作者:曹桂漪 / 臺灣大學計算機及資訊網路中心程式設計組資訊工程師
資訊安全議題,已經宣導了許多年,這不是一時的口號,或是像娛樂新聞一樣曇花一現,很快又被下一則新聞給掩蓋過去了,資訊安全是隨時都在我們身旁圍繞的重要觀念與需要力行的習慣,不只是聽聽看看,吸收新知,更要加以落實,讓資訊流通迅速的現代生活,真的能夠多多有著安全的防護。也許很多人會誤以為這是資訊部門的工作,應盡的業務責任,是的,沒錯,資訊部門的承辦人員應該善盡建築堡壘的城牆,保護城內的善良老百姓,但,試想城牆真的是密不透風嗎?真的能天衣無縫的將外面的大惡人、小細菌一一屏除在外?
舉一個最簡單的例子,木馬程式,取名由來自特洛伊木馬屠城記,大家耳熟能詳的故事,真正招致滅亡的主因是因為城內的居民開了城門讓巨大木馬進來,躲在木馬裡的大批敵軍,不費吹灰之力就攻下城了。就像資訊安全的風險一樣,有著網路設備防火牆的阻隔後,一般的使用者還是有可能開啟了病毒,啟發並擴散,一傳十,十傳百,不知不覺中,已輕輕鬆鬆把病毒散播給親朋好友了。資訊安全的落實,除了是資訊部門的責任,亦是每個使用人的責任。
圖來源:劉楨民http://www.pcsh.tpc.edu.tw/upload/upload/62109410.pdf
有了基本觀念後,下面我們將分為二大主題(使用習慣與資安知識),讓大家對資訊安全有更進一步的了解,及如何養成在生活中自我保護的好習慣。
一、 使用習慣
1. 電腦
1-1 防毒軟體:只要有上網的電腦或是會作資料交換的電腦,建議安裝防毒軟體,防毒軟體並非能百分之百的隔絕病毒。原因是市面上的防毒軟體都是在駭客寫出病毒後,才加以破解,並製作出病毒碼,再由一般民眾下載使用,也就是說病毒產生後到解病毒碼的製作期間,會有一段空窗期,這期間就會有中毒的風險。
1-2 漏洞修補:電腦作業系統或軟體產品,出產時就已經有後門,發售廠商會在發現問題後,趕緊製作修補程式,提供一般使用者(客戶)進行修補作業,這也是需要去注意並下載更新電腦的喔。
2. 電子郵件
1-1 散播郵件:一般人在收到好笑的、有用的知識、亦或是類似求取愛心人士幫忙(如尋人)的郵件時,常常隨手就直接轉寄到親朋好友的信箱裡了,這裡需提醒大家,再散播郵件前最好能先確認信件的可信度與真實性,以及最常見的在電子郵件中藏病毒一起擴散出去,而大批寄出信件時,記得將收件人的電子郵件隱藏,免得遭有心人士的利用。
1-2 開啟附加檔案:應特別注意,壓縮在檔案中的可疑檔案,一般簡易的辨別方式就是先將檔案解除壓縮後,確認檔案格式,如為*.EXE、*.DLL、*.BAT、*.LNK、*.CMD、*.COM、*.SCR、*.VBS。
1-3 郵件中的連結:收到信件時,應先確認來源是安全的。
1-4 陌生人寄來的郵件,請勿任意開啟,有的病毒是在自動預覽時就會啟動的,郵件設定請關閉自動預覽,當主旨是可疑信件時就不要開啟。
3. 即時通(如MSN)
1-1 MSN是很常見的溝通管道,正因為他的便利性,容易成為犯罪者的管道,竊取帳號後,自動偵測該用戶是離線的狀態,在偷偷上線,隨機要求好友名單中的人,借款,等到名單中的好友與本人確認時,為時已晚,金錢已損失,詐欺犯一般不容易捉,即使捉到了,錢絕大多數是要不回來的,這點不可不慎。當有疑似朋友利用MSN、電子郵件、簡訊、甚或來電緊急借款時,務必多加確認身分,以防受騙。
1-2 MSN傳輸過來的網址,也要先跟對方確認是否是本人傳送過來的,因為當自己的帳號被竊取時,也表示你的親友們有可能成為受害的對象,也損及自己本身的信用,因為等於間接幫助了犯罪者。
4. 隨身碟
1-1 當資料量大,而需要作資料交換或搬移到其他電腦時,最常使用的是隨身碟,然而隨身碟在複製檔案的同時也容易將病毒帶者到處走,故應盡量避免多人共用隨身碟,或是隨身碟任意存取公用電腦
5. 密碼設定
1-1 密碼設定是一種保護機制,切記使用懶人密碼:1234,一般建議長一點,複雜一點,這樣破解比較花時間,最重要的是要常常變更密碼,不建議萬用密碼,這樣一但流失出去,重要資產銀行存款,個人隱私資料都會外洩出去。
6. 「中木馬」與「中病毒」的差異
1-1 這2者都是系統漏洞與安全問題,不同的是「中木馬」是人為的感染,點了某一個檔案後,啟發木馬程式進行資料的竊取或覆蓋;「中病毒」大多是自然感染,如檔案複製成功後,會自行繁殖並擴散感染。
圖來源: 劉楨民http://www.pcsh.tpc.edu.tw/upload/upload/62109410.pdf
二、 資訊安全知識
1. 何謂電子簽章?
1-1 電子簽章:把寫在紙上的簽名改為電子化,使用了公鑰加密領域的技術實現,用於鑑別數字信息的方法。一套數字簽名通常定義兩種互補的運算,一個用於簽名,另一個用於驗證。具有不可否認性、
1-2 電子簽章法:電子簽章法主要目的在於解決電子文件、電子簽章、數位簽章使用之法律效力問題,做為推動電子商務及電子化政府之法源依據。
1-3 應用:自然人憑證、工商憑證、政府憑證。
圖來源:孫漢傑博士http://www.asiapeak.com/download/GSS-TimeStamp.pdf
2. 何謂SSL?
1-1 網頁上常見到公司行號已使用SSL技術加強資訊安全的保護,而SSL指的就是Secure Socket Layer的縮寫, 是一種網際網路上最普遍使用的安全通訊協定,保障網站伺服器及瀏覽器之間的數據資料傳輸的安全性。透過使用這個協定,網路上的數據傳輸會按照認證的種類(40位元、128位元) 進行不同程度的加密,更會檢查資料的完整性。除此以外, 透過所謂『金鑰匙』的加密技術及嚴謹的SSL認證註冊的程序,SSL可以驗證伺服器的身份而達到網站瀏覽者向網站身份作出檢查的目的。
1-2 SSL網路安全協定有幾項特色:
1.私密性(Privacy):透過加密而能確保資訊的私密性。即使訊息仍然可能會被第三者攔截,但是他們無法閱讀這些資訊,因為他們沒有鑰匙可以開啟。
2.完整性(Integrity):藉由加密來確保訊息的完整性,如果在傳輸過程資料遭到如果在傳輸過程資料遭到竄改,接收者會因為無法解密而得知訊息遭到破壞。
3.認證(Authentication):經由數位授權,提供資料的真實性。
圖來源:台大計中
3. 何謂電磁脈衝?
電磁脈衝是一種高強度電波干擾,其產生之高強度電磁脈衝,能夠使半徑數十公里內的所有電子設備癱瘓,對於隱蔽在地下的電子系統,電磁脈衝有強烈干擾。
資訊安全從每個人的良好習慣做起,上網避免連到可疑的網站,勿任意下載來路不明的軟體,郵件中的檔案要先解壓縮確認沒有藏病毒,不要直接點2下開啟檔案,這樣等同於執行病毒。勤改密碼,保護好自己的資料,也能避免親友因為自己被盜用的資料,而牽連損失財物或信用。
資料參考來源:行政院國家資通安全會報