資訊安全基本認(rèn)知教育訓(xùn)練課件

資訊安全基本認(rèn)知教育訓(xùn)練臺(tái)南大學(xué)電算中心主講人：林國(guó)仲資訊安全基本認(rèn)知教育訓(xùn)練臺(tái)南大學(xué)電算中心1大綱前言十大資訊安全基本原則本校P2P資安政策宣導(dǎo)Q&A大綱前言2前言不論學(xué)校內(nèi)部採(cǎi)用多強(qiáng)大的防火牆系統(tǒng)、防毒軟體、或其他資安技術(shù)軟硬體設(shè)施，仍無法確保校園網(wǎng)路使用與電腦使用是百分之百的安全。國(guó)內(nèi)外許多的研究調(diào)查機(jī)構(gòu)均提到，資訊網(wǎng)路安全中最薄弱的一環(huán)，往往是電腦及網(wǎng)路系統(tǒng)的使用者。確保使用者具備基礎(chǔ)的資訊安全概念，是低成本的資通安全實(shí)施重點(diǎn)，不但能夠有效地提升企業(yè)資訊安全落實(shí)成果，其效果更勝於高價(jià)採(cǎi)購(gòu)最新技術(shù)與設(shè)備。前言不論學(xué)校內(nèi)部採(cǎi)用多強(qiáng)大的防火牆系統(tǒng)、防毒軟體、或其他資安3資訊安全基本認(rèn)知教育訓(xùn)練課件4資訊安全基本認(rèn)知教育訓(xùn)練課件5資訊安全事件定義資訊安全事件指的是任何違反常軌的異常行為，其可能造成資訊系統(tǒng)及網(wǎng)路的安全威脅。經(jīng)證明可能導(dǎo)致資訊系統(tǒng)運(yùn)作錯(cuò)誤事件或事故之情形及其後續(xù)所產(chǎn)生之故障效應(yīng)等。從設(shè)備故障、人員差錯(cuò)、人爲(wèi)事件或自然事件之類的單一事件到各種事件的複雜組合均屬於資安事件範(fàn)疇內(nèi)的事件案例。資訊安全事件定義資訊安全事件指的是任何違反常軌的異常行為，其6資安事件的類型內(nèi)部事件遭人為惡意破壞毀損、作業(yè)不慎等危安事件。設(shè)備故障

能直接或間接影響機(jī)房安全資訊系統(tǒng)的各個(gè)設(shè)備的故障可視爲(wèi)資通事件。人員差錯(cuò)

錯(cuò)誤或不良的維護(hù)、錯(cuò)誤設(shè)定和操作員的其他錯(cuò)誤行為等。其他內(nèi)部事件

內(nèi)部原因所引起的火災(zāi)、爆炸等對(duì)機(jī)房安全可能産生重要之影響。資安事件的類型內(nèi)部事件7前言以下條列十大資訊安全基本原則之概念，提供本校員工進(jìn)行分享與宣導(dǎo)，以提高校園網(wǎng)路使用之安全保障。前言以下條列十大資訊安全基本原則之概念，提供本校員工進(jìn)行分享8一、牢而不破的密碼設(shè)定大部分使用者都知道密碼設(shè)定的重要性，但多數(shù)的電腦使用者經(jīng)常忽略或沒有養(yǎng)成設(shè)定安全密碼的習(xí)慣。密碼使用訣竅如下：一、牢而不破的密碼設(shè)定大部分使用者都知道密碼設(shè)定的重要性，但9一、牢而不破的密碼設(shè)定定期更新密碼為確保密碼的機(jī)密性，使用者應(yīng)定期更新密碼，減少密碼外流的機(jī)率。當(dāng)單位內(nèi)部有人員異動(dòng)，應(yīng)立即進(jìn)行相關(guān)密碼與使用代號(hào)更新。至少每三個(gè)月更新一次密碼將密碼存放於高安全性的地方刪除無效的使用者帳號(hào)

一、牢而不破的密碼設(shè)定定期更新密碼10一、牢而不破的密碼設(shè)定設(shè)定優(yōu)質(zhì)密碼設(shè)定優(yōu)質(zhì)的密碼（不容易被猜中的密碼）

保護(hù)各個(gè)電腦系統(tǒng)是非常重要的。

為減少密碼遭受駭客破解所造成損失，電腦管理者也需要一套程序來確保密碼的正常運(yùn)作。設(shè)定優(yōu)質(zhì)密碼的秘訣如下：一、牢而不破的密碼設(shè)定設(shè)定優(yōu)質(zhì)密碼11一、牢而不破的密碼設(shè)定設(shè)定至少6個(gè)字元的密碼密碼設(shè)定建議字元至少需為6個(gè)字元的字串。為提高密碼使用的安全性，設(shè)定6個(gè)以上字元的密碼字串，並且定期更新密碼，可提高密碼的安全性。一、牢而不破的密碼設(shè)定設(shè)定至少6個(gè)字元的密碼12一、牢而不破的密碼設(shè)定避免使用重複的字母或數(shù)字，如aaa1122,555iii99。使用數(shù)字、字母、符號(hào)混合穿插的密碼字串。為增加密碼被破解的難度，應(yīng)避免使用簡(jiǎn)單且他人容易取得的資料為個(gè)人密碼（姓名、電話、生日、電子信箱網(wǎng)址等）。建議以大小寫字母、數(shù)字、及符號(hào)（＃％＄＠…）混合方式設(shè)定密碼。一、牢而不破的密碼設(shè)定避免使用重複的字母或數(shù)字，如aaa1113一、牢而不破的密碼設(shè)定不使用過於複雜而無法記憶的密碼過於複雜的密碼導(dǎo)致使用者必需寫下密碼便於記憶，卻提高了密碼外洩的風(fēng)險(xiǎn)。利用特殊符號(hào)記憶密碼若要使得密碼簡(jiǎn)單易記，使用者可以選擇喜愛的名字但務(wù)必穿插數(shù)字或符號(hào)以增加密碼破解的難度，並將特定的字母用類似的符號(hào)或數(shù)字取代。例如將happiness修改為h@pp1n3ss，可同時(shí)使得密碼簡(jiǎn)單易記，又能增加密碼使用的安全性。一、牢而不破的密碼設(shè)定不使用過於複雜而無法記憶的密碼14一、牢而不破的密碼設(shè)定避免重複使用已使用過的密碼避免使用簡(jiǎn)單且字典查得到的單字或?qū)W校名稱縮寫檢測(cè)密碼強(qiáng)度：/passwordchecker/taiwan/athome/security/privacy/password_checker.mspx一、牢而不破的密碼設(shè)定避免重複使用已使用過的密碼15一、牢而不破的密碼設(shè)定良好的使用習(xí)慣不告訴別人密碼，包括男女朋友、職務(wù)代理人、上司等。若懷疑有人可能知道你的密碼時(shí)，即刻更改。不設(shè)定過於複雜難記的密碼。不寫下密碼。定期更換密碼。一、牢而不破的密碼設(shè)定良好的使用習(xí)慣16二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局

網(wǎng)路犯罪集團(tuán)常利用電子郵件或網(wǎng)頁進(jìn)行網(wǎng)路釣魚行為，使用者須注意任何信函以及網(wǎng)址正確性，先從字面分辨與確認(rèn)信函的正確性，以提高警覺度。二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局網(wǎng)路犯罪集團(tuán)常利用電子郵件或17二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局防範(fàn)訣竅：不回應(yīng)任何來自不明單位於電子信件中要求提供個(gè)人隱私安全相關(guān)資訊，這些資訊包括使用者名稱、密碼、帳號(hào)。不點(diǎn)選來路不明的電子郵件中所載之網(wǎng)頁連結(jié)。不利用校園網(wǎng)路轉(zhuǎn)寄垃圾信函。點(diǎn)選網(wǎng)頁連結(jié)前請(qǐng)一定要仔細(xì)辨認(rèn)。二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局防範(fàn)訣竅：18二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局.twhttp://ebnk.bot.conn.tw//二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局19二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局20二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局.twhttp://ebnk.bot.conn.tw//二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局https://ebank.b21二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局詐騙網(wǎng)址hxxp:///data/bak/正確的Yahoo登入頁面「/….」二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局詐騙網(wǎng)址hxxp://yaho22三、確保工作領(lǐng)域的私密

員工經(jīng)常會(huì)把機(jī)密性資料文件、備忘紙、以及記載個(gè)人相關(guān)資訊等文件，隨意放置於桌上?；蛘邔①Y料進(jìn)行完善的分類，並且儲(chǔ)存在電腦桌面上，這些動(dòng)作都很容易導(dǎo)致資料的外洩。三、確保工作領(lǐng)域的私密員工經(jīng)常會(huì)把機(jī)密性資料文件、備忘紙、23三、確保工作領(lǐng)域的私密防範(fàn)訣竅：當(dāng)離開個(gè)人座位時(shí)，啟動(dòng)鎖定功能(視窗鍵+L)或設(shè)定螢?zāi)槐Ｗo(hù)程式，並設(shè)定關(guān)閉螢?zāi)槐Ｗo(hù)程式的密碼。三、確保工作領(lǐng)域的私密防範(fàn)訣竅：24三、確保工作領(lǐng)域的私密防範(fàn)訣竅：教育員工提高警覺，不在桌面上放置重要文件，或使用可上鎖的抽屜等設(shè)備保管機(jī)密文件。三、確保工作領(lǐng)域的私密防範(fàn)訣竅：25四、確保網(wǎng)路瀏覽器使用

許多微軟IE使用者將瀏覽器安全控制程度設(shè)定降低以方便網(wǎng)頁讀取，但這很可能讓網(wǎng)路瀏覽器成為惡意程式侵入電腦的管道。當(dāng)使用者瀏覽具有惡意程式的網(wǎng)頁時(shí)，可能因?yàn)榘踩刂瞥潭仍O(shè)定值不高，自動(dòng)下載惡意程式使電腦造成損害。四、確保網(wǎng)路瀏覽器使用許多微軟IE使用者將瀏覽器安全控制程26四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：建議將讀取網(wǎng)頁瀏覽器安全層級(jí)設(shè)定為中安全性以上。四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：27四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：對(duì)於經(jīng)常使用且可信任的網(wǎng)站，可預(yù)先於工具列中設(shè)定該網(wǎng)址為可信任，以避免瀏覽器在高安全層級(jí)設(shè)定下，導(dǎo)致網(wǎng)頁無法正常讀取之困擾。改用其它較安全的瀏覽器軟體，如FireFox…等。四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：28五、正確的使用電子郵件

電腦病毒傳播最經(jīng)常的途徑為電子郵件，不隨意開啟電子郵件附夾檔案為資安保全基本要件。五、正確的使用電子郵件電腦病毒傳播最經(jīng)常的途徑為電子郵件，29五、正確的使用電子郵件防範(fàn)訣竅：關(guān)閉郵件預(yù)覽功能。檢視→版面配置→五、正確的使用電子郵件防範(fàn)訣竅：30五、正確的使用電子郵件(二)防範(fàn)訣竅：除非使用者相當(dāng)確定信件來源與信件夾帶的附件內(nèi)容為何，否則決不輕易開啟或執(zhí)行電子信件裡的附件檔案。安裝防毒軟體。五、正確的使用電子郵件(二)防範(fàn)訣竅：31五、正確的使用電子郵件除了上述的防範(fàn)訣竅，對(duì)於電子郵件的正確使用與資訊安全、權(quán)益維護(hù)，還包括下列幾點(diǎn)︰不要將電子郵件密碼告知任何人，即使對(duì)方是系統(tǒng)管理者。不要將電子郵件帳號(hào)轉(zhuǎn)借他人使用。不要使用電子郵件傳輸任何不當(dāng)資訊，包括不法、暴力、色情、違法交易、侵犯隱私或威脅他人的資料。五、正確的使用電子郵件除了上述的防範(fàn)訣竅，對(duì)於電子郵件的正確32五、正確的使用電子郵件不要轉(zhuǎn)寄不明網(wǎng)路謠言及發(fā)送廣告信。避免在電子郵件夾帶大容量檔案，以免造成收件人收信時(shí)間冗長(zhǎng)的困擾。轉(zhuǎn)寄或回覆郵件時(shí)，勿隨意修改作者原始文字。郵件中如含有他人之個(gè)人隱私資訊，在轉(zhuǎn)寄時(shí)應(yīng)先取得同意。五、正確的使用電子郵件不要轉(zhuǎn)寄不明網(wǎng)路謠言及發(fā)送廣告信。33五、正確的使用電子郵件同時(shí)寄件給多人時(shí)，為保護(hù)各收信人資訊，最好使用「密件副本」方式傳送。五、正確的使用電子郵件同時(shí)寄件給多人時(shí)，為保護(hù)各收信人資訊，34六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防毒軟體的偵測(cè)與防範(fàn)功能只有在該軟體有在運(yùn)作、且有時(shí)常更新病毒碼情形下，才會(huì)產(chǎn)生效用。六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防毒軟體的偵測(cè)與防範(fàn)功能只有在該軟體35六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防範(fàn)訣竅：不關(guān)閉、不刪除防毒軟體。隨時(shí)注意防毒軟體的病毒碼是在最新的狀態(tài)。定期執(zhí)行掃毒。六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防範(fàn)訣竅：36七、勿隨意安裝未經(jīng)許可的電腦軟體

網(wǎng)路上有許多免費(fèi)分享的實(shí)用軟體或遊戲，但通常提供企業(yè)使用的軟體並非永久免費(fèi)的。任意下載、安裝網(wǎng)路上的免費(fèi)軟體、或來路不明的軟體，也是感染電腦病毒、間諜軟體與特洛依木馬程式的主要途徑。某些合法軟體因?yàn)椴幻鬈涹w的使用產(chǎn)生衝突情況，也可能因此造成電腦系統(tǒng)部故障。七、勿隨意安裝未經(jīng)許可的電腦軟體網(wǎng)路上有許多免費(fèi)分享的實(shí)用37七、勿隨意安裝未經(jīng)許可的電腦軟體防範(fàn)訣竅：絕對(duì)不下載、安裝未經(jīng)許可的軟體。七、勿隨意安裝未經(jīng)許可的電腦軟體防範(fàn)訣竅：38八、謹(jǐn)慎使用即時(shí)通訊軟體

即時(shí)通訊軟體（如MSN、Yahoo即時(shí)通…等）雖然是快速且方便的網(wǎng)路溝通工具，但也有可能成為電腦病毒傳遞途徑，也可能遭受其它惡意程式與網(wǎng)路釣魚的攻擊，使用即時(shí)通訊系統(tǒng)時(shí)必須小心謹(jǐn)慎。八、謹(jǐn)慎使用即時(shí)通訊軟體即時(shí)通訊軟體（如MSN、Yahoo39八、謹(jǐn)慎使用即時(shí)通訊軟體存在的風(fēng)險(xiǎn)病毒威脅垃圾訊息檔案交換洩密工作效率的影響八、謹(jǐn)慎使用即時(shí)通訊軟體存在的風(fēng)險(xiǎn)40八、謹(jǐn)慎使用即時(shí)通訊軟體正確的運(yùn)用方法：登入密碼最好不要用「儲(chǔ)存密碼」記錄於系統(tǒng)內(nèi)。不任意傳遞與分享單位重要資訊或檔案。不任意接收來路不明之分享檔案和連結(jié)。使用者必須秉持以公事使用之目的使用即時(shí)訊息。隨時(shí)更新使用端程式。八、謹(jǐn)慎使用即時(shí)通訊軟體正確的運(yùn)用方法：41九、確保軟體在更新狀態(tài)當(dāng)軟體被使用一段時(shí)間後，通常會(huì)出現(xiàn)一些小問題或安全漏洞，這些漏洞也是駭客容易利用的弱點(diǎn)，零時(shí)差攻擊即目前駭客最喜歡利用的手法。因此信譽(yù)好的軟體商通常會(huì)設(shè)計(jì)更新或修補(bǔ)程式來修正這些問題。九、確保軟體在更新狀態(tài)當(dāng)軟體被使用一段時(shí)間後，通常會(huì)出現(xiàn)一些42九、確保軟體在更新狀態(tài)防範(fàn)訣竅：檢查以下重要應(yīng)用程式或軟體是否為最新版本：作業(yè)系統(tǒng)(WindowsXP或2000、Mac、Linux…等)網(wǎng)頁瀏覽程式(IE、FireFox…等)辦公室應(yīng)用軟體(Office、AdobePDF…等)電子郵件收發(fā)軟體(如outlook、outlookexpress…等)大部分的軟體都會(huì)提供一項(xiàng)「自動(dòng)更新」功能，啟動(dòng)自動(dòng)更新功能為最方便也最迅速的一種定時(shí)更新方法。九、確保軟體在更新狀態(tài)防範(fàn)訣竅：43零時(shí)差攻擊何謂零時(shí)差攻擊(ZeroDayAttack)？有兩種解釋：SoftwareCracks

這牽涉到聰明的crackers(怪客)能透過管道，例如透過軟體開發(fā)者或販?zhǔn)鄄块T，早就事先取得了軟體進(jìn)行破解，因此可以在產(chǎn)品正式出現(xiàn)在市面上不到一天(0day)，得以進(jìn)行漏洞攻擊。（早就分析透徹得出破解之道）

零時(shí)差攻擊何謂零時(shí)差攻擊(ZeroDayAttack)？44零時(shí)差攻擊RemoteExploits

0-day也是指有心人士搶在軟體廠商尚未公佈漏洞及補(bǔ)丁之前，先發(fā)現(xiàn)到漏洞再利用漏洞攻擊目標(biāo)得逞。零時(shí)差攻擊RemoteExploits

0-day也是45零時(shí)差攻擊過去大家認(rèn)為只有執(zhí)行檔(.exe)才會(huì)夾帶惡意程式，現(xiàn)在已大為改觀，MSWord檔、甚至是PowerPoint檔都可能被駭客利用。近年來越來越多的駭客攻擊是透過社交工程手法，以笑話、政治、健康、色情等引人好奇的內(nèi)容，甚至是假冒名義寄送經(jīng)特殊設(shè)計(jì)之Word文件檔案，誘使收件人開啟以達(dá)成功入侵之目的，同時(shí)再利用尚未公佈之弱點(diǎn)設(shè)計(jì)「零時(shí)差攻擊」，以達(dá)成即使是在弱點(diǎn)完整修補(bǔ)之電腦上，亦能夠成功入侵之目的。零時(shí)差攻擊過去大家認(rèn)為只有執(zhí)行檔(.exe)才會(huì)夾帶惡意程式46零時(shí)差攻擊面對(duì)此類結(jié)合社交工程與零時(shí)差攻擊的新興威脅，建議使用者除了勿任意開啟來路不明的電子郵件外，在檢視可疑電子郵件中所附的Word文件時(shí)，可先利用附屬應(yīng)用程式之WordPad閱讀，或至微軟公司網(wǎng)站下載WordViewer2003安裝後再閱讀。或是降低電腦使用者的使用權(quán)限，避免賦予最高權(quán)限等做法，以降低「零時(shí)差攻擊」之風(fēng)險(xiǎn)。零時(shí)差攻擊面對(duì)此類結(jié)合社交工程與零時(shí)差攻擊的新興威脅，建議使47十、正確使用可攜式媒體自動(dòng)播放不等於自動(dòng)執(zhí)行。USB病毒利用自動(dòng)播放的特性去誘導(dǎo)出自動(dòng)執(zhí)行的動(dòng)作，進(jìn)而去執(zhí)行(開啟)惡意的程式。有效避免自動(dòng)執(zhí)行的方法：十、正確使用可攜式媒體自動(dòng)播放不等於自動(dòng)執(zhí)行。48十、正確使用可攜式媒體檔案總管操作法開始→我的電腦(按右鍵)→檔案總管或是利用快捷鍵：視窗鍵+E點(diǎn)選左邊窗格USB媒體→開啟檔案十、正確使用可攜式媒體檔案總管操作法49十、正確使用可攜式媒體電腦管理服務(wù)設(shè)定法開始→我的電腦(按右鍵)→管理→電腦管理→服務(wù)及應(yīng)用程式→服務(wù)停用ShellHardwareDetection服務(wù)十、正確使用可攜式媒體電腦管理服務(wù)設(shè)定法50十、正確使用可攜式媒體十、正確使用可攜式媒體51十、正確使用可攜式媒體十、正確使用可攜式媒體52十、正確使用可攜式媒體修改MountPoints2機(jī)碼開始→執(zhí)行→輸入regedit，進(jìn)入登錄編輯程式。找到機(jī)碼名稱HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2點(diǎn)選MountPoints2，按右鍵選擇「使用權(quán)限」十、正確使用可攜式媒體修改MountPoints2機(jī)碼53十、正確使用可攜式媒體新增使用者Everyone。設(shè)定使用者Everyone的完全控制權(quán)限為「拒絕」，選取套用/確定後離開。十、正確使用可攜式媒體新增使用者Everyone。54Q&AQ&A55資訊安全人人有責(zé)資訊安全基本認(rèn)知教育訓(xùn)練課件56資訊安全基本認(rèn)知教育訓(xùn)練臺(tái)南大學(xué)電算中心主講人：林國(guó)仲資訊安全基本認(rèn)知教育訓(xùn)練臺(tái)南大學(xué)電算中心57大綱前言十大資訊安全基本原則本校P2P資安政策宣導(dǎo)Q&A大綱前言58前言不論學(xué)校內(nèi)部採(cǎi)用多強(qiáng)大的防火牆系統(tǒng)、防毒軟體、或其他資安技術(shù)軟硬體設(shè)施，仍無法確保校園網(wǎng)路使用與電腦使用是百分之百的安全。國(guó)內(nèi)外許多的研究調(diào)查機(jī)構(gòu)均提到，資訊網(wǎng)路安全中最薄弱的一環(huán)，往往是電腦及網(wǎng)路系統(tǒng)的使用者。確保使用者具備基礎(chǔ)的資訊安全概念，是低成本的資通安全實(shí)施重點(diǎn)，不但能夠有效地提升企業(yè)資訊安全落實(shí)成果，其效果更勝於高價(jià)採(cǎi)購(gòu)最新技術(shù)與設(shè)備。前言不論學(xué)校內(nèi)部採(cǎi)用多強(qiáng)大的防火牆系統(tǒng)、防毒軟體、或其他資安59資訊安全基本認(rèn)知教育訓(xùn)練課件60資訊安全基本認(rèn)知教育訓(xùn)練課件61資訊安全事件定義資訊安全事件指的是任何違反常軌的異常行為，其可能造成資訊系統(tǒng)及網(wǎng)路的安全威脅。經(jīng)證明可能導(dǎo)致資訊系統(tǒng)運(yùn)作錯(cuò)誤事件或事故之情形及其後續(xù)所產(chǎn)生之故障效應(yīng)等。從設(shè)備故障、人員差錯(cuò)、人爲(wèi)事件或自然事件之類的單一事件到各種事件的複雜組合均屬於資安事件範(fàn)疇內(nèi)的事件案例。資訊安全事件定義資訊安全事件指的是任何違反常軌的異常行為，其62資安事件的類型內(nèi)部事件遭人為惡意破壞毀損、作業(yè)不慎等危安事件。設(shè)備故障

能直接或間接影響機(jī)房安全資訊系統(tǒng)的各個(gè)設(shè)備的故障可視爲(wèi)資通事件。人員差錯(cuò)

錯(cuò)誤或不良的維護(hù)、錯(cuò)誤設(shè)定和操作員的其他錯(cuò)誤行為等。其他內(nèi)部事件

內(nèi)部原因所引起的火災(zāi)、爆炸等對(duì)機(jī)房安全可能産生重要之影響。資安事件的類型內(nèi)部事件63前言以下條列十大資訊安全基本原則之概念，提供本校員工進(jìn)行分享與宣導(dǎo)，以提高校園網(wǎng)路使用之安全保障。前言以下條列十大資訊安全基本原則之概念，提供本校員工進(jìn)行分享64一、牢而不破的密碼設(shè)定大部分使用者都知道密碼設(shè)定的重要性，但多數(shù)的電腦使用者經(jīng)常忽略或沒有養(yǎng)成設(shè)定安全密碼的習(xí)慣。密碼使用訣竅如下：一、牢而不破的密碼設(shè)定大部分使用者都知道密碼設(shè)定的重要性，但65一、牢而不破的密碼設(shè)定定期更新密碼為確保密碼的機(jī)密性，使用者應(yīng)定期更新密碼，減少密碼外流的機(jī)率。當(dāng)單位內(nèi)部有人員異動(dòng)，應(yīng)立即進(jìn)行相關(guān)密碼與使用代號(hào)更新。至少每三個(gè)月更新一次密碼將密碼存放於高安全性的地方刪除無效的使用者帳號(hào)

一、牢而不破的密碼設(shè)定定期更新密碼66一、牢而不破的密碼設(shè)定設(shè)定優(yōu)質(zhì)密碼設(shè)定優(yōu)質(zhì)的密碼（不容易被猜中的密碼）

保護(hù)各個(gè)電腦系統(tǒng)是非常重要的。

為減少密碼遭受駭客破解所造成損失，電腦管理者也需要一套程序來確保密碼的正常運(yùn)作。設(shè)定優(yōu)質(zhì)密碼的秘訣如下：一、牢而不破的密碼設(shè)定設(shè)定優(yōu)質(zhì)密碼67一、牢而不破的密碼設(shè)定設(shè)定至少6個(gè)字元的密碼密碼設(shè)定建議字元至少需為6個(gè)字元的字串。為提高密碼使用的安全性，設(shè)定6個(gè)以上字元的密碼字串，並且定期更新密碼，可提高密碼的安全性。一、牢而不破的密碼設(shè)定設(shè)定至少6個(gè)字元的密碼68一、牢而不破的密碼設(shè)定避免使用重複的字母或數(shù)字，如aaa1122,555iii99。使用數(shù)字、字母、符號(hào)混合穿插的密碼字串。為增加密碼被破解的難度，應(yīng)避免使用簡(jiǎn)單且他人容易取得的資料為個(gè)人密碼（姓名、電話、生日、電子信箱網(wǎng)址等）。建議以大小寫字母、數(shù)字、及符號(hào)（＃％＄＠…）混合方式設(shè)定密碼。一、牢而不破的密碼設(shè)定避免使用重複的字母或數(shù)字，如aaa1169一、牢而不破的密碼設(shè)定不使用過於複雜而無法記憶的密碼過於複雜的密碼導(dǎo)致使用者必需寫下密碼便於記憶，卻提高了密碼外洩的風(fēng)險(xiǎn)。利用特殊符號(hào)記憶密碼若要使得密碼簡(jiǎn)單易記，使用者可以選擇喜愛的名字但務(wù)必穿插數(shù)字或符號(hào)以增加密碼破解的難度，並將特定的字母用類似的符號(hào)或數(shù)字取代。例如將happiness修改為h@pp1n3ss，可同時(shí)使得密碼簡(jiǎn)單易記，又能增加密碼使用的安全性。一、牢而不破的密碼設(shè)定不使用過於複雜而無法記憶的密碼70一、牢而不破的密碼設(shè)定避免重複使用已使用過的密碼避免使用簡(jiǎn)單且字典查得到的單字或?qū)W校名稱縮寫檢測(cè)密碼強(qiáng)度：/passwordchecker/taiwan/athome/security/privacy/password_checker.mspx一、牢而不破的密碼設(shè)定避免重複使用已使用過的密碼71一、牢而不破的密碼設(shè)定良好的使用習(xí)慣不告訴別人密碼，包括男女朋友、職務(wù)代理人、上司等。若懷疑有人可能知道你的密碼時(shí)，即刻更改。不設(shè)定過於複雜難記的密碼。不寫下密碼。定期更換密碼。一、牢而不破的密碼設(shè)定良好的使用習(xí)慣72二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局

網(wǎng)路犯罪集團(tuán)常利用電子郵件或網(wǎng)頁進(jìn)行網(wǎng)路釣魚行為，使用者須注意任何信函以及網(wǎng)址正確性，先從字面分辨與確認(rèn)信函的正確性，以提高警覺度。二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局網(wǎng)路犯罪集團(tuán)常利用電子郵件或73二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局防範(fàn)訣竅：不回應(yīng)任何來自不明單位於電子信件中要求提供個(gè)人隱私安全相關(guān)資訊，這些資訊包括使用者名稱、密碼、帳號(hào)。不點(diǎn)選來路不明的電子郵件中所載之網(wǎng)頁連結(jié)。不利用校園網(wǎng)路轉(zhuǎn)寄垃圾信函。點(diǎn)選網(wǎng)頁連結(jié)前請(qǐng)一定要仔細(xì)辨認(rèn)。二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局防範(fàn)訣竅：74二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局.twhttp://ebnk.bot.conn.tw//二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局75二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局76二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局.twhttp://ebnk.bot.conn.tw//二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局https://ebank.b77二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局詐騙網(wǎng)址hxxp:///data/bak/正確的Yahoo登入頁面「/….」二、遠(yuǎn)離網(wǎng)路釣魚犯罪陷阱與騙局詐騙網(wǎng)址hxxp://yaho78三、確保工作領(lǐng)域的私密

員工經(jīng)常會(huì)把機(jī)密性資料文件、備忘紙、以及記載個(gè)人相關(guān)資訊等文件，隨意放置於桌上?；蛘邔①Y料進(jìn)行完善的分類，並且儲(chǔ)存在電腦桌面上，這些動(dòng)作都很容易導(dǎo)致資料的外洩。三、確保工作領(lǐng)域的私密員工經(jīng)常會(huì)把機(jī)密性資料文件、備忘紙、79三、確保工作領(lǐng)域的私密防範(fàn)訣竅：當(dāng)離開個(gè)人座位時(shí)，啟動(dòng)鎖定功能(視窗鍵+L)或設(shè)定螢?zāi)槐Ｗo(hù)程式，並設(shè)定關(guān)閉螢?zāi)槐Ｗo(hù)程式的密碼。三、確保工作領(lǐng)域的私密防範(fàn)訣竅：80三、確保工作領(lǐng)域的私密防範(fàn)訣竅：教育員工提高警覺，不在桌面上放置重要文件，或使用可上鎖的抽屜等設(shè)備保管機(jī)密文件。三、確保工作領(lǐng)域的私密防範(fàn)訣竅：81四、確保網(wǎng)路瀏覽器使用

許多微軟IE使用者將瀏覽器安全控制程度設(shè)定降低以方便網(wǎng)頁讀取，但這很可能讓網(wǎng)路瀏覽器成為惡意程式侵入電腦的管道。當(dāng)使用者瀏覽具有惡意程式的網(wǎng)頁時(shí)，可能因?yàn)榘踩刂瞥潭仍O(shè)定值不高，自動(dòng)下載惡意程式使電腦造成損害。四、確保網(wǎng)路瀏覽器使用許多微軟IE使用者將瀏覽器安全控制程82四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：建議將讀取網(wǎng)頁瀏覽器安全層級(jí)設(shè)定為中安全性以上。四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：83四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：對(duì)於經(jīng)常使用且可信任的網(wǎng)站，可預(yù)先於工具列中設(shè)定該網(wǎng)址為可信任，以避免瀏覽器在高安全層級(jí)設(shè)定下，導(dǎo)致網(wǎng)頁無法正常讀取之困擾。改用其它較安全的瀏覽器軟體，如FireFox…等。四、確保網(wǎng)路瀏覽器使用防範(fàn)訣竅：84五、正確的使用電子郵件

電腦病毒傳播最經(jīng)常的途徑為電子郵件，不隨意開啟電子郵件附夾檔案為資安保全基本要件。五、正確的使用電子郵件電腦病毒傳播最經(jīng)常的途徑為電子郵件，85五、正確的使用電子郵件防範(fàn)訣竅：關(guān)閉郵件預(yù)覽功能。檢視→版面配置→五、正確的使用電子郵件防範(fàn)訣竅：86五、正確的使用電子郵件(二)防範(fàn)訣竅：除非使用者相當(dāng)確定信件來源與信件夾帶的附件內(nèi)容為何，否則決不輕易開啟或執(zhí)行電子信件裡的附件檔案。安裝防毒軟體。五、正確的使用電子郵件(二)防範(fàn)訣竅：87五、正確的使用電子郵件除了上述的防範(fàn)訣竅，對(duì)於電子郵件的正確使用與資訊安全、權(quán)益維護(hù)，還包括下列幾點(diǎn)︰不要將電子郵件密碼告知任何人，即使對(duì)方是系統(tǒng)管理者。不要將電子郵件帳號(hào)轉(zhuǎn)借他人使用。不要使用電子郵件傳輸任何不當(dāng)資訊，包括不法、暴力、色情、違法交易、侵犯隱私或威脅他人的資料。五、正確的使用電子郵件除了上述的防範(fàn)訣竅，對(duì)於電子郵件的正確88五、正確的使用電子郵件不要轉(zhuǎn)寄不明網(wǎng)路謠言及發(fā)送廣告信。避免在電子郵件夾帶大容量檔案，以免造成收件人收信時(shí)間冗長(zhǎng)的困擾。轉(zhuǎn)寄或回覆郵件時(shí)，勿隨意修改作者原始文字。郵件中如含有他人之個(gè)人隱私資訊，在轉(zhuǎn)寄時(shí)應(yīng)先取得同意。五、正確的使用電子郵件不要轉(zhuǎn)寄不明網(wǎng)路謠言及發(fā)送廣告信。89五、正確的使用電子郵件同時(shí)寄件給多人時(shí)，為保護(hù)各收信人資訊，最好使用「密件副本」方式傳送。五、正確的使用電子郵件同時(shí)寄件給多人時(shí)，為保護(hù)各收信人資訊，90六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防毒軟體的偵測(cè)與防範(fàn)功能只有在該軟體有在運(yùn)作、且有時(shí)常更新病毒碼情形下，才會(huì)產(chǎn)生效用。六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防毒軟體的偵測(cè)與防範(fàn)功能只有在該軟體91六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防範(fàn)訣竅：不關(guān)閉、不刪除防毒軟體。隨時(shí)注意防毒軟體的病毒碼是在最新的狀態(tài)。定期執(zhí)行掃毒。六、確認(rèn)防毒軟體隨時(shí)運(yùn)作防範(fàn)訣竅：92七、勿隨意安裝未經(jīng)許可的電腦軟體

網(wǎng)路上有許多免費(fèi)分享的實(shí)用軟體或遊戲，但通常提供企業(yè)使用的軟體並非永久免費(fèi)的。任意下載、安裝網(wǎng)路上的免費(fèi)軟體、或來路不明的軟體，也是感染電腦病毒、間諜軟體與特洛依木馬程式的主要途徑。某些合法軟體因?yàn)椴幻鬈涹w的使用產(chǎn)生衝突情況，也可能因此造成電腦系統(tǒng)部故障。七、勿隨意安裝未經(jīng)許可的電腦軟體網(wǎng)路上有許多免費(fèi)分享的實(shí)用93七、勿隨意安裝未經(jīng)許可的電腦軟體防範(fàn)訣竅：絕對(duì)不下載、安裝未經(jīng)許可的軟體。七、勿隨意安裝未經(jīng)許可的電腦軟體防範(fàn)訣竅：94八、謹(jǐn)慎使用即時(shí)通訊軟體

即時(shí)通訊軟體（如MSN、Yahoo即時(shí)通…等）雖然是快速且方便的網(wǎng)路溝通工具，但也有可能成為電腦病毒傳遞途徑，也可能遭受其它惡意程式與網(wǎng)路釣魚的攻擊，使用即時(shí)通訊系統(tǒng)時(shí)必須小心謹(jǐn)慎。八、謹(jǐn)慎使用即時(shí)通訊軟體即時(shí)通訊軟體（如MSN、Yahoo95八、謹(jǐn)慎使用即時(shí)通訊軟體存在的風(fēng)險(xiǎn)病毒威脅垃圾訊息檔案交換洩密工作效率的影響八、謹(jǐn)慎使用即時(shí)通訊軟體存在的風(fēng)險(xiǎn)96八、謹(jǐn)慎使用即時(shí)通訊軟體正確的運(yùn)用方法：登入密碼最好不要用「儲(chǔ)存密碼」記錄於系統(tǒng)內(nèi)。不任意傳遞與分享單位重要資訊或檔案。不任意接收來路不明之分享檔案和連結(jié)。使用者必須秉持以公事使用之目的使用即時(shí)訊息。隨時(shí)更新使用端程式。八、謹(jǐn)慎使用即時(shí)通訊軟體正確的運(yùn)用方法：97九、確保軟體在更新狀態(tài)當(dāng)軟體被使用一段時(shí)間後，通常會(huì)出現(xiàn)一些小問題或安全漏洞，這些漏洞也是駭客容易利用的弱點(diǎn)，零時(shí)差攻擊即目前駭客最喜歡利用的手法。因此信譽(yù)好的軟體商通常會(huì)設(shè)計(jì)更新或修補(bǔ)程式來修正這些問題。九、確保軟體在更新狀態(tài)當(dāng)軟體被使用一段時(shí)間後，通常會(huì)出現(xiàn)一些98九、確保軟體在更新狀態(tài)防範(fàn)訣竅：檢查以下重要應(yīng)用程式或軟體是否為最新版本：作業(yè)系統(tǒng)(WindowsXP或2000、Mac、Linux…等)網(wǎng)頁瀏覽程式(IE、FireFox…等)辦公室應(yīng)用軟體(Office、AdobePDF…等)電子郵件收發(fā)軟體(如outlook、outlookexpress…等)大部分的軟體都會(huì)提供一項(xiàng)「自動(dòng)更新」功能，啟動(dòng)自動(dòng)更新功能為最方便也最迅速的一種定時(shí)更新方法。九、確保軟體在更新狀態(tài)防範(fàn)訣竅：99零時(shí)差攻擊何謂零時(shí)差攻擊(ZeroDayAttack)？有兩種解釋：SoftwareCracks

這牽涉到聰明的crackers(怪客)能透過管道，例如透過軟體開發(fā)者或販?zhǔn)鄄块T，早就事先取得了軟體進(jìn)行破解，因此可以在產(chǎn)品正式出現(xiàn)在市面上不到一天(0day)，得以進(jìn)行漏洞攻擊。（早就分析透徹得出破解之道）

零時(shí)差攻擊何謂零時(shí)差攻擊(ZeroDayAttack)？100零時(shí)差攻擊Re