資安事件通報與應變 基隆市教育網路中心 講師:王言俊.

Slides:



Advertisements
Similar presentations
维普考试服务平台使用指南. 资源与应用的有机整合 资源与应用并举。 职业资格考试、高校课 程试题、在线考试、移 动应用 4 个模块。 在线考试与系统题库资 源的完美整合。 1 多模块 2 在线考试 3 移动端 移动端的资源复用。
Advertisements

维普考试服务平台使用指南. 维普考试服务平台 维普考试服务平台是一个从单纯 海量题库资源扩充到教学场景应 用的考试信息化产品。平台包含 职业资格考试、高校课程试题、 在线考试、 移动助手 4 个功能模 块。 产品概述.
西南政法大学图书馆 江波 重庆. 传统图书馆自动化图书馆复合图书馆数字图书馆  图书馆为图书流通服务所制定的相关规则,包 括图书流通类型、读者类型、读者可借阅图书 数量、可借阅时间、可续借时间、可续借次数、 可预约数量等。
1 上一页 下一页 金蝶 K/3 系统概述 主讲 : 李赛娟 2 上一页 下一页 金蝶 K/3 系统概述 管理软件的应用框架 K3 系统配置 硬件配置 软件配置 网络配置 基本安全策略.
教務處註冊組 /7 (二) 10 : 00 至 15 : 00 止 ★ 6/8 彙整報名資料後, 6/9 向高中承 辦學校報名 ★ 因校內作業時間緊迫,逾時恕不 受理。 校內報名時間.
赵 丽 特级注册税务师 注册会计师 高级会计师. 经国务院批准,自 2016 年 5 月 1 日起,在全国范围内全面推开营业税 改征增值税试点,建筑业、房地产业、金融业、生活服务业等全部营业 税纳税人,纳入试点范围,由缴纳营业税改为缴纳增值税。 关于全面推开营业税改征增值税试点的通知(财税〔 2016.
講師:劉聰明主任.謝建立主任.劉賢達組長.鄭美珍組長
武汉库得克 软件有限公司 公司简介 发展机遇 特点 一家专注于质量管理平台和整体 解决方案的提供商
大学生创业实践.
广州宜家选址分析 0连锁 李若谷 陈玉风 黄小飞 蓝柔盈.
童詩教學 爬格子工作坊 互動過程 童詩教學法 教學教案 相關資源 心得 林士翔
推销自己是一种才华,是一种艺术。 有了这种才华, 你就能安身立命, 使自己处于不败之地。 卡耐基.
第八章 组织文化的整合 ——并购中的文化整合(二) 小组成员:浦若蓉、朱谷一、贾彦彦.
104學年度新生入學 指導活動 圖書資訊中心 圖資服務組 陸佩琪 陳昱佐
计算机网络高级工 梁绍宇.
青少年違規案例法律常識搜尋 學生篇.
國土的體制與挑戰 很抱歉,我遲到了 而且遲了一天
促參案主辦機關教育訓練 主題一 如何建構促參案客觀性績效評估指標
本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
审计案例研究 第一讲 辅导教师 周桂芝.
教育年鉴条目的撰写.
维普考试服务平台使用指南.
二十世纪外国文学专题 章丘电大 李颜.
第七章 商务网站建设 案例八:艺海拾贝网站设计 思考 1.为什么说网页结构 设计非常重要? 2.目录结构与网页 结构有什么关系?
湖南省怀化市中小学信息技术 学科考试系统培训交流
心在哪裡 夢在哪裡.
資訊安全責任等級分級 查檢系統 系統設計:經濟部標準檢驗局 資料來源:國家資通安全會報.
高鐵案 翁雅玲 學號:
新北市鶯歌區建國國民小學104學年度上學期「家長日」親師懇談會宣導簡報
國立嘉義高工 資訊安全教育宣導 研習 教務處 & 網管中心.
科技万花筒 内容摘要 生命所需的基因数量 会笑的女机器人 空气电池
峰信 电话管理系统 产品介绍 上海艾家电子商务有限公司 2011年7月.
课题研究的设计与实施 Blog: 主 讲: 宁德市教师进修学院 缪剑峰 Blog:
T3汽修通总体介绍及软件应用 姓名:刘静静 2010年4月21日.
全面战争时代 ——大数据分析 演讲者 周涛.
臺北職安聯繫網 -新手上路.
公文处理实务 办公室 卢兴永.
新進資訊組長研習 研習時間:102年8月14日 講師: 新竹縣教育研究發展及網路中心 網路管理組楊淑華管理師 連絡方式:
桃園縣教育網路中心 架構介紹 報告人:吳文益.
转正述职报告 乐恩公司 史航
面对经济全球化.
機車第六篇 事故預防 單元二 行駛中注意事項.
启明星辰客户产品培训- 培训讲义.
E读使用方法介绍 长春理工大学图书馆 赵耀耀.
三角形的邊角關係 大綱:三角形邊的不等關係 三角形邊角關係 樞紐定理 背景知識:不等式 顧震宇 台灣數位學習科技股份有限公司.
第 3 章 SQL Server 2000 伺服器管理初步.
組員:陳俊宇 陳典杰 趙俊閔 指導老師:張慶寶
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
数据保护技术(完整性、并发性、安全性和数据库恢复)
台南市中小學 網路維運相關說明.
课程简介 《计算机应用基础》 与《微机操作》课程组 2019/1/16 课程简介.
U861院校专用版的安装流程 安装IIS中的WWW服务 安装SQL数据库 安装SQL SP4补丁 安装U861院校专用版.
淺談資訊安全與素養 您享有資訊安全嗎? tksu.
Windows服务器操作系统:2003 市场占有率仍稳居第一
台大計資中心 李美雯 網路安全與管理 台大計資中心 李美雯 /4/6 臺灣大學計資中心網路組.
ISA Server 2004.
網路應用 電子郵件系統 & 廣告信件攔截系統.
花蓮區域網路中心- 國立東華大學102年執行運作成效.
第 八 章 政 府 的 经 济 职 能 主讲:浙江大学公共管理学院 舒泽虎 公共经济学 第8章 政府的经济职能.
資安事件通報與應變 暨通報應變演練 基隆市教育網路中心 原始作者:王言俊.
1 打开 SQL Server 2005 安装盘,单击 SPLASH.HTA 文件进行安装,安装界面如图所示。
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
九十二年度雲嘉區域網路中心成果報告 報告單位:中正大學 報告人員:郭錦賢 2003/12/22 中正大學電算中心--郭錦賢.
ENCNTC ENCNTC 工作報告 南投縣教育網路中心 主講人:林紹湖校長
題目: 講者: 時地: 題 行者常至,為者常成 一個工程師的心路歷程 許俊逸 前交通部次長•前鐵工局局長
台南市中小學網路維運宣導事項 (無線網路、資安通報) 台南市教育網路中心
台南市中小學資訊安全通報演練注意事項 台南市教育網路中心
大學校院校務資料庫 系統操作說明.
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
單 位 :國立暨南國際大學 南投區域網路中心 主講人:陳家祿先生
Presentation transcript:

資安事件通報與應變 基隆市教育網路中心 講師:王言俊

學術單位資安等級分類 A級單位(重要核心): 1.負責教育政策審定單位,如:教育部。 2.凡涉及各相關部會委託研究具國家安全機 密性或敏感性之數位資料之執行單位。如: 國科會。 3.教學醫院。

B級單位(核心單位): 2.各大學(含科技大學)。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位): 1.凡涉及社會秩序運作及民眾隱私等機敏系統 之學研機構。 2.各大學(含科技大學)。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位): 各技術學院及專科學校。 D級單位(一般單位): 各高中職(含)以下學校。

學術單位資安事件等級分類 四級事件: 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。 3.國家重要資訊基礎建設運作遭影響或系統停頓,無法 於可容忍中斷時間內回復正常運作。 三級事件: 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓,無法於可容忍中斷 時間內回復正常運作。

資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 例1:某國中教務處註冊組長的電腦遭竊,內含學生個 資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 造成伺服器及網路設備當機,對外網路中斷。符 合三級事件的3. 二級事件: 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低,於可容忍中斷時 間內回復正常運作。 例1:某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串,導致系統無法正常登入,調用 備份之資料,還原資料表,僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.

例2:某國小網站疑似遭駭客入侵置入惡意程式,致使網 站被迫暫時關閉修補漏洞。符合二級事件中的3. 一級事件: 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1:某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件,經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2:某國中校護用的電腦一旦連上網路就慢到不行,經 防毒軟體檢測亦無改善,重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.

資訊人員與資安人員在中小學是重疊的,所以訓練時數取最大值8小時。 一般使用者即一般教職員。 作業 名稱   等級 防護縱深 ISMS推動作業 稽核方式 資安教育訓練(一般 主管、資訊人員、資 安人員、一般使用者 (註一 )) 專業證照 檢測機關網 站安全弱點 A級 NSOC直接防護/ SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置 通過第三者驗証 每年至少2 次內稽 每年至少(3、6、18、3小時) 資訊人員、資安人員需通過資安職能鑑定(註三) 維持至少2張 資安專業證照 每年2次 B級 SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置 每年至少1 次內稽 每年至少(3、6、16、3小時) 維持至少1張 資安專業證照 每年1次 C級 防火牆、防毒、郵件過濾 裝置 自行成立推動小組規劃作業 自我檢視 每年至少(2、6、12、 3小時) 資安專業訓練 D級 推動ISMS觀念宣 導 每年至少(1、4、8、 2小時) 註一:一般主管指的是校長、各處室主任。 資訊人員與資安人員在中小學是重疊的,所以訓練時數取最大值8小時。 一般使用者即一般教職員。

通報應變流程說明 依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini-soc、 依處理方式區分 NCKU、NTHU…的告知) - 自行通報(自行發現) 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 依資安事件等級區分 - 一、二級資安事件(輕微) - 三、四級資安事件(嚴重)

資安事件通報處理時效 無論級別,通報時限均為1個小時內。 處理時間: ■一、二級資安事件為72小時內完成。 事件單成立一個小時,後每12個小時會寄通 知信,逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 知信,逾時(36小時)每12個小時寄逾時通知。

通報應變同時處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員

通報應變分開處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員 SMS簡訊 區縣市網人員

資安事件Email告知

資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後,除了Email外,還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。

資安事件通報網站 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw OID碼如:2.16.886.101.90001.20002.20071.20001

如果忘記當初設定的密碼為何,點擊「忘該密碼」,Cert系統會自動將重設後的密碼發送至當初指定的信箱內。 如果連當初指定的信箱都不知道,請電洽或Email 詢問。

Tanet Cert登入後的畫面,如果有新進資安告知,會在上圖綠色框線處顯示。 上圖紅色框線處即機關名稱和單位資安聯絡人基本資料,如果有異動請點擊「修改個人資料」進行修改。

為避免發生資安事件時聯絡不到負責人,建議最少要留下兩位聯絡人。 密碼要8碼(含)以上,文數字混合,其中必需包含大寫的英文字母。 切記,每次修改完資料均要變更密碼。

自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如:IPS/IDS) 或填寫系統內建(如Windows作業系統內建的防火牆。 210.240.35.202 Asus EeePC WinXP SP3 Avast 10.3.2.1 Windows Defender

事件分類只能在INT與DEF中任選一項。 一般來說,個人電腦發生的事件為INT,若是Server,則INT或DEF均有可能,若不幸兩者兼有,請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵,對外發送垃 圾信,造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵,對外發送垃圾件。

依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現,毋須填寫。 是否需要支援,預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是Email告知) 1級:輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。

是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。 1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。

告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單,表單分為兩大項,第一項是發生資安事件之機關聯絡資料(毋須填寫,會自動顯示;第二項是因外在因素產生資安事件時的通報事項(共七項)。

210.240.35.193 http://test.cccs.kl.edu.tw IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter

對網站各項服務無明顯破壞。 經Tanet Cert告知本校Server遭入侵成為駭客中繼站。經查係該Server的Perl版本較舊,駭客利用其堆疊溢位漏洞進行攻擊,使該Server成為中繼站。 更新Perl版本後已無此一問題。

2級:一般資安事件 本校Server成為駭客中繼站,但該Server僅存放學校網頁,無個資外洩問題,故影響範圍不大,亦無損失。

建議通報流程與應變流程一起完成。 將Tanet Cert告知的駭客IP加入PacketFilter中。並將本Server的Apache停用,中斷port 80(駭客進入的port)通連。再利用portupgrade升級Perl 5.8.8至5.1x.x版,升級完畢後重啟作業系統。

攻擊行為分類與破壞程度描述 伺服器 – INT與DEF攻擊均有可能發生 個人電腦(含筆電) – 多半為INT攻擊 1.惡意網頁(網頁遭駭客置換或放置不當內容) 2.惡意留言(網頁遭駭客放上惡意留言) 3.網頁置換(網頁遭駭客置換) 4.釣魚網站(主機遭駭客置入釣魚網站) 1.系統入侵(資訊設備遭惡意使用者入侵) 2.對外攻擊(對外部主機進行攻擊行為) 3.針對性攻擊(針對特定個人資訊洩漏與身份盜取) 4.散播惡意程式(主機對外進行惡意程式散播) 5.中繼站(主機成駭客中繼站,接收惡意程式連線) 6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊) 7.Spam(資訊設備從事Spam Mail散播行為) 8.C&C(主機疑似為駭客之Botnet C&C Server) 9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)

可能影響及損失評估描述示例 1.本校網站討論區(留言版)遭XSS攻擊, 目前暫時關閉該項功能。 2. 本校網站內容遭置換,目前已利用備 份資料復原,資料均無損失。刻正進 行系統漏洞修補。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則,致使駭客連入該帳號後置入釣魚 網站。破壞程度未知。 4.該Server因系統漏洞而成為駭客的中 繼站,然該Server內無機敏資料,故 本校網路運作無影響。 5.該Server疑似Mail Service漏洞,對外 大量發送垃圾郵件,嚴重影響本校對 外網站流量。 6.該Server疑似遭駭客入侵,對外掃描 特定主機某些通訊埠。造成本校部份 網站服務受到上級單位的阻擋。 7.該Server疑似成為BotNet的C&C Server, 影響力與破壞程度不可限量。 1.該筆電疑似遭BotNet入侵而成為Bot, 對外散佈垃圾信件與含惡意碼的信件, 嚴重 影響本校對外網站流量,同時亦 可能感染其它的電腦。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵,針對特定主機的特定埠號 進行掃描,嚴重影響本校對外網站流 量。

解決辦法描述示例 1.本校網站討論區(留言版)遭XSS攻擊, 暫時關閉該項功能。 2. 本校網站內容遭置換,目前已利用備 份資料復原,資料均無損失。系統漏 洞修補後一切正常。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則,致使駭客連入該帳號後置入釣魚 網站。強制更改該帳號的密碼之後, 目前運作正常,刻正清查其餘帳號是 否有密碼過於簡單的問題。 4.該Server因系統漏洞而成為駭客的中 繼站,系統重新安裝後重置備份資料, 目前正常 。 5.該Server疑似Mail Service漏洞,對外 大量發送垃圾郵件,暫時將Mail Service 功能停止,待更新Mail Service 後再持續觀察運作是否有異常。 6.該Server疑似遭駭客入侵,對外掃描 特定主機某些通訊埠。系統重新安裝 後重置備份資料, 目前正常 。 1.該筆電疑似遭BotNet入侵而成為Bot, 對外散佈垃圾信件與含惡意碼的信件, 經掃毒後仍有疑似狀況,故重新安裝 作業系統,目前仍持續觀察是否有異 狀。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵,經掃毒後已將惡意程式移 除,目前運作正常,持續觀察是否有 異狀。

查詢所屬單位的OID: http://oid.nat.gov.tw/ 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字,如:基隆市。

資訊安全相關網站 台灣學術網路危機處理中心 http://cert.tanet.edu.tw 行政院國家資通安全會報技術服務中心 http://www.icst.org.tw 教育部資訊安全服務網 http://cissnet.edu.tw 資安人 - http://www.isecutech.com.tw iThome - http://www.ithome.com.tw/ 微軟資訊安全首頁 http://www.microsoft.com/taiwan/security/