校園資訊安全管理 2010.8
大綱 何謂資訊安全? 資訊資產有哪些?哪些資產要特別注意? 國中小資訊安全管理系統實施原則說明 打造屬於自己的校園資安管理系統 問題與討論
資訊的定義 何謂資訊? 是一種資產 對組織營運有價值的資產 是組織營運不可缺少的 需要適當的保護
資訊的生命週期 創造 處理 儲存 傳輸 破壞 使用 遺失 損毀 C機密性、I完整性、A可用性 計算過程 環境、實體安全 方式或協定、過程加密 天災、人禍 (事件80%) 不當使用、外洩 壓縮、加密、特殊設備讀取 資料刪除、資料報廢 保護 階段
資訊存在的形式 有實體可再利用: 無實體不能再利用: 無論形式為何皆應受到適當保護 石碑、獸皮、竹簡、紙本、磁帶、磁片、光碟、硬碟、IC晶片… 無實體不能再利用: 肢體、旗號、聲音、語言、有線無線電子訊號、光訊號… 無論形式為何皆應受到適當保護
何謂資訊安全 保存資訊的機密性、完整性、可用性 鑑別性(例.password) 可歸責性(例.ID) 不可否認性(例.電子簽章) 可靠度(例.環境)
資安3要素C.I.A.定義 機密性(Confidentiality):未經授權不得存取 完整性(Integrity) :保持準確與完整 可用性(Availability) :被授權者可以存取並使用 機密性 可用性 完整性
了解你要管的東西有哪些 應清點及鑑別所管轄之資訊資產,建立「資訊資產清冊」。 應定期更新與維護所管轄之資訊資產清冊。 彙整資訊資產清冊,陳報至資訊安全管理小組予以統一控管,以確保資訊資產編號及清冊之完整性。
資訊資產清冊範例
資產管理角色 Owner 權責單位: 由組織指定的資訊資產擁有單位。 Keeper 保管單位: 由組織指定的資訊資產保管單位。 User 使用單位: 由組織授權的資訊資產使用單位。
資產清冊範例
資訊資產分類 人員(People) 包含全體同仁以及委外廠商。 文件(Document) 以紙本形式存在之文書資料、報表等相關資訊,包含公文、列印之報表、表單、計畫等紙本文件。 軟體(Software) 作業系統、應用系統程式、套裝軟體等,包含原始程式碼、應用程式執行碼、資料庫等。
資訊資產分類 通訊(Communication) 提供資訊傳輸、交換之線路或服務。 硬體(Hardware) 網路設備、主機設備等相關硬體設施。 資料(Data) 儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。 環境(Environment) 相關基礎設施及服務,包含辦公室實體、實體機房、電力、消防設施等。
資產編碼方式 除「文件」類之資產 外,資產編號之編碼方 式如右圖 1~3碼為權責單位別 5、6碼為資產類別 7~10碼為資產編號。
資產清冊範例
資產價值鑑別(一) 資產價值鑑別除考量機密等級之外,尚需考量可用性及完整性,其評估標準如下: 機密性評估標準(範例)
資產價值鑑別(二) 完整性評估標準(範例)
資產價值鑑別(三) 可用性評估標準(範例)
資產價值鑑別 評估資訊資產之機密性、完整性及可用性後,取3者之最大值以為資訊資產之價值。 資產價值=MAX(C,I,A)
資產管理
資產標示 已列入機密等級分類的資訊資產及系統之輸出資料,應明確標示其機密等級,避免其機密性遭破壞。 重要等級標示方式: 不同顏色標籤區分,並註明財產編號與財產名稱。
複核 每年至少進行1次資產盤點與資產清冊複核,以更新及確保資產清冊的正確性及完整性。 當範圍內有以下的狀況發生之時,則實施不定期的複核,以更新及確保資產清冊的正確性及完整性。 有新增、變更或移除資訊資產。 系統有重大異動。 作業環境改變。
資產報廢 資訊資產之報廢(或銷毀)應視其機密等級,採取適當之方式進行銷毀。
【人】是最大的問題 推動資訊安全管理原因 【科技】發達,資訊資產輕易流通 【系統】設計開發時就不夠安全,無法以技 術手段解決 【系統】設計開發時就不夠安全,無法以技 術手段解決 【網路應用】日益複雜,存取控制難以作用 【攻擊】技術日新月異,來源面日益擴大 【組織】高度依賴IT科技,風險仍無法降低 【人】是最大的問題
學校應保護哪些資訊安全? 保護資料及公務機密 學校的信譽 偏重機密性:個資、會計帳、公務機密? … 偏重完整性:成績、學籍、薪資、研究、公文… 偏重可用性:校園網站、教學系統、網路系統、資訊設備… 學校的信譽
案例分享 網站涉洩露學師生個人資料 電腦失竊造成資料遺失 學生駭客竊取帳號修改網站 中部某所知名大學網站因控管不當,透過 Yahoo 、 Google 等搜尋引擎,便可直接取得該校就學貸款學生名冊,名冊內含學生身份證字號、貸款金額等個人資料,讓學生資料暴露於危險之中。 電腦失竊造成資料遺失 南部某國小電腦遭竊,人事教職員資料因存放於電腦中而一並外洩、會計預算電子檔案亦於電腦中一同遺失。 學生駭客竊取帳號修改網站 北區某知名高中學生於駭客教學網站習得駭客入侵技巧,練習入侵多所學校網站,並於某小學網站發布『學校寒假延長訊息』假消息,另刪除多所學校網站重要資料。
教育體系分級原則
資訊安全責任等級分級
資安管理推動方式 國中小教育領域的資安推動工作第一階段應以全國縣(市)教育網路中心為重點 由教育部提供適當資源予各網路中心進行 ISMS 建置工作,現階段不以ISO 27001為驗證依據,由教育部頒發資安標章。 國中小學資安落實以鼓勵方式進行,並由各個縣市網路中心以「訪視」方式瞭解實施現況並給予適當建議。
以網路中心為主的安全集中管理模式
適合網路中心、國中小環境 的資安控制項目
中小學資安管理系統實施原則適用範圍與條文 國中、小學內電腦、資訊與網路服務相關的系統、設備、程序、及人員。 實施原則內文詳見附件。
校園資訊安全常見的脆弱點 人員的:資安認知不足、專業訓練不足 環境的:無門禁管制、無空調系統、無UPS、無消防 實體的:對溼度鹽分敏感、無定期備份 組織的:無監督機制、任務編組 程序的:缺乏雙重確認機制 軟體的:已知、未知的漏洞 網路的:缺乏身分鑑別機制、線路未保護 通訊的:無加密機制 文件的:無拷貝管制、無報廢機制
校園面對哪些資訊安全威脅-1 不安全的網路環境 軟硬體上已知、未知的安全漏洞 網段未區隔;有線、無線,行政、教學 無連線認證身分鑑別機制 無防火牆 實體線路無保護 軟硬體上已知、未知的安全漏洞 未及時更新軟體修補程式 防毒軟體未更新 可攜式儲存媒體未管制
校園面對哪些資訊安全威脅-2 不安全的實體環境 組織、人員的漠視或缺乏教育訓練 無防竊機制(鐵窗、鐵門、防盜系統、烙碼、宣導) 電力不足、重要主機無不斷電系統 機房無空調,消防 機敏資料無備份機制 組織、人員的漠視或缺乏教育訓練 無資訊安全管理機制 組織缺乏人力、經費 上級漠視、人員排斥 缺乏認知及教育訓練 違法
不可不知─個人資料保護法 99年5月26日立法院三讀修正通過 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 個人資料外洩賠償上限由二千萬元提高到二億元,獲利超過二億時,以獲利為上限。 電腦或書面資料皆涵蓋 民眾索賠不須負舉證責任 公務機關無論如何都須負「無過失責任」,除天災或不可抗力情形才能免責
學校有這些情況嗎? 學校網頁內容有無不當公布個人資料或已不合時宜之法令規章、作業程序? 內部網路公共使用資源共享區,有無存放個資等機密敏感資料? 有無落實使用者註冊及通行密碼等權限管理制度? 有無下載未授權、P2P或其他與公務無關之軟體? 1.個資法 3.公用電腦、螢幕保護程式、啟用密碼 4.著作權法
成功推行資安管理系統的因素-1 資安政策、目標、活動能反映營運目標 與組織文化一致 所有管理階層明顯的支持與承諾 對資安要求、風險評鑑、風險管理有充分理解 對員工及其外部人員有效推廣
成功推行資安管理系統的因素-2 向員工及其外部人員分發並宣導資安政策及各項規則的說明 提供經費 提供認知及教育訓練 有效的資安事故管理程序 打造一個量測系統,評估績效及建議回饋,作為改進
Q&A
感謝聆聽