資安事件通報與應變 基隆市教育網路中心 講師：王言俊

學術單位資安等級分類 A級單位(重要核心)： 1.負責教育政策審定單位，如：教育部。 2.凡涉及各相關部會委託研究具國家安全機 密性或敏感性之數位資料之執行單位。如： 國科會。 3.教學醫院。

B級單位(核心單位)： 2.各大學（含科技大學）。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位)： 1.凡涉及社會秩序運作及民眾隱私等機敏系統 之學研機構。 2.各大學（含科技大學）。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C級單位(重要單位)： 各技術學院及專科學校。 D級單位(一般單位)： 各高中職（含）以下學校。

學術單位資安事件等級分類 四級事件： 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。 3.國家重要資訊基礎建設運作遭影響或系統停頓，無法 於可容忍中斷時間內回復正常運作。 三級事件： 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓，無法於可容忍中斷 時間內回復正常運作。

資等機敏資料，因涉及個資法，符合三級事件的1. 例2：某高職因停水空調水塔缺水，使得機房溫度升高， 例1：某國中教務處註冊組長的電腦遭竊，內含學生個 資等機敏資料，因涉及個資法，符合三級事件的1. 例2：某高職因停水空調水塔缺水，使得機房溫度升高， 造成伺服器及網路設備當機，對外網路中斷。符 合三級事件的3. 二級事件： 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低，於可容忍中斷時 間內回復正常運作。 例1：某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串，導致系統無法正常登入，調用 備份之資料，還原資料表，僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.

例2：某國小網站疑似遭駭客入侵置入惡意程式，致使網 站被迫暫時關閉修補漏洞。符合二級事件中的3. 一級事件： 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1：某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件，經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2：某國中校護用的電腦一旦連上網路就慢到不行，經 防毒軟體檢測亦無改善，重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.

資訊人員與資安人員在中小學是重疊的，所以訓練時數取最大值8小時。 一般使用者即一般教職員。 作業 名稱   等級 防護縱深 ISMS推動作業 稽核方式 資安教育訓練(一般 主管、資訊人員、資 安人員、一般使用者 (註一 )) 專業證照 檢測機關網 站安全弱點 A級 NSOC直接防護/ SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置 通過第三者驗証 每年至少2 次內稽 每年至少(3、6、18、3小時) 資訊人員、資安人員需通過資安職能鑑定(註三) 維持至少2張 資安專業證照 每年2次 B級 SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置 每年至少1 次內稽 每年至少(3、6、16、3小時) 維持至少1張 資安專業證照 每年1次 C級 防火牆、防毒、郵件過濾 裝置 自行成立推動小組規劃作業 自我檢視 每年至少(2、6、12、 3小時) 資安專業訓練 D級 推動ISMS觀念宣 導 每年至少(1、4、8、 2小時) 註一：一般主管指的是校長、各處室主任。 資訊人員與資安人員在中小學是重疊的，所以訓練時數取最大值8小時。 一般使用者即一般教職員。

通報應變流程說明 依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini-soc、 依處理方式區分 NCKU、NTHU…的告知) - 自行通報(自行發現) 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 依資安事件等級區分 - 一、二級資安事件(輕微) - 三、四級資安事件(嚴重)

資安事件通報處理時效 無論級別，通報時限均為1個小時內。 處理時間： ■一、二級資安事件為72小時內完成。 事件單成立一個小時，後每12個小時會寄通 知信，逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 知信，逾時(36小時)每12個小時寄逾時通知。

通報應變同時處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員

通報應變分開處理流程(一、二級) SMS簡訊 區縣市網人員 資安通報應變小組 教育部相關人員 SMS簡訊 區縣市網人員

資安事件Email告知

資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後，除了Email外，還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。

資安事件通報網站 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw OID碼如：2.16.886.101.90001.20002.20071.20001

如果忘記當初設定的密碼為何，點擊「忘該密碼」，Cert系統會自動將重設後的密碼發送至當初指定的信箱內。 如果連當初指定的信箱都不知道，請電洽或Email 詢問。

Tanet Cert登入後的畫面，如果有新進資安告知，會在上圖綠色框線處顯示。 上圖紅色框線處即機關名稱和單位資安聯絡人基本資料，如果有異動請點擊「修改個人資料」進行修改。

為避免發生資安事件時聯絡不到負責人，建議最少要留下兩位聯絡人。 密碼要8碼(含)以上，文數字混合，其中必需包含大寫的英文字母。 切記，每次修改完資料均要變更密碼。

自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如：IPS/IDS) 或填寫系統內建(如Windows作業系統內建的防火牆。 210.240.35.202 Asus EeePC WinXP SP3 Avast 10.3.2.1 Windows Defender

事件分類只能在INT與DEF中任選一項。 一般來說，個人電腦發生的事件為INT，若是Server，則INT或DEF均有可能，若不幸兩者兼有，請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵，對外發送垃 圾信，造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵，對外發送垃圾件。

依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現，毋須填寫。 是否需要支援，預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是Email告知) 1級：輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。

是否同時進行通報流程與應變流程。無論是否完成通報流程，應變流程均需填寫。 1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程，應變流程均需填寫。

告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單，表單分為兩大項，第一項是發生資安事件之機關聯絡資料(毋須填寫，會自動顯示；第二項是因外在因素產生資安事件時的通報事項(共七項)。

210.240.35.193 http://test.cccs.kl.edu.tw IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter

對網站各項服務無明顯破壞。 經Tanet Cert告知本校Server遭入侵成為駭客中繼站。經查係該Server的Perl版本較舊，駭客利用其堆疊溢位漏洞進行攻擊，使該Server成為中繼站。 更新Perl版本後已無此一問題。

2級：一般資安事件 本校Server成為駭客中繼站，但該Server僅存放學校網頁，無個資外洩問題，故影響範圍不大，亦無損失。

建議通報流程與應變流程一起完成。 將Tanet Cert告知的駭客IP加入PacketFilter中。並將本Server的Apache停用，中斷port 80(駭客進入的port)通連。再利用portupgrade升級Perl 5.8.8至5.1x.x版，升級完畢後重啟作業系統。

攻擊行為分類與破壞程度描述 伺服器 – INT與DEF攻擊均有可能發生 個人電腦(含筆電) – 多半為INT攻擊 1.惡意網頁(網頁遭駭客置換或放置不當內容) 2.惡意留言(網頁遭駭客放上惡意留言) 3.網頁置換(網頁遭駭客置換) 4.釣魚網站(主機遭駭客置入釣魚網站) 1.系統入侵(資訊設備遭惡意使用者入侵) 2.對外攻擊(對外部主機進行攻擊行為) 3.針對性攻擊(針對特定個人資訊洩漏與身份盜取) 4.散播惡意程式(主機對外進行惡意程式散播) 5.中繼站(主機成駭客中繼站，接收惡意程式連線) 6.社交工程攻擊(帳號遭盜用對外發動社交工程攻擊) 7.Spam(資訊設備從事Spam Mail散播行為) 8.C&C(主機疑似為駭客之Botnet C&C Server) 9.Bot(資訊設備疑似成為駭客所控制之Botnet成員)

可能影響及損失評估描述示例 1.本校網站討論區(留言版)遭XSS攻擊， 目前暫時關閉該項功能。 2. 本校網站內容遭置換，目前已利用備 份資料復原，資料均無損失。刻正進 行系統漏洞修補。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則，致使駭客連入該帳號後置入釣魚 網站。破壞程度未知。 4.該Server因系統漏洞而成為駭客的中 繼站，然該Server內無機敏資料，故 本校網路運作無影響。 5.該Server疑似Mail Service漏洞，對外 大量發送垃圾郵件，嚴重影響本校對 外網站流量。 6.該Server疑似遭駭客入侵，對外掃描 特定主機某些通訊埠。造成本校部份 網站服務受到上級單位的阻擋。 7.該Server疑似成為BotNet的C&C Server， 影響力與破壞程度不可限量。 1.該筆電疑似遭BotNet入侵而成為Bot， 對外散佈垃圾信件與含惡意碼的信件， 嚴重 影響本校對外網站流量，同時亦 可能感染其它的電腦。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵，針對特定主機的特定埠號 進行掃描，嚴重影響本校對外網站流 量。

解決辦法描述示例 1.本校網站討論區(留言版)遭XSS攻擊， 暫時關閉該項功能。 2. 本校網站內容遭置換，目前已利用備 份資料復原，資料均無損失。系統漏 洞修補後一切正常。 3. 本校伺服器遭置入釣魚網站。經查係 該伺服器上某帳號的密碼不符密碼原 則，致使駭客連入該帳號後置入釣魚 網站。強制更改該帳號的密碼之後， 目前運作正常，刻正清查其餘帳號是 否有密碼過於簡單的問題。 4.該Server因系統漏洞而成為駭客的中 繼站，系統重新安裝後重置備份資料， 目前正常 。 5.該Server疑似Mail Service漏洞，對外 大量發送垃圾郵件，暫時將Mail Service 功能停止，待更新Mail Service 後再持續觀察運作是否有異常。 6.該Server疑似遭駭客入侵，對外掃描 特定主機某些通訊埠。系統重新安裝 後重置備份資料， 目前正常 。 1.該筆電疑似遭BotNet入侵而成為Bot， 對外散佈垃圾信件與含惡意碼的信件， 經掃毒後仍有疑似狀況，故重新安裝 作業系統，目前仍持續觀察是否有異 狀。 2.該部個人電腦主機疑似遭惡意程式或 駭客入侵，經掃毒後已將惡意程式移 除，目前運作正常，持續觀察是否有 異狀。

查詢所屬單位的OID： http://oid.nat.gov.tw/ 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字，如：基隆市。

資訊安全相關網站 台灣學術網路危機處理中心 http://cert.tanet.edu.tw 行政院國家資通安全會報技術服務中心 http://www.icst.org.tw 教育部資訊安全服務網 http://cissnet.edu.tw 資安人 - http://www.isecutech.com.tw iThome - http://www.ithome.com.tw/ 微軟資訊安全首頁 http://www.microsoft.com/taiwan/security/