智慧财产及资讯安全管理系统规范ppt.ppt

智慧財產及資訊安全管理系統規範 鍾沛原 成大資通安全研發中心 專任助理 .tw E-mail：chungpy@.tw TEL:(06)276-1204/FAX:(06)276-1221 Outline 資安現況與威脅 教育體系資通安全規範推動 國中小資通安全管理系統 個人的資安責任 中小學資訊安全管理系統(ISMS)之推動 結論 資安現況與威脅 安全重要？ 汽車的安全性是否重要？ 國人購買汽車的考慮因素： 價格 性能 省油 外觀 安全 安全不要？ 依WHO統計，每十萬人車禍死亡率上，台灣2005年即高達20.8人，相對高出美國14.6人與日本的7人。 86.5%台灣車主認為安全氣囊很重要，但歐美標配一台車6顆，台灣只有1.47顆。 安全真的很重要 資訊安全與實體安全同等重要，但忽略資訊安全，所造成的損失很可能會遠高於忽略實體安全的結果。 資源的投入≠完善的安全。 保護資訊的安全必須瞭解： What? Why? How? When? Where? 最近觀察到的狀況(1/3) 舊的威脅與弱點仍然存在，且改善不多…. 2002年-2005年，仍有大部分政府及商業網站仍存在SQL Injection弱點。 eg: 駭客新手法 資料隱碼入侵 威脅九成官商網站(2002/04) 建中學生入侵總統府網站(2003/04) 駭客入侵大考中心 過去三年逾百萬筆資料外流 (2005/04) 駭客入侵教師介聘網 篡改教師積分 (2005/06) 大學生欠缺法律觀念當駭客 遭刑事局法辦 (2006/01) 高二駭客以資料隱碼（SQL INJECTION）的手法侵入資料庫 (2006/01) 最近觀察到的狀況(2/3) 駭客變成英雄….. 媒體的渲染，卻忽略了事件背後的意義… 用「少年駭客」、「天才」…等來形容駭客的行為，卻忽略了事件真正的重點－法治的觀念. 廠商公開徵求…「進過偵九隊的」員工… 「駭客變戰警 助警抓駭客」 (2005/07) 時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事(/time/magazine/article/0,9171,1098961,00.html) 最近觀察到的狀況(3/3) 犯罪高科技化 無線溢波洗錢案 駭客利用「無線溢波」盜刷信用卡的犯罪集團，該集團以接收無線網路溢波的方式盜刷他人信用卡；然後利用線上付款網站、線上遊戲虛擬貨幣買賣「洗錢」 。(2/14) 網路詐騙盛行 Phishing 網路購物詐騙 網路截標 利用網路電話傳遞訊息 兩岸三地犯罪集團利用網路電話聯繫、分工，避免警方查緝監聽。 分析這些現象… 人人都知道資安很重要，但卻不知如何做。 所以舊的威脅依然存在。 錯誤的觀念，將駭客拱成英雄。 犯罪者利用來進行犯罪行為。 駭客攻擊轉向有目的的行為 竊取機敏資料 要資料也要錢 未來資安趨勢 駭客攻擊的手法趨於多樣化及混和型的攻擊。 木馬程式成為洩漏機敏資料的首因。 駭客攻擊目標轉向金融機構、企業內部的個人電腦及利用寬頻上網的家用電腦。 攻擊後，資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。 無線網路與網路基礎建設成為下一波攻擊標的。 教育體系資通安全規範推動 資訊安全責任等級分級 教育體系分級原則 教育部所屬機關及各級公私立學校資通安全工作事項 針對學校的資通安全通報應變處理訂出規範 針對學校的資訊安全防護條件訂出規範 電腦網路使用安全注意事項： 網路安全管理： 電腦系統安全管理： 應用軟體(網站)安全管理： 針對政府部門如何有效規範管理公務人員網際網路個人行為，提出人員網路安全管理之依據 例如第12條，各機關需建立稽核管理制度，以避免漏洞產生。 教育體系資安作業推動架構 教育體系資安推動架構規劃 學術單位的資訊安全 為什麼學校單位需要資訊安全 學生學籍資料 成績資訊 學校單位所擁有的資訊特色 非機密性 具敏感性且涉及隱私及個人資料保護法相關規定 國家資通安全政策標準 CNS17800 導入時間與成本過高，且 Know How 掌握在少數國外廠商。 TANet連線學校資通安全管理規範(1/4) 參考規範 以ISO 27001:2005(E)、ISO 17799:2005規範為主要參考依據，並考量各連線單位之規模及需求，進行內容之調整；並以行政院及所屬各機關資訊安全管理規範為主要的稽核點內容依據，配合各規範之條款，進行各項目之調整。 TANet連線學校資通安全管理規範(2/4) 適用範圍 本標準適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入ISMS規範範圍之部門)。 依單位層級區分為二群。 依業務分為「學術網路系統」與「行政資訊系統」 。 TANet連線學校資通安全管理規範(3/4) 第一