isms简介与法规案例说明

isms简介与法规案例说明内容摘要：

最新的版本，而後自動上網更新最新的攻擊模式，偽裝變身以規避掃毒程式。 目前似乎只有在台灣地區以及使用繁體中文的作業系統環境中發現該病毒蹤跡。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 36 法律說明 資安防護工作，如同「官兵捉強盜」，一直以來是與時間賽跑的工作。 新品種病毒與木馬程式的不斷出現，已讓定期更新程式碼、根據通報下載補丁程式成為機關 （ 構 ） 網管人員強化資安防護的例行性工作，然而這樣的安全防護模式已不足以因應多變的網路環境。 巴克雷病毒的出現，其靈活的變身攻擊模式，凸顯了機關 （ 構 ） 應對網管人員強化專業的重要性。 概善用市售的防毒軟體固然有助於阻絕病毒，降低損害發生的可能性，但過份倚賴掃毒程式，卻可能形成網管工作上的盲點。 例如本案自動更新病毒的發現，實有賴於專業網管人員對封包流量與連線紀錄檢視時的敏銳度才可能致。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 37 關於連線紀錄的保存議題，目前除了第二類電信事業管理規則對網路連線服務提供者 （ Inter Access Provider） 有所規範外，並未見於其他法律。 但為了協助機關 （ 構 ） 做好資安防護工作，仍建議機關 （ 構 ） 依據自身需求，參考「行政院及所屬各機關資訊安全管理要點」，建立機關 （ 構 ）的資訊安全紀錄保存與稽核制度，定期或不定期進行稽核作業，並禁止任意刪除及修改系統中之稽核紀錄檔案。 其中最重要者，仍是建立機制，強化網管人員之專業，避免定期或不定期的稽核檢視工作流於表面而不自知。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 38 Freedom程式讓設計者沒有 freedom 事件描述 【 案號： 1105】 刑事局於 2020年 8月破獲「 Freedom」穿越封鎖線駭客程式案，嫌犯為知名銀行資訊室電腦工程師，聲稱純為友人解決電腦被公司設限、上班時不能上網聊天「打發無聊」的問題，而撰寫此程式，不知觸法。 由於此程式著重隱藏及穿透防護功能，被認定是有攻擊性的木馬程式，警方依妨害電腦使用罪將他送辦。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 39 法律說明 企業或機關 (構 )進行網管的第一步，即是根據使用者的身分進行權限設定，並分層管理，或藉此限制特定應用軟體的使用權限，或避免無權限者得以接取到具有機密或敏感性的資料。 近年來，更由於網路已成為病毒散布、資料外流的重要管道，有越來越多的企業或機關 (構 )會對內部員工的網路應用行為加以設限，會刻意封鎖如 MSN、 Skype等即時通訊軟體，或限制電子郵件的收發，甚至是禁止上網。 即使如此，高階主管的電腦使用權限仍相對比基層員工高。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 40 本案中的「 Freedom」穿越封鎖線程式，據報載，即是利用此分層設限的機制，讓組織內部具有較高權限主管的電腦 （ 代稱 A） 被植入程式後，其他原本沒有上網權限的電腦 （ 代稱 B） 得藉由已被該程式控管的電腦 A轉介上網，使原有的系統保護管制措施形同虛設，遂其協助使用者達到上網之目的。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 41 從技術層面言，此程式的運作涉及到破解電腦保護措施 （ 刑法第 358條 ） 、植入遠端控制程式 （刑法第 359條 ） 、干擾系統依正常指令運作的穩定性 （ 刑法第 360條 ） ，從而此程式的設計者，可構成刑法第 362 條之「製作專供犯罪電腦程式罪」。 不論是供自己或他人使用，只要對公眾或他人造成損害時，可處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 42 簡而言之，當事人不管是為滿足成尌感而挑戰、測詴他人設置之資安防護措施，或是單純好奇想驗證自己製作程式能力，或是想宣洩對社會或組織的不滿，或如同本案例，僅純粹為自己或親朋使用之便利而製造具有入侵、破壞、干擾功能之電腦程式時，應留意這類程式的執行或散布是否可能對他人或公眾造成損害，否則將有觸法可能，程式設計者不可不慎。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 43 壹、電腦與網路犯罪 二、網路犯罪 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 44 網路釣魚，願者上鉤。 案例事實 【 案號： 1201】 2020年 1月有不肖集團以聯 X銀行網站為樣本，製作與聯 X 銀行首頁相同的網頁，並以該銀行名義發出數十萬封以「銀行系統轉換，重新登錄」為標題的電子郵件，要求銀行用戶點選郵件末隨附的極相似網址，上網重新確認帳號及個人密碼。 當用戶連上該偽冒網站時，即被植入木馬，竊取個人密碼及信用資料；歹徒隨後更利用相關資料盜領存款、盜開支票，甚至複製信用卡詐欺取財。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 45  法律說明  所謂網路釣魚，英文為 Phishing，與 Fishing發音相同，主要因為早期是以盜撥電話來詐騙財物，所以將「 Phone」和「 Fishing」兩字結合為 Phishing。  現在則是指利用網站連結、電子郵件、即時通訊等工具，誘騙網友進入與企業或組織網站相似的網頁，騙取帳號或是植入木馬程式，更進一步詐取受害人的財物。  這類犯罪由於具有經濟上的誘因，已迅速成為目前國內外嚴重的詐欺犯罪態樣。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 46 由於資訊化社會的發展，許多的文字或圖像都已經電子化，並相當程度足以表示其用意之證明，法律上即將其擬制為「文書」，適用文書保護之相關規定。 以本案為例，行為人以商家名義向不特定多數人發送電子郵件之行為，即可能構成我國刑法的第 210條偽造準文書罪。 郵件內含偽造首頁及偽冒網址之行為，即可能違反了著作權法第 91條，侵害網頁著作人重製權，也可能涉及使用他人商標中之文字作為來源之標識，成立商標法第 62 條的侵害商標權罪。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 47 關於竊取帳號密碼的部分，不論是網友誤入極為相似的網站而輸入帳號密碼，或行為人透過木馬程式竊取，有可能成立刑法第 359條取得電磁記錄罪。 最後，行為人以竊得之帳號、密碼進入銀行網站，進而將被害人「帳戶內存款」轉走之行為，視行為的階段性，可能成立刑法第 358 條之無故入侵罪，也可能成立第 3393條之電腦詐欺罪，分別為 3年與 7年以下的刑責。 如歹徒用以製作偽卡，可構成刑法第 2011條的偽造支付工具罪，可處 1年以上、 7年以下有期徒刑。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 48 網路釣魚詐欺多是利用人性弱點進行誘騙，或要求收信人及時回覆、或提供虛假網址連結誤導被害人。 面對層出不窮的犯罪手法，消費者對於網路之應用要有所警惕，除應定期更新安全防護軟體及更新瀏覽器漏洞修正外，更要謹慎小心，不要輕信不明的電子郵件，或隨意點擊廣告連結，並儘可能注意加註防釣安全標章 （ Signin Seal） ，以確保擁有安全的網路使用環境而免於受騙。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 49 色情資訊土石流 案例事實 【 案號： 1203】 檢警於台北縣偵破一販賣色情光碟案，行為人利用知名網站成立「女友的私房相簿」家族網頁，張貼色情圖片並販售色情光碟，這些色情光碟中包含賓館、廁所偷拍，甚至還有未滿 18歲的「帅帅片」。 行為人為了達到宣傳網站的效果，還徵得妻子同意，將兩人性交的自拍畫面拷貝成色情光碟販售。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 50 法律說明 所謂網路色情，指在網際網路上公開張貼或散布裸露、猥褻或低俗不雅的文字、圖片、聲音、動畫與性交易資訊。 但何為猥褻。 何為低俗不雅。 由於憲法保障民眾的言論自由權，且對猥褻、色情等的認定標準亦會隨社會發展、風俗變異而有所不同，其界線甚難釐清。 雖然如此，考量兒童及少年之心智發展未臻成熟，國家採取適當管制措施以保護兒童及少年免於被迫從事任何非法之性活動或性引誘，至為重要。 此亦為聯合國兒童權利公約所宣示普世價值之基本人權。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 51 本案例首先值得討論者，即為這些色情圖片的來源取得問題。 如所謂的「帅帅片」為行為人自行拍攝、製作，或引誘、媒介使未滿 18歲之人被拍攝、製作相關圖畫、錄影帶、影片、光碟、電子訊號或其他物品時，行為人無疑該當兒童及少年性交易防制條例第 27條之「拍攝製造猥褻物品罪」，得處六個月以上五年以下，或一年以上七年以下有期徒刑。 若其來源係以廁所、賓館偷拍方式取得，涉及無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動或身體隱私部位者，可構成刑法第 3151條之「妨害秘密罪」，得處三年以下有期徒刑、拘役或三萬元以下罰金。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 52 若不涉及來源問題，則本案行為人張貼、散布、播送、公然陳列或販賣色情光碟之行為，另構成刑法第 235 條之販賣猥褻物品罪，與兒童及少年性交易防制條例第 28條之散布或販賣姦淫猥褻物品罪，得處三年以下有期徒刑。 為避免讓未成年人接觸到不該接觸的色情資訊，我國已於 2020 年 4月 26日公布實施「電腦網路內容分級處理辦法」，要求帄台提供者與內容提供者需尌其內容標示分級標誌，並設置管理員以及時發現、及時移除不當資訊。 即便如此，網路過濾和分級制度皆非萬能，仍應仰賴學校、家庭和社會三方面的配合，建立兒童及青少年正確的性觀念，才可能有效遏止網路色情對於兒童及青少年的危害。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 53 轉寄誹謗郵件有罪 案例事實 【 案號： 1204】 南部某家知名冷飲店一再遭人惡意中傷，在電子郵件、網路留言版或聊天室上經常發現有詆毀性的文章，包括「該家冷飲店的飲料含有茶精、添加代糖，吃多會致癌」等內容，該公司摘錄 30多封網路留言及相關轉寄電子郵件後報請台南市刑大偵辦，警方詢問幾位措辭嚴重且強烈的行為人到案說明後移送地檢罫。 中華科技大學  科技管理 永遠領先 客氣客觀 客戶滿意 Page 54 法律說明 網路是一個匿名的虛擬空間，似乎每個人都可以在網路上想做什麼尌做什麼，也因其具有訊息散布快速、使用者得匿名的特性，有不少網友誤以為實體社會的法律、道德或倫理的界線在網路虛擬空間可以不用遵守而無所顧忌的發表言論，因此網路上流傳的各種言論內容可謂千奇百怪。 例如早年流傳的「某公司所生產的衛生棉會長蟲」或「 XX 公司所販售的雞肉為基因雞」、「 XX 醫院的醫生罔顧人命」等等，網友在收到或看到這樣的訊息或文章後覺得感同身受，或覺得有必。