機密維護常識彙編(9804)
機密維護常識彙編( 98年4月份)
✻USB 隨身碟 小心機密外洩
根據蘋果日報報導,簡姓中尉於 5月以抽取式硬碟 (俗稱的隨身碟 )將公務資料從營區複製後帶回家處理,但因個人電腦遭中國駭客植入木馬程式感染,導致包括國軍年度重要演訓的漢光 23號資料、飛行前任務提示等約 10多種機密文件,甚至連機密等級相當高的 C-130HE電戰機資料外洩。 空軍司令部表示,經初步鑑定比對案內目標資料,發現外洩多為一般性訓練任務簡報資料,並非主要執行計畫,對全軍性各項作戰、演訓任務並無重大危害,也無涉機密等級與機密屬性,空軍已責由屏東空軍基地第 439聯隊成立緊急應變小組,逐一清查單位內所有公務電腦,以避免遭感染植入惡意程式。
空軍已對簡員依資訊作業管理懲處標準規定核予記過一次處分,並將該事件做為違規案例宣導,重申嚴禁公務家辦,以確保整體資訊安全。
由研究機構 Forrester Research提出的 ata Loss Prevention and Endpoint Security: Survey Findings」報告中指出,過去兩年,有 52%的機密資料外洩事件與隨身碟一類的 USB儲存裝置有關,高居所有機密資料外洩原因當中的第一名。而賽門鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因。
隨身碟的結構: 因隨身碟採用 Flash記憶體作為儲存媒體,故隨身碟輕、薄、短、小且耐震(相對於傳統的硬式磁碟),但因 Flash記憶體是由半導體所構成,且需靠電源驅動,如果電壓不穩定或是突然電源中斷,可能造成儲存資料錯亂甚至記憶體損毀,最常見的情況就是未先停止該裝置就直接拔離電腦;正確作法是先以滑鼠左鍵點選桌面右下方隨插即用裝置圖示「安全地移除 USB Mass Storage Device」,等到出現「可以放心移除硬體」的訊息出現時,再將隨身碟拔離電腦。 資料保全: 參加各式會議時,常看到 聽眾拿著隨身碟請講師複製會議相關檔案。但在講師複製的同時,您的檔案是否也被複製到他的硬碟,是否可能造成機敏資料外洩? 隨身碟體積:
隨身碟具有輕、薄、短、小的優點,但這項優點也可能變成缺點,隨身碟體積小容易遺落,並同時造成資料遺失與外洩。 因此,使用隨身碟應謹記下列原則:
● 先執行「安全地移除 USB Mass Storage Device 」。
● 再拔除裝置。 ● 不儲存機敏性資料,如必須儲存應加密,並於使用後將資料立即刪除。
● 妥善保管避免遺失。 個人使用隨身碟除了要注意上述事項外,在辦公室裡更要提防個人電腦或伺服器裡的機敏資料被有心人士利用隨身碟輕易盜拷;所以,平常除需養成螢幕淨空與機敏資料加密等習慣外,若電腦使用 USB 的機會極少,可考慮封鎖電腦 USB 傳輸資料功能,以策安全。
✻ 洩密與圖利
一、案例事實:范○標自就任湖×鄉長後,即指派吳○政擔任建設課課長,二人與范○標之親信范○金,共同基於對湖○○公所經辦工程索取回扣之概括犯意聯絡,明知「湖○○公所營繕工程及購置定製變賣財物內部審核程序」規定,一百五十萬元以下,二十萬元以上之營繕工程,係以公開比價或簽報首長核定通知三家以上殷實廠商於廠商所在地郵寄投遞並公開比價,受通知之廠商只能領取一張空白標單進行投標,而范○標為鄉長,對於該工程之發包為其監督之事務,而吳○政為承辦人,對於主管之事務,明知工程底價應依法保守秘密,卻違背職務將鄉長范○標告知所核定之工程底價,於八十六年六月十日上午,洩漏消息予該等包商,由該等包商取得每一項工程三張空白標單後,經由其他二家陪標廠商之同意填寫後,以通信投標方式完成投標形式,違背上述公開比價及不得洩漏底價之職務規定。承辦人吳○政並於比價日向上開不合規定得標之羅○洲、羅○河、羅○鈿再次期約收取工程款二成回扣,其中羅○洲乃以范○金於八十六年五月十三日預借之一百五十萬元抵扣,並以此方式,將范○標、吳○政違背職務行為之賄賂交付予范○金。范○標、范○金及吳○政所為,觸犯貪污治罪條例第四條第一項第三款經辦公用工程收取回扣罪及刑法第一百三十二條第一項洩漏國防以外應秘密之消息罪。
二、案情研析:范○標、范○金及吳○政所為所犯經辦公用工程收取回扣罪,係同條例第四條第一項第五款對於違背職務之行為收受賄賂罪之特別規定,依特別法優於普通法之法條競合原則,僅論以經辦公用工程收取回扣罪;而就經辦公用工程收取回扣及洩密行為,有犯意連絡與行為分擔,范○金雖非從事公務之人員,但與依據法令從事公務之人員范○標、吳○政共同犯罪,依同條例第三條及刑法第三十一條第一項規定,仍應論以共同正犯;范○標、范○金及吳○政共同內定廠商、洩漏底價使廠商得標之圖利行為,復就相同之圖利行為收取回扣,圖利行為應為收取回扣行為所吸收,不另論罪。再被告共同向羅○洲、羅○河及羅○鈿同時期約並分別收取回扣,乃至分別洩漏國防以外應秘密之底價消息,係利用同一次發包工程之機會,所侵害者為國家公務執行之公正,被侵害之法益仍屬一個,袛成立單純一罪;又被告犯上開經辦公用工程收取回扣罪及洩漏國防以外應秘密之消息罪,有方法結果之牽連關係,應從一重之前罪處斷。
三、結 論:保密是用以防制非法定人員獲得或知悉我機密文書資料,所採取推敬啟的預防措施,其目的在維護國家機密,以增進國家的安全與利益,俾有利政令之推行。本案是藉洩密以獲取不法利益,涉及違背職務收賄、利用職權圖利他人等瀆職行為,適用「貪污治罪條例」從重論處,可為殷鑑。故每一個公務人員應嚴密保守而不得洩漏或交付之責任與義務,須以臨深履淵之心情,時時防範之嚴謹作風,始保無洩密之虞。否則,即使過失,亦要受到法律之制裁,切莫掉以輕心。
✻ 網際網路安全之管制方法
◎增列法規條文,遏止資料外洩:
目前國內相關資訊法規罰則不足,對公然於網際網路披露機密資料人員難以有效制止,宜立法修訂「資訊通信管理與處罰」刑責,以強化防處效能,降低洩密危害。 ◎ 加強文書作業管制,持 ?琣 w全稽核:
現行文書管理資訊保密作為均已訂定安全防護措施,惟部分承辦人員疏失,致資料外洩,唯有勤檢勤查,方可切斷洩密管通。 ◎ 加強教育及訓練,配合通資輔檢:
由通資部門每隔一段固定時間對員工進行教育與訓練,並特別著重單位資訊的安全目標,另由安全部門配合通資部門採定期與不定期方式對各單位實施安全輔檢,根絕人為疏失發生。 ◎ 執行資訊安全,做好管制作為:
雖明定各單位電腦開機密碼、螢幕保護程式密碼及撥接網路密碼等每季至少更新乙次,而此一工作因執行人員未落實,或因為操作者為了節省時間,而共用密碼及選擇簡單的密碼,致很容易遭不法破解用來取得機密資料。並有部分使用者對密碼的態度不拘謹慎,只要他人稍微運用一點手腕便可讓他們吐露出來。
◎ 增添防護設施,適時更新病毒資料:
訓練同仁了解何時及如何下載最新的防毒更新資料,如何辨認電腦是否可能中毒,並教導同仁如何在開啟檔案之前先掃描檔案是否有病毒,並適時修補軟體的漏洞,降低病毒透過網頁或電子郵件滲入單位網路的機會。 ◎ 防範駭客入侵及機密資料外洩,確保資訊安全:
電腦主機應取消資源分享,提高瀏覽器( IE)安全性設定,開設 Cookie提示,並不下載不明程式及附加檔案,以防止木馬程式,上網時應小心惡意之網站設有視窗炸彈及關閉不必要之服務,不使用之設備電源應予以關閉,主機內並不得存有分類保密資料。(本文摘自於清流月刊)
✻ 竄改電腦報稅資料,稅官盜領退稅款遭法辦
壹、案情摘要
某甲係稅務機關書記,負責民眾綜合所得稅處理業務。 96年 9月間渠所屬機關,針對綜合所得稅國庫支票未兌領暨未送達清冊進行清查,發現有 5張未兌領退稅支票所載禁止背書轉讓受款人姓名與原始申報書所載納稅義務人姓名不符,經進一步查核結果,查獲某甲涉嫌自 94年起利用綜合所得稅服務區職務機會,進入電腦系統竄改民眾綜合所得稅資料,詐領退稅款總計 40筆,金額達 3,232,167元。全案經移送司法單位偵辦。
貳、案情研析
一、本案犯罪模式,主要係藉由財政部財稅資料中心,為避免系統程式誤判納稅義務人姓名及便於納稅義務人申請扶養親屬更換之需要,開放綜合所得稅核定檔變更權限予承辦人之作業,並利用系統程式核定檔欄項(除納稅義務人身分證字號外)可任意更改及未設計系統異常通報機制之漏洞,將已核定退稅並由納稅義務人兌領之資料,擅入系統進行第二次納稅組不定期實施稽核,以機動性不預警方式,杜絕承辦人僥倖心理。
二、強化資訊系統偵錯功能:例如本案可建置系統更改核定檔納稅義務人姓名與內政部戶政系統連線偵錯功能,透過資料管理系統相互自動勾稽,減少人為疏失與錯誤。
三、落實內部分工作業:例如本案可針對審查更正作業與保管退稅支票業務,採分工方式辦理,避免由同一人員承辦,防範承辦人員犯罪意圖。
四、建立系統資料使用紀錄分析:例如本案可定期產出核定檔案異動退稅紀錄,由專人統計分析系統操作、退稅金額等異常資料,主動發掘弊端。
五、辦理系統操作人員平時考核:藉由前述各項安全操作機制,瞭解承辦人員作業能力與工作精神,確實辦理平時考核作業,淘汰或職期輪調方式,維護作業系統正常運作。
六、辦理業務講習訓練:針對主管、新進及在職人員,依據不同對象施以不同講習訓練,務從單位主管至基層人員,均能熟稔系統操作;另主管亦須瞭解各項防弊機制及承辦人員操作現況,以機先發覺可能錯誤,確保系統安全。
七、定期實施系統安全操作評估:機關各項業務資訊管理系統,應由專人定期就系統操作進行安全性評估,特別是防弊措施執行現況亦應一併列入評估範圍,適時提出修正意見,以維護公務資料安全,防範弊端發生。
參、策進作為
鑑於部分掌管大批民眾資料之機關 (例如掌理戶籍資料之戶政機關、掌理車籍資料之監理機關等 )亦可能發生類似弊端,另少數單位主管人員因不諳電腦操作,而私下將系統權限授予機要或基層人員處理,極易衍生不法情事,謹針對前揭資訊保密與使用安全維護事項,提供相關策進作為如下:
一、加強系統操作稽核作業:由主管依規定比率抽核系統操作,並組 成小組不定期實施稽核,以機動性不預警方式,杜絕承辦人僥倖心理。
二、強化資訊系統偵錯功能:例如本案可建置系統更改核定檔納稅義務人姓名與內政部戶政系統連線偵錯功能,透過資料管理系統相互自動勾稽,減少人為疏失與錯誤。
三、落實內部分工作業:例如本案可針對審查更正作業與保管退稅支票業務,採分工方式辦理,避免由同一人員承辦,防範承辦人員犯罪意圖。
四、建立系統資料使用紀錄分析:例如本案可定期產出核定檔案異動退稅紀錄,由專人統計分析系統操作、退稅金額等異常資料,主動發掘弊端。
五、辦理系統操作人員平時考核:藉由前述各項安全操作機制,瞭解承辦人員作業能力與工作精神,確實辦理平時考核作業,淘汰或職期輪調方式,維護作業系統正常運作。
六、辦理業務講習訓練:針對主管、新進及在職人員,依據不同對象施以不同講習訓練,務從單位主管至基層人員,均能熟稔系統操作;另主管亦須瞭解各項防弊機制及承辦人員操作現況,以機先發覺可能錯誤,確保系統安全。
七、定期實施系統安全操作評估:機關各項業務資訊管理系統,應由專人定期就系統操作進行安全性評估,特別是防弊措施執行現況亦應一併列入評估範圍,適時提出修正意見,以維護公務資料安全,防範弊端發生。
肆、結語
公務員依法處理民眾個人資料檔案,理應做好各項安全維護措施,並防範個人資料遭竊取、毀損、滅失或洩漏等情事,更不得為一己之私,竄改民眾個人資料盜領退稅款,非但使政府形象受損,亦影響個人前程。本案公務員利慾薰心違反規定,終因事跡敗露而遭移送法辦,足堪各界引以為鑑。
(資料來源:法務部政風司)
