館務速報   新貨到    知識櫥窗    贈書芳名錄  服務成果  人物特寫  ISMS專區
 

►►高大首頁 ►►本館首頁  ►►歷期通訊 ►►回首頁

 
 
    [ 成立緣起 ]  [ ISMS簡介 ]  [ 資通法規 ]  [ 相關訊息 ]  [ 相關網站連結 ]
[ 何謂ISMS資訊安全管理制度 ]      [ 個人資安守則 ]
何謂ISMS資訊安全管理制度

  資訊安全管理制度(Information Security Management System)目的在於保護資訊資產的機密性、可用性與完整性。

  *機密性(Confidentiality):確保只有經授權的人才可以取得資訊,避免資訊洩露。
  *完整性(Integrity):確保資訊不受未經授權的竄改與資訊處理方法的正確性。
  *可用性(Availability):確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。

  資訊安全管理制度(Information Security Management System, ISMS)為整體管理系統的一部份,以營運風險方案為基礎,用以建立、實施、操作、監督、審查、維持及改進資訊安全。

  ISMS為國際現行五大管理系統之一,乃組織管理系統的一部分,必須依據風險管理的方法加以制訂,進而用以建立、執行、操作、監控、審查、維護與改進組織的資訊安全。

  在ISMS國際標準未制定前,以CNS 17800:2002/BS 7799-2:2002為驗證標準。2005年10月15日國際標準組織(ISO)正式公布ISO/IEC 27001:2005國際標準,我國經濟部標準檢驗局業依新標準制定CNS 27001:200X(暫定),以取代CNS 17800:2002作為我國受理ISMS之驗證標準。

  目前本校依據教育體系資通安全管理規範標準(國立高雄大學圖書資訊館資訊安全政策)。

▲TOP
個人資安守則

 防火牆

  網路防火牆的主要功能為阻擋試圖透過網路進入您電腦的駭客。一旦駭客成功入侵,他可能破壞您的電腦檔案、偷竊電腦內儲存的資料、或在遠端操控您的電腦。

防身秘訣
隨時更新作業系統安全漏洞、設定良好密碼、安裝防毒軟體、安裝防火牆。

  網路防火牆的主要功能為阻擋試圖透過網路進入您電腦的駭客。

  XP 內建防火牆
  免費的個人防火牆軟體
  ZoneAlarm 個人防火牆
  Outpost Personal Firewall
  Sygate Personal Firewall

 

 密碼

  使用一個易被猜測的密碼,就如同打開大門邀請小偷進來一樣,即使小偷闖入後沒有破壞任何東西,您的個人私密資訊也被看盡。

防身秘訣
定期更改密碼

  當不幸中病毒時,就應該更改密碼,因為有可能密碼已經被黑客知道了。

  『密碼設定原則』

  1.   絕對避免的密碼:

    1. 嚴禁不設密碼

    2. 與帳號相同

    3. 與主機相同

    4. 生日、身分證字號、英文姓名等個人資料,以及公司、部門等公司資訊

    5. 使用 111112341234562000aaaaabcdef 此類簡單的組合

    6. 密碼別留在紙上或是文字檔中

  2. 應該避免的密碼:

    1. 避免使用英文單字或詞語 ,如 iloveyousuperman

    2. 避免全部使用數字

    3. 避免連號或順序,如nopqrs987654…

  3. 較佳的密碼原則:

    1. 密碼越長越好,最短也應該在八個字以上

    2. 密碼沒有明顯含義

    3. 密碼要能記得住,一個連使用者都無法記住的密碼是無意義的

    4. 一個不易被破解的密碼應至少有
       一個英文小寫
       一個英文大寫字母(假如密碼能分別大小寫)
       一個數字
       一個特殊符號(如標點符號或是「!@#$%^*?」 這類符號)
       一個空白(假使密碼容許\\\\\空白)
       沒有任何意義的組成

  4. 一些密碼設定小技巧:

    1. 可以讓 l == 1 or ! or |, O == 0, S == 5, A == 4, q == 9

    2. 以中文輸入法按鍵來當成密碼,例如 \" 密碼 \" 的注音輸入為 5j4up

    3. 以英文的一句諺語或一段歌詞,取每個英文字字首當成密碼

    4. 以兩個英文字或數字穿插:例如: abcd + 1234 = a1b2c3d4,不過兩段數字的穿插是沒有意義的

    5. 將英文字母位移數個字:例如: with 往前位移三個字母 -> tfqe

    6. 自行變化原則,可以把上面的綜合起來使用,也可以自訂原則如鏡印、藏頭去尾

 

 軟體更新

  軟體使用一段時間後通常會出現一些安全漏洞,這些漏洞也是駭客容易利用的弱點,因此軟體製造商(尤其是具有商譽者)會設計更新或修補程式來修正這些問題。

防身秘訣
* 隨時留意作業系統更新功能與提醒。
* 不使用盜版軟體。

 

 病毒

  電腦病毒是一種故意設計來干擾電腦運作的程式,常見的干擾行為有破壞電腦檔案、重新格式化硬碟、使電腦效能變慢、上網時瀏覽器不斷打開新視窗,直到電腦資源被耗盡為止等。病毒的傳染途徑包括電子郵件、電腦遊戲,及任何從網路下載的檔案等。

防身秘訣
使用防毒程式

  卡巴斯基 (卡巴斯基實驗室)
  AntiVir Personal Edition (德國的免費防毒軟體)
  Panda (歐洲有名的線上掃毒服務)
  McAfee AVERT Stinger ( NAI 所提供的免費掃毒工具)
  定期更新病毒碼

 

 安全的電腦操作環境

  電腦雖然是機器,但良好舒適的操作環境,能夠延長電腦的使用壽命,降低損壞機會。

防身秘訣
* 確保電腦主機和其他周邊設備(如印表機)相連的數條纜線、電線不雜亂交錯,尤其注意插座的負荷量。
* 避免在電腦桌上放置飲料、裝水的容器,以及飲食。

 

資料備份

  電腦硬碟容量越大,所儲存的資料量也越多,萬一發生硬碟損壞,資料將有遺失的風險,所以定期備份相當重要。

防身秘訣
* 將重要檔案複製到電腦硬碟以外的儲存媒體,例如光碟片、網路硬碟等。
* 備份重要的軟體,萬一原版軟體毀損時有備份軟體可以使用。
* 定期測試備份資料是否有效。

 

 網路紀錄 (cookie)

  cookie是存在瀏覽器中的小型文字檔,記錄使用者瀏覽網頁的資訊、帳號與密碼。當使用者下次再度使用瀏覽器時,電腦能自動顯示最近使用過的網頁,使用者也無需重新輸入帳號與密碼。

防身秘訣
* cookie紀錄重要的個人資料與網路使用習慣,應隨手刪除電腦裡的cookie紀錄。
* 詳讀每個網站的隱私權政策,尤其是cookie所蒐集的使用者資訊用途,以避免個人資料被濫用。

 

 隱私權

  上網查詢資料、購物、聊天…,您在網路上的各種行為都可能被記錄與分析。另一方面,您自己也可能不小心將個人資料洩漏出去,例如填寫問卷、參加抽獎、加入會員等。

防身秘訣
* 在網路上留下個人資料前,先閱讀該網站的「隱私權保護政策」。
* 不任意在從未聽過,或第一次造訪的網站中,填寫重要的個人資料。

 

公用存取

  使用圖書館、公司、網咖、機場等地點的公用電腦,或甚至使用室友、朋友電腦時,必須注意所輸入的各種資料是否在這些電腦「留底」,而有資料外洩或遭有心人士利用的風險。

防身秘訣
* 使用時留意身旁的人,以免他們看到您的個人資料。
* 絕不勾選網路瀏覽器的「記住密碼」選項。
* 盡量不在公用電腦中輸入敏感性高的資訊。
* 結束使用時,應關閉網路瀏覽器,若有「登入」帳號(如電子郵件),應完成「登出」後,再關閉瀏覽器。離開前,也應登出系統或將電腦關機。
* 若經常使用公用電腦,更換密碼的頻率要更高。

 

垃圾郵件

  未經收信者同意即大量寄發的廣告email就是垃圾郵件,收信者必須花費時間來接收和刪除這些郵件。

防身秘訣
雖然目前仍無法完全阻止垃圾郵件入侵,但是可透過幾個簡單方法減低可能的困擾:
* 絕不回覆垃圾郵件,因為這會讓散佈者知道您的信箱是有效的。
* 不回應或購買垃圾郵件廣告的商品。
* 使用垃圾郵件過濾軟體。

 

 間諜軟體

  間諜軟體和病毒相似,會毫無預警地將您的資訊透過網路傳送到特定對象。間諜軟體常伴隨網路免費下載的程式軟體,或點對點音樂檔案交換等管道,入侵您的電腦系統,這不但侵犯個人隱私權也是資安的一大威脅。

防身秘訣
* 下載免費或共享軟體前,須仔細閱讀和軟體有關的所有訊息。
* 避免透過點對點傳輸軟體(P2P) 或其他管道下載來路不明的軟體。
* 安裝防毒軟體,並且定期更新病毒碼。

 

 手機詐騙

  詐騙成員傳送簡訊或撥打民眾的手機,以各種理由與方式,騙取民眾的錢財或金融資料、誘騙民眾回撥加值付費電話、或冒用民眾的門號打電話,讓不知情的民眾損失慘重。

防身秘訣
* 電話詐騙違反刑法「詐欺罪」,民眾接獲詐騙電話或簡訊,可向刑事警察局「165反詐騙專線電話」、各地警察機關「110」諮詢或報案。
* 接獲可疑電話,應先求證是否屬實;但求證時,不應直接回撥可疑電話所提供的電話號碼。

 

即時通訊軟體

  為了降低通訊成本與提高通訊效率,越來越多人和企業使用「即時通訊軟體」進行多方會議,或訊息與檔案交換等網路服務,但若您的電腦和個人資訊沒有適當的保護措施,使用即時通將有資安風險。

防身秘訣
* 不隨意接受即時通所傳遞的檔案。
* 不透過即時通傳遞個人資料,或重要的公司機密資料。
* 安裝防毒軟體、防火牆,並更新到最新狀態。

 

智慧財產權

  不論是文字、圖片或是影音等資訊皆可在網路上快速傳送,使得智慧財產權極容易受到侵犯,一旦違反智慧財產權,可能導致民事賠償與刑事處罰。

防身秘訣
* 抄襲他人的成果、使用點對點傳輸軟體(P2P) 分享音樂檔案、使用未經授權的軟體程式、將軟體序號公布在網路等都是違反智慧財產權的行為。
* 著作人對其著作享有重製權與公開傳輸權,因此當您的網站使用別人的文字、圖片或是影音資訊,或是將他人的著作放在網路上供網友下載,必須先取得對方的同意,否則會有侵權的糾紛。

 

網路釣魚與網路詐騙

  網路釣魚是駭客仿冒知名公司網站,架設神似的假網頁,誘騙使用者登入假網站輸入個人資料,常見的手法是透過發送「系統更新,請檢查帳號」、「請變更密碼」等email,並在email內提供假的連結,誘騙收件者登入假網站輸入個人資料。

防身秘訣
* 勿點選電子郵件上提供的超連結,最好是自己在網際網路瀏覽器的網址列輸入網址。
* 收到要求您輸入個人資料的電子郵件時,務必向原公司求證後才行動,可減少被騙機會。

 

 無線上網

  電腦駭客可以在您家屋外透過裝有無線網路卡的電腦,進入您家的無線網路;再加上一些設備與惡意攻擊程式,駭客可輕易地入侵您的電腦,瀏覽資料,甚至植入後門程式。

防身秘訣
* 啟動防毒軟體與防火牆,並更新到最新狀態。
* 啟動家用無線網路基地台的安全管理功能:
  1. 關閉 DHCP (動態主機設定協定) 自動指派IP位址之設定。
  2. 啟動傳輸加密與認證加密功能。
  3. 透過設定可連網的MAC (媒體存取控制) 位址,過濾不明的電腦裝置。
* 不隨意連線到不明的無線基地台。

 

 數位簽章

  如同書面文件的簽名、蓋章,網路環境中也有數位簽章,作為通信與交易的基礎。由於數位簽章是簽署人向憑證機構申請後核發,且文件傳遞過程亦經加密與驗證,所以具有防止竄改偽造、確認交易對象身份、避免事後否認等功能。

防身秘訣
* 有法律保障的數位簽章,是由主管機關公告核定的憑證機構所核發。
* 應確認數位憑證的有效期限。

 

網路交易糾紛

  和郵購一樣,台灣的線上購物消費者享有7天內可不須說明理由、不付任何費用,退回商品或解除買賣契約。

防身秘訣
* 在網路購物前,應檢視電子商店網站是否提供充分的業者聯絡資訊,並詳細閱讀業者契約條款內容。
* 發生消費爭議時,可撥打「1950」全國性消費者服務專線電話,或直接向各縣市政府消費者保護官請求協助。

 

 網路付款

  網路交易付款方式很多,最常見的是直接在網站上輸入信用卡號,但不論使用那一種付款方式,都應選擇有網路信賴付款機制的網站,以降低您付款資料被竊取與濫用的風險。

防身秘訣
* 輸入信用卡等重要個人資料時,應確認網路商店符合SSL等安全機制,以確保資料* 傳輸時的安全。
* 簡單的檢查方法包括:
  1. 網址最前方是否為https(一般網址開頭為http)。
  2. 網站是否有安全認證標章。
  3. 網頁右下方是否出現鎖頭圖案。
    安全圖示
* 選擇有商譽的網路商店進行交易。

 

 安全認證網站

  由公正第三方驗證機構針對網路商店的交易安全進行檢驗,對於通過驗證的網路商店,驗證機構會提供「安全認證標章」張貼於該網站上,以便消費者辨識該網站的交易安全與可靠。常見的安全認證標章如:

 安全認證標章      

防身秘訣
* 在網路上填寫個人資料或進行線上交易時,先檢查該網站是否有安全認證標章。
* 使用網路購物或網路銀行時,應檢查網址列開頭是否為https,以確保資料傳輸有加密安全機制。

▲TOP
 
 
 
All Rights Reserved Copyright(C) NUKLIC 2009
Edited by Mikacherub