C

可攜式媒體安全管理
與
電子資料保護

行政院 國家資通安全會報
技術服務中心
鍾榮翰顧問
Email: barbet@icst.org.tw

March 6, 2008
1

課程大綱

•新聞回顧
•可攜式媒體安全管理
•電子資料保護生命週期
•結論

1
 C

神盾機密外洩，日防衛相下臺
•2007年3月，神奈川縣警局調查非法入境案，意
外發現海上自衛隊士官家中硬碟有大量神盾艦系
統資料，經查係由自衛隊第一術科學校流出。
•日本神盾艦（Aegis）系統資料外洩案持續擴大引
起美方高度關注，這是日本自衛隊近年來傳出多
起資料洩密案後首度遭警調單位強行實施住宅搜
查的案例。
•美日安保條約中明文規定，關於洩漏美方軍武機
密的罰則，視情節嚴重涉案人最高將被判處10年
有期徒刑，而日本國防部長（防衛相）小池百合
子也已因此案下台以示負責。
3 資料來源：iThome online 2007-08-30 張嵐霆/編譯

全新硬碟植木馬 個人資料全都露
•Maxtor在泰國生產的三點五吋、500G可攜式硬
碟，遭植入木馬程式，調查局於十月間接獲民眾
報案，實地購買同款硬碟，送交資安鑑識實驗室
分析、測試，證實確有autorun.inf及ghost.pif
（惡魔程式）木馬程式。
•該木馬程式會感染其他插入的隨身碟，並感染
autorun.inf、windows.scr檔案，且會主動連線
及上傳資料到外部網站。
•使用者只要安裝該硬碟，電腦程式就會自動連線
上述特定網址，電腦資料變成「全都露」。
• 2007/11/10自由時報記者楊國文、何瑞玲／台北報導

2
 C

可攜式裝置「毒來毒往」駭客最愛
•資訊安全業者表示，2007年危害最大的惡意程式
WORM_SPYBOT.IS 及 WORM_GAOBOT.DF，
都是透過感染ＵＳＢ裝置來散布，這類可攜式裝
置已成為資訊安全漏洞。
•2008年資訊安全的威脅將持續攻擊社交網站、購
物網站、線上遊戲網站，藉釣魚手法盜取帳號或
植入木馬，可攜式裝置如智慧型手機、MP3隨身
聽、隨身碟等，近年成為駭客利用突破安全防線
之主要媒介。
• 自由時報：2008/02/23報導

課程大綱

•新聞回顧
•可攜式媒體安全管理
•電子資料保護生命週期
•結論

3
 C

這是你要的嗎？

可攜式媒體介紹
•所謂的可攜式儲存媒體泛指一般不具運算
功能，但可儲存大量資料的小型資訊硬
體，例如：外接式硬碟、燒錄機、隨身
碟、數位相機記憶卡…等等。

4
 C

可攜式媒體的特色
•輕巧，易於攜帶
•增加工作效率，提高生產力
•不受工作環境的限制
•有利於大量資料的傳遞
•有益於資料的可用性(availability)

常見可攜式儲存媒體

USB拇指碟

外接式硬碟 外接式光碟燒路器

Compact Flash（CF）快閃記憶卡 Secure Digital card (SD卡)

10

5
 C

常見可攜式設備

11

未來發展趨勢
•價格大幅降低，運算能力更強，使用將更為深入
一般作業，也將更為普及於一般人
•設計上將更趨於輕便，更易於攜帶
•外觀及功能設計上與其他隨身用品結合(如PDA)
•通訊能力將更為完備與並且成為標準配備
•企業將大量使用可攜式設備，並安裝企業應用系
統
•資料承載的容量更高、傳輸速度更快、傳輸距離
更遠
•將解決可攜式設備的電力持續問題，而使運作的
時間更長

12

6
 C

未來發展趨勢

13

何謂風險？
風險(risk)：
已知威脅利用單一或一群資產的脆弱性，造成資產損失或損壞的潛在可能性。

資產

14

7
 C

風險處理矩陣圖
技術性控制措施

高 除硬體外
不適用於
降低風險 轉嫁風險 其他資訊
資產類別
事
故
衝
擊
程
度
接受風險 避免風險 操作性控制措施

低 事故發生機率 高
15

風險管理要素關聯圖
利用
威脅 脆弱性

防止 增加 暴露
增加

防護措施
(控制措施)
降低 風險 資產

被滿足 指示 增加 有

防護需求 價值

16

8
 C

可攜式媒體可能遭遇之風險(一)
•因為其輕便性，易於遺失或遭竊。
•外型設計多樣化，容易通過安全檢查，不易偵
測。
•功能多樣化，在管理政策中難以定義，實際作業
上不易杜絕員工使用。
•存於可攜式設備及儲存媒體多數為重要或具機密
性之資料，資產價值較高，容易成為有心人士竊
取的目標。
•可攜式設備及儲存媒體常被共享使用，讓資料的
不當存取及病毒擴散情形更為嚴重，甚至進入內
部網路進行擴散，可視為另一種型態之社交工程
攻擊。
17

可攜式媒體可能遭遇之風險(二)
•有心人士可利用進入內部網路機會，進行不法竊
取機密的活動。
•作業系統提供了內建的驅動程式，讓具有USB隨
插即用功能的可攜式儲存媒體能輕易的與內部系
統連結，下載資料。
•缺乏適當管制措施之下，有心人士可透過可攜式
通訊設備將機密資料傳出。
•大多數可攜式設備及儲存媒體無法產生事件記
錄，故無法追蹤其使用過程
•可攜式設備和儲存媒體的使用，增加管理者在非
法軟體管制上的難度

18

9
 C

認識 USB
•「通用串列匯流排」 (Universal Serial Bus, USB)
• USB是一種標準的連接界面，即插即用(Plug-
and-Play)，不必重新配置規劃系統，也不必打開
機殼調整界面卡的設定值。
•電腦會自動識別這些周邊設備，並且配附適當的
驅動程式，無需使用者再另外重新設定。
•統一介面包含通訊、印表機、顯示器輸出、音效
輸出入、儲存設備等。
•具有「熱插拔」(Hot Attach &Detach)的特性，在
作業系統的已開機的執行狀態中，隨時可以插入
或拔離USB裝置。
• USB最多可以連接127個周邊設備，傳輸速度可支
援1.5Mbps、12Mbps、480Mbps。
19

USB惡意程式之運作
•USB惡意程式與一般電腦病毒類似，只是此種類
型的病毒通常會搭配Autorun.inf檔案，並從USB
隨身碟感染電腦。
•原本Autorun.inf檔案是希望電腦在存取外接式媒
介時，能自動讀取相關資料並執行程式，系統會
先尋找Autorun.inf檔案，並執行相關的程式指
令。
•電腦病毒也是利用此方式，將病毒及對應的
Autorun.inf檔案寫入在USB隨身碟，並隱藏起
來，所以就算使用者從本機電腦的「我的電腦」
資料夾中，查詢USB隨身碟資料，也不一定能查
覺出問題。

20

10
 C

Autorun.inf 語法剖析
•[autorun]
•open=XXXX (“惡意程式檔案名稱”)
•shell\open\Command=File\XXXX.exe
(檔案路徑)
•shell\open\Default=1
•shell\explore\Command=File\XXXX.exe

21

八種關閉AutoRun的方法
區 分 效 果
SHIFT按鍵法
群組原則設定法
硬碟內容屬性設定法
NoDriveTypeAutoRun機碼編輯設定法

Tweak UI設定法
檔案總管操作法
電腦管理服務設定法

22
MountPoints2機碼編輯設定法

11
 C

SHIFT 按鍵法
•插入USB隨身碟的時候按住SHIFT鍵， USB
隨身碟就不會自動執行

有用嗎？請看示範！

23

群組原則設定法
•開始→執行→gpedit.msc

有用嗎？請看示範！

24

12
 C

硬碟內容屬性設定法
•我的電腦→選擇USB磁碟→右鍵→內容

有用嗎？請看示範！
25

NoDriveTypeAutoRun機碼編輯設定法

•開始→執行→regedit
•HKEY_CURRENT_USER\Software\Micro
soft\Windows\CurrentVersion\Policies\Expl
oer主鍵下
•於右窗格中找到「NoDriveTypeAutoRun」
•將其數值資料改為FF(十六進位)

26 有用嗎？請看示範！

13
 C

Tweak UI設定法
•Tweak UI這個 PowerToy 可讓您存取未在
Windows XP 預設使用者介面公開的系統設
定，包括滑鼠設定、檔案總管設定、工作
列設定等等。

有用嗎？請看示範！
27

檔案總管操作法
•開始→我的電腦→右鍵→檔案總管
•點選左邊窗格USB硬碟→開啟檔案

有用嗎？請看示範！

28

14
 C

電腦管理服務設定法
•開始→我的電腦→右鍵→管理→電腦管理
•停用Shell Hardware Detection服務

有用嗎？請看示範！
29

MountPoints2機碼編輯設定法
HKEY_CURRENT_USER\Software\microsoft\Windows\
CurrentVersion\Explorer\MountPoints2 機碼之Everyone 的權限進行
限制，USB 裝置仍可以正常使用，但不會再執行autorun.inf 檔中的設定。

30

15
 C

八種關閉AutoRun的方法
區 分 效 果
SHIFT按鍵法 O
群組原則設定法 O
硬碟內容屬性設定法 O
NoDriveTypeAutoRun機碼編輯設定法 O
Tweak UI設定法 O
檔案總管操作法 P
電腦管理服務設定法 P
31
MountPoints2機碼編輯設定法 P

資訊殘存導致機敏外洩
•Office軟體提供自動復原功能，會將文件自
動備份，並隱藏於暫存區，殘存之資訊，
可能導致機敏外洩，應將之清除。

32

16
 C

制定管理政策
• 制定相關的安全政策，明確定義可攜式設備的使用規範及
使用者的相關權責，並同時訂定誤用及濫用的罰則。
–組織政策層面，組織必須訂定明確的政策，告知同仁
什麼樣的可攜式設備及儲存媒體可以使用或不可以使
用，並且讓同仁瞭解應該遵守之規範。
–人員認知教育層面，提升人員的資訊安全認知，使人
員瞭解可攜式設備及儲存媒體的風險、因應對策及使
用程序，避免可攜式設備及儲存媒體誤用濫用的情形
發生
–作業程序層面，藉由使用規則的制訂，要求使用者使
用前申請、使用後檢查等程序，避免未經授權的可攜
式設備及儲存媒體使用。
–技術管制層面，利用資訊技術對可攜式設備及儲存媒
體進行備份、管制及使用記錄，確保可攜式設備及儲
存媒體均為授權內的使用，並確保其安全機制，以避
免因遺失所造成的損害。
33

使用者自我管理(一)
• 切勿自機關辦公室電腦複製未經授權存取或與職務無關的
文件資料。
• 如果是業務上必須使用，且所儲存或傳遞的資料具有機密
敏感性，則所使用的設備應具備有多重因子身份驗證的功
能(例如指紋辨識或智慧卡)或利用加密程式將重要資料予
以加密。
• 應避免將具機密敏感性的資料長期置於可攜式設備及儲存
媒體，定期檢視所儲存的資料內容，如有無須儲存於其上
的重要資料，應立刻移除。
• 應該妥善保管相關設備與媒體，以免遺失、遭竊導致資料
遺失。
• 若可攜式設備及儲存媒體上儲存有經常性使用之重要資
料，使用者應養成定期備份的習慣，以免重要資料因設備
的遺失、遭竊及毀損而無法使用。
34

17
 C

使用者自我管理(二)
• 使用者應定期自行檢視可攜式設備及儲存媒體裏的資料內
容，如有來源不明的程式或資料及非法的軟體，應立刻進
行移除及進行掃毒。
• 個人的可攜式設備及儲存媒體，如被允許使用，使用者在
連接至辦公室設備之前，應先自行或委請資訊人員進行掃
毒。
• 可攜式設備及儲存媒體如為機關內共同使用，使用者切記
在使用完畢後將所有的資料文件移除，以免資料遭他人誤
用。
• 可攜式媒體使用完畢後，應將暫存檔清除，避免資訊殘
存，導致機敏資料外洩
• 而同仁在使用可攜式設備及儲存媒體時，如果發現異常狀
況發生（如發現有未經授權的使用、設備或媒體遺失
等），應立即向業管單位進行通報，才能使損失降到最
低。
35

課程大綱

•新聞回顧
•可攜式媒體安全管理
•電子資料保護生命週期
•結論

36

18
 C

電子資料保護生命週期
處理
資料生成
蒐集
資
訊
安 技術性
傳送
全 控制措施
政
策 流通

資料消滅
儲存

37

電子資料保護架構

38

19
 C

資料之蒐集

39

資料之處理

40

20
 C

資料之傳送

41

資料之儲存

42

21
 C

資料之流通

43

技術性控制措施

44

22
 C

功能需求評估

45

資訊安全管理─木桶理論新解

如何決定一個由長短不同的木板構成的木桶之
「容水量大小」？
–(1) 木板長度？
•(X) 取決於其中「最長」的那塊木板
•(X) 取決於全部木板長度的「平均值」
•(O) 取決於其中「最短」的那塊木板
–(2) 這個木桶是否有堅實的「底板」？
–(3) 木板之間是否有「縫隙」？ 資訊安全管理系統
資訊安全領域

資安事件通報應變機制

資訊安全管理系統驗證
46

23
 C

政府資安成熟度評鑑模式

自我評鑑等級別 自我評鑑等級名稱 與管理循環對應

資安成熟度等級【一】 資安政策制訂
(Policy Developed, P) 規劃(P)
資安成熟度等級【二】 資安作業程序發展
(Procedure Developed,
P)
資安成熟度等級【三】 資安控制措施實作執行 執行(D)
(Do, D)
資安成熟度等級【四】 資安控制措施測試檢查 檢查(C)
(Check, C)
資安成熟度等級【五】 資安控制措施整合行動 行動(A)
(Act, A)

47

NIST SP800-53 安全控制措施類別

編號 類別 中文的控制項目名稱 英文的控制項目名稱
1 管理類 風險評鑑 Risk Assessment
2 管理類 規劃 Planning
3 管理類 系統和服務獲取 System and Services Acquisition
4 管理類 驗證,認證和系統評估 Certification, Accreditation, and
Security Assessments
5 操作類 人員安全 Personnel Security
6 操作類 實體與環境保護 Physical and Environmental
Protection
7 操作類 緊急應變規劃 Contingency Planning
8 操作類 組態管理 Configuration Management
9 操作類 維護 Maintenance
10 操作類 系統與資訊完整 System and Information Integrity
11 操作類 媒體保護 Media Protection
12 操作類 事故反應 Incident Response
13 操作類 認知和訓練 Awareness and Training
14 技術類 識別和鑑別 Identification and Authentication
15 技術類 存取控制 Access Control
16 技術類 稽核和可歸責性 Audit and Accountability
17 技術類 系統和溝通保護 System and Communications
48 Protection

24
 C

「指引特性」資安成熟度檢查表
評量理論架構
• 由「指引撰寫人」根據 NIST SP800-53 勾選適合
該指引之「資安成熟度」評量類別與項目 NIST SP800-26 作為「資安成熟度等級」類別

項 代 控制措施 歸屬 等級一 等級二 等級三 等級四 等級五

評量項目
次 碼 名稱 等級 (政策) (程序) (執行) (檢查) (行動)
控制措施評量類別： NIST SP800-53 【 17 類別 】 評量類別資安等級歸屬： OO 級
1 AC-1 … ooo L1 O
2 AC-1 … ooo L2 O
3 AC-2 … ooo L3 O
4 AC-2 … ooo L3
5 AC-3 … ooo L3 O
6 AU-2 … ooo L4
7 AU-3 … ooo L4
8 AC-13 … ooo L4
9 AC-14 … ooo L4
10 AC-20 … ooo L5

•由「審查顧問」根據「導入機關」資安調查
• 由「指引撰寫人」根據「控制措施」填入 實況，勾選「符合」之「評量項目」。
「相對評量項目問題說明」與相對「資安成熟
度歸屬等級」。 •運用「木桶理論」進行「評量類別」之「資
49 安成熟度」等級歸屬。

1 2 3 4 5 6 7
C

導入前資安成熟度分析(一)

50

25
 1 2 3 4 5 6 7
C

導入前資安成熟度分析(一)

51

1 2 3 4 5 6 7
C

導入前資安成熟度分析(二)

52

26
 1 2 3 4 5 6 7
C

導入前資安成熟度分析(二)

53

1 2 3 4 5 6 7
C

實務導入案例
•電子檔案
–建議導入具有加密機制、認證授權、操作稽核
之電子資料保護解決方案
•資料庫
–建議導入可有效記錄資料庫活動並具有便利有
效分析工具之資料庫安控稽核軟體

54

27
 1 2 3 4 5 6 7
C

導入後資安成熟度分析(一)

55

1 2 3 4 5 6 7
C

導入後資安成熟度分析(一)

56

28
 1 2 3 4 5 6 7
C

導入後資安成熟度分析(二)

57

1 2 3 4 5 6 7
C

導入後資安成熟度分析(二)

58

29
 C

結 論
•機關應審慎評估電子資料之風險。
•資訊管理單位須制定電子資料的保護程序及相關
權責。
•落實正確、安全使用可攜式媒體訓練，才是根本
防範之道。
•使用者配合機關內制定的管理制度並加強自我管
理。
•資訊安全的維持靠全體同仁一起努力。

59

30