資訊安全威脅的衝擊與因應
企管三甲 劉維庭
這次參加的資訊安全講座,讓我對資安的基本概念與實務應用有了更清楚 的認識。課程從資安的核心理念談起,再到實際的攻擊手法如社交工程,最後還介紹了資安領域的職場分工,整體內容豐富、條理清晰,收穫良多。
講座一開始提到資安的三大核心目標,也就是所謂的「CIA 三元組」,分別是機密性、完整性與可用性。機密性(Confidentiality)是指確保資料不會被未經授權的人查看。為了維護機密性,常見做法有資料加密、權限控管、雙重驗證等。完整性(Integrity)是確保資料在儲存與傳輸過程中不被未經授權地修改,例如使用雜湊函數或檢查碼來驗證資料是否被篡改。可用性 (Availability)則是指在使用者需要時,資料與系統能夠正常運作,常見方式包括系統備援、防止阻斷服務攻擊(例如 DDoS)、以及災難復原計畫等。
接下來的內容則聚焦在社交工程攻擊。講者用圖示說明了駭客如何從最初 的情報蒐集開始,經由假冒身分或設計釣魚訊息,誘騙企業內部員工點擊連結或提供敏感資訊。這種手法通常被用作入侵的起點,一旦得手後,攻擊者便可進一步滲透企業內部系統,進行「橫向移動」,接觸到更多資料或系統,直到取得想要的機密資料為止。從這段內容中可以明白,資安的弱點往往不只是系統漏洞,更多時候是來自人的疏忽或判斷失誤。因此,提高員工的資安意識,是企業防範資安攻擊的重要一環。再來介紹關於資安產業中的職務分工,這一部分讓我特別感興趣。
講者介紹了四個主要角色,包括事件處理人員、威脅情報分析師、資安鑑識人員,以及紅隊專家。事件處理人員(通常在資安監控中心工作)負責即時偵測系統異常、分析警示訊息,並回報事件。威脅情報分析師負責追蹤駭客行為、了解攻擊手法與趨勢,提供防範建議。資安鑑識人員則在事件發生後,進行細部調查與證據分析,協助企業了解攻擊來源與影響。最後,紅隊專家則負責模擬真實 駭客行為,透過實際演練找出系統的安全漏洞,讓企業能及早修補。這樣的分 工合作模式不僅提升了企業資安防護的效率,也展現了資安工作的高度專業性與團隊合作精神。
這場講座內容涵蓋了資安的基本理論、常見攻擊方式與實務應對方式,也讓我了解了資安職場的組織運作。資訊安全不再只是資訊人員的責任,而是每一位使用者都應具備的基本素養。從保護個人帳號、辨識可疑訊息,到企業內部的防護策略與員工教育,每一環節都可能影響整體的安全性。
企管三甲 黃詩元
這次的演講我們主要圍繞「資訊安全」為主題進行討論,讓我對原本感覺有點遙遠的資安議題有了更貼近生活的認識。老師說明了道德駭客的角色、主動與被動攻擊的方式,這些都讓我聯想到自己曾經遇過的真實經驗,我的IG帳號被盜,而且到現在都還沒找回來。那次事件讓我深刻體會到「帳號安全」真的很重要。一開始只是發現IG登不進去,後來連帶FB、Messenger 也無法使用。當時我猜可能是因為自己平常點了什麼奇怪的連結,或是密碼太簡單,沒有開啟雙重驗證,才讓有心人士有機可乘。我試過寫信給官方、申請申訴流程,但至今仍沒有成功救回來。經營多年的社群帳號就這樣不見了,不只失去了聯絡朋友的方式,也有很多珍貴的回憶因此消失。
透過這次課程,我才知道很多看似小事的行為,其實都可能讓自己暴露在資安風險中。像是「被動攻擊」中提到的側錄網路流量,就很容易讓駭客取得未加密的帳密,而「主動攻擊」則可能是透過釣魚連結或惡意軟體進行入侵。雖然我的帳號被盜未必是因為駭客攻擊,但可以肯定的是,我自己在資訊安全上的防範確實做得不夠。
此外,我對「道德駭客」這個概念也印象很深刻。原來不是所有駭客都是壞人,有一群資安專家會站在防守方,幫助企業或機構找出系統漏洞,進而加強資安防護。他們不只要懂得進攻手法,還要有良好的職業道德與溝通能力,才能發揮正面影響。這讓我覺得,如果身邊有這樣的專業人士,也許我當初的帳號就不會這麼輕易被盜走。
這次的演講告訴我們資訊安全真的不是「技術人才」才需要了解的事情,而是每個人生活中都應該具備的基本常識。我現在開始更注意自己的帳密設置,也有開啟IG和其他平台的雙重驗證,不再亂點不明連結,也會提醒朋友們一起重視這些看似瑣碎的小事。
總之,資訊安全不是只出現在電影裡的情節,而是現實生活中我們每個人都會面對的風險。只要一個小疏忽,就可能導致個人資料外洩或帳號被盜。這次的演講對我來說不只是上了一堂課,更像是一次重要的提醒,希望未來能有更多人像我一樣,對於身邊不安全的資訊不要輕易相信或打開連結。
企管三甲 黃婕雯
這周的講座主要講述了資訊安全的問題,對於身為Z世代的我們來說,我們就是數位的原生代,我們從小接觸這些科技、數位化的東西。也因為如此,其實我們對於任何一項東西的實體轉數位都感到習以為常,可是這也為我們帶來了一個很大的隱憂,因為我們過於習慣這些東西,導致了我們往往忽略掉了數位資訊的安全。
資訊安全分為三大核心:機密性,需要保護資料不被未經授權的人看見,常使用加密、權限控管、多因素驗證等來達到保護資料的效果;完整性:要保證資訊在儲存或是傳送的過程中沒有被更動過,常透過雜湊函數、數位簽章、檢查碼等等,來保證資料的完整性;可用性則是指在使用者需要的時候,系統與資料可以正常的運作,常用的技術手段包括DDoS防禦、定期備份與災難復原計畫等,以確保資料的正常。
講師也提到了到底甚麼是安全這個問題,介紹了傳統安全(Safety)與資訊防護安全(Security)之間的差異性。過去我們認為的安全,主要理解為職安、公安,保護的是人、環境、設備等等,但隨著科技的進步與發展,資訊安全,也成了我們重視的一部份,主要理解為資產安全、網路安全,保護的則是資訊、系統、網路安全等等。一旦在資訊安全的問題上發生失誤,那就很有可能導致後續出現更大的問題,如講師所提到的馬偕醫院資料外洩、台積電產線大當機等等問題,縱使目前科技可以提供我們很大的協助,但相關的安全問題也是我們無法忽視的,因為我們對它有高度的依賴性,同時網路也儲存的大量的個人資訊,一旦外洩或是發生問題,單需要付出很大的代價來彌補失誤。
而後講師也提到了許多攻擊的方法,包括被動攻擊、主動攻擊、近距離攻擊、內部攻擊、散佈攻擊等等,其中我認為最需要注意的是近距離攻擊這件事,或許我們在網路上留言或是做任何事情前,都會多多少少留意個人資訊及隱私的保護。但我們真的很容易不小心地忽略掉近距離攻擊這件事,或許一個不經意地轉頭,或是簡單的幾眼,都有可能讓你個資外洩,我們無法保證別人是否會別有用心的盜用你的個資,你身邊的人,也有可能成為盜取你個資或隱私的人。
我認為在這點上我們都應該好好的去保護自己,同時也尊重他人的隱私問題,很多在生活中被忽略掉的小細節,都有可能對你造成傷害,不論是在網路上的資訊安全,或是生活中的訊息洩漏,我們都應該去主動積極的重視這些問題,並且記得,不論是在網路上或是實際生活中,眼見都不一定為實。網路確實為我們帶來了許多方便,但要如何在方便使用的同時保護好自己,也是我們需要去思考的。
企管三甲 賴柏辰
當今數位時代,網路已成為我們生活中不可或缺的一部分,然而,與此同時, 資安(資訊安全)問題也變得越來越重要。今天參加了一場由專業講者主講的資安講座,讓我深刻體會到不僅僅是企業,連一般民眾在日常使用網路時,也必須具備基本的資安意識與辨別能力,才能保護自己不受駭客攻擊與詐騙威脅。
講者首先強調了資安在現代生活中的核心地位,舉例說明了近年來頻繁發生的 資料外洩事件,例如知名企業因為未做好網站安全防護,而導致數百萬筆用戶個資外洩,甚至被勒索。這些事件提醒我們,即使是一個小小的網站連結或應 用程式下載,都可能藏有風險,稍有不慎,就可能造成個人財務損失或隱私外洩。
其中一個讓我印象特別深刻的部分,是講者介紹了辨別真假網站的技巧。他提到,現在詐騙集團會仿造銀行、政府機構或購物網站的頁面,使用幾乎一模一 樣的網域名稱,例如將「o」換成數字「0」,或是加上一些不易察覺的字元,如「.com」變成「.co」或「.org」。此外,也有些惡意網站會使用免費網域或看 似無害的短網址來誘導使用者點擊。這些手法對一般人來說十分具有迷惑性,因此講者建議我們養成檢查網址的習慣,並利用一些網站來查詢自身的郵件帳戶是否曾被外洩密碼。
除了網址辨識之外,講者也介紹了幾項常用的資安技術,例如使用雙重驗證(2FA)來加強帳戶安全、定期更新作業系統與防毒軟體、避免在公共Wi-Fi下 登入重要帳戶,以及建立強密碼、定期更新密碼與使用密碼管理工具等。這些看似簡單的步驟,其實在防止資安威脅時發揮著關鍵作用。值得注意的是,在講座後段,講者也特別提到AI技術的興起對資安所帶來的雙面效應。一方面,AI能協助我們更快速地偵測異常行為與資安攻擊,例如透過大數據分析找出潛在風險、實時封鎖惡意流量等;但另一方面,駭客也開始運用AI技術生成偽造資訊、設計更難以識破的詐騙手法。這種「科技對抗科技」的情境,讓我們不得不更加審慎思考科技使用的倫理與限制。
作為使用者,我們應該理解到,資安不僅是政府與企業的責任,更是每一個人 的基本素養。AI雖強大,但唯有與人類的判斷力與警覺心結合,才能真正發揮其正面價值。未來的世界將更加仰賴數位科技,因此在享受便利的同時,我們 也必須時刻提醒自己:「方便不代表安全,科技不是萬靈丹。」這次講座不僅學到具體的資安技巧,也促使我反思:在這個AI快速發展時代,唯有保持警覺與持續學習,才能真正走在資訊安全前端,保護自己與他人不受數位威脅的侵害。
企管三甲 李珮菱
在數位科技發達的世代,⼈們的⽣活與科技密不可分,⽽資料作為世界運作的根基,將其視作最有價值的事物亦不為過,有⼈將資料運⽤在改善企業運作的⽅⾯,但也有⼈將其作為⼀種攻擊 ⼿段,竊取他⼈的秘密資料,以非法的⽅式賺取利潤。
在今年的2⽉9⽇,⾺偕醫院發⽣了⼀起嚴重的資料外洩事件,在⾺偕醫院與⼀家資安保護企 業終⽌合作的空窗期,駭客立即攻擊醫院的系統,並將病患的個資在公開論壇上進⾏販售;⽽在 2018年8⽉3⽇,台積電也曾發⽣產線中毒導致的⼤當機事件,因機台操作⼈員的疏忽,在新機台安裝軟體的過程中並未按照SOP流程⾏事,外加新機台連上公司內部的電腦,導致病毒迅速擴散,最終造成78億的鉅額損失與對蘋果的延遲交貨。連台灣管理最嚴密的的半導體企業都曾因資訊安全,進⽽付出慘痛的代價,對於⼀般⺠眾,只要駭客有意,絕⼤部分的⼈都無法從駭客⼿中保護住⾃⼰的資料,這件事實對我這種科技⼩⽩⽽⾔,無疑是會產⽣滿滿的恐懼與不安,但也正因為如此,才要更加了解這⽅⾯的知識,儘可能保護⾃⼰,讓⾃⼰的資料不陷入風險之中。
資安的攻擊⽅式分成五種:被動攻擊(Passive Attacks)、主動攻擊(Active Attacks)、 近距離攻擊(Close-in Attacks)、內部攻擊(Insider Attacks)與散佈攻擊(Distribution Attacks),⽽資安風險來⾃於⽇常⽣活中使⽤者的疏忽,如職員受騙的社交⼯程風險、密碼重複使⽤風險、系統漏洞、軟體漏洞(CVE)以及無定期演練與評估,其中關於軟體漏洞,則是與AI相關的駭客攻擊,現在的⽣成是AI除了⽣成⽂本架構,亦能幫助使⽤者撰寫程式代碼,若有⼼⼈將其⽤於撰寫竊取他⼈資料的代碼,並散佈出去,則AI便成為了駭客的⼯具之⼀。
⽽演講過程中,最令我印象深刻的環節,便是演講者演飾了許多駭客攻擊的⼿法,其中包含了利⽤ChatGPT撰寫出虛假的登入介⾯,只要輸入⾃⼰的帳號密碼,則駭客端即可搜集到該帳號與 密碼。或是設計出⼀個虛構的網址—在學時師長總是會提醒學⽣不要誤入陌⽣的網站,最簡單的⽅式便是檢查網址中是否包含https或是.gov等字樣—但演講者也明⽩的告訴我們,檢查網址固然是⼀種簡單且快速的判斷⽅式,但網址亦能做到近乎完美的造假,有時候是混入異常字元的字⺟或標點符號,⽽正常⼈無法以⾁眼判斷出真偽,⽽演講者也給⼤家做了⼩測試,事實證明有八成的⼈無法在⼀排不同的點中,找出正常字元的點,這些異常字元的表現⽅式僅為位置上些微的差異,卻可能讓⼈落入被攻擊的範疇中,要防範被駭客攻擊的最佳⽅式,應是多使⽤網站安全檢測⼯具。
不過雖然駭客聽起來有些危⾔聳聽,但駭客也不全然都是⾏惡意之事的⼈,⿊帽駭客多為了個⼈利益,從事非法活動,其⾏為觸犯法律;⽩帽駭客⼜俗稱道德駭客,會利⽤其駭客技能進⾏已 授權的安全測試,協助組織加強防禦;⽽灰帽駭客則介於⿊帽與⽩帽之間,雖不⼀定是抱有惡意,但仍會進⾏未授權的駭客⾏為識別漏洞。⽽駭客的種類不同,也道出⼀個事實—知識與技能只是⼯具,並沒有對錯之分,⽽使⽤⼯具之⼈的⽬的與⼼態,則會讓⼀件事導向不同的結局,正如⼈們會運⽤⼑⼦進⾏烹飪,但也會有⼈將⼑⼦⽤於非法的殺戮⾏徑,⼑⼦的存在本⾝並沒有正確與否,⽽能評判是非的僅有握有⼯具的使⽤者,其使⽤⽅式與⽬的為何。資料之所以會被攻擊,正是因為它具有⼀定的價值,不能抱持著「普通⼈的資料毫無價值可⾔」的⼼態,就認為⾃⼰的個資不會遭受他⼈竊取。
演講者提供了些許資安建議,能讓⼀般⼤眾可 以在⽇常⽣活中,初步保護⾃⼰的資料安全,譬如資料安全是個刻不容緩的問題,必須從現在開始,也不能忽視第三⽅服務的風險,越⼤的企業勢必存在著越⼤的漏洞,⽽社交⼯程也比想像中還容易成功,尤其是越⾼職位的風險亦越⾼,⽽資訊安全的問題是持續性的,並非考取⼀張合格證照,就可以保證⾃⼰從此不會被駭客侵害。
⽽演講的最後,演講者拋出了⼀個發⼈深省的詰問:「看到的即為真實?」,過去⼤家總認 為事情的真相需眼⾒為實,但現如今亦是如此嗎?我認為答案有待商榷,正如同過去幾年曾發⽣過知名YouTuber⼩⽟,濫⽤AI科技的Deepfake換臉技術,將多名女性藝⼈、網紅、明星與政治⼈物的容貌,合成在成⼈⾊情影片的⾓⾊臉上,不只是被害者的名譽受到損害,也讓許多缺乏媒體識別能⼒的部分⺠眾信以為真;⼜比如有⼼⼈⼠利⽤AI技術,合成影像與聲⾳,製造出國家領導者發⾔的影片。 深思這類事件的發⽣,會發覺這是⼀件細思極恐的事,在科技不斷發展進步下,AI的合成技術越發成熟,越來越多⼈已經分不出真實與虛假的界線,⽽當有⼼⼈⼠利⽤這⼀點,便可以不費吹灰之⼒,達成煽動⼈群意識的⽬的,⽽若有⼼⼈⼠⼜同時是掌握更多資訊的⼀⽅,那⼈是否能決定是否對社會⼤眾的洗腦內容,促使社會走向⽭盾的兩端,進⽽造成族群間的⽭盾增加,最終引發衝突?
資料來源:
⾺偕醫院個資外洩(中央社⼀⾸新聞,李亨⼭,2025/3/6) https://www.cna.com.tw/news/ahel/202503060100.aspx
台積電產線中毒⼤當機始末(iThome新聞,王宏仁,2018/8/10) https://www.ithome.com.tw/news/125098
駭客種類(8iSoft資安管理平台,2023/11/30) https://8isoft.com/zh/exploring-hacker-types-and-cybersecurity/
企管三甲 彭郁雯
在資訊安全的領域中,人們面對的威脅從未停止演變。資安職場中,事件應變專家、威脅情資專家、紅隊演練專家與鑑識分析專家各司其職,構成一道多層次的防線。他們不僅僅是技術人員,更是企業面對網路風險時的決策顧問與危機處理核心。
這樣的角色在近年幾個重大事件中顯得格外重要,特別是馬偕紀念醫院資料外洩事件以及台積電產線大當機事件,都是資安實務與管理落差的真實縮影。馬偕醫院遭勒索軟體攻擊後,大量醫療資料外洩並導致系統癱瘓,突顯出醫療產業對資安防護的投入仍不足,許多機構並未落實應變演練或建立完整的資通安全策略。資料機密性與系統可用性的失守,使得病患安全與醫療服務中斷,引發社會廣泛關注。同樣地,台積電的產線大當機則是另一種層次的挑戰,病毒透過內部設備感染造成大規模停工,顯示出即便是高科技產業也會在資安上出現漏洞。
這些事件讓我們更加意識到,資訊安全三大核心─機密性、完整 性、可用性─並非只是說說而已,而是企業生存的基本條件。這樣的背景下,台灣政府陸續推出的「上市上櫃公司資通安全管控指引」,讓資安治理從IT部門延伸至董事會層級。企業被要求設立資安長與專責單位,並定期進行資安風險評估與通報演練,不再只是形式,而是實質上的策略行為轉變。這對威脅情資專家與事件應變專家來說是一大進展,因為他們的專業終於 被納入企業治理的核心,不再只是技術後勤支援。
不過,威脅也愈趨多樣。其中最難防的往往不是技術漏洞,而是人性弱點。社 交工程攻擊持續猖獗,許多資安事件都肇因於員工受騙,點擊惡意連結或提供帳號密碼給假冒客服。更高明的手法還包含同形異義字攻擊,例如將網址偽裝,利用視覺誤差騙過使用者與過濾系統。這種看似簡單的手段,卻是企業資訊系統遭滲透的第一步,也讓我們看到內部攻擊往往源自無意間的鬆懈,而非明顯的惡意行為。
在這樣的情境中,道德駭客與紅隊專家的角色變得越來越關鍵。他們扮演企業內部模擬攻擊者的角色,透過滲透測試、社交工程演練與漏洞掃描,找出企業系統中最脆弱的環節。不同於藍隊的防禦,紅隊以「主動攻擊」的方式驗證資安防線是否真能承受實際攻擊。當這些結果被整合進資安治理流程,才能真正強化企業的韌性。
此外,資安風險也應該被清楚量化。許多企業缺乏風險等級評估的機制,無法區分哪些是高風險資產、哪些為優先防護對象。風險的模糊,導致預算分配不當與資源浪費,這在勒索軟體事件中尤其明顯。如果早一步將醫療紀錄系統列為高風險資產,就會提前進行加密、備份與應變措施,避免資料無法還原的災難。 這些事件與挑戰,我深刻體會到資安早已不只是IT部門的工作,而是一個跨部 門、跨層級的戰略工程。從技術實作到政策制定、從人員教育到風險管理,每一個環節都必須嚴謹落實。只有當事件應變、情資分析、紅隊測試與鑑識能力全面整合,企業才有可能在今日複雜且動態的威脅環境中生存與成長。這不僅是專業能力的比拚,更是資安文化是否真正落地的試金石。
企管三甲 陳永鋒
在這次參加關於「資訊安全」的專題演講後,我對資安的重要性與實務應用有了更深入的認識。演講內容涵蓋了資安基本概念、國際標準(如SGS的ISO 27001與BSI)、資安風險來源,以及資安職場的未來發展,讓我對這個領域充滿了興趣與敬畏。
首先,演講以「企業的安全究竟是什麼?」作為開端,清楚地區分了Safety(傳統安全)與Security(資訊安全)的不同。Safety關注人、設備與環境的意外風險,對應場景如火災、工安意外,標準則有ISO 45001。而Security則專注於資訊、系統與機密資產的保護,應對駭客攻擊、病毒、內部濫用等威脅,依循如ISO 27001、NIST CSF等標準。這個對比讓我理解到,資訊安全並非單純技術問題,更是企業經營的核心保障。
接著,演講者介紹了資訊安全三大核心(CIA Triad):保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。每一個核心要素都對企業的正常運作至關重要。舉例來說,保密性需透過加密與多因素驗證來保護資料,完整性則透過數位簽章與雜湊技術來確保資料未被竄改,而可用性則仰賴備援系統與災難復原計畫確保服務不中斷。這讓我意識到,在設計資訊系統時,必須同步兼顧這三大目標,而非只偏重其中之一。
在風險來源部分,演講以「攻擊=動機+方法+漏洞」的公式精煉地總結了駭客行為。動機可能來自金錢利益、破壞業務、甚至單純好奇;方法則多樣,如社交工程、惡意程式、網路釣魚等;而漏洞往往是系統設計不良或管理疏忽所致。此外,透過MITRE CVE資料庫、CVE Details等平台,可以快速查詢已知漏洞,對資安從業人員來說,是防禦工作的重要環節。這一段內容讓我理解到,資安防護不是一蹴可及的,而是持續監控與修補漏洞的長期工程。
值得注意的是,演講也特別強調了資安職涯的多元性,包括鑑識分析專家、事件應變專家(SOC TEAM)、紅隊演練專家、威脅情資分析師(CTI TEAM)等不同角色,每一個角色在企業防護體系中扮演著不可或缺的角色。這讓我對未來職涯發展方向有了更多想像。
在資安學習地圖的部分,演講建議初學者根據不同方向(紅隊、藍隊、GRC)培養技能,如紅隊需要熟悉Python、Linux、滲透測試工具;藍隊則專注於SIEM、資安事件應變與日誌分析;GRC方向則涉及政策標準與法規遵循。同時也推薦了TryHackMe、Hack The Box等優質學習平台,這讓我認識到資安領域既需要技術實作能力,也需要政策與管理知識,兩者缺一不可。
最後,針對未來企業家,演講提出了五個資安建議,包括:資安文化必須從上層推動、定期風險評估與演練、投資資安基礎建設、教育員工資安意識、以及與外部資安專家合作。這些建議不僅適用於大型企業,也值得每一位想要創業的人參考。
總結來說,這場演講讓我認識到資訊安全不只是技術層面的問題,而是企業生存與發展不可或缺的一環。未來無論從事何種產業,都必須具備基本的資安意識與防護能力。我也更加確定,未來在資訊管理領域深耕時,資安知識將會是我不可或缺的核心能力。
企管三甲 陳俐婷
這次資訊管理演講讓我對「資訊安全」有了更深入的認識。透過講者的講解,我了解了傳統的安全(Safety)和資訊安全(Security)之間的不同。傳統的安全,像是工安、 環安,主要是保護人、環境和設備,重點在於防止意外發生,例如火災、天然災害或人為失誤。而資訊安全則是保護重要的資訊資產,像是個人資料、公司資料等,避免被偷取或破壞。這兩者的管理方式和國際標準也不同,例如工安有ISO 45001,而資訊安全則有 ISO 27001、GDPR 等等。
講者也提到攻擊資訊安全的三個主要因素,分別是「動機(Motive)」、「方法( Method)」和「弱點(Vulnerability)」。攻擊者通常有明確的目的,可能是想偷資料、勒索金錢,或是單純想要破壞。只要攻擊者確定了目標,他們就會使用各種方法,像是透過寫程式、寄送釣魚信件、或者利用各種漏洞來進行攻擊。而弱點則是系統或使用者的疏忽,例如密碼設定太簡單、沒有更新防毒軟體等等,都可能被利用來入侵。
在演講中,講者特別說明了「被動攻擊(Passive Attack)」的概念。被動攻擊指的是駭客在不破壞系統的情況下,偷偷收集資訊。像是網路側錄(Sniffing)、窺聽( Eavesdropping)這種行為,就是透過監控網路流量,偷取用戶的密碼或個資。講者舉 了很生活化的例子,比如當我們連接公共Wi-Fi時,如果網路沒有加密,就很容易被別人偷看上網的資料,甚至帳號密碼也可能因此外洩。
除了理論的部分,這次演講還有一個讓我印象深刻的示範。講者說明,只要寫一個簡單的程式,搭配 ChatGPT,就可以製作一個假的網站,誘導使用者輸入自己的個人資料。這讓我震驚,因為以前總以為網路詐騙需要很高深的技術,但其實只要有一點程式基礎,加上利用現有的AI工具,就可以做出讓人分辨不出真假、非常有欺騙性的網站。 這樣的示範提醒了我,資訊安全不是只有專業人員要注意的事,而是每個人都必須小心的事情。像是平常使用網路時,要注意網址是否正確,不隨便點擊不明連結,也不要在不信任的網站上輸入個人資料。同時,也要養成定期更新系統、防毒軟體、設定強密碼等好習慣。
最後,我在這場資訊管理的演講學到了很多實用的知識,也讓我意識到現在的網路世界充滿了各種潛在的威脅。未來不論是在學校寫報告、做專案,或是進入職場工作,我都要更加注意資訊安全,保護自己的資料不被駭客利用。同時,也會將今天學到的觀念分享給身邊的朋友,讓大家一起提高防範意識。
企管三甲 蔡佳芸
這次講座不僅僅是知識的輸入,更是一聲警鐘。講師以一連串的案例與實際演示,讓我明白所謂的「駭客攻擊」其實不只是電影裡誇張的情節,而是每天可能就發生在我們每一個人的手機與電腦上的真實威脅。在講師展示真假網頁的差異時,幾乎一模一樣的外觀,讓人很容易就將自己的帳號密碼送出去。
所謂「資安攻擊」並非單一技術問題,而是結合了動機、方法與漏洞三者的組合。駭客可能出於經濟利益、政治目的,甚至只是想挑戰系統,透過釣魚信、假網站或是散布惡意程式等手法,利用我們日常中的小疏忽展開攻擊。像是講師提到的「密碼重複使用」與「忽略防毒軟體更新」這些看似小事,其實都是資安漏洞的一環。
讓我印象深刻的是「社交工程」的部分。比起單純的技術攻擊,駭客更常利用人性弱點進行攻擊,例如假裝是公司內部人員、打電話給櫃檯詢問內部資訊、或透過釣魚信件誘導點擊惡意連結。這樣的攻擊往往讓人防不勝防,尤其當攻擊對象是資安意識較低的企業內部員工時,後果往往不堪設想。講師也指出許多企業對資訊安全的誤解與疏忽,例如以為安裝了防毒軟體就萬無一失、忽視定期演練與風險評估的重要性,甚至對現行法規缺乏了解,沒有依法落實資安措施。他提到一句話:「法律是資安的盡頭」,這句話我記得特別清楚。意思是,資安建立在法律之上,要想維護和保證資訊安全,必須了解相關法律。
此外,講師也介紹了資安產業的多種職位與專業技能,讓我更了解這個領域的工作內容與技能,並思考自己的能力是否能進入這個行業。例如:事件應變專家負責處理告警與設定 SIEM 規則,威脅情資專家研究駭客行為與情資報告,演練專家則模擬攻擊來測試團隊反應,還有鑑識分析專家要進行惡意程式的逆向工程並撰寫鑑識報告。這些角色彼此分工合作,構築起企業的資安防線。我也開始重新檢視自己的資訊使用習慣,也開始對資安產業產生興趣。講師提到,如果有心進入這個產業,可以從學習基本的工具操作、關注資安新聞、參與社群開始累積經驗。他也分享了一些考證的建議與心得,告訴我們拿到證照可能收穫的薪資,如ISO證照,這些都是資安領域的重要門票。
深刻認識到資安不只是IT部門的事,而是我們每一個人都應該具備的基本素養。在AI、數位科技快速發展的時代,我們的個資與隱私早已不再安全,唯有提升自己的資訊意識,並學習必要的防護技巧,才能在這個充滿風險的網路世界中,保護好自己與身邊的人。
企管三甲 范姜郁雯
這次的主題讓我學到資安對於企業及人們的重要性。其實生活中就有許多資安議題的例子,如:馬偕紀念醫院資料外洩事件,遭勒索軟體攻擊,這可能導致原本不應該被取得的病患資料、個人隱私面臨安全疑慮,甚至被駭客拿去做什麼非法使用我們可能都無從得知,是非常可怕的事,由此可見資訊系統的防護不可輕忽,如果遭到攻擊將可能造成難以挽回的結果。另外,台積電產線大當機事件也是影響重大的案件,台積電是科技業的龍頭,不用一天的時間甚至一小時內, 產線當機將造成非常龐大的企業損失,所以對於企業來說用心在維護資訊系統安全是必要的,否則有心人士隨時都可以侵害公司,如果是大公司後果就更加嚴重了。
資訊安全三大核心包括機密性(未經授權不能看見)、完整性(資訊儲存及傳輸未被改動)、可用性(使用者需要時能正常運作),這當中也有技術手段可以保護資料,如:加密、檢查碼、DDos 防禦,確保資訊是隱密且完整正常的。
員工在企業工作時也要注意社交郵件,尤其是業務員平常要接收許多電子郵件,容易未察覺到是詐騙信件而點擊受害,只要一點擊到詐騙郵件這個看似簡單的小舉動,卻暗藏著巨大的威脅,可能因此讓公司機密洩漏,駭客只要製作誘惑的陷阱讓受害者易上當就能輕易竊取內部資料, 所以也要提防自己的網路操作,此時我們也可以成為「守門員」,若能察覺異常而不照著做也可能阻擋被駭的後果與風險。因為不一定全然都是駭客主動去攻擊,十分奸詐的是駭客會引誘你一步步受騙上當,謹慎觀察是否有暗藏玄機,雖然可能無法每次都避免成功,因為真的太像真的了,但至少能夠降低受害的機率。
臺灣也有資訊安全的相關法律,保障人們的資安權利,例如:涉及無故入侵電腦罪是會觸犯刑法的,雖然駭客可能沒那麼容易抓,但政府有立法可見資訊安全這個領域是十分被重視的,而且層出不窮的資安事件都是需要被限制的,我認為有相關的法律是需要的,能夠降低駭客橫行 無阻的機會,並且讓人們在被駭客攻擊時能夠有途徑可以受到保護。而企業也要定期做演練與風險評估,千萬不要小看這個動作,因為有嚴密且不間斷的模擬,才能讓受害機率降低,如果真的遭到攻擊時也才能應變與處理,倘若平時不踏實演練,受害時承擔的後果將更加嚴重。
特別的是,我們也可以學習「怎麼被攻擊」才能「懂得防禦」,這種方式是倒過來的思維,可以反向思考駭客的模式,去推敲可能的攻擊方式,讓我們從源頭去預防,避免只有被攻擊的份,我們甚至還能成為資安防禦者的角色。現在是個進步的時代,有幫助資訊安全的工具可以協助我們辨認與察覺是否有遭到攻擊或威脅的疑慮。如:情資查詢、威脅情報平台、網頁檢測工具,讓我們可以查詢是否有被攻擊的記錄 以及瀏覽的網站是否安全,提高警覺與資安意識,說不定能因提早發現而預防被駭的風險。
現代的假網站真的做得太逼真了,其實人們不易察覺。像是演講中讓我們辨識真偽的網站時,不論是訂票系統、安全提醒郵件,都與真的十分相似,一般人沒有經過訓練都很容易上當,以及同形異義字的攻擊,看起來根本是差不多的一個點,肉眼甚至看不出來有什麼差異,必須靠電腦辨識,這種真的非常容易就受騙,連資安專家可能都不一定能逃過一劫,所以這也告訴我們平時瀏覽網站時不要輕易相信眼前事物,一定要謹慎檢查。
讓我印象深刻的是,就連我們平時在用的ChatGPT也能寫假網站真的太厲害了,不用幾分鐘的時間就能做出極度相似的網站,而且是用AI寫出來的,它還能成為犯罪工具呢!雖然科技在進步,不過卻也是個隱憂,可能讓人隨意就能寫出詐騙網站造成資安漏洞與風險增加,應該要有相應對策加以限制此違法行為。 對於管理者,可以學習一些程式,理解程式背後的原理,知道它的運作模式,對於程式更加熟悉並且仔細去推敲原因,才能有機會去預防,這是我們未來可以去努力的方向。 而我們也不要去輕忽平時常用的網站,如:搜尋資料時用的Google、壓縮檔案用的7-zip,這些都是常見的、知名的大網站,我們可能會覺得網站越知名就越有保障,但事實上並非如此,這些網站也很容易產生資安風險,所以我們在使用時也不能完全放心,要非常謹慎,仔細去檢查是否有資安疑慮。
重要的是,資安絕不是一天兩天的事,而是需要持續維持的,平時就要多加注重資訊方面的安全,不要等到受害時才後悔,那些龐大及不可預測的風險有時是受害者難以承受的,所以很多單位都寧願花許多錢在資安維護上,將防護做到最好,也不願遭到攻擊時面臨重大的損失。不易察覺或是不經意的疏忽都可能造成資安問題的疑慮,有時是難以預防的,而不幸面臨資安危機時,可以尋求資安單位的協助,雖然可能無法完全避免損失,但資安單位的存在也成為我們在使用資訊系統時更加有保障的管道。
企管三甲 李沂臻
這次參加的資訊安全講座,讓我對現今多變且險峻的資安環境有了更深刻的認識,尤其是當中提到的「同形異義字攻擊」與「內部攻擊」案例,更讓我體認到網路詐騙與資安漏洞的多樣與隱密性,也提醒我無論是個人還是企業,都應提升資安意識與防護能力。
講座介紹了同形異義字攻擊(Homograph Attack),這是一種利用不同語系字母外型相似的特性所進行的詐騙行為,例如使用西里爾字母中的「а」取代拉丁字母的「a」,來偽裝成合法的網站網址。這類攻擊會讓人誤以為自己點擊的是安全的連結,進而洩露個資或帳號密碼。讓我印象最深的是,這類攻擊不靠複雜技術,而是依賴人眼無法察覺的細微差異,從中得利,這讓我明白在日常生活中點擊網站連結、收發郵件時必須更加謹慎。
以及是關於內部攻擊(Insider Attacks)的探討。講者提到,內部攻擊往往比外部駭客更難防範,因為發動攻擊的人往往本身就具有系統權限,像是員工利用社交工程技巧詐取他人密碼、透過USB隨身碟攜帶機密資料、或植入後門程式進行竊密。這些手法可能發生在毫無防備的日常工作流程中,一旦資料外洩,不僅會造成財務損失,更會損害企業信譽與用戶信任。
講師也特別點出一個嚴重但常被忽略的問題—密碼使用不當。透過案例分析我們得知,不少政府部門及企業職員仍在使用如「password1234」、「123456」等極為脆弱的密碼組合,甚至重複使用同一組密碼於多個系統。這樣的行為形同將大門敞開給駭客進入 ,任何資料防護措施在這樣的基礎下都將失去意義。因此,定期更換密碼、使用密碼管理工具,以及採用雙重驗證等方式,是每個人都應培養的資訊安全習慣。
在談到風險控管時,講座以「風險等級(Risk Level)」分類的方式,教導我們根據風險高 低採取不同的對應策略。例如對於高風險事件應立刻處置並強化防護;中風險則需儘速 建立控制措施;低風險則可藉由預防性手段降低未來損失。這種風險思維不僅適用於企業資安,也可以套用在我們個人的資訊使用習慣上。
講師還介紹了道德駭客(Ethical Hacker)的角色。他們是懂得如何發動攻擊卻選擇保護系統的資訊專家。除了要精通技術,還需具備良好的職業道德、法律知識與溝通能力。這讓我了解到,資訊安全並非只是「防駭客」,而是建構一個誠信與專業並重的安全文化。 這場講座不僅提升了我對各類資安攻擊手法的認識,也讓我反思日常生活中的資訊行為是否足夠安全。面對越來越頻繁的網路威脅,我們每個人都應該具備基本的資安素養,主動保護自己的資料,避免成為下一個受害者。
企管三甲 龔峻
今天聽到中華⿓網的經理演講讓我如此的震驚,怎麼會有如此帥氣⼜年輕的 經理,同時也讓我知道資安對於⼀個企業是多麼的重要。在現今網路發達的情況下很多的企業都會選擇把歷年的⾃家檔案上傳到網路上,這時就很需要防毒軟體來去防⽌駭客攻擊,其實我原本也覺得⼀些個資如果流出的話應該還好,但聽到會被拿去到暗網做販售我也是蠻震驚的,⽽且賣出的價格還不便宜。最重要的當然就是公司的內部機密是最不希望被流出的,由其被競爭對⼿知道的話還有可能被抄襲⽽導致⾃家後⾯的策略全亂,有時候也不單單是被駭客攻擊,⾃家員⼯也有可能是那個漏洞。
今天經理也展⽰了很多駭客是如何輕鬆駭⼊到你的個⼈資訊,經理也展⽰了在不到⼀分鐘就架設了⼀個假網站,我才驚嘆到⼈⼒架設都這麼快了,那如果讓AI運⽤在駭客的這個部分的話那要怎麼辦,嚴重的話可不單單是駭⼊⼀個企業,還有可能可以駭⼊國家政府機關去竊取⼀些軍情。其實我們平常就很容易會被受騙了,我看那個假網站都做到⾮常⾮常像,所以才說平常不要亂點連結。假如今天是⾃家的員⼯不⼩⼼點到⼀個連結⽽導致公司被攻擊的話,那也是無可奈何,所以我們才要加強我們的資安,就像是買⼀個保險的概念。
我想誰也不希望⾃⼰花費了數年⼼⾎所成⽴的企業,在⼀夜之間就沒了。 ⽽隨著⼈⼯智慧的快速演進,資訊安全這個過去相對封閉與防禦為主的領域 漸漸地受到眾⼈的重視。AI不單單只是有分析數據的功能,它也逐漸成為企業資安架構中不可或缺的⼀環。透過機器學習,AI能從海量的網路活動中學習正常與異常的⾏為模式,進⽽主動偵測潛在威脅、預測可能的攻擊路徑,甚⾄在某些情況下⾃動做出防禦決策。這種智慧化的資安模式,不僅提⾼了反應速度,也⼤幅減少了⼈為判斷的負擔。
然⽽,AI本⾝也可能成為攻擊者 的⽬標,像是透過對抗樣本欺騙模型判斷,或是竊取模型訓練資料,進⽽造成更深層的資安⾵險。如何在導⼊AI資安應⽤的同時,保護AI本⾝的安全,將成為未來資安策略中的核⼼課題。我相信透過AI跟防毒軟體的合作能更加 保障企業的安全。
企管三甲 卓采萱
今天這堂課是中原企管的學姊請來的學長來演講分享,講者跟我們的年齡接近,卻已經進入公司並擔任重要職位,年紀輕輕有如此厲害的成就,學長表示在高職時期就已經參加非常多比賽,進到企業後也在不斷精進自己,雖然我們不是以資管作為主修,對學長說明的一些程式名詞不太熟悉,但我也能感受到學長非常的精明幹練且對網路資訊程式這部分非常有熱忱。
在剛開始的分享,學長用了新聞事件作為開頭,且剛好受災企業也是他們的客戶,除了基本的受害狀況、影響與原因等,還能聽到一些新聞也沒報出來的內幕,提醒我們資訊安全到底有多重要。再來是告訴我們駭客攻擊的方法,其實是有分好多種的,像是主動攻擊、被動攻擊、內部攻擊、散佈攻擊等,聽到有這多種,著實讓我發現,自己對駭客攻擊這件事的確不夠上心,我們需要防範的面向也比我初始想得還要來得更多更複雜。
然後學長開始示範如何用程式做出假網頁,像是會員登入或郵件帳號登入的頁面,欺騙民眾輸入自己的帳密,並透過假網頁得到他們的帳密以及更隱私的資訊後拿到暗網販售,更誇張的是這個程式甚至可以請AI幫忙做,等於一般民眾也可以輕易地去做這件事,如果再把網站細節做到更完美,基本上是很難察覺到網頁的真假的,而如果發生在企業當中,那公司中每日負責在翻看郵件的業務部門就非常容易上當受騙,因為他們一天可能就要看幾百個郵件,非常有可能會失誤而洩漏了資訊。
最後學長給了我們一些例子讓我們分辨真假,這同時也是我在整個演講中最印象深刻的部分,學長給了幾排網址、英文字母、標點符號,讓我們分辨哪個是我們平常看到真正在使用的,有好幾個真的非常相像、難以辨別,我也受騙上當,甚至連學長自己也說他有時可能分不出來,若是駭客有心要騙,我們想不上當也著實很困難,不過今天聽完演講後,我還是有非常深的體悟,了解到個資洩漏的整個過程以及我們可以如何學習資安,未來若遇到任何郵件我都會謹慎看待,避免被駭客入侵或洩漏自己的個資。
企管三甲 陳玟甄
聽了這次演講,以前覺得資安這東西離我很遠,好像只有工程師、IT部門、或者政府單位的人才需要懂。但現在發現,資訊安全其實早就滲透進我們生活裡,從手機密碼、雲端硬碟、到公司內部系統,每個人都會碰到,它就像空氣一樣無所不在,但也不容忽視。
資安的基礎建立在三大核心原則上:機密性(Confidentiality)、完整性(Integrity)、與可用性(Availability),也就是所謂的「CIA三原則」。機密性強調資訊僅能讓授權者存取,例如個資或企業商業機密,不能隨便外洩;完整性則確保資訊在儲存與傳輸過程中未遭竄改,否則就可能導致誤判與決策失誤;可用性則是資訊系統在需要時能夠順利運作,避免因癱瘓導致業務中斷,這對企業營運來說,更是生死攸關。
這次演講我才知道資安攻擊並非單純的惡作劇,駭客不會隨便亂攻擊,他們是有動機、有手法、有目標地進行。可能是想要錢、想要癱瘓某個網站、或是單純炫技,而弱點,只要找到你系統或流程中的某個小漏洞,就可能被盯上。而講到疏忽,最常見的就是我們自己。像是亂點信件連結、不小心登入釣魚網站、密碼設得太簡單、或重複用同一組密碼。更高級一點的釣魚手法,會做出一模一樣的假網站,然後網址中還用同形異義字混淆你,例如把「o」換成數字「0」,一不小心就進入了假網站。
這些攻擊手法讓我體會到,「學會怎麼被攻擊,才懂得怎麼防守」這句話真的很實在。如果你只從使用者的角度去想資安,那很多東西都會覺得麻煩;但如果你換位思考,站在駭客角度去看弱點,就會發現資安其實就是一種策略思維。
在企業日常運作中,許多作業依賴第三方平台與外包服務,包括雲端儲存、資料處理、網頁代管等等。這些服務固然提高了效率與靈活性,但也伴隨著風險。若這些第三方沒有完善的資安機制,就有可能成為攻擊者滲透企業內部的捷徑。資安事件不再只是「我的系統被駭了」,更可能是「合作廠商出問題,連帶我也受影響」。
因此,企業在導入外部服務時,應將資安能力納入評估標準,並設置嚴格的存取控管與監測系統。此外,與第三方簽訂的合約中,也應載明資安責任與應變機制,防止出事時互踢皮球,讓企業陷入災難。很多人覺得資安就是裝個防毒軟體、打打資安補丁就好了,但其實真正的風險往往藏在第三方服務裡。現在很多公司為了省時省錢,都會用外包系統、雲端工具、第三方API,但只要其中一個服務出問題,就可能整間公司的資料都被拖下水。這種間接性的風險,比駭客直接攻擊還可怕,因為你根本防不勝防。所以,挑第三方合作對象的時候,也要把資安能力納入考量,不只是看價格跟功能。
雖然資安看起來是很技術的領域,但它其實跟人性、習慣、信任息息相關。我覺得資安最重要的核心精神,是建立一種信任關係—不論是對內部夥伴、還是對外部用戶。我們保護資料,不只是為了遵守規定,而是為了讓人們在這個數位世界裡可以安心。
企管三甲 余碧君
在這次的資安課程中,我深刻了解到資訊安全在現今數位時代中的重要性。透過講師的分享與實際案例的說明,不僅讓我對資安的基本觀念有了更清楚的認識,也對自身在日常使用科技產品時的習慣產生了反思。
課程中提到台積電曾因作業疏失,導致機台在未經掃毒的情況下連接網路,這一點讓我印象非常深刻。作為全球知名的科技製造企業,仍可能因疏忽而出現資安漏洞,這顯示出即使再先進的公司,只要在流程中有一點疏忽,就可能成為駭客入侵的機會。因此,「機台連網前先掃毒」這樣看似基本的動作,其實是維護整體系統安全的第一道防線,也提醒我們在日常操作中不應輕忽任何細節。
此外,講師也提到使用像 Google 或 Gmail 等帳號時,要開啟多因素驗證(MFA)。這種額外的驗證機制可以大幅增加帳號被盜的難度,即使駭客取得了密碼,仍然無法順利登入帳號。這讓我重新檢視自己過去在設定帳號安全上的態度,未來會更加重視開啟多重驗證功能,來保護自己的個資與帳號安全。
在講到公用 Wi-Fi 的風險時,也讓我感到震驚。原來駭客可以透過未加密的網路,窺探使用者傳送的資料,包括帳號密碼、信用卡號等敏感資訊。這讓我想到自己曾經多次在咖啡廳等公共場所使用免費 Wi-Fi 進行線上購物或登入網銀,現在回想起來真的是相當危險。這堂課之後,我會避免在公用網路下進行重要操作,或至少透過 VPN 增加加密保護。
主動攻擊型駭客的實力也讓人感到擔憂。他們不僅技術高超,還能使用社交工程等方式引誘使用者點擊惡意連結,進而取得敏感資訊。這提醒我們在收信、上網時更應該保持警覺,對來路不明的郵件或訊息抱持懷疑態度,不輕易點開任何可疑連結。
其中一個讓我感到驚訝的例子是,講師提到蘋果公司曾出現資安漏洞,卻沒有對外公布。儘管後來在 iPhone 15 以後的版本中,已經透過晶片硬體層級加強了防護能力,但這也讓我意識到,即便是像蘋果這樣強調安全性的品牌,也可能出現安全缺陷,讓消費者蒙在鼓裡。因此,我們作為使用者,應該定期更新系統與軟體,以獲得最新的安全防護,而不是僅僅仰賴品牌本身的信任度。
最後,講師也提到他們公司在開發時禁止使用AI,因為AI在目前階段存在高度的不確定性與風險。這點讓我反思,雖然AI為我們帶來許多方便與創新,但同時也有可能成為資安的破口。尤其是當資料輸入AI系統後,有被不當利用或外洩的風險,這也提醒我們在使用 AI 工具時要特別謹慎。
企管三甲 黃鈺琦
這次課堂上,透過「資訊安全三大核心(CIA Triad)」、「資安職場介紹」以及「資訊安全法律和標準」等等介紹,讓我對資訊安全有了更系統且實際的理解。
首先,在資訊安全的基本概念中,「CIA Triad」是最重要的基礎。CIA分別代表機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。機密性強調保護資料不被未經授權的人查看,常見技術有加密(如AES、RSA)與權限控管(ACL、RBAC)。完整性則確保資料在傳輸過程中沒有遭到破壞或修改,相關技術包含數位簽章(SHA-256)與校驗碼(Checksum)。最後,可用性確保系統在使用者需要時能正常運作,避免因服務中斷造成損害,像是高可用性架構(HA)和DDoS防禦就是常見的手段。這個部分讓我理解到,資訊安全不僅是防止資料外洩,還要保證資料正確且系統穩定運作,每個環節都不可或缺。
接下來,老師介紹了資安職場的不同角色與分工,像是SOC TEAM(事件應變專家)、IR TEAM(鑑識分析專家)、CTI TEAM(威脅情報專家)和RED TEAM(紅隊演練專家)之間的合作模式。SOC負責即時處理安全警報並建立相關規則,IR則是針對已發生的攻擊進行深入鑑識分析,CTI負責蒐集威脅情資、追蹤犯罪組織動態,而RED TEAM則是模擬攻擊來測試企業防禦力。這個循環讓我更具體地看到,資安領域不只是技術性的防禦,而是包含了情報、應變、鑑識與攻防演練的完整體系。每個團隊各司其職,又密切協作,才能真正建立起一個強韌的資安防線。這也讓我對未來可能投入的資安職涯,有了更多想像空間。
後來還有介紹「資訊安全法律和標準」在演講中有提到台灣的相關法律,例如無故入侵電腦罪(刑法358)、無故取得電磁記錄罪(刑法359)、加重處罰規定(刑法361)、製作傳播電腦犯罪程式罪(刑法362)等等。這些法律對於規範駭客行為、保護系統安全有非常重要的作用。其中特別讓我印象深刻的是,除了非法入侵本身,連「取得重要資料」或「製作攻擊工具」也都可能構成犯罪,顯示出台灣對資訊安全威脅的高度重視。透過這個單元,我更加明白技術之外,懂得相關法律知識也是資安工作者不可或缺的基本素養,否則即使出於善意,操作不慎也可能觸法。
總結來說,演講的內容讓我從理論到實務,再到法律規範,對資訊安全有了更完整的輪廓認識。不論是保障資料不被未經授權的人看到、確保資料傳輸的正確性、維持系統高可用性,還是了解資安職場的分工合作、學習法律底線,這些都是未來無論是從事設計、開發還是資安相關工作都必須具備的重要基礎。未來我希望能更深入了解不同領域(例如SOC或RED TEAM)的實際工作內容,並累積更多技術與法律知識,朝著成為具備全方位能力的資訊專業人才努力。
企管三甲 李微媞
這次聽完了資訊安全講座,讓我對資安有了更深一層的理解。過去總覺得資 訊安全離自己很遠,好像是工程師或政府才需要關心的事情,但講者用很多實例讓我意識到,其實資安問題早就無所不在,也跟我們每個人息息相關。
講師在講座中提到,使用AI對他們這種管理資安的公司來說超級不安全,如果請它幫他們寫code,但他們沒有 review code 的能力,就很容易被駭客入 侵。這段內容讓我印象很深刻,現在很多人依賴AI 工具,例如用 ChatGPT寫程式,但如果我們對內容一知半解,就可能在不知情的情況下把漏洞帶進系統,甚至有些公司像 deepseak已經直接禁止使用AI工具,因為它們可能在不小心的情況下洩漏機密資訊,或成為攻擊者的輔助工具。
講師也強調:「要學會怎麼防駭,就要先學怎麼當駭客」,這並不是在鼓勵我們去駭入別人的系統,而是要從駭客的角度出發,思考他們怎麼觀察目標、利用漏洞,才能真正理解怎麼保護自己與公司。其中一張投影片很清楚地整理了資訊安全攻擊的動機,駭客有可能為了錢,他們會利用各種方法,例如釣魚信、惡意連結、植入後門程式等;而「弱點」往往就是人性的疏忽,例如設立過度簡單的密碼、亂點陌生連結、或是過度信任別人。
講師也提到資安的三大核心:「CIA Triad」,分別是機密性、完整性與可用 性。他介紹了各種維護資安的方式,比如加密技術、多因素驗證、備援機制、資料備份等,這讓我了解到資安不是只有防駭客,而是全面性的系統防護,保障資訊在正確的人手中、維持正確性,並且在需要時都能使用。
講座中還列出許多真實案例,像是2018年台積電因為感染勒索病毒導致產 線癱瘓,損失約26億元;還有今年馬偕醫院資料外洩事件,全台22間醫療院 所連續遭到攻擊等,更讓我震驚的是講師說他覺得是因為有內鬼,讓我對人性險惡感到驚訝,也感受到資安問題的廣泛與嚴重性。
講師也提醒我們,現在的攻擊越來越多來自「內部」,也就是所謂的 Insider Attacks。這種攻擊可能源自於員工,甚至是受信任的合作對象,他們掌握存取 權限,一旦心懷不軌,資料就很容易被偷、被破壞、被洩露。
這場講座讓我重新思考了自己在使用網路的行為,也提醒我未來無論是工作 還是生活,都需要有「資安意識」。不是只有IT人員要懂資安,而是每個人都 該學會如何辨識風險、保護自己的數位足跡。
企管三甲 劉彥姿
在這科技發達的時代,資訊安全真的變得越來越重要了。尤其現在駭客的手法越來越聰明,用一些細微但高明的方式,讓人自己把資料交出去。像是釣魚網站、假的登入頁面,甚至是看起來很正常、其實只改了一個字的網址,都很容易讓人一不小心就中招。
前幾年我朋友就真的遇過一次被盜帳號的事件,讓我印象超深刻。那時候他收到他朋友的私訊,標題寫著「XXX(朋友的名字),這是你吧!」他當下也沒多想,以為是什麼黑歷史照片,加上連結看起來很正常,就點進去了。結果沒多久帳號就被盜了。而且更可怕的是,他的帳號被盜之後,這個連結也馬上私訊發給他的朋友,其中就包括我。好險我早就在網路上看過這種詐騙手法,立刻就警覺沒點進去,還順便問朋友是不是被盜帳號了。對方馬上說對,並跟我道歉,這讓我真的覺得超可怕。要是我那時沒刷到這種資訊,說不定就被騙了。
只能說現在的詐騙真的太高明了,很多都是從簡訊或 Email 開始。有些甚至會假裝是學校、公家機關或銀行,語氣都很急,像是「限時更新」、「帳號即將停權」這類字眼,讓人根本來不及多想就直接點進去。我現在每天收到的簡訊裡,有些附帶的連結我根本不敢點,因為真的分不出哪些是真的、哪些是釣魚網站,乾脆都直接無視。這也讓我開始對資訊安全更謹慎了。像是密碼我現在會盡量設複雜一點,也不會每個網站都用一樣的。只要連結是從不熟的來源來的,我一定會先查一下或問問別人,再決定要不要打開。很多時候,駭客根本不是硬攻進你的系統,而是透過「讓你自己交出資料」的方式,真的非常狡猾。
我覺得我們每個人都應該對這些事有基本的警覺心,尤其我們這一代,幾乎每天都在用手機跟電腦,生活跟網路早就離不開了。只要一個小疏忽,資料就可能被盜用,甚至被拿去賣到暗網。
有時候資訊安全聽起來好像很專業、離我們很遠,但其實它跟我們日常生活息息相關。你只要不小心點錯一個連結,或相信了一封假的通知信,後果就可能非常嚴重。看到我朋友的經驗之後,我真的覺得平常多一點警覺心很重要。寧願多想幾秒,也不要隨便點進可疑的網站,這真的不是小題大作,而是現實生活中隨時都可能發生的事。
