資訊安全與資訊倫理

一、資訊安全與資訊倫理的定義與意涵

教育部重編國語辭典修訂網路版（2009）對「資訊」的定義是「電腦 上對使用者有用且經過整理之資料和訊息的總稱」，而資訊安全即是對上 述資訊確保其沒有對本身及任何人事時地物的危害。早期各國僅對資訊安 全 有 各 自 的 看 法 和 標 準 ， 直 到 英 國 國 家 標 準 協 會 （ British Standards Institution，簡稱 BSI）於 1995 年制定 BS 7799，部分國家陸續採用，才 有了較為正式的定義及標準。現今國際社會對於資訊安全相關普遍採用的 ISO 27000 標準系列，其前身正是 BS 7799（王振鴻，2009）。

而依據 ISO 27001 所制定的資訊安全標準，是指所有與資訊系統相關 事 務 之 安 全 ， 任 何 資 訊 安 全 政 策 的 目 標 ， 必 須 能 確 保 資 訊 系 統 的 機 密 性

（ Confidentiality） 、 完 整 性 （ Integrity） 與 可 用 性 （ Availability） （ 謝 惠 玲，2007）。另外也包含如鑑別性、可歸責性、不可否認性及可靠性等特 性（Preservation of confidentiality, integrity and availability of information;

other properties such as authenticity, accountability, non-repudiation and reliability can also be involved.）（莊凱茵，2010）。

既然資訊安全標準的完備性日益提升，而且均是由國家級單位制定其 標準，其重要性就可見一斑。何瀛州（2007）指出，國內早期的資訊安全 政策的推展及執行單位，大多都分部於各部會自行推動，如行政院研考會 資訊管理處、主計處電算中心等，地方縣市政府並沒有資訊專責處理單位，

大多隸屬於縣市政府計畫室資訊課（資訊作業小組）及教育局資訊網路中 心，直至民國 90 年時，成立「國家資通安全會報」以推動我國資通安全 基礎建設工作。

何瀛州（2007）同時也指出，教育相關單位的資訊安全管理早期亦無 獨 立 資 訊 安 全 組 織 ， 至 民 國 94 年 設 立 台 灣 資 訊 安 全 中 心 （ Taiwan Information Security Center，TWISC），而此一研究與教學中心的成立，

預期達成以下目標： 1.提昇我國資安科技學術與工程能量 2.提昇我國資安

11

產 業 工 程 應用 與管 理能 量 3.促進資安國際合作交流 4.培育資安種子，推 廣資安新知與認知。同時也寄望促成「資安學程」能先在國內大學部推動，

繼而往下紮根，融入國民基礎教育並與全民社區教育，終身學習接軌。

自從第一隻電腦病毒問世以來，資訊安全事件很快獲得各個國家的重 視 。 在 國 內 ， 行 政 院 「 國 家 資 通 安 全 會 報 」 （ 2005） 訂 定 「 各 政 府 機 關

（構）資訊安全責任等級分級作業研訂實施計畫 」，目的在於「透過有效 的資訊安全管理，來防止資訊受到潛在威脅的破壞，進而全面提升國家資 通安全水準，以管理手段考量主客觀之形勢，明確律定資安等級之規範。 」

隨著科技的進步，危害資訊安全的相關事件也層出不窮，並且其相關 之技術、手法等會跟科技一起日新月異。 尤其是病毒、攻擊等網路惡意程 式等為最，而相因應之資安產品雖然是推陳出新，只能說好像是看到一場 競賽，惟一不變的受害人永遠是使用者（謝惠玲， 2007）。

倫理一詞，根據教育部重編國語辭典修訂網路版（2009）對其有二個 解 釋 。 一 為 ： 「人 倫道 德 的 常 理 。 禮記 ˙樂 記 ： 『 凡 音者 ， 生於 人 心 者 也；

樂 者 ， 通 倫 理 者 也 。 』 淮 南 子 ˙要 略： 『經 古 今 之 道 ， 治 倫 理之 序 。 』 」 而 另 一為 ：「事物的 條 理。朱 子 語類 ˙卷十一˙讀書法下：『讀史當觀大 倫 理、大機會、大治亂得失。』」。資訊倫理的發展，即是傳統倫理在資訊 科技的現代社會衍生出的一環，也是隨著資訊科技發展 的必然結果，若缺 乏了對資訊倫理的認識與實踐，電腦及網路將成為犯罪的溫床。

吳益成（2008）針對資訊倫理也指出：「資訊倫理是倫理概念在資訊 科技發展下所新擴充出的意涵，與傳統倫理係屬同一根源，其理論派別自 然也與傳統倫理理論派別大抵相同，網路上的倫理議題的探討，最先起源 於電腦倫理與資訊倫理：早期由於電腦的發明，資訊儲存方式的改變，因 而產生對電腦倫理和資訊倫理的重視。」下表 2-2-1 為吳益成（2008）所 整理資訊倫理理論基礎定義：

12

13

密性與安全性上面做許多努力，但分享資訊的好處與保護資訊之間存在著 難以解決的衝突。4.資訊科技的應用在缺乏授權與認證工具的情形下，常 常引發不倫理的行為。（引自林維珉，2009）

許孟祥、黃貞芬、林東清（1996）提出：「由於社會資訊化的結果，

資訊產品之影響力也隨之擴大，各種資訊行為中不論是資訊產品的開發、

生產、交易或使用，資訊決策者可能因為決策不當而引起倫理議題，並使 得許多人因此而受益或受害。」這裡提出了資訊倫理可能因為決策的不適 宜引發問題的概念，若將其帶入教學現場之中，就如同教師在資訊安全或 資訊倫理教學過程中，其實扮演很重大的決策角色，若有不適宜的行為或 表述出現，很可能會造成許多的問題。

二、資訊安全與資訊倫理的議題

談到資訊倫理之時， Mason（1986）的 PAPA 資訊理論模式是常被提 及的。Mason 認為由於資訊科技使用不當，導致資訊倫理問題的產生，他 提出與資訊倫理相關的議題，其中較為顯著且重要的議題有四項：

1.隱私權（ Privacy） ：個人資訊的披露與否由本身決定，並防止侵犯他人 隱 私 。2.精確性（Accuracy）：能擁有正確資訊的權利，以及提供正確資 訊 的 義 務 。 3.所 有 權 （ Property） ： 維 護 資 訊 創 作 者 的 權 利 ， 規 範 使 用 者 的 責 任 。 4.資 訊 存 取 權 （ Accessibility） ： 維 護 個 人 資 訊 存 取 之 權 利 ， 並 規範分配資訊者的責任。

臺北市《資訊素養與倫理國小 2 版》（臺北市政府教育局，2009）中 建 議 於 國 小 五 年 級 實 施 「 垃 圾 郵 件 」 、 「 電 腦 病 毒 」 、 「 網 路 交 友 」 、

「網路禮節」和「資料保護」五個議題之教學，而依據教育部訂定之「 97 年國民中小學九年一貫課程綱要重大議題（資訊教育）」（教育部， 2008）

中，此五個議題之教學可一直持續向上延伸。因此，本論之研究向度便以 此為本，其中由於「網路交友」的議題牽涉較為廣泛，礙於部分限制不對 其作討論。以下就「垃圾郵件」、「電腦病毒」、「網路禮節」和「資料 保護」四個議題進行相關的探討。

（一）垃圾郵件

張 文 華 、 陳 致 成 、 楊 婉 姈 、 黃 重 慧 （ 2008） 指 出 垃 圾 郵 件 （ spam）

就是未經請求而傳送的大量商業性的電子郵件。雖然目前大部分垃圾郵件 不開啟就不會對資訊設備造成損害，但處理垃圾郵件所耗費的時間和精神，

以及其侵犯的權益仍是不容忽略的。更何況垃圾郵件之中可能夾帶惡意程

14

式如電腦病毒等，倘若不慎將其開啟，可能造成的危害不容小覷。

劉邦典、林俊宇（2005）認為垃圾郵件所產生的危害問題，主要包括 侵犯個人隱私、詐欺犯罪、危害資訊安全、盗用身份、降低消費者的信心 與 色 情 危 害等 。垃 圾郵 件所 造 成的 社 會損失 主 要有： （ 1）員工生產力的 損失；（2）網路及電腦資源的損失；（ 3）額外的人力支援及建置資訊設 備的財務負擔；（4）資訊安全的風險增高；（5）行銷效果及企業形象的 不良影響等。

在 國 內 ， 陳 俍 任 （ 2007 ） 報 導 指 出 根 據 國 家 通 訊 傳 播 委 員 會

（National Communications Commission）統計，全台的垃圾郵件量驚人，

一個月總量 97 億封的電子信中，就有超過 80 億封垃圾郵件，尚不包括沒 被網路業者所過濾之垃圾郵件，如果加計進去，即超過 90 億封的垃圾郵 件 ， 其 中 95%來 自國 外 。 這 個統 計 顯示 出我 們 日 常所 收 到 的 電子 郵 件 中，

有超過九成以上都是垃圾郵件（林維珉， 2009）。

國內外雖有不同的法令或規定以期減少或杜絕垃圾郵件，例如美國的

「垃圾郵件管制法」（ CAN-SPAM Act of 2003）及日本的「特定電子郵 件傳送標準化法」等，還有國內的「濫發商業電子郵件管理條例」（林維 珉，2009），但仍有賴使用者加強對於保護自己及他人的權益的觀念，才 能降低或避免垃圾郵件的危害。

（二）電腦病毒

自從第一隻電腦病毒問世以來，絕大部分資訊使用者就對電腦病毒痛 恨 不 已 。 Meiring（ 2004） 對 電 腦 病 毒 （ virus） 的 定 義 如 下 ： 可 附 著 在 其 他 寄主 程 式（host program）的程式，能夠自我複製並將其散佈至其他的 寄主程式。但隨著部分有心人士忽略資訊倫理，電腦病毒通常不單純只有 的複製及散佈，也會帶來資訊的損害，甚或硬體設備的破壞。

除了傳統的電腦病毒之外，隨科技的發展，電腦病毒的類型也逐漸增 加，郭遇隆（2006）認為常見的廣義電腦病毒（惡意軟體）還包括下列類 型：蠕蟲（worms）、特洛依木馬（Trojan horse）、細菌（bacterium）、

炸彈（bombs）、後門（trap door）、間諜程式（Spyware）。

第二代的電腦病毒不同於傳統電腦病毒之處在於感染途徑，拜現在瀏 覽器的廣泛使用之賜，第二代電腦病毒已經完全不需要寄主程式，主要透 過使用者瀏覽網頁時，透過特定設計的程式來感染或進行破壞（鮑有仲，

2002）。

15

而惡 意程式（Malware）是指一個被秘密 安置進系統的程式， 企圖破 壞受害者的資料、應用程式或作業系統的保 密性、完整性或可用性（潘天 佑，2008）。

目前 電腦 病毒 常見 的散 播 途 徑如下 ： 1.透過磁碟的拷貝。2.透過檔案 伺服器共用檔案。 3.透過電子郵件的附加檔。4.透過網際網路（ Internet）

下 載 ， 例 如 FTP （ File Transfer Protocol ， 檔 案 傳 輸 協 定 ） 或 HTTP

（ HyperText Transfer Protocol ， 超 文 本 傳 輸 協 定 ） 等 等 （ 趨 勢 科 技 ， 2008）。電腦病毒利用作業系統及程式的漏洞，透過各種電腦通訊方式來 傳播，現在隨身碟、可移式行動裝置和即時通訊軟體也成為傳播的新媒介

（林維珉，2009）。

（三）網路禮節

有禮走遍天下，同樣的道理也可以運用於網路之中。網路禮節可作為 網路溝通的圭臬指引，使網路新手行之有道，使網路公民行之合宜（蘇怡 如，2005）

網路禮節（Netiquette）一詞普遍認為出自 Arlene H. Rinaldi 所撰寫 的「網路：使用者指導原則與網路禮節」（ The Net：User Guidelines and Netiquette）。Rinaldi 將網路禮節分為以下 7 個方面來探討：1.電子郵件

網路禮節（Netiquette）一詞普遍認為出自 Arlene H. Rinaldi 所撰寫 的「網路：使用者指導原則與網路禮節」（ The Net：User Guidelines and Netiquette）。Rinaldi 將網路禮節分為以下 7 個方面來探討：1.電子郵件