1、公務機密資訊保護與案例概述,前言,資訊科技與網際網路的興起為我們的生活帶許多性,但也開始引發一些相關的資安議題,特別是有意或無意間用網時所產生的安全疑慮。資訊安全之維護只在建防火牆或是購置硬體設備,包括使用者也應該具備相關的網路資訊安全之相關概念。資訊科技與網際網路就像是一部汽車,需要大家遵守交通規則(資訊相關法律) ,才能促進生活的便利及安全。,資訊相關法律之介紹,刑法妨害電腦使用罪章國家機密保護法電腦處個人資保護法,刑法妨害電腦使用罪章條文(1/2),第358條 無故入侵電腦罪 無故輸入他人帳號密碼、破解使用電腦之保護措施或用電腦系統之,而入侵他人之電腦或其相關設備者,處3以下有期徒刑、拘
2、役或科或併科10萬元以下罰。第359條 無故取得、刪除或變他人電磁紀罪無故取得、刪除或變他人電腦或其相關設備之電磁紀,致生損害於公眾或他人者,處5以下有期徒刑、拘役或科或併科20萬元以下罰。,刑法妨害電腦使用罪章條文(1/2),第360條 無故干擾電腦系統罪 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處3以下有期徒刑、拘役或科或併科10萬元以下罰。第362條 製作程式供犯罪之用 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處5以下有期徒刑、拘役或科或併科20萬元以下罰。第361條 對公務機關加重其刑第363條 告訴乃,案例
3、分析(1/3),200410月初,多達400萬會員的天堂網遊戲服務驚爆遊戲公司網站疑似遭到駭客攻擊事件,傳出許多玩家的帳號遭盜、寶物遭竊(2004/10/7 民視新聞)。適用法條:刑法第358條刑法第359條,案例分析(2/3),一名大學肄業黃姓男子用網釣魚(phishing)手法,涉嫌架設虛假的中X銀的網銀網頁,用相似的網址,以魚目混珠的方式,誘騙家網銀的客戶誤信點選登入,從而套取其帳號、密碼,再憑此將被害人存款轉至人頭帳戶,被害人多達百多人。適用法條:刑法 偽造準文書罪刑法第359條 無故變更電磁紀錄罪第339-3條 電腦詐欺罪,國家機密保護法內容 (1/3),20032月6日公發佈國家機
4、密三個構成要件為確保國家安全或而有保密之必要政府機關持有或保管之資訊依本法核定機密等級者(絕對機密/極機密/機密)機密之核定與變應注意相關準備文件、草稿依職權或申請註銷、解除或變等級核定國家機密等級時,應併予核定其保密期限或解除機密之條件。涉及國家安全情報源或管道之國家機密應永久保密,國家機密保護法內容 (2/3),明確標示等級、保密期限或解除機密條件書面授權原則其他機關需使用國家機密應經原核定機關同意國家機密之收發、傳遞、使用、持有、保管、複製及移交,應依其等級分別管制。(以電子通信工具傳遞者,應加裝政府權責主管機關核發或認可之保密裝備或加密技術。)複製物應視同原件,依本法規定保護。絕對機密
5、得複製,國家機密保護法內容 (3/3),刑罰基本上沿襲刑法規定方式增加刑法所無之刑罰毀棄、損壞、隱國家機密未經核准擅自出境或逾越核准地區擴大對過失犯之處罰過失洩或交付之為人再以公務員為限毀棄、損壞、隱國家機密亦罰及過失緩衝期限規定本法施前,依其他法核定之國家機密,應於本法施後2內,依本法重新核定,其保密期限溯自原先核定之日起算。屆滿2尚未重新核定者,自屆滿之日起視為解除機密。,案例分析(1/2),有洪姓記者涉嫌於民國89非法取得國軍漢光演習計畫相關資,於勁報第三版撰寫關於本件演習課目計劃表之報導,內容包括演習項目、內容、實施地點及方式等消息,被法院依洩國防秘密罪判處有期徒刑一(92訴(一)字第
6、2號判決)。,案例分析(2/2),調查局公布一起洩國防機密案,電訊發展室莊姓少校因涉嫌將愛國者三型飛彈、天弓及鷹式等飛彈之達資,洩給黃姓民間友人而遭拘提。據解,該資已低價轉賣中共軍方。此外,部分承包國軍重要武器裝備組件的製造廠商,將件轉往大生產,而後再返台組裝(蘋果日報2005/5/11)。,國家機密,電腦處個人資保護法內容(1/5),規範主體:公務機關與非公務機關非公務機關 徵信業及以蒐集或電腦處個人資為主要業務之團體或人、醫院、學校、電信業、融業、證券業、保險業及大眾傳播業等八項業(個資法第三條第一項第7款)個人資之定義 自然人之姓名、出生月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育
7、、職業健康、病、財務情況社會活動及其他足資別該個人之資。,電腦處個人資保護法內容(2/5),規範之為特定目的蒐集、處與用保持正確與蒐集目的消失後刪除義務當事人之個人資自主權查詢及請求閱覽請求製給複製本請求補充或正請求停止電腦處及用請求刪除(得預先拋棄或以特約限制),電腦處個人資保護法內容(3/5),得為特定目的外用之情形法明文規定有正當由而僅供內部使用為維護國家安全、增進公共為免除當事人之生命、身體、自由或財產上之急迫危險為防止他人權之重大危害而有必要為學術研究而有必要且無害於當事人之重大有於當事人權當事人書面同意,電腦處個人資保護法內容(4/5),公務機關應依當事人之請求,就其保有之個人資檔
8、案,答覆查詢、提供閱覽或製給複製本(個資法第12條)。公務機關保有個人資檔者應指定專人依相關法辦安全維護事項(個資法第17條)。,電腦處個人資保護法內容(5/5),機關:國家賠償違反規定致當事人權受損時,須負賠償責任(包括財產及非財產上損害賠償); 責任總額最高為新台幣二千萬元。公務員:刑事責任個資法第33條意圖營違反規定命罪或第34條非法輸出、干擾、變、刪除、妨害正確罪,依個資法第35條規定,須加重其刑至二分之一。機關賠償當事人後,仍可向該員求償。,案例分析,台地檢署追查高雄市衛生局官員涉嫌販售新生兒資案,發現有衛生局工作之人員,涉嫌長期販售職務上掌管的孕婦與新生兒資給王姓嫌犯,對外販售獲。
9、檢方已依貪污治罪條將這些公務人起訴。同案中另發現屏東縣衛生局某官員之妻,疑似用丈夫職務之偷印名冊轉寄給王姓主嫌,被依個資法起訴(合報2005/9/15)。,資安事件案例宣導,網站涉洩露師生個人資料電腦失竊資料遺失電子郵件帳號遭駭客竊取公事家辦洩密8個警所私灌FOXY 偵查筆錄外洩全台近千網站被植入惡意程式網路銀行資料遭竊取,網站洩露學師生個人資料,案由:中部某所知名大學網站因控管不當,透過Yahoo 、Google 等搜尋引擎,便可直接取得該校助學貸款學生名冊,名冊內含學生身份證字號、貸款金額等個人資料,讓學生資料暴露於危險之中。,網站洩露學師生個人資料,預防方式:網站應指派專人管理審核內容,
10、以避免洩漏學生、教師個人資料。不適合公開的檔案不可存放在公開之網站上。網站上過期的資料應進行檔案刪除、不可只移除超連結,以免被搜尋引擎取得而被讀取。,電腦失竊資料遺失,案由:南部某國小電腦遭竊,人事教職員資料因存放於電腦中而一並外洩、會計預算電子檔案亦於電腦中一同遺失。,電腦失竊資料遺失,預防方式:行政業務責料應養成備份習慣,避免造成資料永久遺失。筆記型電腦、行動碟等儲存設備因攜帶方便、容易遺失,應設定密碼保護或資料加密,並儘可能避免存放機密公務資料,並妥善保管。辦公處所應加強門禁管制,設備遭竊應立即向所轄派出所報案。,電子郵件帳號遭駭客竊取,案由:國內4 所大學之郵件伺服器與駭客中繼站建立連
11、線,且特定電子郵件帳號遭登入下載郵件查看,疑似洩漏重要資訊內容。,電子郵件帳號遭駭客竊取,預防方式:應注意電子郵件使用安全,勿開啟來路不明之信件,以免被植入後門程式竊取資料。郵件帳號及瀏覽器應取消記憶密碼功能,以避免帳號密碼記錄被駭客利用木馬程式竊取。個人電腦應安裝防毒軟體,且作業系統及防毒軟體應隨時更新,以避免漏洞產生。電子郵件及相關系統之登入密碼應定期更新。,公事家辦洩密,案由:某中央政府機關內人員習慣將公文之電子檔案,以隨身碟拷貝至家中電腦辦公並儲存。因家中電腦已遭駭客植入後門程式,以致長期大量經手之機密文書外洩,又經各媒體大幅報導,損害政府機關形象。,公事家辦洩密,預防方式:公務機密資
12、料攜出應依程序辦理。(依國家機密保護法規定:公務機密資料攜出辦公處所,應經機關首長核准)。家中電腦之使用較缺乏定期更新軟體與防毒程式之習慣,應妥善設定自動更新機制,以防範病毒入侵。家中電腦連線上網時通常沒有防火牆保護,應加裝個人電腦防火牆,以降低遭入侵之機率。,8 警所私灌FOXY 偵查筆錄外洩,案由:據電腦犯罪防制中心指出:8 所警察機關之警員擅自安裝F0XY (檔案下載軟體)於警所電腦中,且不熟悉FOXY 之設定方式,誤將電腦中所有資料開放予所有人下載,造成警所電腦筆錄責料外洩,警政署怒追究相關人員的疏失責任。,8 警所私灌FOXY 偵查筆錄外洩,預防方式:點對點(P2P )檔案下載軟體因
13、版本與種類繁多,軟體容易被改寫加入木馬或後門程式,故不要安裝P2P 軟體,如Bittorrent ( BT )、eMule 、FOXY 等,以免造成機密資料外洩;另P2P 下載之檔案也容易含有病毒或是非法之盜版軟體,容易遭到廠商追蹤舉發而產生訴訟與巨額賠償。,全台近千網站被植入惡意程式,案由:據媒體報導:平均每10 個網頁,就有1 個植入惡意程式碼,拒絕壞程式基金會(http : / / stopbadware . org )發布全台近千網站植入惡意程式訊息,顯示目前網站內含惡意程式碼問題嚴重。,全台近千網站被植入惡意程式,預防方式:勿瀏覽非公務用途網站。個人電腦應安裝防毒軟體,作業系統及防毒
14、軟體隨時更新。瀏覽器安全等級應設定為中級或更高等級。勿任意下載或安裝來路不明、有違反法令疑慮(如版權、智慧財產權等)的電腦軟體。,網路銀行資料遭竊取,案由:據科技犯罪防制中心指出:有犯罪集團利用假資料註冊與國內知名網路銀行、航空公司等極為類似之網址,再於各大搜尋引擎公司購買關鍵字廣告,誘使民眾連結至藏有木馬程式網頁,俟民眾電腦遭植入木馬後再導向正常網站,此時木馬程式已開始進行鍵盤側錄與竊取檔案,竊取民眾網路銀行帳號密碼,其後再進行轉帳盜取,此類損失已達數千萬元。,網路銀行資料遭竊取,預防方式:使用搜尋引擎時需特別注意關鍵字廣告與正牌網站之區隔。個人電腦應安裝防毒與防火牆軟體,祚業系統及防毒軟體應定期更新。避免將個人基本資料於網路上流傳。避免於辦公室瀏覽非公務網站。,參考資料,教育部資訊安全宣導案例網路文官學院資訊安全課程 (http:/elearning.nat.gov.tw/) 資訊相關法律簡介資訊安全概論2007全民資安健檢網站(https:/www.i-security.tw/nicst-gov/index.aspx)本簡報內容節錄修改自國立高雄大學圖書資訊館邱秀莉,報告完畢,
