一、影印分發重要機密文件時，應分別編號；依編號不同，分別在各件適當位置處註記，以明確持有人保密責任。影印時應全程在場，影印後立即將資料取走，適值影印機夾紙故障，應即時取出文件，避免留置或遭人截取。

二、傳真重要文件前，傳送方式應先以電話通知收件人，傳送資料完成後，雙方應以電話核對傳送張數是否相符；遇有不清晰處，應要求再傳送一次，不宜逕以電話宣讀填註，以免洩密。機密文書應避免以傳真方式傳送。

三、廢棄機密文件不應逕棄於垃圾桶內；或雖做銷燬處理，但是，碎紙機銷燬能力不足，僅能碎成三釐米左右紙條；此時，若遭有心人士蒐集並予處理重組，機密文件旋即曝光。就保密性而言，焚燬優於銷燬，廢棄機密文件之處理應以完全焚燬為原則。

四、主管機構密發給個人的權責代碼及密碼，係用於操作電腦以存取重要機密資料；依個人權限不同，作業範圍受嚴格限制。密碼應妥慎保管，嚴防外洩。上機作業時，遇有離座需要，應即關機或離線跳出作業系統，使電腦螢幕空白，防止他人窺視機密；必要時，應加裝錄影監視系統，俾增加作業安全及追究使用責任。

五、重要機密資料（如標單、底價單）作業時，遇有離座需要，應即妥收密件入櫃，俾防遭人抄錄或翻閱，造成洩密。

六、機密文件在傳遞郵寄過程，常見缺失情形及預防作為：

 （一）使用雙封套郵寄密件時，外封套上不宜書明函內封存密件內容，避免引人覬覦；內、外封套寫受文地址、受文單位受文對象，應注意是否相符防止傳遞過程遺失。

 （二）內封套上應明確書寫收文對象或密件名稱（或代號、文號），俾收文人員正確轉交有權拆閱人員，避免困擾；封口應加蓋密戳並予封實，以防止遭人拆封或竊讀。

公務員保密義務範圍甚廣，且偶一不慎即可能洩密，倘發生洩密事件，非旦造成單位巨大傷害，而個人亦將為己之過失負擔法律責任，其嚴重性萬萬不可輕忽，尤其本局監理單位保存民眾車藉、駕藉資料，更應具體注意公務機密維護事項如下：

（一）機密文書，會簽、會稿、陳核．．等，應由承辦人員或單位主管親自持送，不得假手工友傳遞。

（二）參加應屬保密之會議（例：人事甄審委員會、工程採購招標底價訂定、預算審查會等．．），應於會後恪守保密規定，不得向他人透露。

（三）處理機密文書在全案未終結前暫不歸檔，應由承辦人妥慎保管存於設鎖之箱櫃內，不得與普通文件混合放置，並隨時注意有無不利於保密之跡象。

（四）下班或外出對經辦各項公務文件，不論是否涉有機密，均應妥為收藏加鎖後再行離開。

（五）非依權責，不得私自對外發表有關公務談話，或洩漏公務消息。

（六）凡公務上一切會商、會簽意見，無論是否機密，不得因個人之示惠交際或推諉責任，向案中關係人出示或洩漏。 亦不得隨意向人談論。

（七）因職務上掌管之各項個人資料（例如車藉、駕藉），除應遵守「電腦處理個人資料保護法」之規定外，並應依內部管控規定，妥適運用處理，以防止外洩。

（八）個人電腦硬碟或磁碟片須錄製建檔機密資料者，應加設資料存取控制。與業務無關之外來磁碟片不得上機使用。

 倘一旦發生洩密事件，應立即追查責任，並考慮可能產生之損害，並通報政風單位。

壹、 案情摘要：

公路總局○○監理站約僱操作員鄒○○於90年1月間，連續於同仁辦理車籍異動作業之際，找藉口或利用中午休息期間借用同事電腦，或以自己密碼進入，私自查詢車主資料，再迅速以紙張抄錄，提供屏東縣團管區約百餘份車號及電話，另外查詢其丈夫的違規資料，或義務幫忙親戚朋友，未收取任何酬庸。涉嫌違反刑法第132條「公務員洩漏或交付關於國防以外秘密之文書、圖畫、消息或物品者，處三年以下有期徒刑」及電腦處理個人資料保護法第7、8條「公務機關對個人資料之蒐集或電腦處理與利用非依法或正當理由等不得為之」。

貳、 查證情形：

員因害怕以個人密碼開啟的視窗盜查資料，會留存紀錄、禍延己身，乃多次利用同仁於承辦民眾車籍異動作業之際，找藉口或利用中午休息期間借用同事電腦，形跡詭譎，為同仁發覺，案經政風人員發掘異常透過電腦作業紀錄查證逐一核對，鄒員坦承犯行，移送調查機關偵辦。

參、 責任訴追：

一、 刑事責任： 鄒員因違反洩漏車籍資料於他人，嚴重違反個人資料保護之相關規定，涉嫌刑事責任部分移送調查機關偵辦。
二、 行政責任： 經考成會審議核布記大過並調職，以昭迥戒。

肆、 弊端癥結：

一、 未釐清或界定公務與個人私事需求區隔之法令規定，故若員工意念不堅，易受外界利 誘，形成管制上的漏洞。
二、 鄒員只查詢不列印，再以抄寫方式外傳資料，電腦程式當時尚無法全面紀錄違法證據 ，予可乘之機。

伍、檢討策進：

一、 立即解除鄒員電腦使用權限，也調離櫃台電腦操作工作。
二、 車籍資料之調借，為符保密規定，司法及治安機關須以正式公文書或緊急程序指派專人 洽取，否則不得提供。
三、 對於員工平常辦理任何車籍資料異動，主管應主動管制勾稽，遇有不當操作行為癥候， 即時勸阻處理，以防範洩漏禍患於未然。
四、 自93年9月1日起建立電腦程式，車籍資料查詢全面紀錄，倘有違法亦可據以追訴。

為杜絕中國利用「合法掩護非法」手段，對我國進行非正式情搜活動，日前召開約全日保防會議中，國安單位要求在中國參訪、學術交流人士來台時，各部會、政府相關機關應加強保防安全。

此外，有位於近年來中國共諜刺蒐軍事祕密的案件不斷，日安付給人員也要求軍事機關強化軍中保防工作。

調查局於本月五日，在法務部召開半年一次的全國保防會議，出席官員包括行攻院所所屬部會的次長、一級機關的副首長、國安局副局長王進旺、警政署長張四良等人，法務部長陳定南相當重視這項會議，特別排開公務行程與會。

國安單位情資指出，去年一年有多達三千個中國學術、科技等各類參訪團來台，但情蒐發現，多位具有中國官員身分者夾雜其中，不排除有利用「假參訪，真情蒐」的手法，士日對我國政府機關進行蒐集、滲透等行為。

國安官員認為，面對中國政府「交流滲透]攻勢，我國政府機關官員的「整體保防能力」仍嫌不足，故要求各部會、相關機關在中國參訪團體來台時，應注意保防工作，避免政府重要機密遭到到窺探或洩漏。

刑事局偵丸隊砟夭破獲三八組駭拿集體非法入侵國內十九個機關學校及貪訊公司上千部電腦主機案，彼逮的主嫌周家慶，目俞在台北縣勞主局局長室服替代役。警方指出，周象慶與同夥游晉哲、孫志仁組成「駭客委員舍」，以大陸駭客程式入侵「占領」十九個機關、學校的間置電腦，充當「盜版倉庫」存放盜版電影及色倩光碟等貪料後，採會員制方式提供下載，販賣盜版色情先碟牟利。

偵九隊是在上月問接獲線報，指中原大學遭駭拿入侵，經派人調查發現入侵該學校網站的lP來白台北縣勞工局、中壢市英市三街及台中市南區合作街等地，於是鎖定在勞局替代役的周家慶、中壢市替代役男游晉哲與台中市民孫志仁等三人進行調查。
偵九隊長李相臣表示，周等八將政府及學校機關奄腦主機充當「盜版主機」犯罪手法，現在電腦界相當盛行。目俞從網路租的網頁全間朱量小，必須花錢，還未易彼本-獲，但周等八改以駭象手法八侵機關及學術機關奄腦主穢，除不易彼發覺，還可迸開本-緝，不用花栽，是一種二早望賣空﹂最新犯罪手法，且是國內本-獲首例。

由於周家慶使用大陸人士製作的駭拿程式「CCProxy5.0」遠端遙控軟體，入侵政府公象機關叉學術機構奄腦主機，刑事局令析彼入侵的電腦主機紀錄，發現電腦紀錄經由大陸駭客程式回傳太陸，不排除受害電腦主機重要機密資科外洩流至大陸可能。
由於駭客入侵手法與一般駭客入侵後破壤或剽竊資料的慣性不同，警方交叉比對各項證據才發現，該駭束組織入侵電腦系統，竟是利用政府機關及學術網路寬頻網路速度快及電腦主機儲存量大之特性，大量儲存及傳送盜版熱門電影、電腦軟體、音樂及色情光碟所需之電腦檔案，並供人下載、收取晉用，牟取不法利益。

由於受害對象多為學術機構，且有大量電磁紀錄流向中國大陸，刑事局偵九隊報請板橋地檢暑主任檢察官羅松芳指揮偵辦。昨天下午由羅松芳率警方前往台北縣勞工局長室查扣周家慶使用的電腦，並查扣可疑磁片，另兩組人員同步在台中及中壢杏獲周的孫姓及游姓網友，一併查扣他們的電腦設備及網路通信紀錄，及駭客程式及相關電磁紀錄。

警方調查，周家慶等三人組咸的﹁駭客委員會﹂，分工極細，由周負責以駭客程式入侵電腦主機，游晉再上網利用傳送訊息軟體吸收會員，另由孫志仁負責收集盜版及色情先碟。警方發現，周等人為逃避警方查緝，吸收會員特相當謹慎，新入會者須經﹁駭客委員會﹂共同投票通過，才能入會，下戴一次收一千至兩千元。

周家慶及孫志仁向警方承認，以該束手怯入侵網路販賣盜版及色情光碟，但否認竊取資料外流至大陸，檢警仍深入調查及解讀查扣電腦資料。刑事局調查，被周等人以駭客手法入侵的政府機關包括台北縣政府勞工局、行政院勞委會職訓局、宜蘭縣政府教育局，以及中原大學、台灣大學、大華技術學院、中山大學、中央大學、中正大學、中原大學、交通大學、成功大學、東華大學、嘉南藥理科技大學及靜宜懷疑尚有許多未曝光的受害者，正連夜解讀查扣的電腦資料內容。

前些日子，一家銀行請一位曾經營商失敗虧損一億六千萬元，結果憑他自己的努力，用四年的時間，還清了全部債務的名藝人作代言人，在電視上打廣告，推銷這家銀行目前非常熱門的現金卡。廣告推出以後，不知道是藝人的高度還債能力吸引了想效法的人上門，或者該項商品的確符合市場需要，為銀行招徠到不少現金卡的客戶。但由於廣告詞句中出現一句:「借錢是一種高尚的行為」的話，引起社會上不同層面的迴響：有人認為這廣告策略很好，可以教育年輕人，只要用負責任的態度借錢，借得抬頭挺胸，借得理直氣壯，．所以借錢是一種高尚的行為。持不同看法的人則認為這則廣告只誇張借錢的便利性與正當性，卻沒有說明欠債要還錢的訊息，向社會大眾傳遞不正確的觀念。經過多數民眾向主管機關行政院新聞局反映後，該局為了避免誤導青少年錯誤的觀念，召集該局由學者專家組成的電視廣告諮詢委員會開會，經過出席的專業人士深入討論後作成決議，建議把這廣告列為限制級，只能在晚上十一時以後，凌晨六點以前的時段內播出。

按著，另外一家銀行也在電視上大打他們所發行的現金卡廣告，螢幕上出現一對情侶，女友大聲責怪牠的男友說：「沒有錢還跟我出來約會」宣導辦他們的現金卡只要花三十分鐘，沒帶錢那成問題。而且強調免擔保、免信保還免開卡費，借款最高額度是五十萬元。這支廣告也被主管當局認為誇大行銷，有損形象，被建議移至深夜時段播出。除了這些有爭議的電視上推銷借錢廣告以外，翻翻一些乎面媒體的大型報紙，也都是整版的誘人借錢小廣告：﹁一張票換現金﹂、﹁只要有票，首次零利率﹂、﹁身分證借十萬﹂、﹁二萬內，免扣息﹂、﹁您缺錢嗎7借錢很容易﹂，今人眼花撩亂的美麗詞句，若起來好像是只要您肯借錢，一通電話就會有人把錢用雙手捧給您。難怪有人說:﹁臺灣錢淹腳目﹂，才會有這麼多的錢等人去借，而且都沒有透露出借錢要還的訊息。

在國人傳統的觀念上，向人借錢不是一件很光彩的事，連當鋪的門都被掛上布簾了，讓上門的顧客可以遮遮掩掩，不致被熟人看到而不好意思。如今這些借錢的廣告，人剌剌地告訴社會大眾，借錢是一種方便的、高尚的行為，儘可以抬頭挺胸，埋宜氣壯來借錢。這種要人借錢廣告的做法，的確會誤導年輕人產生借錢沒有什麼了不起的心理，養成用債養債的壞習慣，畢竟像那位代言的藝人一樣具有超強還債條件的人並不多，他能我們未必也能，一旦週轉失靈，導致信用破產，那時候想要維持彩色的末來人生可就難了。主管機關要這些廣告走向限制級不無道理。

借錢的行為是不是高尚，在社會倫理中並無一定的定義。就法律上的意義來說，也扯不上這種行為是好是壞。因為借別人的錢來供自己使用，然後把錢還給借錢的人，這一連串行為，在我國的民法上是被定位為消費借貸的一種契約行為。什麼是消費借貸呢7民法的債編把借貸契約分類成使用借貸與消費借貸兩種：使用借貸是指借用別人的物來供自己使用，不須付出任何代價，用過以後把原物歸還借與人。如果要付出代價的話。那蹴屬於租賃契約的範圍，不稱作使用借貸了。消費借貸依民法第四百七十四條規定，是指﹁當事人一方移轉金錢或其他代替物之所有權於他方，而約定他方以種類、品質、數量相同之物返還之契約。﹂另外，消費借貸是可以約定利息或者其他報酬。這又與使用借貸大有不同。向別人或者向銀行借錢來使用，講好借錢的條件與歸還的期限，這種過程，就完全與這法條所規定的契約形態相符。法律既然把借錢的行為定位為一種契約關係，而契約的訂立．，依民法第一．百五十三條規定：﹁必須當事人互相意思表示一致者，無論其馮明示或默示，契約即為咸立。﹂由火-曰條法條觀察，訂立契約必須要有二個以上的當事人，相互之間要有對立的或者交換的意思表示，而這些意思表示又能達成二致，才能成立契約，發生法律上效果。

就借錢這一件事來說，貸與金錢的一方即金錢出借的人，表示有錢出借。提出可以出借的金額，要收取利息的利率，可以借用的期限作為借用的條件。．有金錢需求的借用人，提出借錢的表示，並接納貸與人有關借錢的偽件。雙方借錢契約便因意思表示合數而告成立。在訂立借錢契約的過程中，當事人都有完全自主的權利，如果認為契約中的某些條款對自力不適合，可以要求對力更改，對方不同意，自力叉不能接受，訂約的事就告吹了。所以訂契約的雙方誰也不比誰大，誰也不比誰高尚。

至於契約成立後，契約的一方沒有按照契約所訂的條款履行，那就另當別論。因為這是屬於契約的效力問題，通常這些違約情形，大都發生在借用人身上，借用入不按時繳利息還本金，貸與人就可以依據契約行使權利，這時貸與人就變身為債權人，除了要求償還本金給付利息以外，還可以做民法第二．百三十三條第一項規定要求加付遲延利息。約定有違約金者還可以要求給付違約金。這時借用人的身分也變成債務人。債權人在催討無效之後，就會採取一連串維護債權的行動，埋性的做法是向法院提起民事訴訟，有保證人的契約連保證人也得陪著上法院。得到勝訴判決以後聲請法院強制執行，有財產的對財產查封、拍賣。查不到財產扣薪還錢。總之是不會讓人好好過日子，除非把債還清。至於非理性的討債像委託討債公司追討，用的一些手法更是讓人受不了。

不景氣聲中利息直直落：銀行的爛頭寸也難以覓得去路，借錢的確變得很容易，不過在借錢的時候也得多想想自己還錢的能力。否則一味猛借到時候還不出錢來，不但自己信用破產，連家人和朋友有時也會受到拖累，真的到了這地步，想過彩色的人生的生活，就要付出更多的心力。

無論是公營機關或私人企業、均有可能面臨資訊安全的衝擊，
不僅是機關的正常運作、企業的永續經營受到影響：甚或國家安全亦受到威脅。

壹、前言

行政院國家資通安全會報於九十一年八月發布警訊，中國大陸駭客自九十年十一月至九十一年七月間，透過電信業者之備用主機為跳板、入侵政府機關網站，竊取機密性資料。行政院因此下含各機關應重視資訊安全，與本案相關之部會主管應特別加強督導。

隨著網路技術與通訊科技不斷地推陳出新，無論是正公營機關或私人企業，均有可能面臨資訊安全的衝擊：不僅是機關的正常運作土業的永續經營受到影響，甚或國家的安全亦受到威脅。本案的發生不但發出警訊，更暴露資訊安全的漏洞與疏失，如何加強資訊安全工作，尤其是網路安全管理的漏洞為當前重要課題

貳、駭客入侵方式

本案發生後：刑事局偵九隊等單位緊急派員在被入侵之電腦內加灌防堵駭客程式，隔絕對外網路，以防範再度入侵。駭客入侵方式如下：

一、 駭客利用系統弱點如微軟iis入侵備份主機系統，並在此主機內植入後門程式，建立入侵基地。
二、 駭客由此入侵基地利用所植入之後門程式，以密碼猜測的方法嘗試入侵所連接的客戶主機。
三、 一旦入侵成功即為客戶主機的合法使用者，甚或取得客戶主機系統管理者的讀取權限，即在客戶主機內蒐集讀取所需要的資料，並將之傳回入侵基地。
四、 入侵基地的後門程式將收集到的資料傳回駭客，並在攻擊基地清除入侵的痕跡與證據。

參、檢討與加弱防範措施

一、 相關被入侵之機關網站末確實依據﹁行政院及所屬各機關資訊安全管理要點卜第渠章網路安全管理第二十二、二十三、．二十四及二十六點之規定，對重要性、機密性資料嚴加管理，以致造成機密資料外洩。其次被入侵主機之測試帳號均甚簡單，例如通行碼及密碼多設成12345或原來設定的帳號(如webmaSter、ftp、administrator、、account、root、Web、admin等)。駭客因此取得這些主機通行碼/密碼，顯然係管理者警覺性不足，而予入侵機會，應引以為鑑。前述相關要點如下：

二十二、各機關利用公眾網路傳送資訊或進行交易處理．，應評估可能之安全風險;確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求：並針對資料傳輸、撥接線路．網路線路與設備、接外連接介面及路由器等事項，研擬要適的安全控管措施。

二十三、各機關開放外界連線作業之資訊系統．，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

二十四、各機關與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與機關內部網路之資料傳輸與資源存取。

二十六、各機關利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及朱經當事人同意之個人隱私資料及文件，不得上網公布。機關網站存有個人資料及檔案者，應加強安全保護措施，防止個人隱私資料遭不當或不必之竊取使用。

二、 本案經檢討後建議加強以下防範措施：

(一)全面檢討網路及系統安全性，針對漏洞追蹤改善：

立即協調資訊單位檢查所有服務主機，並依特性分別訂定安全等級。
上建議視資訊系統建置情形指派管理人員依安全等級定期記錄檢查。

(二)成立網路安全小組：訂定主機安全等級，加強資訊安全稽核。

(三)資訊單位定期進行弱點掃瞄，至少每季或半年做一次通盤性弱點掃瞄。對較嚴重的特定弱點或病毒下則不定期依需要掃瞄。

(四)加強宣導二般人員對資訊安全的認知：個人電腦應安裝防毒軟體。不隨便開啟來路不明的E-mail或下載來路不明的檔案。

(五)提升系統管理人員資訊安全管理能力：主機建立系統稽核檔，避免被植入後門或木馬程式，即時更新作業系統及應用程式之修補程式。注意網路上相關安全議題，及早防範。並按時分析系統紀錄檔。加強系統管理者對主機系統紀錄之解讀能力。

(六)加強網路安全管理：採用防火牆保護。隔離外部及內部網路，且避免攻擊者以間接方式入侵內部網路。開放外界連線使用之資訊系統，儘可能以代理伺服器。

(七)落實系統取存控制：系統存取權限應嚴格控管。且使用者帳號密碼應定期更新，且不得使用不安全密碼。需以遠端登錄方式維護之主機，需限制存取清單，並加強控管。

(八)存放機密性：敏感性資料電腦主機不可連接到網際網路。

(九)資訊系統安全等級的分類，加強資通安全軟硬體環境建置，將重要的資訊系統或資料從網際網路隔離出來。

肆、政風單位之角色

一、 依據「行政院所屬各機關資訊安全管理要點」第肆童第九點及第十點之規定，政風單位負責辦理資訊機密維護及稽核使用管理事項;以及實施外部稽核之會同辦理單位。於網路安全方面扮演三個角色功能：

(二)宣導功能：不定期提醒各單位重視網路安全。

(三)推動功能：推動資訊稽核小組及各相關單位確實實施網路安全查核。

(四)協調處理功能：事件發生時應立即協調相關單位處理，對警調單位可以發揮聯繫協調處理之功能，並釐清責任界限，另督促辦理應興應革事項，防範類似事件再度發生。

一、 各機構應加強資訊安全管理與稽核，對於應改善者予以追踩複檢。又鑒於遭駭客入侵之備用主機係疏於管理，各系統宜建立設備清單列為查核重點，並經設備管埋人員及其主管簽認，以確認各系統的柑關設備均有專人管理及督導，而防範類似事件再度發生。

伍、建議事項：

一、 政府機關儘可能採用虛擬專屬網路Q︵VPN︶方式建置網路，透過主管機關連接至網際網路，降低危險性。
二、 對於無資訊人力之基層政府單位，儘可能不要在網際網路上自建網站，避免被入侵或成為攻擊之跳板。
三、 政府機關委託學術研究單位的研究計畫，對於敏感文件處理、交付及儲存方式，應於合約內註明，避免造成困擾。
四、 密碼設定過於簡單或使用初始預設值者，應全面清查督導改善。

陸、結語

資訊安全工作因系統不斷更新，會有新的安全漏洞或弱點出現，要防範所有的漏洞或弱點相當困難，各機關必須注意可能出現的危機癥派與異常活動報告，積極防範事件發生；政風單位對於資訊安全相關法、技術標準及規範等，應持續右我充實，以善盡在資訊安全中扮演的角色。 　

備註：

後門程式： 由系統開發人員所檀人之程式以供曰後方便維護系統之用途，惟往往被駭客等有心人士利用非法存取
通行碼： 通常在登入系統時所需輸入的字元序列，以作為鑑別身分之用途。
密碼： 應與通行碼相似。
資料加密： 利用數學方法將資料內容轉換成亂碼形式，使偷窺者無法輕易解讀文件內容。
身分鑑別： 用來證明使用者所宣稱身分之程序。
電子簽章： 依附在電子文件並與其相關連，可用以確認電子文件簽署入身分及電子文件真偽。
防火牆： 透過安全檢查機制來防護可信賴網域：可有效．隔離約．約全瑯象蔓延速度。
安全漏洞偵測：通常是利用軟體︵掃瞄︶程式找出酌．酌-系統在設計或建置上等等所造成的缺失。
弱點掃瞄： 利用掃瞄程式找出系統親有的弱點與安全漏洞。
木馬程式： 由惡意人士所擅入乏程式以供日後方便入侵系統之用途。
虛擬專屬網路（VPN，Virtual Privacy Network） 在較不安全的公眾網路上利用資訊安全技術建立一個安全度高的虛擬化專用網路。