資通安全管理

(1)

林宜隆博士

中央警察大學資訊管理學系、研究所教授網路犯罪問題研究室召集人教育部網路法律諮詢委員會委員

資通安全管理

1

教育部網路法律諮詢委員會委員教育部資訊使用管理小組審議分組召集人中華民國資訊管理學會資通安全管理委員會主任委員

台灣電腦網路危機處理暨協調中心 TWCERT/CC執行長

I-Long Lin for Cybercrime &

Cybersecurity Managemnet, CPU, 2009

資訊犯罪與安全管理

(

資訊安全認知(

Awareness)

與資訊安全管理系統（ISMS))

報告大綱

• 資訊安全之迷思

• 資訊安全與您何關？

2

資訊安全與您何關？

• 資訊安全重要性與常見資訊安全犯罪手法

• 如何落實資訊安全？

• ISMS管理架構

• 國內ISMS發展現況

• 資安商機在何處?

資訊社會的犯罪概念 (資訊安全之迷思) (林宜隆,1995~2008)

資訊社會

自由安全^◎

( 即安

3

安全又自由)

犯罪不自由

１、政策／制度面２、法律／偵查面３、安全技術面

4 、教育面(含資訊倫理)

網路安全犯罪

網路安全與資訊犯罪(PLSE)

(林宜隆,1996~2008)

教育面(含資訊倫理)(E) 政策／管理面(P)

4

法律／偵查面(L)

安全技術面(S) 資訊及網路安全

資訊社會與安全管理

(資訊安全管理系統架構（ISMS))

(林宜隆,2003~2006)

• 網路政策與資通安全(政策面)-P

5

( )

• 資訊犯罪與安全管理(法律面)-L

• 網路安全與危機管理(安全技術面)-S

• 資訊社會與數位內容(教育面)-E

勾勒資訊化優質社會(e-Society)的藍圖

(資訊安全與您何關？)

有關「NICI願景與推動策略」之提出，係基於資訊通信科技所帶動的技術變革，而作的國家資訊通信發展推動之規劃。

其內容，係以e-Taiwan為願景，以基本建設、電子化政府(e-政府)、電子化產業(e-產業)及網路化社會(e-社會)為

6

推動架構，邁向高度資訊化優質的社會。

(www.nici.nat.gov.tw),(www.gov.tw)

敵對國家可能發動資訊戰與網路戰

網路恐佈份子發動網路攻擊

犯毒、洗錢集團利用密碼技術造成執法機關在情報蒐集分析、防制及調查上的困難

網路駭客破壞網路系統及重要資料

商業間諜竊取商業機密I-Long Lin for Cybercrime &

(2)

資訊安全犯罪案例

• 疑似大陸駭客入侵政府網站，兩岸陷入資訊戰之疑雲(1999.10)

• 美國水庫專家置於車上之筆記型電腦遭竊，遺失重要資料影響救災

• 假造網路銀行網址盜取客戶資料( 網路釣魚)(2000/01)

7

• 假造網路銀行網址盜取客戶資料( 網路釣魚)(2000/01)

• 駭客以阻斷服務攻擊法入侵Yahoo等知名網站 (2001.03)

• 疾風病毒盛行，造成企業損失慘重 (2003.8.12Blaster Worm)

• 政府88單位網站疑遭中共＂網軍＂攻擊 (2003.09.04) I-Long Lin for Cybercrime &



重大駭客資安事件

• 2000年雙十節敏感時刻兩案駭客事件

• 2001年5月年美中駭客大戰我國亦遭波及

• 2002年7月大陸駭客入侵我國政府200餘台電腦主機

• 2002年9月大陸駭客法輪功爭議蓋台事件

8

• 2003年9月大陸駭客企圖大規模癱瘓我國電腦系統事件(國內共有88家廠商（單位）被駭客入侵植入木馬程式)。

• 2004年3月總統大選大陸駭客竄改網頁。

• (2004年7~9月?)（Phishing，高雄縣、台南市及基隆市政府網站)

• 2005年攻防演練、駭客入侵(大考中心)、系統漏洞、

電腦病毒、網路詐騙、網路自殺等資安事件

公私機構可能面臨的資訊安全事件

• 內部人員不當存取網路97%

• 電腦病毒 90%

• 攜帶型電腦偷竊 69%

• 資訊竊取26%

• 破壞資料及網路 19%

• 通訊詐欺17%

9

• 內部人員未經授權存取資訊 55%

• 被阻斷提供服務32%

• 入侵 31%

• 通訊詐欺17%

• 財物詐欺 14%

• 無線竊聽13%

• 有線竊聽 2%

Sources: Issues and Trends:CSI/FBI Computer Crime and Security Survey, www.goci.com I-Long Lin for Cybercrime &

資通安全管理(三部曲)

(資安文化)+(資安落差)

E(M)-Taiwan (資通安全管理)

E-Society

(林宜隆,2001~2008)

資通安全認知人人有責

10

資通安全認知

^、

人人有責資通安全管理

、

人人做到

強化資通安全體系，打造資通安全環境強化資通安全體系，打造資通安全環境推動

推動MM台灣台灣資安月，建構安全資安月，建構安全SI-Long Lin for Cybercrime & S台灣台灣(S(S--Taiwan)Taiwan)

資訊社會三個構面:(IT,C,P) (資訊安全重要性) (林宜隆,2002~2008)

資訊科技平台(IT含軟硬體及通訊)

交易(溝通)

11

交易(溝通)

使用者(P) 數位內容(Contents) 安全、犯罪與法律問題(SCL?)

資通安全管理=CyberSecurity+CyberCrime+CyberLawI-Long Lin for Cybercrime &

網路犯罪與資訊立法

• Cyberspace=CyberSecurity+CyberCrime+Cyber Law

12

• CyberSecurity=技術面+管理面

• CyberCrime=犯罪面( MOP理論)+偵查面+鑑識面

• CyberLaw=刑事法+民事法+行政法+TISMA

(3)

網際網路犯罪(資訊犯罪) 之刑事政策?

網際網路犯罪

網際網路（I）犯罪（Ｃ）

13

１.早期定義：Ｒ＝＞１，如 Hacker + 竊盜犯２.未來定義：Ｒ＝＜１網路犯罪＝

「強暴犯、殺人犯」

PS:立法院92.06.03三讀通過刑法修正案，92.06.26總統公佈新增妨害電腦使用罪專章 (第358~363條)

.. I

C I C

立法院92.06.03三讀通過刑法修正案，92.06.25 總統公佈，新增妨害電腦使用罪專章

(刑法第358~363條)-告訴乃論

• 第358條新增「無故入侵電腦罪」，凡無故輸入他人帳號密碼、破解使用電腦的保護措施或利用電腦系統的漏洞，而入侵他人的電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

• 第359條新增「保護電磁紀錄規定」則明訂，無故取

14

第359條新增保護電磁紀錄規定」則明訂無故取得、刪除或變更他人電腦或其相關設備的電磁紀錄，

致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

• 第360條「干擾電腦系統及相關設備罪」則規範駭客癱瘓網路的攻擊行為，凡無故以電腦程式或其它電磁方式干擾他人或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

立法院92.06.03三讀通過刑法修正案，92.06.25 總統公佈，新增妨害電腦使用罪專章

(刑法第358~363條)-公訴罪

• 第361條由於公務機關的電腦系統若遭侵入，往往會造成國家機密外洩、有危及國家安全之虞，因此修正案規定，對於公務機關電腦或相關設備犯上述三條條文者加重其刑至二分之一

15

文者，加重其刑至二分之一。

• 第362條「製作專供電腦犯罪之程式罪」則是針對電腦病毒程式的設計者，凡製作專供犯本章的罪的電腦程式，而供自己或他人犯罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

• 第363條但上述三條(第358~360條)條文都是告訴乃論，

必須由受害人提出告訴才受理偵辦。I-Long Lin for Cybercrime &

知識經濟時代資訊社會的演進

學術菁英

16

社會大眾商業化

資訊社會與真實社會相互影響

真網資

17

實社會

路社會

訊社會

日常活動犯罪理論之M-O-P犯罪 三要素動態模式 (林宜隆,1995~2008)

M

18

O P

犯罪罪

E1 E2

E3

(4)



(資訊)

網路犯罪之基本理論

(Cont.)

‧得知下列一個推論：「當網際網路使用愈普及，則(資訊)網路犯罪愈是必然發生」，

為防止網路犯罪發生，必須相對提高網路安全科技(如防火牆防毒 IDS VPN PKI/CA及

19

全科技(如防火牆,防毒,IDS,VPN,PKI/CA及密碼系統設置, 即代表P) 及儘速制定網路使用管理辦法(如美國反垃圾電子郵件法案, 英國電子郵件檢查法及電子簽章法

(90/10/31)即代表M)或資訊使用相關法令 (如網站內容管理法, 即代表O)等以確保資訊網路系統之安全。

E法律問題鳥瞰

• 電腦犯罪(刑法修正案) 86年8月10日修正公布

• 妨害電腦使用罪專章(刑法修正案) 92年6月26日修正公布

• 個人資料保護(個資法修正案) 84年8月11日公布

• 智慧財產權(著作權修正案920605,商標法,專利法 )

• 網路廣告規範,通訊保障及監察法 ,電信法

20

• 網路內容管理(網路色情,援助交際)(網路內容管理法?)

• 消費者購物保護

• 數位簽章(電子簽章法90.10.31三讀通過)

• 垃圾郵件(Spam Mail)(電子垃圾郵件管理辦法?)

• 北市版網咖管理條例 (90.11.14).

‧網路基本法、網路管理法和網路使用者管理辦法等法律 …….…etc. (資訊)網路犯罪

公私機構可能面臨的資訊安全事件

• 內部人員不當存取網路97%

• 電腦病毒 90%

• 攜帶型電腦偷竊 69%

• 資訊竊取26%

• 破壞資料及網路 19%

• 通訊詐欺17%

21

• 內部人員未經授權存取資訊 55%

• 被阻斷提供服務32%

• 入侵 31%

• 通訊詐欺17%

• 財物詐欺 14%

• 無線竊聽13%

• 有線竊聽 2%

Sources: Issues and Trends: CSI/FBI Computer Crime and Security Survey, www.goci.com

我國網路警察與資訊犯罪偵查機制 (

如何落實資訊安全？ )

資訊犯罪機制之建立(net110.cib.gov.tw)

一、網路警察之成立：網路警察應具備下列三大功能 1.電信偵查之功能(含電信監察)。

2.網路通訊偵查之功能。

3.電腦偵查功能(含電腦犯罪偵查)。

 網路警察局  資通警察局

22

 網路警察局  資通警察局

另對於網路警察之工作範圍，則應包括下列各項：

1.電腦(網際)網路之安全管制與維護。

2.有關電信法、有線電視法、廣播電視法規等規定有關電信案件之查處與取締。

3.有關違法、違反通訊案件之查處、無線電之違法設站及無照使用無線電等等之違法行為。

4.我國通資訊基礎建設安全機制(90年1月17日行政院院會通過)之犯罪偵防。

5.ISP之管理及監督。

我國網路警察與資訊犯罪偵查機制

(續)

二、加速防制資訊犯罪法律之增修：

1.應加速制訂網路基本法、網路管理法和網路使用者管理辦法等法律。

2.對資訊犯罪新型態之科技犯罪法律另行規定。

三、政府打擊資訊犯罪政策的配合：法務部高檢署於86年9 月成立「電腦犯罪防治中心」，制訂五大工作目標：

1 研擬防治資訊犯罪的政策。

23

1.研擬防治資訊犯罪的政策。

2.溝通檢、警、調及各相關執行、研究機關的見解及作法。

3.加強執法人員在職訓練。

4.強化國內外電腦犯罪及資訊犯罪的研究，建立資訊犯罪研究資料庫。

5.加強教育宣導，以建立適用電腦及網路社會的倫理及秩序，以減少資訊犯罪的發生。

6.成立「資通安全鑑識科技研究中心」。

四、偵查技術與工具之輔助。(電腦鑑識工具與數位證據分析)I-Long Lin for Cybercrime &

(資訊)網路犯罪之防範對策

(如何落實資訊安全？ )-PLSE

‧資訊安全管理推動工作必須以全方位觀念永續推動(3E策略)

網路犯罪之防範對策可從政策面法律

24

‧網路犯罪之防範對策可從政策面(P) 、法律面(L)、安全技術面(S)、甚至利用網路的普及性及方便性之教育面(E)上，透過道德倫理觀念

（如網路倫理）的宣導，提昇網路使用者自我控制的能力（即網路自律）及避免犯罪，進而達到犯罪預防目標。

(5)

資訊安全管理制度(ISMS)規劃

訂定資訊安全政策

界定資訊安全管理範圍確認資產

25

資訊安全風險評鑑資訊安全風險管理選擇資訊安全控管項目

●評估安全威脅及弱點之衝擊及影響

確認資產

●對於資訊安全風險所採取的程序

●訂定安全保證等級

政府資訊安全管理規劃重點

26

實體安全(IT)

資訊、文件及軟體安全(C) 人員安全(P)

資訊安全風險評鑑 (RISK=A.V.T.L)

資產價值(A) 安全弱點(V)

風

貨幣價值險 作業上的安全弱點

人員的安全弱點

27

對策(L)

險分析

安全威脅(T)

隱藏價值

對手價值

人員的安全弱點

有形的安全弱點

科技上的安全弱點

政策規劃(P)

法規執行 (L)

技術工程(S)

教育訓練(E)

國內外安全威脅 I-Long Lin for Cybercrime &

 資訊犯罪之防範對策

一、政策面

–法務部高檢署於86年9月成立「電腦犯罪防治中心」，其運作加快腳步，制訂出五大工作目標(86.09.26)，使其有效遏止電腦網路犯罪的蔓延及擴大。其五大工作目標如下：

–1.研擬防治電腦犯罪及網路犯罪的政策。

–2.溝通檢、警、調及各相關執行、研究機關的見解及作法。

–3.加強執法人員在職訓練。

28

–4.強化國內外電腦犯罪及網路犯罪的研究，建立網路犯罪研究資料庫。

–5.加強教育宣導，以建立適用電腦及網路社會的倫理及秩序，以減少網路犯罪的發生。

我國通資訊基礎建設安全機制(90年1月17日行政院院會通過)之犯罪偵防。

成立行政院國家資通安全會報((90年3月1日)之網路犯罪小組。

成立國家級「資通安全鑑識科技研究中心」I-Long Lin for Cybercrime &

資訊犯罪之防範對策二、法律面：

‧ 因應日新月異的電腦及網路等新科技型態的犯罪型態，立法院院會通過「中華民國刑法修正草案」

(86.10.08完成修正案三讀) (92.06.03完成修正案三讀通過第三十六章妨害電腦使用罪專章第358~363條)。

其次更應加速制訂網路基本法網路管理法和網

29

‧其次更應加速制訂網路基本法、網路管理法和網路使用者管理辦法等法律，並配合網際網路迅速發展及複雜網路犯罪問題，以利我國NII計畫推展及提昇國家競爭力。

‧英國通過電子郵件檢查管理法(2000/08)。

‧我國電子簽章法90.10.31三讀通過。

‧教育部校園網路使用規範 (90年12月26日核定 )

成立「資通安全鑑識與犯罪研究中心」

 (資訊)網路犯罪之防範對策三、安全技術面

‧資訊安全技術所需探討的議題就不只是傳統的電腦安全而已，

網路的安全技術反成為最迫切需討論研究的重點。要使網際網路的發展能繼續維持榮景，並對人類生活有幫助，就必需研究網路安全技術(防火牆技術,密碼技術及PKI/CA認證制度)與資訊安全管理系統(如BS7799, ISO17799/CNS17799)，，讓人類在使

30

安全管理系統(如BS7799, ISO17799/CNS17799) 讓人類在使用網路時，除了方便外，還要有免於恐懼的自由。

‧藉由探討網路相關安全問題及其所可能遭遇的威脅，針對網際網路上之資料安全、軟體安全、操作安全、環境安全、管理安全及安全稽核等六大方面，研訂安全的預防策略或研發安全偵測及防範軟體，強化網路資訊系統的安全性，從而建立完整網路資訊安全系統，提供安全控管的能力。

‧如防禦機制最新發展、電子商務安全機制之建立(PKI/CA認證制度)、key安全管理最新趨勢、備份備援最新發展。

(6)

資訊安全管理安全模型(ISMS管理架構)

(ISMS-ISO17799/BS7799-1/CNS17799)

10. Compliance

符合性

31 4. Personnel Security

人員安全

6. Computer and Network Management

電腦與網路管理

7. Access Control

存取控制

9. Business Continuity Planning

業務持續管理

ISO(BS7799) 資訊安全管理準則

標準目的內容

安全政策為資訊安全提供管理方向和支

援。 ^{建立安全政策文件}

安全組織建立組織內的管理體系以便安全管理。

組織內部資訊安全責任；資訊採集設施安全；可被第三方利用的資訊資產的安全；外部資訊安全評審；外包合約的安全。

資產分類與

控制維護組織資產的適當保護系統。利用資產清單，分類處理，資訊標籤等對資訊資產進行保護。

人員安全減少人為造成的風險。減少錯誤，偷竊，欺騙或資源誤用等人為風險；保密協議；安全教育培訓；安全事故與教訓總結；懲罰措施。

實體與環境安全

防止對關於IT服務的未經許可的介入，損傷和干擾服務。

阻止對工作區與實體設備的非法進入；業務機密和資訊非法的存取、損壞、干擾；阻止資產的丟失，損壞或遭受危險；桌面與螢幕管理阻止資訊的洩漏。

電腦與網路保證電腦與網路設備的正確和確保資訊處理設備的正確和安全的操作；降低系統失效的風險；保護軟體和資訊的完整性；維護資訊處理和通訊的完整性和可用性；確保網路

32 電腦與網路

管理

保證電腦與網路設備的正確和安全維護。

體和資訊的完整性；維護資訊處理和通訊的完整性和可用性；確保網路資訊的安全措施和支援基礎結構的保護；防止資產被損壞和業務活動被干擾中斷；防止組織間的交易資訊遭受損壞，修改或誤用。

存取控制控制對商業資訊的存取。控制存取資訊；阻止非法存取資訊系統；確保網路服務得到保護；阻止非法存取電腦；檢測非法行為；保證在使用移動電腦和遠端網路設備時資訊的安全。

系統開發與

維護保證系統開發與維護的安全

確保資訊安全保護深入到作業系統中；阻止應用系統中的用戶資料的丟失，修改或誤用；確保資訊的機密性，可靠性和可用性；確保IT專案工程及其支援活動在安全的方式下進行；維護應用程式軟體和資料的安全。

業務持續管理

防止商業活動中斷和災難事故

的影響。防止商業活動的中斷；防止關鍵商業過程免受重大失誤或災難的影響。

符合性與稽核

避免任何違反法令、法規、合約約定及其他安全要求的行為。

避免違背刑法、民法、條例，遵守契約責任以及各種安全要求；確保組織系統符合安全政策和標準；使系統審查過程的績效最大化，並將干擾因素降到最小。

行政院及所屬各機關資訊安全管理要點及規範

• 資訊安全政策訂定

• 資訊安全權責分工

• 人員管理及資訊安全教育訓練(如自然人憑證應

 系統發展及維護安全管理

 資訊資產安全管理

33

育訓練(如自然人憑證應用)

• 電腦系統安全管理

• 網路安全管理

• 系統存取控制管理(如 PKI機制)

 實體及環境安全管理

 業務永續運作計畫管理

 資通安全管理法規

資通安全管理規範（現行）

1. 資訊安全政策制定及評估 2. 資訊安全組織及權責 3. 人員安全管理及教育訓練 4 電腦系統安全管理

ISO/IEC 17799: 2005 1.安全政策 2.組織資訊安全 3.資產管理

管理規範修訂資通安全管理規範發展藍圖

行政院及所屬各機關資通安全管理要點及規範

34 4. 電腦系統安全管理

5. 網路安全管理 6. 系統存取控制 7. 系統發展及維護之安全管理 8. 資訊資產之安全管理 9. 實體及環境安全管理 10.業務永續運作計畫之規劃及管理

4.人員安全 5.實體及環境安全 6.通信與作業安全 7.存取控制 8.系統獲得、發展及維護 9.資訊安全事件管理 10.業務永續運作管理 11.法規依循

緊急應變處理程序檔案加密規範資安委外規範

標

準稽

核資

訊網

路

危機國家安全會議顧問

技術

總召集人：行政院副院長兼

委員：相關部會首長及北高市長執行長：行政院NICI小組總召集人兼

副執行長：國家安全會議派員兼行政院主計處電子處理資料中心主任兼國家資通安全諮詢委員會

綜合業務組（行政院科技顧問組）

國家資通

行政院國家資通安全會報(國內ISMS發展現況 )

35 準

規範工作組

核服務工作組

訊蒐集工作組

路犯罪工作組

機通報工作組經濟部主計處國防部交通部財政部教育部中科院工研院電信研究所

資策會民間業者經濟部

研考會國防部交通部財政部

主計處 (電子中心)

國防部交通部經濟部財政部

國科會中科院工研院資策會相關公協會

民間業者法務部內政部國防部交通部

主計處 (電子中心)

內政部國防部交通部財政部經濟部教育部衛生署研考會

……..

危機通報分組等八組

術服務中心

通安全應變中心

行政院國家資通安全會報

行政院國家資通安全會報新組織新組織架構架構

國家資通安全會報

總召集人：副院長執行長：科技顧問組執行秘書兼副總召集人：政務委員兼、研考會主委兼委

副執行長：主計處電子中心主任兼委員：部會及直轄市副首長兼國防部派員

研考會資管處長兼國家資通安全

諮詢委員會

36 標準規範組

(經濟部)

綜合規劃組 (科顧組) 研考會、國防部

交通部、財政部

稽核服務組 (主計處) 國防部、交通部經濟部、財政部

法規偵防組 (法務部) 內政部、國防部交通部

中科院、工研院、資策會、相關公協會、

民間業者資訊蒐集分析組

(國科會)

主計處、內政部、國防部、

交通部、財政部、經濟部、

教育部、衛生署通報應變組

(研考會)

政策(P) 法律(L) 安全技術(S) 教育(E)

資通安全政策與管理I-Long Lin for Cybercrime &

(7)

事業機構分組︵二召集單位：交通部國防體系分組召集單位：國防部

事業機構分組︵三召集單位：財政部事業機構分組︵一召集單位：經濟部行政機構分組召集單位：研考會危機通報分組召集單位：主計處

學術機構分組召集單位：教育部

事業機構分組︵四召集單位：衛生署

國家資通安全會報技術服務中心

國家資通安全應變中心

召集人：國家資通安全會報執行長兼副召集人：行政院科技顧問組執行秘書兼副召集人：行政院主計處電子中心主任兼副召集人：國家安全會議派員兼危機通報工作組（行政院主計處電子中心）

37

二︶部部

三︶部一︶部會處

負責網路通信、航管、交通及主管之重要目的事業機構資通安

全危機事件通報及相關應變事項負責國防體系資通安全危機事件通

報及相關應變事項

負責學校及研究機關資通安全危機

事件通報及相關應變事項

負責醫療及主管之重要目的事業機

構資通安全危機事件通報及相關應

變事項負責政府行政機關資通安全危機事

件通報及相關應變事項一、規劃通報應變作業計畫二、建立通報體系三、辦理通報宣導研討會四、建立通報網站五、彙整及發布通報資訊部四︶署負責電力、石油、自來水、瓦斯及主管之重要目的事業機構資

通安全危機事件通報及相關應變事

項

負責金融、證卷、關貿及主管之重

要目的事業機構資通安全危機事件

通報及相關應變事項

政府機關（構）資通安全處理小組組織 架構及職掌(資安商機在何處?)

國家資通安全應變中心政府機關(構) 資通安全處理小組

危機處理安全預防

38

一、蒐集資通安全資訊二、培訓資通安全技術三、訂定系統安全等級四、建置資通安全措施五、執行資通安全監控

一、規劃危機處理程序二、查明安全事件原因三、確定影響範圍並作損失評估四、執行緊急應變措施五、辦理安全事件通報六、執行解決辦法

政策規劃(P) 法規執行 (L) 技術工程(S) 教育訓練(E)

 (資訊)網路犯罪之防範對策四、教育面

‧網路上的新新人類---駭客(Hacker)，往往只為了一時的好奇與試探，但卻不知自己的行為以為法所不容，在這種情形之下，

政府機關必須負起全部的責任，及加強宣導網路之法律問題及電腦(網路)的安全問題，讓民眾有適法的空間及條件。透過家庭學校教育甚至設立加強社會控制的網站及遊戲提昇自

39

庭、學校教育，甚至設立加強社會控制的網站及遊戲，提昇自我控制的能力，以避免觸入法網。

‧ 另外法務部高檢署於86年9月成立「電腦犯罪防治中心」，

其制訂出五大工作目標中，有關教育面工作者，即加強法制教育宣導，以建立適用電腦及網路社會的倫理及秩序，並有效遏止電腦網路犯罪的蔓延及擴大，以減少犯罪的發生。

‧教育部於90年11月成立「網路法律諮詢委員會」

‧(http://www.crime.org.tw),(www.edu.tw)(www.ec.org.tw)

‧教育部於92年03月成立I-Long Lin for Cybercrime & 「不當資訊防制小組」

政府資訊安全管理工作之挑戰 (國內ISMS發展現況 )

‧多未設專責的資通安全組織及人力(政策面)

‧資訊安全專業能力尚付加強（技術面）

‧資訊安全意識(Awareness)及警覺性尚待加強（教育面）

40

育面）

‧資訊安全管理制度尚待強化（教育面）

‧緊急處理及通報機制尚待建立（技術面）

‧資訊安全相關規範尚待建立(法律面）

‧其他

資訊網路八大守則 (資安文化)

‧請勿使用網路傷人

‧經本人同意之後，才可以藉閱他人檔案

‧請勿使用網路製造假消息

‧請勿使用網路偷竊財務

41

請勿使用網路偷竊財務

‧自行拷貝或使用未付費的軟體是非法行為

‧獲得擁有者授權之後，我們才可以使用他人數位資料

‧在設計程式時，應先考慮其對社會影響力(安全性與穩定性)

‧使用網路時應表現對他人的尊重與體諒

‧ 『肯定自己上網的能力，

• 尊重他人上網的權利』I-Long Lin for Cybercrime &

CSM安全管理面(Cyber Security M.)

• 技術導向：

1. 資訊安全(密碼技術,DES,RSA,SHA,PKI…) 2. 病毒原理(Malicouse Code,AV,AS,AF,CF..) 3. 防火牆(FW),UTM

4. 入侵偵測系統（IDS） -> 入侵預防系統IPS 5. 駭客攻/防技術,

6. Secure Code and Secure SE

7. Cyber Forensics & Forsensic Engineering 8 弱點評估&弱點分析(VA&VA)

42 8. 弱點評估&弱點分析(VA&VA) nessus

‧ 管理導向： (含BS7799/ISO17799/ISO27001) 1. 網路管理與資通安全管理與認知

2. SP,SM,SA, USM 3. 駭客攻/防策略與管理 4. 電腦稽核& ICT Auditing 5. 風險管理&風險評鑑(RM&RA) 6. 垃圾郵件(Spam mail)之管理 7. ISP連線管理(IPP,IAP,ICP) 8. VM,PM,SRM,ERM

9. CyberCrime & digital CrimeI-Long Lin for Cybercrime &

(8)

未來資通安全新知識與新科技 (Cyber security Manag.)

• Hacking and Attack/Defence Strategy

• Cybercrime and CyberForensics

• Digital Evidence and Cyberevidence

43

• Cybercriminology(如MOP理論)

• Cyberlaw

• ISMS(ISO17799:2000/BS7799/CNS1779 9/17800)

• Cyber Security Management and GovernaceI-Long Lin for Cybercrime &

未來網路犯罪整合安全體系研究架構

(林宜隆,1996~2005)

國外網路犯罪案

例及相關文獻犯罪理論國內網路犯罪案

例及相關文獻

預防網路犯罪之整合安全體系

44 犯罪偵查面

追訴處罰面網路安全技術面

資訊安全技術面

刑事政策面法律規範面

資通安全鑑識與數位證據

(林宜隆,2001~2005)

三個領域之交集範圍為本研究取向

BS7799/ISO17799 資通安全管理理論資訊政策理論網路通訊政策

刑事鑑識

資訊政策與安全管理

45

資通安全鑑識技術能量規劃研究取向

刑事鑑識電腦鑑識數位證據刑事司法犯罪偵查網路犯罪學資訊鑑識

資訊安全技術網路安全網路管理 IDS & Firewall VPN,CF,AV,AS

刑事科學電腦科學

資通安全管理課程規劃

(ISMS三大方向) (林宜隆,1998~2005)

‧資訊科技(IT)與安全管理

-IM(ITM+IRM),DC&N,IS,ISMS, OS&OSS,NS&NM,AI&ES,EIS,DSS, ,EC&KM,BISP,ASP,ICP,EIP,PIP,GIP,Wireless,Firewall,IDS, 駭客攻防技術與策略,密碼理論,IR事件通報與處理機制…

46

‧資訊犯罪理論與資訊(科技)法論

-網路犯罪學(Cybercriminology&cybersociety),資訊法論,資訊倫理,IP Law,IT Law,MP3,資訊社會學,數位證據(DESOP)…

‧犯罪偵查理論與資安鑑識

-偵查理論,電腦犯罪偵防,數位證據搜證與鑑識,資訊戰與電腦病毒,弱點評估技術與工具,Digital Evidence,Computer Audit, Anti- Virus, Anti-Spam, Cyber Forensic, PIS,…I-Long Lin for Cybercrime &

資安專業人才

(林宜隆,2004~2005)

• 資安防護人才(Q/Y, UNIT,Contents)

• 資安攻擊人才資安鑑識人才

47

• 資安鑑識人才

• 資安偵查人才

• 資安教育人才

• 資安治理人才

美國國家資通安全白皮書-方案與架構

‧ The national strategy to secure cyberspace，2003年版其提出之五個行動方案其優先順序為方案一到五

‧ 為達成上述的目標，對政府部門、大企業及中小企業居家使用者、社會大眾提出下列五大策略，其優先順序為1→2→3→4如圖三所示：

建置國家Cyberspace 安全事件通報及危機

48 保全網際

空間安全策略建立降低國家Cyberspace

安全威脅及減少弱點攻擊之必要作業機制

安全事件通報及危機應變作業

加強國家Cyberspace安全之認知及訓練規劃作業

確保國家安全及促進國際 Cyberspace安全之合作

健全國家Cyberspace 安全之政府必要措施作業

2

3

4

(9)

保全網際空間(Secure CyberSpace)

‧ 網際空間(CyberSpace)是屬於資訊科技基礎建設的相互依存之網路。它是由數百萬個彼此互相連結的電腦、伺服器、交換器、及光纜等所組成，

有了網際空間我們才能讓國家的重要基礎建設正常運作，故必須對網際空間之緊急事件、弱點稽核、機關協調等作一明確之指導方案。

‧ 國家也必須盡速制定一完善的預警與回應、復原機制，將是政府機關、

資安產業專家、相關領域學者共同研究之議題。以期能夠擁有一完善之事前預警系統、事中反應系統、事後復原系統，保衛我國資通安全。

49 保全網際空間(Secure CyberSpace)

事前蒐集事中分析事後應變能力力

3、加強一個國家網際空 間安全認知和訓練的程序 4、健全保護政府的網際空間 5、確保國際間網際空間防禦的交互合作 (3.教育訓練4.稽核管理5.國際合作)

1、建置一個國家網際空間安全回應系統

(1.資安意外事件回應系統)

2、建立國家網際空間的安全威脅和弱點的復原程序 (2.軟硬體技術研發)

、結論與建議

結論-1

‧任何一個網路安全系統中，最重要的還是「人」。無論花費多少百萬美元來配備電腦軟、硬體，要是沒有嚴格訓練工作人員，總能被突破防線進入系統。是以再精密的網路安全資訊系統與防護措施，最重要的還是管理制度 (ISMS,ISO17799/BS7799/CNS17799)的建立加以緊密結合。

‧利用資訊及保護資訊同等重要；一分事前的預防重於十分的事後的補救；面對數位行政時代的來臨，各級人員對

50

分的事後的補救；面對數位行政時代的來臨，各級人員對機關資訊機密維護負有重要責任

‧成立「國家資通安全鑑識與犯罪研究中心」

‧麻省理工學院教授Nicholas Negroponte，在所著「數位革命」中提出：吾人必須省思「原子世界」的法律，是否適合套用在「位元世界」。

‧ All law will be internet law(Cyberlaw) 。

、結論與建議

ISMS結論-2

@ 資訊安全認知人人有責、

資訊安全管理人人做到。

@不習慣習慣成自然

51

@防禦機制最新發展、建立電子商務安全機制、

安全管理最新趨勢、備份備援最新發展 ((IT,C,P)—(FW,IDS,AV,AS,CF,VPN,PKI….)

@建立資通安全鑑識防護體系與機制(事前、事中、事後)

@建立資安防護體系、檢驗資安應變能力、健全資安發展環境

數位證據標準作業程序(DESOP)

(林宜隆,2003~2008)

數位證

搜集

辨識保全紀錄採集備份

52

證據作業程序

分析

鑑識

鑑定比對個化數位證據搜證程序作業現場重建

備份檢查保存

未來資通安全新知識與新科技

=cybersecurity+cybercrime＋cyberlaw (=資通安全+網路犯罪+資訊法律)

『肯定自己上網的能力，

尊重他人上網的權利』

謝謝指導

53

謝謝指導

資通安全認知、人人有責資通安全管理、人人做到

http://www.crime.cpu.edu.tw www.cert.org.tw paul@mail.cpu.edu.twI-Long Lin for Cybercrime &

資通安全管理

資通安全管理

(

Awareness)

資訊社會與安全管理

勾勒資訊化優質社會(e-Society)的藍圖



資通安全管理(三部曲)

E-Society

資通安全認知 人人有責

資通安全認知

人人有責 資通安全管理

人人做到

網際網路犯罪(資訊犯罪) 之刑事政策?

M

O P



網路犯罪之基本理論

E法律問題鳥瞰

我國網路警察與資訊犯罪偵查機制 (

我國網路警察與資訊犯罪偵查機制

(如何落實資訊安全？ )-PLSE

一、政策面

 (資訊)網路犯罪之防範對策 三、安全技術面

行政院及所屬各機關資訊安全管理 要點及規範

行政院國家資通安全會報

行政院國家資通安全會報新組織 新組織架構 架構

 (資訊)網路犯罪之防範對策 四、教育面

資訊網路八大守則 (資安文化)

CSM安全管理面(Cyber Security M.)

未來網路犯罪整合安全體系研究架構

資安專業人才

美國國家資通安全白皮書-方案與架構

保全網際空間(Secure CyberSpace)

、結論與建議

結論-1

、結論與建議

ISMS結論-2

數位證據標準作業程序(DESOP)

『肯定自己上網的能力，

尊重他人上網的權利』

謝謝指導

謝謝指導

資通安全認知人人有責

人人有責資通安全管理

 (資訊)網路犯罪之防範對策三、安全技術面

行政院及所屬各機關資訊安全管理要點及規範

行政院國家資通安全會報新組織新組織架構架構

 (資訊)網路犯罪之防範對策四、教育面