如何維護電腦資訊安全

壹、前言

電腦資訊發達,在二十世紀末帶給人類又一次的科技革命,從大到外太空的各種試驗,小至個人的理財消費,皆透過電腦在運作,可以說是無處無時不在使用電腦,依賴電腦。運用電腦協助工作,使吾人不論在資訊的擷取傳播,人際關係的接觸拓展,工作的多元蛻變等等,均較往昔迅捷與蓬勃,電腦科技的不斷精進,也的確為人類帶來無限的美好遠景,然而,不可諱言,衍生而來的高科技、高智慧的犯罪型態與案件也就層出不窮,例如傳聞某國家中學生可透過電腦網路窺得該國國防機密、日前電腦駭客傳送病毒破壞我駐美機構網站、國內某銀行遭駭客侵入內部網路篡盜客戶存款、徵信社業者勾結不肖警員及電信人員竊取個人電腦資料、電腦維修商透過網路進入機關資料庫窺得限閱資料等。有鑑於此,吾等在享受便利快捷的資訊服務的同時,亦應隨時提高警覺,防範電腦洩密及影響單位安全事件發生。因此如何確保電腦設施安全及資訊保密,防範不法情事,已成為當前不可忽視的重要課題,茲謹提出以下對電腦犯罪認知與應採取之安全保密措施等,俾供參考。

貳、認識電腦犯罪的態樣

電腦對於資料之管理、存取、維護雖然提供了快速便捷的功能,但是也使電腦罪犯之犯案手法與型態不斷的翻新,如散播植入多變的電腦病毒、利用網際網路竊私牟利等等,不勝枚舉。一般而言,電腦犯罪之態樣大致如下:

一、範圍:由資料之破壞至資料庫之毀損以至於整個系統之侵入與毀滅;由破壞主機至整個網路設備之毀損等。

二、類型:對資料的竊取、洩露、篡改、增減、毀滅、破壞等;或散播電腦病毒侵蝕主機系統或利用網路及電子傳輸達到犯罪目的等。

三、方式:透過數據機藉由資訊網路進入單位電腦檔案查詢屬敏感或機密資料;利用電腦維修非法進入資訊網路系統;以個人電腦專業知識動手腳;以電腦病毒摧毀程式等。

參、在如何維護電腦設備安全部分

一、厲行管制措施:

電腦設備於各使用單位裝機測試完成後,使用單位宜建立相關之管制卡,並由使用人或保管人簽章,妥善使用與保管,以明責任。機關中之電腦設備應一律由資訊部門負責安裝、維修及管制,各使用單位不得擅自拆卸電腦或其週邊設備。使用人不得操作與自己業務不相關之軟體系統;未經資訊部門同意,不得擅自加裝介面卡或變更硬碟規格。機密或較敏感資料應儲存於軟碟磁片或燒錄於光碟中,嚴禁儲存於電腦硬碟中,並由專人保管,停止操作時應將磁碟片︵或光碟片︶抽出,並將螢幕上之資料消除。儲存機密資料磁碟片,除經權責主管核准,不得擅自攜出辦公處所。各單位對應用系統軟體使用人之身分碼,應定期造冊交資訊部門保存,以便稽核。

二、建構防範災害設施:

電腦設施應置於通風良好,無水氣、乾燥之冷氣房中,勿受日光直接曝曬,辦公室應有乾粉式防火滅火設備,不得存有易燃易爆物品。電腦應加裝防止雷擊自動跳電裝置,及不斷電設備,並注意地震及颱風等天災的防範措施。

(一)建立備份回復系統:

重要的電腦系統,應設計使用自動切換備援電路,如﹁多路由﹂設計及自動電話線撥接備援,以免資料不當毀損。各項檔案應依性質,分別訂定備份數,並定期備份。重要檔案宜備份三份以上,其中一份儲放於防火櫃內,一份儲放於異地建築物之防火櫃內。各項程式檔案之更新與註銷均應依照一定的程序進行,並訂定電腦系統回復標準程序及注意事項貫徹執行。

(二)落實程式安管:

單位內對於電腦程式及其設計、測試、製作、使用、維護等均應管制。管制事項包括程式指令、工作控制語言、程式變更申請、程式製作標準等及操作說明、測試報告、變更報告等相關文件。使用終端機與其他機關主機連線作業者,應由權責單位核准後列管,並於系統內限制其可運作範圍。程式設計完成時,由非原程式設計人審核,以杜流弊;程式一經核定,不得擅自更改,如有變更必要時,應報請權責長官核准。單位對於重要的程式應用系統,應詳加評估是否已具備適當及足夠的安全保護措施後,始得使用。

(三)防範電腦病毒侵害:

不使用來路不明之磁片,不使用非經許可之軟體程式;在電腦設備中加裝防毒軟體,及妥善規劃網路防毒措施。要求電腦廠商於例行維護作業時,加強掃毒檢查,並適時更新防毒軟體。電腦使用中,如懷疑有病毒侵入,例如無法正常開機、資料無法讀取或出現異常畫面等,應立即反映資訊部門妥處。

(四)加強人員及門禁管制:

對非管理或未經許可之人員應管制其進入資訊部門,並加強警衛巡查或保全監視系統,以確保門禁安全。電腦需維修廠商維修時,應派員在場監督,如需攜出進廠檢修時,單位應完成設備攜出手續,方可放行。進用資訊人員時,應先辦理資格審查,及完成保密切結。並保證離職後,仍負有工作期間職務上應守密之義務,如有違背,依法檢討刑事、民事責任。

肆、在如何維護電腦資訊機密部分

、建立資訊輸出入制度:

各項資料之輸出入,均應建立識別碼、通行碼之管理制度,並視需要經常更新識別碼、通行碼。對具重要性敏感性及機密性資料建檔時,應加設資料存取控制,以防外洩。若需委託其他機關或資訊服務廠商代為處理時,亦應派員在場監督。若電腦設備所輸出之資料或報表具機密性,應依處理公務等有關規定,區分機密等級。電腦大筆資料檔之抓取及提供,應記錄索取單位、日期、資料筆數、型態及是否具機密性,以備查考。外單位申請資料查詢、閱覽、及複製時,需備文述明所依法令條文,及述明遵照資保法規定運用,經權責長官核准後交付。

、規範使用權責:

建立操作電腦設備的逐級授權制度,非經授權不得越級操作電腦設備。非辦公時間如需使用相關電腦系統,應將使用目的及時間、人員等報請權責長官核准。相關電腦系統應設定使用者工作權分級制度,如僅供查詢所需時,則限制不能進一步作修改建檔或系統維護等工作。每位電腦使用者應有獨立之通行密碼,並定期更換新碼,且密碼應使用文、數字混合編排,避免使用與個人相關之文字或數字編排;人員退休、離職、調職或更換工作時,其代碼應即註銷或更改授權範圍。使用單位需變更電腦系統或應用軟體時,應提出維護需求,經核准後才能變更之。

(一)防範委託機構竊密:

各單位如委外進行系統維護工作時,對其可接觸之系統與資料範圍,應作適度規範,避免發生不當行為,並於完成作業後,即時取消其可用資源及使用權限。電腦機房及其附屬設備,如有委外之檢修人員工作時,資訊部門應指派專人協助督導,並確實遵守單位各項安全規定。單位之重要資料如需委外建檔時,無論在單位內、外進行登打,均應妥採安全管理措施,避免資料被竊、篡改、刪減、甚至植毒及盜拷備份等不法情事發生。單位與委託機構訂定委外建檔或系統維護時,應於契約內明文加註保密責任,並據以執行,以作為發生洩密等案件時,追究刑事責任之依據。

(二)落實電腦稽核:

單位應依據電腦使用狀況,策訂資訊作業稽核辦法,定期、不定期稽核電腦設備之使用及檔案管理情形。電腦系統管理人員得在程式及檔案中,加入通行碼之檢測,隨時稽查,以防止非法進入系統存取資料。對各級單位資料作業人員,應持續考核,對不合於安全規定或有顧慮人員,應調整或調離其職務。

(三)綿密網路管理:

電腦網路應使用合法軟體,以免涉及智慧財產權或造成電腦中毒,單位網站所登載之資料亦應注意其合法性及適宜性,使用前宜經權責長官核可,避免造成無謂後遺,甚至觸犯法律。各單位如參與行政機關網路電子資料流通作業時,應注意與網路連線之線路必需與單位內部業務電腦化網路完全阻隔,以免遭非法侵入擷取資料。各單位資訊部門應定期列印電腦使用紀錄備查,並隨時檢視有無異常,如發現有非本單位或非有權人員,進入電腦檔案資料庫查詢、盜拷或竊取機密資料時,應即反映政風部門等處理。單位中如有透過撥接式傳輸線路與主機連線之電話號碼,亦應嚴予保密。

伍、在加強電腦安全教育與檢查部分

一、為防範影響電腦安全及資訊洩密情事發生,及加強員工對資訊保密的認知,各單位應適時舉辦有關資訊保密講習與訓練,教育員工。

二、適時邀請電腦專業人士就資訊作業實務方面加強保密宣導,另政風部門亦應就政風法令、洩密案例等加強宣教,以提高員工保密警覺,確保資訊機密安全。

三、各單位政風及資訊部門,應定期舉行保密安全檢查、電腦設備安全暨資訊機密維護檢查,及召開相關會議,以發掘缺失,檢討改進。

陸在運用相關法令查處部分

單位中若發生涉及違反電腦設備安全及資訊保密案件時,得參酌下列有關法規查處及研擬改進措施:

一、「電腦處理個人資料保護法」相關罰責:

第三十三條:意圖營利違反限制命令,致生損害於他人者,處二年以下有期徒刑、拘役或科新臺幣四萬元以下罰金。第三十四條:意圖為自己或第三人不法利益,或損害他人之利益,而對於個人資料檔為非法輸出、干擾、變更、刪除或以其他非法方法妨害個人資料檔之正確,致生損害於他人者,處三年以下有期徒刑、拘役或科新臺幣五萬元以下罰金。第三十五條規定:公務員假借職務上之權力、機會或方法,犯前二條之罪者,加重其刑二分之一。

二、「電腦處理個人資料保護法施行細則」第三十四條規定:公務機關保有個人資料檔案者,應訂定電腦處理個人資料安全維護法令,及內容應包括資料安全、資料稽核、設備管理及其他安全維護事項。

三、「行政院所屬機關電腦設備安全暨資訊機密維護準則」第二十七條規定:各機關及人員••••違反本準則規定者,依情節予以適當處分,其涉及刑責者,移送該管檢察機關偵辦。

四、「行政機關電子資料流通實施要點」規定:凡涉及安全維護及智慧財產權保護等有關事項,應依相關法令規定辦理。

五、各單位內部自行訂定的準則及其他相關法令。

柒、結語

使用電腦已是人類邁向二十一世紀不可或缺的技能與工具,它猶如一柄無堅不摧的利刃,吾人運用得宜,則可揮灑暢快、事半功倍;若持用不當或輕率疏忽,則可能反噬自己。身為國家公務人員,在運用電腦資訊,方便行事,為民服務的同時,亦應考慮到資訊安全與公務機密維護更是公務員應有的責任與素養,吾人應時時惕勵檢討,要有正確使用電腦的觀念及管理辦法,使電腦皆能按照正常規範來使用,才能達到維護電腦資訊機密及安全的目的。