專 輯

44◆ 2011.07.16 第52卷第7期 311

壹

前言

資訊科技演進一日千里，以前只能在

電影情節中出現之科技，已漸漸落實在我

們日常生活中，如：利用生物辨識技術進行

驗證，如上班刷卡簽到之應用等，均十分普

遍。

資訊運用亦在演化，從早期運用在無紙

化、電子化、將原本記錄在紙本文件之資訊

改以數位訊號記錄在數位資料儲存媒體中，

方便記錄查詢。漸漸演化成這些數位化訊息

開始顯現其價值，如金融機構中各存款戶之

儲金記錄，存提款等各項異動紀錄，這才慢

慢顯現資訊安全這個議題的重要。因為數位

化資訊有其相對的特性，優點：不佔空間、

處理速度快、資訊可再用、經統計分析可取

得有價資訊等好處；缺點：資料存取難追

蹤、難保存、易竊取、竄改、保存不易、易

被惡意偽冒使用等問題。

資訊價值亦在變化，由早期金流資訊，

演變為現今個資均被列為有價值之資產，需

花費更高的投資對這些資訊進行更高等級之

保護，以降低資訊安全事件之風險。

早期開發應用系統，為求簡便均使用個

人之身分證字號當作登入帳號之唯一識別碼

（因不會有重複之問題，取其唯一性），但

這些系統是不是真的需要使用身分證字號這

樣的資料？目前因個資法之問題，身分證字

號已被認定確定之個資資料，所以系統中若

非一定須使用身分證字號這項資料，應儘量

將該欄資料進行轉換或加密，以降低被竊風

險，切莫以須修改應用系統工程浩大為由，

林志昇 ■行政院人事行政局資訊室 管理師

從「資訊技術面」談

如何防治個資外洩

2011.07.16 第52卷第7期 311◆45

專

輯

不做任何防護及處理，使單位因此暴露於洩

漏個資之高風險危機之中，使應用系統及資

料庫負責管理同仁背負這洩漏個資賠償、懲

處等之沉重壓力。

一般應用系統開發均著重於系統功能

面，鮮少考量至資訊安全之領域，直至近年

來資訊之價值顯現，大家才漸漸重視資訊安

全之議題，一直到個資法通過，因為明訂罰

則才使企業或政府機關進一步考量加強及投

資資訊安全防護及系統跡證紀錄等資訊安全

機制及防護設備，但有些單位因早期無資安

考量，現又系統已上線，另經費拮倨，修改

系統將曠日廢時等種種因素，避而不去接觸

該項問題，等資安事件發生再來亡羊補牢，

為時已晚。

因為資訊有價之觀念，漸漸被大眾接

受，所以針對這些有價之資訊，需進行進

一步之防護措施，以避免這些資訊被未授權

之不當取用或異動，相對的各項資料之增、

刪、改、查，均須提供足夠之紀錄跡證以供

將來稽查之用，但要提供足夠的紀錄，若須

符合如個資法之要求至少需保留5年之紀錄，

相對所需之儲存空間，對系統之效能影響均

須好好規劃考量，避免衝擊太大。

除了從應用系統及資料庫等資訊建設著

手進行防護之外，最難防的是人的因素，普

遍一般人員對資訊安全之警覺性及知識均較

不足，造成防護上之重大漏洞及困難，漸漸

這樣的問題亦被惡意的有心人士發現進而運

用在資安攻擊上，如防不勝防的社交工程攻

擊，直接由內部突破，造成傳統的防護措施

失效，這是近年來資安防護最頭痛的問題。

貳

個資法概述

個人資料保護法（以下簡稱個資法）於

99年4月27日於立法院三讀通過，並於同年5

月26日公布。

個資法之立法目的與精神在於規範個

人資料之蒐集、處理及利用，以避免人格權

受侵害，並促進個人資料之合理利用。由於

新法對於個人資料蒐集、處理均有所規範，

增加損害賠償級團體訴訟的機制，且提高罰

則，所有人均應對於個資法以更謹慎的態度

面對。

個資法中規定，保有個人資料之公務機

關應積極履行個資監督、保護職責之要求，

本局業務係主管全國公務人員相關之資料，

亟需盡快落實保護個資之措施，建置各項資

料監控機制，以強化個資資料保護能力。

個資法中與資訊相關資料保護原則說明

如下：

一、預防損害原則

應採取防止損害發生之適當保護措施：

公務機關保有個人資料檔案者，應指定專人

辦理安全維護事項，防止個人資料被竊取、

竄改、毀損、滅失或洩漏。（新§18）

二、通知義務

蒐集機關違法致個資被竊取、洩漏、竄

改或其他侵害之查明及適當方式通知當事人

（新§12）。

三、損害填補機制

違反電腦處理個人資料保護法之民事賠

專 輯

46◆ 2011.07.16 第52卷第7期 311

償：

（一） 公務機關違反本法規定，侵害當事人

權利者，負損害賠償責任。但損害因

天災、事變或其他不可抗力所致者，

不在此限。（新§28）（無過失損害

賠償責任）

（二）非公務機關違反本法規定，侵害當事

人權利者，負損害賠償責任。但能

證明其無故意或過失者，不在此限。

（新§29）（舉證責任倒置之過失責

任）

（三）損害賠償總額，以每人每一事件新臺

幣500元以上2萬元以下計算。但能證

明其所受之損害額高於該金額者，不

在此限。逾越損害總額時，不受最低

賠償金額500元之限制。（新§28）

（四）基於同一原因事實應對當事人負損害

賠償責任者，其合計最高總額以新臺

幣2億元為限。（新§28）

參

個資分類

希望保護個資，首先必須清楚定義個

資，且須詳細盤點並確定涉及個資的資料、

儲存位置、範圍，目前防範資料外洩的作

法。

各事業主管機關依其主管業務所需而進

行收集資料，但須善盡保護之義務。

但是不是所有資料均需進行保護，需考

量需投資建置的防護成本效益。

因個資法施行細則尚未通過，各界仍在

觀望其界線為何？但就目前認定上就身分證

字號及姓名應已無疑義，可先針對這部分進

行規劃考量及分類，以便釐清這些機密資料

存放位置，以利規劃防護監控措施，避免個

資外洩事件的發生。

肆

駭客攻擊目的之演變

從早期無目標目的病毒攻擊，變化到有

目標不一定有目的的阻斷服務攻擊，演化到

有目標有目的的竊取有價資訊，我們由網路

或媒體的資安事件可發現這些演變的趨勢。

一、病毒攻擊：駭客攻擊目的，證明自己的

技術能力，並無取得任何利益。2001年7

月中旬出現的電腦蠕蟲code red 紅色警

戒，在當時曾經引發全球的駭客恐慌，

造成數十萬台電腦成為駭客攻擊跳板，

之後夠有不斷的變種病毒出現，每年均

造成大大小小不同的災情，但亦造成防

毒軟體工業蓬勃發展。

二、DDoS攻擊：駭客攻擊目的，威脅依賴網

路為主要服務之企業，取得保護費（給

我一些錢就不攻擊你），一直到現在仍

然難以有效完全遏止，但亦造成防火牆

等資安設備行業的壯大發展。

2000年2月初網際網路掀起一場風雨，電

腦駭客利用巨量偽假的詢求資料，迫使網頁

伺服器應接不暇，因負荷過重而當機，進而

阻斷使用者登站的管道。受波及之網站首當

2011.07.16 第52卷第7期 311◆47

專

輯

其衝為知名入口網站Yahoo!（Yahoo.com），

導致網站登錄管道一度癱瘓，令世界各地的

網路使用者幾乎不得其門而入。緊接著遭受

攻擊的商業網站，包括Buy.com、拍賣網站電

子灣（eBay）、購物網站亞馬遜（Amazon.

com）、新聞網站美國有線電視新聞網（CNN.

com）以及E-trade等皆亦無法倖免而宣告癱

瘓。

這次駭客攻擊的目的並不是試圖入侵

業者的電腦系統，以盜取或是竄改網頁資

料，而是利用網際網路開放系統與傳輸便利

的特性，採取一種所謂的「分散式阻斷服務

攻擊」(Distributed Denial of Service

attacks，簡稱DDoS攻擊）方式，利用分散於

不同地方的多部電腦主機，發送大量偽造來

源地址（Spoofed Source IP addresses）的

封包，癱瘓受害者所在的網路電腦主機伺服

器，使得正常的接通率降到1％以下，導致無

法服務正常的使用者。

根據中華電信資安辦公室的統計，2009

年中華電信每天平均發生3至7次大規模DDoS

（分散式阻斷服務攻擊），其中以癱瘓應用

程式和作業系統的攻擊為最大宗。

新的攻擊目的：駭客攻擊目的，取得有

價值的資料，進而販賣或進一步進行犯罪行

為，取得金錢利益為主，應該又會引發另一

波資安防護市場的波動。如：2010年一群網

路罪犯組成的三叉戟突破行動（Operation

Trident Breach），它們使用可客製化惡意程

式的ZeuS攻擊工具包進行攻擊，成功竊取中

小企業的網路銀行與交易帳號，然後利用這

些帳號偷走高達七千萬美元之金額。

伍

資安防護趨勢

阻擋由外部進行之攻擊→監控由內部主

動對外連線之殭屍網路，盜取或遙控內部主

機之有價值的資訊。

現今各政府機關應均已建置基礎資安

對外防護機制，如防火牆、入侵偵測系統，

並會經常性更新系統之漏洞，並建置防毒機

制，以減少被駭客攻擊而造成資安事件的風

險。但近年來發現攻擊手法不斷翻新，經常

發現防毒系統並無任何警訊，但技術服務中

心卻通報，單位之電腦有對外主動連結惡意

網站之流量，進一步實際檢測發現該電腦真

的有問題，防毒無效當然無法解決該問題之

惡化，最後只好祭出最後一招format掉重

灌，以為萬無一失，通報又來又是同一台電

腦，來回幾次，所有人員人仰馬翻，且感覺

並無法真正根絕，處理困難主要原因：

一、 惡意網站IP Address ／URL Domain不斷

變動，阻擋追蹤均相當困難。

二、 惡意程式還會自動更版，防毒程式特徵

碼來不及更新。

三、 隱匿式網路行為，夾雜在正常上網作業

連線中，不再以大量異常連線，故從網

路連線紀錄難以判斷是否異常。

四、 竊取資料，更新惡意程式均透過SSL加密

傳輸，無法得知其竊取了哪些資料。

五、 無法真正封鎖入侵管道：可能造成原因

是同仁上網瀏覽誤觸惡意網站，或遭受

電子郵件社交工程攻擊，不小心開啟惡

專 輯

48◆ 2011.07.16 第52卷第7期 311

意郵件或其附件或誤觸其內容連結，造

成被植入惡意程式。

六、 未全面真正清除惡意程式，惡意程式之

隱匿性越來越好，不僅程式啟動的時間

不固定，運作行為、傳染途徑亦具多變

性、隱匿性，使追查阻隔困難。

陸

資料洩密管道

一、 個人（有心、無心之洩漏）（若不考量

有心洩漏，那就是遭受社交工程攻擊而

被植入惡意程式，將電腦中的資料主動

回傳惡意中繼站）。

二、 應用系統之設計錯誤或資安考量不足

（早期應用程式之開發僅考量功能性，

較無考量安全性）。

三、 基礎資安架構建置不足（目前防火牆、

IPS入侵防護，僅防外侵內，較難追蹤

內對外，只要被植入惡意程式，該主機

將主動回報形成殭屍電腦，任由駭客操

控。）。

四、 資料庫或異動紀錄之竊取（共用帳號、

權限帳號控管不嚴謹，機敏個資未作加

強資料安全處理）。

五、 網路竊取（未加密傳輸）。

六、 備份資料竊取（未加密儲存）。

柒

針對各管道防護措施

利用各機關單位認定為機敏之個資

定義，配合多種偵測技術，包含關鍵字詞

(Keyword)、訊息特徵組合(Pattern)、文件

與內容指紋、資料庫紀錄指紋、自行定義檔

案格式特徵值等技術來進行偵測和過濾，規

劃佈署各項防範措施。

防範措施大略可分成網路資安基礎架

構之強化、建置更周全之監控機制、封鎖內

對外主動連接惡意中繼站、個人端點防護、

機敏資料監控警示、網路阻絕、資料庫防護

措施、備份資料防護措施等七大部分，最好

需要有統一的政策和平台來管理，且政策可

套用在網路、端點和儲存模組等各項防護措

施，才能達到整體防護、完整分析之效益。

一、 網路資安基礎架構之強化：增加新一代

防火牆機制，防護內對外之連線控管，

避免誤踩惡意網站，而被植入惡意程

式。

二、 建置更周全之監控機制封鎖內對外主動

連接惡意中繼站：建置技服中心SIM、

MAS警訊防護機制，並定期主動更新防火

牆中的阻絕惡意中繼站網址清單，降低

惡意程式成功連接惡意中繼站之機會。

三、 個人端點防護：一般均需安裝Endpoint

Agent程式，進行終端資料監控和阻擋。

（一） 須能監控和阻擋敏感的資料使用

Copy/Paste,Print,Fax,或從Server載

到本地硬碟或週邊裝置：例如 USB 隨

2011.07.16 第52卷第7期 311◆49

專

輯

身碟、CD/DVD、手機…

（二） 須能監控和阻擋敏感性資料透過

HTTP/HTTPS/SMTP/IM/網路芳鄰傳送。

（三） 須能監控和阻擋敏感的資料透過

Outlook、Outlook Express、Notes…

等應用程式傳送至 Internet，亦可自

訂應用程式。

（四） 可掃描敏感資訊在本機裝置上分佈的

狀態，例如本機硬碟。

（五） 可掃描敏感資訊在移動裝置上分佈的

狀態，例如USB 硬碟。

（六） 支援儲存資料的掃描和阻擋敏感資訊

被拷貝到移動裝置上。

以上防護可阻擋個人在個人電腦上之機

敏資料有意或無意經網路或其他儲存設備或

列印紙本等管道外洩。

四、 機敏資料監控與警示

（一） Network Discover透過網路對所有網

路上之各種設備上存放之資料進行掃

描，如：Windows和Unix檔案系統、資

料庫、WEB網站、文件管理和郵件系統

及共用之File Server，找出機敏個

資資料存放位置（清查涉及個資的資

料）。

（二） 自動隔離、拷貝或者刪除違規的檔

案，並記錄或註記，通知檔案擁有者

關於被隔離檔案的原因。（解決個資

被亂放之問題）

五、 網路阻絕：網路流動的資料掃描和保護

（一） Network Monitor網路監控

1. 針對Email、HTTP、FTP、IM、P2P等TCP

通訊協定進行的內容監控（若有特殊需

求可自訂欲偵測的TCP通訊協定）。

2. 可針對內容進行有條件的阻擋、隔離和

Re-route 郵件。

（二） Email 電子郵件阻擋

整合現有的郵件系統，進行有條件的

阻擋、隔離，但須考量條件之嚴謹與

寬鬆，並且以最小的影響現今作業模

式為目標。

（三） 網路傳輸FTP或HTTP：能夠設定條件阻

擋和移除在HTTP、HTTPS 和 FTP 傳輸

的內容。

六、 資料庫防護措施

（一） 加強各帳號權限授權之管控，盡量以

正向表列可使用之授權，避免預設帳

號或幽靈帳號，無設定授權之權限應

取消使用權限。

（二） 落實資料庫資料使用稽核紀錄，強化

個資之使用保護措施：建置資料庫稽

核系統，監督資料存取情形，以確保

資料在適當授權且合理的使用範圍中

運作，以避免惡意使用者，不當的存

取個資資料，引發個資外洩事件。擬

在最不影響目前資料庫效能且不影響

應用系統服務運作情況下，完整記錄

資料庫各項存取行為（如使用者登

出、登入、物件存取行為等），提供

監控與分析，建立異常事件即時告

警機制（如異常爆量資料查詢或異

動），以期提早控制災損並提供事件

分析追查跡證。

（三） 個資等局部欄位資料進行加密。

專 輯

50◆ 2011.07.16 第52卷第7期 311

（四） 個資等局部欄位資料進行演算法編

碼，使其無法直接取用。

七、 備份資料防護措施

（一） 備份有個資資料須加密存放。

（二） 備份資料存放位置應該考量安全第

一。

（三） 備份資料異地存放之運送應加鎖，並

以授權人員親送，並做成紀錄。

捌

結論

防範個資外洩的工作，是相當繁重且其

投資幾乎看不到有形的效益，大部分成效均

僅能降低外洩風險但無法百分百完全防護，

而且無法以一勞永逸，須不斷的投入人力、

經費，進行不斷的加強防護，以期降低多變

的外洩風險。雖然透過層層防護機制，但仍

無法保證不會有所疏漏。僅能就外洩事件發

生前進行預防，外洩事件發生時進行緊急處

置，外洩事件發生後進行矯正預防並隨時檢

討修正強化各項防護機制，以避免及降低再

次發生外洩事件的機率。

雖說「道高一尺，魔高一丈」，但加強

資安防護機制並持續改善，將會使大部分之

駭客與有心人士望之怯步，增加其作業困難

度，並加強跡證紀錄之收集，讓凡走過必留

下痕跡更加落實，使駭客行為或資訊外洩管

道無所遁形。雖不能做到滴水不漏，但至少

可做到事後追查分析，才不會發生資安洩密

事件時手忙腳亂，且追查不到問題點，無從

進行矯正預防，使洩密之風險一直保持在高

風險之危險狀態。

為符合個資法規定，善盡資料保護之

義務，在人力、經費有限之情況下，防護機

制成功關鍵，係仰賴全體同仁針對個資洩密

防護之認同與努力，得使防護措施發揮其成

效，並非建置防護機制就可高枕無憂。

0718-人事月刊311期_數位樣修改_部分440718-人事月刊311期_數位樣修改_部分450718-人事月刊311期_數位樣修改_部分460718-人事月刊311期_數位樣修改_部分470718-人事月刊311期_數位樣修改_部分480718-人事月刊311期_數位樣修改_部分490718-人事月刊311期_數位樣修改_部分50