校園資訊安全管理 2010.8.

Slides:



Advertisements
Similar presentations
Excel - 九十七年度教職員工資訊教育訓練 董建弘.
Advertisements

行銷研究 單元三 次級資料的蒐集.
LearnMode學習吧 行動學習 網站註冊程序 長榮中學 電腦中心 製.
Linux 作業系統 任課老師:蔡哲民 參考書:Unix 終極指南,Sumitabha Das著,吳賢明審 閱 美商麥格羅‧希爾,學貫行銷公司.
校園網路管理實電務 電子計算機中心 謝進利.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
教學優良教師分享 資訊管理系 陳昌助.
資安事件案例宣導簡報 電子計算機中心 96年6月27日.
TQC+ JAVA全國教師研習會 PLWeb 程式設計練習平台 簡介.
圓玄學院妙法寺內明陳呂重德紀念中學 高中課程簡介會 資訊及通訊科技.
亞洲大學的數位學習資源與應用 鍾仁宗老師 101年12月4日.
Google協作平台.
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
第1章 認識Arduino.
信神圖書館影音VOD操作說明.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
無線射頻識別系統(RFID) 基本原理及發展與應用
資訊及通訊科技科 Information and Communication Technology (ICT)
電子郵件 人際溝通 2018/12/27 輔仁大學圖書資訊學系.
連結資料庫管理系統.
信神圖書館影音VOD操作說明.
商用軟體 OFFICE 2003.
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
EBSCOhost App應用程式 安裝方式.
管理資訊系統導論 資訊系統的定義與概念.
私立南山高中 信息組 電腦研習 電腦資料的備份 中華民國 99年4月20日 星期二.
家長教育 之 電子學習.
網路安全技術期末報告 Proxy Server
(五) 校務會議 資訊執秘 業務報告.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
人事差勤系統 網路簽到退 資訊室 黃怡智.
UpToDate Anywhere 設定方法
如何運用E化教學-大綱 找一門課程進行E化配合教學-計算機概論 校內提供既有之E化教學資源 教材內容與E化資源結合
Web Service 1.
人文與科技的結合 人文與科技的結合 Right Fax使用說明.
研究用資料庫 REDCap 台大醫院新竹分院 心臟內科 謝慕揚.
授課老師:楊維邦教授 組長:劉秋良 成員:李政均、郭瀚文、鄒震耀
網路隱私權 A 林學涵.
網頁程式概論 建國科技大學資管系 饒瑞佶 2015/9 V1 2016/4 V2 2016/9 V3.
講師:陳永芳 網際網路資源運用 講師:陳永芳
2011清大電資院學士班 「頂尖企業暑期實習」 經驗分享心得報告 實習企業:工研院 實習學生:電資院學士班 楊博旭.
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
大專生以自由軟體服務偏遠地區國民小學 毛慶禎 國立中央圖書館臺灣分館 2006年12月25日 Theme created by
單元三 資訊安全與保護 Learning Lab.
106年度教育雲服務策略聯盟計畫 酷學習 COOL CLASS.
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
智慧型手機程式設計 建國科技大學資管系 饒瑞佶 2011年(992).
六年級電腦科 KompoZer w3.dhps.tp.edu.tw.
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
馬偕醫學院 圖書館
資訊安全和資訊倫理宣導 永康區復興國小教務處.
reporter: 郭建杉 稻江家護 網站設計企畫 reporter: 郭建杉
電腦概論考題分析 佛學資訊組 碩一 張榮顯.
取得與安裝TIDE 從TIBBO網站取得TIDE
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
黃影雯副教授講授 E_Mail Address:
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
報告人:黃 宜 純 校 長 日 期:106年4月20日.
資安事件案例宣導簡報 電子計算機中心 96年6月27日.
第四章 通訊與網路管理 授課老師:褚麗絹.
資料表示方法 資料儲存單位.
資料擷取與監控應用實務.
妙法寺陳呂重德紀念中學 高中課程簡介會 資訊及通訊科技.
資料結構與C++程式設計進階 期末考 講師:林業峻 CSIE, NTU 7/ 15, 2010.
決策支援系統 實例簡介.
由Facebook看SNS的現況與未來發展趨勢
多站台網路預約系統之 AJAX即時資料更新機制
電腦網絡與教學.
Chapter 4 Multi-Threads (多執行緒).
指導老師:張慶寶 組員 : 蔡維庭 4970E028 劉明哲 4970E079 葉聖鴻 4991E020 康有成 4970E004
Presentation transcript:

校園資訊安全管理 2010.8

大綱 何謂資訊安全? 資訊資產有哪些?哪些資產要特別注意? 國中小資訊安全管理系統實施原則說明 打造屬於自己的校園資安管理系統 問題與討論

資訊的定義 何謂資訊? 是一種資產 對組織營運有價值的資產 是組織營運不可缺少的 需要適當的保護

資訊的生命週期 創造 處理 儲存 傳輸 破壞 使用 遺失 損毀 C機密性、I完整性、A可用性 計算過程 環境、實體安全 方式或協定、過程加密 天災、人禍 (事件80%) 不當使用、外洩 壓縮、加密、特殊設備讀取 資料刪除、資料報廢 保護 階段

資訊存在的形式 有實體可再利用: 無實體不能再利用: 無論形式為何皆應受到適當保護 石碑、獸皮、竹簡、紙本、磁帶、磁片、光碟、硬碟、IC晶片… 無實體不能再利用: 肢體、旗號、聲音、語言、有線無線電子訊號、光訊號… 無論形式為何皆應受到適當保護

何謂資訊安全 保存資訊的機密性、完整性、可用性 鑑別性(例.password) 可歸責性(例.ID) 不可否認性(例.電子簽章) 可靠度(例.環境)

資安3要素C.I.A.定義 機密性(Confidentiality):未經授權不得存取 完整性(Integrity) :保持準確與完整 可用性(Availability) :被授權者可以存取並使用 機密性 可用性 完整性

了解你要管的東西有哪些 應清點及鑑別所管轄之資訊資產,建立「資訊資產清冊」。 應定期更新與維護所管轄之資訊資產清冊。 彙整資訊資產清冊,陳報至資訊安全管理小組予以統一控管,以確保資訊資產編號及清冊之完整性。

資訊資產清冊範例

資產管理角色 Owner 權責單位: 由組織指定的資訊資產擁有單位。 Keeper 保管單位: 由組織指定的資訊資產保管單位。 User 使用單位: 由組織授權的資訊資產使用單位。

資產清冊範例

資訊資產分類 人員(People) 包含全體同仁以及委外廠商。 文件(Document) 以紙本形式存在之文書資料、報表等相關資訊,包含公文、列印之報表、表單、計畫等紙本文件。 軟體(Software) 作業系統、應用系統程式、套裝軟體等,包含原始程式碼、應用程式執行碼、資料庫等。

資訊資產分類 通訊(Communication) 提供資訊傳輸、交換之線路或服務。 硬體(Hardware) 網路設備、主機設備等相關硬體設施。 資料(Data) 儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。 環境(Environment) 相關基礎設施及服務,包含辦公室實體、實體機房、電力、消防設施等。

資產編碼方式 除「文件」類之資產 外,資產編號之編碼方 式如右圖 1~3碼為權責單位別 5、6碼為資產類別 7~10碼為資產編號。

資產清冊範例

資產價值鑑別(一) 資產價值鑑別除考量機密等級之外,尚需考量可用性及完整性,其評估標準如下: 機密性評估標準(範例)

資產價值鑑別(二) 完整性評估標準(範例)

資產價值鑑別(三) 可用性評估標準(範例)

資產價值鑑別 評估資訊資產之機密性、完整性及可用性後,取3者之最大值以為資訊資產之價值。 資產價值=MAX(C,I,A)

資產管理

資產標示 已列入機密等級分類的資訊資產及系統之輸出資料,應明確標示其機密等級,避免其機密性遭破壞。 重要等級標示方式: 不同顏色標籤區分,並註明財產編號與財產名稱。

複核 每年至少進行1次資產盤點與資產清冊複核,以更新及確保資產清冊的正確性及完整性。 當範圍內有以下的狀況發生之時,則實施不定期的複核,以更新及確保資產清冊的正確性及完整性。 有新增、變更或移除資訊資產。 系統有重大異動。 作業環境改變。

資產報廢 資訊資產之報廢(或銷毀)應視其機密等級,採取適當之方式進行銷毀。

【人】是最大的問題 推動資訊安全管理原因 【科技】發達,資訊資產輕易流通 【系統】設計開發時就不夠安全,無法以技 術手段解決 【系統】設計開發時就不夠安全,無法以技     術手段解決 【網路應用】日益複雜,存取控制難以作用 【攻擊】技術日新月異,來源面日益擴大 【組織】高度依賴IT科技,風險仍無法降低 【人】是最大的問題

學校應保護哪些資訊安全? 保護資料及公務機密 學校的信譽 偏重機密性:個資、會計帳、公務機密? … 偏重完整性:成績、學籍、薪資、研究、公文… 偏重可用性:校園網站、教學系統、網路系統、資訊設備… 學校的信譽

案例分享 網站涉洩露學師生個人資料 電腦失竊造成資料遺失 學生駭客竊取帳號修改網站 中部某所知名大學網站因控管不當,透過 Yahoo 、 Google 等搜尋引擎,便可直接取得該校就學貸款學生名冊,名冊內含學生身份證字號、貸款金額等個人資料,讓學生資料暴露於危險之中。 電腦失竊造成資料遺失 南部某國小電腦遭竊,人事教職員資料因存放於電腦中而一並外洩、會計預算電子檔案亦於電腦中一同遺失。 學生駭客竊取帳號修改網站 北區某知名高中學生於駭客教學網站習得駭客入侵技巧,練習入侵多所學校網站,並於某小學網站發布『學校寒假延長訊息』假消息,另刪除多所學校網站重要資料。

教育體系分級原則

資訊安全責任等級分級

資安管理推動方式 國中小教育領域的資安推動工作第一階段應以全國縣(市)教育網路中心為重點 由教育部提供適當資源予各網路中心進行 ISMS 建置工作,現階段不以ISO 27001為驗證依據,由教育部頒發資安標章。 國中小學資安落實以鼓勵方式進行,並由各個縣市網路中心以「訪視」方式瞭解實施現況並給予適當建議。

以網路中心為主的安全集中管理模式

適合網路中心、國中小環境 的資安控制項目

中小學資安管理系統實施原則適用範圍與條文 國中、小學內電腦、資訊與網路服務相關的系統、設備、程序、及人員。 實施原則內文詳見附件。

校園資訊安全常見的脆弱點 人員的:資安認知不足、專業訓練不足 環境的:無門禁管制、無空調系統、無UPS、無消防 實體的:對溼度鹽分敏感、無定期備份 組織的:無監督機制、任務編組 程序的:缺乏雙重確認機制 軟體的:已知、未知的漏洞 網路的:缺乏身分鑑別機制、線路未保護 通訊的:無加密機制 文件的:無拷貝管制、無報廢機制

校園面對哪些資訊安全威脅-1 不安全的網路環境 軟硬體上已知、未知的安全漏洞 網段未區隔;有線、無線,行政、教學 無連線認證身分鑑別機制 無防火牆 實體線路無保護 軟硬體上已知、未知的安全漏洞 未及時更新軟體修補程式 防毒軟體未更新 可攜式儲存媒體未管制

校園面對哪些資訊安全威脅-2 不安全的實體環境 組織、人員的漠視或缺乏教育訓練 無防竊機制(鐵窗、鐵門、防盜系統、烙碼、宣導) 電力不足、重要主機無不斷電系統 機房無空調,消防 機敏資料無備份機制 組織、人員的漠視或缺乏教育訓練 無資訊安全管理機制 組織缺乏人力、經費 上級漠視、人員排斥 缺乏認知及教育訓練 違法

不可不知─個人資料保護法 99年5月26日立法院三讀修正通過 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 個人資料外洩賠償上限由二千萬元提高到二億元,獲利超過二億時,以獲利為上限。 電腦或書面資料皆涵蓋 民眾索賠不須負舉證責任 公務機關無論如何都須負「無過失責任」,除天災或不可抗力情形才能免責

學校有這些情況嗎? 學校網頁內容有無不當公布個人資料或已不合時宜之法令規章、作業程序? 內部網路公共使用資源共享區,有無存放個資等機密敏感資料? 有無落實使用者註冊及通行密碼等權限管理制度? 有無下載未授權、P2P或其他與公務無關之軟體? 1.個資法 3.公用電腦、螢幕保護程式、啟用密碼 4.著作權法

成功推行資安管理系統的因素-1 資安政策、目標、活動能反映營運目標 與組織文化一致 所有管理階層明顯的支持與承諾 對資安要求、風險評鑑、風險管理有充分理解 對員工及其外部人員有效推廣

成功推行資安管理系統的因素-2 向員工及其外部人員分發並宣導資安政策及各項規則的說明 提供經費 提供認知及教育訓練 有效的資安事故管理程序 打造一個量測系統,評估績效及建議回饋,作為改進

Q&A

感謝聆聽