电子资料保护吴启文100年6月7日.ppt

電子資料保護 第1單元電子資料基本概念 單元學習目標 瞭解電子資料保護的資安定位 電子資料保護在整體資安防護中的角色與功能 電子資料保護與個資保護的關係 熟悉電子資料保護相關法規 學習電子資料分類分級的方法 電子資料定義 電子資料分類 電子資料分級 電子資料保護與資訊安全 電子資料是資訊安全防護的重要標的 對電子資料的直接保護是防禦縱深的最後一道防線 電子資料保護與個資保護之關係 個資外洩的案例 各地縣市政府衛生局公務員洩漏產婦與新生兒資料 衛生署疾病管制局網站九百五十三位名列出境管制名單的結核病人資料外洩 電子資料保護與個人資料保護法的關係 電子資料保護是個人資料保護的措施之一 電子資料定義 以電磁方式或數位型態以表現其文字、聲音、影像及圖片等傳遞訊息表示意義者之資料 依其存在的形式可分為 電子檔案資料形式 資料庫資料形式 電子檔案 指電腦可處理之文字或非文字資料，且符合檔案法與相關法令規定等 電子檔案特性 電子檔案在電腦系統中以檔案的形式存在，易於透過操作指令(如：複製與刪除) 進行存取 電子檔案的操作與處理可透過相對的應用程式或套裝軟體進行，是目前電子資料存在的主要形式 對公務機關而言，重要或機敏資料大多以Office文件格式或txt檔格式作業較多 資料庫資料 資料庫資料是一種以特殊形式存在的電子資料，必須透過資料庫的存取介面才能對資料庫進行存取 資料庫中的資料往往會透過外部的應用系統進行存取 例如：目前有相當多系統是透過網站形式提供應用服務 資料庫資料的存取其技術門檻較高，管理者易疏於注意其安全防護 電子資料分類 分類的主要作用在於依資料的性質決定對資料防護的重點著重在機密性、完整性或可用性 機密性：對於資料的保護，重點在於防範資料的內容被非授權者所知悉。對於絕大多數的電子資料而言，機密性往往是防護的重點 完整性：對於資料的保護，重點在於防範資料被竄改，以免因資料不正確而遭受損失 可用性：對於資料的保護，重點在於防範資料無法存取使用，避免因此而遭受損失。例如：機關的公告文件可能會透過網頁的形式公布，因此要確保電子檔案能被正常存取 電子資料分級 電子資料的分級，可讓使用者依資料的機密性加以劃分，並依此等級採用相對應之作業方式與保護措施 一般：屬於一般性質之電子資料，不具備機密性 敏感：資料內容的外洩會造成一定程度的影響或損害。屬於隱私內容或是不宜對外公開的資料皆屬於此一等級 公務機密：屬於公務上之機密資訊，此一等級之機密資料，如外洩易造成較大之危害，必須透過更嚴密的安全控制措施保護資料的安全 國家機密：屬於國家重大機密，如外洩可能會導致國家與社會遭受重大損害。國家機密資料之管制應依循國家機密保護法辦理 文書處理手冊中的文書分級 機密文書分為 國家機密文書 一般公務機密文書 國家機密文書區分為 「絕對機密」、「極機密」及「機密」 一般公務機密文書 列為「密」等級 如因機關業務特性，機密文書須採電子方式處理者，應使用經專責機關鑑定相符機密等級必威体育官网网址機制，並依相關規定辦理 電子資料的安全威脅 電子資料外洩 應受保護之電子資料內容遭洩漏予非授權人員，資料機密性受破壞 電子資料竄改 電子資料之內容遭修改，導致內容為不正確或錯誤，資料完整性受破壞 電子資料毀損 電子資料內容遭刪除或破壞，導致內容無法存取，資料可用性受破壞 造成電子資料安全的威脅 機密電子檔案以電子郵件傳送遭攔截而洩密 電腦安裝不當軟體，將機密電子檔案主動分享出去 感染電腦病毒，硬碟內重要電子檔案遭電腦病毒刪除 人員離開座位，電腦遭他人竊用而盜走機密電子檔案 資料庫資料遭駭客透過網頁應用系統侵入盜取與竄改 電子資料保護的方式 避免 透過安全控制措施，阻止相關威脅的發生 例如：將電子檔案進行實體隔離，阻絕來自網路的安全威脅 偵測 無法避免相關威脅的發生，但透過安全控制措施的偵測，可以在威脅發生時發現，進一步採取對應的處理程序 具有嚇阻與事後補救的作用 例如：啟動資料庫稽核機制，記錄存取行為 電子資料保護的措施 直接防護 對電子檔案或資料庫資料加密，限制存取 對電子檔案或資料庫資料進行備份 間接防護 通訊加密：電子郵件傳遞過程中加密，保護附件電子檔案 加強網站應用程式：避免電子檔案或資料庫資料從網站系統中擷取、竄改或刪除 第2單元電子資料生命週期 單元學習目標 瞭解電子資料生命週期的概念 電子資料生命週期架構 電子資料生命週期中的各項操作 認識電子資料保護相關的11類控制措施 電子資料生命週期(1/2) 電子資料生命週期(2/2) 資訊安全政策 電子資料的各項作業與防護措施需依照資訊安全政策中的規範進行 技術性控制措施 存取控制 識別與鑑別 系統與連線 稽核 蒐集階段安全防護 儲存階段安全防護 處理階段安全防護 傳送階段安全防護 流通階段安