KOK提款无忧
当前位置: KOK提款无忧 > 教育资讯 >

资讯安全资讯安全

时间:2020-03-10 21:11来源:未知 作者:admin 点击:
KOK提款无忧

当前网址:http://www.tcttz.com/jiaoyuzixun/2020/0310/561.html

  資訊管理 第十五章 資訊使用與倫理 學習目標 ? 1. 瞭解資訊使用的問題。 ? 2. 瞭解何謂知識鴻溝。 ? 3. 瞭解資訊超載與資訊憂慮。 ? 4. 瞭解網路教學的興起。 ? 5. 瞭解網路的健康議題。 學習目標 ? 6. 瞭解資訊倫理導向之決策制定架構為 何。 ? 7. 瞭解相關的資訊倫理議題。 ? 8. 瞭解資訊與資訊系統之威脅。 ? 9. 瞭解資訊安全之意涵與目標。 ? 10.瞭解何謂電腦病毒。 課前個案 ? 機密分級救公司 ? 小心!讓企業半年虧上億的殺手 問題討論 ? 問題討論: ? 1.上述的案例中,個案公司發生了何種資訊 安 全 錯誤? ? 2. 個案公司應該如何去防範? ? 3. 不同專家提出了哪些建議? ? 4. IBM是如何作資訊安全的防範工作? 第一節 資訊使用的問題 ? 人際關係的疏離 ? 雖然新的族群不斷的「集聚」、「移民」於網路上, 靠著電腦製造彼此的關係,但是我們仍不能忽略「非 語文傳播」(non--verbal communication,可分為肢 體語言、象徵語言、擬似語言三種)在傳播活動中所 佔的重要角色。所以,如何調和「虛擬世界」 (cyberspace)和「真實世界」(real world)中的 人際關係,應是在社會、文化等面向上應考慮的議題。 第一節 資訊使用的問題 ? 網路風暴席捲而來 ? 比爾.蓋茲(Bill Gates)曾預言,往後人類 將會利用電腦的虛擬實境技術,來滿足性的需 求。「虛擬性愛」的方式如果成真,有一天網 路上的「虛擬性愛」服務會不會和今天的A片 錄影帶及色情光碟一樣流行?這種種關不關乎 道德的爭議,可能會成為比科技研發更爭議的 問題。 第一節 ? 賭博的樂園 資訊使用的問題 ? 根據美國所羅門兄弟公司估計,美國人目前花 在賭博上的金額,大概佔可支配所得的0.8%。 因此近日美國拉斯維加斯的賭國大亨們已經紛 紛前往號稱免稅天堂的加勒比海國家,為什麼 呢?因為他們在此開闢境外網際網路賭場,專 供美國本土的民眾下賭。 第一節 資訊使用的問題 ? 新世代的貧富差距--知識鴻溝(knowledge gap) ? 1. 知識鴻溝產生的原因 ? (1).傳播技術的不同 ? (2)資訊儲存量的不同 ? (3)社會接觸的不同 ? (4)民眾對媒體報導選擇性暴露、選擇性接納及選擇性理解 運作的關係 (5)大眾傳播制度本身即是在為社會經濟地位較高者服務 第一節 資訊使用的問題 ? 資訊超載(information overload) ? 雖然資訊如此重要,但若未加以管理,就會形成資訊 過多或缺乏資訊的情形;過多的資訊超出了管理人員 的資訊負荷最適點,不但對決策沒有益處,反而會造 成干擾決策的現象,那就是「資訊超載」 (information overload)。因為人類從環境接受輸 入的容量是有限的,當人類所具有的內在過濾或選擇 程序無法處理增加的資訊時,就會發生資訊超載。 第一節 資訊使用的問題 ? 資訊焦慮(information phobia;information anxiety ) ? 藍斯?蕭(Lance Shaw)曾表示:「在我們這個對資 訊狂熱,而且充分飽和的社會,已經開始出現一種 病症;症狀是:一種偏執的迫使自己遍讀一切可讀 之物,當吸收的閱讀量超過消化所需的能量時,超 出的部份日積月累,最後因壓力與過度刺激轉化為 所謂的資訊焦慮症。」 第一節 ? ? ? ? ? ? ? ? 資訊使用的問題 因應之道 (1).掌握戰略層資訊 (2).吸收資訊要有架構 (3).消化資訊 (4).勿為瑣碎資訊所纏,看大趨勢 (5).資訊分工才能掌握資訊 (6).善用電腦作為工具 (7).訓練自己逆向思考 第一節 ? ? ? ? ? ? 資訊使用的問題 網路教學的興起 資訊社會下的教學環境形態約略可分為: (1).學習者由主動或被動的角色變成互動的角色。 (2).學習者可以控制學習環境或速度。 (3).現代教學媒體可以幫助老師擔任輔助者的角色。 (4). 老師及學習者應具備使用新型態傳播工具的基本能力與 素養。 ? (5). 進行遠距教學(隔空教學),可跨越時空限制、不拘場 所、不拘人數的進行教學;學習者可不受時間及地點限制進 行學習。 ? (6). 互動士的教學媒體。學習者直接和電腦產生互動,其特 色是立即性、回饋性、雙向性。 第一節 ? 健康議題 資訊使用的問題 ? 資訊系統在職場上的應用,引起了有關健康議 題(health issue)的討論。據報告稱繁重地 使用電腦將引發健康上的問題,如工作壓力、 手臂與頸部肌肉損傷、眼睛疲勞,甚至因電腦 的意外而導致死亡。 第一節 資訊使用的問題 ? 這些健康問題的解決方案,有些是以人體工學 (ergonomics)的基礎發展而成的。人體工學 又稱為人因工程(human factors engineering),如圖15-1所示,其目標是設 計出健康的工作環境,以讓人們更安全、舒適, 並愉悅地工作,以便增加員工士氣以及生產 力。 。 圖15-1 工作場所的人體要素 第二節 資訊倫理與規範 ? 資訊倫理的定義 ? 「資訊倫理」的定義為:決策者對於資訊相關之倫 理議題上的權利與義務,以及賦予決策者對此倫理 議題在決策或行動上之是非善惡判斷之基準。更具 體而言,資訊倫理涉及到一些關係人的受害或受益 的行動決策。因此從資訊產品的政策訂定、規畫、 設計、製造、銷售及使用等不同階段之決策人員, 在制定相關決策時,都會面臨不同的資訊倫理議題。 資訊倫理的定義 ? 資訊人員使用或製造資訊產品時,面臨相關之倫理議題 之權利與義務,以及賦予資訊人員對此等倫理議題在行 動上是非善惡判斷的基準. ? Mason (1986)定義 : Privacy(資訊隱私 權),Property(資訊產權),Accuracy(資訊錯誤責任歸 屬),Accessibility(資訊存取權) ? Anderson et al.(1993) : 智慧財產權,隱私權,機密 權,專業工作品質,公平與岐視,不可靠性的責任,軟體 風險,利益衝突與未授權存取 ? Huff & Martin(1995): 生活品質,權力的使用,風險與 可靠度,財產權,隱私權,公平與取用,誠實與詐欺 第二節 資訊倫理與規範 ? 資訊倫理導向之決策制定架構 ? 在描述決策制定的過程,許多不同的模式相繼被提出,雖然 每一個模式都描繪出一些主要的步驟來,然而大部份的模式 都包括下列步驟:(1)設定目標;(2)尋找可行方案;(3) 評估方案;(4)選擇方案;(5)決策實施;及(6)控制結 果等。為了將倫理思考導入此六個步驟,我們將這些步驟修 正為(1)倫理議題的界定;(2)倫理議題的分析;(3)倫 理理論的導入;(4)倫理導向之決策實施;及(5)決策的 回顧等五個階段(如圖 15-2所示)。 圖15-2 倫理導向之決策制定方法 圖15-2 倫理導向之決策制定方法(續) 第二節 資訊倫理與規範 ? 決策執行後,決策者對決策結果的態度為何?是否 可從決策的過程中學習?是否可再應用此決策方法 至類似情況?這些問題都是決策者必須思考的接下 來我們即針對每一個決策的階段來逐一說明。 ? 1. 資訊倫理議題的界定 ? 2.資訊倫理議題的分析 ? 第二節 資訊倫理與規範 ? 利害關係人的分析過程包括四個步驟 (Frederick et al. ? ? ? ? 1988):(1)找出利害關係人之間的關係(2)評估每一利害 關係人的利益與權力本質(3)建構利害關係人的道德責任矩 陣(4)找尋可行方案。 步驟一、找出利害關係人之間的關係 步驟二、評估每一利害關係人的利益與權力本質 步驟三、建構利害關係人的道德責任矩陣 步驟四、發展行動策略 圖15-3 四種角色間互動所產生的十六項倫理 表15-1 軟體建購與使用之利害關係人責任矩陣 第二節 資訊倫理與規範 ? 相關的資訊倫理議題 ? 1.財產權(property rights) ? 2.隱私權(privacy) ? 3機密(confidentiality) ? 4專業品質(professional quality) ? 5公平(fairness or discrimination) 第二節 資訊倫理與規範 ? 6責任(liability) ? 7軟體風險(software risks) ? 8利益衝突(conflicts of interest) ? 9軟體侵權 ? 10 智慧財產侵權 課間實例 1 ? 管理e-mail的亂源──自己! 第三節 資訊安全 ? 資訊與資訊系統之威脅 ? 整體而言,資訊與資訊系統面臨到的安全威脅,大致上可分 為非人為因素與人為因素,其中非人為因素包括水患、火災、 地震、土石流等無法抵擋之「天然災害」,例如: 2001年納 莉颱風造成淹水,以及之前在內湖所發生的「東科大火」, 許多機房主機因為淹水故障,或者火災而無法運作與造成相 當大的損失;此外,「基礎設備故障」也是屬於非人為因素, 主要是由軟體、硬體或通訊障礙造成,例如:硬碟壞軌導致 資料破壞或無法讀取。 第三節 資訊安全 ? 而蓄意威脅又包括: ? (1) 資料破壞:資訊系統、設備、軟體程式、資料等破壞之 威脅,例如:感染病毒竄改系統設定導致系統無法正常運作。 ? (2) 資料濫用:未經過授權不當使用資訊系統或系統資料, 例如:駭客入侵竊取重要機密文件資料。 ? (3) 違反隱私權:未經授權私自進行資料收集、使用或公開 散布之行為,例如:銀行資訊人員讀取用戶帳號資料。 第三節 資訊安全 ? 資訊安全之意涵與目標 ? 狹義而言,資訊安全是維護資訊儲存與使用的安全 性:廣義而言,資訊安全是從資訊產出、儲存、使 用、遞送、處理等相關活動中,有效避免資料破壞 或遭非法擷取。 ? 資訊安全之維護主要有三大基本目標: ? (1) 可用性(availability): ? (2) 機密性(confidentiality): ? (3)完整性(integrity): 第三節 資訊安全 ? 安全管理之架構 ? 安全管理(security management)的目標,就是所 有企業電子化程序與資源的正確性、完整性,以及 安全性等等。因此,有效的安全管理可將連結今日 企業電子化公司中,互相連結的電腦系統的錯誤、 混亂,以及遺失減到最低。如圖15-4所述,安全管 理是一項複雜的工作,安全管理者必須取得並整合 各式的安全工具與方法,以保護公司的企業電子化 與電子商務系統。 圖15-4 安全管理之架構 第三節 資訊安全 ? 加密 ? 資料的加密(encryption)已成為保護資料以及其 他電腦網路資源,特別是綱際網路、intranet,與 extranet的重要方法。密碼、訊息、檔案,以及其 他資料,都可以以編碼的方式付送,並只能由授權 的使用者解碼。加密是利用特殊的數覺演算汰、或 金鑰(key),來將數位的資料,在傳送之前,轉成 編碼過的代碼,並在接收後進行解碼。使用最廣泛 的加密方伕,則是使用因人而異的公開與私密金鑰 組。 第三節 資訊安全 ? 防火牆 ? 另一個Internet等網路控制與安全的重要方法,就 是利用防火牆(fire wall)電腦及軟體,網路防火 牆也可以是一種通訊處理器(一般是指路由器), 或是專門的伺服器,並搭配防火牆軟體。防火牆是 作為「守門員」(gatekeeper)的角色,可藉由 Internet的過濾器與安全轉換點,來保護公司的 intranet等電腦資源。 第三節 資訊安全 ? 阻斷服務 ? 正如幾個電子商務大廠的攻擊所說明的,網際網路 對於各種犯罪型駭客的防禦能力是很差的,特別是 阻斷服務( Denial of service, DOS) 攻擊。網際網 路上的阻斷服務攻擊是以三層的電腦系統來進行的: ? (l)受害者的綱站。 ? (2)受害者的網際網路服務供應商(ISP)。 ? (3)罪犯所控制的「替身」(zombie)電腦。 第三節 資訊安全 ? 安全代碼 ? 一般而言,多層式密碼(password)系統常被用於 安全管理之中。首先,使用者登入電腦系統時,必 須輸入他的唯一識別碼,或使用者ID。然後使用者 會被要求輸入密碼,以取得系統的存取權。(密碼 必須經常變更,並以大寫、小寫,以及數字等組合 而成。)接下來,若要存取某個單獨的檔案,還必 須輸入唯一的檔案名稱。 第三節 資訊安全 ? 備份檔案 ? 備份檔案是將資料或程式加以複製,則是另一種重 要的安全措施。檔案可以檔案保存(file retention)的方汰,將之前的檔案複製儲存起來。 如果現行的檔案損毀,則之前的檔案便可用來重建 目前的檔案。 第三節 資訊安全 ? 安全監視器 ? 網路的安全也可以特殊的系統安全監視器(system security monitors)來保護。系統安全監視器是一 種程式,可以監視電腦系統與網路的使用,並保護 它們免受未授權使用、詐欺,以及破壞。這些程式 能夠只讓授權的使用者存取網路,並提供所需的安 全手段。 第三節 資訊安全 ? 生物識別保全 ? 生物識別保全(biometric security)是一項發展 迅速的電腦安全領域。這種安全手段是利用電腦設 備來測量每個人獨特的生理特徵。其中包括了語音 辨識、指紋、掌紋、簽名、按鍵分析、視網膜掃瞄、 臉部特徵,以及般模式分析等等。 第三節 資訊安全 ? 容錯系統 ? 許多公司都使用具有備援處理器、週邊,以及軟體 的容錯(fault tolerant)電腦系統,該系統提供了 故障復原(fail-over)的能力,以備系統錯誤之需。 並提供了當主要軟硬體發生錯誤時,電腦系統仍能 繼續同等級運行的故障保護(fail-safe)能力。 第三節 資訊安全 ? 災難回復 ? 天然與人為的災害是無可避免的。颱風、地震、火 災、水災、犯罪與恐怖行動,還有人為過失等等, 都可對組織的電腦資源,或是組織本身,造成嚴重 的損害。許多公司,例如特別是線上電子零售商與 批發商、航空公司、銀行、網際網路服務提供商等 等,都會因為幾小時的電力中斷而造成癱瘓。 第三節 資訊安全 ? 電腦病毒 ? A.電腦病毒之定義與特性 ? 電腦病毒(computer virus)是一種破壞性程式或 軟體,為一種可直接或間接執行的檔案,透過執行 動作以破壞及感染系統。電腦病毒可能感染的部分 包括:磁碟的敵動磁區、隨機存取記憶體、硬碟分 割磁區、磁碟的檔案配置表、可執行檔、系統檔或 文件資料檔等。 第三節 資訊安全 ? B.電腦病毒之種類 ? 美國電腦病毒防治協會主要將電腦病毒分成四類: ? 1啟動磁區感染者(boot sector infector) ? 2作業系統感染者(system infector) ? 3程式檔感染者(program infector) ? 4混合型感染者(mixed infector) 第三節 資訊安全 ? C.電腦病毒之防治 ? 常見的電腦病毒防範措施包括: ? 1新購置之電腦系統、硬碟、軟體程式等先進行病毒偵測再行 ? ? ? ? 使用。 2建立系統、磁碟備份之習慣,可做為系統復原之用。 3不使用非法或破解軟體,支持原版軟體。 4多人共用電腦之環境應建立登記制度,可追蹤使用者記錄。 5電腦系統中之資料與程式盡可能分區存放,以降低資料毀損 之風險。 第三節 資訊安全 6建立電腦系統保護機制,禁止來路不明之來源(人、 程式等)進入系統。 7進行檔案複製前,最好先用掃毒程式檢查磁片是否有 病毒存在。 8不隨便打開來路不明的電子郵件附加檔案。 9不隨便在網路環境下載檔案。 10 安裝完整之防毒軟體,並定期維護與檢測電腦系統 之安全。 課間實例 2: ? BSI認證 ? 60家大企業捍衛資安的祕密武器 個案研究 ? 駭客瞄準個人電腦 ? 你的機密被偷了嗎? 問題討論 ? 1. 從上述的案例中,有哪一些是影響資訊安全 不當作法? ? 2. 這些資訊安全的不當作法,會產生哪些企業 的資訊問題與損失? ? 3.企業如何來避免這些資訊安全的不當作法? ? 4.有沒有新的資訊安全範例可以提出補充?

------分隔线----------------------------