1. 電腦應用與資訊漏洞一起成長 2. 網路的應用與其造成的影響 3. 何謂安全的資訊系統 4. 我們的責任 5. Q&A

1. 淺談網路，資安與社會責任
MJ TU
本次論壇所發表內容與言論純屬本人意見

2. 大綱
1.電腦的發展與現階段的挑戰
2.事情的來龍去脈
3.邁向未來

3. 電腦的發展與現階段的挑戰

4. 電腦與網路的發展
1987 : IBM PS/2 803861977 : Apple II 1984 : Apple Macintosh
獨立的個人電腦
2015 : 遠端教學，3D列印
通訊與社交（Skype，Facetime，LINE，Whatsapp，Wechat）
下一步？
1995 : Internet正式命名成立
> 美國奧克拉荷馬爆炸案
> 道瓊指數第一次超過5000點
> 鄧麗君逝世
1977 : 四人幫事件, 奧斯卡最佳影片獎：洛基
1984 : 洛杉磯奧運，甘地遇刺身亡，江南案
1987 : 美國股市導致全球股市風暴，
英法海底隧道開始興建，台灣解嚴。

5. 現階段電腦的應用與挑戰
A. 快速多媒體資料找尋

6. 現階段電腦的應用與挑戰
B. 電子交易

7. 現階段電腦的應用與挑戰
C. 社交與娛樂

8. 問題點
• 資料或需求被存取在虛擬世界裏
• 人為程式問題：錯誤或漏洞
• 人心詭詐
• 東西並沒丟而是被別人拷貝或篡改了

9. 資訊安全的演變
McAfee
趨勢科技PC-Cillin
Symantec諾頓
Kaspersky卡巴斯基
鴻海郭先生郵件密碼被盜
臉書承認600萬使用者資料被盜 全球最強駭客挺佔中
俄國駭客使用微軟弱點竊取各國機密
2015
• 26款市售手機韌體被偷放惡意程式
，小米、華為、聯想皆受害
• 駭客與股票銷售合作賺近千萬美金
• 美國社情交易網站資料洩漏，數名
教會牧者也上榜
• 擔心影響飛航安全，美國一航空公
司禁止一名資安研究員搭機
RSA 事件（預計損失美金4000萬）
SONY 事件（預計損失美金1億）

10. 事情的來龍去脈

11. RSA Security，美國資安公司，由發明RSA加解密演算法的三位電腦科學家於1982年成立，在資安業
界一直以網路及資料加解密享有盛名．
2011年發生資安業界有名的RSA被駭事件，該公司製作金鑰系統的密鑰從公司內部被竊，接下來的幾
個月，駭客利用盜取的密鑰侵入RSA客戶內部盜取重要資料或破壞內部系統．
被駭過程：
案例 ：RSA 攻擊事件
Poison Ivy malware
is initiated
Collect data over a
period of time
Split file, encrypt, ftp to
good.mincesur.com
RSA is in the
headlines
Opens to see 2012
Recruitment plan with .xls file
RAT program installed utilizing
Adobe Flash vulnerability
Finance person receives
a junk email
NMAP scan of network to
collect sensitive information

12. Excel File
Case I – RSA 攻擊事件 : 從一封以假亂真的email開始

13. Adobe Flash Vulnerability (CVE2011-0609)

14. 駭客的入侵行為分析
搜尋有價值物件
攻擊手法，漏洞研究
公司，機構
單位，政府駭客生態系統
侵入被駭對象
偷取有價值物
件
撤退

15. 駭客是誰？
• 匿名者
• 政府，國家
• 駭客組織
• 懂得用電腦找答案的好奇者
政府單位
駭客組織
匿名者

16. 邁向未來

17. 個人電腦的最新應用
• 大數據（Big Data）：收集巨量數位資料後分析及產出結
果。例如，選情分析，新產品分析，民意分析，天文分析
。
• 物聯網（IOT）：將迷你計算機或資料收集功能裝在產品
上的應用。例如使用者行為分析，貨運航線分配，汽車製
造業，醫技業。
• 電子支付（Electronic payment)：網路電子交易。例如
網路銀行或財富，投資管理。

18. 使用數位化科技與社會責任
• 個資存取的責任分類：仔細看個資存取保密細節。使用者永遠有
要不要用的決定權。
• 若是免費的服務，用戶須為自己填入的個資或po的文章負責任。
資料被盜用是雙方的責任。
• 教會機關應清楚訂定資訊保管方法以保護會友權利。

19. 內網
– 可擴充與富彈性的安全架構
APPS
IP
Data
Systems
強化
智能分析
有效阻擋
– 各硬，軟體商提供定期的漏洞
資訊與補強
– 分析與定期報告資安事件
發生與處理
外網
漏洞資訊
網路安全
應用程式安全
– 應用程式開發漏洞檢查
– 外包軟體漏洞檢查
資安服務顧問
– 資安事件發生後回應與處置
安全事件監控
全面的資安防護

20. 漏洞資訊
• 所有正牌的軟體或硬體商都會定時發表各自的
漏洞資訊。越早發佈越保障使用者安全。

21. 美金$3.8m
網頁與應用程式安全
80%
13%
網頁/應用程式被駭的平均損失
<10%
網頁/應用程式被駭的成功率 資安有問題的程式
佔的比例
資安經費用在網頁/應用程
式安全上的比例
86%
網頁/應用程式可以被自動
化的工具入侵
• 入口網頁需要二項輸入 : 1) 使用者密碼，2) 同意旅館上網使用條款。
• 使用者密碼必須是正確的 : 一般後台是用資料庫來儲存。
• 所符合的邏輯就是 : 使用者密碼 = 資料庫裡儲存的密碼 或是 邏輯上的“TRUE”
• “TRUE” 可以用 "1==1" 來代表。基本上輸入之後就告訴驗證程式這是"TRUE"!
每天省AU$49.9 = NT$1500元!
實例：旅館收費wi-fi

22. 網路安全
• 基本的防護
A. 防毒 (Anti-vitus)：偵測及移除被指入電腦裏的病毒或蠕蟲。
B. 防火牆 (Firewall)：擋住不明的網址或網段（資料庫需不斷地更新。）
• 有效的防護
C. 入侵防護系統（IPS）：直接以網路底層為介面來阻檔。強調在最快的時間
點阻擋最新式的攻擊
• 進階的防護
D. 應用層式防火牆（WAF）：阻擋
應用程式層的攻擊
E. APT分析與阻擋：分析進階持續性
攻擊與阻擋
Global Botnet

23. 安全事件監控
• SOC : 資安維運中心

24. 常見的資安服務
★資安設備建置與諮詢
• 根據客戶網路架構及用戶成長狀況，規劃適合的網路資安設備
• 對於客戶端實際特殊環境的安裝，客製化
• 定期保修與調教
★資安事件鑑定與處理
• 客戶端的設備被侵入時，對系統做全面性檢查，了解侵入者路徑，損失與建議補強方案
★資安稽核與漏洞檢視
• 按公定規範（例如ISO27001或ISMS)定期對客戶端進行稽核，了解針對法規需加強之處。
• 偵測客戶系統有無明顯資安漏洞。

25. THANK YOU!