企业管理智慧财产及资讯安全管理系统规范ppt151页1全文案例分析电子版

来自資安現況與威脅教育體系資通安全規範推動國中小資通安全管理系統個人的資安責任中小學資訊安全管理系統(ISMS)之推動結論来自安全重要？汽車的安全性是否重要？國人購買汽車的考慮因素：1.價格2.性能3.省油4.外觀5.安全来自安全不要？依WHO統計，每十萬人車禍死亡率上，台灣2005年即高達20.8人，相對高出美國14.6人與日本的7人。86.5%台灣車主認為安全氣囊很重要，但歐美標配一台車6顆，台灣只有1.47顆。資料來源:来自安全真的很重要資訊安全與實體安全同等重要，但忽略資訊安全，所造成的損失很可能會遠高於忽略實體安全的結果。資源的投入≠完善的安全。保護資訊的安全必須瞭解：What?Why?How?When?Where?来自資訊安全的威脅資料安全威脅外部威脅•天然災害•硬體損毀•駭客病毒•明文傳遞•連線欺騙內部威脅•系統弱點•內部員工•管理不當•內部網路•協力廠商来自最近觀察到的狀況(1/3)舊的威脅與弱點仍然存在，且改善不多….2002年-2005年，仍有大部分政府及商業網站仍存在SQLInjection弱點。eg:駭客新手法資料隱碼入侵威脅九成官商網站(2002/04)建中學生入侵總統府網站(2003/04)駭客入侵大考中心過去三年逾百萬筆資料外流(2005/04)駭客入侵教師介聘網篡改教師積分(2005/06)大學生欠缺法律觀念當駭客遭刑事局法辦(2006/01)高二駭客以資料隱碼（SQLINJECTION）的手法侵入資料庫(2006/01)来自最近觀察到的狀況(2/3)駭客變成英雄…..媒體的渲染，卻忽略了事件背後的意義…用「少年駭客」、「天才」…等來形容駭客的行為，卻忽略了事件真正的重點－法治的觀念.廠商公開徵求…「進過偵九隊的」員工…「駭客變戰警助警抓駭客」(2005/07)時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事()来自最近觀察到的狀況(3/3)犯罪高科技化無線溢波洗錢案駭客利用「無線溢波」盜刷信用卡的犯罪集團，該集團以接收無線網路溢波的方式盜刷他人信用卡；然後利用線上付款網站、線上遊戲虛擬貨幣買賣「洗錢」。(2/14)網路詐騙盛行Phishing網路購物詐騙網路截標利用網路電話傳遞訊息兩岸三地犯罪集團利用網路電話聯繫、分工，避免警方查緝監聽。来自威脅/危機(1/6)11歷年Web應用程式資安事件統計資料來源：資策會，Web應用程式安全參考指引草案来自威脅/危機(2/6)竄改網頁(攻陷網站系統)微軟英國網站被駭客攻擊並且淪陷，將微軟主頁更改為一位孩子揮舞著沙烏地阿拉伯的國旗。（CNET-2007.7）“自由電子報被駭！首頁換成五星旗”(東森新聞-2007.6)隱私/資訊洩漏“利用銀行假網頁釣魚竊取兩萬多筆個資”(卡優新聞網-2007.07)“無名小站遇「駭」個資流入中國”（自由時報-2006.11）12来自威脅/危機(3/6)惡意網頁Google：的網站很危險〈瀏覽器潛在的魅影：網路惡意軟體之分析〉(TheGhostintheBrowser:AnalysisofWeb-basedMalware)歐洲逾萬網站遭駭(2007/06)駭客隨機挑選安全防護較不完整的網站為跳板，植入惡意連結程式，竊取個人機密資料及植入木馬程式做為跳板，藉以造成更大規模的感染。Sophos偵測，2007.6報告指出每天可以檢測出29700個惡意網站。其中有80%是合法網站，但遭到了駭客入侵，並植入惡意代碼。13110来自威脅/危機(4/6)大砲開講網站淪陷資料庫國內網站淪陷列表14来自威脅/危機(5/6)網站架構傳統的保護方法15来自威脅/危機(6/6)趨勢：從ServerSide的攻擊到ClientSide的攻擊。攻擊使用者端，以竊取資訊或控制zombie電腦WebbasedMalicious激增Webpage+Malicioussoftware(Malware)隱私資訊/個人資料外洩部落格、會員資料、暱稱、消費資訊…etc.,逐漸從技術問題演變成為社會問題網路詐騙、釣魚網路上的個人資訊-個人生活模式16来自分析這些現象…人人都知道資安很重要，但卻不知如何做。所以舊的威脅依然存在。錯誤的觀念，將駭客拱成英雄。犯罪者利用來進行犯罪行為。駭客攻擊轉向有目的的行為竊取機敏資料要資料也要錢来自未來資安趨勢駭客攻擊的手法趨於多樣化及混和型的攻擊。木馬程式成為洩漏機敏資料的首因。駭客攻擊目標轉向金融機構、企業內部的個人電腦及利用寬頻上網的家用電腦。攻擊後，資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。無線網路與網路基礎建設成為下一波攻擊標的。来自資訊安全責任等級分級資安專業訓練每年至少(1,4,8,2hrs)自我檢視推動ISMS觀念宣導防火牆、防毒強度等級1D級資安專業訓練每年至少(2,6,12,4hrs)自我檢視各單位自行成立推動小組規劃作業IDS、防火牆、防毒強度等級2C級96年資安專業鑑定一張每年至少(4,6,16,4hrs)每年至少執行一次內稽97年通過第三者認證SOC(Optional)、IDS、防火牆防毒強度等級3B級96年資安專業鑑定二張每年至少(4,6,18,4hrs)每年至少執行二次內稽96年通過第三者認證NSOC直接防護/自建SOC、IDS、防火牆、防毒強度等級4A級專業證照資安教育訓練(主官、主管、技術、一般)稽核方式ISMS推動作業防護縱深防禦機制強度資料來源：政府機關(構)資訊安全責任等級分級作業施行計畫来自級重要核心．教育政策主管機關（教育部）．教學醫院（台大醫院、成大醫院）3B級核心．102所公私立大學．12個TANet區網中心及25個縣/市網中心139C級重要．49所技術學院及15所專科學校．24個部屬館所88D級一般．503所高中職學校．3412所國中小3915資料來源：教育體系資通安全管理制度與驗證機制簡報，教育部電算中心楊正宏主任，96/10/25来自教育部所屬機關及各級公私立學校資通安全工作事項針對學校的資通安全通報應變處理訂出規範針對學校的資訊安全防護條件訂出規範電腦網路使用安全注意事項：網路安全管理：電腦系統安全管理：應用軟體(網站)安全管理：針對政府部門如何有效規範管理公務人員網際網路個人行為，提出人員網路安全管理之依據例如第12條，各機關需建立稽核管理制度，以避免漏洞產生。来自教育體系資安作業推動架構訂定規範及相關參考文件•組織運作•機制宣導•教育訓練•試作點建立訂定權責組織架構與任務訂定稽核程序與規範教育體系各單位落實規範稽核服務與驗證標章各級教師/學生認知推廣資料來源：教育體系資通安全管理制度與驗證機制簡報，教育部電算中心楊正宏主任，96/10/25来自教育體系資安推動架構規劃國家資通安全會報教育與推廣分組•教育訓練架構規劃•種子教師、專業人員培訓規劃•教育訓練教材擬定•資安概念宣導活動•資安網站、出版品規範與驗證分組•研擬並維護資安政策•擬定並維護各資安管理建置規範、認證標準、標準作業流程等文件•組成資安驗證服務團技術支援分組•資安事件通報窗口•資安事件處理中心教育部資通安全推動組織召集人：教育部次長副召集人：主任秘書執行秘書：電算中心主任指導資料來源；TANet連線學校資通安全管理規範計畫秘書處来自學術單位的資訊安全為什麼學校單位需要資訊安全學生學籍資料成績資訊學校單位所擁有的資訊特色非機密性具敏感性且涉及隱私及個人資料保護法相關規定國家資通安全政策標準CNS17800導入時間與成本過高，且KnowHow掌握在少數國外廠商。来自連線學校資通安全管理規範(1/4)參考規範以ISO27001:2005(E)、ISO17799:2005規範為主要參考依據，並考量各連線單位之規模及需求，進行內容之調整；並以行政院及所屬各機關資訊安全管理規範為主要的稽核點內容依據，配合各規範之條款，進行各項目之調整。来自連線學校資通安全管理規範(2/4)適用範圍本標準適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入ISMS規範範圍之部門)。依單位層級區分為二群。依業務分為「學術網路系統」與「行政資訊系統」。来自連線學校資通安全管理規範(3/4)第一群(大專以上)：本群適用單位以教育部電算中心、部屬館所、縣市網中心、公私立大專院校計中等為主。第二群(高中職)：本群適用單位以公私立高中職學校資訊管理單位(或因規模、資源因素轉至本群者)為主要對象。来自連線學校資通安全管理規範(4/4)ISMSISMS之建立ISMS之實施與操作ISMS之監控及審查ISMS之維持及改進控制項•資訊安全政策訂定與評估(A.5)•資訊安全組織(A.6)•資訊資產分類與管制(A.7)•人員安全管理與教育訓練(A.8)•實體與環境安全(A.9)•通訊與作業安全管理(A.10)•存取控制安全(A.11)•系統開發與維護之安全(A.12)•資訊安全事件之反應及處理(A.13)•業務永續運作管理(A.14)•相關法規與施行單位政策之符合性(A.15)来自