advertisement

92E931 C05

50 %
50 %
advertisement
Information about 92E931 C05
Entertainment

Published on October 11, 2007

Author: Jade

Source: authorstream.com

advertisement

資訊安全 主講人:李茂基 Mail: mjlee@dgbas.gov.tw Tel: (02)23823731 行政院主計處電子中心 中華民國九十二年:  資訊安全 主講人:李茂基 Mail: mjlee@dgbas.gov.tw Tel: (02)23823731 行政院主計處電子中心 中華民國九十二年 內容:  內容 資訊安全概述 政府推動資通安全機制 資通安全事件通報機制 Slide3:  寬頻 到家 e世代人才 培育計畫 文化創意 產業發展 國際創新 研發基地 全島骨幹 整建計畫 觀光客 倍增計畫 產業 高值化 營運總部 計畫 e-Taiwan 水與綠 建設計畫 e-Taiwan為挑戰2008之基礎 新故鄉 社區營造 e-Taiwan計畫的內涵:  e-Taiwan計畫的內涵 線上政府服務e網通 整合服務單一窗口 G2B2C電子公文交換 視訊會議聯網 開放政府數位資訊 防救災緊急通訊系統整合建置 e化政府 數位學習國家型計畫 數位典藏國家型計畫 數位娛樂 網路文化建設發展 偏遠地區政府服務普及 中小企業網路學習 推動農民終身學習畫 不動產資訊中心 e化生活 產業協同設計電子化 農業產業知識管理應用 中小企業知識管理運用 電子商務國際合作及交流計畫 e化商務 600萬戶寬頻到家 建置發展網路協定Ipv6 寬頻到中小企業 寬頻到府600萬用戶 推動無線寬頻網路 政府帶動,民間主導 e-Taiwan 建置安全的資訊通信環境 ITS技術平台及系統開發 交通服務e網通 聰明公車與交通IC智慧卡 交通安全e計畫 智慧交控系統 e化交通 六年600萬戶寬頻到家,成為亞洲最e化的國家之一 Slide5:  基本建設早作好,寬頻到府沒煩惱 寬頻到家(基礎建設) 次世代寬頻網路示範性系統及應用 Internet PSTN Next Gen. Network Wireless 強化資訊與通訊安全系統 Internet 資料安全 (加密/解密,Watermark,Storage, Redundancy) 網路安全 (入侵偵防,IPSec, SSL,防毒,防火牆) 系統安全 (Access management, Project management, Process management) Internet 法規 自由化 電信 機制 健全基礎環境(法規,機制, etc.) 提昇資訊應用能力 Wireline Security Operation Center Slide6:  網路文化 將國家重要的文物典藏數位化,建立國家數位典藏 以國家數位典藏促進人文與社會、產業與經濟的發展 數位學習 從「數位學習」到「優質資訊化社會」 成為學習科技產業大國 人性化的全球華文學習網 成為「學習科技」研究領先國家之一 數位落差 建設公平效率的網路化社會 加強弱勢族群資訊教育與資訊應用 建立知識、文化、娛樂豐富 輕鬆學習與公平正義的網路化社會 數位娛樂 建立數位娛樂環境 提升數位娛樂品質 提升數位娛樂國際競爭力 知識文化e點通 , e化社會好輕鬆 e化生活(網路化社會) Slide7:  國際合作 建置電子市集整合網站 推動電子型錄標準 加入國際供應鏈體系 產業知識管理與應用 建置供應商資料庫 推動供應鏈金物流整合 建置產業物流體系 支援服務 建立優質金融環境 強化客戶服務管理 培植電子化服務產業 產業e化率(60%) 電子商務交易佔GDP比(15%) e化服務業(總營業額NT$一仟億元上) 推動研發社群 推廣協同設計 建置設計元件資料庫 研發設計 產業e化上下游 , 全球運籌作樞紐 e化商務(產業電子化) 使台灣成為 Slide8:  整合服務 單一窗口 電子公文/ 視訊會議 國土資訊系統 防救災資訊系統 全國檔案資訊系統 健全全國防救災網路 強化國土保護與運用能力 建立網路安全防護系統 政府機關 政府單一 服務入口 政府機關 政府服務 政府服務e網通 , 民眾洽公好輕鬆 線上政府 服務 政府數位資訊開放 政府資料庫 政府e網通服務 企業 民眾 提供創新的e化服務 提升政府服務經濟效益 帶動資訊服務產業發展 24小時服務不打烊 建置共通平台,發揮資源使用效率 提昇行政效能,避免資料重複鍵入 跨機關公文交換 遠距離視訊會議 落實政府知識分享理念 強化跨機關公文流程自動化功能 建置虛擬會議室,增進跨機關聯繫 e化政府(電子化政府) e化交通:  e化交通 ITS技術平台 及系統開發 交通安全e系統 衛星定位 聰明公車與 交通IC智慧卡 交通服務e網通 智慧運輸快亦捷,上天下地不停歇 Slide10:      九十年度政府機關電腦及網路設置概況 Slide11:  資訊安全三大要素   可用性 可用性 完整性 機密性 資訊安全三大要素:  資訊安全三大要素 機密性(confidentiality) – 資料 提供資料之秘密性與維護使用者之隱私性 真確性、完整性(integrity) – 資料與系統 資料真確性:防制人為刻意竄改或自然雜訊干擾 系統完整性:防制假冒或未授權方式存取系統資源進行資料之處理或更改 可取用性(availability) – 系統服務 對合法之使用者或個體不能阻絕服務 提供及時回應與系統服務 影響資訊安全三大要素:  影響資訊安全三大要素 技術 人 流程 威脅 何謂「資訊安全」?:  何謂「資訊安全」? 狹義 – 技術面 保護機密或敏感資料,以防制未授權的揭露 注重資料的機密性 專業導向 密碼學或密碼技術(cryptography or cryptology)的設計 破密分析(cryptanalysis) 應用範圍 國防、軍事或外交等政府機構 何謂「資訊安全」?:  何謂「資訊安全」? 廣義 – 技術面+管理面 保護機密或敏感資料,以防制未授權的揭露、修改與運用,並兼顧人員、程序、資料、硬體、軟體、實體環境等安全管理 注重資料及系統資源的機密性、真確性、可取用性 生活導向 兼顧國家與個人資訊保全(information safeguarding) 安全政策與管理(security policy & management) 應用範圍 政府機構(電子化政府) 與民間企業活動(電子商務) 個人居家生活、資訊家電(information appliance(IA)) 安全威脅類別(I):  安全威脅類別(I) 中斷(interruption) 使系統資源遺失、不可取用、不堪使用 惡意破壞硬體設備、刪除程式或資料檔、使作業系統阻絕服務(denial of services) A B 安全威脅類別(II):  安全威脅類別(II) 截取(interception) 未授權者能非法接取系統資源 非法拷貝程式或資料、網路截聽 A B C 安全威脅類別(III):  安全威脅類別(III) 更改(modification) 未授權者能更改系統資源 更改儲存或傳輸資料之數值、更改程式以執行額外運算 A B C 安全威脅類別(IV):  安全威脅類別(IV) 仿造(fabrication) 未授權者仿造資料,使得資料使用者無法分辨真偽 插入額外的交易訊息、增加資料記錄 A B C (Act as A) 資訊系統安全威脅:  資訊系統安全威脅 系統主要資源 硬體、軟體、資料 系統資源所面臨的可能威脅 硬體:中斷(denial of services) 、截取(theft) 軟體:刪除(deletion) 、截取(copy)、更改(logic bomb, Trojan horse, virus, trapdoor, information leaks) 資料:漏失(lost) 、截取(theft, copy)、更改(change)、仿造(forgery) 資訊系統控管機制:  資訊系統控管機制 資料保護:密碼技術(加解密與數位簽章)、安全     通信協定、資料存取控制等 人員控管:安全或識別標籤、身分驗證設備(IC卡     、掌紋、指紋、視網膜等) 軟體控管:作業系統控管(supervisor)、應用系統     控管(audit trails)、系統發展控管       (project management) 硬體控管:抗破壞(tamper-resistant)設備 實體控管:出入門禁、圍牆、備援(備份) 安全政策:法規、制度、政策 資訊系統受攻擊來源:  資訊系統受攻擊來源 從網際網路連線來攻擊者約70% (2000年為59%) 內部系統使用者攻擊者約31% (2000年為38%) 從遠端數據機連線攻擊者約18% (2000年為22%)   註:受攻擊來源為多重方式 Slide23:      已設資通安全工具仍遭攻擊 95%已建置防火牆系統(Firewall) 90%已建置存取控制相關機制(Access Control) 61%已建置入侵偵測系統(IDS) 42%已建置數位數識別機制(Digital ID) Slide24:      導致危害資通安全之原因 Source:Datapro Research Corporation Slide25:      電腦犯罪行為型態 Source:Datapro Research Corporation Slide26:      電腦犯罪者身份統計 Source:Datapro Research Corporation Slide27:  資通安全觀念 資通安全與所有業務、所有人員皆有關,它是流程  的一環,而非僅是技術產品,而且它一直在進行。 資通安全是全員有責,而非僅提資訊人員的事。 資通安全事件的傷害,大至危及國家社會安全,  中至機關企業無法運作,小至個人設備資料損毀。 Slide28:  資通安全政策 是組織對資通安全需求的企圖聲明(intension)。 賦予執行單位之作業基礎(authorities)。 組織內跨單位溝通安全需求的基準(baseline)。 保護組織資通安全機制非僅是文件(machanism)。 結合組織的策略與營運目標非取代(business)。 由各種不同管理體系文件構成(documentation)。  策略、標準、執行、紀錄表單。 Slide29:  資通安全政策與程序架構 Internet Personal System Admin. User Responsibilities Intermediate level 各部門作業細則 Standard Procedures 資通安全策略 資通安全標準/政策 制度的完整 制度的執行 人員/組織 程序 技術 網路:  安全嗎? 網路 Slide31:  網際網路的特性-優點 多樣的連接方式 只要符合TCP/IP協定即可連上網際網路(Internet) 不論電腦、手機、甚至家電用品都能上網。 有極豐富的訊息資源 Internet猶如全世界最大的百科全書,而且全年24小時無休 社群結合,互動性強 在網路上很容易找到志趣相同的族群 資訊分享迅速方便 可縮小城鄉差距 收費低廉 相較於其他通信方式,Internet的確是迅速且便宜 Slide32:  網際網路的特性-缺點 缺乏管理機制 Internet網網相連,各網之間平行對等,缺乏管理機制 國際上雖有主管及仲裁機構,但缺乏強制力 安全性不足 早期應用於學術單位傳遞研究成果,對網路安全考量不足 商業化後,許多安全機制開始研發應用,但尚未完備 電腦病毒擴散迅速 早期電腦病毒透過磁片擴散,影響層面較小 Internet普及之後,電腦病毒透過網路散播,影響擴及全球 色情、垃圾信件氾濫 缺乏管理機制,加上網路的隱密性,甚難有效遏止 發送者身分追查困難 Slide33:  網際網路的特性 網路應用與安全:  網路應用與安全 如何能連上及使用豐富的Internet資源,卻又能防止網路駭客及病毒入侵 如何能利用廉價的Internet連接各地分機構電腦系統,卻又能保障企業內部資料通信的安全 如何能開放內部網路資源以滿足員工工作之需要,卻又能確保不被非法使用 如何使外界相關單位及外出員工能與公司內部電腦安全的交換公文與資料 Internet 出差/駐外人員 主計機構 主計處 各相關單位 一般民眾 網路上之資通安全:  網路上之資通安全 使用網路可能面臨的風險  入侵破壞  機密外洩  竄改資訊  成為攻擊目標  名譽受損  盜用電腦資源 網路上之資通安全:  網路上之資通安全 使用網路可能面臨的威脅  ○內部威脅 ○外部威脅 內部員工 Hacker 承包商 競爭對手 離職員工 外國政府         產業間諜 恐佈份子 網路上之資通安全:  網路上之資通安全 存取控制(access control)技術 使用帳號及密碼 網路防火牆 網路驗證機制(authentication) 密碼方法(cryptography) 數位簽章(digital signature) 安全保護機制 系統帳號及密碼:  系統帳號及密碼 使用帳號原則 密碼至少6個字元以上,強制用戶定期更換 使用帳號鎖定的功能 防止駭客字典攻擊 控制Administrator群組的人數 系統安全防護:  系統安全防護 備份重要的資料 使用RAID或Tape定期備份重要的資料 使用安全日誌的稽核 針對用戶或檔案作系統記錄的稽核 乾淨的系統安裝(Clean Install) 避免系統設定被覆寫 安裝最少的系統元件 降低被入侵的風險 安裝最新的Service Pack及Hot Fix 確保Bug都已經修復 關閉不需要的服務 Slide40:      系統安全重要作為 設置網路防火牆 使用VPN網路架構 使用CA認證機制 網路防火牆:  網路防火牆 IP 封包過濾(Filtering)功能 只允許預先設定的IP才可通過 隱藏內部電腦系統 代理(Proxy)服務與IP轉換功能 電腦病毒掃瞄功能 防火牆封包過濾模式 (firewall):  防火牆封包過濾模式 (firewall) 建置於閘道(gateway)上 大多裝設在網路層 亦可提供電腦病毒或木馬程式(Trajon horse)的偵測功能 每一筆通過防火牆的封包(packet)必須經過封包過濾模組檢查,符合安全原則或身分識別的封包才能通過 防火牆系統 封包過濾模組 Internet Intranet 內部網路 網際網路 封包 封包 Virtual Private Network(VPN):  Virtual Private Network(VPN) 在網路的特定通信點上加裝安控設備(Security Gateway), 使各特定通信點間傳送的資料受到加密保護而形成一“虛擬私密網路” 可與防火牆功能搭配使用,建 立安全性的企業內部網路 具有身份認證及資料加密功能 總部 CA安全認證機制:  CA安全認證機制 隱密性(Confidentiality) 完整性(Integrity) 來源確認(Authentication) 不可否認性(Non-repudiation) CA(Certification Authority ) 確保電子文件在網路傳輸時 電子簽章:  電子簽章 電子簽章:指依附於電子文件上,用以辨識及確認電子文       件簽署人身分及電子文件真偽者。 數位簽章:指將電子文件以數學演算法或其他方式運算為       一定長度之數位資料,並以簽署人之私密金鑰       對其加密,形成電子簽章者。以「非對稱型」       加密技術為基礎之「數位簽章」是目前市面上       使用最普遍的一種電子簽章。 電子憑證:是指憑證機構(例如GCA)以數位簽章方式簽署       的資料訊息,用以確認憑證申請者之身份,並       證明其確實擁有一組相對應之公開金鑰及私密       金鑰之數位證明。 憑證管理中心(CA)的角色與功能:  憑證管理中心(CA)的角色與功能 姓名 文件 文件 姓名 比對 接收者 文件 印鑑證明 傳統印章 與 印鑑證明 姓名 電子文件 電子簽章 公開金鑰 姓名 公開金鑰 電子文件 電子簽章 驗證 電子憑證 電子文件 電子簽章 電子簽章 與 電子憑證 秘密金鑰 公開金鑰 發送者 戶政事務所 CA 認證中心 印章 印章 印章 印章 印章 具有公信力的第三者 Slide47:     網路安全之威脅與預防技術     資訊竊聽 竄改資料 事後否認 欺騙 不當取用資訊 破壞資料 病毒感染 Slide48:     網路安全之威脅與預防技術     資訊竊聽 竄改資料 事後否認 欺騙 不當取用資訊 破壞資料 病毒感染 資料加解密 電子簽章 身份認證 防火牆 防毒軟體 Slide49:  一般資訊系統七大弱點 以預設選項安裝作業系統及應用程式 未設定密碼或密碼選取不夠完整 沒有備份或備援機制不完整 開放過多的連接埠 未過濾進出封包之網路位址 沒有存取記錄或存取記錄不完整 有漏洞的CGI程式 Slide50:  資訊系統安全七大建議 選擇健全的密碼 定期備份重要資料 使用防毒軟體並即時更新病毒碼 安裝防火牆並做正確之設定 電腦不使用時,關閉電源或離線 不開啟來路不明的電子郵件 定期更新作業系統與應用程式 Slide51:  推動資訊安全管理工作 資訊安全管理推動工作必須以全方位觀念永續推動 資訊安全管理之策略 技術面:利用防火牆、數位簽章、生物科技、IC    卡、one-time password及系統偵測技術    等建構第一道防線 管理面:資訊安全管理政策、資安事件緊急處理    機制、內外部電腦稽核制度、資訊安全    標準及規範、產品及系統品質檢驗機制 教育面:安全作為演練、資訊安全宣導、人才培    訓、網路使用倫理 Slide52:  訂定資訊安全政策 依據行政院及所屬各機關資訊安全管理規範 資訊安全之定義、目標及範圍 資訊安全政策之解釋及說明、資訊安全之原則、標準及員工應遵守之規定 推行資訊安全工作之組織、權責及分工 員工應負之一般及特定資訊安全責任 資訊安全事件之緊急通報程序、處理流程、相關規定及說明 Slide53:  資產分類 資訊資產(Information Assets) 資料庫、資料檔、系統文件、使用手冊、訓練資料、操作及維護程序、智慧財產權、永續運作計畫及回復作業程序等 文件(Paper Documents) 契約、公文書、業務機密、人事資料、採購資料及發票等 軟體資產(Software Assets) 應用系統、系統軟體、開發工具、套裝軟體及公用程式等 Slide54:  資產分類 實體資產(Physical Assets) 電腦設備:個人電腦、筆記型電腦及主機等 通訊設備:路由器、集線器、數據機、電話、自動交換機及傳真機等 儲存媒體:磁帶、磁碟及光碟等 其他:機房門禁管理等 人員(People) 員工、顧客、約聘僱人員及委外人員等 Slide55:  資產分類 服務(Services) 網站、網路及語音服務等 公共設施:電力系統、不斷電系統、照明設備及空調設備等 形象及聲譽(Image and Reputation) 不利報導 無法達到資訊安全需求 Slide56:  資產分類及管理 依據資訊安全管理範圍,確認相關資產 建立資產清冊,定義資產之編號、名稱、保管人、使用人、放置地點、價值及相關規定等 依據資訊資產、文件、軟體資產、實體資產、人員、形象及聲譽等分類,分別建立資產清冊,並隨時更新 Slide57:  資訊安全風險評估 因資產之安全弱點,引發可能之安全威脅,造成資產損害之可能性 弱點定義:  資訊資產本身的弱點或缺失,可能被威脅事件所利用,而對資訊資產產生傷害,但弱點本身對資訊資產是不會造成損傷的。  例:實體環境缺乏適當保護。    密碼設定不當或未受適當的保護。    資訊安全教育訓練不足。 Slide58:  資訊安全風險評估 威脅定義:  對資訊資產可能造成傷害的事件。 範例: 未經授權的存取或使用資訊、資訊系統等資源,可能導致資訊的機密性、完整性或可用性受到破獲。 火災可能威脅到資訊資產的可用性及完整性。 偷竊可能威脅得資訊資產的可用性及機密性 Slide59:  資訊安全風險評估 評估作業 資產價值 安全威脅之可能性 安全弱點之影響程度 現有及規畫之資訊安全控管措施 Slide60:  安全弱點 資產之安全漏洞 安全弱點如未妥善處理,將成為安全威脅,可能對資產造成損害 可能的安全弱點 作業上的安全弱點 有形的安全弱點 人員上的安全弱點 科技上的安全弱點 Slide61:  作業上的安全弱點 員工缺乏安全警覺 社交工程(Social Engineering) 意外與不注意 政策規定未能落實執行 把工作帶回家 Slide62:  有形的安全弱點 天災 警衛 垃圾 公司座落之地理位置 影印機:間諜的最佳拍檔 辦公桌櫃雜亂、不上鎖及收發文管理 電腦不使用時沒有登出 電腦沒有設定密碼 電力系統不堪負苛 Slide63:  科技上的安全弱點 已知的軟硬體安全漏洞 系統設定錯誤 修改系統程式 數據機架設不夠完善或密碼不當 資料儲存及通訊方式不當或未妥適保護 電話及網路竊聽 Slide64:  安全弱點評估 評估安全弱點之影響程度 評估方法 確認資產之安全弱點 是否有安全問題 是否有遺漏之安全控管措施 目前保護機制,是否有弱點 確認作業環境之安全弱點 應用技術、網路連線、實體安全 人員教育訓練、安全意識及是否遵守相關規定等 Slide65:  安全弱點評估 Slide66:  風險 = 資產價值 + 安全威脅 + 安全弱點 計算風險值 Slide67:  資訊安全風險管理 確認、控制及降低安全風險至可接受程度所採取的程序 管理作業 訂定安全保證等級 檢討安全威脅及弱點 檢討目前使用之安全控管措施 加強其他安全控管措施 訂定相關安全政策及作業程序 Slide68:  選擇安全控管措施 考慮因素 安全風險所造成之影響 需要的安全保證等級 所需費用是否合理 是否容易執行及所需時間 技術上是否可行及與現有環境之整合 符合法令規定 相關契約規定 Slide69:  行政院及所屬各機關資訊安全管理要點及規範 資訊安全政策訂定 資訊安全權責分工 人員管理及資訊安全教育訓練 電腦系統安全管理 網路安全管理 系統存取控制管理 系統發展及維護安全管理 資訊資產安全管理 實體及環境安全管理 業務永續運作計畫管理 Slide70:  訂定資訊安全政策 依據行政院及所屬各機關資訊安全管理規範 資訊安全之定義、目標及範圍 資訊安全政策之解釋及說明、資訊安全之原則、標準及員工應遵守之規定 推行資訊安全工作之組織、權責及分工 員工應負之一般及特定資訊安全責任 資訊安全事件之緊急通報程序、處理流程、相關規定及說明 Slide71:  資訊安全權責分工 指定副首長或高層主管人員負責資訊安全管理事項之協調及推動 訂定分工原則,配賦有關單位及人員之權責 資訊單位:安全技術建置事項 業務單位:安全需求研議及使用管理 政風及相關單位:資訊機密維護及稽核使用管理 建立資訊安全顧問及諮詢機制 Slide72:  人員管理及資訊安全教育訓練 人員進用之安全評估 工作指派之安全評估(妥適分工及分散權責) 加強資訊教育訓練 對處理機密性及敏感性資訊或系統之人員或擁有系統特別權限之人員應加強考核 Slide73:  電腦系統安全管理 建立安全作業程序及配賦責任 系統規劃之安全需求評估 電腦病毒及惡意軟體之防範 軟體複製之控制 個人資料之保護 日常作業之安全管理 電腦媒體之安全管理 資料及軟體交換之安全管理 Slide74:  網路安全管理(一) 網路安全之規劃與管理 網路安全規劃 網路服務之管理 網路使用者之管理 主機安全防護 防火牆之安全管理 軟體輸入控制 網路資訊之控制 Slide75:  網路安全管理(二) 利用公開網路處理及傳輸政府資訊,應進行風險評估,研擬妥適安控措施 開放外界連線作業之系統,應視其重要性及價值,採用不同安全等級之安控技術(例如防火牆);避免外界直接進入資料庫 機密性、敏感性及個人隱私資料不得上網 機密性資料不得以電子郵件或其他電子方式傳送;如有特殊需要應經加密處理 Slide76:  系統存取控制管理(一) 訂定資訊系統存取控制規定 使用者之存取管理 使用者註冊管理 系統存取特別權限之管理 使用者通行碼之管理 系統存取權限之檢討評估 系統存取之責任規定 Slide77:  系統存取控制管理(二) 網路存取之安全控制 網路服務之限制 強制性通道之建立 使用者身分鑑別 網路節點之身分鑑別 遠端診斷連線作業埠之控制 網路之分隔 網路連線作業之控制 網路路由控制 Slide78:  系統存取控制管理(三) 電腦系統存取控制 應用系統存取控制 系統存取及應用之監督 組織外部人員存取資訊之安全管理 組織外部連線作業之風險評估 組織外部第三者存取之安全契約 系統稽核規劃 Slide79:  系統存取控制管理(四) 離休職人員應立即取消系統使用權限 應建立密碼管理制度並定期更新 開放外界連線應事前簽訂契約或協定 開放廠商遠端登入存取者,應加強控管 資料委外建檔應加強安控措施 應建立系統稽核制度 Slide80:  系統發展及維護安全管理(一) 系統安全需求分析及規格訂定 應用系統之安全 資料輸入之驗證 系統內部作業處理之驗證 資料加密 訊息真確性之鑑別 應用系統檔案之安全 系統變更及支援環境之安全 Slide81:  系統發展及維護安全管理(二) 對廠商應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統通行碼 若有實際作業需要僅得檢發短期性或臨時性之系統通行碼,使用完畢後立即取消其使用權限 委外建置及維護重要軟硬體系統,應在相關人員監督及陪同下始得為之 Slide82:  實體及環境安全管理 設備之安全管理 周邊安全管理 Slide83:  業務永續運作計畫管理 業務永續運作計畫之規劃 業務永續運作計畫之測試 資訊安全事件緊急處理機制之建立 Slide84:      政府推動資通安全機制介紹 壹、緣起 貳、依據 參、資通安全探討課題 肆、運作體系架構與職掌 Slide85:      壹、緣起  隨著資訊化社會的來臨,網路之普及應用,許多政府機關(機構)、民間企業都相繼採用電腦設備,透過網路處理業務及對外提供服務,如果沒有完善之資通安全防護措施,易於遭受電腦駭客入侵或受病毒感染,將影響國家社會安全,本機制之建立,在於結合資通安全有關之技術人力,以做到事前之防範及危機之應變處理。 Slide86:      貳、依據 一、奉 總統八十九年八月卅日核定「建立我國通資訊基礎建設安全機制」案辦理。 二、九十年一月十七日行政院第二七一八次院會通過 三、九十年二月五日台九十經字第OO七四三一號函發布。 四、九十年五月四日台九十經字第O二九三0一號函核定修訂。 五、九十一年六月六日台經字第O九一00八五五四二號函核定修訂。 Slide87:      參、資通安全探討課題 一、資通安全範疇 二、資通安全工作重點 三、資通安全工作事項 Slide88:      一、資通安全範疇 (一)安全管理政策 (二)實體環境安全 (三)人員管理安全 (四)安全規章法律 (五)硬體設備安全 (六)軟體系統安全 (七)網路通訊安全 Slide89:      二、資通安全工作重點 (一)事前的防範   資通基安全之措施以抵禦攻擊為主,並以資通系統生存為目標,著重在事前建立各項防備機制。   具體作法:   建構防火牆、虛擬私有網路(VPN)、病毒掃瞄機制、身份認證授權、資料加解密、電子簽章、入侵偵測系統(IDS) 、弱點掃瞄、頻寬管理、系統安全漏洞檢測、建立備份資料及程式、異地備援、制訂資通安全政策、建立系統回復計畫並定期實施資通安全稽核、網路監控及人員安全管理等機制。 Slide90:      二、資通安全工作重點 (二)事發的處理   快速且正確的偵測與辨識惡意的使用行為,謹慎地注意任何異常活動,防止破壞範圍的擴大,啟動緊急應變措施及危機通報機制,促請各機關及早防備。   具體作法:   查明事件原因、判定影響範圍、尋求解決方法(如修補漏洞、辦理解毒) 、啟動備援回復機制、實施緊急應變計畫、辦理事件通報。 Slide91:      二、資通安全工作重點 (三)事後之回復   蒐集稽核線索與分析入侵活動資料是法律證據重建 之鑑識技能。在遭受攻擊後,快速且完整地進行回復備援作業,以維持正常運作,繼續對外提供服務。   具體作法:   受損軟硬體設備重建,並做運轉測試,詳細記錄應變處置過程,檢討改善方案,辦理事件解決通報以解除列管,如有需要,相關資料提供檢調單位,辦理追蹤鑑識偵查,釐清原因責任,避免事件再度發生。 Slide92:  三、資通安全工作事項 (一)編組專職人員統合推動資通安全工作及協調組織。 (二)律定資通安全組織職掌及分工。 (三)建立資通安全危機事件通報及預警機制。 (四)彙整及發布通報相關資訊,供各機關參考運用及早作好預防措施。 (五)執行國家重要資通基礎設施之安全防護,建立主動偵防能力。 (六)策訂重要資通設施安全規範及回復重建措施。 (七)檢討及增修訂資通安全相關法令、訂定資通安全技術標準及規範,建立產品檢驗及保證機制。 (八)推動資通安全學術研究及關鍵技術研發。 (九)加強資通安全人力培訓及觀念宣導。 (十)提升執法機關之偵防能力及人力,建立跨國及區域性合作機制。 Slide93:      肆、運作體系架構與職掌 一、資通安全之組織架構 二、國家資通安全應變中心之組織職掌 三、政府各機關(機構)「資通安全處理小組」組織架構 Slide94:              危機通報分組等八組 標 準 規 範 工 作 組 稽 核 服 務 工 作 組 資 訊 蒐 集 工 作 組 網 路 犯 罪 工 作 組 危 機 通 報 工 作 組 經濟部 主計處 國防部 交通部 財政部 教育部 中科院 工研院 電信研究所 資策會 民間業者 經濟部 研考會 國防部 交通部 財政部 主計處 (電子中心) 國防部 交通部 經濟部 財政部 國科會 中科院 工研院 資策會 相關公協會 民間業者 法務部 內政部 國防部 交通部 主計處 (電子中心) 內政部 國防部 交通部 財政部 經濟部 教育部 衛生署 研考會 …….. 國家資通安全應變中心 國家安全會議顧問 國家資通安全會報組織運作架構 技 術 服 務 中 心 國家資通安全諮詢委員會   Slide95:  各工作組主要任務 一、綜合業務組   統籌資通安全基礎建設規劃作業,行政協調綜合業務,負責資通安全計畫執行管理與考核等業務。 二、技術服務中心   負責資通安全基礎建設技術規範支援,人力培訓,籌組技術服務團,建置技術網站,蒐集相關技術,編訂作業手冊,協助各機關訂定系統安全等級,推動關鍵技術研發,協助發展相關產業及提供各界技術諮詢服務。 Slide96:      各工作組主要任務(續) 三、標準規範工作組   訂定資通安全有關作業規範與技術標準,規劃建置資通安全相關認證程序,檢測技術及驗證方法。 (一)已制定完成資通安全相關國家標準:   1.CNS14510 資訊技術-安全技術-不可否         認部份。   2.CNS14563 資訊技術-安全技術-具訊息         復原的數位簽章方案。   3.CNS14564 資訊技術-開放系統互連-開 放系統之安全框架。 Slide97:      各工作組主要任務(續)   4.CNS14606 資訊技術-資訊技術安全評估 準則   5.CNS14629 資訊技術-安全技術-具附件 之數位簽章 (二)審查中之資訊安全國家標準草案   1.銀行業、 證券業及其他金融服務-資訊安全指導方針     2.資訊技術-安全技術-密碼演算法的註冊程序   3.資訊技術-詞彙-安全 Slide98:      各工作組主要任務(續) (三)函徵意見中之資訊安全國家標準草案     1.銀行業-安全密碼裝置-需求與評估方法   2.資訊技術-安全技術-雜湊函數-專屬的雜   湊函數   3.行政、商務與運輸用電子資料交換(EDIFACT)   -應用層語法規則-安全金鑰與憑證管理訊息 (四)驗證方法之建置   1.已完成管理系統驗證實施辦法   2. 驗證作業程序及流程檢討修訂中   3.第一批驗證稽核人員完成基礎訓練   Slide99:    各工作組主要任務(續) 四、稽核服務工作組   培訓資通安全稽核人力、籌組資通安全稽核服務團,對重要系統不定期辦理資通安全稽核並彙編稽核報告。   九十年度選定四十六個單位辦理資安全稽核,並已完成稽核報告,提供主管機關及受稽單位辦理改進 五、資訊蒐集工作組   蒐集國內外資通安全相關資訊,統計分析資通安全事件資料,研擬提供防範措施。   請上(ics.stic.gov.tw)網站劉灠 Slide100:          各工作組主要任務(續) 六、網路犯罪工作組   負責資通安全犯罪偵防工作,培訓執法人員資安偵防能力,建立跨國及區域合作偵防機制及配合研修網路犯罪相關法規。 七、危機通報工作組   建立資通安全危機事件通報程序,通報網站,建立預警機制,協調技術服務中心提供技術服務。 Slide101:      國家資通安全會報 技術服務中心 Slide102:  資通安全危機等級 『A』級:影響公共安全、社會秩序、人民   生命財產。 『B』級:業務無法運作,系統停頓。 『C』級:業務中斷,影響系統效率。 『D』級:業務短暫停頓,可立即修復。 Slide103:    三、各機關「資通安全處理小組」組織架構 Slide104:  資通安全事件通報機制 壹、目的 貳、工作範疇 參、運作方式 肆、作業流程 伍、電腦通報作業說明 Slide105:      壹、目的   為掌握我國政府機關(機構)及影響公共安全、社會秩序之資通系統遭受外在因素破壞或不當使用等緊急事故發生時,能迅速作必要之通報及應變處置,以降低可能之損害。 Slide106:  貳、工作範疇 一、有關資通安全危機事件之宣導及通報事宜。 二、彙整及發布資通安全危機事件相關資訊。 三、協調資通安全技術服務組提供必要之支援   服務。 Slide107:  參、運作方式(一) 一、建立「資通安全通報聯絡網」,由中央各   部、會、行、處、局、署、院轄市及縣   (市)政府等各機關指定聯絡人員,負責危   機通報及接收資通安全相關資訊。 二、各機關(含主管之重要目的事業)於受外在   因素而產生資通安全事件時,應將發生之   事實、可能影響之範圍、採取之應變措施   等事項,填具「資通安全事件通報單」,   可選擇上網、電話、傳真或電子郵件等方   式進行通報。 Slide108:  資通安全事件通報單  機關(機構)名稱 資通安全事件通報單  洽詢電話:(02)23823729、(02)23823799 傳真:(02)23145564、(02) 23144717 0919996677、0919996688   或逕送:台北市廣州街二號 上網通報網址: www.ncert.nat.gov.tw   填報時間: 年 月 日 時 分     編號:        一、發生網路安全之機關(機構)聯絡資料:   機關(機構)名稱:          E-MAIL:          通報人:      電話:       傳真:ˍˍˍˍ 二、網路安全事件通報事項: 1.事件發生時間: 年 月 日 時 分 2.主機(伺服器)資料: ◎IP位址(IP Address):                  ◎網域名稱(Domain name):                    ◎主機(伺服器)廠牌、機型:                     ◎作業系統名稱、版本:                     ◎網際網路資訊位址(Web URL):              ◎已裝置之安全機制:                  Slide109:  3.網路安全事件資料: ◎安全等級:□『A』級;□『B』級;□『C』級;□『D』級 ◎影響等級:□ 『A』級:影響公共安全、社會秩序、人民生命                              財產。 □ 『B』級:業務無法運作,系統停頓。 □ 『C』級:業務中斷,影響系統效率。 □ 『D』級:業務短暫停頓,可立即修復。  ◎事件分類:□非法入侵;□感染病毒;□阻斷服務;□其他: ◎破壞程度:□系統當機;□資料庫毀損;□網頁遭篡改;□其他 ◎事件說明: ◎可能影響範圍及損失評估: ◎應變措施: 三、期望支援項目: 四、解決辦法: 五、已解決時間:  年  月  日  時  分 Slide111:  安全等級評估參考表 風險評估:  風險評估 風險指數=弱點 × 威脅 系統弱點 威脅 攻擊 Slide113:  參、運作方式(二)    三、當系統回復正常運作時,亦需將解決辦法透過「資通安全事件通報單」傳送至「國家資通安全應變中心」,以解除列管。 四、該危機事件如引發重大災害時,各機關應向危機救災組或現行災害防救體系通報,請求支援處理。 五、該危機事件如危及人員生命或設備遭到破壞等涉及民刑事案件時,各機關應即時通報檢調單位請求處理。    Slide114:  參、運作方式(三) 六、對於需要支援之單位,視需要項目,協調   技術服務組提供技術支援服務。 七、蒐集及彙整有關資通安全相關資訊,主動   於網站公告,並透過媒體對外發布。 Slide115:      通報應變作業示意圖   政府機關 事業機構 學術機構 國防體系 民營機構 國家資通安全應變中心 防火牆業者 ... 防毒業者 資訊蒐集組 技術服務組 危機救災組 危機通報資料流 技術服務資料流 資通安全資訊流 Slide116:  發生資通安全危機事件 各機關應先確定影響範圍,評估可能損失,判斷是否需要支援 啟動緊急應變措施 辦理資通安全 事件通報 通報災害防救體系 資通安全事件 通報建檔 需要支援 重大災害 重大事故 通報檢調單位 協調資通 技術服務組支援 納入列管 是 否 是 是 否 執行解決辦法 辦理資通安全 事件結案通報 資通安全事件 解除列管 否  伍、電腦通報作業說明:   伍、電腦通報作業說明   Slide121:  通報登錄 Slide122:  通報單新增 Slide123:    行政院資通安全應變中心自九十年三月五日運作 後,至本(九十二)年一月底日止上網通報者計有 七十件,其中以遭非法入侵篡改網頁計三十三件 最多,占47%,其次為感染病毒計二十三件占33% ,受阻斷服務攻擊者有一件占1%,其他者有十三 件占19%多為疑似遭攻擊, 僅影響網路頻寬,對 業務並未造成影響。   Slide124:  六、結語 任何系統最薄弱的一環是人,安全警覺訓練是投資報酬率最高的反制對策 利用資訊及保護資訊同等重要;一分事前的預防重於十分的事後的補救;面對數位時代的來臨,各級人員對機關資訊安全均負有重要責任 世上「沒有百分之百的安全」,重點在於你要保護的是什麼?保護的程度? 取得機關上下的支持,讓安全措施成為習慣;營造機關上下良好的安全習慣是組織最佳的安全對策 Slide125:  問題與討論

Add a comment

Related presentations