你應該知道的資訊安全-攻擊手法與防禦認知
應華三甲 張品婕
今天的演講主題是「資訊安全概念攻擊手法與防禦認知」,講者中原學長是一位專業的資訊安全人員,講述了資訊安全的基本概念、攻擊手法和防禦措施。他分享了全球的資訊安全問題案例,從穿戴型裝置紀錄手部動作、銀行帳戶密碼等,讓我們意識到資訊安全的重要性。他同時也分享了實用的基礎概念,讓我們可以更容易了解,並應用在自己的生活中。
首先,他談到了國際標準與法規在資訊安全的現況,並介紹了ISO/IEC四大控制主題:組織控制、人員控制、實體控制和技術控制。每一種控制都有特定的條文規範和要求控制。同時,台灣的相關法規有「資訊安全管理法」和「資通安全管理法施行細則」,這些法規為我們提供了一個安全的網路環境,也保障了我們的個人隱私和資訊安全。
在演講中,學長提到的臺灣資訊安全相關法規,讓我受益匪淺。我們必須遵循這些法規,來確保我們的資訊是安全的。此外,學長也提到資安技術概述,包括組織控制、人員控制、實體控制和技術控制等四個主題。這些控制項目,可以協助我們針對不同的風險因素,進行相對應的防範。
我很感興趣的是車用資安議題。學長提到,特斯拉等車輛有遠端控制功能,但也有被破解的可能。這議題讓我印象深刻,因為這顯示了現今資訊技術發展的快速與方便的同時,也帶來了對資訊安全的威脅。尤其是釣魚郵件、ATM入侵手法、內鬼網路USB等演講中提到的不同入侵手法,都重申了保持警覺的必要性。
學長提到的密碼填充攻擊、暴力破解、字典檔攻擊、資訊分析、撞庫攻擊等入侵方式,讓我意識到資安防範的必要。我們可以透過一些方法,如密碼高強度、保持更新OS和APP、防毒軟體、資料加密、備份、上網收信行為管理等,增強自己的資安。
另外,講者也提到了資安技術的發展趨勢,包括機器學習、人工智慧等技術的應用。這些技術可以更有效地檢測異常行為和攻擊,提高資訊安全的保障。此外,講者還提醒我們要注意隱私權的問題,盡可能地減少個人資料的泄漏和外洩。通過這次演講,我們可以更深入地了解資訊安全的概念和基礎知識,並且了解了一些實際的案例和入侵手法。這些知識和經驗可以讓我們更加警覺和謹慎,保護我們的個人資訊和數據安全。此外,演講也讓我們了解到,資訊安全不僅是個人的問題,也是組織和公司的問題。每個人都需要對資訊安全有足夠的認識和了解,才能夠更好地保護自己和他人的利益。
演講中,前任思科執行長John Chambers曾說「公司可分為曾經遭駭客入侵過的公司,以及還不知道自己已遭入侵的公司。」這句話讓我更加認識到資訊安全的重要性,並且提醒我們在保護自己的資訊安全時,要保持警覺,不斷精進自己的防範意識和能力。
總體而言,這次演講是非常有價值和實用的,我從中學到了很多關於資訊安全的知識和經驗,並且了解了一些實際的案例和入侵手法。這些知識和經驗可以讓我更好地保護自己和他人的資訊安全,讓我們在數字化的時代更加安心和放心。同時,這次演講也讓我更加認識到資訊安全的重要性和必要性,希望未來可以有更多的機會學習和探索這方面的知識,為我們的數字化未來做出更大的貢獻。
企管三甲 文嘉瑋
在這個數位時代,資訊安全已經成為一個極其重要的議題。隨著科技的進步和數據的大量產生,我們面臨著越來越多的資訊風險和威脅。在這樣的環境下,保護資訊和確保資訊安全已經成為組織和個人的首要任務。而 SGS(資訊安全管理系統公司)則是一個能夠幫助組織建立和維護資訊安全的重要公司。
透過這次演講,讓我深深的體會到資訊安全的重要性。首先,資訊安全對於組織來說是極為關鍵的。無論是大型企業、政府機構還是小型企業,都擁有大量的機密資訊,包括客戶數據、財務資訊和業務策略等。這些資訊一旦洩露或被未授權的人士獲得,將對組織的運營和聲譽帶來嚴重的損害,這也是講員在演講時和我們提到的例子之一。因此,建立一個堅固的資訊安全體系,保護組織的資訊資產,已經成為不可或缺的工作。SGS提供了一個系統性的方法來設計、實施和監控組織的資訊安全管理體系,幫助組織有效地管理資訊風險。
其次,講員也和我們說的關於我們的個人資訊安全也是非常需要重視的問題之一。因為隨著互聯網的普及和社交媒體的興起,個人的數據和隱私面臨著日益增長的威脅。個人的金融信息、個人身份識別和網上活動都可能被黑客或不法分子利用。我們必須採取措施來保護自己的數據安全,包括使用強密碼、定期更換密碼、警惕釣魚郵件和恶意軟件等等。所以我們可以更好地保護自己的個人資訊。例如,建立強大的密碼和使用多因素身份驗證來增加帳戶的安全性。透過這些措施,我們能夠提高個人資訊安全的水平,減少成為網絡攻擊的受害 者的風險。
此外,SGS 的重要性還體現在推動整個行業和社會的資訊安全發展方面。當今的數位世界與過去相比變得更加複雜和連接。不同的組織和系統之間共享大量的敏感數據,如醫療記錄、金融交易和智能城市數據。這就需要確保不同組織和系統之間的互操作性和數據交換的安全性。SGS 可以提供一個統一的標準和框架,使得不同組織能夠在資訊安全方面達到一致的水平,確保數據在傳輸和共享過程中的完整性和保密性。
總之,資訊安全的重要性是我們輕視的。無論是公司組織還是個人,我們都需要認識到資訊安全所面臨的風險和威脅,並採取適當的措施來保護資訊和數據的安全性。SGS提供了一個系統性的方法和指導,幫助我們建立和維護資訊安全管理體系,並促進整個行業和社會的資訊安全發展,讓我們能夠提高資訊安全水平以及保護公司組織和個人的數據。結論是透過這一次的講座讓我認識到什麼是 SGS,另外也同時讓我對於資訊安全這方面提高了警惕性。
企管三甲 吳敏卉
主講者主要負責資訊安全稽核的工作、也負責過很多單位、也跟ISO很有關、一開始講到:前任思科執行長說過:公司可分為兩種:曾經遭駭客入侵過的公司、以及還不知道自己已入侵的公司!再做任何網路行為時、都沒有想過這種行為是否安全、不管是各種程式、奇怪網站還是社交軟體、網路的駭入已經是社會的常態、如何保護自己跟個資也是很重要的!也講到台灣一年被詐騙50億元、真的是非常恐怖、可能親戚朋友都被詐騙過!主講者講到一個事情、像是我們隨身帶的智能手錶、都有追蹤功能、還有地理軌跡功能、如果被有心人士操控、可能被知道行蹤、可以被追蹤、就會知道自己的定位、地點!如果是軍方人員的行為慣例、和頻率!知道飛機地點、就會被有心人士運用!對於特定人士的人、這種被知道蹤跡的行為是必須被關注的!也是我們必須注意的事。
這個東西會對人類有什麼影響!還有穿戴型裝置能夠記錄手部動作、有可能被記錄ATM的密碼、記錄下軌跡發送給有心人士、利用運動軌跡的分析、可輕易取得密碼!這是很危險的一個操作、畢竟跟自己的財產跟隱私有關、研究也顯示穿戴式裝置能夠追蹤到非常細微的動作!使得獲得資料的人能夠重現輸入密碼的動作!這是目前台灣對資安的安全法規要求:台灣法規:數位發展部資通安全法(107年公佈的)這是大部分公司對於資訊的要求資通安全管理法施行細則(110年公佈):這就比較偏向特定公司、像是電信業、中華電信、遠傳電信等⋯這些!
什麼是資訊安全?機密性、完整性、可用性!總共有這三個!機密性就是能看到人看得到、不能看的看不到!所謂的帳號密碼!但這些東西都會被偷、因為曾經亂點過、被駭入、或是被盜用!那完整性就是資料是完整正確的、可用的!可用的就是比如說ATM如果壞掉、不能領錢就是可用性不完整!系統更新結果資料查不到這樣也就是可用性零!這就是這三大部分的解說、主講者也講了很多關於這的資訊!
資訊真的是現在很缺的職業!像是唐鳳的數位發展部找尋資安方面的專家是8-10萬的薪水!現在對這方面真的是很缺、也是近十年來的趨勢!也講到其實他們企業在找尋且需要的要求有英文能力、跟資訊的相關知識!這是他們公司及如果找尋人才希望及注重的方面!
ATM遇駭客、駭客以歐洲央行的名義寄郵件到各大銀行、釣魚郵件點開下載附件、電腦就被駭入了⋯ATM也是一樣原理、也可以寫程式來盜用、吐鈔⋯都是不小心惡意程式的介入⋯所以不要隨便亂點奇怪的附加檔或連結!不要以為點了沒關係、這都是很危險的事、不小心就被盜了!台灣也很多這樣的案例!駭客入侵電腦、盜取資料虧了幾千萬、億的都有!已經沒有絕對安全的資料!尤其現在資訊非常發達、看著一個影片一個資訊專家用程式讓ATM來吐鈔、還可以駭入客戶的資料,這已經不是電影的場景、是現在社會上的現象了!所以大家都要注意這方面的資訊跟學習如何保護自己資料安全!要注意以上資訊:保持更新、防毒軟體的運用、資料加密、備份、上網行為管理、高強度密碼!
企管三甲 邱瀚玄
這次演講的主題是資訊安全,提到很多駭客入侵的手法,其中一段影片中的例子,是一個資安主管透過自己已知的知識來阻斷及避免各種駭客所放出的陷阱,卻在最後因為同事將USB拿給他而破功,雖然例子中是講述一家公司為情境,但這件事情在我們身邊卻時常發生,很多人有了在網路上防備陌生訊息的心理準備,卻很常疏忽了對於同事及朋友家人們的戒備,在以前FB還很常被大眾使用時,因為點擊連結而使帳號被盜或是電腦被綁架的事情就層出不窮,一旦有第一個人,出於好奇或貪心踩進陷阱中,就會連帶著拉了一大群人進入,我還記得當時有很多關於資訊安全的課程都會提倡一個重點,要求我們點到不明連結時盡快更換密碼,但根據現在這堂課來看,這根本沒有辦法起到作用,太多資訊跟漏洞在點進連結時就已經暴露了。
我認為對於資訊安全方面我們大部分人都還認識太淺,甚至連某些教學者都並不清楚實際上這些入侵攻擊如何運作,具體又該怎麼防範,導致很多人對於這些網路上的風險過於輕視,或是搞不清楚嚴重性,某些人可能會認為網路上的手法只有被教導的那幾種,不足為懼,某些人可能會以為自己改了密碼就是安全的,殊不知反而透漏了更多自己常用的密碼組合,更遺漏了確實檢查電腦的機會,在網路發達且又如此與生活密切相關的現代,修正錯誤的觀念與更新各種資訊相關的知識是非常重要的,如何普及這些知識也是一個同等重要的問題,尤其是許多長輩非常缺乏相關的知識,但在現代又與生活密不可分,老人被詐騙的新聞並不少見,其中多數都是因為指使的動作太過明顯,才會有他人介入並阻止,但資訊相關的駭客攻擊並不會要求我們到外面進行一些操作,幾乎不會有他人察覺並介入阻止的機會。
我認為演講中與我最接近的便是密碼相關的討論,我常用的密碼只有兩組,完全是撞庫攻擊中提到的那種使用者,雖然我自認不會亂點連結也不會亂填入個人資料,密碼也並沒有那麼容易被猜到,但演講中有提到,世界上沒有沒被駭入的公司,只分知道與不知道自己被駭了,那我覺得自己的個人資料與密碼也並沒有我之前認為的安全,但又不擅長想一組新的密碼,更別提還要顧及安全性與通用性,最怕的是最後唯一擋住的人只有自己,講者有提到自己以前用中文的輸入順序來當作密碼,最後也是因為擋住了自己而更改,但我覺得這給出了一個思考方向,是個很有用的建議。
企管三甲 謝瑋娗
在過去的幾次演講心得中,我時常提及資訊安全的重要性。由於現今科技的發達,網際網路與AI人工智慧的盛行雖為我們帶來便利的生活,但同時可能也使不法人士有行騙、犯法的空間,為避免受騙,與資訊安全相關的技術、知識不管對於企業或是個人都相當重要。在演講中,講者多以實際案例舉例說明,其中使我印象較深刻的為「ATM 吐鈔案」。這個事件發生於 2016年,當時的新聞我至今都還有點印象,且犯案組織除了對台灣的第一銀行下手外,全球有其他100家銀行受害,盜領的金額更是一筆非常龐大的數目。此國際犯罪組織利用已中毒的銀行行員電腦,輾轉進入銀行的主系統,並利用編寫的吐鈔程式遠端遙控,使台北台中兩地共41台ATM自動吐出鈔票,車手只要抵達ATM 即可取鈔,而犯罪駭客甚至不在台灣,此高超的犯罪手法成功盜領了8000多萬,並成為台灣金融史上第一個駭客盜領銀行案。經過這次的事件,不僅是一銀與其他銀行,許多企業開始提升對於資訊安全的重視。
前面有提到,ATM 吐鈔案的開端是行員的電腦中毒,在現今網際網路的發達下,一個好奇或不小心點擊連結、開啟檔案,都有可能成為駭客入侵電腦的方式。演講中,講員有播放一段影片,主要劇情是駭客組織嘗試利用各種方法駭進某公司系統,然而他們幾次嘗試後皆失敗(如:在公司附近丟含有中毒程式碼的USB...等),最後是一位管理階層的員工在收到陌生 Gmail後,開啟郵件中附上的連結,因而使駭客入侵員工電腦,進而成功駭進公司主系統。這個影片除了向我們傳達一些避免遭駭的注意事項以外,也提醒企業向員工宣導資訊安全相關內容的必要。
演講中,講者播放的另一個影片也使我印象深刻。影片中,許多參與者分別被帶入一個室內空間與一個男人見面,這個男人能夠很神奇地將參與者最近發生的事、煩惱、想買的東西,甚至是買過的東西與花費都正確地講出,這使 參與者感到相當驚訝。影片到了後半段,公開了男人能夠如此精準地說出參與者的相關事情,是因為旁邊有一群電腦駭客同時正分析參與者之社群媒體帳號,公開後不僅影片中的當事人嚇到,我也起了雞皮疙瘩,並覺得有點可怕。
隨著網路的進步,社群媒體幾乎成為現代人不可或缺的一項平台,根據研究指出,2022 年台灣的社群媒體使用者佔了總人口的89.4%,並呈現逐年增加的趨勢(DataReportal, 2022)。許多人熱衷於經營社群帳號,時常在平台中分享生活上的大小事,這雖然能夠使親朋好友透過社群媒體了解、參與我們的生活,但同時可能也使不法人士有了犯罪的機會,因此在頻繁使用網際網路的同時,我們應增加自身對於資訊安全知識的了解,進行一些基本的防護,如:保持更新、使用高強度密碼等,避免成為下一個被駭客入侵的受害者。
企管三甲 趙榆絜
這次的演講主題是資訊安全,在現今資訊科技這麼發達的時代,線上購物、線上付款、以及線上帳戶…等等,許多的活動都是在網路或是線上平台進行,也常常能夠從新聞中看到網路詐騙、帳號被盜的例子,因此我們對於我們的帳戶安全需要更加注意,在數位化的趨勢下,我們無法避免使用,反而要了解怎麼做才能夠減少我們使用線上平台的風險,以及如何保護自己的資訊安全。
在演講的一開始,講員先向我們介紹了資訊安全的基本概念,分別包含了機密性、完整性,以及可用性。講者也向我們介紹了ISO/IEC 27001資安控制措施的修訂,ISO/IEC 27001 是一套備受國際認可的資訊安全管理框架,可幫助組織管理和保護資訊資產,確保其安全無慮,並且在2022年版本中從資訊安全(Information Security)面向延伸至網宇安全(Cybersecurity)及隱私保護(Privacy protection),並從原本14個控制領域,改為以四大控制主題分別是組織控制、人員控制、實體控制、技術控制,闡述管控重點,總共涵蓋了93項控制措施,是對於資訊管理很有幫助的系統。
在演講中,講員除了向我們介紹資訊安全的一些知識,及專業領域的內容外,也與我們分享一些資訊外漏的實例,其中最令我印象深刻的是iRent租車資料庫暴露於公開網路的案列,在近幾年這種租車服務非常流行,像是iRent、GoShare等等,這些都是只要在手機裡下載APP就能夠直接租摩托車或是汽車,而我本身也是這些APP的使用者,由於增加生活的便利性,因此在僅幾年備受歡迎。而講員所介紹的案例是正式用戶眾多的iRent,因網路公開不設防導致客戶資料外漏,導致用戶的一些隱私都會被暴露在外,這是很可怕的事情!因此在聽完這個案例後,我對於資訊安全的重要更是感受深刻,對於一些不熟悉的網站或是來路不明的網址信件……等等都會更加注意。
我在參與此演講前對於資訊安全的概念很淺,也不知道該如何注意,在演講的最後講員也提醒我們6個重點,讓我們知道該如何保障自己的資訊安全,分別是保持軟體更新、安裝防毒軟體、資料加密、資料備份、上網(收信)行為管理以及設置高強度密碼,這都是我們平常可以做到的。隨著許多商業行為與業務都更加依賴數位化及網路化,網路和資訊安全也越發重要,要有效的應對各類型資安風險與駭客攻擊是我們每個人都需要學習的,而在這次的演講中也得到了許多收穫,希望在未來能夠對於資訊安全擁有更多認知。
企管三甲 劉柏言
關於這次演講的議題-資訊安全,我認為是這學期以來最為重要的主題,之前講的AI、資訊科技、或者架設網站等等,我把他分類在趨勢跟技能類別,你不一定要整個會,只須懂個三成就差不多,但資訊安全就算是生存級別的,一知半解會出大虧,原因在於現代的生活很難脫離帳號密碼的範圍,因為是資訊化與電子化的世代,食衣住行育樂都將有掛勾,我們更應該注意自身資訊被曝露被盜用的風險,好一點就遊戲帳號被盜走,更慘的是身家都被掏空,甚至還會背上一大筆債務,擁有一個人的資訊就是能做到那麼多事情。
在演講過程裡,講者提到簡單的運動手環就能依靠GPS鎖定持有者的位置,甚至查到家住哪裡,一整天的生活規跡,這讓我想到跟之前看的電影有相似的地方,女主角遺失了手機,被一個聰明的犯人拾起後,偽裝成手機維修人員,在手機裡裝設間諜程式(可以遠端操控手機),與不會被使用者發現的鏡頭(一直開啟)後,女主角的隱私資訊整個被暴露出來,社群平台以及聊天軟體被犯人惡意發言,女主角丟了工作,因為他被懷疑開小帳抱怨同事與上司,甚至詆毀合作廠商,害公司損失一筆大案子,他的爸爸被綁架,因為他爸的住處慘遭壞人掌握,甚至到最後連女主都差點被殺死,雖然我覺得現實應該不會到那麼極端,目前現實生活裡最大宗的應該是詐騙,講者提到大多數人都會點擊來路不明的連結,根據指示操作自行將個資洩漏出去,通常你不會感到不對勁,因為現在不管是要申請帳號,寫履歷,或是參加抽獎,填寫個資都是稀鬆平常的事情,當你忘記曾經填寫過甚麼東西以後,收到的陌生文件上面卻記載者妳的個人資料時,你就已經掉入圈套裡頭。
講者有提到一個名詞叫撞庫攻擊,簡單的說就是拿A網站的帳號密碼去B網站登入,我覺得想到這招的人真是天才,原因在於現代人真的太懶了,生活上甚麼都要用到帳號密碼,只要沒有硬性規定,誰會願意把每個網站或者程式,都分別使用不同帳密,忘記密碼又很麻煩,而現在大多數網站都支援綁定,像是FB Google Line等等,針對這種人,撞庫攻擊就超有用,除了個人以外,團體的資訊安全也須多加保護,韓國三星集團的實驗室,就有實驗員偷拍照洩漏新手機的外型,最後被判罰2000萬,對於企業來說這是很大條的事情,因為這樣對於競爭對手來說,可能會從外觀推測出你使用的技術,對於企業內部來說,因為不知道對手會如何做,自然也無從因應,對於之後的銷售策略也有很大的困擾。
最後,針對以上問題,講者說到如何防衛,電腦可以裝設防毒軟體,我只知道小紅傘跟諾頓,再來就是資料要加密防護以及備份,不要亂點來路不明的連結,對於陌生訊息要格外注意,密碼要設有一定強度,最好不要是生日或是身分證字號那種,當然我覺得,以上這些措施只能給予一定的保障,畢竟資訊科技一直都在變化,人類的惡意你難以估測,遇到有心人士,還是擋不太住,因此出意外時該如何止損,維護多少權益,才是我們下一步該學習的課題
企管三甲 藍芳榛
在05/01的演講的主題是資訊安全,演講人介紹資訊安全是指保護資訊不被未經授權的存取、使用、披露、竊取、破壞、篡改或損失。在現代社會中,資訊安全已經變得越來越重要,因為我們的生活越來越依賴於電腦和網際網路。我們使用電腦來處理各種敏感信息,例如個人資料、金融資訊、醫療記錄、商業機密等等,因為這些信息的安全性對於我們個人和企業來說都至關重要。
講者提到若我們要要確保資訊安全,我們需要採取各種措施,包括使用較複雜的密碼、定期更改密碼、使用防病毒軟體、防火牆、加密和數位簽章等。與此同時,我認為我們也需要注意社交軟體上有些詐騙帳號的話術,例如騙取密碼、詐騙和釣魚等,並定期備份重要的資料以防止資料遺失。
聽完以上我覺得很重要因為我們對手機的依賴越來越高,我們很多重要的資訊都在手機或電腦裡面,像我雖然才20歲,我為了方便我的財產更靈活的使用,我已經有五家網路銀行正在使用,雖然我不是甚麼大老闆,但現在線上開戶實在是太方便了,而且現在有很多沒有實體銀行的數位帳戶推出了高利息的活動就會吸引我去存,只要把錢存進去一個月就能多兩三百塊也是一件好事,多家銀行些我都有開戶,因此這時這些網路銀行的資訊安全就很重要了,雖然我的財產並不多,但都是我的血汗錢,希望這些網路銀行將來不會有任何資訊安全的問題發生。
另外,講者還有提到對於台灣的企業而言,資訊安全的防範措施確實還有許多需要加強的地方。許多企業只注重網路防火牆和防病毒軟體的安裝,卻忽略了其他重要的措施,例如加強員工資訊安全意識、定期的漏洞掃描和測試、安全性的監控與日誌分析等。除此之外,由於企業內部的資訊系統和設備不同,可能存在許多潛在的風險和漏洞,如不當的資料儲存、敏感資料未加密等,都可能成為企業資訊安全的弱點。
因此,企業在資訊安全方面的防範,必須是全面性的、長期性的。此外,組織內部必須有明確的資訊安全政策,透過定期執行漏洞掃描和測試,來找出潛在的漏洞和弱點,並採取適當的措施予以修補。此外,企業必須加強員工的資訊安全意識,透過定期的培訓和考核,使員工認識到資訊安全的重要性,並知道如何避免資訊安全事件的發生。最後,資訊安全技術的發展日新月異,企業必須持續關注資訊安全相關的新技術和趨勢,透過不斷的更新和升級資訊安全防護系統,來保障企業的資訊安全。同時,企業也可以借助專業的資訊安全公司或專家的協助,來建立更加完善的資訊安全體系和應對機制。
企管三甲 張芸慈
現在的網路發達,通訊更加的便利與快速,資訊的取得與存取亦是如此,但也正因為現在網路上能做到的事更多,如金錢的取用、辦理線上會員、訂購商品等等,我們必須更小心使用這些裝置。因為有些不法團體或人士可能會藉由製造漏洞來去竊取你的個資,甚至使你倒盡金錢,可惡至極、喪心病狂。譬如說,有時候你可能會感到困惑,為何你明明沒有報出你的任何帳號密碼,但你的帳號卻莫名被盜用了呢?通常這種情況其實也是自身造成的結果,也就是說,是你親手把這隻帳號「送」給人家,讓不懷好意的人能利用,關鍵就在於你點入了其他的怪異網站,或著點入來路不明的信箱帳號所寄來的信件,結果就中招了,對方可以輕易控制你的帳號,在你察覺的時候已經變了一個樣,如果有關乎代幣或著金錢,那更是傷痛至極。這種方式其實就是把病毒夾帶在其中,悄悄地散布在網路中,若有人不防範,很容易就著了到,最終除了資訊被盜用外,電腦甚至可能也會因為被病毒侵犯而衍伸出一堆的問題,網速下降、隱私被侵犯、電腦Lag等等,這些都是進一步可能會發生的嚴重問題。甚至非常非常嚴重的話,整台電腦都別想用了。這也更顯示我們更要小心注意在電腦上的操作,避免不對勁的情況發生。
除了電腦以外,還有許多跟網路有關的電子產品也不容輕忽,例如像是apple watch,一款智能性手錶,他不單只有記錄你的心律與步程之類的功能,他裡面其實也連結著你的手機,也就是說,既然你在手機上有可能遇到資訊安全的問題,同樣在apple watch也有可能遇到,定位的功能也包含在其中,但有些不法人士就可以透過它去查詢當事人的位置、方向等等資訊,甚至曾經還傳出過利用apple watch就被盜用提款機密碼的事件,駭客利用裝置的軌跡數據,去找到用戶密碼的軌跡,盡而去取得用戶的個資密碼,這件其實是很嚴重的事,居然連密碼的數字都不用去一個個慢慢試、去破解,就能憑用戶的使用習慣去得到,可謂是世風日下,因此切記避免使用配戴智能手錶的手去按壓提款機的密碼,免去無妄之災,金錢流出的窘境。
另外一個也是有關紀錄的是一款app,「Strave」,提供追蹤、紀錄與分享運動路徑的服務,但這款app一旦被有心人士利用,也會造成難以想像的恐怖效果。譬如有人就用它來辨識全球軍事基地的位置、內外環境的情形,美國、英國、法國等等都可能有機密外洩的可能。而台灣也有類似的情況,例如某飛彈指揮部基地人員的行動慣例、甚至監獄的巡邏路線也透過這款app被披露無遺。因此,觀賞了上面的種種案例,我們必須要有一種自覺,保護自身的資訊安全不是一個可以被忽略的事,要多加關照。
企管三甲 劉芷昀
講座開場白,前任思科執行長John Chambers 曾說過:「公司可以分成兩種,一種是曾經遭駭客入侵的公司,另一種則是還不知道自己已遭入侵的公司」。在這句話中,我意識原來資訊是這麼不安全的,駭客真的太厲害了,所以這場講座,真的非常的重要,在這個資訊如此發達的世代,我們都應該認識這些背後的隱憂。舉個例子,現代人更加的注重健康,因此有很多人都會購買配戴裝置(智慧型手錶),運動手錶它可以組成運動軌跡,平常自己觀測的到自己的軌跡,聽起來沒有問題,但假設有心人士駭入你的裝置,他就可以藉此摸透你的生活習慣,甚麼時候不在家等等…。你可能會想說,你就是一個普通的人民,監視你有甚麼好處嗎?那就換個例子,如果是空軍基地的人員呢?他的軌跡被摸透的話,是否會為國防問題造成很大的影響? 稍微推測一下軌跡位置的變動,就可以知道你們國家的軍機在哪,那嚴重性就提升了許多。另外演講人也有提到,運動手環可以紀錄手部動作,結構準確率可以高達80%,嘗試三次以後可以高達90%,這是一件非常恐怖的事情,假設你今天戴手錶去操作ATM,有心人士只要多測試幾次就可以解開,這也大大的幫助了我,讓我理解原來會有這樣的風險,之後我絕對不會使用有佩戴手錶的那隻手按密碼。
接著,講者介紹了,為甚麼我們的帳號會「被盜用」? 他又說:「嚴格說起來帳號不是被盜用或是被偷走,而是你自己送他的!」這句話真的驚訝到我了!他表示,帳號被盜用的人肯定曾經亂點過網址,或者點擊輸入帳號,你輸入之後他可能會顯示帳號密碼錯誤,然後在這個幾秒鐘內去更改你的資料。這樣對方就可以成功盜用了。於是我回想一下,在過去是否曾經收到來路不明的簡訊通知,上面提供不明連結? 才發現原來我收到了好多次,只是我都沒有管他,我的想法是,假設我真的忘記繳錢了,對方一定會想盡辦法聯絡我本人,因此這樣的簡訊我甚至連點看都不會,這也降低了被盜取的可能。
另外演講人還有提到,現代資訊能力和英文素養都是最重要的能力。可見現在除了語言能力以外,資訊能力也隨時時代變遷,越來越重要了,這讓我聯想起上週的講座,講者也有提到,AI不會讓你失業,但你不了解AI就會失業。雖然我們就讀商學院,可能無法非常深入的了解、學習資訊能力,但至少我們要清楚的知道,在方便的資訊系統背後,會有什麼樣的威脅,該如何去避免也是一項課題。於是在講座的最後,講者為我們整理出了保護手機和電腦的六大方法。第一個是必須要保持更新到最新的軟體,接著加裝防毒軟體、資料加密、備份、上網(收信)行為管理(不要隨意點及連結)、設定高強度密碼。在高強度密碼的部分,講者建議我們用中文鍵盤打英文,這樣加密程度肯定是很強的。聽完這場講座,真的受益良多,希望未來我們都不要成為送駭客帳號的人,保護自己也保護身邊的人。
企管三甲 鄧丞佑
前任思科執⾏長曾說過:「公司可以分為兩種;曾經遭駭客入 侵過的公司,以及還不知道⾃⼰已遭入侵的公司。」由這句話我 們可以知道,資訊安全是相當重要的,我們許多⼈⽇常配戴的運 動⼿環、智慧⼿錶都可能被有⼼⼈利⽤,藉此得到軍事基地的位置、內外環境狀況,引發機密外洩的疑慮,甚⾄能夠藉由⼿部的 運動軌跡來盜取使⽤者的銀⾏帳⼾密碼,聽到學長的說明我才發現原來資訊安全不只存在於電腦、⼿機、平板之類的設備,竟然就連我⽇常配戴的智慧⼿錶都存在這麼⼤的資訊安全風險。
接著學長講解了我們可以從ISO/IEC 27001、ISO/IEC 27002來了解資訊安全的how to do以及what to do,還有最重要的資訊安全概念,機密性、完整性、可⽤性,機密性也就是我們需要使⽤⾃⼰才知道的帳號密碼來登入相對應的帳號,這組帳號密碼不應該被⾃⼰以外的任何⼈所知道,再來是完整性,登入帳號後⼀定是查詢到該帳號對應的內容,最後是我們想要使⽤時就應該可以使⽤的可⽤性,學長說這三個資訊安全的元素都非常重要缺⼀不可。 ISO/IEC 27001:2022內也完整的紀錄組織控制、⼈員控制、實體 控制、技術控制等4⼤控制主題以及各主題下的93項控制措施,來詳細說明資訊安全的各項要求。
學長提到非常重要的,只要你把⼿機上的任何資訊以藍芽、訊息、雲端或其他任何⽅式傳輸出去,那麼那份資料就不再只屬於⾃⼰了。 以及學長提醒我們各個網站和各家銀⾏提款卡的密碼不要相同,以避免⼀個帳號密碼被破解順帶牽連其他帳號被撞庫攻擊的狀況發⽣,還有最重要的是注意⾃⼰點擊的每⼀個郵件,因為你的帳號密碼很可能就是這樣洩漏的,就連銀⾏這種注重資訊安全 的機構都深受其害,由此可⾒這種問題真的應該被重視。
最後經過三節課的演講,看了許多資訊安全的例⼦,學長做了最後的總結叮嚀我們,對於資訊安全要有最基本的防護,例如:保持更新(軟體+應⽤程式)、防毒軟體、資料加密、備份、上網(收信)⾏為管理、⾼強度密碼等等。聽完了今天學長的資訊安全演講讓我更深刻的了解到資訊安全的重要性,同時也透過各種實際案例讓我了解更多資訊安全的相 關知識,還有最重要的是學到了如何防範在⽇常⽣活中可能發⽣ 的潛在資訊安全威脅。
企管三甲 吳承翰
今天的演講是資訊安全,講師是老師的學生也是我們的大學長,大學長是在學研究生論文得獎者,非常不容易也受人尊重崇拜,資訊安全從有網路與電腦時就備受關注,到了現今年代更不能被忽略。我們身處在網路和資訊電子化的年代,資安議題是我們多少要去涉略的一個領域。沒有人希望自己的資訊被外人或自身的疏忽而被有心人拿去盜用,講師剛開始就跟我們提到運動手環這個不起眼的電子設備,小小的電子手環竟也可以做為盜取個資訊息的一個管道,講師說運動手環有GPS的軌跡功,若真的要細查可以記錄出移動軌跡來找出使用配戴者住在甚麼地方。光是聽到這裡我就覺得有點扯,但仔細想確實有可能可以這樣利用GPS定位的這個功能,電影中的間諜和駭客專家就善於利用電子設備的小細節來破取多重防火牆。我們在使用電子設備時就應該要牢記自己的個資問題。
講師告訴我們資訊安全有三個特性,分別是機密性、安全性、可用性,平常的帳號密碼防護就是機密性的意思,可用性就像是銀行得要讓用戶們能使用帳戶取前,因為前陣子就有銀行一直停權客戶的戶頭遭金管會重罰,那就是妨礙了資安的可用性。接著講師給我們看了駭客是如何用ATM來盜領現金,駭客入侵ATM主要的三個手法就是有內鬼對ATM動手腳,再來是透過網路控制ATM,因為ATM就像是台不會時常更新的老舊電腦,若不時常做新的防盜更新,駭客們就能利用網路來操作ATM,還有的就是利用USB來植入惡意破解程式,這個就很酷,因為國外就有駭客展示給觀眾看是如何植入程式來讓ATM自動一直吐鈔,植入了惡意程式後,不僅能輕鬆的盜取大把的現金,還能取得用戶的個人資料,戶頭有多少錢、叫什麼名字、帳號密碼是多少都有可能被輕鬆取得。因此銀行業者需要時常更新系統、訓練員工並時常注意技術的演進,才能避免駭客們能輕易的拿到用戶的個人資料。
後來講師講了我們目前最常被詐騙與自行洩漏個資的途徑就是,點擊到來路不明的連結,因為有些短網址我們不知道他會連通到哪裡,一點下去可能就等於按下了個資使用的同意鍵給不肖人士。所以講師提醒大家要保持更新手機系統還有應用程式APP,能給資料加密就做加密的動作,這樣能避免文件的重要資訊被攔截盜取,還要做好自己的郵件管理,來路不明的信件、網址、網頁輸入帳密的視窗都要做好警惕與保持懷疑,最後就是要設定一個高強度的密碼。高強度密碼能加高駭客在破解時的難度,密碼複雜跟被害程度是成反比的。聽完這次的講座,我也得去查看一下我的各式帳號有沒有做好雙重驗證和資料加密的動作,為了保障我自己和我身邊的家人好友們,多做資料的防護預防是有必要的。
企管三甲 黃于庭
當今社會數位化已經成為一個必然趨勢,資訊科技的發展讓人們可以更加方便地處理訊息和完成工作,但同時這也帶來了數據安全的問題。有時候,無論是個人還是企業,包括社交帳戶、匯款、某些重要文件,可能都會面臨遭受駭客 攻擊或數據洩漏的風險。因此,關注資訊安全是一件非常重要的事情。在這次的演講中,我學到了很多關於如何確保個人和企業的資料安全的訊息。
第一個要提到的是密碼保護。如果在網路上使用多個網站和應用程式,保護密碼就是保護資料的第一道防線。這意味著不要使用弱密碼就是所謂很容易破解的密碼,使用保密且強度高的密碼能有效地減少網路上帳戶被駭客攻擊的風險。除此之外,每個網站的密碼都應該是不同的,這樣如果一個網站的密碼被破解,中毒會被限制到這個網站的帳戶,而不會影響其他應用程式或是帳號。另外要注意的是雲端安全。對我們而言,雲端儲存所帶來的好處是很明顯的,像是可以方便地儲存重要文件、圖片等資料。但這同時也增加了駭客的目標。如 果你在雲端儲存很重要不能洩漏的資料,就應該要使用更加安全的服務,並設定訪問權限才可以確保資料較不容易被侵犯。最後要小心的就是網路上的詐騙手法。網路上充滿著許多惡意文件、病毒或是釣魚郵件,目的就是要竊取個人資料,所以要減少開啟陌生的電子郵件,同時安裝一些反病毒軟體才可以減少中毒風險。
除此之外,社交媒體的使用也存在風險,必須保護好個人資料,儘量不傳播個人資訊。我記得演講者有提到駭客手上的資料都是我們自己提供的,因為在使用網站時我們都會填入很多關於自己的個人資料,所以在社交媒體上要注意隱私安全,儘量不要公開生日、生活狀態或經常去的地方等個人訊息,才可以使駭客無從下手。 而在演講中印象較深刻的還有關於提款機被駭客植入程式就可以一直發鈔的那段。所謂的提款機被駭客植入程式,是指駭客通過某種手段,將惡意程式植入提款機中,使該提款機可以發行未經授權的現金,嚴重時可能會危及用戶的資產安全。而這類攻擊也可以通過各種管道迅速蔓延,威脅整個提款機及銀行的資訊安全。對於使用提款機的消費者來說,也需要加強保護自己的資料安全。當使用提款機時,請確保周圍的環境安全且場所正確,以避免被人窺探。除此之外, 使用提款機時,也需要避免使用公共Wi-Fi等網路,應使用自己的數據網路或銀行官方App等安全通道完成交易,由此避免資料被盜取或遭受攻擊。 總而言之,資訊安全並不是只考慮個人或企業的事務,而是要關注整個社會的事情。如果我們能夠全面瞭解和掌握有
企管三甲 謝蕎羽
作為一個大學生,我常使用網路來處理日常生活中的許多事務,例如工作、學習、購物和社交等等。包含現代人也是一樣的,與我同樣的依賴網路。隨著資訊時代的發展以及不斷進步,資訊安全問題也變得越來越嚴重。而因為網路的發達也逐漸衍伸出來更多的資訊安全問題。老師安排了一場關於資訊安全的演講。
首先,演講中的講者提到了一些常見的資訊安全問題,例如密碼安全、網路釣魚和惡意軟件等等。這些問題可能導致個人資訊被竊取,影響個人財務和信用紀錄,甚至可能使個人成為網路攻擊的目標。講者強調了保護個人資訊的重要性,提醒我們要時刻保持警惕,並遵循一些簡單的安全措施,例如使用複雜的密碼、不點擊可疑的鏈接和不下載未知的檔案等等。在面對資訊安全的防守之下,我們更應該試著去了解去學習如何防範。因為現在我們嚴重依賴網際網路,面對與我們時刻緊密相連的網路,很容易一疏忽就大意。
這讓我聯想到我就讀企管系,企業資訊安全問題也是相當需要去重視。例如數據洩露和勒索軟件等等。這些問題可能對企業造成重大的損失,包括財務損失甚至導致公司的聲譽受到損失。講者強調了企業在保護資訊安全方面的責任,提醒企業要加強內部安全管理和員工教育,同時投資於資訊安全技術和防禦措施。做得好危害自然少。
此外,我在演講中還學到了一些新的技術和趨勢,例如區塊鏈和人工智慧在資訊安全中的應用。講者解釋了區塊鏈如何提供安全的分散式資料存儲和交換,以及人工智慧如何幫助識別和預測潛在的安全威脅。這些新技術為保護資訊安全提供了新的可能性和挑戰,我感到非常興奮和好奇,想進一步深入了解和學習這些技術。若是能深入學習或許能運用在我畢業之後的工作上,可以增加我的社會競爭力。
這場關於資訊安全的演講讓我意識到了資訊安全的重要性,並提供了一些實用的建議和解決方案。我意識到保護個人和企業資訊安全的責任在於每個人,不僅是企業,也包括個人。我決定要在日常生活中更加謹慎地使用網路,並學習更多有關資訊安全的知識和技能,以保護自己和他人的資訊安全。我也認識到資訊安全不僅是一個技術問題,也是一個文化問題。企業和個人都需要建立一個資訊安全的文化,讓人們更加重視資訊安全,將資訊安全納入日常工作和生活中。只有這樣,我們才能真正實現資訊安全。
這場關於資訊安全的演講對我產生了莫大的影響,讓我更加了解資訊安全的重要性和挑戰,也讓我認識到保護資訊安全需要我們每個人的努力和責任。我相信,只有通過共同努力,我們才能保護個人和企業的資訊安全,實現一個更加安全和可靠的資訊時代。
企管三甲 鄒艾倢
今天來演講的是一位在SGS認證公司內擔任稽核員的企管系研究所畢業的學長。SGS對我們來說很熟悉,因為很多東西都需要通過SGS的認證,當然在我們學校的資訊處也是,聽到資訊處的時候我其實有一種熟悉的感覺,因為我已經在資訊處工讀快2年了,但還沒有看到SGS來稽核過!所以感到相當特別。
學長有說今天他沒有要跟我們說太多技術類的東西,因為技術類的並不好理解,因此他用實務的例子來讓我們去了解。其中就有提及到運動手環的使用可能會造成資訊安全的漏洞。駭客可以透過你在按ATM時,運動手環在手上的向量定位去推算出你的6位數密碼,學長甚至給出數字的統計,你按過一次可以擁有80%的準確度,按了三次以上竟然可以高達90%的正確率,這是非常驚人的一件事。然後學長也有提到一線的客服人員將會在未來的產業中消失,快則明後年,慢則3-5年。然後也有說到SGS的認證通常都是看ISO27001的的準則,不過這比較枯燥乏味,而且也比較難理解,如果我們想要了解稽核內容的話,可以去看ISO27002的細則。
然後學長也有幫我們列出了資訊安全概念的三個重點:機密性、完整性以及可用性。更告訴了我們可用性被破壞的例子:第一銀行吐鈔事件。更用了很多的影片告訴我們資訊安全會如何被破解或以及駭客會用怎麼樣的方式入侵電腦,而我們的哪些舉動會造成資料的外洩以及竊取。學長更告訴我們在日常生活中常常會聽到有些人說自己的帳號被「盜」了,但其實並不如此,因為在你腦中的帳號以及密碼是不會被盜的,除非你把它們貼在辦公桌前,因此學長說這種情形,通常都是你把你的帳號跟密碼白白送給對方,就是藉由你平常亂點一些東西所造就而成。
聽完整個演講,我感觸最深的就是學長不斷地強調不要亂點一些來路不明的網站,並且在面對資訊的操作上,要先問看看自己,「這樣真的OK嗎?」。這也是我在資訊處打工時很重要的一個規則,外加不可插入來歷不明的隨身碟,這些行為都很有可能會造成資料的流失亦或者是電腦的中毒。當然也非常認同學長所希望我們能注重的兩件事,一是強化資訊能力 ;二是提升英文素養。現今的社會對於資訊科技的高度重視,促使我們也該與時俱進提升這方面的能力,並在全球化的影響下加強我們的語言能力,使我們在未來能夠佔有一席之地!
企管三甲 陳莞淇
資訊安全通常又能簡稱為資安,是指目的在於保護敏感業務資訊以免遭到修改、中斷、損壞和檢測的程序和工具,那我原本以為資訊安全和網路安全是相同的,後來才發現原來資安是網路安全的關鍵,是專指為資料安全而設的程序,而網路安全是比較總括性的術語,範疇包含資安。
在演講中演講者有介紹ISO/IEC 27001,這是資訊安全概念,其中可分為三大要素(1)機密性:保障企業所有資訊只有「取得授權者」可獲取,用以維護企業與用戶資訊的保密和機密性,例如設置帳號密碼。(2)完整性:保障資訊不會被未經授權的方式修改或竄寫,確保資訊準確度與完整性,簡單來說,就是裡面的內部資料要是對的。(3)可用性:保障資訊的流暢性,讓資訊可以被授權者隨時取用,不因任何因素而中斷,也就是想查就能查得到。
那其實ISO/IEC 27001這個名詞對我而言非常的陌生,但經過演講者的介紹後,我發現它是一套完整的資訊安全管理國際標準也是目前國際上最廣泛使用的,它的目的是要幫助企業組織在保管資訊資產時能更加的安全並降低未來資料外洩的損失,它有4大控制主題(包含組織控制、人員控制、實體控制、技術控制)和93項控制措施,感覺是一套非常嚴謹可靠的標準。
但儘管防護措施做得再好,駭客的入侵還是防不勝防,因為隨著科技的進步,他們的技術也在提升,其中演講者有提到入侵的案例-APT集團,APT是一種進階持續性滲透攻擊,會針對特定組織去做出複雜且多種手段的網路攻擊,像是惡意軟體、弱點掃描、針對性入侵或利用惡意內部人員去破壞安全措施,通常他們要入侵一個系統,都是長期且多階段的攻擊,每天固定打開電腦跑程式,去尋找系統中的弱點,一旦找到了弱點,一次也只能往前走一小步,這樣在偵測系統中才像原地不動一樣,不會被防毒系統偵測到,所以這個行業也被稱為三年不開張,開張吃三年,一旦攻破了可以獲得很多的利益…,聽到這個真的讓我大開眼見,沒想到我們的電腦隨時都處於危險的狀態,現在沒被攻破,不代表未來也不會,或許只是時間還沒到,所以按時將防毒軟體更新我認為很重要!
最後,在演講中有一句話一直警惕著我,那就是當我們把任何照片或檔案傳出去時,不管是傳給誰,任何你信任的人,一旦發送了那資料就開始不安全了,因為你不知道對方會做出什麼,也不能確保對方的系統安全,所以資料不要亂傳是最保險的!另外我們或許會選擇將檔案上傳雲端,雖然相對安全,但多少都存在著被盜取的風險。
聽了這場演講,我才了解原來資訊安全這麼重要,尤其是對於製造業和一些大企業而言,一旦資料被盜取那後果可是會付出嚴重的代價,所以隨著科技的演變,如何去做好資訊安全也是我們現在需要具備的知識,不僅讓自己多一項專業成為企業需要的人才,另外也可以妥善的保護自己的資料!
企管三甲 吳雨頵
資訊安全在近年來是大家很保持關注的議題,演講一開始講者就有先分享一些相關案例,我印象最深刻的是穿戴性裝置的例子,像apple watch雖然能夠為我們帶來方便,也能夠準確地記錄手部動作,但也因為穿戴式裝置能追蹤到非常細微的手部動作,這有可能造成如果你在ATM提款機輸入密碼,會發生被有心人士盜用密碼的風險,產生資安的問題。
隨著網路的普及,網路犯罪的手法愈來愈普遍,網路發展的同時,我們也應該更注意它所可能帶來的問題,當我們頻繁使用電腦資訊工具,我們除了了解到使用網路的好處和風險,我們也需要把弊端降到最低,雖然我們在網路上填寫個人資訊,使我們每個人的資訊都會在網路上面,我們會開始擔心註冊的會員網站,會不會洩露個人隱私資料或是電腦會不會被駭客侵入,所以我們也該有更多的防護準備跟應對措施,可以避免的方法講者就有分享像定時更新系統、使用防毒軟體自動偵測、資料加密或換高強度密碼,網路上的資訊應該要有分權限與區隔,區分為可以提供哪些人查詢使用。
而資訊安全概念分為三點,機密性、完整性和可用性,它們為資訊安全的結構奠定基礎,我覺得很重要,透過講者的分享,使我更加深刻的理解資訊安全的必要性,因為每個人的個人電腦都會儲存很多個人資訊和重要文字檔案,有時候我們個人的資訊其實是自己洩露的,只是我們沒有留意,有心人士可以簡單的通過你的個人主頁,在你的網路言論中分析得到你的個人資料,或是在網路上填寫註冊資料時,你就要考慮是否公開個人資訊,而除了保護自己隱私,也要尊重他人,不隨便將他人資料分享在公開網路上,所以為了保障這些文字資訊的安全不被篡改或盜用,我們就需要不斷學習和提高自己的網路安全技能與防護意識,可以保護好自己的資訊。
我覺得最重要的還是培養良好的使用習慣,它是最能有效預防的方式,網路世界沒有所謂的隱私,凡走過必留下痕跡,謝謝演講者讓我對資訊安全有更進一步的認識與了解,我以前可能沒有意識到在網路上填寫個人資料被洩漏的危險性,聽完有讓我提高對資訊安全的警覺性。
企管三甲 郭卉穎
本次的演講的內容講了很多讓我重新審視資訊安全的問題,而講師提供了很多實用的撇步和重要的警示。首先讓我震驚的是穿戴型裝置能夠準確地記錄手部動作、運動軌跡以及其他敏感資訊這件事,如銀行帳戶密碼!雖然這些裝置能夠使我們了解自己的身體狀態和活動情況。然而,這也意味著我們需要特別關注這些數據的機密性,也讓我意識到必須保護自己個人敏感信息不被駭客或未經授權的人士盜取,以確保我們的財務及人身安全。以後智慧型手錶只能戴在左手了,不然用雙手打下的江山就要白白拱手讓人了。
講師中間也有提到資訊安全的三大核心概念:機密性、完整性和可用性。這些概念對於確保數據和系統的安全至關重要,機密性指訊息不為其他不應獲得者獲得,保障訊息在對的人、對的時間、對的裝置和對的地點上被存取,用以維護用戶資訊的保密性;完整性指在傳輸、儲存資訊或資料的過程中,資訊或資料不被未授權的篡改;可用性就是讓一個系統處隨時可工作狀態,資訊服務不因任何因素而中斷或停止。
這些概念提醒著我們在設計和使用任何資訊系統時要考慮到這些方面,以確保資訊安全的全面性,網路的複雜程度不是我這種凡人可以理解的,所以想要保護好自己的機密資料要做很多本機防護措施,除了電腦要加裝防毒軟體及保持更新外,我們可控的範圍還有密碼的設定,一個高強度的密碼可以提高帳戶和系統的安全性,再來可以防止駭客使用暴力破解攻擊猜測我們的密碼,這讓我想了一下自己的密碼,似乎非常危險,但改太複雜又很難記住,這點應該也是很多人密碼容易被盜的原因之一吧!最重要的還是這些防護措施可以幫助我們確保個人設備和系統的安全,並保護個人信息免受未經授權的訪問和攻擊。同時,講師還有提到這些措施不僅僅適用於個人用戶,也同樣重要的應用在企業和組織的資訊安全中。
演講內容有提到知識產權(IPR)的重要性以及軟體版權和盜版的問題,保護知識產權是鼓勵創新和研發的重要手段,並確保創作者得到應有的回報。同樣地,軟體版權保護和打擊盜版是維護正當軟體市場秩序和經濟利益的關鍵,身為使用者的你我都應該尊重軟體版權,避免使用盜版軟體,並支持正當的知識產權保護措施。除了軟體,我覺得盜版電影也是值得關注的議題之一,因為盜版電影通常是通過非官方和不受信任的渠道進行散佈的,這可能導致使用者下載含有惡意軟體或病毒的文件,而當這些惡意軟體和病毒損害個人電腦或設備後,竊取敏感信息,對系統進行入侵,如此一來盜版電影的存在就可能對資訊安全構成威脅了,我們應該避免從不信任的管道下載來路不明的電影或任何檔案。
企管三甲 賴宥臻
資訊安全⼀直以來都是⼀個⼗分重要的議題,隨著資訊科技的發展與應⽤,資訊安全問題也變得 越來越複雜。其中講者有提到,資訊安全管理系統(ISMS)成為許多企業和機構⾯對資安問題時 的重要解決⽅案之⼀。講者還有說到⼀個以前鬧得沸沸揚揚的新聞,就是台灣健保資料洩漏的事 件更是引起⼤⼤的關注,感覺也讓社會⼤眾進⼀步了解到了資安問題的嚴重性與必要性。講者有介紹到,ISMS是⼀種制定和實施資訊安全政策、控制和管理程序的系統。它可以幫助企業和機構檢測、預防和應對資安威脅,並維護資訊安全的穩定和可靠性。ISMS的實施需要從組織和⽂化上進⾏改變,並需要跨部⾨的協調與合作,才能真正發揮其作⽤。透過ISMS的建立,企業和機構可以更好地保護⾃⾝的資訊資產,減少資安風險帶來的損失。
所以講者也不斷地提到,現在非常的缺「資安專家」,甚⾄有許多公司願意花⾼薪(10萬左右) 聘請這些專家,但是他也說了⼀個很有趣的例⼦,當駭客開張⼀次吃三年,⼯作不⽤太久就可以賺到⼤把鈔票,所以怎麼會有⼈願意當⼀個每天要準時上班還要加班到資安⼈員呢?值得深思。 其次,台灣健保資料洩漏事件,更是讓⼈們了解到資安問題的嚴重性。2017年,台灣健保局因外包 作業發⽣資料外洩事件,導致數百萬筆健保資料被竊取,引起社會震驚。在事件發⽣後,政府也積極加強對資訊安全的管理和監控,但是資安問題是否就真的有被解決了呢?我個⼈是覺得台灣 在這⽅⾯還有很長⼀段路要走。
總之,資訊安全是⼀個永恆的議題,需要企業、機構、政府和個⼈共同努⼒來應對。⽽ISMS是保障資訊安全的⼀個重要⼿段,它可以幫助企業和機構建立起完整的資訊安全體系,有效地防範資安威脅和風險。⽽台灣健保資料洩漏事件也告訴我們,資訊安全的重要性不容忽視。對於個⼈⽽⾔,要保護⾃⼰的資訊安全,需要加強個⼈資訊安全意識,定期更換密碼、避免點擊可疑連結和附件等,資安問題真的無處不在,像是我也很擔⼼我的家⼈們會被騙。講者⾃⼰也有提供了他對於這⽅⾯的加強,他說他在不同銀⾏的密碼都不⼀樣,然後他會把密碼都寫在提款卡上,但是⽤⾃⼰的加密⽅式去加密,即使有⼈撿到了也不⽤擔⼼會被破解。⽽且就算真的被盜了,也不⽤擔⼼全部的密碼都會被知道,所以他也建議我們不要將⾃⼰所有的帳號密碼都⽤⼀樣的⼀套。
對於此次演講我覺得非常滿意,講者提供了很多很有⽤的資訊以及想法,也⽤了很多簡單易懂或是貼近我們⽣活的例⼦來為我們講解,還找了很多影片等等,非常感謝講者這次的演講。
企管三甲 林書瑋
這一次的演講主題為資訊安全,講員在演講的開始就說了,只有兩種公司,一種是曾經被駭過的公司,跟不知道遭駭的公司,可見公司遭駭客攻擊的可能性有多高與資訊安全的重要性,講員還講了幾個例子,像是駭客可能利用任何行動裝置了解到用戶的移動情況,又或者像是運動手環,他們甚至可以透過運動手環了解到你手部的運動軌跡資料,破解出你的ATM密碼,所以像是講員講的,他如果要按ATM的密碼,他都會用另外一隻手去按密碼,而且也會盡量減少手臂的移動,只使用手指的移動,可見資訊安全有多重要,且與日常身活息息相關,講員還提到了像是之前鬧了很大的新聞,有國外的駭客駭入台灣的銀行,駭入ATM讓他們能夠一直取鈔,講員利用這個例子講述了他們駭入的方式與當初銀行做錯的事,這些資訊也都是我們能夠去學習的,像是不要打開來路不明的電子郵件與網路連結,通常不是駭客駭入我們的電腦,而知道了我們重要的帳號密碼,而是我們自己輸入給他們的。
講員在演講中也提到了很多關於資訊安全的其他東西,像是台灣關於資訊安全的法規:資通安全管理法、資通安全管理法施行細則,一個指的是what to do 而另外一個指的是 how to do ,其他還有像是資訊安全管理系統(ISMS)跟全球公認的資訊安全管理系統標準ISO/IEC,在很多公司與機構都需要通過這些的認證,還像是提到了資訊安全的概念要包含:機密性、完整性、可用性。
最後提到了一些關於被駭客攻擊的可能原因與攻擊方式,像是駭客可能使用惡意的釣魚郵件來入侵,而任何一個裝置的可能入侵手法像是:內鬼、網路、USB等等,不常更新或老舊的系統都可能會是駭客攻擊的目標,所以都需要做員工的訓練與注意技術的演進,而駭客可能的攻擊方式像是有:
暴力破解:將密碼進行逐個推算直到找出真正的密碼為止。
字典檔攻擊:利用已知密碼表,進行常見密碼破解。裡面包含了一些可能常見的密碼組合,再利用字典檔去進行暴力破解。
資料分析:在透過社交工程或是技術手段,取得大量的使用者資料之後,將有價值的使用者資料整理成可用資料。透過這些資料可進行更精確的人工猜測。
撞庫攻擊:攻擊者將攻擊其他資料庫得到的資料在其它網站上進行嘗試登入,叫做「撞庫攻擊」,因為很多使用者喜歡使用統一的使用者名稱密碼。
從這些攻擊方式來看,我們也能從中學習到一些能夠保護自己資料的方式,像是從「撞庫攻擊」的攻擊方式來看,我們能夠做到的就是各種的帳戶的密碼不要設成一樣的,雖人很難記,但密碼要盡可能的不一樣,尤其像是不同間銀行的密碼更不能設成一樣的。
聽完這次的演講後,我對於保護個人和組織的數據安全有了更深刻的認識。演講中提到的各種資訊安全威脅和攻擊方式讓我意識到,在數位化時代,我們面臨著日益複雜和普遍的風險。我了解到了保護個人隱私和重要數據的重要性,以及應對這些威脅的關鍵措施。我將運用所學知識,採取更積極主動的資訊安全措施,例如使用強度高的密碼、定期更新軟體、識別社交訊息等,以確保自己和組織的資訊安全。
