MIS個案:百年銀行

討論問題

1. 如何避免資訊外洩?常見的方法有哪些。
請查閱教科書或其他書籍,說明常見的資訊安全的威脅有哪些。

2. 甚麼是SSH?

3. 這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與黃姓系統管理者有關?

4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?寄信人想做甚麼?

5. 這家銀行,面臨甚麼資安問題?

8 則留言:

cashman 提到...

79836114 梁哲銘 79836112林銘慶 79836120 朱峰毅
1.如何避免資訊外洩?常見的方法有哪些。
請查閱教科書或其他書籍,說明常見的資訊安全的威脅有哪些。
避免資料外洩的方法有以下幾種:
a.進行員工存取權限的控管。
b.平時員工資訊安全的教育。
c.建立資訊保護的機制。

在常見的資訊安全威脅中最常見的有:
a.木馬程式及病毒入侵。
b.硬體設備的災害。
c.人為的資料外洩事件。
d.網路的阻斷攻擊。

2.甚麼是SSH?
SSH 是 Secure SHell protocol 的簡寫,它可以經由將連線的封包加密的技術, 來進行資料的傳遞,SSH 可以用來取代 Internet 上面較不安全的 finger, R Shell (rcp, rlogin, rsh 等指令), talk 及 telnet 等連線模式。

3.這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與黃姓系統管理者有關?
並不是匿名的
a.因為這一封信件是使用免費信箱寄送的,所以有可能是一封匿名的信件。
b.因為現在網路上提供了許多的免費信箱,使用者可以任意的申請,且一般信箱申請都只有驗證身份證字號,但現在有身份證字號產生器,所以使用者要申請幾個都可以。
c.如果銀行有導入良好的資訊安全管理軟硬體的話就可以清查的出來,不過在案例中似乎是以人為過瀘的方式找出黃姓系統管理員。
d.因為客訴的信件寄件人是黃姓管理人員的名字,且信件內容與平時銀行對於黃姓系統管理員的人格特質有所相似,因此銀行主管會懷疑是他。

4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?寄信人想做甚麼?

a.有可能是黃姓系統管理員的朋友或是朋友轉寄出去的人。
b.如果照案例中的描述來看,是黃姓系統管理員自已寄送的,一封帶有一種炫耀意味的信件。
c.因為黃姓員工他是在國營的銀行上班,且又是在信件中提到許多上班偷懶的事,還有破解公司防火牆的方式及想要偷改銀行帳戶的金額等,這些事情對於外面的民眾來說,不管是觀感或是對於存款銀行的信任都會有存疑,因此才會發送此客訴信件。

5.這家銀行,面臨甚麼資安問題?
這家銀行在這個事件當中,可以歸納出幾項資安問題:
a.資訊人員在使用管理的權限上沒有落實。
b.網路通訊軟體的管控不良。
c.對於員工下載不明的軟體沒有管制。

振府 提到...
作者已經移除這則留言。
振府 提到...

79836109 高浩修
79836113 莊振府
1. 如何避免資訊外洩?常見的方法有哪些。
Ans:常見的資訊安全威脅有病毒、木馬、蠕蟲、後門程式、駭客等,一般常見的做法是加強本機端的防毒軟體,確保本機端不存在以上的病毒、木馬、蠕蟲、後門程式等。駭客的行為就比較特殊,他有可能是透過入侵的手段得到資料,這個部分可以透過建立防火牆來阻擋,但如果是在網路上竊取封包的話,就必須透過封包加密來達成,一般的加密技術並能完全的保密,通常目的是為了讓非法取得者無法在短時間得知封包內容,一旦過了資訊有效期限,非法者就算得知封包內容也沒有用。

2. 甚麼是SSH?
Ans:SSH是Secure Shell的縮寫,本身是一個有名的安全登入控管、命令執行和檔案傳輸的服務協定。因為傳統的ftp、telnet、pop等本質上是不安全的,而透過SSH可以對傳輸的資料加密,也可以防止DNS欺騙和IP欺騙。SSH有很多功能除了可以用來代替telnet之外,也可以為ftp、pop、甚至是ppp提供一個安全通道。

3. 這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與黃姓系統管理者有關?
Ans:這封email不是暱名信件,email本身就有提供變更寄件者暱名的服務,但是本身的email帳號應該是不變的。基本上應該只要確認寄件者的帳號應該就能確定寄件者是誰,信件中一再強調自己上班的環境,表示他非常了解公司內部運作的流程,因此很有可能是公司內部的員工,在加上他說明了他以專業手法突破公司的資安系統,因此最有可能的就是資訊專業人員所為。

4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?寄信人想做甚麼?
Ans:應該是他朋友寄的或是他朋友將信轉寄給其它人,由其它人揭發這件事,寄件人的目的應該是想保護自己的利益,畢竟黃姓資訊人員在信件中提到,如果有機會就想要改動自己存款的的數字,一旦讓他成功,是不是所以存款人的利益都有可能受到損害,誰也無法預料。

5. 這家銀行,面臨甚麼資安問題?
Ans:這家銀行最大的資安問題是人,不論你擁有再好的技術都是對外的防禦措施,一旦是由內部的人員外洩,將無所防範起。這也是資安議題上最沒辦法透過技術去增強的部分。

Hu 提到...

79836103胡文謙79836115葉韋志79836122江維彬
1.如何避免資訊外洩?常見的方法有哪些。
a.企業避免資訊外洩而部署了許多防護措施,例如VPN、防火牆、網路監視器等,來控管所有一般電腦、主機之軟體及硬體,有效過濾阻隔不安全性的封包,來提供稽核記錄並防止外界不當存取內部的機密資訊。
然而,防禦資料外洩不只是透過監控來預防外洩,還需要教育並加強員工對公司政策與敏感資料處理程序的認知。因此,企業若能教導員工正確的資訊處理方式,就能讓企業資料保護事半功倍。
在企業內部員工使用電腦資訊應注意,不將公務資料攜回家中處理、不隨意開啟來路不明電子郵件、隨身碟使用完畢後即予格式化、不隨意瀏覽不明網站、不執行郵件內夾帶的檔案或連結、避免下載免費軟體或圖檔、不隨意點選網頁內的連結網址或彈出式廣告或不明內容視窗、避免使用點對點軟體分享檔案、不使用駭客工具,及關掉不必要的網路服務等。

b.常見的資訊安全的威脅
(1)惡意程式:惡意程式泛指包括病毒、蠕蟲、傀儡程式、木馬、後門程式,以及可能導致電腦使用者資訊外洩的廣告/間諜程式等等。
(2)駭客的威脅:駭客打斷原先用戶端連結,模擬成用戶,竊取資料。
(3)公司間諜: 人們利用人類行為的弱點,取得系統存取權或更多系統資訊。
(4)詐騙與盜竊: 許多通訊協定仍透過網路傳送純文字密碼,以致攻擊者竊聽網路時可以輕易取得這些資訊。
(5)安全性弱點: 應該使用保護周邊環境的方式保護環境中的舊系統。

2.甚麼是SSH?
Ans: SSH 為 Secure Shell 的縮寫,由 IETF 的網路工作小組(Network Working Group)所制定;SSH 為建立在應用層和傳輸層基礎上的安全協議。
傳統的網路服務程序,如FTP、POP和Telnet其本質上都是不安全的;因為它們在網路上用明文傳送數據、用戶帳號和用戶口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊。就是存在另一個人或者一台機器冒充真正的伺服器接收用戶傳給伺服器的數據,然後再冒充用戶把數據傳給真正的伺服器。而 SSH 是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的資訊外洩問題。
透過 SSH 可以對所有傳輸的數據進行加密,也能夠防止 DNS 欺騙和 IP 欺騙。SSH 之另一項優點為其傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替 Telnet,又可以為FTP、POP、甚至為 PPP 提供一個安全的「通道」。

3. 這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與黃姓系統管理者有關?
Ans:
a.這封email是匿名信件。
b.因為匿名寄信可以不用為寄出的信件負責,可以大膽的爆料。
c.不容易,因為可以透過免費信箱可以快速申請。
d.根據信中的線索,經過仔細調查,似該公司內的黃姓系統管理者,所以懷疑黃姓系統管理者。
4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?寄信人想做甚麼?
Ans:
a.是由黃姓資訊人員的朋友轉寄出來的。
b.寄信人認為黃姓資訊人員的行為太過偏激,甚至要改自己的銀號帳戶金額,應該把事件讓其主管知道。

5. 這家銀行,面臨甚麼資安問題?
Ans:
a.企業缺少資訊安全規範的訓練。
b.員工對於資訊保護的重要性需要加強。
c.公司稽核資訊安全機制不夠嚴謹。

goodfifagun 提到...

79536120 張志峰
79836105 魏兆言
79836106 余欣聰


1. 如何避免資訊外洩?常見的方法有哪些。

(1)使用加密軟體:將個人或是重要的檔案文件利用加密軟體保護,避免有心人士任意存取。
(2)不安裝與使用來路不明的軟體與光碟:不使用如大補帖或是海盜版光碟,降低病毒與木馬程式的風險。
(3)防止員工將公司機密資料備份:控管員工使用的電腦,並查核每天的工作情況,讓公司的資料不會外流。
(4)嚴格控管公司網路與員工工作用的電腦或其他設備:監控網路與電腦避免員工在沒有注意的情況下讓機密資料

外流。
(5)導入資訊安全認證:導入ISO國際資安認證來增強公司的資訊安全。


請查閱教科書或其他書籍,說明常見的資訊安全的威脅有哪些。

(1)駭客入侵
(2)病毒、蠕蟲、特洛伊木馬
(3)監聽 (Sniffing)
(4)服務阻斷 (Denial of Service)
(5)網路釣魚 (Phishing)
(6)社交工程 (Social Engineering)
(7)系統或程式弱點
(8)暴力密碼猜測


2. 甚麼是SSH?

SSH是Secure Shell的縮寫,傳統的telnet、FTP、POP相對來說比較不安全,因為上述三個在網路上都是用明文來

傳送資訊,很容易受到中間人攻擊(MITM , man-in-the-middle-attack),所以SSH比較安全。而 SSH 是目前較可

靠,專為遠端登入和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的資訊洩漏問

題。透過 SSH 可以對所有傳輸的資訊進行加密,另外SSH的另一個優點是可以把傳輸的資訊加密,所以可以加快傳

輸的速度。常見的SSH遠端登入工具有PuTTY、PieTTY等等。

Ref:
(1)中文維基百科: SSH http://zh.wikipedia.org/zh-tw/SSH
(2)英文維基百科: Man-in-the-middle attack http://en.wikipedia.org/wiki/Man-in-the-middle_attack
(3)初探中間人攻擊 http://mmdays.com/2008/11/10/mitm/
(4)利用SSH Tunnel 逃離MIS魔爪 http://take-ez.com/ssh-tunnel-through-firewall.html


3. 這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與

黃姓系統管理者有關?

(1)按照個案來看,似乎不是匿名的email,在郵件寄件人的地方有顯示黃oo,代表他應該沒有隱藏自己的個人資訊


(2)因為目前的免費信箱實在很多,申請免費信箱也沒有很困難,所以只要有人想要匿名寄信,只要他在申請免費

信箱時填入不實資料就很難查出。
(3)以技術上來說幾乎沒有辦法,銀行沒有辦法要求email服務商提供有關這信箱的資訊,只有公家機關(例如偵九

隊)才有辦法要求email服務商提供資訊。
(4)根據信件的說法,這名人員一定是有資訊專業能力的人,再加上他在內文描述的員工福利,所以原始寄信人是

內部員工的人,根據這兩個線索去縮小懷疑的範圍。


4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?寄信人想做甚麼



(1)有極大可能是黃姓資訊人員的朋友寄的。根據第一封信件的To:Undisclosed-Recipient,代表是黃姓資訊人員

群組寄信給他的朋友們,而其中一位朋友JJ Chen(jj_chen@gmail.com)再轉錄給lin(unhappy@yahoo.com),lin再

寄信到銀行申訴。當然這中間可能經過多層轉寄,但個人大膽推論極可能就是JJ Chen申請一個lin這個匿名信箱,

先用自己的信箱轉到lin,再由lin寄到申訴中心。
(2)由於黃姓資訊人員在自己的信件中帶有很大的炫耀意味,甚至說有機會要更動自己的存款數字,如果這封信外

流到媒體手中,對於這間老字號銀行的商譽絕對是一重大打擊,如果真的讓黃姓資訊人員成功更動,那是不是代表

所有人的存款都是不安全的,寄信人想要表達對銀行資訊安全的疑慮,故寄了這封信給銀行部門。


5. 這家銀行,面臨甚麼資安問題?

這家公司面臨了內部人員控管的問題,由於黃姓資訊人員為資訊部門的員工,所以他對公司內部的網路資訊與員工電腦都能有監控的能力,也因為資訊部門內員工的控管不夠嚴謹,使得黃姓資訊人員有權去對公司做出不好的事情,而因威脅來自公司內部,更不容易找出問題所在,而且黃姓資訊人員還可濫發電子郵件來宣傳公司內部機密,表示他也可以控制公司內的某些重要的設備,這也產生了權責沒有細分的缺點,所以此銀行最大的資安問題是資訊部門的員工控管沒有做好,才會使得有這樣的情形發生。

shinyi 提到...

79836108 賴欣怡 
79836110 許蕙婷  
79836016 邱璿如  
79836125 吳宜環

1. 如何避免資訊外洩?常見的方法有哪些。請查閱教科書或其他書籍,說明常見的資訊安全的威脅有哪些。

避免資訊外洩的方法本組列出下列十項:
(1)使用防毒軟體
(2)定期更新病毒碼
(3)資訊使用的授權,檢查使用者是否能使用或取得相關資訊,以防止資料被不該知道的人獲得。
(4)使用有版權之軟體,可降低電腦中毒的機會,除此之外還要定期備份,以確保資料不被遺失。
(5)資料傳輸加密,以防止資料於傳輸中被盜取或竄改。
(6)建立完善的資訊安全管理制度,如多久應該更換密碼,密碼中不要含有特定符號或數字等等。
(7)養成正確的使用觀念,例如離開電腦是否登出、光碟是否已經抽出等。
(8)設定使用者登入密碼,以避免被他人容易取得電腦內的資料。
(9)檔案權限的界定,可規定哪一種檔案應被哪種使用者所使用。
(10)其他保護措施例如不斷電系統配置、軟體備份的分儲等。

資訊安全的威脅約有以下幾點:
(1)偽裝/欺騙攻擊法(IP Spoofing):是駭客用來隱藏身份與位置,藉以進行後續攻擊的技術。也就是經由 IP Spoofing 來改變封包的來源位址,佯裝入侵者是來自於被信任的網路,因此可以達到入侵的目的。
(2)網路竊聽攻擊法(Sniffing):竊聽是一種可以讓竊聽者蒐集到使用者名稱與密碼或網路傳送的資料的方式,通常很容易防範,但是不容易被發現。
(3)電腦病毒(Virus):可以感染、寄生或附著在其他電腦程式及文件檔案裡面,有些會破壞電腦裡面的資料,甚至會破壞電腦系統。
(4)電腦蠕蟲(worm):與電腦病毒不同的是,蠕蟲不會感染寄生在其他檔案,其主要特性是自我複製並主動散播到網路系統上的其他電腦裡面,造成電腦系統與網路的癱瘓。
(5)特洛伊木馬(Trojan House)等惡性程式(Malicious):是一種電腦程式,偽裝成某種有用或有趣的程式,但實際上它會破壞資料、騙取使用者的密碼等資料。
(6)阻斷服務 (Denial of service-DoS) 攻擊:藉由傳送不正常的封包或是因為系統管理者錯誤的設定,導致伺服器無法提供正常的服務,即阻斷服務攻擊(DoS attack)的發生。

2. 甚麼是SSH?
SSH (Secure Shell)是一種安全協定,為網路的應用及資料傳輸提供可靠機制。因為若是沒有使用 SSH 機制的方式連線的話,有可能會被有心人士以冒充伺服器方式接收,再傳送至真正的伺服器,像是FTP 傳輸、POP 郵件收取等,皆是使用實際文字或數據進行傳輸,而這種方式非常不安全,很容易被其他人截獲這些文字內容及數據或是有可能被有心人士篡改內容和數據後再發至真正的伺服器。而使用 SSH 機制能把所有傳輸的數據加密,故可增加資料傳輸的安全性,也能夠防止 DNS 伺服器回報虛假網站的 IP 地址,以及傳輸的數據經過壓縮而使傳輸速度加快。因此,SSH能減低被入侵的風險及為網路及資料傳輸提供可靠機制 。

shinyi 提到...

79836108 賴欣怡 
79836110 許蕙婷  
79836016 邱璿如  
79836125 吳宜環

3. 這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與黃姓系統管理者有關?

(1)是匿名EMAIL,因為從信件上無法得知對方的真實姓名
(2)免費信箱申請容易,使用者只須填幾個資料,甚至利用身份證字號產生器即可通過驗證;另一方面,免費信箱有讓使用者自行更改寄出信件的寄件人名稱的設定,故匿名更容易
(3)由於電子郵件所能查到的IP是使用的mail server的ip,因此除非mail server站方願意提供該寄件者的資料,否則銀行一般來說是查不出來的。
(4)因為個案前面有提到,黃姓員工並非本科系,但卻對自己的電腦「技術」為榮,在虛擬世界也很愛和他人聊「內幕消息」,可能因此讓使用該銀行的客戶感到不安及不滿,況且在mail上名稱黃OO的人對於銀行內之福利十分了解,又提到在銀行資訊室工作。除此之外,黃姓員工在2008年10月才剛進公司,該信件則是2008年11月底左右寄發,由時間關係判斷,銀行才懷疑黃姓系統管理者可能涉入其中。

4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?

我們覺得是對該銀行的資訊安全有疑慮的銀行用戶所寄的。就轉寄的情形看來,我想可能黃姓資訊人員可能並不認識那位申訴者。較有可能的情況是:黃姓員工用msn向JJ CHEN友人一邊炫耀自己的技術,一邊暗示自己在高失業率的情況下不但獲得銀行的高薪高福利工作,還能邊上班邊打混,因而造成JJ友人的不滿,私下將msn內容轉寄給其他朋友看,沒想到該朋友剛好是A銀的用戶,一氣之下將此封email寄至A銀申訴。

5. 這家銀行,面臨甚麼資安問題?

首要的問題就是:員工篩選以及教育訓練。在篩選員工上除了工作技能要重視之外,團體合作的態度也要一併納入考量,並且在錄取員工之後必須先進行完善的教育訓練,不只是技術方面的提升,也要讓員工對於公司有更高的忠誠度。雖然基於隱私的考量,不應該在員工電腦裝設監控軟體,但是為了客戶交易以及存款之安全,本組認為公司應該要在負責控管重要資訊的員工電腦中加設監控軟體,以防員工將重要訊息外流或者是造成防火牆作業之漏洞。

其次則是:加強防火牆的漏洞。假設黃姓員工10月初便進入公司,那麼從他寄出email是11月26日的時間判斷,該員工最多只花兩個月不到就能破解A銀的防火牆,顯示該銀行抵禦駭客攻擊的能力非常低落,因此必須要慎重的重新考慮防火牆配置以及強度,以維護客戶交易安全為最優先考量。

林小多 提到...

79836102 葉士豪 79836111 溫子恆 79836118 林承勵

1. 如何避免資訊外洩?常見的方法有哪些。請查閱教科書或其他書籍,說明常見的資訊安全的威脅有哪些。
a. 垃圾郵件 (SPAM MAIL): 儘管它很討厭,但是除非你點選它,否則他並不會構成威脅。
b. 網路釣魚郵件 (PHISHING MAIL): 有些網路釣魚訊息 (phishing message)會假冒知名的公司,例如:銀行, 網路購物...等,誘使你輸入帳號(username)及密碼(password)之後,再進行犯罪之實。
c. 無線網路攻擊 (WIRELESS ATTACK): 如果你不注意,有心人士將竊聽你的無線網路,並且搜查你的檔案。
d. 駭客攻擊 (HACKER ATTACK):
e. (WEB EXPLOITS)
f. 網路廣告 (ADWARE)
g. 病毒 (VIRUSES)
h. 間諜程式 (SPYWARE/TROJANS)
i. 個人資料竊取 (IDENTITY THEFT)
j. 社會工程 (SOCIAL ENGINEERING): 以這個角度來看,最大的元兇是你自己本身,也就是說,通常危機發生的原因就是因為自己本身使用來路不明的軟體,或者沒有讀過pop-up視窗的內容就直接點選。
應對週遭異常的人、事、物保持高度之警覺,及增設資訊安全防護設施,例如﹕設定使用帳號與權限、定期更換密碼、資訊加密、數位簽章等,以避免非相關人員接觸或使用資訊設施或資料,增加洩密之機會,因此,為維護資訊安全,我們應妥採管制作為:人員管理及資訊安全教育訓練、嚴防不法破壞盜拷、縝密資枓處理儲存、厲行檢查管制措施。

2. 甚麼是SSH?
在Unix-based作業系統上一個有名的安全登入控管、命令執行和檔案傳輸的服務協定。當公司規範禁止使用即時通訊軟體(Instant Messaging,IM),通常會採用防火牆進行阻擋。而SSH Tunnel的作法可以提供加密、代理(proxy)等功能,經過適當的設定,就有可能避開防火牆的阻擋,使MSN可以正常運作。

3. 這封email是匿名email嗎?為什麼email很容易匿名寄信?銀行查得出來是誰寄的嗎?您覺得,銀行為何懷疑與黃姓系統管理者有關?
a. 是匿名EMAIL,因為從信件上無法得知對方的真實姓名且又是從免費信箱發送。
b. 免費信箱有很多且免費信箱填寫的資料可輕易造假,匿名容易。
c. 應該沒辦法,除非Email站方願意提供該寄件者的資料,否則銀行一般來說是查不出來的。
d. 因為提到他瞭解公司內部的操作,加上內部的員工福利的描述,而且信中透露出他擁有資訊方面相關的能力,種種原因,所以懷疑是黃姓員工所為。

4. 您覺得,那封向客服人員申訴的信件,是誰寄的?是黃姓資訊人員寄的?還是他的朋友寄的?寄信人想做甚麼?
a. 寄件者為黃○○的信件應該是黃姓資訊人員所寄出,內容主要在於炫耀自己的資訊技能和工作很輕鬆,在其他員工都無法使用MSN軟體時自己卻可以利用自己的資訊背景知識破解使用,並且宣稱自己的資訊技能有能力串改銀行內的存款數字。除此之外,雖然信件標題為「上班好累」,但是信件內容卻是在誇耀自己的工作輕鬆即使上班依然可以使用MSN軟體,而且待遇福利又好。
b. 寄件者為lin和JJ Chen應該是黃姓資訊人員的朋友或者是其他看到黃姓資訊人員信件的人,內容主要在描述對於看到信件之後的不滿,認為A銀行管理制度有問題,為什麼A銀行資訊人員工作輕鬆又可以享有好的福利,此外,也對於A銀行的資訊安全政策抱有懷疑態度,深怕自己的權益遭受損害。

5. 這家銀行,面臨甚麼資安問題?
a. 公司內角色與其權責制度並未完善落實。
b. 公司員工軟體使用之控管。
c. 資訊人員除了資訊能力及素養之外,同時要具備道德素養。藉由黃姓資訊人員寄給朋友的信件內就發現到資訊人員自己違反公司規定之外,更向朋友透露了公司資訊安全的漏洞(告訴其他人利用SSH隧道有機會突破公司防火牆串改存款數字),對公司來說無疑是最大的資安漏洞。