資訊工業策進會南資處 辜國隆 中華民國九十二年十月 資訊事件與處理簡介 資訊工業策進會南資處 辜國隆 中華民國九十二年十月

簡 報 內 容 資安事件 資安防護 資安確保(Information Assurance) 資安服務 國家資通安全會報 結語

層出不窮的Internet資訊安全事件 1996年9月 1999年9月 2001年4月 2000年3月 1988年 2001年7-8月 駭客滲入到政府機關及軍事部門等組織，國家安全遭受威脅 1999年9月 兩岸駭客對打此起彼落 2001年4月 美中撞機事件引發中美駭客大戰。 2000年3月 駭客利用DDoS的網路攻擊方式，引起Yahoo、Amazon 、CNN 、eBay等知名網站癱瘓，以致無法提供正常服務。 1988年 美國某大學生在Internet上啟動了第一隻Internet Worm，造成許多電腦癱瘓之後，此事件也因此提醒了許多人除了感到對Internet的方便性外，亦重新評估其所帶來的風險與安全性。 2001年7-8月 紅色警戒Code Red電腦病 蟲肆虐，造成數十萬台電腦 受駭，網路頻寬阻塞：白宮 被迫更改網址、商務部暫時 關閉公共網站、財政部金融 系統停擺等。 2000年6月 香港某電台網站疑受台灣駭客攻擊，調查後發現攻擊來源為台灣某家廣播公司，已證實該廣播公司曾被來自大陸的駭客入侵。顯示國際電腦駭客以台灣當跳板，我不殺伯仁，伯仁卻因我而死。 2001年3月 Amazon.com旗下網站Bibliofind，遭受駭客入侵，竊走9萬8000名顧客信用卡資料。 使得線上交易機制的網路安全問題再度成為關注焦點。 2001年9月 Nimda電腦病蟲肆虐，造成 數十萬網路上電腦之嚴重威 脅。 2001年9-10月 國內陸續發生十餘起「駭客入侵校園檔案事件」之案例，更改修課與假況資料 。 2003年7月 替代役男利用後門程式，入侵並利用學術及政府機關電腦主機充當『盜版倉庫』，儲存熱門電影、電腦軟體、音樂及色情光碟檔案資料。 2003年7月 駭客組織在七月六日對全球網站進行駭客大賽，希望在六小時內入侵全球6000知名網站。 2001年5月 東科大火燒出企業資料異地 備援的重要性，也考驗企業 災害復原的能力。 2002年4-5月 國內網路報稅，隱碼攻擊(SQL Injection)問題造成國人對網路報稅的疑慮 。 2002年7月 偵九隊破獲大陸駭客利用國內ISP業者系統作為攻擊跳板竊取我國資料 。 2003年7月 媒體報載美軍方電腦系統疑似遭受DDOS攻擊，台灣電腦被植入木馬程式成為攻擊跳板。 2001年3月 由於憑證管理機構VeriSign 業務疏失，誤發兩份程式碼 安全性憑證，進而影響到客 戶的權益。 2001年4月 國內首宗網路銀行遭人入侵 盜領事件，SSL安全機制受 到質疑。 資料來源：CERT/CC，資策會MIC整理，2001年10月

資訊安全的定義 資訊、資訊系統與網路環境 隱密性 (Confidentiality) 完整性 (Integrity) 妥用性 (Availability)

資安事件的發生 資安事件＝ 資安弱點資安威脅入侵或攻擊或然率 資安弱點：資訊系統與網路環境潛在可能遭受入侵、攻擊或破壞之處 資安威脅：對資訊系統與網路環境可能造成隱密性、完整性及妥用性問題之外來事件 入侵或攻擊或然率：對資訊系統與網路環境入侵或攻擊之或然率

資訊安全的弱點 系統漏洞或弱點 (Vulnerability)：程式設計不周全 (Design Error) 網路傳輸協定先天缺失 作業系統：系統核心設計不良，例如收到怪異封包時造成系統當機 常用系統：FrontPage 、IIS ida/idq 、 ISAPI filter 、Buffer Overflow 應用系統：SQL Injection 網路傳輸協定先天缺失 傳輸埠控制 (Transport Control) 資訊系統運作環境資訊安全缺失 防護設施不足 系統設定及使用權限問題：網路芳鄰 使用者名稱及密碼設定問題 資訊系統或網路環境實體保護不足 資訊安全管理不善 資安相關法律不足

資訊安全的威脅 惡意程式(Malicious Code) 駭客入侵 電腦病毒(Virus) 、電腦蠕蟲(Worm) 、木馬程式 (Trojan Horse) 、後門程式(Backdoor) 駭客入侵 Password Cracking 系統漏洞或弱點 分散式阻絕服務(Distributed Denial of Service) 連線欺瞞(Spoofing) 利用兩主機信任關係，騙取對方而不需經過繁瑣的認證過程 連線劫取(Session Hijacking) 伺機截斷網路上現有之一方連線，進而冒充被截斷之一方繼續與另一方連線竊取資訊。 實體破壞 天災、人禍 內部人員

資訊安全攻擊工具 流光(大陸發展) 冰河(大陸發展) 藍色火焰(大陸發展) 後門程式－NetBus、BackOrifice、SubSeven等 破密軟體－溯雪、L0phtCrack、JohnTheRipper等 DDoS軟體－Smurf、TFN2K、WinTrinoo

資安事件發生類別 病毒感染 木馬程式、後門程式 信號竊聽或攔截 內部人員 實體破壞 駭客入侵 下載程式 電子郵件 系統漏洞或弱點 不滿員工 電纜毀損 駭客入侵

駭客入侵流程(1) 勘查(Reconnaissance)：透過公開資訊獲得攻擊目標相關資訊 Whois：單位使用IP網段、管理者電子郵報及電話 DNS ：透過DNS Zone Transfer列出單位內有註冊網域名稱的系統，取得較明確的攻擊目標 搜尋網站、News群組或單位Web以獲取更多聯絡人或系統相關資訊 社交工程 探測掃描(Probe, Scanning)：對目標系統送出特定封包，藉由回應獲取有用資訊 Ping、Traceroute 、Port Scan 、Wardialing 、war driving (竊聽無線網路、OS fingerprint (主機作業系統版本)、banner(伺服器版本) Nessus或Fluxay(弱點掃描) 找出防火牆Policy

駭客入侵流程(2) 入侵系統/破壞系統(Exploit)：利用弱點操控系統或竊取資料、置換網頁或造成阻絕服務 系統漏洞 系統設定錯誤、系統管理權限錯誤 密碼破解 假造IP位址(IP Spoofing)、偽造DNS資訊(DNS Spoofing) 攔截及替代封包 取得更高管理權限 採取阻斷服務攻擊以耗盡電腦CPU 、Memory及Bandwidth

駭客入侵流程(3) 維持存取(Keeping Access)： 安裝後門或遠端管理程式以利再次進入系統 安裝竊聽軟體(Sniff) 讀取或破壞資訊 當成跳板繼續攻佔其他系統 覆蓋軌跡(Covering The Track)：試圖使管理者無法發現攻擊者的入侵 刪除或修改Log檔 隱藏檔案

資安事件的特性 跨地區性 無行業別 無政府、民間區別 無軍事、政治、社會、民生區別 道德性的定義不易 方便性與安全性的取捨 犯罪工具取得容易，卻難以追查 資安相關法令仍在發展中

資安事件預防及處理 資安防護 資安確保 資安服務 事件發生前 事件發生中 事件發生後 事件發生終 資安事件預警 使用資安合格的資訊產品 資訊環境及設定 異地資料備分或系統備援 資安管理 事件發生中 入侵偵錯及監控 應變作業流程 阻絕後續的攻擊行為 事件發生後 系統復原 事件通報 事件發生終 資料判讀、事件分析 鑑別攻擊方法及來源 資安防護 (防護的技術及 設備) 資安確保 (程序的評鑑及 相關的證據) 資安服務 (漏洞掃描、安全評估及 入侵監控等)

資安防護 資料保護 傳輸保護 系統防護 Network Host 入侵偵測 存取控制/入侵防護 Application 系統管理 Data Router, Firewall, VPN, SSL… IDS,主機型防火牆， 防毒，稽核記錄… 資料保護 加解密、資料備份 傳輸保護 虛擬私人網路(VPN) 系統防護 安全資訊產品 掃毒程式 異地系統備援 入侵偵測 主機型、網路型 存取控制/入侵防護 防火牆(Firewall) 身分鑑識 系統管理 密碼，使用者 權限… Network Host Application Data 防禦概念- Defense in Depth 加密、備份…

網際網路上的安全需求 方便、可靠的使用者身分識別機制 穩定、可靠的服務平台 安全的傳輸通道 1 3 2 Internet 公司網路 行動網路 VPN Router 家庭網路 Web Server VPN TUNNEL Internet ISP 方便、可靠的使用者身分識別機制 安全的傳輸通道 穩定、可靠的服務平台 1 2 3

身分鑑識 使用者名字 (User name) 使用者身分鑑識 (Authentication) 方便、可靠的使用者身分識別機制 知道什麼(What I know)：通行碼 Password 擁有什麼(What I have) ：IC card 我是什麼(What I am) ：生物特徵如指紋、聲紋、視網膜 方便、可靠的使用者身分識別機制 低成本、易於使用（攜帶）的機制 難以偽造 多種方法合併使用提高安全性 使用PKI與CA達成網路身分證的目的 數位信封 電子/數位簽章

虛擬私人通道 安全的傳輸通道 封包內容的隱密性、完整性 資料來源的鑑別 相關技術趨勢 IPSec （RFC-24xx 系列）、IPSP（IP Security Policy，Internet-draft) 、IKE（Internet Key Exchange，RFC-2400） 更新（安全）的加密機制：如AES (RC6 ) 更快的處理速度：如專用的加密晶片、IPSec 晶片

防火牆(Firewall) 資料封包過濾 整合虛擬私人網路 (VPN) 即時監控與警報 身分驗證：正面表列、負面表列 網路位址轉換 (NAT) 動態 靜態 Application Gateway(主機型) 狀態檢驗 (state inspection) 整合虛擬私人網路 (VPN) 即時監控與警報

入侵偵測系統 (IDS) 即時監控資料封包 部署方式 紀錄有不法行動或入侵行為之可疑封包 分析違反安全之活動 網路型： 主機型 已知不法行動或入侵行為之Pattern Micro-behavior 部署方式 網路型： 針對網路上的連線狀態及傳輸封包 的內容進行監控 主機型 可直接與主機伺服器上的作業系統與應用程式做密切的整合，因此可偵測出許多網路型IDS所察覺不出的攻擊模式(如網頁置換、作業系統的kernel竄改 )

系統管理 系統權限管理 使用名稱/通行碼設定管理 系統組態管理(Policy) 系統安全 管理者與一般使用者 群組管理 通行碼長度、複雜度、期限 系統組態管理(Policy) 防火牆、入侵偵測系統 系統安全 隨時保持最新系統安全漏洞的Patch 安全自我檢測 定期檢視系統紀錄檔(System Log)

資安確保--信心和確保 (1) 客戶對產出(deliverable：硬體、軟體或服務)在資安方面的信心(Confidence) 和對廠商執行產出資安確保(Information assurance, IA) 工作的信念程度(Belief) 有關 資訊產出的IA是藉由評鑑過程(Assessment Process)及所產生的證據(Evidence)來決定。透過各種安全工程和評鑑方式的過程和證據來評估產出是否可以達到並滿足產出在資安方面所宣稱的規格 客戶對產出的資安信心便是基於其對產出在資安需求的認知，和評鑑方式及過程所得的知識(證據)來決定

信心和確保 (2) 資訊產出的IA工作不會增加產出的防護或其他功能， IA工作僅會增加客戶對產出在資安機制及功能方面的信心，減少產出的不確定性(Uncertainty)，在有外來攻擊時可減少受到入侵的風險 IA工作做好並不表示一定有好的安全，只有在能訂定並滿足環境的安全目標(政策)時，才是好的安全。IA工作僅能降低風險 IA工作成本高且造成時程延遲，但不能提高利潤，因此無法運用投資報酬率來評估其價值，僅能依避免損失的代價來衡量

資安確保的需求 分析產出的資安需求： 進行深入的系統風險評估： 風險定義： 影響人士(influencers) 資安政策(security policies) 業務需求和產品運作環境 進行深入的系統風險評估： 了解資產敏感度、弱點及可能之威脅 決定殘餘之風險 建議防禦方案 風險定義： 外在威脅對組織潛在弱點的攻擊，可能造成組織損失或傷害的機率

資安確保的架構 資訊產出(硬體、軟體及服務)的評鑑： 資訊產出研製過程的評鑑： 資訊產出研製環境的評鑑： 藉由評估和測試的方式，以檢查資訊產出和相關的安全設計文件。資訊產出的評鑑與開發的過程無關 資訊產出研製過程的評鑑： 評鑑資訊產出生命週期各階段(研發、測試、交貨、部署、維運及卸除) 的運行流程 其觀點是認為有好的產出研發和生產過程，就會有好的產出品質 資訊產出研製環境的評鑑： 評鑑會影響產出研發和生產過程品質好壞的環境因素 環境因素包括人員和廠房設施

資安確保方法的例子 確保方式 對象 確保方法 流程 品質和發展流程 ISO 9000, ISO/IEC 15504 HCD, SSAM(SSE-CMM) 產出、流程和環境 商標(Branding) 開發者的信譽 產出 保險(Insurance) 保證(Warranty Assurance) 自我宣示(Self Declaration) 供應商宣示(Supplier’s Declaration) 環境 人員專業及知識 專業證照及執照、安全的廠房設施 直接評鑑(Direct Assessment) CEM(ISO/IEC 18045), ITSEM(ITSEC) TPEP(TCSEC), TPEP(CTCPEC) ISO 14598 Software Product Evaluation 安全管理(Security Management) BSI Code of Practice (ISO/IEC IS 17799) GISA/BSI Base Line Protection Manual ISO/IEC 13335

ISO 9000 為一品質管理系統(Quality Management System)的標準，原為製造業而訂定，被引用到資訊軟體，如資訊安全軟體產品和系統 八項品質管理原則 Customer focus：了解顧客目前及未來的需求，符合顧客的要求並努力超出顧客的期望，以得到組織最大的利潤 Leadership ：建立組織單一的宗旨和方向，以提供全員奮鬥的目標 Involvement of people ：全民動員，以爭取組織最大利益 Process approach ：所有活動和相關資源以“Process”方式管理，以提昇效率 System approach to management 系統化組合及管理各相關Process ，以提昇效能及效率 Continual improvement ：持續改善應是組織恆久不變的信念 Factual approach to decision making ：有效的決策應是基於數據和資訊的分析 Mutual beneficial supplier relationships ：組織和其供應商相互依存，互利關係可以增加雙方的價值

BS 7799/CNS17800 為一資訊安全管理系統(Information System Management System, ISMS)標準，採用流程導向(Process Approach)來開發、實施及改進組織之ISMS的有效性 瞭解組織資訊之安全要求，制定資訊安全政策及目標 在管理組織整體資訊安全風險之情況下，實施及操作各項控制措施 監控、審查資訊安全管理系統之績效與有效性 以客觀測量方式持續改進 採用『規劃-執行-查核-行動』(Plan-Do-Check-Action, PDCA)模式

BS 7799/CNS17800實施方法 規劃 執行 行動 查核 訂定ISMS的範疇與政策 訂定風險評鑑的系統化方法 鑑別風險項目並進行風險評鑑 鑑別並評估處理風險的選項做法 選擇控制目標及控制措施 測量ISMS的績效 鑑別ISMS可改善處並有效實施 採取適當矯正及預防措施 與所有相關機構就結果及各項錯失進行溝通並徵詢意見 必要時修改ISMS 確認各修改措施以達到預期目標 規劃 實施既定的管理規劃 實施所選的控制措施 作業管理 資源管理 實施作業程序及其他管制過程 執行 行動 查核 執行作業程序及其他管制措施 定期審查ISMS的有效性 審查殘餘風險(residual risk)與可接受風險(acceptable risk)之層級 執行各項管理作業程序 定期執行正式的ISMS審查作業 紀錄與回報所有的措施與事件

BS7799 檢查項目 概分為10大項127種檢查項目 安全政策 安全組織 資產分類及控制 人員安全 實體及環境安全 通訊與作業安全 存取控制 系統開發及維護 業務持續運作及管理 符合性

ISO/IEC 15408 為一資訊安全共同準則，訂定用來表達及描述資訊系統安全需求的共同語言及架構，以律定資安產品安全之功能需求(functional requirement)及安全之確保需求(assurance requirement) 讓技術人員在研發資安相關產品或系統時有所遵循提供評估人員能夠以較客觀和一致性的標準來評估資訊安全產品和系統) 提供使用者一個和製造方式無關的架構方式，稱為Protection Profile，來表達資訊產品在資安方面特殊的需求

資安產品確保等級 評估確保等級(Evaluation Assurance Level, EAL)的分類是基於廠商研製過程、確保行為所產生的證據及評估結果而定 EAL 分成七等級： EAL1：functionally tested(功能測試) EAL2：structurally tested (結構測試) EAL3：methodically tested and checked (有方法的測試及查核) EAL4：methodically designed, tested and reviewed (有方法的設計、測試及覆審) EAL5：semi-formally designed and tested (半正規的設計和測試) EAL6：semi-formally verified design and tested (半正規的驗證設計和測試) EAL7：formally verified design and tested (正規的驗證設計和測試)

混合式資安確保 Assurance Stage Process Product/ Assurance System/ Approach Design/ Development Integration Deployment Operation Process Assurance Method A Assurance Method B Assurance Method C Product/ System/ Service Assurance Method D Assurance Approach Assurance Method E Assurance Method F Environment (Personnel & Organization) Assurance Method H Assurance Method G

資安服務範圍 漏洞掃描 滲透測試 網頁監控 入侵偵測 安全監控 事件處理 系統復原 事件鑑識 系統改善 事件發生前 事件發生中 事件發生後 資安事件預警 使用資安合格的資訊產品 資訊環境及設定 異地資料備分或系統備援 資安管理 事件發生中 入侵偵錯及監控 應變作業流程 阻絕後續的攻擊行為 事件發生後 系統復原 事件通報 事件發生終 資料判讀、事件分析 鑑別攻擊方法及來源 漏洞掃描 滲透測試 網頁監控 入侵偵測 安全監控 事件處理 系統復原 事件鑑識 系統改善 安全監控與服務中心

漏洞(弱點)掃描 模擬攻擊者發出的攻擊動作，對資訊系統的特定通信埠(或對應某特定系統漏洞所運用之通信埠)或其他方式輸入各種測試信號，以檢查網路設備、作業系統及應用程式的安全性 用以判斷網路或作業系統安全與否之工具 提供網管人員對所負責的環境的安全作一體檢 網管人員可依據所得結果進行弱點修補，提昇安全性 很多攻擊程式是利用已知的弱點所撰寫，若系統無已知的弱點，自可避免大部分的攻擊

滲透測試 以人為或自動方式應用各種資安入侵工具、社交工程模擬駭客入侵的手法，對受測目標的網路、應用系統進行測試行為 測試方法 攻擊計畫 －在專案範圍內擬定攻擊計畫 勘查－收集目標系統或網路的相關資訊 探測與攻擊－探測系統弱點及使用工具攻擊 取得立足點－利用系統弱點進入系統 進展－從一般使用者取得管理者權限 祕密行動階段－ 掩蓋動作及安裝 Root kits 竊聽階段－利用網路Sniffer或鍵盤讀取器竊聽 接管－從單一主機擴展到其他主機

網頁監控 監控中心定期儲存被監控網址首頁之所有資料 比較最近兩次網頁的資料是否有所改變內容 長度比對 全文比對 若有改變，將網頁資料顯示在監控中心 以人為方式判斷網頁是否遭受非法置換 可能 False Alarm，極不可能遺漏

入侵偵測/安全監控 由安全監控與服務中心(如Security Operation Center, SOC)對企業或機構的網路環境，進行安全監控及處理，負責的網路安全性 監控項目 防火牆(Firewall) 虛擬私有網路(VPN) 入侵偵測系統(IDS) 防毒系統(Anti-Virus) 服務等級 網路環境監控 事件處理 網路環境管理：網路安全政策、系統設定等

事件處理與系統復原 機關／機構面臨資安事件時，可依六大階段處理 準備(Preparation)－善用已知技術、訓練成員、建立緊急通報機制 辨識(Identification)－確定是否為資安事件，保留證據，並通報各級單位 抑制(Containment)－獨立受害系統或關閉系統 移除(Eradication)－移除事件成因 復原(Recovery)－以備份資料回復系統狀態，確認系統處於正常狀態，並持續監視系統運作 追蹤(Follow-Up)－建立追蹤報告

事件鑑識 鑑識是一門能夠幫忙解決資通安全事件中數位證據難題的科學。其定義為：以周延的方法及程序保存、識別、抽取、記載及解讀電腦媒體證據與分析其成因之科學 鑑識程序 保存證據 ：如Log 檢驗證據 :如解讀Log 案件分析與陳述 呈現結果

鑑識:追查技術的發展 誘陷裝置系統 流量分析 稽核記錄 ：如何保留與信賴經攻擊後之主機記錄 Controlled Vulnerable Services Service Redirection Virtual Execution Environment 流量分析 分析非互動 port 連線卻呈現互動連線流量，藉此偵測後門程式的存在。 Thumbprint:分析入侵者各種獨特可區分之特點，例如打字速率、連線狀況、系統特有狀況，在網路 traffic 等 noise 影響下，仍可經過濾後找出可供識別的特徵。 稽核記錄 ：如何保留與信賴經攻擊後之主機記錄

鑑識:後門的特性 後門程式侵入方式 偵測後門程式的困難性 發現後門的事例 一般攻擊後殖入 社交工程 (social engineering) 隱身為正常程式、連線的 port 位址可任意更動 連線協定可輕易更改（隱藏在正常協定之上） 後門程式的變異與發展快速 發現後門的事例 Firewall security policy 實施，發現不斷對外有封包被攔截 察看所有開啟檔案、交互對照

系統改善 為預防事件重演，應妥善做好基本防護措施，以改善系統安全性 安裝防毒軟體，並定期更新病毒碼 定期檢查弱點項目，並勤於更新 使用NAT IP轉址功能 安裝防火牆，並定期檢視Policy 妥善保存Log紀錄，並定期檢視 密碼定期更新，並制定嚴謹設定原則 更改系統預設值 應用程式撰寫時，考慮安全性

我國的資通安全機制 行政院於90年1月17日第2718次院會通過 「建立我國通資訊基礎建設安全機制計畫」，成立資通安全會報，負責下列事項之政策研究、協調、聯繫、策劃、整合及推動： 提高資通安全決策層次，編組專職人員統合推動協調相關工作 強化政府資通安全防護，律定資通安全職掌及分工

我國的資通安全機制(續) 建立資通安全危機事件通報及預警機制，建立全民防護體系 彙整及發布相關資訊供各機關參考並妥採預防措施 執行國家重要資訊通信基礎設施之安全防護，建立主動偵防能力 策訂重要資訊通信設施安全規範及回復重建措施 檢討及增修訂資通安全相關法令、訂定資通安全技術標準及規範，建立產品檢驗及保證機制

我國的資通安全機制(續) 推動資通安全學術研究及關鍵技術研發，促進資通安全產業發展 加強資通安全人力培訓及觀念宣導 提昇執法機關之偵防能力及人力，建立跨國及區域性合作機制 推動國家憑證認證體系，建立安全即可信賴之認證環境 督導資通安全計劃之執行

第一階段：於民國91年底前建立國家資通安全基本防護能力(目標：危害層面限於局部) 計畫時程 第一階段：於民國91年底前建立國家資通安全基本防護能力(目標：危害層面限於局部) 90.12.31前完成我國資通安全技術研發策略及系統弱點評估 90.12.31前完成認證、保證、信息分享體系建立 91.12.31前完成政府PKI基礎建設(配合電子化政府完成CA認證機制)

第二階段：於民國93年底前建立國家資通安全整體防護體系(目標：有效遏止潛在威脅可能發動之攻擊、入侵或破壞行動) 計畫時程(續) 第二階段：於民國93年底前建立國家資通安全整體防護體系(目標：有效遏止潛在威脅可能發動之攻擊、入侵或破壞行動) 92.12.31前完成入侵偵防及緊急應變計畫 92.12.31前完成認證、保證、信息分享及通報體系之檢討及修正 93.12.31前完成主動偵測及有效預防之整體防護體系

國家資通安全會報組織 國家資通安全 諮詢委員會 技術服務中心 國家安全會議顧問 綜 合 業 務 組 國家資通安全應變中心 標準規範工作組 召 集 人：行政院 院長兼 副召集人：行政院 副院長兼 委 員：相關部會首長及北高市長 執 行 長：行政院NICI小組總召集人兼 副執行長：總統府國家安全會議派員兼 　　　　　行政院主計處電子中心主任兼 國家安全會議顧問 國家資通安全 諮詢委員會 綜 合 業 務 組 國家資通安全應變中心 技術服務中心 標準規範工作組 稽核服務工作組 資訊蒐集工作組 網路犯罪工作組 危機通報工作組 資通安全 技術諮詢小組 經濟部 資策會/工研院 中科院/電信所主計處/國防部 交通部/財政部 教育部/業者 經濟部 研考會 國防部 交通部 財政部 主計處 (電子中心) 國防部 交通部 經濟部 財政部 國科會 中科院 工研院 資策會 相關公協會 民間業者 法務部 內政部 國防部 交通部 主計處 (電子中心) 內政部/國防部 交通部/財政部 經濟部/教育部 衛生署/研考會 ……………….. 危機通報分組等六組

國家資通安全應變中心 國家資通安全會報 技術服務中心 危機通報分組(行政院主計處電子中心) 學術機構分組 教育部 行政機構分組 研考會 召 集 人：國家資通安全會報執行長兼 副召集人：行政院科技顧問組執行秘書兼 副召集人：行政院主計處電子中心主任兼 副召集人：國家安全會議派員兼 國家資通安全會報 技術服務中心 危機通報分組(行政院主計處電子中心) 學術機構分組 教育部 行政機構分組 研考會 國防體系分組 國防部 危機通報分組 主計處 事業機構分組(四) 衛生署 事業機構分組(三) 財政部 事業機構分組(二) 交通部 事業機構分組(一) 經濟部 衛生 金融、證券、 關貿 網路通信、航管、 交通 電、水、瓦斯 學校及研究機關 政府行政機關 國防體系

資通危害等級 『A』級：影響公共安全、社會秩序、人民生活財產 『B』級：系統停頓，業務無法運作 『C』級：業務中斷，影響系統效率 『D』級：業務短暫停頓，可立即修復 影響等級『B』級(含)以下時，由危機通報分組負責通報各副召集人處理，並依需要由副召集人召集各分組及相關單位召開緊急應變會議或立即進駐應變中心處理全般狀況：當危機通報分組回報影響等級達到『A』級時，由應變中心副召集人立即通報召集人，並即刻召集各分組及相關單位進駐應變中心召開緊急應變會議處理全般狀況

資通安全處理小組 政府各機關(機構)應成立「資通安全處理小組』，屬常態任務編組： 安全預防 蒐集資通安全資訊 培訓資通安全技術 訂定系統安全等級 建置資通安全措施 執行資通安全監控 危機處理 規劃危機處理程序 查明安全事件原因 確定影響範圍並作損失評估 執行緊急應變措施 辦理安全事件通報 執行解決方法

技服中心的角色 提供政府單位資訊系統與環境安全防護之服務 協助推動我國資安產業之發展 為我國政府在資安領域之技術幕僚

(緊急通報、緊急應變計畫、強化應變體制) (人才培育、技術研發、觀念推廣、法規研修、標準規範) 我國資通安全防護之架構 國際合作 健全重要基礎設施 安全資通環境 提供 資訊交流 攻擊威脅與預警偵測 政府與民間聯繫合作機制 技術服務中心 事件通報 (建立區域聯防機制) 政 府 機 構電信、金融 交通、能源 醫療、公安 技術研發 網際網路 提昇管理 事件處理 組成 資安產業 緊急應變 協助推動 政府與民間合作之緊急應變體制 (緊急通報、緊急應變計畫、強化應變體制) 支援 規劃 推動國家資訊安全基礎建設 (人才培育、技術研發、觀念推廣、法規研修、標準規範)

技服中心工作 負責通資訊安全基礎建設技術規劃支援作業 負責資通安全人力培訓 負責資通安全基礎宣導及舉辦相關技術研討會 建置資通安全宣導及技術網站並蒐集最新通資訊安全相關技術 編訂資通安全基本作業手冊並協助各機關訂定作業系統安全等級 推動資通安全關鍵技術研發及學術研究並協助發展我國通資訊安全相關產業 辦理資通安全攻防模擬環境建置及相關訓練等事項 建構資通安全區域聯防服務機制 提供各界資通安全技術諮詢服務

計畫架構及內容 技術 服務 國 家 資 通 安 技術 全 支援 技 術 服 務 計 研究 畫 規劃 教育 推廣 技術 能量 預警機制、資安事件通報與處理、弱點評鑑與修復、建置區域聯防、入侵偵測、滲透測試、網站與論壇 技術 服務 國 家 資 通 安 全 技 術 服 務 計 畫 技術 支援 國家重大資安事件應變、資安演習、國際資安事件處理、緊急應變 資通安全政策白皮書、審視資通安全法制建設、資通安全市場調查，支援旗艦計畫『建置資通安全環境計畫』規劃與執行 研究 規劃 資安觀念及應用、資安作業管理制度、資訊人員資安技術訓練、資安法令宣導、季刊及e-Learning、學術會及研討會 教育 推廣 技術 能量 資通安全人才技術之養成、資安事件處理技術軟體彙整與運用、環境及資安資料庫建置、資安作業管理制度建立

政府單位資安服務與支援 基本防護體系 整體防護體系 資訊系統 防護能力 事前：弱點評鑑與漏洞通報、PKI系統規劃 事發：政府網站監視系統通報體系與區域聯防機制建立 事後：資安事件排除及系統復原 事終：檢討並改善系統安全防護措施 事前：系統安全等級與稽核機制建立、相關標準、規範及法制研究規劃 事發：主動偵測、預警系統規劃建立 事後：緊急處理與應變機制建立 事終：協助鑑識事件發生原因，追蹤攻擊來源 單位人員資安素養 資安觀念建立 資安防護技術養成 技術能力認證觀念建立 建立資訊系統弱點與病毒掃描與修補能量 建立主動偵測與緊急應變能量 人員資安技術能力認證 單位資安管理制度 單位資安管理制度觀念建立 單位資安管理制度建置與認證

技術服務與支援項目 IIS worm、Code Red、Nimda弱點掃描 每月定期，約4800 IPs，每個IP費時約5~10秒 800多個弱點深度掃描 在重點時刻對選定重點單位或應要求，每個IP費時至少一小時 WPMS網站監測 持續執行，約1200IPs NIDS網路型入侵偵測 行政院院部及經濟部，應要求協防時執行 Help Desk諮詢服務 持續執行 ICST網站 政府單位查訪 資安事件處理與建議

資通安全技服區域支援網成立

三色警戒作業

國家資通安全技術服務架構 5.威脅管理 4.分析預警 3.災害應變 2.事件處理 1.資安預防 技術服務中心 政府單位 SOC TWCIRC 全球駭客與病毒資訊 收集與分析 國內外資安事件資訊分享 協助資安事件處理 資安弱點公佈 資安諮詢服務 國內外資安事件資訊分享、關聯分析與融合 資安預警 4.分析預警 協助資安事件 處理 資安入侵監控 資安環境設定 資安弱點偵測 資安弱點補強 資通緊急備便與反應處理 資通防救災資訊 資通網路骨幹單點故障分析 3.災害應變 資安事件處理 2.事件處理 協助資安事件處理 資安弱點補強 資訊安全管理 異地備援 資安諮詢服務 資安弱點偵測 資訊安全管理 技術服務團單位訪視 1.資安預防 技術服務中心 政府單位 SOC TWCIRC

結 語 資訊安全專家 Bruce Schnier 說： Security is a process not a product 結 語 資訊安全專家 Bruce Schnier 說： Security is a process not a product 資通安全，人人有責。 RISK Asset Threat Vulnerability

敬請指正