# 政府資安職能-資安概論 更新時間:2025/6/28 建立資通安全領域的基礎背景，具備職務上所需要的資安知識與 技能，同時為其他的資安相關的教育訓練課程建立先備知識 政府機關學員所需之資通安全概論課程以實用性為主軸，配合資 通安全在管理、技術及操作等相關層面，各項安全控制措施實作 所需之知識與技能，全面完整的涵蓋資通安全相關領域，並配合 淺顯易懂的介紹或實例說明，避免太理論與深入複雜的學理研究 第1單元 資通安全基本觀念(K1、S1) --- 資通安全目標 (1-14) 機密性 Confidentiality、完整性 Integrity、可用性 Availability 防止非授權人員存取資訊，確保資訊秘密性 防止非授權人員竄改資訊，確保資訊正確性 防止系統故障或人為惡意阻斷服務，確保資訊與資訊處理可獲得性 對機關來說，還要做到法規的遵循 Law compliance 保護資訊C.I.A不同的技術與方法 (1-14) 機密性保護 - 資料加解密、存取控制 完整性保護 - 雜湊函數、數位簽章、存取控制 可用性保護 - 容量規劃、備份、容錯、備援及附載平衡、存取控制 NIST 網路安全框架之目的及風險評估 NIST網路安全框架 Cybersecurity Freamwork CSF 1.0 5大功能，23類別 目的是降低營運關鍵基礎設施之組織的網路安全風險 網路安全框架包含框架核心Framework core、框架執行的層級Framework Tires及框架組態Framework Profile 框架核心可在分為五大功能面向，組織可依據此框架評估資通安全風險，並依據風險高低採取適當控管措施降低風險 - 識別:資產管理、營運環境、治理、風險評估、風險管理策略 - 保護:存取控制、認知與教育訓練、資料安全、資料保護與程序、維護、防護技術 - 偵測:異常與事件、持續性的安全監控、檢測流程 - 回應:回應計畫、溝通、分析、緩解、改善 - 復原:復原計畫、改善、溝通 NIST CSF 2.0 新版NIST CSF網路安全架構，改善與整合在原有NIST CSF v1.1架構，將許多重複，未能妥善連接與運用的類別與子類別，重新進行整合與細化，並提供企業風險管理架構、隱私安全保護框架、人工智慧管理框架及永續數位框架等預備擴充性。整合後的NIST CSF v2.0變成6個關鍵功能、22 個類別與106個子類別，並提供NIST CSF各項管理指南、技術細節與實施步驟，以保護其資產免受網路攻擊與可能造成的財務損失。 六大核心功能 治理（Govern） 組織全景、風險管理策略、 角色、職責、授權 政策、監督、網路安全供應鏈風險管理 識別（Identify） 資產管理、風險評估、改善 保護（Protect） 身分管理、身分驗證、存取控制 認知與培訓、資料安全、平臺安全、技術基礎設施韌性 偵測（Detect） 持續監控、不良事件分析 回應（Respond） 事故管理、事故分析、事故回應報告與溝通、事故緩解 復原（Recover） 事故復原計畫、事故復原溝通 第2單元 資通安全相關法規(K1、S1) --- 資通安全會報組織圖 https://moda.gov.tw/ACS/nicst/organization/662 行政院為積極推動國家資通安全政策，加速建構國家資通安全環境，提升國家競爭力，特設國家資通安全會報。 本會報置召集人一人，由本院副院長兼任；副召集人二人，由本院院長指派之政務委員及相關部會首長兼任；協同副召集人一人，由國家安全會議諮詢委員兼任；委員十八人至三十五人，除召集人、副召集人及協同副召集人為當然委員外，其餘委員，由本院院長就推動資通安全有關之機關、直轄市政府副首長及學者、專家派（聘）兼之；非由機關代表兼任之委員得隨同召集人異動改聘之。 為協調及推動國家資通安全政策，本院置資通安全長一人，由本會報召集人兼任。 本會報之幕僚作業，由行政院資通安全處辦理。下設網際防護及網際犯罪偵防等二體系。 一、網際防護體系由行政院資通安全處主辦，負責整合資通安全防護資源，推動資安相關政策，下設關鍵資訊基礎設施安全管理組、產業發展組、資通安全防護組、法規及標準規範組、認知教育及人才培育組、外館網際防護組。 二、網際犯罪偵防體系由內政部及法務部共同主辦，負責防範網路犯罪、維護民眾隱私、促進資通訊環境及網際內容安全等工作，下設防治網路犯罪組、資通訊環境及網際內容安全組。 另為積極研議國家資安政策及推動策略，強化產官學研資安經驗之交流及分享，充實資安作業能量，本會報得設資通安全諮詢會。 資通安全管理法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297 立法目的 為積極推定國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益 適用對象 -公務機關 指依法行使公權力之中央及地方機關(機構、或公法人)，但不包含軍事機關及情報機關 -特定非公務機關 關鍵基礎設施(CI)提供者、 公營事業、 政府捐助之財團法人 須注意關鍵基礎設施提供者 資通系統 - 用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統 資通服務 - 與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務 資通安全 - 防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀、或其他侵害，以確保其機密性、完整性及可用性 資通安全事件 - 指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅 資通安全管理法(簡稱資安法) 全國法規資料庫 - 資通安全管理法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297 資安法納管對象包含公務機關及特定非公務機關 公立醫療機構如委託民間辦理，可視為非屬本法所稱公務機關之範疇，惟其後續如經衛福部指定為「緊急救援與醫院類」之關鍵基礎設施提供者，則仍屬資安法納管對象。 地方政府捐助之財團法人非屬資安法第3條第9款所稱「營運及資金運用計畫應依預算法第41條第3項規定送立法院」、「年度預算書應依同條第4項規定送立法院審議之財團法人」，故非屬資安法納管對象。 資安法針對不同納管對象訂有不同程度之規範強度（公務機關>關鍵基礎設施提供者>公營事業或政府捐助之財團法人），如單一機關兼具二種身分時，依規範強度較高者納管之。 目前資安法本文中，並未明定特定非公務機關應指定資通安全長/資通安全管理代表。 惟為確保有效推動資通安全維護事項，建議特定非公務機關可指定資通安全長/資通安全管理代表。 事前 資通安全維護計畫 事中 接受稽核 提出實施情形 事後 提出改善報告 特定非公務機關 事前 訂定通報應變機制 事中 通報及應變資安事件 事後 提出調查、處理及改善報告 第1章 總則 立法目的、明訂主管機關、名詞定義、公私協力推動資安 主管機關職責、資安責任等級分級、情資分享機制、資通委外監督 第2章 公務機關資通安全管理 資通安全管理與維護計畫，資安長之設置、資通安全維護計畫實施情形之提出、 資通安全稽核、通報應變、獎勵措施 第3章 特定非公務機關資通安全管理 關鍵基礎設施提供怎、資安責任等級分級納管之非公務機關資通安全維護之管理與監督、 資通安全事件通報應變 第4章 罰則 對公務機關懲處，罰鍰僅針對特定非公務機關 第5章 附則 施行細則授權、實施日期 資通安全法相關子法 - 資通安全管理法施行細則 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303 相關定義 -軍事機關、情報機關、書面、核心業務、核心資通系統、重大資通安全事件等定義 中央目的事業主管機關之指定 －指定關鍵基礎設施提供者前，應給予陳述機會 －協調指定辦理特定非公務機關業務 稽核 稽核後之改善報告應包含項目 資通安全事件通報應變 資安事件通報應變後之調查、處理及改善報告應包含項目 資通系統、服務委外辦理注意事項 選任及監督受託者之項目與作法 資通安全維護計畫 計畫應備基礎內容、實施情形應備基礎內容 其他母法補充規範 法源、重大資通安全事件公告、實施日期 - 資通安全責任等級分級辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304 公務機關及特定非公務機關（以下簡稱各機關）之資通安全責任等級，由高至低，分為A級、B級、C級、D級及E級。 公務機關及特定非公務機關（以下簡稱各機關）之資通安全責任等級，由高至低，分為A級、B級、C級、D級及E級。 資通安全責任等級分級方式 提出機關、提出內容、核定/備查機關 資通安全責任等級分級原則 考量機關層級及業務屬性等因素，列出資安責任等級各級之認列原則 列出得例外調整等級之因素 資通安全責任等級應辦事項 各資安責任等級機關之應辦事項 其他規範 法源、實施日期 - 資通安全事件通報及應變辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305 資通安全事件分為四級 資通安全事件分為四級 公務及非公務機關通報應變流程 資通安全事件之通報流程 各機關之通報應包含項目、通報方式、時限及程序、通報對象、接獲通報辦理項目 資通安全事件之審核 級別審核、時限及程序 資通安全事件之應變流程 應變相關單位應辦理事項(處理、協調、整理) 應變方式、時限及程序 主管機關之因應 資通安全事件之演練 公務機關資通安全演練作業及內容 特定非公務機關資通安全演練作業及內容 其他注意規範 法源、適用本法之例外規定、施行日期 ※注意到公務機、特定非公務機關關資安事件通報及應變流程 公務及非公務機關通報應變流程 - 特定非公務機關資通安全維護計畫實施情形稽核辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030306 稽核計畫內容 稽核計畫內容、通知時效、受稽核機關選定條件 稽核時之配合事項 受稽核機關、受稽核機關之中央目的事業主管機關之辦理事項 稽核後之配合事項 行政院應提出稽核結果報告 受稽核機關應提出改善報告 其他注意規範 法源、書面定義、適用對象、稽核小組組成、施行日期 - 資通安全情資分享辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030307 主管機關資通安全情資分享之對象 國際合作、行政院與公務機關間、特定非公務機關與中央目的事業主管機關間 資通安全情資分享機制 情資之分類、分享方式、不得分享、分享之安全措施及相關補充規定 其他注意規範 法源、施行日期、非本法納管對象的情資分享 - 公務機關所屬人員資通安全事項獎懲辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030308 國家機密保護法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0060003&kw=%e5%9c%8b%e5%ae%b6%e6%a9%9f%e5%af%86%e4%bf%9d%e8%ad%b7%e6%b3%95 國家機密之定義 為確保國家安全或利益而有保密之必要 對政府機關持有或保管之資訊，經依本法核定機密等級者 國家機密之範圍如下 軍事計畫、武器系統或軍事行動 外國政府之國防、政治或經濟資訊 情報組織與其活動 政府通信、資訊之保密技術、設備或設施 外交或大陸事務 科技或經濟事務 其他為確保國家安全或利益而有保密之必要者 國家機密保護法施行細則第28條第4款規定，國家機密之保管方式直接儲存於資訊系統者，須將資料以政府權責主管機關認可之加密技術處理，該資訊系統並不得與外界連線。因此，機關若未依循規定儲存資料，將涉及從根本上違反法律之遵循性。 國家機密等級區分為 絕對機密、極機密、機密三個等級 國家機密之核定 應在必要之最小範圍內容為之 處理應屬國家機密之事項時，應按其機密程度擬定等級，先行採取保密措施，並報請核定 有核定權責人員，應於接獲報請後30日內完成核定 核定國家機密等級時，應併予核定其保密期限或解除保密之條件 國家機密之保密期限 絕對機密 不得逾30年；極機密 不得逾20年；機密 不得逾10年 涉及國家安全情報來源或管道之國家機密應永久保密 國家機密變更機密等級者，其保密期限仍自元核定日起算 國家機密保護法施行細則 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0060005&kw=%e5%9c%8b%e5%ae%b6%e6%a9%9f%e5%af%86%e4%bf%9d%e8%ad%b7%e6%b3%95 全國法規資料庫 - 個人資料保護法 https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021 目的 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用 個人 資料(限定於自然人) 屬性資料 例如姓名、生日及身分證字號 行為資料 例如健康檢查與犯罪前科 其他得以直接或間接方式識別個人之資料 規範行為 當事人個人資料自主權利不得預先拋棄 特定目的之蒐集、處理或利用 明確告知蒐集之目的、個人資料類別、其使用範圍及資料來源 保持正確與蒐集目的消失後刪除義務 全國法規資料庫 - 個人資料保護法施行細則 https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022 販售與購買個資所違反之相關法規 公務人員涉及販售個資給不法集團 販售的主嫌與購買者均違反個資法第19條對非公務機關蒐集、處理及利用個資規定且又是為了意圖營利而蒐集使用，依個資法41條可判5年以下有期徒刑，得併科新台幣100萬元以下罰金 不法集團以惡意程式對公務機關攻擊，觸犯刑法妨害電腦使用罪，可處3年以下有期徒刑，若公務員涉盜賣個資，且從中收受賄賂，觸犯貪污罪可處5年以上有期徒刑，得併科3千萬元以下罰金 資訊安全管理系統ISMS-內容架構 提供用來建立、實作、維持及持續改進資通安全管理系統之要求事項 機關的ISMS之設計與實作受其特有的需求與目標、安全的要求、所採用的過程以及機關的規模與架構所影響 ISO 27001:2013版本則為14個條款、35個分類、114項控制措施 CNS27001及CNS27002內容可以參考國家標準CNS網路服務系統網站 ISMS導入對機關人員之影響 日常作業必須落實遵循法規 為符合規範，日常作業有大量的文件需填寫、申請及簽核 必須配合參加相關的教育訓練 有明確的相關規定及要求，確保自己在工作職場的作為不會有觸法的情形發生 ISMS導入後對機關之影響 須注意 資通安全管理法常見問題 FAQ https://moda.gov.tw/ACS/laws/faq/630 資通安全管理法之納管對象為何 納管對象包含公務機關及特定非公務機關 。 一、公務機關： 指依法行使公權力之中央、地方機關（構）或公法人但不含軍事及情報機關 。 二、特定非公務機關： 指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。相關定義可參考資安法第3條第5至9款條文。 其中公營事業係依「公營事業移轉民營條例」第3條規定 ，包含中央及地方政府投資經營之公營事業： （一）各級政府獨資或合營者。 （二）政府與人民合資經營，且政府資本超過百分之五十者。 （三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。 地方政府捐助財團法人是否為資安法納管對象 地方政府捐助之財團法人非屬資安法第3條第9款所稱「營運及資金運用計畫應依預算法第41條第3項規定送立法院」、「年度預算書應依同條第4項規定送立法院審議之財團法人」，故非屬資安法納管對象。 公務機關兼具公營事業性質，其納管方式為何 資通安全管理法針對不同納管對象訂有不同程度之規範強度（公務機關>關鍵基礎設施提供者>公營事業或政府捐助之財團法人）如單一機關兼具二種身份時，依規範強度較高者納管之 。 例如 ：以台北市自來水事業處為例，其兼具公務機關與公營事業性質，則以公務機關之身分納管之。 所有公務機關是否都應設置資通安全長?資通安全長由誰來擔任 依資安法第11條規定，公務機關皆應設置資通安全長；資通安全長由機關首長指派副首長或適當人員兼任。 資安專職人員之職務內容為何 一、 資安專職人力之職務內容分策略面、管理面及技術面等三大面向，各面向內容如下： （一）策略面： 1. 機關（及所屬）資安政策、資源分配及整體防護策略之規劃。 2. 機關導入資安治理成熟度之協調與推動。 3. 資通安全維護計畫實施情形之績效評估與檢討。 4.（屬上級或監督機關者）稽核所屬（或監督）公務機關之資通安全維護計畫實施情形。 （二）管理面： 1. 訂定、修正及實施資通安全維護計畫並提出實施情形。 2. 訂定及建立資通安全事件通報及應變機制。 3. 辦理下列機關資通安全責任等級之應辦事項：資訊安全管理系統之導入及通過公正第三方之驗證、業務持續運作演練、辦理資通安全教育訓練等 。 4.（屬上級或監督機關者）針對所屬（或監督）公務機關，審查其資通安全維護計畫及實施情形、辦理其資通安全事件通報之審核、應變協處與改善報告之審核。 5. 委外廠商管理與稽核 。 （三）技術面： 1. 整合、分析與分享資通安全情資 。 2. 配合主管機關辦理機關資通安全演練作業 。 3. 辦理下列機關資通安全責任等級之應辦事項：安全性檢測、資通安全健診、資通安全威脅偵測管理機制、政府組態基準、資通安全防護等 。 4. （屬上級或監督機關者）針對所屬（或監督）公務機關，規劃及辦理資通安全演練作業。 二、機關資安專職 人力之職務分工建議如下： （一）A級機關置4名專職人力：1名負責策略面工作，1至2名負責管理面工作，另1至2名負責技術面工作 。 （二）B級機關置2名專職人力：1名負責策略面及管理面工作，另1名負責技術面工作。 （三）C級機關置1名專職人力統籌機關資安業務 。 三、機關如兼屬資安法之中央目的事業主管機關，應對所轄之特定非公務機關辦理下列事項，如資安專職人力無法容納，建議由機關權責單位另派人力辦理，資安專職人員提供必要之協助。 （一）審查其資通安全維護計畫及其實施情形。 （二）稽核其資通安全維護計畫實施情形。 （三）辦理其資通安全事件之通報審核、應變協處、改善報告審核。 （四）訂定及修正機關特定非公務機關管理辦法。 （五）指定關鍵基礎設施提供者及訂定其防護基準。 （六）分享資通安全情資。 第3單元 資通安全風險管理與業務持續運作管理(K2、S2) --- 風險管理關係圖 (1-15) 以風險為核心的觀點，加上風險安全元件彼此間的作用關聯呈現風險關係圖 以風險為核心的觀點，加上風險安全元件彼此間的作用關聯呈現風險關係圖 每個資通系統，因所支援的業務活動或流程而產生價值，當價值越高時則潛在的衝擊也會越大，進而導致風險增加 如果原本存在於資通系統中的脆弱性遭曝露後，會導致風險增加，同時如果威脅可以利用已遭曝露的脆弱性也會增加風險 風險的定義及目標 風險是指威脅利用其相對應脆弱性造成組織或政府機關資訊資產受到衝擊的可能性 風險透過衝擊與其可能性兩個因素的結合來定義其影響程度或損害程度 風險管理的目標 在最低防護成本投入下獲得最優化的安全性(最優化非最強固，而是最合適) 風險透過衝擊與其可能性2個因素的結合定義其影響程度或損害程度 例如潛在風險就是(發生機關內部網路的頻寬被塞滿，導致所有網路服務及連線不正常的衝擊x事件發生的可能性) 可能性則利用威脅發生的機率與脆弱性被利用的難度來計算 風險管理的目標 目標並不是將風險降至零，因為即使付出巨大的代價也無法達成，而是應追求在最低的防護成本投入下獲得最優化的安全性(最優化非最強固，而是最合適) 風險管理流程 政府機關內部資安管理人員應了解風險評鑑的技術，用來評鑑機關內資通系統的風險，以利採取最適當的安全防護控制措施，降低機關資安風險 全景建立 在進行風險評鑑與實作資通安全各項防護控制措施之前，政府機關應先行識別該機關內、外各方面的安全需求，包含資通安全政策以及法令、法規、規章合約，同時規劃與定義風險評估準則、衝擊準則及風險接受準則等風險管理基本準則。 另外實作風險評鑑之前，政府機關也應該先將風險評鑑範圍界定出來，並組成資通系統風險評鑑組織，助於執行與落實風險評鑑的成效。 風險評鑑 本階段是識別資訊資產、威脅、弱點、衝擊、可能性、已佈署的控制措施、計算出風險大小、排出風險處理的優先序及確認可接受風險的步驟，為確保在進行風險評鑑時的客觀性，必須以建立全景階段時所定義的風險評估準則、衝擊準則及風險接受準則為依據。風險評估的方法可在區分為高階風險評鑑與詳細風險評鑑做法。 風險處理 依據風險評鑑的結果與風險處理的優先順序，規劃風險處理計畫，佈署安全控制措施以降低現有風險，並評估殘餘風險 風險接受 針對機關權責主管決策接受的風險處置計畫與殘留風險評估且留下明確的紀錄 風險溝通及諮詢 在風險管理各階段的活動過程，機關資通安全風險管理組織、相關部門及權責主管應充分溝通，了解風險狀況交換彼此的意見與看法，討論出符合機關的建議與作為 風險監視與審查 機關資安風險是動態的概念，會隨外在環境變遷而更動，當增加新資產時必須納入風險管理控制範圍，且有必要定期修正現有資產價值，新發現的弱點也會引起新威脅與風險，因此風險必須被定期監控與審查 CNS27005風險管理流程，以循環作法進行風險評鑑 首先建立全景，然後進行風險評鑑 若能提供充分資訊，有效的修正風險，至可接受等級，則評鑑工作完成，隨後展開風險處理 若資訊不充分，則需進行再一次修正全景(例如風險評估準則、風險接受準則或衝擊準則)之風險評鑑循環 此循環可能僅及於整體範圍之有限部分(風險決策點1) 風險處理有效性，依風險評鑑結果而定，可能無法立即將剩餘的風險降至可接受等級，若有需要，可變更全景參數(如風險評鑑、風險接受或衝擊準則)後，進行另一次風險評鑑循環，在執行更進一步風險處理(風險決策點2) 全景建立-主要工作 依相關法規進行資通安全風險評鑑 風險評估準則 衝擊準則 高階風險評鑑做法 業務持續運作 目的、管理程序 營運衝擊分析 風險的定義及目標 風險管理流程 風險評估準則 衝擊準則 高階風險評鑑做法 業務持續運作 目的、管理程序 營運衝擊分析 識別防禦性控制措施 發展營運持續計畫 第4單元 作業安全(K3、S2) --- 何謂作業安全 在日常營運作業中，確保資通系統持續維持在安全運作的狀態， 不因日常作業而改變原有安全狀態 組態管理 組態變更管理 政府組態基準GCB導入 政府機關資安弱點通報機制 VANS 弱點掃描 滲透測試 稽核作業 社交工程攻擊 備份管理 媒體控管 可攜式設備管理 第5單元 資訊委外安全(K2、S2) --- 資訊委外-定義及類別 政府資訊委外原則 資訊委外資安要求 第6單元 存取制與加解密技術(K4、K5、S3、S4) --- 存取控制定義 存取控制-帳號管理、授權原則、可歸責性 生物特徵鑑別技術的錯誤 生物特徵鑑別技術的比較 加密技術強度 加密技術強度的相關法令 對稱式加密演算法的優缺點 非對稱式加密演算法 (3/4) 數位簽章 第7單元 網路安全與實體安全(K6、S2) --- 網路安全防禦技術 防火牆 入侵偵測系統 虛擬私有網路 防毒系統 垃圾郵件過濾系統 端點偵測及回應系統 實體安全 威脅類型 -天然環境災害 水災、颱風、地震、土石流、山崩、極端溫度等 -供應系統中斷 電力、通訊、瓦斯及水 -人為的破壞 水災、非授權入侵、破壞、偷竊、爆裂物及員工疏失 -政治事件 抗議團體與恐怖組織 實體安全-防護措施與規劃 執行實體安全風險分析，識別弱點、威脅及衝擊程度 與管理階段溝通實體安全計畫中可接受的風險程度 從可接受風險程度中建立防護措施消能衡量標準 擬定實體安全防護措施計畫(包含:嚇阻、延遲、偵測、評估及處理等類別) 組織計劃小組->執行風險分析->決定可接受風險程度->建立效能基準->實作與防護措施 要達到實體環境安全，可以下列方式處理 嚇阻犯罪發生 - 圍牆、警衛、警告標語及狗 - 夠大聲的警報器 - 加強警衛巡守頻率 - 布建全時攝影系統 - 公布違反實體管控要求人員姓名 - 簽署認同相關實體控管規範 - 訂定相關罰則 延遲入侵時間 - 門鎖、隔間、人員及標示牌 - 階層式的防護設計、從門口到重要資產需經過層層關卡 實體安全-防護措施規劃 偵測實體威脅 - 門窗開啟偵測 - 紅外線進出感應 - 動作感應器 - 煙霧偵測器 - 溫溼度偵測 評估事件狀態 - 警衛緊急處理標準程序 處理回復正常作業 - 相關人員或組織 - 相關緊急處理程序 - 聯絡與通報程序(警察、消防人員及醫療人員) 實體安全量化指標 生命安全是實體安全計畫中永遠的第一優先，因此實體安全控制措施，例如:門禁系統，在碰到故障或停電時，應採用失效安全Fail-Safe的原則，也就是如果門禁系統停電時，必須維持開啟的狀態，以利人員疏散 設計量化指標以評估實體防護措施的有效性，例如下列量化指標 - 成功入侵次數 - 成功破壞或竊盜次數 - 不成功入侵次數 - 不成功的破壞或竊盜次數 - 偵測、評估到復原的時間 - 對機關影響程度 - 偵測機制誤判次數 - 入侵者突破實體防護機制的時間 實體安全-空間規劃 在規劃實體隔間時，需考量空間的安全防護能夠保護空間內的資訊資產。應考量的項目如下: - 牆:應考量牆的防火程度、強固程度及攀爬可能性 例如在儲存媒體的存放空間應有防火設計 - 天花板:應考量承載能力與防火程度 例如輕鋼架之天花板的可能受程度 - 樓地板:應考量承載能力與防火程度 例如鋼筋混泥土厚度可以承載的實物重量與防火能力須符合標準，高架地板應注意防火程度與導電係數，其表面應為非導電與防靜電材料 - 門:應考量強固程度，必須能防止暴力入侵，緊急出口必須保持淨空，在緊急狀況下應維持開啟狀態 - 窗:應考量強固程度與攀爬可能性，機房不應設計窗戶，若必須存在則採用半透明與防碎的強化玻璃 無人看管門窗需上鎖 地面樓層之窗戶應考量特別考慮外部的保護 所有防火門宜設置警報，受監視並經測試 可參考CNS27002實體及環境安全一節 門應依疏散方向順向開啟(例外) 門的設定 - Fail safe - 平常應是上鎖的狀態 - 但當緊急狀況發生時，如火災或電力中斷時，應保持開啟狀態 - Fail Secure - 平常應是上鎖狀態 - 但當緊急狀況發生時，如火災或電力中斷時，應保持關閉狀態 實體安全-進出管控 第8單元 應用程式安全(K7、S5) --- 應用程式安全 軟體安全工程探討軟體安全問題的解決方法 -應用安全屬於軟體工程的問題，由設計來解決 -架構安全屬於系統管理問題，由設定來解決 在資安的領域探討軟體應用的安全，可以先從軟體安全工程的學理上建立基本的觀念，開發軟體應用時可透過考量安全的設計來避免軟體系統本身留下了可被利用的漏洞或是弱點 安全要求高的軟體，需要特別訂定安全性規格 -從實際應用的角度來評估風險 -依實際的要求來設計軟體系統降低風險與損害 一旦軟體開發完成，使用的時候必須在一個作業系統或是承載平台的環境中，此時軟體應用運作形成的架構有可能因為特殊的設定，(非軟體本身)造成可被利用的漏洞或是弱點，必須客安全的設定來解決 安全要求高的軟體，需要特別訂定安全性規格，舉例來說，胰島素注射系統可以透過軟體以及感測器來控制，假如軟體無法處理的意外狀況，有可能對病人造成健康的風險。 應用程式安全威脅 緩衝區溢位 緩衝區是程式執行在記憶體中用來存放資料的空間，當應用程式處理資料時為檢察輸入資料的長度，就有可能讓太長的資料覆蓋到其他記憶體區段，導致惡意程式碼被植入且被執行 惡意程式 惡意程式可分為病毒、蠕蟲、木馬、後門及間諜程式 病毒需要附著在程式或檔案中再進行散播的惡意程式 蠕蟲自己有能力主動進行傳染散播的惡意程式 後門，留在系統內部須經一般安全控管程序，就可以被植入遙控的惡意程式，後門程式可分為兩類 -維護用後門程式:開發人員私下留存在應用程式內，以方便日後進行維護的程式，應用程式於整合測試階段，應檢查應用程式中是否含有此類後門程式 -被惡意植入的後門程式:由於應用程式的弱點，導致惡意後門程式被植入到應用系統 木馬，一個陷阱程式，等待使用者踩到陷阱程式後，運用使用者權限執行不當的指令 間諜程式，主要以竊取系統的機密資料為主的程式，例如上網行為與鍵盤側錄等 現今惡意程式不見得只單純扮演一種腳色，可結合各種不同的手法與行為感染及散播 例如:USB病毒在USB硬碟時，運用病毒被動感染的方式感染電腦主機，一但感染電腦主機後可能變成主動感染其他系統的蠕蟲。 對於應用程式的威脅，可以從幾個不同的角度來思考，一種是專門寫來利用漏洞或是弱點的軟體程式(常稱為惡意程式)，另外一種是軟體本身或是設定的問題 邏輯炸彈 邏輯炸彈是一段被故意插入應用程式的程式片段，在正常情況下並不會被執行。只有特定條件符合時才會被啟動，例如程式設計師隱藏了一段刪除新資料庫的程式碼，只有當他被解雇的條件符合時才會被執行 有些病毒與蠕蟲也會有邏輯詐電的程式碼，例如當4月1日愚人節時將硬碟刪除 應用程式與整合測試階段，應檢查應用程式中是否含有邏輯炸彈 隱藏通道 為存取控管機制的漏洞，原非預期用來傳送資料的管道被惡意運用後，可以跳脫存取控管機制存取到不應存取的資料 隱藏通道在其使用的手法上可分為兩類 隱藏儲存通道 -程式將機密資料寫到儲存媒體中 -其他程式可以讀到儲存媒體中的機密資料 隱藏時序通道 -透過系統處理不同資料的時間，推斷機密資訊的方法，例如，通行碼全部符合比對的時間很久，但只要第一個字元符合則比對時間就會快一點，透過通行碼比對時間的長短逐字退斷出管理通行碼 輸入攻擊 一般情況下，應用程式從使用者端取得輸入資料，進行資料運算與處理，最後將運算處理結果輸出 如果使用者輸入惡意資料，應用程式沒有檢查過濾，便可能造成程式發生錯誤、執行邏輯被改變及存取權限跳脫等問題 Web應用程式常見的攻擊大多屬於輸入攻擊 -SQL Injection -Cross Site Scripting 應用程式於收到部可信任來源所輸入的資料時，應先進行過濾與正規化(長度或形態)後才進行後續作業 SQL Injection:輸入SQL語法時，夾帶一些惡意的資料庫查詢語法及特殊資源，若是沒有被檢查出來，資料庫伺服器就會直接執行惡意SQL語法，導致個人帳號、密碼等資料外洩 Cross Site Scripting:攻擊者像有XSS漏洞的網站中輸入惡意的HTML代碼(如JavaScript與VBSCRIPT)，當其他使用者瀏覽到被置入惡意腳本的網頁時，就會使瀏覽器執行惡意腳本，造成使用者的Cookie被竊取或導向到其他網站。 軟體開發生命週期安全 傳統軟體開發之特性 -功能性導向，在最短時間，完成系統的開發與上限 -缺發安全性考量的設計，面對日新月異的攻擊手法，難以建立有效的防護方法保護系統的安全，例如資料隱碼攻擊SQL Injection等便是因此而崛起 軟體開發生命週期安全SSDLC之思維 -在考量軟體功能性的同時，導入安全性的思維，於軟體開發過程中均進行各項必要的安全控制措施，雖開發時間長，卻降低了軟體後續維運的成本與遭受入侵的損失 軟體開發生命週期主要可分為以下步驟 需求分析->架構設計->程式實作->測試與驗收->部署與維運 需求分析 -進行風險分析與確認應用程式的資安需求，以符合使用者需求與法規遵循為目的 架構設計 -根據需求分析結果，進行包含系統任務的目標、功能關聯、邊界範圍及各階層使用者的腳色等內外部使用的規劃與搭配適當的資安架構 程式實作 -落實既有之規劃，將使用者介面，功能運作及安全性等完整的實現，程式設計師應隨時注意正確安全的程式撰寫習慣 測試與驗收 -依據資安需求擬定測試計畫，並一測試計畫進行測試與修正 -確保各項功能與安全性皆可符合既定的需求 部署與維運 -進行軟體之部署、安排教育訓練 -落實軟體之穩定運作、應定期修補漏洞(PATCH)，按步升級更新版本，及即時監控 應用程式上線後應持續進行教育訓練，確保程式變更後也能維持安全，並即時監控應用程式攻擊行為。 新開發的應用程式請參考安全軟體開發生命週期SSDLC的方法並遵循資通安全責任等級分級辦法公務機關應辦事項，附表十資通系統防護基準內之相關控制措施辦理 應用程式安全控制 變更控制、職責區隔、程式庫維護、應用程式安全檢測、行動應用程式安全 對於應用程式的威脅，可以從幾個不同角度來思考，一種是專門寫來利用漏洞或是弱點的軟體程式(常稱惡意程式)，另一種是軟體本身或是設定的問題 變更控制 原因 -應用程式上線後因需求的變更，新功能要求即發現瑕疵等因素，需要變更應用程式或組態 目的 -為維持變更後的安全狀態仍可符合安全性政策要求 方法 -機關應十座應用程式變更控制流程 -必須確保變更是獲得授權、經過測試且被記錄下來 變更控制之步驟 -填寫變更需求申請 -分析變更需求 -發展實作策略、方法、步驟 -計算變更所需成本 -評估變更與安全的關聯性 -記錄變更請求 -提交變更申請進行核准 -進行應用程式變更的開發工作 -記錄變更開發的產出(新增或刪除功能) -將變更的程式碼與變更申請連結(程式碼中的註解) -將變更後的程式碼交付測試與品質核可 -變更程式碼版本(上線) -向管理層報告變更結果 職責區隔 作業人員不應有權限存取線上的程式碼或程式物件 程式設計人員不應存取線上運作中的軟體 品管部門應測試程式碼品質，且與開發部門採用不同的測試方法 一旦軟體被開發測試完成應被保存在程式庫中 線上運作的軟體應由程式庫中發行，不應直接由程式設計人員或測試人員進行更新 程式庫維護 應用程式應集中放在程式庫中，並進行存取控管 程式庫進行版本控制，並保留所有版本程式碼 開發部門凍結版本後應簽入(Check In)到程式庫，也應由程式庫中簽出(Check out)取得最新版本進行修改 測試部門應由程式庫中簽出(Check out)取得最新版本進行測試 上線人員應由程式庫中發行(Release)最新版本應用程式至線上系統 變更控制管理流程支持開發、測試與上線等作業的職責區隔，並透過程式庫維護協助版本控制與職責區隔 應用程式安全檢測 任何應用程式都可能有瑕疵或是弱點 -安全程式開發是直接藏式消除瑕疵的方法 -安全檢測則是嘗試在有瑕疵存在的情況下保護系統資源不售危害 使用者、程式設計者與系統管理員對於程式安全認知不同 可依病毒的特性對程式進行檢測 可依靠工具輔助進行檢測 -入侵防禦系統；具備部分防禦功能 -原碼檢測，使用自動化的原碼檢測工具找出有問題的程式碼 -網頁應用程式防火牆，針對應用層攻擊進行防禦 -滲透測試，模擬攻擊者行為找出網站漏洞 -網站弱點評估，使用掃描工具檢測弱點   行動應用程式安全 行動應用程式APP也是應用程式的一環 駭客可循船同的技術進行病毒的感染 駭客可運用反向工程的技術來變造原來的程式，將變造後的APP上傳到程式商店引誘使用者下載 開發APP時，須注意採用套件的安全 開發APP時，索取過多行動裝置上的敏感資訊，例如通訊錄、行事曆、座標位置、郵件、簡訊內容等易侵犯隱私 不要在手機儲存重要資料，也不要下載不明APP，保護自己個資與財務安全 機關在開發行動應用程式時，應根據要求，審慎選擇行動應用程式的開發方式，行動應用程式的開發過程會衍生兩大安全議題。 -行動應用程式碼的安全性議題，因撰寫方式的錯誤，使用APPS有安全弱點，導致系統遭入侵，此部分議題可以參考OWASP Mobile TOP 10或行動裝置資安防護參考指引，解決方法建議遵守安全系統發展生命週期進行開發，藉助第三方或是自動化檢測進行白箱、黑箱靜態與動態之檢測。 -隱私侵犯的議題，因程式開發時，索取過多行動裝置上的敏感資訊如通訊錄、行事曆、座標位置、郵件、簡訊內容等，建議遵守Privacy by Design之原則，將隱私保護之概念，融入於應用程式的設計。 WEB應用程式-前10大風險 A1 注入 Injection A2 身分鑑別相關功能缺陷 Broken Authentication A3 機敏資料洩漏 Sensitive Dada Exposure A4 XML外部實體 XML External Entities A5 不當的存取控制 Broken Access Control A6 不當的安全組態設定 Security Misconfiguration A7 跨站腳本攻擊 Cross Site Scripting A8 不安全的反序列化 Insecure Deserialization A9 使用以之弱點的元件 Using Components with Know Vulnerabilities A10 紀錄與監控不足 Insufficient Logging & Mointoring   Web應用程式安全 – 檢測 定期針對核心資通系統執行網站安全弱點掃描(A級機關每年兩次，B級機關每年1次)與系統滲透測試(A級機關每年1次，B級機關每2年1次) 如網站應用程式在開發、測試與上線前未執行安全檢測，建議機關應定期針對作業系統、網站伺服器，及資料庫伺服器執行弱點掃描與修補，對於網站應用程式應定期執行網站安全弱點掃描與系統滲透測試 - 黑箱檢測工具(模擬SQL Injection、XSS等攻擊) - 白箱檢測工具(靜態分析應用程式原始碼) - 滲透測試(權限跳脫與邏輯錯誤) 如有能力修改程式 - 修補以發現的應用程式弱點 如無能力修改程式 - 建置WEB應用程式防火牆進行弱點防禦 目前網站應用程式安全檢測方法區分為黑箱測試法與白箱測試法兩類 - 黑箱測試法:在測試者不知道應用程式撰寫內容的情況下，於應用程式執行的過程中測試是否有相關安全問題，又可區分為人工滲透測試與AP弱點掃描工具 優點:可以檢測執行時才會出現的錯誤、權限跳脫及邏輯性錯誤 缺點:無法清楚定位弱點所在程式碼、檢測速度及完整性都不構 - 白箱測試法:測試者直接檢查應用程式的源碼，由程式內部發現安全問題，又可區分人工源碼檢測與自動源碼檢測 優點:檢測完整性與精確度較高 缺點:無法檢測執行時的錯誤 參考比較表的各項比較項目來看，若機關預算充足，可同時採用自動源碼檢測與人工滲透測試，若預算有限則優先採用自動源碼檢測 第9單元 資通安全健診(K8、S6) --- 資通安全健診-目的 整合各資通安全項目的檢視服務作業，提供機關資通安全改善建議 藉由實施技術面與管理面的相關控制措施，提升機關整體資通安全防護能力 針對已知弱點進行修補，並持續追蹤可能存在的風險 資通安全健診項目 機關定期辦理資通安全健診(A級機關每年1次，B級機關每2年1次) 檢測項目包含: 網路架構檢視 網路惡意活動檢視 使用者端電腦惡意活動檢視 賜福器主機惡意活動檢視 目錄伺服器設定檢視 防火牆連線設定 資通安全健檢項目 網路架構檢視 -針對網路架構圖進行安全性弱點檢視，詳列發現事項之風險等級、風險說明與改善建議，以利機關後續修補與調整 網路惡意活動檢視 -架設封包側錄設備，觀察內部電腦或設備是否有對外之異常連線，發現異常連線之電腦或設備應確認使用狀況與用途 -檢視資安設備記錄檔，分析過濾內部電腦或設備是否具有對外之異常連線紀錄，發現異常連線之電腦或設備應確認使用狀況與用途 使用者端電腦惡意活動檢視 -檢視使用者電腦之作業系統更新情形 -檢視使用者電腦之應用程式之安全性更新情形 -檢視使用者電腦是否使用已經停止支援之作業系統或軟體 -檢視使用者防毒軟體安裝、更新及定期掃描結果之處理情形 伺服器主機惡意活動檢視 -檢視伺服器主機之作業系統更新情形 -檢視伺服器主機應用程式之安全更新情形 -檢視伺服器主機是否使用已經停止支援之作業系統或軟體 -檢視伺服器主機是否使用不合宜之作業系統 -檢視伺服器主機防毒軟體安裝、更新及定期掃描結果之處理情形   目錄伺服器設定及防火牆連線設定檢視 -AD伺服器組態設定，以行政院國家資通安全會報，技術服務中心所發展之政府組態基準內容為標準，確認目錄伺服器組態設定落實情形 -檢視防火牆連線設定規則是否有安全性弱點，確認來源與目的IP及通訊阜連通之適切性 資通安全健診流程 基本環境調查 -使用者電腦與伺服器主機資訊(使用者電腦與伺服器主機資訊包含作業系統、電腦數量、防毒軟體廠牌、軟體更新與安全性更新政策 -政府組態基準部署現況與例外管理清單(包含作業系統、瀏覽器、網通設備與應用程式) -服務主機與防護設備資訊(包含網域主機、Mail Server、DNS、WSUS、防毒主機、防火牆) -網段劃分資訊 -網路交換器SWITCH是否支援PORT Mirror功能(包含使用者網段、網路管理網段、實體隔離網段) -是否有網域環境 決定範圍與抽樣方式 -以範圍與抽樣方式需具有代表性 -以範圍與抽樣方式決定檢測時程與預算金額 檢測配合事項(由受測單位提供資料給檢測單位) -檢測環境 -網路架構檢視 -網路惡意活動檢視 -使用者端電腦惡意活動檢視 -伺服主機惡意活動檢視 -防火牆連線設定檢視 起始會議 -執行檢測前，須辦理起始會議，說明減設項目與範圍，協調配合事項並達成雙方共識 -參與人員應包含機關主管與相關業務承辦人 執行檢測(根據啟始會議決議項目執行) -網路架構檢視 -網路惡意活動檢視 -使用者端電腦惡意活動檢視 -伺服主機惡意活動檢視 -目錄伺服器設定及防火牆連線設定檢視 撰寫檢測報告 -執行結果摘要 依檢測項目個別進行摘要說明 -執行計畫 說明執行期間、執行項目、執行範圍、專案成員 -執行情形 說明檢視結果並針對不符合事項或問題說明發生原因 -結果建議 針對各項檢測結果提出改善建議 -結論 提出改善建議 -針對各檢測項目發現事項，須詳查跟因並提出相對應知改善建議 附件 -針對各檢測項目詳列發現事項與檢測資料(如發現惡意程式的過程記錄、安全性更新未更新記錄) 結束會議 -檢測完成後，須辦理結束會議，說明個項目發現事項，改善建議與結論 -參與人員應包含機關管領階層與相關業務承辦人 修補規劃與追蹤 -依據資安健診報告中之改善建議、規劃修補方式 優先處理可即時修補與風險等級較高的弱點 無法及時修補之弱點，須規劃改善計畫與改善時程，並持續追蹤修補進度 -針對已修補弱點，須留存弱點修補記錄 -弱點修補完成後須執行複測，以確認修補方法之有效性 第10單元 資通安全事件通報及應變(K9、S7) --- 資通安全事件通報及應變辦法 依資通安全管理法第14條第4項及第18條第4項訂定 目的為強化各機關資安事件之因應作為 規範事件之分級、事前演練、事中通報及應變，以及事後改善之程序、機制 資通安全管理法第3條 資通安全事件，指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅 資通安全管理法第14條 公務機關為因應資通安全事件，應訂定通報及應變機制 公務機關知悉資通安全事件時，除應通報上級或監督機關外，並應通報主管機關；無上級機關者，應送交主管機關 前三項通報及應變機制之必要事項、通報內容、報告之提出級其他相關事項之辦法，由主管機關定之 資通安全法第18條 特定非公務機關為因應資通安全事件，應訂定通報及應變機制 特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告；如為重大資通安全事件者，並應送交主管機關 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法由主管機關定之 知悉重大資通安全事件時，主管機關或中央目的事業主管機關於適當時間得公告與事件相關之必要內容及因應措施，並得提供相關協助 資通安全事件通報及應變辦法 - 資安事件等級綜合評估說明 資通安全事件分級由輕至重分1、2、3、4等四個級別 評定資通安全事件分級時，將以資訊或資通系統性質與其CIA衝擊性，綜平該事件級別 資訊或資通系統性質 涉及/未涉及CI核心業務資訊或資通系統 非核心業務資訊或資通系統 一般公務機密 敏感資訊 國家機密 CIA衝擊性 機密性 完整性 可用性 綜評事件級別 以最高級別為該資通安全事件通報等級 敏感資訊 – 個人資料 (個人資料保護法第2條) 指自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務狀況、社會活動或其他得以直接或間接方式事別該個人資料 一般公務機密 (文書處理手冊第51項) 指本機關持有或保管之資訊，除國家機密外，依法令有保密義務者 國家機密(國家機密保護法第2條及第4條) 指為確保國家安全或利益而有保密之必要，隊政府機關持有或保管之資訊，經依本法核定機密等級者(絕對機密、極機密、機密)   機密性係依據外洩的資訊性質與程度評估級別 1級 非核心業務資訊遭輕微洩漏 2級 非核心業務資訊遭嚴重洩漏，或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏 3級 未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏 4級 一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或國家機密遭洩漏 完整性係依據受影響資訊或資通系統性質與竄改程度評估級別 1級 非核心業務資訊或非核心資通系統遭輕微竄改 2級 非核心業務資訊或非核心資通系統遭嚴重竄改，或涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改 3級 未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或一般公務機密、敏感資訊、涉及關鍵基礎設施維運核心業務資訊或核心資通系統遭輕微竄改 4級 一般公務機密、敏感資訊、涉及關鍵基礎設施維運核心業務資訊或核心資通系統遭嚴重竄改，或或國家機密遭竄改 可用性係依據受影響業務或資通系統性質可否於可容忍中斷時間回復評估級別 1級 非核心業務之運作受影響或停頓，於可容忍中斷時間內回復正常運作，遭成績關日常作業影響 2級 非核心業務之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作 3級 未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作 4級 涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，且無法於可容忍中斷時間內回復正常運作   資安事件通報資訊 資安事件通報基本項目 發生機關、發生或知悉時間、狀況之描述、其他相關事項、等級之評估、外部支援需求評估、因應事件所採取之措施 損害控制內容 根據機關內部處理資安事件之程序紀錄損害控制或復原之歷程 調查、處理及改善報告 事件發生或知悉其發生、完成損害控制或復原作業之時間 事件影響之範圍及損害評估 損害控制及復原作業之歷程 事件調查及處理作業之歷程 事件根因分析 為防範類似事件再次發生所採取之管理技術、人力或資源等層面之措施 預定完成時程及成效追蹤機制 通報及應變作業流程規範 公務機關/特定非公務機關應於知悉資安事件後，1小時內向上呈報相關事件相關資訊，並於限定時間內，盡速完成損害控制或復原 上級/監督機關或中央目的事業主管機關接獲資安事件通報後，應於時限內進行審核作業，並視情況提供必要支援服務 1、2級事件應於8小時內完成審核，3、4級事件應於2小時內完成審核 中央目的事業主管機關須定期彙送1、2級資安事件 主管機關接獲審核機關呈報所屬資安事件後，應進行覆核作業，並視情況召開資安防護會議 覆核公務機關1-4級資安事件 覆核特定非公務機關3、4級資安事件 第九條 公務機關應就資通安全事件之通報訂定作業規範，其內容應包括下列事項: 判定事件等級之流程及權責 事件之影響範圍、損害程度級機關因應能力之評估 資通安全事件之內部通報流程 通知受資通安全事件影響之其他機關之方式 前四款事項之演練 資通安全事件通報窗口及聯繫方式 其他資通安全事件通報相關事項 第十條 公務機關應就資通安全事件之應變訂定作業規範，其內容包括下列事項 應變小組之組織 事件發生前之演練作業 事件發生時之損害控制機制 事件發生後之復原、鑑識、調查及改善機制 事件相關紀錄之保全 其他資通安全事件應變相關事項 資安事件處理目的 確認資安事件是否發生 降低對業務與網路服務的中斷時間 提供精準與即時的資訊 於規定時間內完成損害控制或復原作業 實作控制措施以維護監管鍊 讓法務單位可以對惡意者提起訴訟 可透過數位鑑識技術確認資安事件是否發生，並了解影響範圍與入侵原因 透過緊急快速的處理反映，降低因資安事件對業務與網路服務的中斷時間 資安事件處理實必須提供精準與即時的資訊給相關部門與主管，以正確快速的溝通資安事件處理現況 於規定時間內完成損害控制或復原作業，並持續進行資通安全事件之調查及處理 透過合法的電腦犯罪蒐集程序，以保障由政策與法律要求的權利 對於資安事件處理過程中所蒐集之證據，應實作空作措施以維護證據監管鍊，才能確保證據的有效性 提供充分有效的犯罪證據，讓法務單位可以對惡意者提起訴訟   資安事件處理計畫 定期審查計畫文件-更新人員、科技及業務處理流程 訓練 -訓練組織分工與權責、資通安全技能、危機處理、數位鑑識與調查技能及溝通能力 財務支持-預算、額外的設備、專業人員、員工薪資及訓練費用 演練-定期驗證與修正作業流程 資安事件處理計畫是否有效，可透過下列層面來觀察 機關是否定期重新審查資安事件處理計畫文件，以更新人員、科技及業務處理流程 機關是否定期訓練其人員有相關資安事件處理之組織分工與權責、資通安全技能、危機處理、數位鑑識與調查技能及溝通能力 機關是否為資安事件處理提供財務支持，例如編列預算、額外的設備、專業人員、員工薪資 機關是否定期演練資安事件處理計畫，並定期驗證與修正作業流程 資安事件處理程序 準備、識別、封鎖、根除、復原、經驗學習 依據CERT/CC的建議資安事件處理程序可分為下列六個步驟 準備-資安事件處理實所需的專業人員、組織分工、處理與鑑識的訓練、計畫與程序的編撰與模擬演練 識別-當資安事件發生時，第一步驟是識別資安事件的嚴重性與影響範圍 封鎖-封鎖入侵來源，以避免災害擴大 根除-徹底清除被植入的惡意程式並修補被入侵的管道 回復-被入侵的系統回復至正常運作的狀況 經驗學習-在事件中學習相關的經驗，並反映在資安政策與防護措施上，以避免相同問題再度發生 資安事件成功處理的關鍵是事前的準備 -組織資安事件處理小組 -建立資安事件處理策略 -設計資安數件處理程序 -建立溝通管道與方式 -蒐集所需資源 -練習、練習再練習   資安事件成功處理的關鍵是事前的準備，有完整的準備，在緊急事件發生時就越能有效快速的反應與處理。準備事項包含下列項目 -組織資安事件處理小組:建立資安事件處理的人力資源，並規劃人員與部門的分工與責任 -建立資安事件處理策略:用來指導資安事件處理時的方向與原則 -設計資安事件處理程序:讓相關處理人員有明確的處理步驟可以遵循 -建立溝通管道與方式:在緊急事件發生時，需要有安全且快速的溝通管道 -蒐集所需資源:對於資安事件處理過程中所需的資源，應事先準備妥當 -練習、練習再練習:唯有不斷的演練才能讓人員熟悉意外事件的處理方式 資安事件處理小組應包含有下列人員或部門 -技術部門(IT、資通安全及系統管理者):資安事件大都與資訊系統有關，因此資訊系統相關人員應被納入 管理人員:當資安事件發生時可以快速決策的管理人員 法務部門:若涉及電腦犯罪時，需法務部門人員提供協助與指導 數位鑑識專家:須具備分析犯罪事證的專業人員 公共關係部門:當資安事件涉及公共事務(例如:民眾個資外洩)或商譽損害時，應由統一的窗口對外部溝通 人力資源部門:若資安事件涉及內部人員時，須人力資源部門提供協助 實體安全與維護部門:若資安事件涉及實體入侵時，應由實體安全與維護部門提供協助 通訊部門:資安事件可能藉由電腦或電話網路入侵因此通訊部門應提供協助 資安事件處理程序 – 識別 當資安事件發生時，第一步驟是識別資安事件的嚴重性與影響範圍，資安事件雖無法完全防治，但必須被偵測 -識別資安事件的意圖是屬於故意或無意，若為故意之行為應推論其動機為何?有利於後續的處理分析 -確認資安事件入侵受損的範圍，包含:那些系統、人員及資訊資產 -保留證據以確認資安事件的事實，並成為進行訴訟時的有效證明 -識別系統上的可疑事件，有利於發現入侵的來源與入侵標的，例如 是否有新增帳號、新建檔案及不明的檔案修改 在入侵偵測系統觸發的攻擊事件，可了解入侵者的攻擊手法，但入侵偵測系統可能也有無法偵測到的攻擊手法 防火牆存取紀錄可知道攻擊來源的存取目的為只與服務阜 有效能變差，服務無回應及系統不穩定的現象，可能是駭客執行的不當指令所造成 透過網路風暴的蒐集工具監聽正在進行的攻擊行為，可以掌握攻擊標的的那些非授權行為 數位證據取得時，應採用被接受的磁碟映像複製工具(所有磁區的複製，配合雜湊函數以檢驗被複製出來的資料沒有被竄改)將證據由被入侵的系統中複製出來，所有分析與鑑識工作應由被複製出來的媒體上執行，盡量避免在被入侵的系統上進行分析。可佩和錄影機記錄螢幕顯示的內容與採證的過程。 識別出來的相關證物從發現到提出至法院必須有完整明確的監管記錄，而有效的證據監管記錄至少具備下列條件 -每一項證據必須由可證明身分的人員所保管 -當保管人交接時必須被記錄 -在儲存體中的證物必須被保護，以免被汙染或變更 資安事件處理程序 – 封鎖 當資安事件已被識別且相關證物的監管鍊已被建立後，接下來就開始”封鎖”入侵來源，以避免災害擴大 -識別可信任來源且只允許可信任來源的存取，而可信任來源的識別不只是來源網路地址或設備，也包含使用者身分 -當封鎖行動開始時，應避免驚動入侵者以避免證據被銷毀 -在此同時應開始進行細部的證據分析與數位鑑識的動作 -減緩攻擊的封鎖行動包含下列 變更通行碼與權限，讓攻擊者無法再使用原有的權限登入 變更主機名稱與IP位址，讓攻擊者無法連上系統 將可疑的流量導到不存在的位址，對於可疑的連線流量，可透過防火牆或路由器導到不存在的位址，讓可疑的連線可以被監控 阻擋攻擊來源IP或網段，在防火牆或路由器上直接封鎖攻擊的來源位址或網段 在類似系統上更新修補程式，若有發現入侵者的攻擊路徑與運用的弱點時，應立即修補該弱點，並於類似的系統上進行修補 關閉服務，關閉不必要的服務，以避免不必要的服務被攻擊者所運用 資安事件處理程序 – 根除 一旦資安事件已被控制，接下來要從系統或網路中完全移除惡意程式 -手稀釋決定採用移除或回存方式根除被植入的惡意程式 若採用移除方式，須確定是否可以完全移除乾淨 若採用回存方式，需檢查輩分資料中是否就有惡意程式 接下來是強化防禦機制，可採用下列方法來強化 建立額外的偵測與防禦方法，例如:設定客製的入侵偵測規則，以發現是否有類似的攻擊行為 提升稽核紀錄的詳細程度，例如:將作業系統的稽核紀錄全部開啟，但有可能導致系統效能降低 在其他作業系統中尋找已發現的惡意程式，也許攻擊者已在其他系統上植入類似的惡意程式，必要時應擴大受害的檢查範圍 更嚴謹控管存取來源，例如:要求連線來源使用固定的IP位址，並在防火牆中設定只允許特定來源IP的存取 資安事件處理程序 – 復原 一旦威脅被根除，接下來應開始將業務與服務回復到正常運作狀態 加強監控以偵測攻擊是否再發生 -客製化入侵偵測規則 -在網路，主機及應用程式中，額外時做更詳細的稽核紀錄 資安事件處理程序 – 經驗學習 召開經驗學習會議 -在相關處理人員記憶猶新的情況下，通常建議在一個月內召開，千萬不要等到大家都遺忘了之後才召開 -讓機關在資安事件中學習防護經驗，了解攻擊入侵的手法後更能體會到位曾考慮到的防護漏洞 -針對學到的經驗應修改相關的政策程序以利未來安全防護機制時做時可避免重蹈覆測 -通常在資安事件處理之後最能提供相關人員的資安警覺意識，資安負責人員可運用經驗學習會議深化資安防護的意識 資安事件處理 – 個資外洩 由於資安事件可能導致個人資料外洩，進而引發相關法律責任，機關在資安事件處理過程中應特別注意是否有造成個人資料外洩的情況 在識別與封鎖階段 應確定個人資料外洩的範圍 在復原階段 依個人資料保護法要求，應主動通知各資被外洩的對象 提供改善方案以防止個資外洩對象進一步的損害   數位證據與數位鑑識 數位證據 由電腦來儲存或是傳送的資料 該資料可以用來進行後續的偵查 偵查的目的是用來確認或是否定反駁有關於犯罪的推斷陳述 該資料在法庭上有具體的用途 數位證據的定義，簡單來說，就是有利於偵查或是定罪的數位資料 數位鑑識 數位鑑識是鑑識科學的領域之一 探討電腦犯罪相關的證物的處理與調查 可運用法庭上支持或是否定犯罪的推論 也可運用在一般場合提供資安事件的調查 數位鑑識 – 程序 證物的查封 Seize 證據的取得 Acquisition 證據的分析 Analysis 鑑識報告 Reporting 數位鑑識 – 原則 數位證據的原則可以讓我們對數位證據做適當而正確的處理，使數位證據能發會預定的效用 數位證據的交換 Evidence Exchange -採集證據時不能變更證據的原始狀態 數位證據的特徵 Evidence Characteristics -蒐集到的特徵要能代表證據的原貌，且應完整保留 鑑識的健全性 Forensic Soundness -資料要保持健全，不能因為鑑識而造成資料毀損或改變 數位證據的鑑別 Authentication -其他人按照蒐證人員宣稱的鑑別程序，都可以得出相同的結果 證物的監管鍊 Chain of Custody -從扣押、蒐集、保管到運送過程，要確保資料的一致性與完整性 數位證據的完整性 Evidence Integrity -必須保持證據的完整性，可利用雜湊函數運算 客觀性 Objectivity -蒐集的資料要是公正且客觀性的法律證據 類題 ---- 有關資安管理法訂定之各項內容,下列敘述何者為非 ? (A)為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益，特制定本法(資安管理法) (B)資安管理法所訂定之主管機關為立法院 V (C)資安管理法所定義之資通系統泛指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統 (D)資安管理法所定義之特定非公務機關係指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 依據我國《資通安全管理法施行細則》條文中規定，下列何者「不」 是資通安全維護計畫應(或強制要求)包括的事項？ (A) 核心業務及其重要性 (B) 資通安全稽核組織 V (C) 資通安全政策及目標 (D) 專責人力及經費之配置 依據我國《資通安全管理法施行細則》條文中規定，資通安全維護計畫應(或強制要求)須包含底下那些的事項？ (A) 核心業務及其重要性 V (B) 資通安全稽核組織 (C) 資通安全政策及目標 V (D) 資通安全情資之評估及因應機制。 請問資通安全責任等級分級辦法，將適用機關的責任等級，共分幾級？ (A) 4 (B) 5 V (C) 6 (D) 7 有關資通安全責任等級分級辦法下列哪些有誤? (A)主管機關應每二年核定自身資通安全責任等級。 (B)公務機關及特定非公務機關（以下簡稱各機關）之資通安全責任等級，由高至低，分為 A 級、B 級、C 級、D 級及 E 級 (C)公立醫學中心其資通安全責任等級為B級 (D)各機關維運自行或委外設置、開發之資通系統者，其資通安全責任等級為 D級 V 下列哪一項網路安全技術，經常被用來控制外部對組織公開資源的存取？ (A) 端點偵測及回應系統 (B) 入侵偵測與防禦系統 (C) 防火牆 V (D) 虛擬私有網路 可攜式媒體中有一個d:\autorun.inf，哪一項敘述是正確的？ (A) 記載上次檔案存入的時間 (B) 記載上次檔案讀取的時間 (C) 控制檔案存取的權限 (D) 可攜式媒體與電腦連接時，自動執行的內容 V 提供VPN帳號供委外廠商遠端維護，哪一項是其風險？ (A) 駭客入侵委外廠商攻擊機關 V (B) 增加財務損失風險 (C) 增加人力投入風險 (D) 增加處理速度延誤風險 當資安事件發生時，第一步應先做出下列何種處置，方能繼續執行後續之處理? (A) 監控正在進行的攻擊行為 (B) 切斷對外連線網路與服務 (C) 識別資安事件的嚴重性與影響範圍 V (D) 保護資安事件的事實 為機關的全球資訊網佈署 HTTPS 協定時，應該採用哪個加密演算法？ (A) 3DES (B) RC4 (C) MD5 (D) AES V 關於職務異動與職務輪調時，哪些正確？(複選) (A) 重新審查該人員對「資訊系統」與「實體場所」的存取授權 V (B) 在轉任後特定時間內進行存取授權變更 V (C) 避免原職務人太熟悉而鑽漏洞 V (D) 重要工作不可有代理人 公務機關對個人資料之蒐集、處理及利用，根據「個人資料保護法」應有特定目的，並符合下列哪些情形？（請選三項）(複選) (A) 經當事人書面同意 V (B) 已向當事人告知 (C) 對當事人權益無侵害 V (D) 執行法定職務必要範圍內 V 某機關的網站被入侵並在硬碟的系統區放了一個後門，經電腦鑑識後發現駭客是藉由網頁程式的漏洞入侵成功，這可能是違反了何者授權原則所導致的？ (A) 業務需知原則 (B) 最低權限原則 V (C) 職務區隔 (D) 特殊權限管理 風險接受準則通常可依據機關政策、目標及業務關係單位來定義可接受或不可接受的狀況與條件，下列何者可以列為考慮接受的原因？ (A) 與現行法律規範稍有抵觸 (B) 因科技的限制，尚無有效處理風險的方法 V (C ) 資產損失高過於風險處理成本 (D) 對人員生命相關的的衝擊所產生的風險只有不到 1/10 的機率 形成資訊安全風險（Risk）的因素中，哪些是增加風險的因素？ (A) 威脅（Threat）、弱點（Vulnerability）、存取控制（Access Control） (B) 威脅（Threat）、資產價值（Asset）、存取控制（Access Control） (C ) 威脅（Threat）、弱點（Vulnerability）、資產價值（Asset） V (D) 弱點（Vulnerability）、備份 （Backup）、數位簽章（Digital Signature） 下列哪一項正確地敘述了安全控制措施的用途? (A) 發現安全問題 (B) 降低風險發生的措施或防護措施 (C) 分析風險程度 (D) 識別與維護資訊資產 V 下列哪一項不屬於資通安全的目標之一? (A) 機密性 (B) 完整性 (C) 可用性 (D) 行動性 V 下列哪一項不是國家機密區分的等級之一 (A) 絕對機密 (B) 極機密 (C) 機密 (D) 密 V 下列哪一項不是資通系統分級處理程序的四大構面之一? (A) 機密性 (B) 法律遵循性 (C) 複雜性 V (D) 完整性 風險透過哪2個因素的結合定義其影響程度或損害程度? (A) 弱點與威脅 (B) 衝擊與可能性 V (C ) 資產與資產價值 (D) 控制措施與防護等級 資通安全風險管理流程中，全景建立的目的為何? (A) 盤點資訊資產清單 (B) 分析資訊資產的風險 (C ) 建立安全管理整體計畫 (D) 建立整個風險管理過程的完整輪廓 V 業務持續營運計畫中之營運衝擊分析步驟之用途為何? (A) 將營運所需資通系統回復至可運作狀態 (B) 了解當災害發生後的嚴重程度，以及需要多少時間來處理 V (C ) 指導復原作業的規劃方式與模擬 (D) 讓關鍵業務回復至暫時可運作的狀態 業務持續營運計畫中之復原階段是指? (A) 災害發生後至決定啟動BCP的期間 (B) 啟動BCP後至業務回復到正常運作的期間 (C) 啟動BCP後至備援機制與業務開始啟動的時機 V (D) 啟動重建至業務回復到正常運作的時間 下列哪一項措施通常不是發現資安問題的方式 (A) 異常狀況的監控 (B) 稽核紀錄分析 (C ) 滲透測試 (D) ISMS表單的簽核 V 下列何者可以降低稽核紀錄分析的負擔 (A) 運用自動化統計分析或關聯分析 V (B) 將稽核紀錄減量 (C ) 只分析錯誤訊息之稽核紀錄 (D) 進行完整的稽核紀錄分析 下列何者不是政府機關資訊委外之資安策略 (A) 應考量廠商專業能力與經驗、委外項目之性質及資通安全需求，選任適當之廠商，並監督其資通安全維護情形 (B) 確認委外廠商是否符合投標資格 V (C) 將機關之資安規範要求納入RFP中，必要時將資通安全計畫需求列為委外工作項目 (D) 將資安服務成本納入考量，並將資安需求納入評選計分 委外安全在資訊採購計畫階段的主要工作為何? (A) 確定軟硬體之規格與數量 (B) 安排部分具備資安專長之評選委員 (C) 查核廠商是否完成保密切結 (D) 確認委外資安要求 v 在存取控制中確保主體可以存取到其所預期存取到到之物件的路徑稱為? (A) 隱藏通道 (B) 存取規則 (C) 可歸責性 (D) 信賴路徑 v 下列何者不是滿足存取控制之可歸責性的必要條件 (A) 具備唯一識別符 (B) 強固的使用者鑑別技術 (C) 只提供執行業務上所需知道的資訊 v (D) 稽核紀錄的時戳可代表存取的先後次序 所謂強固鑑別技術是指? (A) 同時採用兩種鑑別因素的鑑別技術 v (B) 採用生物特徵之鑑別技術 (C) 採用強固加解密演算法相關的鑑別技術 (D) 採用人工智慧 如何比較生物特徵辨識產品的辨識精準度較佳 (A) 辨識失敗率較低的產品 v (B) 交叉錯誤率較低的產品 (C) 辨識速度較快的產品 (D) Type I 錯誤率較高的產品 避免封包被監聽的最佳防護方法為何? (A) 強化管道間的控管 (B) 改用網路交換器設備 (C) 採用加密連線 v (D) 強化主機身分鑑別強度 下列何者因素並不影響加密技術的強度 (A) 強制使用者密碼長度與複雜度 v (B) 定期更換密碼 (C) 限制同一帳戶連續遷入失敗之次數 (D) 不顯示登入失敗之訊息 人員作業區域的門其開啟方向應為 (A) 向內開啟 (B) 依疏散方向順向開啟 v (C) 向右開啟 (D) 向左開啟 軟體開發生命週期安全包含5個主要的步驟，即(1)架構設計(2)需求分析 (3)佈署與維運(4)程式實作(5)測試與驗收，其正確地進行順序為下列哪一項 (A) 14253 (B) 21435 (C) 14235 (D) 21453 v 當應用程式處理資料時未檢查輸入資料的長度，就有可能讓太長的資料覆蓋到其他記憶體區段，導致惡意程式碼被植入且被執行，這種攻擊手法稱為? (A) 惡意程式碼 (B) 緩衝區溢位 v (C) 邏輯炸彈 (D) 權限逃脫 在安全軟體開發生命週期中的需求階段主要安全工作為? (A) 安全檢測 (B) 確認安全需求 v (C) 變更控制 (D) 安全架構設計 留在系統內不需經一般安全控管程序，就可以被植入者遙控的惡意程式稱為? (A) 後門程式 v (B) 邏輯炸彈 (C) 蠕蟲 (D) 廣告程式 原非預期用來傳送資料的存取管道被惡意運用後，可以跳脫存取控管機制存取到不應存取的資料，這個管道稱為? (A) 加密通道 (B) 外頻通道 (C) 隱藏通道 v (D) 在線通道 數位鑑識程序包含4個主要步驟，即(1)鑑識報告 Reporting (2)證物的查封seize(3)證據的取得acquisition (4)證據的分析analysis，其正確的進行順序為下列哪一項 (A) 3241 (B) 2341 v (C) 4321 (D) 3214 SQL Injection與Cross-Site Scripting是針對網路通訊階層哪一層的攻擊行為? (A) 實體層 (B) 連線層 (C) 應用層 v (D) 網路曾 下列哪些是進行使用者端電腦惡意活動檢視時應該檢測的項目? (A) Microsoft 作業系統更新情形 v (B) 架設封包側錄設備 (C) 應用程式之安全性更新情形 v (D) AD伺服器之組態設定 公務機關知悉資通安全事件後，應於幾小時內依主管機關指定方式及對象，進行資通安全事件之通報? (A) 1小時 v (B) 2小時 (C) 8小時 (D) 36小時 下列何者不是資安事件處理之目的 (A) 確認資安事件是否發生 (B) 提供精準與即時的資訊 (C) 保護資安事件的事實 v (D) 讓法務單位可對惡意者提起訴訟 ###### tags: `Exam`