104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.

Slides:



Advertisements
Similar presentations
新一代信息技术的信息安全与 信息安全新技术. 主要的信息安全标准-国际标准 发布的机构安全标准 1 ISO (国际标准组织) ISO17799/ISO27001/ISO27002 ISO/IEC ISO/IEC ISO/TR ISACA (信息系统审计 与控制学会)
Advertisements

一、老师申请题目,以下指导老 师操作。 1. 登录教务系统 web 端. 2. 点击 “ 毕业设计 ” 工具栏下拉菜单中的 “ 论文 _ 教师申请题目 ”
数据库系统原理 数据库系统概论 SQL Server 数据库系统原理 3.1 SQL Server 2000 特性 Microsoft SQL Server 2000 的特性包括: 真正的客户机 / 服务器体系结构。 图形化用户界面。 丰富的编程接口工具。 SQL Server 与 Windows.
职业指导服务系统 欢迎了解职业指导服务系统!
欢迎各位 Nice to Meet U.
第三节 人类的居住地——聚落.
Security Checking Systems for Mobile Devices
資訊安全.
综合实验 ----实验选作(1/3) 智能五子棋游戏 1. 实验目的
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.
无砟轨道轨距、水平调整 主讲教师:程建红、方筠、苗兰弟 2016年5月.
如何準備校務評鑑— 校方處室觀點 土城國小輔導處主任 林德姮.
中低收入老人生活津貼 中低收入老人生活津貼SOP 應計人口 申請人及其配偶。 負有扶養義務之子女及其配偶。 前款之人所扶養之無工作能力子女。
實施勞退金提撥專案檢查 查核資料說明 報告人:徐維聰.
提高自身素质做好 新时期班主任工作 北京市广渠门中学 高金英.
1.1 Project 2007简介及新增功能介绍 Project 2007 视频教学课程.
普通话模拟测试 与学习平台 使用指南.
學校在地化教學模組、創新作為與注意事項 104年度區域防災及氣候變遷調適 教育服務推廣團計畫 (北區) 計畫主持人┤譚義績 教授
第八章 网络课程的设计与开发.
Module 10-2:網路銀行應用範例.
網路小說劇情建構與伏線營造 Windows98.
软件工程 实验三 周志钊
資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問
WEB攻击与防护技术 徐 震 信息安全国家重点实验室.
教育部教育管理信息中心 教育卡标准化研究所 二00九年七月
关于整合检验检测认证机构实施意见的通知(国办发〔2014〕8号)
互联网时代班主任的挑战 万玮 2014年9月20日.
留德讲坛 2011年6月19日.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
推进德育创新 做好新时期班主任工作 北京市广渠门中学 高金英.
友達光電廠顯影液儲槽事故案 (資料來源:蘋果日報)
第一類學校輔導訪視流程SOP 104年度區域防災及氣候變遷調適 教育服務推廣團計畫 北區防災教育服務團執行,中區與南區服務團協辦
專題講座 『圖書館學生志工服務簡介』 主講人:朱嫺玢 國立雲林科技大學圖書館 館務發展組組長 國家考試-圖書博物管理職系
AWS雲端企業 馮治平 2016/10.
報告單位:會計室 100年09月14日 資料來源:行政院主計總處
物聯網安全 物聯網的軟體安全分析.
通过外网访问邮件系统的说明 信息中心.
學術網站弱點檢測 演講者:魏宏吉 2012/05/25.
第 19 章 遠端管理.
第 3 章 SQL Server 2000 伺服器管理初步.
精誠資訊的企業電子化支援系統 指導老師: 王淑卿 教授 第六組組員名單: 許瑋麟 張勝彥 蔡孟翰
Asp.net 基礎.
XSS & SQL Injection理論 2014/7/29 許子謙.
組員:陳俊宇 陳典杰 趙俊閔 指導老師:張慶寶
鄉村尋根-農具篇.
2018/11/29 内外兼修,保障业务安全 —— 腾讯安全运维实践
Manufacturing Execution System (MES)
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
第3章 Linux免安裝版學習與操作 課前指引
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
資料中心的安全威脅與進階防護 A10 Networks Taiwan System Engineer Jack Chien
第 一章 資訊安全導論 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
圖形溝通大師 Microsoft Visio 2003
数据库技术与应用 (开学篇) 同济大学.
Windows服务器操作系统:2003 市场占有率仍稳居第一
從消費者觀點談 食品安全問題何時了? 江 文 章 臺大食品科技研究所 名譽教授 臺灣保健食品學會 創會理事長
電子商務專題 水木書苑~網路書店~ 林則孟教授 林鴻裕 郭智亮 王柏元 張俊傑
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
Windows内核安全编程实践之路
中国农业科学院博士后学术论坛 博士后基金申请的经验及体会 中国农业科学院生物技术研究所 秦 华 博士
2.1 数据库的创建 2.2 表的组成 2.3 表的创建 2.4 表间关系的建立
“修身成材” 班级干部培训班 黑龙江大学党委学工部.
2017学考复习 信息管理(导引P37).
游振昌 Gibson 資訊平方有限公司 執行總監 台灣微軟資深顧問
作業系統的操作 2019/8/9 明誠中學編製.
外盤動能理論與運用 主題二: 外盤動能試算表及外盤5M 主講: 陳文賢 學歷:國立高雄第一科技大學 財務管理研究所畢
Presentation transcript:

104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日

大綱 壹、 104年網路攻防演練作業 貳、 104年網路攻防演練綜合評估 參、結論與建議 一、情境演練 二、實兵演練 三、電子郵件社交工程演練 參、結論與建議

壹、104年網路攻防演練作業 3

104年網路攻防演練 104年網路攻防演練: 情境演練 實兵演練(含電子郵件社交工程) 期間:9月24日至12月17日 對象 (能源與交通): 臺灣港務股份有限公司花蓮港務分公司 (演練日期:9月24日) 台灣電力股份有限公司第二核能發電廠 (演練日期:11月24日) 台灣中油股份有限公司大林煉油廠 (演練日期:12月4日) 交通部民用航空局松山機場 (演練日期:12月17日) 實兵演練(含電子郵件社交工程) 期間:10月12日至11月20日 對象: 行政院所屬二級機關(含三、四級機關共用資訊系統) 12/17

貳、104年網路攻防演練綜合評估 5

第二核能發電廠 ERF、RFC暨DEH系統情境演練 一、情境演練 情境演練主要目的係檢視標準作業程序是否規劃得宜,情境與演練腳本設計應務求逼真以反映真實狀況 104年情境演練主要針對花蓮港務分公司、第二核能發電廠、大林煉油廠、松山機場的關鍵基礎設施系統進行演練 演練機關需視情境內容所描述之不同狀況即席回答應變處置作為,再由學者專家提供改善建議 發布時間 演練程序 演練時間 演練狀況: 核二廠目前是台灣電力供應系統中裝置容量最大的發電機組。但隨著反核民意的升高,數名內部人員因不滿核電廠,想利用本身的專業知識進行一連串的干擾行為,欲使得一般民眾不信任核電廠安全。 14:15 狀況(一) DEH自動控制器處理模組故障,人機介面操作電腦遭植入病毒 15分鐘 14:30 狀況(二) RFC Foxboro軟體參數遭內部人員蓄意竄改,以致再循環流量產生異常 14:45 狀況(三) ERF系統的Windows Server在安裝修補程式過程中不慎感染病毒 15:00 狀況(四) 已被病毒感染的DEH人機介面操作電腦,因運轉員執行測試指令而觸發惡意程式 15:50 綜合討論 40分鐘 16:30 情境演練會議結束 第二核能發電廠 ERF、RFC暨DEH系統情境演練

模擬演練,輔以視訊會議瞭解各機關即時應處情形 102至104年情境演練比較 102年 103年 104年 演練對象 行政院所屬33個二級部會行總處署 關鍵資訊基礎設施(交通與通訊傳播): 新北市政府交通局之都會交通控制系統 TWNIC之網域名稱管理系統 關鍵資訊基礎設施(能源與交通): 第二核能發電廠 大林煉油廠 花蓮港務分公司 松山機場 演練方式 模擬演練,輔以視訊會議瞭解各機關即時應處情形 模擬演練,即席回答應處作為 演練時間 全日 (共6個子情境) 半日 (共3個子情境) (共3個子狀況及1個特別狀況) 辦理SCADA安全教育訓練 與演練機關進行多次訪談 設計3套劇本,每套劇本含3個子狀況及1個特別狀況(由專家學者設計) 演練當天現場抽選演練劇本

二、實兵演練 於10月12日至11月20日期間,由攻擊手對32個機關(共1,322個系統),以不影響演練機關系統正常業務運作為原則,採遠端弱點掃描、滲透測試及社交工程攻擊等方式,實際攻擊入侵機關系統與網路,並由裁判組負責記錄與監控攻擊組之攻擊過程 2013年OWASP十大弱點測試手法,並增加系統弱點、弱密 碼、應用程式弱點及新型態弱點等檢測,共計16類檢測項目 2013年OWASP十大Web資安弱點 A1 注入攻擊(Injection) A6 敏感資訊暴露(Sensitive Data Exposure) A2 遭破壞的認證與連線管理 (Broken Authentication and Session Management) A7 缺乏功能性的存取控管 (Missing Function Level Access Control) A3 跨網站腳本攻擊(Cross Site Scripting) A8 跨網站的偽造要求(Cross Site Request Forgery) A4 不安全的物件參考 (Insecure Direct Object References) A9 使用具有已知弱點的元件(Using Components with Known Vulnerabilities) A5 錯誤的安全性設定 (Security Misconfiguration) A10 未驗證的重導與轉出(Unvalidated Redirects and Forwards) 資料來源:OWASP (http://www.owasp.org.tw)

弱點分布 – 整體 敏感資訊暴露 40.7% 跨網站腳本攻擊 25.1% 不當的安全組態設定 8.6% 注入攻擊 8.3% 弱密碼 7.4% 排名 弱點類型 比例 1 敏感資訊暴露 40.7% 2 跨網站腳本攻擊 25.1% 3 不當的安全組態設定 8.6% 4 注入攻擊 8.3% 5 弱密碼 7.4% 6 不安全的物件參考 4.4% 7 未經驗證的重新導向與轉送 3.5% 8 缺少功能級別的存取控制 2.1% 總計 100% 本年共發現339個弱點: 58 個高衝擊性弱點(佔17%) 281個低衝擊性弱點(佔83%) 判斷原則 高衝擊性 低衝擊性 機密性:取得屬於未公開或 需經授權的資料或文件內容 重要帳號密碼(具管理權限)、密級以上 資料、機敏網頁程式碼、民眾個資等 一般使用者帳號密碼、測試 帳號密碼、非密級資料等 完整性:未經認證或授權即 可修改內部資料或文件 插入攻擊語法(XSS等)、修改機敏資料 等 置入圖片、修改一般資料等

府、五院、各直轄市及縣(市)政府 (計28個機關) 行政院所屬32個二級部會行總處署(含三、四級機關共用資訊系統) 102至104年實兵演練比較 102年 103年 104年 102年 103年 104年 演練對象 行政院所屬33個二級部會行總處署 府、五院、各直轄市及縣(市)政府 (計28個機關) 行政院所屬32個二級部會行總處署(含三、四級機關共用資訊系統) 演練期間 32個日曆天 23個日曆天 40個日曆天 攻擊手 30位 21位 20位 系統數 482 1,267 1,322 系統平均弱點數 0.224 0.171 0.256

三、電子郵件社交工程演練 於網路上尋找32個機關可取得之所屬人員電子郵件帳號(共960個郵件帳號) 社交工程郵件類型(共9種信件) 隨機寄發3種類型之社交工程郵件至每個電子郵件帳號 透過「社交工程演練系統」採隨機寄發社交工程郵件,並記錄使用者「開啟郵件」、「點閱連結」及「開啟附件」等行為

102至104年電子郵件社交工程演練比較 年度 受測人數 開啟郵件人數 開啟率 點閱附件/連結人數 點閱率 102 932 42 4.5% 31 3.32% 103 838 69 8.23% 35 4.18% 104 960 7 0.73% 1 0.1%  點閱率與開啟率均較102年與103年低。 12

研討會議及表揚 102年我國首次辦理網 路攻防演練,期間邀外 賓(4個國家計11位)進 行相關經驗分享,各界 對我演練籌劃及辦理成 果多表示肯定 本年11月25日召開104 年攻防演練研討會議, 並邀請外賓(來自美國、 歐盟、澳洲、日本、韓國、泰國共計16位)進行經驗交流 對於表現績優機關,於12月21日資安會報第29次委員會議頒發獎座予以肯定;對於表現績優及良好機關,將函請各該機關給予參與人員適度行政獎勵 時間 議程內容 主講者 13:30-14:00 報到 14:00-14:10 主席致詞 張召集人善政 14:10-14:40 資安趨勢與網路攻防演練簡介 技服中心 14:40-15:10 Enterprise Desktop Exercise Sharing 澳洲代表 15:10-15:40 Incident Exercises and Cyber threat situation in Thailand 泰國代表 15:40-16:00 中場休息 16:00-16:20 104年網路攻防演練綜合評估 16:20-17:10 綜合座談 主持人:張召集人善政 與談人: 演練團隊代表 外賓代表 17:10 賦歸

參、結論與建議 14

機關配合事項 關鍵資訊基礎設施(CII)營運機關: 封閉或隔離之網路環境亦可能存在資安風險,應依需求檢視資訊與控制系統是否存在安全性風險,適時採取適當的防護作為 情境演練劇本設計過程中,應廣泛設想及審慎辨識各種可能之資安威脅,並從系統失能之最壞狀況著手,嚴格檢視緊急應變時的縱向作業與橫向溝通SOP是否完善 應持續關注CII資安威脅趨勢,定期檢視資安防護及應變能力,並依演練結果積極檢討強化防護措施 104年演練結果發現高衝擊性弱點主要為注入攻擊、弱密碼 及敏感資訊暴露,應加強密碼管理、輸入驗證及系統安全設 定等資安防護作業 機關應盤點所屬業務、資訊及測試等各項系統,若該系統已 停止使用,應辦理下線程序,避免因疏於維運造成資安威脅 機關應依規定落實每年辦理1次通報演練及2次電子郵件社交 工程演練,以有效確保機關人員之資安意識

資安會報後續辦理重點 持續將CII及相關重點防護對象納入演練範疇,並逐年強化演練腳本,確保標準作業程序更加完備 規劃於105年資安長及資訊主管會議,提報本次演練結果細部資料(各機關名稱以代碼方式呈現);賡續於105年中召開網路攻防技術研討會,與各機關資訊(安)人員分享常見網站(系統)弱點及檢測防護措施,協助機關可自行檢測,以強化防禦能量 積極推動系統發展生命週期(SSDLC),促請機關依「資訊系統分級與資安防護基準作業規定」,對高安全等級之系統(委外)開發時即要求導入,期有效從源頭強化整體資訊系統安全

報告完畢 敬請指教