一、前言:
近來政府機關電腦發生疑似「網軍」入侵,意圖竊取公 務資料情事,可能危及國家安全與造成資訊機密資料外洩,因 此,為確保資訊使用及資訊機密安全,做好機關內網路安全控管已成為首要之務。由於網際網路的發達,帶動電子化政府及電子 商務之發展,使得政府、企業、社會及個人依賴電腦及網路系統的程度也更為加深;致資訊網路安全問題也陸續受到重視,不重視其危害的結果,在商業社會,可能造成企業過億計的損失及公眾形象的破壞,在政府機關,除可能造成民眾權益損失,甚至將影響國家整體安全,所以,我們除了要體認資訊安全不完善,可能對個人及經濟造成危害之外,也要體認其對公共安全及國家安全,可能造成的威脅,尤其,在現代「資訊戰」的戰略下,電腦及網路系統有可能成為敵國或潛在敵人的攻擊對象,故應建立「資訊安全即國家安全」的觀念。
二、電腦資訊使用應有之基本認知:
為落實資訊使用及控管,防範資訊機密外洩,影響機關業務運作及造成困擾,下列幾點資訊安全維護措施,提供同仁參考:
(一)資料輸入時:重要性或保密資料輸入儲存時,為防範資料外洩,可使用代碼、代號方式儲存。如委由他人繕打應把重要的資料挑出自行繕打,以防止資料外洩。這都是資料輸入時要考慮的,在輸入時不要把每一項目資料都告知輸入人員,以提高安全 性。
(二)資料核校時:資料核校檢查若為同一人則容易發生弊端,所以核校時最好交叉換人核校,這樣可以從核校檢查中,發現是否有人為故意修篡或蓄意破壞,以防止個人資料錯誤引用,而影響當事人之應有權益。
(三)資料運用時:電腦資料供人運用時,應為確實工作需要,且須符合法令之授權,若提供給不適當的人易造成洩密。所以使用電腦資料時,權限一定要嚴格控管,如讀取的權限、輸入的權限或刪改的權限等。
(四)資料輸出時:因機密資料顯示於螢幕上,如須列印應嚴格管制,最好設定存取權限,並事前報備核准後列印及登錄紀錄簿備查,另應於資料右上角註明是否為機密資料,用完應繳回或銷毀。
(五)資料傳輸時:傳輸包括線上傳輸、磁帶傳輸、磁片傳輸。一般而言單位內使用的磁片、磁帶嚴禁流到外面,以防資料外洩。
如確實需要傳輸時應設密碼加密或安裝防護軟體等技術,以求週全。
(六)資訊安全之防制措施:
1.備份資料之保存與管理:首先資料要做備份,異地存放,並有專人管理。
2.磁片儲存之使用管理與報廢:磁片與磁帶應按規定作妥善之管理,並且皆有其使用期限,於報廢時應做消磁的動作,以免資料外洩。
3.電腦使用之安全管制措施:包括門禁管制、存取權限管制、日誌檔管理等應落實執行,雖然比較麻煩,但是確有其必要性。
4.電腦稽核制度之建立:當機關內部電腦化作業時,應建立稽核制度,嚴格要求各單位及人員對電腦的安全措施確實執行,並於稽核時發掘漏洞或缺失俾於檢討原因及時改善,強化資訊維護措施,所以,稽核不只針對電腦管理部門,也要針對電腦使用部門及人員。
(七)加強資訊系統偵測及補強,防範電腦病毒、惡意軟體及可攜式程式之破壞。
(八)不開啟來路不明之電子郵件、不隨意轉寄發電子郵件。
(九)隨時更新Windows及Office軟體安全修補程式、定期變更網路通行碼。
(十)機密資料儲存於資訊系統者,該資訊系統不得與外界連線,並應採「實體隔離」作業方式,以免機關網站不慎遭入侵時,造成機密資料外洩情事。(十一)發現軟體或系統功能異常、資料不完整(如遺失或錯誤)、資訊系統安全弱點或疑似資安事件,應即時通報相關單位處理。
三、結語:
俗云:「再好的技術也只能解決98%的網路安全問題,另外2%須靠健全的防護機制來解決」。目前政府機關過度依賴以技術解決網路安全問題,然而除致力於研發更新的電腦防護技術之外,應再配合健全的防護機制與建立員工網路安全概念,方能更 嚴密的防堵入侵者的破壞與竊密。資訊安全是預防重於治療,當資安事件發生後往往難以補救,惟其發生前總有一些徵候產生。其原因或許是事前之假設不正確,規畫不周延或設備及人員的職務調整變更,未發揮預期的作用,也可能受制於機關內部管理的制度、人員與經費,故應定期測試及演練,俾利及早發掘缺失、妥採補救之道,以確保資訊安全之實務作業。