一、辦理本分局97年度安全維護暨公務機密維護專案講習

政風室為提高本分局同仁機關安全維護暨公務機密維護之警覺及法令規定，於97年6月23日假本分局4樓簡報室辦理專案講習。內容分為（一）機關安全維護－由大局政風室鄭科長凱文講授。（二）公務機密維護－由大處政風處謝科長君豐講授。除本分局同仁48人，另邀請本行政大樓關稅局等單位人員8人，共計56人參加。因講師授課內容豐富，應可達到教育訓練之目標。 (一)配合政府組織改造，進行政風體制改革，持續推動成立「法務部廉政局」之專責廉政機關，結合政風機構建構新的廉政機制；落實政風機構主管任期制，結合業務績效評核，建立權責相符、賞罰分明之政風人員責任制度；執行政風佐理人員職期輪調及工作輪調制度，注入工作新思維，強化業務推動成效；加強新進及在職政風人員訓練，以有效發揮政風機構功能，提昇政風工作成效。

二、 執行交通部毛部長蒞港督導交通建設安全維護專案

為確保毛部長乙行蒞港之安全，政風室於事前擬訂專案執行計畫簽報分 局長，結合行政力量，協調本分局各單位暨港警分駐所落實執行各項安 全維護措施，有效維護督導活動順利進行並防範危害、破壞、激烈抗爭 等偶發事件。本項專案於97年6月18日順利執行完畢。

公務員廉政倫理規範

一、行政院（以下簡稱本院）為使所屬公務員執行職務，廉潔自持、公正無私及依法行政，並提升政府之清廉形象，特訂定本規範。

二、本規範用詞，定義如下：。

（一）公務員：指適用公務員服務法之人員。

（二）與其職務有利害關係：指個人、法人、團體或其他單位與本機關（構）或其所屬機關（構）間，具有下列情形之一者：

1、業務往來、指揮監督或費用補(獎）助等關係。

2、正在尋求、進行或已訂立承攬、買賣或其他契約關係。

3、其他因本機關（構）業務之決定、執行或不執行，將遭受有利或不利之影響。

（三）正常社交禮俗標準：指一般人社交往來，市價不超過新臺幣三千元者。但同一年度來自同一來源受贈財物以新臺幣一萬元為限。

（四）公務禮儀：指基於公務需要，在國內（外）訪問、接待外賓、推動業務及溝通協調時，依禮貌、慣例或習俗所為之活動。

（五）請託關說：指其內容涉及本機關（構）或所屬機關（構）業務具體事項之決定、執行或不執行，且因該事項之決定、執行或不執行致有違法或不當而影響特定權利義務之虞。

三、公務員應依法公正執行職務，以公共利益為依歸，不得假借職務上之權力、方法、機會圖本人或第三人不正之利益。

四、公務員不得要求、期約或收受與其職務有利害關係者餽贈財物。但有下列情形之一，且係偶發而無影響特定權利義務之虞時，得受贈之：

（一）屬公務禮儀。

（二）長官之獎勵、救助或慰問。

（三）受贈之財物市價在新臺幣五百元以下；或對本機關（構）內多數人為餽贈，其市價總額在新臺幣一千元以下。

（四）因訂婚、結婚、生育、喬遷、就職、陞遷異動、退休、辭職、離職及本人、配偶或直系親屬之傷病、死亡受贈之財物，其市價不超過正常社交禮俗標準。

五、公務員遇有受贈財物情事，應依下列程序處理：

（一）與其職務有利害關係者所為之餽贈，除前點但書規定之情形外，應予拒絕或退還，並簽報其長官及知會政風機構；無法退還時，應於受贈之日起三日內，交政風機構處理。

（二）除親屬或經常交往朋友外，與其無職務上利害關係者所為之餽贈，市價超過正常社交禮俗標準時，應於受贈之日起三日內，簽報其長官，必要時並知會政風機構。各機關（構）之政風機構應視受贈財物之性質及價值，提出付費收受、歸公、轉贈慈善機構或其他適當建議，簽報機關首長核定後執行。

六、下列情形推定為公務員之受贈財物：

（一）以公務員配偶、直系血親、同財共居家屬之名義收受者。

（二）藉由第三人收受後轉交公務員本人或前款之人者。

七、公務員不得參加與其職務有利害關係者之飲宴應酬。但有下列情形之ㄧ者，不在此限：

（（一）因公務禮儀確有必要參加。

（二）因民俗節慶公開舉辦之活動且邀請一般人參加。

（三）屬長官對屬員之獎勵、慰勞。

（四）因訂婚、結婚、生育、喬遷、就職、陞遷異動、退休、辭職、離職等所舉辦之活動，而未超過正常社交禮俗標準。公務員受邀之飲宴應酬，雖與其無職務上利害關係，而與其身分、職務顯不相宜者，仍應避免。

八、公務員於視察、調查、出差或參加會議等活動時，不得在茶點及執行公務確有必要之簡便食宿、交通以外接受相關機關（構）飲宴或其他應酬活動。

九、公務員遇有第七點第一項第一款或第二款情形，應簽報長官核准並知會政風機構後始得參加。

十、公務員遇有請託關說時，應於三日內簽報其長官並知會政風機構。

十一、各機關（構）之政風機構受理受贈財物、飲宴應酬、請託關說或其他涉及廉政倫理事件之知會或通知後，應即登錄建檔。

十二、公務員除依法令規定外，不得兼任其他公職或業務。

十三、公務員出席演講、座談、研習及評審（選）等活動，支領鐘點費每小時不得超過新臺幣五千元。公務員參加前項活動，另有支領稿費者，每千字不得超過新臺幣二千元。公務員參加第一項活動，如屬與其職務有利害關係者籌辦或邀請，應先簽報其長官核准及知會政風機構登錄後始得前往。

十四、本規範所定應知會政風機構並簽報其長官之規定，於機關（構）首長，應逕行通知政風機構。

十五、公務員應儘量避免金錢借貸、邀集或參與合會、擔任財物或身分之保證人。如確有必要者，應知會政風機構。機關（構）首長及單位主管應加強對屬員之品德操守考核，發現有財務異常、生活違常者，應立即反應及處理。

十六、各機關（構）之政風機構應指派專人，負責本規範之解釋、個案說明及提供其他廉政倫理諮詢服務。受理諮詢業務，如有疑義得送請上一級政風機構處理。前項所稱上一級政風機構，指受理諮詢機關（構）直屬之上一級機關政風機構，其無上級機關者，由該機關（構）執行本規範所規定上級機關之職權。前項所稱無上級機關者，指本院所屬各一級機關。

十七、本規範所定應由政風機構處理之事項，於未設政風機構者，由兼辦政風業務人員或其首長指定之人員處理。

十八、公務員違反本規範經查證屬實者，依相關規定懲處；其涉及刑事責任者，移送司法機關辦理。

十九、各機關(構)得視需要，對本規範所定之各項標準及其他廉政倫理事項，訂定更嚴格之規範。

二十、本院以外其他中央及地方機關（構），得準用本規範之規定。

一、前言

端點安全(Endpoint Security)已成為近兩年資安領域的熱門話題。所謂端點是指連接s1f 網路的各項接取設備，包括電腦、PDA及隨身儲存裝置等。此議題受到關注的原因其來有自，因為不論是企業組織或政府部門的資安或網管人員，花費多少力氣來建構單位安全防護網，但總有隨身碟、筆記型電腦或無線網路接取設備這類的漏網之魚，將蠕蟲、病毒、木馬，甚或間諜程式帶進組織網路，或將機密資料帶離內部網路，以致衍生洩密事件。而這些機密資訊外洩事件除見諸媒傳披載之外，實際上的損害程度恐非一般人所能想像。究析事件肇生原因，絕大多數是機構內部人員輕忽或認知不足所引發，畢竟現有的資安防護機制與措施，均針對外人而設，而內部成員通常擁有較高的權限，也熟悉機密資訊存放路徑與取得方法，更懂得如何避開現有的偵監機制，因此所造成的損害也特別的大。雖然機密資訊外洩可依相關法令規範檢討究責，但已使整體國家安全受到威脅；而一般企業的商業機密外洩後，可能危及企業的永續經營。

防制資料外洩固然重要，但目前卻無有效的、合適的與全面性的方案。雖然陸續有資安廠商推出DLP(Data Lost Protection)、ILR(Information Leak revention)等針對資料外洩防護的解決方法，這類技術無非是透過數位版權管理(DRM)、內容過濾、身分識別及權限控管等機制來加以實現，離全面防堵組織核心機密資訊外洩，仍有不少可努力及精進的空間。本文試著以端點安全為核心，以深度防禦的觀念重新思考，試著由各個面向著手，同時也明確地了解威脅來源及管道，除將防禦點擴大為線，乃至於面之外，實務上必須具備「深度防禦」的精神。因此本文深入分析威脅現況、資料外洩成因、威脅管理及資料治理等，期藉了解風險、管理風險，進而轉移至減緩風險，以確保機密資訊安全無虞。

二、安全威脅現況分析

依據趨勢科技公司在資安人雜誌96年8月14日所舉辦「全方位防制資料外洩研討會」中提供的數據分析，當前惡意程式類型以間諜(木馬)程式及感染可執行檔的病毒(PE)比例最高，各佔31%，其次是HTML及蠕蟲的感染，各佔11%。透過惡意程式的分析，可發現以下隱含的意義，包括：

1. 間諜程式主要以竊取機敏資料為主。
2. 感染可執行檔將增加解毒的複雜度。
3. 感染管道以HTTP及系統弱點為主。

另就惡意程式植入的目標分析，絕大多數都在用戶端發現，這些包括行動用戶常用之筆記型電腦、PDA，以及可攜式儲存媒體等，因此端點安全將成為現階段資安防護的最後一道防線。另分析前10大惡意程式，可以發現：

1. 40%的病毒會自我加密或採用特殊程式加殼。
2. 平均病毒檔案大小為71Kbytes。
3. 90%的病毒以HTTP為傳播途徑。
4. 60%的病毒以郵件傳輸協定(SMTP)為傳播途徑。
5. 皆與病毒自動下載器(downloader)行為有關。
6. 50%的病毒會利用開機自動執行或自動連上惡意程式網站。
7. 皆會產生其他病毒檔案。
8. 通常會造成使用者應用程式或系統運作不正常、郵件伺服器繁忙或網路流量增加。

三、如何檢視端點安全

內部人員在不知情或不小心的情況下洩漏機密資訊，將對單位造成嚴重的傷害與威脅，然而許多企業組織可能低估了這項風險。資料外洩不僅造成金錢的損失，對商譽更可能產生無法逆轉的永久傷害。根據美國密勤局與卡耐基大學軟體工程學院在2005年針對「關鍵基礎設施內部資安事件」的研究中發現，超過81％的內部資安事件會導致財務上的損失；另28％參與研究的單位表示，企業的形象與商譽將因而受損。隨著電腦網路環境日益複雜化，企業內網路逐年擴增，相對地產生防護漏洞的數量亦隨之成長，更加深內部威脅的嚴重性。往常以企業網路邊界為主的資安防禦措施，已被應用程式、行動辦公者、商業伙伴及客戶間編織成錯綜複雜的網路環境所淹沒。根據著名的科技產業情報分析與諮詢顧問公司IDC近期的研究報告指出，預估2009年全球行動工作者將超過8億5,000萬，總數將達全球工作人口的四分之一。因此遠距的行動工作者將成為企業組織網路未來最大的隱憂，而這股無法抵擋的趨勢亦凸顯端點安全的重要性。

反觀現行網路基礎建設的防護設備與機制，僅能提供片面的資安訊息，以致無法在關鍵時刻提供精準的資訊，易坐失解決問題的黃金時機。而資訊專業人員多數僅著眼於科技的技術層次，但隨著複雜度的增加，企業所面臨的風險也相對提高。為解決端點安全的問題，美國資安顧問David Strom在2007年5月間曾提出四項指標，可做為資安人員參考之依據：

　1. 現有安全基礎建設有哪些？　　
根據目前所擁有的設備，了解可能的安全組合及防衛模式，找出可能的問題點，輔以入侵偵測、防火牆系統或VPN閘道器等機制來補強端點安全。

2. 所欲保護之標的為何？　　
其次是清楚了解所欲保護之標的後，據以決定如何部署這些防護設備，如某些設備應該直接置於防火牆之後，以便涵蓋整個網路；有些則最好置於交換器之後、伺服器之前，或是部署在主要保護的子網路或部門網路上，並經過認證，以確保這些網路資源都受到保護。

3. 使用者對安全政策的接受度？　　
利用弱點掃描設備對組織內部端點進行掃描是了解安全強度最好的方法之一，因為它可以根據安全強度提供端點的修正以及網路資源的保護。這些檢測工具主要檢查開放的通訊埠、執行的服務、在檔案系統上查看是否有問題的檔案與惡意軟體、監控系統登錄、確定防毒軟體病毒碼的更新，以及檢查個人防火牆是否開啟或被竄改等。有些組織甚至安裝代理人程式（agent）來監控端點的安全狀況，通常這些軟體會讓使用者在登入時多花上數分鐘，因而感到不便。若沒有適切地宣導並輔以權限管控與稽核，則政策將無法落實，畢竟政策及程式運用是固定的模式，如果使用者找到規避稽核的巧門，則安全風險仍然存在。

　4. 非PC的端點管理現況？　　
要落實端點安全，首先應知道網路上有什麼？及要管理什麼？因為組織網路上的印表伺服器、筆記型電腦或PDA等，都有獨自的作業系統與IP位址，它們無法輕易地被端點設備所控制。而幾乎所有的應用程式為達可用性，均提供對網卡編號或IP位址做白名單或前置驗證，因此設備還是可以連上網路並進行工作。而這些移動式設備極易感染惡意程式，除非有能力偵測這些設備並實行政策，否則威脅將隨著這些設備而爆發。例如我們可以利用政策限制設定網路印表機的封包只能用作印表之用，如果有人假冒印表機的IP位址，防護系統應仍能偵測出改變，並將設備隔離及斷線，以確保它們不會帶來威脅。尤當企業有異質網路、設備或作業系統太廣泛時，想要找出完美的端點安全方案是非常不容易。（待續）

強化政風— 現階段重點措施

隨著科技日新月異，戰場型態也快速轉變，從以往肉搏相對、兵戎相接的傳統戰場，跳脫了時間與空間的限制。大家可以想像一下，未來的戰場，士兵們轉變為駭客、滑鼠取代扳機〈或許連動作都可以省了，只需聲音辨識即可〉，虛擬病毒殺傷力和社會成本將遠遠大於真實武器，更甚核子武器的威脅，而真正兵戎相接的部分都將可能是機器人。電影「駭客任務」與「機械公敵」描述爾後人類的生活將會全權交由一部虛擬主機掌控，而這樣的場景絕非僅止於電影情節之中。未來，由於人類對資訊與數位的依賴，資訊安全上的威脅，將會是日後人類最大的挑戰與敵人。

1. 接管政府體系，破壞社會秩序

隨著e化政府體系的逐漸推行，政府的中央指揮體系依賴數位化的程度也日益加重。如果指揮系統遭到數位武器的控制與入侵，影響的層面將會從企業財物上的損失，提升到全國政治、經濟，乃至心理層次，屆時整個國家的損失將難以估計，而對人民的心理上，更會造成莫大的恐懼。如果因而擴大影響到民生秩序，更會使人民失去緊急應變之能力與凝聚全國向心之目標。而政府在軍事體系上如果也喪失了指管通信的能力，就算再有先進武器與科技，都將無用武之地，淪為敵人對我攻擊之助益平台。因此在數位虛擬的未來舞台上，誰有能力擁有入侵技術，幾乎就可以掌握整個國家的運作。

2. 入侵國防體系，瓦解防衛武器

電腦病毒在資訊戰的領域裡又可稱為資訊炸彈，由於其所需經費少，造成之破壞更有甚於傳統武器對實體的破壞，且無人道之顧慮，所以勢必將成為電子資訊戰中未來武器的主流。中共稱電腦病毒對抗之虛擬作戰為「點穴戰爭」，而電腦病毒對抗﹙Computer Virus Countermeasures﹚是近年來C4I對抗中的熱門話題。目前世界各國的軍事電子領域都競相開始研究這種全新的電子戰武器，電腦病毒所攻擊的正是C4I系統的核心組件，加上它的隱蔽性和傳染性，為電子對抗提供了嶄新的技術手段。

資訊戰在戰史上，從1991年爆發的海灣戰爭中，美軍已運用初級的電腦病毒戰﹙技﹚術，成功地攻擊了伊拉克的指揮中心，這是世界上首次用電腦病毒武器進行作戰的戰例，從而揭開了病毒武器投入實戰的序幕。

另外，中共解放軍於民國87年曾經實施瀋陽軍區「電腦病毒作戰演習」、南京軍區「高科技知識實兵演練」，就是利用網路高科技作戰打擊對手的致命要害，透過不流血的作戰方式而屈人之兵。美國遠景集團近年根據量子物理學，研發出模擬微粒子microbe-mimicking演算法的電子病毒——『閃電戰』(Blitzkrieg)。此病毒，為科學家斷言：未來戰爭破壞力最大的已不再是核武攻擊，在電腦已經成為軍事指揮、武器控制和國家經濟中樞的情況下，『電腦病毒攻擊』將更直接、更危險。可以預見，隨著微電腦技術在軍事領域越來越廣泛應用，攻擊性的電腦病毒武器將迅速投入戰場，電腦病毒武器將是資訊戰的主要殺手。

3. 癱瘓金融體系，操縱民生經濟

根據美國消費者聯盟所做統計，網路詐騙案的被害金額從1999年每人平均310美元，增加到2000年的427美元。國內網路詐騙雖無金額統計，案件數量也有200%的年成長率。而1999年影響全球數百萬部電腦的Melissa 電腦病毒，估計造成全球8,000萬美元的損害。2000年的ILOVEYOU電腦病毒則癱瘓全球政府機關及私人企業的電子郵件系統，估計造成高達100億美元的損失。另根據美國「電腦經濟」雜誌預測，美國網路犯罪的受損金額將在數年之內達到1兆美元，爾後更會呈現等比倍增。

4. 掌管醫療體系，控制生死大權

1995年，澳洲某家醫院中一名病患因護士用藥不當死亡，起初以為是醫療過失，不料後來發現另有隱情，案情急轉成為一起驚人的殺人案。原來是醫院某職員竄改了電腦裡的患者用藥資料，護士依照更改過的處方，才會給錯藥，使得竄改資料的行為，與殺人扯上關係。從此開啟了利用網路，控制醫療體系，掌握了人員生死的大權。

日後無線網路技術運用更加頻繁時，從急救過程開始，到醫療診斷與整個醫療過程，都將轉換至虛擬的世界中處理。因此只要其中一個步驟遭到數位武器攻擊，將導致醫療體系混亂，衍生社會恐懼，影響民眾心理，國家戰力也將大受打擊。

5. 終結傳播體系，動搖戰志民心

自民國93年開始各家電視台積極著手數位電視，而數位電視具有無線性、無地域性、經濟性等特性，假以時日必將成為媒體傳播的主流，未來誰都能輕易地運用數位器材與電腦，將大眾傳播媒體平台，轉換成為犯罪工具與戰略性武器。而大眾媒體與百姓生活息息相關，敵人更可以將其成為心理戰、群眾戰之武器，致使人群分化，軍隊戰鬥意志瓦解，政府將失去運籌全民國防之戰力。

結　　論

　我國有句話說「秀才不出門，能知天下事」；如今在資訊社會裡則是「人人不出門，能『做』天下事」。目前電子銀行、網路商店，及ebay拍賣網站等，已逐漸取代人類真實的行動生活。而相對地要維護網路的正常與合法性，政府也逐漸以「e政府」、「網路警察局」維護網路秩序，一個「虛擬社會」的形成將是未來的趨勢，而戰爭型態亦將是如此。各國不必再勞師動眾，花費大量軍武經費，只需以不到千分之一的費用，就可使敵軍武器動彈不得。同樣地，國軍建軍之方向，也應加緊研議建立「虛擬軍隊」、發展「數位武器」，並加強資訊安全之觀念與犯罪預警防護機制，進一步也可與民間合作，建立起資訊倫理與杜絕犯罪之共識，結合證照教學，使軍隊與社會、國家之教育，一氣呵成，為整個社會資訊安全及國家資訊安全，深植更加堅強的防護陣容。