機密維護常識彙編（ 99年 10月份）

✻ 利用電話進行滲透案例

一、案情概述： 曾在美國國家安全局擔任安全顧問的伊拉在其所出版的「大盜入侵」一書中，詳實地紀錄他如何入侵企業，並且以電話滲透某知名金融機構，成功獲取到敏感資料的經驗，伊拉真實的案例是這樣的： 伊拉的工作，主要就在於各大企業進行安全滲透測試。首先他選定了一家大型金融機構，藉由網路查詢到該金融機構的相關資訊，並透過電話簿查到該金融機構在當地的辦事處，而伊拉就在當地的辦事處順手取得該金融機構的年報及總公司內部部門的電話。 伊拉接著從年報中，找到該金融機構中許多主管與員工的姓名，然後再由網路搜尋功能查到這些人員的歷史新聞資料。從中選定一位主管，並且冒充該金融機構公關部門的人，打電話給這名主管的秘書，以欲在公司的刊物上報導這名主管的優異表現為由， 和秘書小姐閒聊了起來。慢慢地秘書小姐也失去了戒心，在沒有防備的情況下，她告訴了伊拉這名主管的一些私人資料，包括家中成員及興趣嗜好等等。 緊接著伊拉又偽裝成該名主管，打電話給各部門秘書，要求他們寄一份員工電話簿給下游承包商（也就是伊拉），沒有多久，伊拉就收到一本本嶄新的電話簿，而裡面包含了所有員工的姓名，以及聯絡電話。 伊拉到此可說已經滲透成功了，但他還不死心，他想進一步了解該金融機構還有沒有哪些漏洞，於是他決定進入該單位的電腦系統裡，但先決條件是要獲得網路帳號的使用者識別碼與密碼。 伊拉選定新進人員做為下手的目標，他認為新進人員最沒有戒心，而且剛進公司對公司環境和其他人員也不大熟悉。伊拉打電話到新進人員管理部門，偽稱是某高階主管的助理，因為主管要親自歡迎新進人員，需要新進人員名單，恰巧該部門負責人不在，而接電話的又是新進的辦事員，新辦事員二話不說就答應了，半小時後就把新進人員名單 mail到伊拉的電子信箱裡。 接下來，伊拉一個一個打電話給這些新進員工，告訴他要實施有關電腦安全方面的訓練，但需要員工的電腦型式、系統名稱，以及使用者的識別碼與密碼，而在套取密碼的過程中，伊拉會先問些基本問題，然後再告訴他們一些簡單的安全規則，就這樣伊拉輕而易舉地突破了該金融機構的安全防護系統，順利地侵入該單位。

二、經驗教訓

（一）、這個案例告訴我們，不管在任何的情況下，都應該嚴守秘密。事實上，「保　守業務機密」不只對國家政府是重要的，對一般的企業機構更是重要；從案例中可以看的出來，新進人員因為對單位不熟悉，再加上缺乏警覺性，結果伊拉只經由電話就套取出個人的識別碼與密碼，而讓伊拉輕易地滲入公司電腦系統裡，還好伊拉只為測試工作需要，如果他是一名間諜，該金融機構將可能造成嚴重的傷害。

（二）、其次，伊拉只藉由電話便一層層地入侵金融機構內部，不但獲得員工的電話簿，還得知高階主管的一些私人資料，以及新進人員的識別碼與密碼。由此可見，電話滲透是無孔不入的，它不需要浪費太多的人力，也不需要大筆的金錢，只要有一張嘴巴，就可能造成對國家政府或是企業機構的危害，這也難怪簡訊、電話詐騙案層出不窮，即使政府、警政機關一再宣傳，還是無法有效遏阻，詐騙案仍是一而再、再而三地發生。

上述的案例，我們應引以為借鏡，除在個人工作崗位上戮力以赴外，在接獲陌生電話，或是與他人閒聊時，都應隨時養成保密的習性，並謹守個人本分，否則一旦業務上應保守的機密或是個人資料外洩，影響的不只是個人本身而已，更可能造成機關莫大的傷害。須知「謹言慎行莫大意，快意多嘴禍害多」，同仁應該謹慎小心才是！ （本文摘錄自清流月刊）

✻公務資料外洩案例

案情摘要：

某政府機關主管 ○○○習慣將經手公文之電子檔拷貝存備用，並經常以隨身碟再將其拷貝至家中電腦硬碟儲存運用，其家用電腦遭駭客植入後門程式而不自知，以致長期大量經手之機密文書陸續外洩。 處理經過：

本案 ○○○私下將機密文書攜離辦公處所，致長期大量經手之機密文書陸續外洩，經調查單位查獲且依法偵辦，影響機關形象。 檢討分析：

由本案例我們可知公務人員處理公文案件若疏於注意，違反保密規定，往往造機關或個人損害，依電腦處理個人資料保護法第 17條規定：「公務機關保有個人資料檔案者，應指定專人依相關法令辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」，另外依刑法第 132條：「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者，處 3年以下有期徒刑、拘役或 3百元以下罰金。因過失犯前項之罪者，處 1年以下有期徒刑、拘役或 3百元以下罰金。非公務員因職務或業務知悉或持有第 1項之文書、圖畫、消息或物品，而洩漏或交付之者，處 1年以下有期徒刑、拘役或 3百元以下罰金。」因此，雖然政府機關對資訊安全重視。然而，公務員將公事攜回家中處理之情形仍十分常見，但家中個人電腦防護力較低，容易遭駭客入侵致公務資料外洩，不但涉及行政責任，更須負刑事責任，因此為保護公務資料之安全，平時應該更加謹慎注意。

✻公務機關洩漏個人資料案例

案情摘要：

某公司陳 ○○曾從事護理工作，瞭解嬰兒奶粉、彌月蛋糕、油飯等廠商亟需產婦及新生兒個人資料作為寄送型錄及試用品之用，乃藉由過去從事護理工作之人脈，認識縣市衛生局負責或能接觸產婦及新生兒個人資料之公務員，以公司業務需要為由，希望該衛生局公務員，以越權查詢出生通報系統等方法提供產婦及新生兒個人資料，再由其公司員工將資料上所列產婦及新生兒等個人資料輸入電腦建檔處理。並將資料販售給食品公司等家廠商。 處理經過： 　　本案公務機關相關承辦人員欠缺保密觀念，致其成為陳 ○○取得產婦及新生兒個人資料之捷徑，不但該公司侵害各產婦及新生兒之隱私權而觸法；且前述公務員亦因洩密以致違法失職。 檢討分析： 　　由本案例我們可知應加強公務人員法令觀念，並非只有公文上標明「機密」或「密」等級之文書需依法保密，其他因職務或身分機會而持有或知悉，但未清楚記載機密文字訊息之資料，也需遵守保密規定；依刑法第 132條：「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者，處 3年以下有期徒刑、拘役或 3百元以下罰金。因過失犯前項之罪者，處 1年以下有期徒刑、拘役或 3百元以下罰金。非公務員因職務或業務知悉或持有第 1項之文書、圖畫、消息或物品，而洩漏或交付之者，處 1年以下有期徒刑、拘役或 3百元以下罰金。」因此，除加強宣導法令觀念，更要建立資訊系統線上監控及核對機制，以防止有心人士擅用相關資料。

✻ 影印機複印機密資料　自動儲存易被竊取

目前市售的影印機都具有記憶功能，尤其是中高等級的還配備有大容量硬碟，但只要透過很簡單的程序，經過影印掃描的機密資料或者個人證件，就能夠一覽無遺、並且重新複印，讓它在無形中成為最大洩密者。

所有經過影印機掃描的圖像和文字，都會被儲存在影印機裡，而且透過很簡單的程序，就可以調出這些資料。影印機維修員吳先生也表示，掃描進去的原稿檔案都在這內部儲存空間裡面，可以隨時調閱，可以隨時複印，現在的數位影印機大概可以存 50頁。

目前所有的影印機，都附有記憶功能，只要在複印文件前，要先對文件進行掃描，然後儲存到硬碟空間裡，就具有一次掃描，多次複印的功能。雖然這項內部記憶功能，可以由操作者決定儲存，或者不儲存，但大部分人對於這個功能表示，「我對這個不怎麼了解」。

一般人既不懂、也不會注意到影印機的記憶功能，因此，同仁或民眾如果要去店家影印時，如果資料或者證件特別須要保密，最好去信任的店家，以免所有資料都一覽無遺。