央或地方機關。非公務機關係指以下所列之事業、團體或個人。徵信業、以蒐集或電腦處理個人資料為主要業務之團體或個人。醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業。其他經法務部會同中央目的事業主管機關指定之事業、團體
17、或個人。受公務機關或非公務機關委託處理資料之團體或個人,於本法適用範圍內,其處理資料之人,視同委託機關之人。,32,電腦處理個人資料保護法說明(3/3),機關對個人資料之蒐集或利用的原則應尊重當事人之權益,依誠實及信用方法為之。不得逾越特定目的之必要範圍,以確保當事人權益,避免人格權受到侵害。揭露個人資料,當事人是主要關鍵人物,當事人本身需審慎決定何者為提供給公務與非公務機關的必要個人資料。,33,電腦處理個人資料保護法修訂草案(1/2),修法背景法務部為因應急速變遷之社會環境,特別彙整國內學界與實務界的相關修法建議,並參考其他國家之個人資料保護相關法令來針對本法進行修訂。修訂草案共有55條,
18、並將本法名稱修訂為個人資料保護法。草案修正方向擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與,34,電腦處理個人資料保護法修訂草案(2/2),修法重點說明將買賣個人資料行為從告訴乃論罪修改為公訴罪,並提高刑責,最高為五年有期徒刑。寄廣告信、垃圾郵件將觸法,未經個人同意,網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為,均將觸犯本法,檢警接獲檢舉後必須主動追查。若是公務員涉案,依法得加重其刑二分之一,最重可處七年半徒刑,與刑責已接近涉及貪瀆案。重罰意圖營利而違法的行為,修訂草案大幅加重意圖營利而違法蒐集、利用或盜賣個人資料者的刑責,由原本二年以下徒刑,
19、提高為五年以下徒刑,且併科由原先四萬元大幅提高為五百萬元罰金。,35,智慧財產權相關案例,案例一,案例描述(資料來源:教育部大學校園著作權(10個案例)王樺就讀於某大學一年級,由於非常喜愛聽流行歌曲,上週末他花了新台幣三百五十元整,向炫音唱片行購買了一片快樂唱片公司最近製作發行的某著名歌手名為情傷的音樂光碟。由於深怕該原版音樂光碟因使用不慎而造成磨損,王樺便利用自己個人電腦中的燒錄機,將該音樂光碟中的所有歌曲,在另外的一片光碟上重新複製一份,以便加以保存,供自己往後使用家用音響,在家中欣賞該音樂光碟中的歌曲。由於王樺另外還有一個MP3數位隨身聽,他便利用電腦軟體程式,將該音樂光碟中的所有歌曲,
20、轉檔成為MP3的檔案格式,然後儲存在該MP3數位隨身聽中,以方便自己在戶外活動時,仍然可以隨時隨地聽到喜歡的音樂。王樺得知其同班同學李群、蔣家瑜、袁如欣也想要買上述這片音樂光碟,王樺基於好東西要和好朋友分享的心情,於是就很熱心地使用自己個人電腦中的的燒錄機,將該音樂光碟重製了三份,分送給三人,每人一份。,重製行為合理使用著作權法第五十一條規定:供個人或家庭為非營利之目的,在合理範圍內,得利用圖書館及非供公眾使用之機器,重製已公開發表之著作。第六十五條第二項之規定:著作之利用是否合於第四十四條至第六十三條規定或其他合理使用之情形,應審酌一切情狀,尤應注意下列事項,以為判斷之基準:一、利用之目的及
21、性質,包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權法第九十一條第四項之規定:著作僅供個人參考或合理使用者,不構成著作權侵害。作權法第九十一條第一項之規定:擅自以重製之方法侵害他人之著作財產權者,處三年以下有期徒刑、拘役,或科或併科新臺幣七十五萬元以下罰金。著作權法第八十八條第一項之規定,因故意或過失不法侵害他人之著作財產權者,負損害賠償責任。(民事責任),案例二,案例描述(資料來源:教育部大學校園著作權(10個案例)林敏生是個愛好流行歌曲的大學生,他在某P2P網站上註冊成為會員,哇!好多新歌!林敏
22、生每次都為他能利用P2P電腦軟體,在網路上下載許多MP3的最新流行歌曲,感到雀躍不已。昨天他又下載了許多好聽的新歌,包括綺麗唱片公司最新製作發行的某歌手專輯音樂光碟中的歌曲昨夜的星光,這些下載的歌曲,他都是儲存在自己的個人電腦硬碟中,或是儲存在自己的MP3數位隨身聽中,以供自己隨時欣賞之用。為了讓更多愛好流行歌曲的人,也能聽到好聽的音樂,林敏生也利用P2P電腦軟體,供其他的會員網友,透過網際網路自林敏生個人電腦硬碟資料夾中,下載這些MP3的最新流行歌曲。,公開傳輸行為合理使用著作權法第五十條之規定:以中央或地方機關或公法人之名義公開發表之著作,在合理範圍內,得重製、公開播送或公開傳輸。第六十一
23、條之規定:揭載於新聞紙、雜誌或網路上有關政治、經濟或社會上時事問題之論述,得由其他新聞紙、雜誌轉載或由廣播或電視公開播送,或於網路上公開傳輸。但經註明不許轉載、公開播送或公開傳輸者,不在此限。第六十五條第二項之規定:著作之利用是否合於第四十四條至第六十三條規定或其他合理使用之情形,應審酌一切情狀,尤應注意下列事項,以為判斷之基準:一、利用之目的及性質,包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權法第九十一條第一項之規定:擅自以重製之方法侵害他人之著作財產權者,處三年以下有期徒刑、拘役,或科或併科新
24、臺幣七十五萬元以下罰金。著作權法第九十二條之規定,擅自以公開傳輸之方法侵害他人之著作財產權者,處三年以下有期徒刑、拘役、或科或併科新臺幣七十五萬元以下罰金。著作權法第八十八條第一項之規定,因故意或過失不法侵害他人之著作財產權者,負損害賠償責任。(民事責任),案例三,案例描述(資料來源:教育部大學校園著作權(10個案例)廖家心去年以第一志願考上某國立大學新聞系,這學期她選修了一門傳播心理學,該課程的授課教師是賀中原教授,他並未採用特定的教課書,而是由賀教授根據其授課大綱,口授課程內容,他要求上課學生,除授課內容外,將閱讀相關課外資料進行分組討論後,共同完成一份小組的共同筆記。廖家心與同班死黨黃佳
25、伶、藍品雯三人同在一組,她們三人不但上課時認真筆記賀教授的授課內容,而且經常課後聚在一起,共同整理上課筆記,並閱讀相關課外資料進行討論,將討論後的共同心得補充至上課筆記中,以便共同完成該小組的共同筆記。該小組的共同筆記真是叫好又叫座,期末考前選修該課程的同學們都爭相借用影印,李志明首先開口向廖家心借用該小組的共同筆記,廖家心雖然表示同意,但要李志明去問黃佳伶和藍品雯二人是否同意,黃佳伶和藍品雯知道此事後,她們倆以著作權為由,拒絕了李志明的要求。,改作權著作權法第五十一條供個人或家庭為非營利之目的,在合理範圍內,得利用圖書館及非供公眾使用之機器重製已公開發表之著作。著作權法第三條第一項第十一款之
26、規定,所謂改作,指以翻譯、編曲、改寫、拍攝影片或其他方法就原著作另為創作。著作權法第八條規定:二人以上共同完成之著作,其各人之創作,不能分離利用者,為共同著作。著作權法第四十條之一之規定,共有之著作財產權,非經著作財產權人全體同意,不得行使之,而各著作財產權人,無正當理由者,不得拒絕同意。原著作者並未因衍生著作而喪失著作權的保護。,案例四,案例描述(資料來源:教育部大學校園著作權(10個案例)倪雲倫甫自美國獲得博士學位後,便回國應聘到某私立大學兼任生物學概論的授課教師。倪教授是一位充滿教育理想的教師,她希望以生動多元的教學方式,讓她的學生學到更多有關生物學的知識。某天,倪教授打開電視機,發現自
27、然萬象頻道上,正在播出由達爾文科學教育公司於今年製作首播的生物的奧秘電視影片,該影片片長約九十分鐘,內容有精彩的影像畫面與旁白介紹,倪教授眼睛一亮,咦!這和我正在授課的課程內容有關呢!,倪教授便馬上利用家裡的錄放影機,將與授課有關的影片內容,共計約十分鐘,側錄在一卷錄影帶上,以便自己為學校授課做課前準備之用,以及上課時,利用學校的錄放影機與電視,在教室中播放給上課的學生們觀看之用。倪教授並在該錄影帶上註記達爾文科學教育公司製作字樣。第二天,學生們在看過該錄影帶後,雖然只有十分鐘,但是都覺得獲益匪淺。,重製權與公開上映權著作權法第四十六條規定:依法設立之各級學校及其擔任教學之人,為學校授課需要,
28、在合理範圍內,得重製他人已公開發表之著作。第四十四條但書規定,於前項情形準用之。及第六十五條第二項之規定:著作之利用是否合於第四十四條至第六十三條規定或其他合理使用之情形,應審酌一切情狀,尤應注意下列事項,以為判斷之基準:一、利用之目的及性質,包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權法第五十五條之規定,非以營利為目的,未對觀眾或聽眾直接或間接收取任何費用,且未對表演人支付報酬者,得於活動中公開上映他人已公開發表之著作,第六十五條第二項之規定:著作之利用是否合於第四十四條至第六十三條規定或其他合
29、理使用之情形,應審酌一切情狀,尤應注意下列事項,以為判斷之基準:一、利用之目的及性質,包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。授課是否等同非營利目的之活動,仍未有相關判決。,案例五,案例描述(資料來源:教育部大學校園著作權(10個案例)某私立大學為推動該校的數位化教學,特別訂定了相關辦法,鼓勵該校專任教師研發數位教學課程,凡是該校專任教師於公告的截止日期前,依據上述相關辦法,提出數位教學課程的補助申請計畫書,經過該校數位教學推動委員會審核通過予以補助者,即可獲得新台幣十萬元的經費補助。趙長春老師係該
30、校室內設計系的專任助理教授,其於公告的截止日期前,依據上述相關辦法,提出公共展場室內設計實務數位教學課程的補助申請計畫書,由於該課程運用多媒體技術,將公共展場室內設計實務的教材加以數位化,教學方法頗具創意,經過該校數位教學推動委員會審核通過予以經費補助。經過為期一年的計畫執行期間,趙長春 教授終於完成上述公共展場室內設計實務數位教學課程,並且在該校所建置 E 學園網站上的數位教學課程專區中,上線供室內設計系的學生上網選課。由於,該課程大量使用多媒體素材,並且具有 3D 立體效果呈現公共展場的室內設計概念,趙長春 教授與選課學生在網路上的互動頻繁,學生都感到受益良多。不料,趙長春 教授自下學年度
31、起,將受聘於某國立大學室內設計系,因此無法在原校繼續授課,但 趙長春 教授在離職之後,打算將上述公共展場室內設計實務數位教學課程完全相同的內容,在新學校的網站上,供其室內設計系學生上網選課,,著作人格權與著作財產權著作權法第十一條之規定:受雇人於職務上完成之著作,以該受雇人為著作人。但契約約定以雇用人為著作人者,從其約定。依前項規定,以受雇人為著作人者,其著作財產權歸雇用人享有。但契約約定其著作財產權歸受雇人享有者,從其約定。前二項所稱受雇人,包括公務員。著作權法第十二條之規定:出資聘請他人完成之著作,除前條情形外,以該受聘人為著作人。但契約約定以出資人為著作人者,從其約定。依前項規定,以受聘
32、人為著作人者,其著作財產權依契約約定歸受聘人或出資人享有。未約定著作財產權之歸屬者,其著作財產權歸受聘人享有。依前項規定著作財產權歸受聘人享有者,出資人得利用該著作。除非教師與任教學校間有約定教師於職務上所完成的著作,以該任教學校為著作人,否則教師於職務上所完成的著作,不論是積極主動或被動受指派,有無額外的報酬或津貼,在學校工作時間內完成或是下班後在家完成,都是以教師為著作人,享有著作人格權,但任教的學校則享有著作財產權。但是,如非教師於職務上所完成的著作,故 依據著作權法第三條第一項第二款之規定著作人:指創作著作之人。故教師 自該著作完成之時起,便享有著作權法上所規定的著作人格權與著作財產權
33、,任教學校不得主張任何著作權。,46,個人資安責任,47,個人資安責任,密碼管理設備管理桌面、螢幕淨空管理電子郵件管理即時通訊管理個人資安觀念,48,密碼管理,定期更新密碼。不使用弱密碼避免使用重複數字、字母。避免使用個人相關資訊之密碼(生日、身份證字號、電話號碼、姓名等)。避免使用有意義之字詞。不寫下密碼。不提供密碼予他人。有洩漏的懷疑即更換密碼。,49,設備管理,安裝防毒和防火牆軟體。定期做好資料備份(公務上的需要)。定期更新系統與軟體之修復檔(Path)。不遺留機敏資料在印表機、掃瞄機、傳真機等設備。不提供給他人使用。不使用他人設備處理機敏資料。養成關機的習慣。,50,桌面、螢幕淨空管理
34、,機敏資料不隨意置放在桌面上。設定螢幕保護程式(要設定密碼)。離開座位或不使用螢幕時,要鎖定螢幕。,51,電子郵件管理,不隨意開啟來路不明郵件的附加檔案。設定垃圾郵件過濾之規則。使用垃圾郵件過濾軟體。不回覆垃圾郵件。不轉寄帶來好運或厄運的信件。寄送機敏資料給多人時,可使用密件副本功能。不寄送機敏資料給非相關人士。,52,即時通訊管理,不使用記錄密碼之功能。不隨意存取他人傳輸之檔案。不隨意點選他人傳送之網址。避免於工作時使用。不透露訊息或傳遞檔案給他人。定期更新程式。,53,個人資安觀念,遵守資訊安全政策與規定。不在公眾場合洩漏機敏訊息與資料。避免在網路上記錄個人資訊。謹慎處理機敏資料。定期接受
35、資安訓練。隨時留意各種資安訊息。小心駭客就在你身邊。,54,中小學資訊安全管理系統(ISMS)之推動,55,政府資安組織與推動規劃,各學研機關(構)之分類A級(重要核心):負責教育政策審定單位(如教育部等)。凡涉及各相關部會委託研究具國家安全機密性或重要敏感性之數位資料之執行單位。教學醫院。B級(核心):凡涉及社會秩序運作及民眾隱私等機敏系統之學研機構。各大學(含科技大學)。台灣學術網路各區域網路中心暨各縣市教育網路中心。C級(重要):各技術學院及專科學校。D級(一般):各高中職(含)以下學校。,各類資安系統等級應執行之工作事項,57,規劃原則,與現有各個縣市網路中心的功能配合,並提供維護國中
36、小學資通安全管理之統一規範建議針對各個縣市網路中心支援網路安全服務應有的人力、設備、經費進行規劃與建議。規劃內容涵蓋:網路中心、國中小學環境適用的資安規範國中小資通安全推動機制建立規劃國中小資通安全推廣策略規劃,58,國中小資通安全推動小組,成立目的以廠商、技術中立的開放性且專業非營利立場,規劃並落實國中小學領域資安的推動定位為常設性任務編組,由教育部為其主管機關,接受台灣學術網路技術小組之管理。工作重點統籌規劃我國國中小學教育體系之資訊安全推動機制維護國中小學教育體系的資安規範、流程、與文件版本提供相關之教育訓練服務提升國、中小學教職員與學生對於網路資通安全之認知,國、中小學校,縣市教育網路
37、中心,主管機關:教育部,委託、授權,安排年度之訪視時程表,書面通知受訪視學校,繳交系統安全自我檢測表,訪視結果報告由雙方代表認可簽字並保存,召開結束會議,說明訪視結果與建議事項,以自我檢測表填寫項目為依據,到校進行訪視作業,推動小組就訪視結果報告進行審核(教育部授權),是,否,進行資安自我檢測,訪視員檢視自我檢測表,資通安全推動小組,國中小學資安建置訪視程序(草案),未來朝抽樣稽核方向規劃,60,推廣活動,國中小教師資安教育訓練。建立一般教師及高中以上學生線上學習教材,辦理推廣活動訓練人數達2萬人次。建立國小46年級與國中13年級共六種教材,並辦理推廣活動,國中小學教育訓練人數至少達64萬人次
38、並完成測驗。,61,結論(1/4),這是一個全 民皆狗仔的 時代,隨時 都有機敏資 訊外洩的可 能。,62,結論(2/4),沒有一百分的安全,只有全心的努力。你的不方便,也是他人的不方便。,根據過去的統計,資安威脅來自天然威脅僅15%17%,人為威脅達83%85%。,63,結論(3/4),制度的建立及落實人員的教育訓練主管人員(管理階層):資安的價值與重要性技術人員(資訊人員):資安專業技術使用者(系統使用者):資安觀念及意識、個人資安防護技巧。資安技術及工具的使用幫助解決制度上的問題應先有管理制度才評估選用工具,64,結論(4/4),資訊安全說起來重要!做起來次要!忙起來不要!資通安全技術+管理+稽核應達到“均衡”管理“七分管理,二分技術,一分稽核”,65,參考資料,TANet 網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫,南區資訊安全認知與相關法規教訓訓練講義。教育部尊重及保護網路智財權 大學校園著作權(10個案例)大學校園網路法律案例教材研製計畫,
