NEWSLETTER
104-10-26
政風電子報第118期
政風電子報第118期
廉能是政府的核心價值,貪腐足以摧毀政府的形象,公務員應堅持廉潔,拒絕貪腐
政風電子報第一一八期 發行日期:2015-10-26
◎廉政警示站
一、法務部廉政署偵辦花蓮縣消防局副局長林○○圖利廠商暨收受賄賂案,業經臺灣花蓮地方法院判決有罪
花蓮縣消防局副局長林○○於100年間辦理該局緊急避難包採購案時,接受廠商吳○○請託,由吳○○以捷士豋皮件行名義投標,林○○則配合於評選會議中護航,林○○明知捷士登皮件行未曾承做過該局任何採購案,竟為圖利捷士登皮件行,於評選委員詢問「是否有曾合作過之廠商」時,以手勢表示曾與捷士豋皮件行合作,並向評選委員佯稱其「過去記錄都很好」等語,使評選委員陷於錯誤,而影響評選結果,捷士登皮件行因而順利得標,並由得標廠商轉由瞿○○向大陸地區採購劣質緊急避難包交貨,直接圖利捷士登皮件行不法獲利約新臺幣(下同)845萬元,嗣林○○即收受吳○○交付90萬元之賄款作為對價。
案經法務部廉政署調查認事證明確,移送臺灣花蓮地方法院檢察署(下稱花蓮地檢署)偵辦。花蓮地檢署檢察官偵查終結,提起公訴。嗣經臺灣花蓮地方法院於104年9月18日判決林○○犯公務員對於違背職務之行為收受賄賂罪,處有期徒刑7年6月,扣案之犯罪所得財物 90 萬元沒收之,又犯偽證罪,處有期徒刑3月;吳○○犯非公務員與公務員共同對主管事務直接圖利罪,處有期徒刑3年,未扣案之犯罪所得財物 320萬元應予追繳沒收,又犯對於公務員關於不違背職務之行為行求賄賂罪,處有期徒刑3月,又犯偽證罪,處有期徒刑3月;瞿○○犯偽證罪,累犯,處有期徒刑4月。
二、法務部廉政署偵辦雲林縣政府水利處水土保持科技士柯○○涉嫌不違背職務收賄案,業經提起公訴。
法務部廉政署中部地區調查組偵辦雲林縣政府水利處水土保持科(下稱水土保持科)技士柯○○涉嫌不違背職務收賄案,調查發現柯○○於民國102年7、8月間至103年5、6月間承辦該處辦理之「149甲線32K+250-32K+750及33K+250-33K+950修復工程(重新發包)」工程時,明知工程契約未規定廠商需提供設備,竟假稱工程需要,私下分二次向承攬廠商永○營造工程有限公司索取筆記型電腦設備、手機等3C物品供其使用,並由承攬廠商提供手機門號供其免費上網使用,共獲得賄賂及不正利益總價值為新台幣32萬餘元。
案經廉政署移送臺灣雲林地方法院檢察署檢察官偵辦後,以柯○○涉犯貪污治罪條例第5條第1項第3款不違背職務收受賄賂罪嫌,向臺灣雲林地方法院提起公訴。
---本文轉自法務部廉政署全球資訊網---
◎法治視窗—提起民事訴訟,得先墊付訴訟費用 文 / 葉雪鵬 (曾任最高法院檢察署主任檢察官)
日前有新聞報導:台南市一戶曾姓人家與隔壁的林姓人家是隔著一片牆的老鄰居,兩家原本交情不錯;多年以前,曾姓人家的祖母與林姓人家的祖母合資建造一堵牆,將兩家的土地一分為二,各自使用各自的土地。原本是井水不犯河水的好事,沒想到兩代以後的子孫交惡,經常為了一些小事而磨擦不休,多年以前林家在自家牆內增建了一間鐵皮屋當作廚房,於是問題就發生了。曾家認為林家添建的鐵皮屋侵占到曾家的土地,鐵皮屋的雨水和升火煮食時的油煙都一面倒吹向曾家的土地上,害得曾家種栽在地上的蘭花枯死。因為兩家可以坐下來談的機會不多,於是便直接將爭議告上法院,要求林家賠償占用土地十五年的使用費相當於租金的新臺幣(下同)二十萬元、賠償花木枯死的費用十萬元,兩項合併計算是三十萬元。法院對於受理的民事訴訟,是採取收取「裁判費」的有償制度,並非平白提供無償的審判服務。所以不怕原告方面有沒有理由獅子大開口提出不合理的要求,只要先依規定繳清了該繳的「裁判費」,法院才會開庭按照原被兩造的爭議,一項一項來評斷那方面有理由,最後作出讓兩造信服的判決,同時也判決訴訟費用該由誰負擔。
什麼是訴訟費用?訴訟費用該由誰來負擔?在民事訴訟中,原本只是法官對於主要訴訟解決以後,順便要附帶解決的小問題,可是在《民事訴訟法》中卻當作大事件來辦。光是與訴訟費用相關的法條,自該法第七十七條之一起至第七十七條之二十七條止,就有二十七條之多。官司尚未開打,就得先對一些訴訟費用作出決定,訴訟費用的問題解決以後,原告與被告才可以在法庭上展開您來我往的言詞交鋒。一般來說,訴訟費用可分為「必要訴訟費用」與「非必要訴訟費用」兩種:像必須繳交國庫的「裁判費」,如果原告珍惜金錢不想隨便亂花,不依法院的規定去完納,經法院通知補正又置之不理,原告提起的「訴」,便會在程序上,被法院依第二百四十九條的規定,用裁定駁回。也就是說,這件官司就不必再打了!除非換個面貌,重新再來過,因為駁回訴訟的裁定,只是終結一件案件而已,並沒有確定力,所以「裁判費」就屬於支出的「必要訴訟費用」。繳了裁判費以後,法院就有責任,將案件判得一清二楚。同時,像法院每次開庭要通知當事人、法定代理人或其他依法令代當事人為訴訟行為之人,經法院命其兩造到庭的雙掛號送達的郵資,以及法官、書記官、執達員、通譯等在法院外執行勘驗等訴訟行為,依第七十七條之二十三條第四項的規定,就不必再另行繳納了。所以,法院收取一定數額的「裁判費」,不光是用在裁判方面的費用,也包括用於與裁判相關的費用,如果案情繁雜,當事人眾多,法院若多開了幾次庭,有時光花用在送達開庭通知的雙掛號郵資方面,就難以支應,只能自其他簡單案件中截長補短了!至於「裁判費」的徵收,雖然都是一些雞毛蒜皮的小事,但對承辦民事訴訟的法官來說,卻是一門大學問,不是「馬馬虎虎」就可以敷衍了事的。當事人提起民事訴訟,依《民事訴訟法》第一百四十六條規定,必須要提出書狀,書狀中規定有許多當事人必須依據格式記載,缺一不可。就以「起訴狀」來說,依該法第二百四十四條第一項規定應提出於法院「起訴狀」必備三種程式:第一、要記載當事人及法定代理人,也就是這案件的當事人的詳細資料。第二、訴訟標的及其原因事實。第三、應受判決事項之聲明。根據這三點的內容,馬上就可以看出受理的民事訴訟案件法院對於案件有沒有審理的「管轄權」和「裁判費」該如何繳納的問題。因為依據該法第七十七之一條第一項的規定:「訴訟標的之價額,由法院核定。」如果沒作詳細記載,法院憑什麼來核定「裁判費」呢?
核定訴訟標的之價額,以起訴時之交易價額為準;無交易價額者,以原告就訴訟標的所有之利益為準。凡此,同法條第三至四項都有規定。法院因核定訴訟標的之價額,並得依職權調查證據:「第一項之核定,得為抗告。」第七十七之二條又規定:「以一訴主張數項標的者,其價額合併計算之。但所主張之數項標的互相競合或應為選擇者,其訴訟標的價額,應依其中價額最高者定之。(第一項)」、「以一訴附帶請求其孳息、損害賠償、違約金或費用者,不併算其價額。(第二項)」 這件台南市曾姓與林姓兩家的訴訟,報上透露出來的「訴訟標的」共有兩個:一個是被告建造鐵皮屋侵占到原告曾家的土地,要求十五年間的使用費二十萬元;另一訴訟標的是鐵皮的雨水和吹向他家地上的油煙,使他家地上的蘭花枯死,要求賠償十萬元。看起來這兩件訴訟標的互不相干,「裁判費」就應該分別計算合併繳納列為訴訟費用。
訴訟費用,由敗訴之當事人負擔。」這是《民事訴訟法》第七十八條所規定的原則。有關原告土地上的蘭花枯死,並無證據證明是被告所為,原判決已將此部分的原告之訴駁回。有關地上物花費的訴訟費用,原判決已依法判決,故原告支出的訴訟費用,都要由原告自理。地上物租金部分,只判贏原告四十五元。此時發生依同法第七十九條所定一部勝訴一部敗訴之負擔標準的問題,其訴訟費用,由法院酌量情形,命兩造以比例分擔或命一造負擔,或命兩造各自負擔其支出之訴訟費用。這就得憑法官的才智來決定了!這時當事人已經繳納的不要負擔的必要訴訟費用,可以聲請法院依第九十一條的規定用裁定確定訴訟費用。想打民事訴訟的原告,在提起民事訴訟以前,應該多多想想訴訟費用負擔的問題,以免打輸了官司,還得賠上巨額的訴訟費用的情事!
---本文轉載自104年9月23日法務部〈法律時事漫談〉網頁---
◎資訊安全宣導—對外服務主機的防護金鐘罩 文/王孝忱(國家實驗研究院國家太空中心研究員)
在現今網路發達的年代,一般公司、企業無論大小都會有對外服務主機的建置,用以提供特定的資訊給網際網路的使用者。最基本的對外服務包括企業所建置的全球資訊網、檔案交換伺服器、領域名稱伺服器、電子郵件伺服器等等。
一般網路管理者會將對外服務主機放置於一個稱為 DMZ(De-Militarized Zone)非軍事區的專屬網段上,使之與企業內部網路(Intranet)有所區隔。一般而言企業內部網路不開放外界進入存取資訊(僅少數例外),其安全性要求較高;而提供對外服務的非軍事區網段則剛好相反,主要目的就是要開放給外界使用者存取資訊,且僅有較少的資訊具備敏感性。由於DMZ 與 Intranet 兩個區域開放讓外界存取的政策截然不同,因此在防範駭客攻擊上應有完全不同的思維。很多企業或政府機構對 DMZ 區的防護方式多採取與防護 Intranet 大同小異的防護方式與資安設備,這恐怕也是導致對外服務主機遭駭客入侵成功的新聞時有所聞的主要原因之一吧!
對一個負責資訊安全的網路管理者來說,要保護對外服務主機,除了購買資安設備外自己還能做些甚麼呢?本文將介紹六種網路管理者自己就可以做的防護機制,希望能為您的對外服務主機建立一個防護金鐘罩。
一、網路防護
駭客要從 Internet 網際網路攻擊您的對外服務主機時,攻擊封包第一關必須先經過您公司的邊界路由器(BoundaryRouter,用於聯接 ISP 線路),而一般企業所用的路由器都具備簡易的防火牆功能(如 CiscoRouter 的 Access ControlList),網路管理者便可以運用它來為對外服務主機阻擋掉一部份的駭客攻擊。假設您的對外服務主機僅提供 Web、FTP、DNS 等三種對外服務,您可以在邊界路由器上設定對外服務主機只開放這三種服務的對外連線,把其他不是此主機所提供的服務類型連線要求全部擋掉。
二、主機防護
若駭客已攻陷您公司內部的其他電腦,便可以進一步以此電腦為跳板,繞過邊界路由器而直接從內部攻擊您的對外服務主機。這時網路防護已失效,必須靠主機本身的防護功能來阻擋駭客攻擊。為強化主機本身的防禦能力,您應該為對外服務主機建置一套防護軟體來進一步強化防禦能力,坊間有多種防護軟體可供選擇,如免費的 TCPWrapper。此時的駭客如同內部使用者,因此防禦的觀念轉換為限制來自內部不必要的連線。例如您可以運用防護軟體來限制僅有網路管理者、網頁維護人員可以登入或上傳檔案到這台對外服務主機,並且更進一步嚴格限制網路管理者、網頁維護人員僅能從特定的電腦 (IP) 上執行這樣的遠端連線操作。
三、服務防護
如果駭客是透過對外服務主機所提供的服務進行攻擊,則不論網路防護或主機防護均無法防範,此時必須靠分析每項服務所提供的存取記錄(AccessLog)來找出駭客蹤跡。當然分析存取記錄是一項費時費力的工作,因此管理者必須自己寫程式來分析存取記錄。例如您可以從存取記錄中分析出哪個使用者連線正在不斷嘗試以不同帳號登錄、哪個使用者帳號登錄時的密碼錯誤頻率太高、哪個使用者連線的網頁連結錯誤率太高、哪個使用者連線的網頁連結操作速度太快(非人為線上操作)等,以上這些使用者連線情況都可以很明顯判定是出自駭客之手,故而可以運用路由反制手段來立即中斷其連線。
四、檔案防護
道高一尺、魔高一丈,還是常會聽到很多企業、政府單位網頁內容被換掉的新聞,這些單位即使都裝備了防護系統,甚至也通過了資安認證,但終究還是被駭客入侵成功。現在我們假設駭客已成功突破網路防護、主機防護、服務防護等這三道關卡,順利登入您的對外主機,此時我們還有甚麼辦法可以阻止駭客更換您的網頁內容呢?有的!我們可以將所有網頁的檔案設定為唯讀(Read-Only)屬性,來防止網頁內容被竄改。
要將所有網頁的檔案與存在目錄設定為唯讀屬性非常容易,但真正會這麼做的人並不多,因其真正的困難在於網頁內容必須經常更新,每次維護人員要更新網頁內容前都需要系統管理者來解除檔案的唯讀屬性,更新後再請系統管理者來重新設定為唯讀屬性。要解決這樣的麻煩必須建立一套管理機制,並以自動化的處理方式來簡化檔案屬性的設定工作。由於每個企業對外服務主機的管理方式不同,這項自動化流程的設計也就不會有一套標準的作業方式可資遵循,因此本文不再多加撰述,留給有興趣的讀者自行設計規劃。
五、最終防護
再更進一步想,如果駭客厲害到不但能突破重重關卡順利登入您的對外服務主機,而且還取得最高管理者權限!這樣駭客就可以自行更改檔案屬性,導致藉由將檔案設定為唯讀屬性來防止網頁內容被入侵駭客竄改的保護方式也失效了。到此地步,網頁內容被竄改勢必已無法避免了,因此我們希望當網頁內容被竄改後,管理者能儘早發現,以便立刻採取相對應的補救錯施。在每次網頁內容更新後,您應該為新的網頁內容製作一份影本來作為還原點,管理者可以撰寫一支程式用於比對現行網頁與前一個還原點的內容是否一致,當發現有差異時,即可判定網頁內容遭竄改了,此時可以運用此影本迅速將網頁內容還原。另需注意的是,比對程式必須於背景週期性地執行以達到監控的效果,此外,當發現網頁內容被竄改後,在還原網頁內容前,應考慮是否該先暫時切斷網路連線以消滅可能還在線上的駭客。
六、阻斷防護
一般來說,駭客針對對外服務主機最有效的攻擊方式便是分散式阻斷服務攻擊(DistributedDenial of Service,DDoS),DDoS 攻擊方式是運用多台駭客已事先攻佔的殭屍電腦同時對您的對外服務主機發動攻擊,可藉由快速重複不斷地執行、不斷與主機建立連線(SYN Flood)等方式來癱瘓主機的處理能力,或者藉由假冒 IP(IP Snoofing)將大量回應封包丟向該主機來癱瘓其網路頻寬。這樣的攻擊手法雖不會對主機造成損壞,也無法竄改網頁資料,但一旦您的對外服務主機遭受這類攻擊時,不是因主機負荷過重就是因網路頻寬被塞爆而無法繼續對外提供正常服務。當您的網路頻寬被塞爆,這不是任何資安設備可以幫你解決的問題,所以從很多新聞事件中也可以看出,遭遇 DDoS 攻擊的機構,似乎也只有等候攻擊結束再重新開始對外提供服務,對防禦 DDoS 攻擊全然束手無策。
其實要應付突如其來的DDoS 攻擊也不是只能等著挨打而已,現在很多機構的企業內部網路除了日常使用的主要聯外線路外,都會再找另一家 ISP 公司建立額外的聯外備援線路,以便當主要聯外網路斷線時,可將對外連線切換到備援線路,讓內部使用者的對外連線不致中斷。所以當對外服務主機遭受 DDoS攻擊時,只要我們將主機轉移到另一個 ISP 網段上不就可以避開攻擊持續提供服務了嗎?但是對外服務主機是提供給外部使用者使用的,要把服務切換到另一個ISP 所提供的線路並不是那麼簡單,首先您必須把這台主機的網路線轉插到備援線路的網段上,然後將 IP 網址的相關設定更換為另一個 ISP 的網址,最後還得更換 DNS 的網域名稱對應內容。
只要能把對外服務主機機轉移到另一個 ISP 網段上的這項工作完全自動化,這樣您就具備防範 DDoS 攻擊的能力了。要做到自動化首先必須先去除需要人力介入的部份,譬如您可以在對外服務主機上裝兩張網路卡,分別使用不同 ISP 網段上的網址與實體線路,藉由切換網卡開關與default route 設定就可將主機移到另一個 ISP 網段上了;另外預先在兩個 ISP 網段上各布建一台有登記的 DNS 領域名稱伺服器,這樣就可以很容易用程式去調整設定內容。
談到這裡,我想您已經知道在監控程式發現對外服務主機遭遇 DDoS 攻擊時如何將主機自動轉換到另一個 ISP 線路上,但規劃上還需注意一點,你還須有一套在 DDoS 攻擊結束後將主機自動移回來的機制。
---(本文轉載法務部調查局清流月刊104年10月號)---
◎常見詐騙案例犯罪手法及預防方式—連續假期網購熱 小心詐騙找上門
最近連續假期特別多,中秋節、國慶日接連來到,再加上颱風假,對於上班族來說簡直是夢寐以求的境界了!尤其連續假期的到來,民眾為購買日常必需物品或是颱風天無聊待在家不知道要做什麼,首選一定是上網Shopping,但您可知道網路購物詐騙案件仍是占詐騙案件的大宗嗎?
家住高雄市黃姓妙齡女子趁中秋連續假期在家中透過網路訂購美妝用品,但卻於日前接獲一名自稱是購物網站客服人員的電話,表示黃女所訂購的眼線筆多訂了12組,如果不處理的話將會依網路定價扣款,要求黃女告知刷卡銀行客服電話[02-257XXXXX],等下會請銀行人員協助處理。不久之後便接到號碼為[+222257XXXXX]的電話,自稱銀行專員的男子要求前往ATM依照指示操作,一開始先輸入密碼29989,再輸入12,結果ATM顯示錯誤訊息,此時男子跟黃女說這是當初辦提款卡沒有辦好,造成銀行安全機制啟動不能操作,為了順便將提款卡辦好,要求先將其他銀行的存款領出匯至指定帳戶,再回家使用網路銀行轉帳新臺幣1萬元,過程中男子不斷強調這只是手續過程,之後會把錢一次還給黃女,最後男子還詢問是否有其他家人的提款卡可以轉帳以協助認證,於是黃女跑去向姊姊索取提款卡時,經姊姊點醒才發現這全部是一場騙局,總共損失新臺幣14萬元。
警方分析165反詐騙諮詢專線的資料,發現中秋連續假期前後各一週的詐騙案件數中,「解除分期付款詐騙」所占比例均高達50%以上居首,詐騙集團所用手法仍為假藉「誤設分期付款」、「商品重覆下單」等老梗,要求民眾前往住家附近操作ATM來解除設定,等民眾回神時帳戶內的錢早已匯出。在此呼籲民眾,ATM只有「提款」跟「匯款」的功能,而且銀行及客服人員不可能於下班時間撥打電話給民眾,更不會要求您前往ATM或購買遊戲點數卡,若有遇到類似情形一定是詐騙!另外,接獲非熟識電話號碼前面有「+」字號的務必提高警覺,幾乎都是詐騙集團從國外撥打的!若接到購物網站客服人員電話有疑問時,除可上網查詢購物網站客服電話回撥查證外,刑事警察局165反詐騙網站上也會定期公布近期民眾報案數較多之購物網站,讓民眾了解近期詐騙集團鎖定之目標,如有疑惑也歡迎撥打反詐騙諮詢專線165詢問類似情況是否為詐騙。
----摘取自內政部警政署刑事警察局165反詐騙網站----
◎消費者保護資訊專區—消費者選擇老人安養機構之要領
依據內政部人口統計資料顯示,我國於民國82年即已入高齡化社會,65歲以上的高齡人口比例逐年增加,老人安養問題日趨重要;為因應社會發展的需要,老人安養機構也愈開愈多,如何選擇合適的機構,讓長者能安度晚年,成為不少民眾的重要消費課題。
受到經濟與社會環境的變遷及老人安養服務觀念之改變,消費者對安養機構的需求逐年增加,而在社會福利政策的推動下,老人安養機構設立的家數持續成長,但所提供的服務卻良莠不齊。本院消費者保護處以往即甚為關注此一議題,於去(103)年10月舉辦「啟動消保新紀元-高齡消費者保護專題演講及論壇」,特別邀請老人福利照顧服務的專家分享實務經驗,提供如何選擇老人安養機構的方法,並加以整理納入該處出版的「高齡消費者手冊」中。
依據學者專家的建議,消費者選擇老人安養機構之要領如下,有需求的消費者可多加運用:
一、蒐集機構資料:經由有類似經驗的親友、專業人員、相關老人福利服務團體、各縣市政府社會局(處)或上網查詢(中華民國老人福利推動聯盟網站、衛生福利部社會及家庭署網站)等不同角度及管道,蒐集老人安養機構的電話、地址、服務項目、收費標準等。
二、初步篩選:與老人共同討論理想的機構,瞭解老人本身的意願、地點、費用等,讓他參與決策過程;再以電話訪談機構,做進一步的資訊蒐集及篩選。
三、實地訪視:
(一)是否合法立案(立案證書上登記資料是否屬實)。
(二)餐飲服務(個別化需求、用餐氣氛、提供進食輔具等)。
(三)生活環境(採光明亮、房間乾淨、有足夠的空間及隱私權、佈置成家的感覺、沒有不好的氣味等)。
(四)安全設備(自動撒水系統及滅火器、是否採用防火構造及耐火建材、裝設緊急呼叫鈴、浴廁設有安全設備等)。
四、審視契約:與選定機構簽約前,記得向機構索取契約並詳細閱讀,瞭解是否與衛生福利部公告的「安養定型化契約應記載及不得記載事項」有相當出入,滿意後再簽約。
----摘取自行政院消費者保護委員會網站〈消費者保護〉----