桃 園 市 政 府 資 訊 中 心 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 作 業 規 定 輔 導 課 程 簡 報 人 員 : 陳 成 聰 課 程 大 綱 一 二 三 四 五 資 通 安 全 責 任 等 級 分 級 作 業 弱 點 掃 描 及 滲 透 測 試 資 安 健 診 作 業 內 容 說 明 對 所 屬 C D 級 機 關 應 辦 事 項 Q&A 1
桃 園 市 政 府 資 訊 中 心 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 作 業 規 定 輔 導 課 程 一 資 通 安 全 責 任 等 級 分 級 作 業 一 資 通 安 全 責 任 等 級 分 級 作 業 分 級 原 則 政 府 機 關 層 級 涉 及 外 交 國 防 國 土 安 全 財 政 經 濟 警 政 等 重 要 業 務 涉 及 能 源 水 資 源 通 訊 傳 播 交 通 金 融 緊 急 救 援 與 醫 院 高 科 技 園 區 等 關 鍵 資 訊 基 礎 設 施 業 務 或 營 運 涉 及 全 國 區 域 性 或 地 區 性 個 人 資 料 檔 案 2
一 資 通 安 全 責 任 等 級 分 級 作 業 ( 續 ) 政 府 機 關 ( 構 ) 資 安 責 任 等 級 1. 政 府 機 關 (B 級 ) 1) 縣 ( 市 ) 政 府 2) 凡 涉 及 社 會 秩 序 及 人 民 財 產 業 務 之 機 關, 如 地 方 政 府 警 察 局 地 方 政 府 地 政 事 務 所 等 3) 保 有 區 域 性 或 地 區 性 個 人 資 料 檔 案 之 機 關, 如 財 政 部 各 地 區 國 稅 局 地 方 政 府 戶 政 事 務 所 等 一 資 通 安 全 責 任 等 級 分 級 作 業 ( 續 ) 2) 學 術 機 構 (B 級 ) 臺 灣 學 術 網 路 各 區 域 網 路 中 心 暨 各 直 轄 市 縣 ( 市 ) 教 育 網 路 中 心 3. 國 ( 公 ) 營 事 業 醫 療 機 構 及 其 他 (A 級 ) 由 政 府 委 託 民 間 興 建 營 運 後 轉 移 之 關 鍵 資 訊 基 礎 設 施 之 營 運 單 位 如 : 桃 園 大 眾 捷 運 股 份 有 限 公 司 3
各 資 安 等 級, 應 辦 理 之 工 作 事 項 資 安 等 級 資 訊 系 統 分 類 分 級 ISMS 推 動 作 業 資 安 專 責 人 力 稽 核 方 式 A 1. 完 成 資 訊 系 統 分 級 (104 年 底 前 ) 2. 完 成 資 訊 系 統 資 安 防 護 基 準 要 求 (105 年 底 前 ) 1. 全 部 核 心 資 訊 系 統 完 成 ISMS 導 入 (105 年 底 前 ) 2. 全 部 核 心 資 訊 系 統 通 過 第 三 方 驗 證 (106 年 底 前 ) 1. 至 少 2 項 核 心 資 訊 系 統 完 成 ISMS 導 入 (106 年 底 前 ) 2. 至 少 2 項 核 心 資 訊 系 統 通 過 第 三 方 驗 證 (107 年 底 前 ) 自 行 成 立 推 動 小 組 規 劃 作 業 指 派 資 安 專 責 人 力 2 人 每 年 至 少 2 次 內 稽 B C 1. 完 成 資 訊 系 統 分 級 (104 年 底 前 ) 2. 完 成 資 訊 系 統 資 安 防 護 基 準 要 求 (105 年 底 前 ) 依 各 主 管 機 關 規 定 指 派 資 安 專 責 人 力 1 人 依 各 主 管 機 關 規 定 每 年 至 少 1 次 內 稽 依 各 主 管 機 關 規 定 1. 資 訊 系 統 分 類 分 級 依 據 資 訊 系 統 分 級 與 資 安 防 護 基 準 作 業 規 定 各 項 資 訊 系 統 均 須 依 循 處 理 程 序 填 寫 安 全 等 級 評 估 表, 並 由 資 訊 單 位 彙 整 資 訊 系 統 清 冊 處 理 程 序 須 由 業 務 承 辦 人 承 辦 單 位 主 管 資 安 人 員 資 訊 主 管 等 相 關 人 員 會 辦, 最 後 由 資 訊 安 全 長 核 定 資 訊 系 統 安 全 等 級 處 理 程 序 主 要 在 協 助 機 關 設 定 資 訊 系 統 安 全 等 級 掌 握 重 點 保 護 標 的, 以 利 機 關 辦 理 風 險 評 鑑 及 執 行 防 護 基 準 因 此, 機 關 每 年 度 應 至 少 檢 視 1 次 各 項 資 訊 系 統 分 級 妥 適 性 4
1. 資 訊 系 統 分 類 分 級 ( 續 ) 處 理 程 序 包 含 設 定 影 響 構 面 等 級 識 別 業 務 屬 性 並 檢 視 安 全 等 級 設 定 資 訊 系 統 安 全 等 級 等 三 個 處 理 步 驟 : 由 業 務 承 辦 人 依 機 密 性 完 整 性 可 用 性 及 法 律 遵 循 性 四 大 影 響 構 面, 分 別 評 估 對 各 資 訊 系 統 之 影 響 衝 擊, 並 據 以 設 定 影 響 構 面 等 級 : 識 別 資 訊 系 統 所 支 援 之 業 務 屬 性, 並 由 承 辦 單 位 主 管 檢 視 業 務 承 辦 人 所 設 定 安 全 等 級 之 合 理 性 : 資 訊 系 統 安 全 等 級 經 承 辦 單 位 主 管 資 訊 主 管 確 認 後, 最 後 由 資 訊 安 全 長 核 定 1. 資 訊 系 統 分 類 分 級 ( 續 ) 欲 了 解 詳 細 操 作 內 容, 請 務 必 參 加 12/3 之 課 程 5
2. ISMS 推 動 作 業 核 心 資 訊 系 統 : 係 指 高 等 級 之 資 訊 系 統 ; 若 機 關 資 訊 系 統 無 高 等 級 者, 請 將 支 援 機 關 核 心 業 務 之 資 訊 系 統 納 管 為 核 心 資 訊 系 統 機 關 業 務 之 資 訊 系 統 已 向 上 集 中 已 向 上 集 中 之 資 訊 系 統, 若 其 ISMS 驗 證 範 圍 防 護 縱 深 監 控 管 理 安 全 性 檢 測 皆 及 於 所 屬 機 關, 則 所 屬 機 關 視 為 已 達 成 相 關 應 辦 事 項 2. ISMS 推 動 作 業 ( 續 ) 第 三 方 驗 證 機 構 ISO 組 織 認 證 機 構 ( 發 證 單 位 ) Accreditation Body,AB TAF( 台 灣 ) UKAS( 英 國 ) ANAB( 美 國 ) COFRAC( 法 國 ) 授 權 透 過 簽 署 多 國 相 互 承 認 協 議 _ 國 際 認 證 論 壇 (International Accreditation Forum,IAF) 驗 證 機 構 (Certification Body,CB) 6
2. ISMS 推 動 作 業 ( 續 ) 2. ISMS 推 動 作 業 ( 續 ) 7
2. ISMS 推 動 作 業 ( 續 ) 各 資 安 等 級, 應 辦 理 之 工 作 事 項 ( 續 ) 資 安 等 級 A B C 業 務 持 續 運 作 演 練 每 年 至 少 辦 理 1 次 核 心 資 訊 系 統 持 續 運 作 演 練 每 2 年 至 少 辦 理 1 次 核 心 資 訊 系 統 持 續 運 作 演 練 依 各 主 管 機 關 規 定 防 護 縱 深 監 控 管 理 安 全 性 檢 測 1. 防 毒 防 火 牆 郵 件 過 濾 裝 置 2.IDS/IPS Web 應 用 程 式 防 火 牆 3.APT 攻 擊 防 禦 1. 防 毒 防 火 牆 郵 件 過 濾 裝 置 2. IDS/IPS 3. Web 應 用 程 式 防 火 牆 ( 機 關 具 有 對 外 服 務 之 核 心 資 訊 系 統 ) 1. 防 毒 2. 防 火 牆 3. 郵 件 過 濾 裝 置 ( 機 關 具 有 郵 件 伺 服 器 ) SOC 監 控 (104 年 底 前 ) SOC 監 控 (105 年 底 前 ) 依 各 主 管 機 關 規 定 1. 每 年 至 少 辦 理 2 次 網 站 安 全 弱 點 檢 測 2. 每 年 至 少 辦 理 1 次 系 統 滲 透 測 試 3. 每 年 至 少 辦 理 1 次 資 安 健 診 1. 每 年 至 少 辦 理 1 次 網 站 安 全 弱 點 檢 測 2. 每 2 年 至 少 辦 理 1 次 系 統 滲 透 測 試 3. 每 2 年 至 少 辦 理 1 次 資 安 健 診 依 各 主 管 機 關 規 定 8
A. 防 護 縱 深 何 謂 防 護 縱 深? 縱 深 防 護 就 是 由 機 關 透 過 邊 界 防 護 機 制 ( 防 火 牆 ) 一 直 到 使 用 者 端 防 護 ( 防 毒 軟 體 ) 間 的 一 連 串 防 護 機 制 A. 防 護 縱 深 IDS( 入 侵 偵 測 系 統 ) 入 侵 偵 測 : 偵 測 不 適 當 不 正 確 或 是 異 常 活 動 的 技 術 (System Administration Networking and Security) 透 過 廠 商 行 為 資 料 庫 的 比 對, 當 觸 發 異 常 行 為 或 入 侵 的 企 圖, 判 定 為 入 侵 行 為 ( 誤 用 偵 測 ) 透 過 機 關 定 義 的 正 常 行 為, 當 偵 測 到 超 過 這 個 行 為 就 會 被 判 定 有 入 侵 的 行 為 ( 異 常 偵 測 )- 容 易 誤 判 例 如 : 防 盜 的 警 報 系 統 就 是 實 體 環 境 的 入 侵 偵 測 系 統 IDS 係 為 消 極 的 防 禦, 著 重 於 事 後 的 判 斷 及 處 理 ( 需 配 合 軌 跡 資 料 的 留 存 ) IPS(Intrusion Prevention System, 入 侵 預 防 系 統 ) IDS 功 能 的 延 伸, 根 據 設 定 可 進 行 主 動 防 禦 可 設 定 剔 除 封 包 終 止 連 線 郵 件 警 示 等 方 式 重 點 為 尋 找 已 知 的 問 題 及 明 顯 可 疑 的 行 徑 9
A. 防 護 縱 深 Web 應 用 程 式 防 火 牆 (WAF) 監 控 的 目 標 為 Http 通 訊 協 定 ( 網 頁 ) 採 用 正 向 表 列 ( 什 麼 樣 的 才 可 以 )+ 輸 入 驗 證 ( 檢 查 網 頁 撰 寫 語 法 的 合 理 性 ), 另 外 為 了 增 加 效 能 還 是 會 輔 以 特 徵 辨 識 的 資 料 庫 進 行 比 對 APT(Advanced Persistent Threat, 進 階 持 續 的 滲 透 ) 攻 擊 防 禦 鎖 定 攻 擊 目 標 寄 發 惡 意 攻 擊 信 件 取 得 人 員 組 織 架 構 圖 與 IT 主 機 管 理 架 構 圖 進 一 步 取 得 權 限 入 侵 主 機 再 竊 取 重 要 資 訊 通 常 會 配 合 ( 電 子 郵 件 ) 社 交 工 程 的 手 段 B. SOC 監 控 SOC(Security Operation Center, 資 安 監 控 中 心 ) 收 容 機 關 設 備 的 軌 跡 資 料 (Log), 透 過 SIEM(Security Information Event Management) 安 全 性 事 件 資 訊 管 理 平 台, 進 行 事 件 之 過 濾 10
B. SOC 監 控 ( 續 ) 共 同 供 應 契 約 (104 年 價 格 ) 低 流 量 -900 EPS(Event Per Second) 共 同 供 應 契 約 價 格 1700 元 / 天, 共 NTD$620,500 中 流 量 -2300 EPS(Event Per Second) 共 同 供 應 契 約 價 格 2650 元 / 天, 共 NTD$967,250 高 流 量 -4900 EPS(Event Per Second) 共 同 供 應 契 約 價 格 3600 元 / 天, 共 NTD$1,314,000 B. SOC 監 控 ( 續 ) EPS 流 量 計 算 參 考 表 日 誌 種 類 型 式 EPS 日 誌 種 類 型 式 EPS 網 路 設 備 ( 路 由 器 ) 250 資 安 設 備 (Firewall 防 火 牆 ) 資 安 設 備 (IDS) 資 安 設 備 (IPS) 資 安 設 備 (WAF 防 火 牆 ) 個 人 防 毒 ( 防 毒 伺 服 器, 防 毒 閘 道 器 ) 150 低 階 300 低 階 300 網 站 主 機 高 階 500 高 階 500 低 階 150 代 理 伺 服 器 250 高 階 450 郵 件 伺 服 器 200 低 階 250 郵 件 管 理 過 濾 器 150 中 階 300 目 錄 伺 服 器 150 高 階 500 檔 案 伺 服 器 150 低 階 300 資 料 庫 伺 服 器 500 中 階 400 低 階 150 DNS 伺 服 器 高 階 1500 高 階 250 11
C. 安 全 性 檢 測 網 站 安 全 弱 點 檢 測 系 統 滲 透 測 試 資 安 健 診 將 於 後 面 另 外 敘 述 各 資 安 等 級, 應 辦 理 之 工 作 事 項 ( 續 ) 資 安 等 級 A B C 資 安 教 育 訓 練 ( 一 般 主 管 資 訊 人 員 / 資 安 人 員 一 般 使 用 者 1. 一 般 主 管 / 一 般 使 用 者 : 至 少 須 接 受 3 小 時 資 安 宣 導 課 程 並 通 過 課 程 評 量 2. 資 訊 人 員 / 資 安 人 員 : 每 年 資 安 人 員 ( 資 訊 人 員 ) 至 少 2 人 次 須 接 受 12 小 時 以 上 資 安 專 業 課 程 訓 練 或 資 安 職 能 訓 練 1. 一 般 主 管 / 一 般 使 用 者 : 至 少 須 接 受 3 小 時 資 安 宣 導 課 程 並 通 過 課 程 評 量 2. 資 訊 人 員 / 資 安 人 員 : 每 年 資 安 人 員 ( 資 訊 人 員 ) 至 少 1 人 次 須 接 受 12 小 時 以 上 資 安 專 業 課 程 訓 練 或 資 安 職 能 訓 練 1. 一 般 主 管 / 一 般 使 用 者 : 至 少 須 接 受 3 小 時 資 安 宣 導 課 程 並 通 過 課 程 評 量 2. 資 訊 人 員 / 資 安 人 員 : 依 各 主 管 機 關 規 定 資 安 人 員 ( 資 訊 人 員 ) 資 安 專 業 課 程 訓 練 或 資 安 職 能 訓 練 要 求 專 業 證 照 每 年 維 持 至 少 2 張 國 際 資 安 專 業 證 照 與 2 張 資 安 職 能 訓 練 證 書 之 有 效 性 每 年 維 持 至 少 1 張 國 際 資 安 專 業 證 照 與 1 張 資 安 職 能 訓 練 證 書 之 有 效 性 依 各 主 管 機 關 規 定 12
Ⅰ. 資 安 教 育 訓 練 宣 導 課 程 一 般 主 管 及 一 般 人 員 ( 內 容 會 有 些 許 不 同 ) 重 點 為 機 關 資 安 觀 念 之 宣 達, 需 通 過 課 程 評 量 以 確 保 有 效 性 專 業 課 程 訓 練 資 訊 人 員 : 資 訊 系 統 管 理 人 員 資 安 人 員 : 負 責 資 安 業 務 或 資 安 稽 核 人 員 重 點 在 於 專 業 人 員 能 力 之 養 成 評 量 方 式 : 考 試 證 書 或 完 成 相 關 作 業 Ⅱ. 專 業 證 照 國 際 資 安 專 業 證 照 : 指 由 國 外 獨 立 認 驗 證 機 構 所 核 發 之 資 安 專 業 證 照 ( 非 針 對 特 定 廠 牌 產 品 之 證 照 ), 例 如 資 安 管 理 類 之 ISO27001 主 導 稽 核 員 (Lead Auditor, LA) 資 安 經 理 人 (Certified Information Security Manager, CISM) 系 統 安 全 從 業 人 員 (Systems Security Certified Practitioner, SSCP) 資 安 管 理 師 (Certification for Information System Security Professional, CISSP) 等, 及 資 安 技 術 類 之 道 德 駭 客 (Certified Ethical Hacker, CEH) 全 方 位 資 安 專 家 (Global Information Assurance Certification, GIAC) 等 13
Ⅱ. 專 業 證 照 (ISO LAC) Ⅲ. 資 安 職 能 訓 練 https://www.icst.org.tw/capacity.aspx?lang=zh 14
Ⅲ. 資 安 職 能 訓 練 ( 續 ) 人 員 類 別 與 職 能 需 求 類 別 類 別 1: 主 管 類 別 2: 一 般 人 員 說 明 類 別 定 義 : 擔 任 主 管 職 務 相 關 人 員 相 關 職 務 : 如 機 關 ( 副 ) 首 長 部 門 主 管 ( 含 資 訊 主 管 ) 等 職 務 能 力 : 1. 基 本 資 安 認 知 與 技 能 : 具 備 處 理 日 常 資 訊 業 務 之 資 安 知 識 與 技 能, 包 括 : 資 安 概 論 個 人 電 腦 安 全 email 安 全 瀏 覽 網 站 安 全 儲 存 媒 體 安 全 及 資 安 法 律 基 本 認 知 等 能 力 2. 資 安 管 理 的 決 策 能 力 : 管 理 職 部 分, 應 具 備 資 訊 安 全 管 理 制 度 認 知 管 理 及 決 策 能 力, 包 括 : 業 務 持 續 管 理 資 安 事 件 應 變 處 理 管 理 等 能 力 類 別 定 義 : 一 般 人 員 相 關 職 務 : 如 行 政 會 計 總 務 人 員 等 單 位 內 資 訊 系 統 的 使 用 者 職 務 能 力 : 基 本 資 安 認 知 與 技 能 : 具 備 處 理 日 常 資 訊 業 務 之 資 安 知 識 與 技 能, 包 括 : 資 安 概 論 個 人 電 腦 安 全 電 子 郵 件 安 全 瀏 覽 網 站 安 全 儲 存 媒 體 安 全 及 資 安 法 律 基 本 認 知 等 能 力 https://www.icst.org.tw/capacity.aspx?lang=zh Ⅲ. 資 安 職 能 訓 練 ( 續 ) 人 員 類 別 與 職 能 需 求 類 別 類 別 3: 資 訊 人 員 說 明 類 別 定 義 : 負 責 資 訊 作 業 相 關 人 員 相 關 職 務 : 如 系 統 分 析 設 計 人 員 系 統 設 計 人 員 系 統 管 理 人 員 及 系 統 操 作 人 員 等 職 務 能 力 : 1. 基 本 資 安 認 知 與 技 能 :: 具 備 處 理 日 常 資 訊 業 務 之 資 安 知 識 與 技 能, 包 括 : 資 安 概 論 個 人 電 腦 安 全 email 安 全 瀏 覽 網 站 安 全 儲 存 媒 體 安 全 及 資 安 法 律 基 本 認 知 等 能 力 2. 系 統 資 安 防 護 能 力 : 資 訊 系 統 專 業 人 員 : 應 具 備 資 訊 系 統 的 安 全 防 護 認 知 與 技 能 包 括 : 軟 體 的 弱 點 與 修 護 防 護 軟 體 的 原 理 與 應 用 等 https://www.icst.org.tw/capacity.aspx?lang=zh 15
Ⅲ. 資 安 職 能 訓 練 ( 續 ) 人 員 類 別 與 職 能 需 求 類 別 類 別 4: 資 安 人 員 說 明 類 別 定 義 : 負 責 資 通 安 全 業 務 相 關 人 員 如 資 安 管 理 人 員 資 安 稽 核 人 員 資 安 聯 絡 人 員 等 相 關 職 務 : 資 安 管 理 人 員 資 安 稽 核 人 員 資 安 聯 絡 人 員 等 職 務 能 力 : 基 本 資 安 認 知 與 技 能 資 安 制 度 建 置 能 力 資 安 事 件 應 變 處 理 能 力 資 安 稽 核 能 力 能 力 說 明 : 1. 除 一 般 日 常 資 訊 業 務 之 資 安 認 知 外, 另 需 具 備 資 訊 安 全 管 理 制 度 的 建 置 能 力, 包 括 風 險 評 鑑 與 管 理 資 安 政 策 與 程 序 的 撰 擬 等 2. 了 解 資 安 事 件 的 通 報 程 序 與 事 件 處 理 能 力 3. 資 安 稽 核 工 作 人 員, 應 熟 悉 稽 核 項 目 的 要 求 與 資 安 稽 核 技 巧 等 能 力 https://www.icst.org.tw/capacity.aspx?lang=zh Ⅲ. 資 安 職 能 訓 練 ( 續 ) 職 能 評 量 制 度 資 安 職 能 評 量 制 度 摘 要 : 主 辦 單 位 : 國 家 資 通 安 全 會 報 技 術 服 務 中 心 考 試 對 象 : 公 務 人 員 考 試 方 式 : 電 腦 化 考 試 ( 主 ) 或 紙 本 考 試 ( 輔 ) 考 試 題 型 :50 題 選 擇 題 (10 題 複 選 /40 題 單 選 ) 考 試 時 間 :75 分 鐘 通 過 分 數 :70 分 考 試 場 次 : 技 服 中 心 公 告 考 試 場 地 : 技 服 中 心 公 告 考 試 報 名 : 參 加 職 能 訓 練 課 程 後, 隨 課 後 考 試 職 能 評 量 諮 詢 : 技 服 中 心 (02)6631-1666 或 spmo@icst.org.tw https://www.icst.org.tw/capacity.aspx?lang=zh 16
桃 園 市 政 府 資 訊 中 心 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 作 業 規 定 輔 導 課 程 二 弱 點 掃 描 及 滲 透 測 試 二 弱 點 掃 描 及 滲 透 測 試 為 何 要 進 行 弱 掃 及 滲 透 作 業? 系 統 或 軟 體 的 開 發 無 法 確 保 完 整 的 安 全, 當 弱 點 被 利 用 ( 如 Adobe Reader 存 在 著 遠 端 連 線 的 弱 點, 當 此 弱 點 被 針 對 的 軟 體 或 工 具 所 利 用, 則 懷 有 惡 意 的 人 將 可 以 透 過 遠 端 存 取 安 裝 此 程 式 電 腦 中 的 資 訊 ) 進 行 此 項 作 業 可 協 助 機 關 及 早 發 現 已 知 的 風 險, 避 免 機 關 遭 受 到 已 知 的 攻 擊 17
二 弱 點 掃 描 及 滲 透 測 試 ( 續 ) 弱 點 掃 描 (Vulnerability Scanning) 或 弱 點 評 估 (Vulnerability Assessment) 透 過 自 動 化 工 具 依 照 最 新 版 的 弱 點 資 料 庫 (NVD, National Vulnerability Database) 揭 露 的 各 項 弱 點, 作 為 發 現 網 路 作 業 系 統 網 站 應 用 程 式 安 全 性 漏 洞 檢 視 的 工 具 滲 透 測 試 (PT, Penetration Test) 根 據 客 戶 環 境, 以 駭 客 之 思 考 與 行 為 模 式 加 以 規 劃 測 試 內 容, 參 照 安 全 測 試 的 流 程, 並 輔 以 各 類 駭 客 軟 體 工 具 與 技 術, 來 實 際 檢 驗 受 測 對 象 安 全 強 度 理 論 上 滲 透 測 試 至 少 包 含 弱 點 掃 描 二 弱 點 掃 描 及 滲 透 測 試 ( 續 ) 完 整 的 弱 點 掃 描 或 滲 透 測 試 服 務 應 該 至 少 有 下 列 步 驟 提 供 掃 描 計 畫, 以 確 認 實 施 的 期 間 及 實 施 的 標 的 進 行 掃 描 作 業 掃 描 完 成 後 要 提 供 掃 描 報 告 掃 描 原 始 檔 案 及 弱 點 修 補 建 議 管 制 追 蹤 完 整 的 作 業 應 有 初 掃 修 補 及 複 掃 三 個 階 段 18
報 告 中 常 見 評 分 說 明 漏 洞 評 鑑 系 統 (Common Vulnerability Scoring System; CVSS) CVSS 是 運 用 數 學 方 程 式 來 判 定 某 特 定 網 路 的 安 全 性 是 否 存 在 弱 點, 普 遍 被 認 為 較 具 中 立 性 CVSS 的 判 定 標 準, 不 但 包 含 威 脅 的 嚴 重 性, 遠 端 網 路 是 否 能 遙 控 資 安 漏 洞 利 用 網 路 弱 點, 攻 擊 者 是 否 需 要 登 入 才 會 產 生 威 脅 等 等, 都 被 列 入 評 比 CVSS 的 評 分 分 數 從 0 分 到 10 分,0 代 表 沒 有 發 現 弱 點, 而 10 則 代 表 最 高 風 險 報 告 中 常 見 的 編 號 常 見 弱 點 清 單 (Common Weakness Enumeration ; CWE) 這 個 清 單 是 由 美 國 國 家 網 路 安 全 局 (DHS) 維 護, 每 個 單 獨 的 CWE 表 示 某 個 漏 洞 類 型, 詳 細 內 容 可 根 據 編 號 查 詢 其 詳 細 定 義, 如 CWE-89 就 是 代 表 SQL Injection(SQL 語 法 注 入 攻 擊 ) 已 揭 露 的 常 見 弱 點 (Common Vulnerabilities and Exposures; CVE) CVE 的 編 號 以 發 現 的 年 份 + 流 水 號 進 行 編 碼 19
弱 點 掃 描 原 始 檔 案 範 例 管 制 追 蹤 表 內 容 建 議 IP 位 置 設 備 名 稱 弱 點 名 稱 預 計 修 補 方 式 預 計 完 成 時 間 管 理 人 員 實 際 處 理 方 式 說 明 實 際 完 成 時 間 20
桃 園 市 政 府 資 訊 中 心 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 作 業 規 定 輔 導 課 程 三 資 安 健 診 作 業 內 容 說 明 項 次 1 網 路 架 構 檢 視 項 目 內 容 說 明 單 位 封 包 監 聽 與 有 線 分 析 網 路 2 惡 意 活 動 檢 視 網 路 設 備 紀 錄 檔 分 析 針 對 網 路 架 構 圖 進 行 安 全 性 弱 點 檢 視, 檢 視 之 項 目 包 含 設 計 邏 輯 是 否 合 宜 主 機 網 路 位 置 是 否 適 當 及 現 有 防 護 程 度 是 否 足 夠 針 對 有 線 網 路 適 當 位 置 架 設 側 錄 設 備, 觀 察 內 部 電 腦 或 設 備 是 否 有 對 外 之 異 常 連 線 或 DNS 查 詢, 並 比 對 是 否 連 線 已 知 惡 意 IP 中 繼 站 (Command and Control,C&C) 或 有 符 合 惡 意 網 路 行 為 的 特 徵 發 現 異 常 連 線 之 電 腦 或 設 備 需 確 認 使 用 狀 況 與 用 途 封 包 側 錄 至 少 以 6 小 時 為 原 則, 以 觀 察 是 否 有 異 常 連 線 檢 視 網 路 與 資 安 設 備 ( 如 防 火 牆 入 侵 偵 測 / 防 護 系 統 等 ) 紀 錄 檔, 分 析 過 濾 內 部 電 腦 或 設 備 是 否 有 對 外 之 異 常 連 線 紀 錄 發 現 異 常 連 線 之 電 腦 或 設 備 需 確 認 使 用 狀 況 與 用 途 網 路 設 備 紀 錄 檔 分 析 以 1 個 月 或 100 Mbyte 內 的 紀 錄 為 原 則 使 用 者 端 電 針 對 個 人 電 腦 進 行 是 否 存 在 惡 意 程 式 或 檔 案 檢 視, 檢 視 項 目 包 含 活 動 中 與 潛 使 用 腦 惡 意 程 式 藏 惡 意 程 式 駭 客 工 具 程 式 及 異 常 帳 號 與 群 組 者 端 3 或 檔 案 檢 視 電 腦 檢 視 使 用 者 電 腦 更 新 檢 視 作 業 系 統 Office 應 用 程 式 防 毒 軟 體 Adobe Acrobat 及 Adobe flash player 應 用 程 式 更 新 檢 視 伺 服 器 主 機 針 對 伺 服 器 主 機 進 行 是 否 存 在 惡 意 程 式 或 檔 案 檢 視, 檢 視 項 目 包 含 活 動 中 與 伺 服 惡 意 程 式 或 潛 藏 惡 意 程 式 駭 客 工 具 程 式 及 異 常 帳 號 與 群 組 器 主 4 檔 案 檢 視 機 檢 視 伺 服 器 主 機 更 新 檢 視 作 業 系 統 Office 應 用 程 式 防 毒 軟 體 Adobe Acrobat 及 Adobe flash player 應 用 程 式 更 新 檢 視 最 低 訂 購 數 量 各 項 服 務 單 位 所 需 人 天 網 路 架 構 1 式 1 側 錄 設 備 2 台 2 網 路 設 備 2 台 1 使 用 者 電 腦 20 台 0.3 伺 服 器 主 機 5 台 0.3 目 錄 伺 服 器 ( 檢 視 目 錄 伺 服 器 中 群 組 的 密 碼 設 定 與 帳 號 鎖 定 原 則, 例 如 AD 伺 服 器 有 關 群 組 如 MS AD) 中 原 則 (Group Policy) 中 之 密 碼 設 定 原 則 與 帳 號 鎖 定 原 則 設 定 安 全 群 組 的 密 碼 若 無 AD 伺 服 器, 可 以 其 他 目 錄 伺 服 器 ( 如 LDAP) 或 以 個 別 使 用 者 端 電 腦 檢 視 方 目 錄 伺 服 器 1 台 0.25 5 設 定 設 定 與 帳 號 式 完 成 密 碼 設 定 原 則 與 帳 號 鎖 定 原 則 安 全 設 定 檢 視 ( 使 用 者 端 電 腦 以 檢 視 鎖 定 原 則 項 次 3 的 電 腦 為 範 圍 ) 防 火 牆 連 線 設 定 檢 視 防 火 牆 的 連 線 設 定 規 則 ( 如 外 網 對 內 網 內 網 對 外 網 內 網 對 內 網 ) 是 否 有 安 全 性 弱 點, 確 認 來 源 與 目 的 IP 與 通 訊 埠 連 通 的 適 當 性 防 火 牆 設 備 1 台 0.5 21
資 安 健 診 作 業 資 安 健 診 服 務 應 涵 蓋 所 有 服 務 項 目, 各 服 務 項 目 的 採 購 單 位 數 量, 不 得 少 於 服 務 項 目 所 列 之 各 項 目 最 低 訂 購 數 量 資 安 健 診 服 務 價 金 為 各 單 項 服 務 金 額 的 總 和 服 務 總 金 額 計 算 方 式 為 :( 各 項 服 務 單 位 所 需 人 天 * 各 項 訂 購 數 量 = 各 項 採 購 數 量 所 需 人 數, 並 將 各 項 採 購 數 量 所 需 人 數 加 總 合 計 後 )* 人 天 費 率 人 天 費 率 為 決 標 單 價 價 格 資 安 健 診 作 業 ( 續 ) 廠 商 應 配 合 事 項 及 交 付 項 目 1. 資 安 健 診 服 務 報 告 2. 側 錄 封 包 資 料 ( 燒 錄 至 光 碟 或 其 他 媒 體 裝 置 ) 3. 服 務 紀 錄 檔 ( 燒 錄 至 光 碟 ) 4. 發 現 之 惡 意 程 式 ( 如 果 有 發 現 ) 5. 檢 視 服 務 之 項 目 / 數 量 與 採 購 項 目 / 數 量 相 符 6. 服 務 所 需 軟 硬 體 設 備 由 廠 商 提 供 7. 配 合 適 用 機 關 辦 理 至 少 一 次 說 明 會 議 22
資 安 健 診 作 業 ( 續 ) 文 件 報 告 交 付 基 本 要 求 1. 執 行 結 果 摘 要 說 明 ( 依 照 檢 測 類 別 各 別 摘 要 說 明 ) 2. 執 行 計 畫 執 行 期 間 / 執 行 項 目 / 執 行 範 圍 / 專 案 成 員 要 求 廠 商 檢 附 執 行 本 項 作 業 之 成 員 資 格 證 書 影 本 3. 執 行 情 形 4. 結 果 建 議 5. 結 論 6. 附 件 執 行 情 形 說 明 要 求 網 路 架 構 檢 視 ( 依 照 網 路 架 構 安 全 設 計 備 援 機 制 設 計 網 路 存 取 管 控 網 路 設 備 管 理 主 機 設 備 配 置 等 風 險 類 型 分 別 說 明 檢 視 結 果 ) 有 線 網 路 惡 意 活 動 封 包 監 聽 與 分 析 ( 說 明 內 部 電 腦 或 設 備 是 否 有 對 外 之 異 常 連 線 或 DNS 查 詢, 發 現 異 常 連 線 之 電 腦 或 設 備 需 確 認 使 用 狀 況 與 用 途 ) 網 路 設 備 紀 錄 檔 分 析 ( 依 檢 視 之 網 路 設 備 為 序, 表 列 包 括 設 備 名 稱 位 置 異 常 行 為 及 紀 錄 檔 時 間 等 資 訊, 發 現 異 常 連 線 之 電 腦 或 設 備 需 確 認 使 用 狀 況 與 用 途 ) 使 用 者 端 與 伺 服 器 端 電 腦 惡 意 程 式 或 檔 案 檢 視 ( 依 檢 視 之 使 用 者 電 腦 或 伺 服 器 IP 為 序, 分 別 說 明 檢 視 結 果 及 發 現 之 惡 意 程 式 檔 名 ) 23
執 行 情 形 說 明 要 求 作 業 系 統 Office 應 用 程 式 防 毒 軟 體 Adobe Acrobat 及 Adobe flash player 應 用 程 式 更 新 情 形 ( 使 用 者 端 與 伺 服 器 端 電 腦 均 分 別 依 檢 視 項 目 逐 項 詳 列 未 更 新 之 台 數 及 比 例 數 ) 目 錄 伺 服 器 ( 例 如 微 軟 的 AD) 中 群 組 的 密 碼 設 定 與 帳 號 鎖 定 原 則 ( 檢 視 設 定 之 合 理 性, 如 密 碼 歷 程 密 碼 最 短 有 效 期 及 帳 號 鎖 定 閥 值 為 零 ) 防 火 牆 連 線 設 定 檢 視 ( 檢 視 防 火 牆 的 連 線 設 定 規 則, 例 如 外 網 對 內 網 內 網 對 外 網 內 網 對 內 網 是 否 有 安 全 性 弱 點, 確 認 來 源 與 目 的 IP 與 通 訊 埠 連 通 的 適 當 性, 並 表 列 說 明 需 改 善 之 規 則 名 稱 與 檢 視 結 果, 檢 視 結 果 內 容 如 可 進 行 匿 名 登 入 未 啟 用 此 服 務 不 需 提 供 遠 端 連 線 等 資 訊 ) 桃 園 市 政 府 資 訊 中 心 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 作 業 規 定 輔 導 課 程 四 對 所 屬 C 級 機 關 應 辦 事 項 24
四 對 所 屬 C 級 機 關 應 辦 事 項 本 項 目 適 用 單 位 為 本 府 A 級 或 B 級 主 管 機 關 本 府 資 訊 中 心 預 計 於 明 年 初 訂 定 相 關 規 定, 供 所 屬 C 級 機 關 遵 循 主 管 機 關 應 於 下 列 構 面 對 於 所 屬 C 級 機 關 訂 定 相 關 要 求 : 資 訊 系 統 分 類 分 級 資 安 專 責 人 力 稽 核 方 式 業 務 持 續 運 作 監 控 管 理 安 全 性 檢 測 專 業 證 照 等 對 所 屬 C 級 機 關 相 關 要 求 ( 範 例 ) 管 制 所 轄 C 級 機 關 資 訊 系 統 分 類 分 級 作 業 情 況 針 對 所 轄 C 級 機 關 建 置 之 資 訊 系 統 檢 視 是 否 符 合 防 護 基 準 要 求 確 認 所 轄 C 級 機 關 是 否 指 派 兼 任 之 資 安 專 責 人 力 每 年 辦 理 一 次 資 訊 安 全 自 我 檢 查 作 業 確 認 所 轄 C 級 機 關 是 否 對 核 心 業 務 應 用 資 訊 系 統, 每 年 至 少 一 次 定 期 檢 視 計 畫 適 用 性 檢 視 所 轄 C 級 機 關 縱 深 防 護 檢 視 所 轄 C 級 機 關 運 用 資 訊 系 統 ( 或 網 站 ), 是 否 於 系 統 建 置 或 更 新 時, 或 每 年 至 少 辦 理 一 次 資 安 弱 點 檢 測 作 業, 並 對 弱 點 進 行 修 復 作 業 檢 視 所 轄 C 級 機 關 資 安 教 育 訓 練 實 施 情 況 25
桃 園 市 政 府 資 訊 中 心 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 作 業 規 定 輔 導 課 程 五 Q&A 26