資通安全宣導
參考連結
[1] 個人資料保護法
[2] 新版個資法上路,4個重點、8大案例,認識網路個人資料保護問題
[3] 認識新「個人資料保護法」
壹、網路安全
-
防火牆(Firewall)
-
隱私及識別
-
作業系統安全更新
防火牆是一項協助確保資訊安全的裝置,會依照特定的規則,允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的軟體。
密碼強度(Strong Password)
在資料外洩的事件中,有29%就是因為密碼非常容易被猜中而遭到入侵,甚至有高達三分之二的受害者還是事後收到其他人通知時,才知道自己的資料外洩啦!由此可知,「密碼設定」這個看似小小的動作,其實是資訊安全防護非常重要的關鍵。
A.長時間不使用時應設定螢幕保護,並啟用閒置時間超過 15 分 鐘後以通行碼保護。
B.資訊通行碼制定與使用規則,包含以下各項:
①使用者應該對其個人所持有通行碼盡保密責任。
②使用者的通行碼設定,應該包含英文字及數字,長度為8碼(含)以上。
一、 良好的通行碼設定原則
1.混合大寫與小寫字母、數字,特殊符號。
2.通行碼越長越好,最短也應該在8個字以上。
3.至少每三個月改一次通行碼。
4.使用技巧記住通行碼
使用字首字尾記憶法:
a.My favorite student is named Sophie Chen,取字頭成為mFSinsC
b.There are 26 lovely kids in my English class,取字尾成為Ee6ysnMEc
中文輸入按鍵記憶法:
a.例如「通行碼」的注音輸入為「wj/ vu/6a83」
二、 應該避免的作法
1.嚴禁不設通行碼
2.通行碼嚴禁與帳號相同
3.通行碼嚴禁與主機名稱相同
4.不要使用與自己有關的資訊,例如學校或家裡電話、親朋好友姓名、身份證號碼、生日等。
5.不重覆電腦鍵盤上的字母,例如6666rrrr或qwertyui或zxcvbnm。
6.不使用連續或簡單的組合的字母或數字,例如abcdefgh或12345678或24681024
7.避免全部使用數字,例如52526565
8.不使用難記以至必須寫下來的通行碼。
9.避免使用字典找得到的英文單字或詞語,如TomCruz 、superman
10.不要使用電腦的登入畫面上任何出現的字。
11.不分享通行碼內容給任何人,包括男女朋友、職務代理人、上司等。
密碼設定參考操作步驟如下圖
NordPass 公布 2022 最常見密碼,台灣前十名不用 1 秒就能破解,快來看看你有沒有中獎
2013-02-25 花俊傑
隨著個人資料保護法的實施,個資保護已成為政府與企業不得不進行的重要工作之一,但是在立法的精神之中,除了強調個資保護責任,隱私維護更是不可或缺的重要支柱,如果無法維護個人隱私,也就意謂著個資保護一定不夠周全。
在資安的領域之中,若是談到資料的保護,實施起來並不是一件十分困難的事,不過,如果要落實個人隱私維護,就需要補充更多對法令的認識,以及對於個人隱私的認知與尊重,這和單純的資安防護比較起來,有著相當不同的思維與因應作法,也是一項更加多元的挑戰。
近代隱私維護發展的歷史
所謂的隱私,指的是個人能自由地選擇在什麼情況下,向哪些人揭露多少程度的個人資料和行為,主張個人有權利去保護針對個人生活與家庭可能產生的直接侵擾,並且限制與個人有關的資訊被發布。從歷史發展的角度來看,隱私的概念最早源自古希臘和聖經,在回教可蘭經中也有相關的記載。至於現代第一部個人資料保護法,是在1970年由德國公布,主要目的是因應資訊科技的高度進步和發展,可能會對個人隱私所造成的影響;同年,美國也誕生了第一部有關隱私的法律,但主要是針對保護消費者的信用資訊。而隱私保護最知名的論點,則是來自於小說「1984」裡的老大哥隨時都在看著你(Big brother is watching you),讓人們得以了解個資保護與隱私維護的重要性。
個資的類別與區分原則
依據個人資料保護法的定義,所謂的個資是指可以直接或間接識別到特定個人的資料,這部分與歐盟的個資定義相同,換句話說,只有屬於可識別到個人的資料,才會受到個資法的保護。因此,如果有些資料加以去識別化,或是採取匿名或遮蔽的方式,就不適用於個資法的要求,即可歸屬於非個人資料。
在個資法尚未實施之前,大多數企業對於資料保護的要求,主要都是針對非個人資料,包括像是營運資訊、研發產權、產品與服務資訊等,所採取的方式也比較簡單,只需保護資料本身即可,不需要兼顧所謂的個人隱私要求。只不過,在所謂「可識別至特定個人」這條線之間,仍然存在的許多模糊地帶,例如以網路IP位址為例,到底它是否屬於個資,在不同國家的法律和法庭之間,就有著不同的認定方式。
以歐盟(EU)而言,IP位址是被視為可識別至特定個人的個資,美國聯邦貿易委員會(Federal Trade Commission,FTC)也認為,若IP位址與醫療健康資訊有關,就會被認定為個資之一。但是,在愛爾蘭的法庭卻認為,IP位址並不構成所謂個人資料的要件,因此不被視為是需要保護的個資。
從隱私的角度來看,目前與個人資料有關的隱私類別,可以區分為以下四類。
1.資訊隱私:包括了醫療資訊、金融資訊、網路使用與社交活動記錄等,主要關注於需建立規則來妥善地管理和個人資料有關的蒐集與處理行為。
2.身體隱私:與身體有關的隱私包括了所進行的身體檢查、藥物測試、基因測試,也包含了和個人有關的血統、墮胎、收養等資訊,它主要專注在與個人身體有關的各項行為。
3.通訊隱私:要求保護與個人通訊有關的意圖和內容,包括了傳統信件、電子郵件、電話溝通及其他可用來實現通訊行為的軟硬體設備,像是現今流行的即時通訊App等。
4.領域隱私:它是和個人環境有關,這些區域包括了個人住宅、工作場所和公共區域等,主張可以用來侵擾他人領域的能力,都應受到適當的限制,例如架設可監控錄影的攝影機、要求出入需要檢查身分證件,以及其他類似的做法等。
企業面臨的個資與隱私風險
為了保障個人隱私和說明個資被蒐集的情況,許多組織都會在其用來蒐集個資的管道中,透過個資保護政策(Policy)或隱私聲明(Notice)來告知使用者,這些隱私政策和聲明的目的,除了可以宣達組織的個資保護責任之外,同時也是為了教育使用者的隱私觀念。
對組織而言,由於隱私所牽涉的範圍很廣,可能包括了個人、法律和商業運作等諸多層面,加上許多的隱私保護要求,也是來自於法律法規、產業協定和商業合約等,除了需要考慮這些外部要求之外,內部的聲音同樣也不能忽視,包括像是保護員工個人資料、提供工作場所的隱私維護、實施資訊系統的監控與記錄等,都是企業在評估個資與隱私風險時,不可遺漏的一環。
為了有效管理個資與隱私所帶來的風險,最簡單的方式是從個資生命週期來著手,以下是在各個階段需要審慎考量的重點。
資訊安全系列影片:教導同學如何進行作業系統更新,防止系統的漏洞讓電腦處於被外部威脅攻擊的危害。
-
電腦系統安全
良好的網路習慣才是資訊安全的根本
☻備份及還原
☻防止未經授權的連接
☻避免受惡意程式攻擊及感染(木馬.病毒......)
(1)備份及還原-當電腦災難來時.能立即恢復電腦系統的運作
(2)防止未經授權的連接
-
