104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.

Slides:



Advertisements
Similar presentations
国泰人寿 用心把每件事做到最好. 自我介绍 — 市场部孟繁杰 台湾政治大学 ( 类似复旦在大陆的地位 ) 保险 专业本科、 MBA 硕士 拥有 8 张理财金融相关证照:寿险、产险、 投连险、信托、投信投顾、证券商高业、理 财规划、债券 07 年 1 月进入国泰人寿台湾母公司企划部 08 年底调至上海总部:历任个险市场部、企.
Advertisements

淡水潮鯛 ( 吳郭魚 ) 海水馴化場 水產養殖顧問 賴玨光 中華民國九十五年十一月二十二日. 內容摘要  一、台灣鯛產業的過去、現在與未來  二、淡水台灣鯛海水馴化場基地遴選原則  三、淡水台灣鯛來源建立  四、產能規劃、土地面積需求及如何取得  五、循環水設備利用  六、財務估算 
1 主持人:洪泰雄主任 104 年 6 月 23 日. 2 議 程 主席報告 監試手冊導讀 播放監試簡報 近年案例說明 考區重要提醒 提問與回應 5 分鐘 10 分鐘 15 分鐘 5 分鐘 10 分鐘.
校內專題計畫 聘任 工讀生 說明 研發處 邵雲龍 報告  勞動部公布「專科以上學校兼 任助理勞動權益保障指導原則」 ( )  教育部公布「大專校院強化學 生兼任助理學習與勞動權益保 障處理原則」( )
104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.
任免之路 ~~任我行 彰化縣政府人事處 人力科科員 吳美淑.
預官考前輔導會 分享人:張凱閎.
国家卫生城市标准(2014版) ——公共卫生与医疗服务部分 广州市疾病预防控制中心 肖新才
渡假/會議/休閒(溫泉、戲水、採果、生態)
专题19 人类遗传病和伴性遗传(一).
瑞文氏彩色矩陣推理測驗說明 •••••••••••••••••••••••••••••••••••••••••••••
內部控制的定義及觀念 共同設計、執行及維持的管理過程 →五項要素 何謂內部控制: 係由機關內部全體人員參與 →人人有責
台南市政府水利局 遠端工程管理系統 教育訓練
大家好~.
報告大綱 前言 內部控制基本觀念 學校內部控制運作機制 教育部政策:辦法及時程 教育部訪視私立學校內部控制制度指標項目及內容 結語 一、前言
保险学.
安全生产 任重道远 张家界黄石寨客运索道有限公司.
人生基本功-潘冀建築師的砌磚哲學 正當的力量,才是人生的王道! 人生不只是一場戰鬥,更是一趟有夢相隨的旅程。 為你的夢想追根究柢,一切就從基本功開始! 作 者 : 藍 麗 娟 出版社 : 圓神出版社 導 讀 : 禾固-張滄澤.
外界要求強化內部控制機制(1/2) 我國政府機關本存有內部控制機制,透過施政管考、資 訊安全稽核、政風查核、政府採購稽核、人事考核、內 部審核及事務管理工作檢核等7項稽核評估職能執行稽核 或評估,惟缺乏針對機關業務進行稽核,致部分機關未 有效控管時有違失案件發生,如教育部青年發展署競賽 評審及贈獎活動得獎名單造假案、成功大學研究費.
战情中心 ——组织绩优分享 (第十期).
如何創造房仲億萬店經營 講師:謝秉吾.
101年度北區學生輔導諮商工作協調諮詢中心 上半年工作報告
宜蘭縣政府衛生局暨十二鄉鎮市衛生所檢驗品質通過ISO15189 醫學領域認證計劃
大綱 相關法令依據 經費申請 使用表單 採購申請單、驗收申請單 費用支出申請單 出差旅費報告表 黏貼憑證用紙 經費申請的授權 彈性支用額度
992體育學系週會 主持人:張春秀.
如何準備校務評鑑— 校方處室觀點 土城國小輔導處主任 林德姮.
體育教學法律問題探討 王凱立 育達商業科技大學 助理教授.
歡迎蒞臨 時間 議程/內容 備註 09:00-09:30 報到 報到及領取會議資料 09:30-10:30 「大學校院校務資料庫」 填表說明
中低收入老人生活津貼 中低收入老人生活津貼SOP 應計人口 申請人及其配偶。 負有扶養義務之子女及其配偶。 前款之人所扶養之無工作能力子女。
2015年卓越建桥计划实施情况 2015年6月11日.
實施勞退金提撥專案檢查 查核資料說明 報告人:徐維聰.
國立臺北大學 計畫經費執行及注意事項 會計室 報告 98年10月28日.
機械作業安全管理 王天賜
王品集團 指導老師:吳桂桂老師 組員: 宋宛臻 鄭淑樺 何玉鶯 林貝芯
消費者保護法初探 報告者:國立台中文華高中 李佳浤老師.
校園三級預防 生命教育應如何適切規劃 永平高中沈美華.
振东制药员工上岗培训 李 英 培训是为了共同提高.
紫錐花運動.
药品技术转让现场检查要点 安徽省食品药品审评认证中心 陈菡 2014年1月.
從工廠看學校 聊業界的需求與學界的訓練 主講人:黃翊、徐鎮暉.
CHAPTER 5 食品中毒之處理及防範.
大唐产品售后服务指南.
職業重建人員所需特質 從部屬面及主管(督導)面作探討
Open the sky 天 扉 旅 棧 林欣儀.
加强医疗质量管理 构建和谐医患关系 ——附近期典型医患关系事件剖析 广东省卫生厅 耿庆山.
綜合高中 中心學校與諮詢輔導專案之 工作與成果
友達光電廠顯影液儲槽事故案 (資料來源:蘋果日報)
第一類學校輔導訪視流程SOP 104年度區域防災及氣候變遷調適 教育服務推廣團計畫 北區防災教育服務團執行,中區與南區服務團協辦
提升人事人員運用網路資源之作法 報告人:桃園縣政府地政局 游建盛 101年1月6日.
專題講座 『圖書館學生志工服務簡介』 主講人:朱嫺玢 國立雲林科技大學圖書館 館務發展組組長 國家考試-圖書博物管理職系
主講人:楊明德 教授 國立中興大學 土木工程學系 中華民國 96年 8月
导尿管相关尿路感染预防 与控制技术指南(试行)——解读 敦煌市医院感染管理科 刘剑.
報告單位:會計室 100年09月14日 資料來源:行政院主計總處
連鎖咖啡店之經營管理 及行銷研究─以85度C為例
第一類學校輔導訪視流程SOP 104年度區域防災及氣候變遷調適 教育服務推廣團計畫 請參閱「第一類防災校園建置輔導流程作業說明」文件
活動圖片及說明.
國立中興大學107年度 公文寫作進階核稿研習 公文程式與製作 講授人:林起潛 民國107年8月6日.
Poisson分布的统计分析.
從消費者觀點談 食品安全問題何時了? 江 文 章 臺大食品科技研究所 名譽教授 臺灣保健食品學會 創會理事長
東海大學106學年度第一學期 實驗或工作場所學生安全衛生教育訓練
材料二甲 授課教師:王致傑 老師 (學420、分機5305)
材料二乙 授課教師:林昆明 老師 (學210 、 分機5302)
嘉義縣102年度國中小 特殊教育行政研習 學校特殊教育行政支援 相關服務與運作 主講人:黃 俊 豪 102/7/16 創新學院.
中检所质量体系简介 中国药品生物制品检定所
服務品質 優質 學生事務處 學生事務長:劉玉雯.
CSD全方位業務拓展方案(A+計畫) 稽核作業計畫 主辦稽核:邢天放 行政稽核組.
一類學校第二次到校輔導訪視 流程說明及提醒
Part 1.論文口試前 →修業規定→碩士班→口試申請SOP
專案研究計畫請購及經費核銷 講習會 研究發展處 研究與產學服務組.
Presentation transcript:

104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日

大綱 壹、 104年網路攻防演練作業 貳、 104年網路攻防演練綜合評估 參、結論與建議 一、情境演練 二、實兵演練 三、電子郵件社交工程演練 參、結論與建議 2

壹、104年網路攻防演練作業 3

104年網路攻防演練 104年網路攻防演練: 情境演練 實兵演練(含電子郵件社交工程) 期間:9月24日至12月17日 對象 (能源與交通): 臺灣港務股份有限公司花蓮港務分公司 (演練日期:9月24日) 台灣電力股份有限公司第二核能發電廠 (演練日期:11月24日) 台灣中油股份有限公司大林煉油廠 (演練日期:12月4日) 交通部民用航空局松山機場 (演練日期:12月17日) 實兵演練(含電子郵件社交工程) 期間:10月12日至11月20日 對象: 行政院所屬二級機關(含三、四級機關共用資訊系統) 12/17 4 4

貳、104年網路攻防演練綜合評估 5

第二核能發電廠 ERF、RFC暨DEH系統情境演練 一、情境演練 情境演練主要目的係檢視標準作業程序是否規劃得宜,情境與演練 腳本設計應務求逼真以反映真實狀況 104年情境演練主要針對花蓮港務分公司、第二核能發電廠、大林 煉油廠、松山機場的關鍵基礎設施系統進行演練 演練機關需視情境內容所描述之不同狀況即席回答應變處置作為, 再由學者專家提供改善建議 第二核能發電廠 ERF、RFC暨DEH系統情境演練 6

102至104年情境演練比較 辦理SCADA安全教育訓練 與演練機關進行多次訪談 設計3套劇本,每套劇本含3個子狀況及1個特別狀況(由專家學者設計) 演練當天現場抽選演練劇本 7

二、實兵演練 於10月12日至11月20日期間,由攻擊手對32個機關(共1,322個系統),以不影響演練機關系統正常業務運作為原則,採遠端弱點掃描、滲透測試及社交工程攻擊等方式,實際攻擊入侵機關系統與網路,並由裁判組負責記錄與監控攻擊組之攻擊過程 2013年OWASP十大弱點測試手法,並增加系統弱點、弱密 碼、應用程式弱點及新型態弱點等檢測,共計16類檢測項目 8

弱點分布 – 整體 本年共發現339個弱點: 58 個高衝擊性弱點(佔17%) 281個低衝擊性弱點(佔83%) 9 9

102至104年實兵演練比較 102年 103年 104年 10 10

三、電子郵件社交工程演練 於網路上尋找32個機關可取得之所屬人 員電子郵件帳號(共960個郵件帳號) 社交工程郵件類型(共9種信件) 隨機寄發3種類型之社交工程郵件至每個電子郵 件帳號 透過「社交工程演練系統」採隨機寄發社 交工程郵件,並記錄使用者「開啟郵件」、 「點閱連結」及「開啟附件」等行為 11 11

102至104年電子郵件社交工程演練比較 點閱率與開啟率均較102年與103年低。 12 12

研討會議及表揚 102年我國首次辦理網 路攻防演練,期間邀外 賓(4個國家計11位)進 行相關經驗分享,各界 對我演練籌劃及辦理成 果多表示肯定 本年11月25日召開104 年攻防演練研討會議, 並邀請外賓(來自美國、 歐盟、澳洲、日本、韓國、泰國共計16位)進行經驗交流 對於表現績優機關,於12月21日資安會報第29次委員會議頒 發獎座予以肯定;對於表現績優及良好機關,將函請各該機 關給予參與人員適度行政獎勵 13

參、結論與建議 14

機關配合事項 關鍵資訊基礎設施(CII)營運機關: 封閉或隔離之網路環境亦可能存在資安風險,應依需求檢視資訊與控 制系統是否存在安全性風險,適時採取適當的防護作為 情境演練劇本設計過程中,應廣泛設想及審慎辨識各種可能之資安威 脅,並從系統失能之最壞狀況著手,嚴格檢視緊急應變時的縱向作業 與橫向溝通SOP是否完善 應持續關注CII資安威脅趨勢,定期檢視資安防護及應變能力,並依演 練結果積極檢討強化防護措施 104年演練結果發現高衝擊性弱點主要為注入攻擊、弱密碼 及敏感資訊暴露,應加強密碼管理、輸入驗證及系統安全設 定等資安防護作業 機關應盤點所屬業務、資訊及測試等各項系統,若該系統已 停止使用,應辦理下線程序,避免因疏於維運造成資安威脅 機關應依規定落實每年辦理1次通報演練及2次電子郵件社交 工程演練,以有效確保機關人員之資安意識 15 15

資安會報後續辦理重點 持續將CII及相關重點防護對象納入演練範疇,並逐年強 化演練腳本,確保標準作業程序更加完備 規劃於105年資安長及資訊主管會議,提報本次演練結 果細部資料(各機關名稱以代碼方式呈現);賡續於105年 中召開網路攻防技術研討會,與各機關資訊(安)人員分 享常見網站(系統)弱點及檢測防護措施,協助機關可自 行檢測,以強化防禦能量 積極推動系統發展生命週期(SSDLC),促請機關依「資 訊系統分級與資安防護基準作業規定」,對高安全等級 之系統(委外)開發時即要求導入,期有效從源頭強化整 體資訊系統安全 16 16

報告完畢 敬請指教