您的瀏覽器不支援JavaScript功能,若部份網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
友善列印 :
請利用鍵盤按住Ctrl + P開啟列印功能
字級設定 :
IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,
而IE7或Firefox瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。
跳到主要內容區塊

資安月報

:::
資通安全網路月報(109年10月)

日期:109-11-13
資料來源:資通安全處

<近期政策重點>

    本院資安處於109年3月上旬調查7,292個公務機關有無使用或採購中國大陸廠牌資通訊設備(以下簡稱大陸設備),並將調查結果函送立法院,經統計分析各公務機關使用大陸設備之用途,主要可概分為智慧型手機、影像攝錄設備、無人機及網通設備等4類。為降低資安風險疑慮,請各上級機關督促其所屬儘速汰換;另未達使用期限者,亦應儘速訂定汰換期程,在未汰換之前,應列冊管理,並禁止與公務網路環境介接,對於影像攝錄設備及無人機並應關閉對外連網功能。

    另,本院資安處自109年起業已將前揭使用大陸設備之機關將優先納為稽核重點對象,並檢視其設備汰除及管理情形,請各中央及地方上級稽核機關應依資通安全管理法規定將所屬機關使用大陸設備情形納為稽核重點。

<整體威脅趨勢>

事前聯防監控

    本月政府領域資安聯防監控回傳之資安監控情資共86,880件資安監控單,近一年資安監控情資統計詳見圖1。本月資安監控情資之威脅種類前3名分別為政策規則類(31%)、尚需調查類(26%)及掃描刺探類(22%)。

圖1 資安聯防監控資安監控情資統計

事中通報應變

    本月資安事件通報數量共73件,近一年資安事件通報統計詳見圖2。經統計分析上述資安事件通報及應處逾時情形,事發機關通報逾時占總通報數量的31.51%、事發機關應變處置逾時占總通報數量的21.92%、事發機關結報均無逾時情形,審核機關審核逾時占總通報數量的4.11%,有各項逾時情形者合計26個機關,後續本院資安處將以電子郵件通知渠等機關據以檢討改善。

圖2 資安事件通報統計

事後資訊分享

    某資安責任等級A級機關之網站遭植入後門,經相關調查發現,該網站以開放原始碼Apache Axis進行開發,因Apache Axis預設具備管理頁面,可上傳檔案或是上版更新,預設登入帳號密碼亦屬弱密碼(admin/admin123),由於該機關疏於確認Apache Axis預設之管理頁面,以致遭駭客利用上傳網頁後門。

足資借鏡:各機關於使用開放原始碼軟體時,若非必要使用之功能,應將其移除或關閉,並注意相關資安漏洞修補,以降低資安風險。

<國內外重點資安新聞>

一、瑞典政府要求5G頻譜競標業者不得使用華為及中興設備

    瑞典郵政及電信總局(PTS)於10月20日要求參與該國5G頻譜競標業者禁止使用華為及中興設備,並於114年1月1日前應完全除去華為及中興的相關設備。

(資料來源:iThomeINSIDE)

二、本院國土安全辦公室於10月底起舉行11場兵棋推演,並納入網路攻防演練

    為強化政府關鍵基礎設施的安全維護,本院國土安全辦公室於10月底起進行11場兵棋推演(包含4場指定演練及7場訪評演練),演練對象包含模擬桃園機場受到攻擊時的緊急應變措施,另外,車站、大型教學醫院、水庫等也都將進行模擬演練,其內容包括天然災害、人為災害和網路攻擊等項。

(資料來源:中央通訊社蘋果日報自由時報)

三、美國FDA批准醫療設備漏洞評分系統

    鑒於現有通用漏洞評分系統(CVSS)主要用於評估企業資訊科技系統之安全性,無法充分反映臨床環境與潛在影響患者之嚴重性,美國食品暨藥物管理局(FDA)委託MITRE Corporation開發專為醫療設備設計之新漏洞評分系統,將現有之CVSS應用於醫療設備,並以漏洞對患者之影響程度為主要評估考量。

(資料來源:MITRESecurityWeekSC Media)

<近期重要資安會議及活動>

一、國家資通安全發展方案(110年至113年)座談會:

    為確保我國能因應全球資安威脅風險與攻擊態勢,本院資安處規劃於109年11月4日至11月25日辦理7個場次之國家資通安全發展方案(110年至113年)座談會,透過與產業界、學研界及全國各機關共同交流,以宏觀的視野訂定符合資安即國安戰略目標之資安發展藍圖,期打造我國成為堅韌安全之智慧國家。

二、資通安全管理法修法說明會:

   為利各機關更妥適執行資安法相關法遵事項,本院資安處綜整近期國際威脅趨勢及各納管機關執行情形,研擬法規調修內容,於109年11月9日至11月30日辦理北部、中部、南部及東部5場說明會,就資安法目前施行情形及整體修法重點作說明;目前除花蓮場外皆已額滿,為因應機關參與需求,規劃於12月加開北中南部場次,加開情形將於近期函知各機關。

三、109年第2次政府資通安全防護巡迴研討會:

    為宣導最新資安防護重點與訊息,協助各機關提升資通安全管理與技術認知,本院資安處規劃於109年12月3日至12月10日分別於北部、中部、南部及東部辦理計6場研討會,就資安威脅趨勢與案例、第六期國家資通安全發展方案及109年網路攻防演練暨資安檢測重要發現等項重點說明,請各機關踴躍報名參與。(報名網址:https://register.nccst.nat.gov.tw/)

<資通安全長及資訊主管異動情形>

資訊主管異動情形:

一、行政院主計總處主計資訊處處長自本年10月5日起,原為潘處長城武,現由尹處長慧珍擔任。

二、國家發展委員會資訊管理處自本年10月20日起,原為高副主任委員仙桂綜理,現由謝翠娟擔任處長。

:::
通訊地址:100009臺北市中正區忠孝東路1段1號 地圖 | 總機電話:(02)3356-6500  通過A無障礙網頁檢測 更新日期:107-09-20
回到置頂 回到置頂