您的瀏覽器不支援JavaScript功能,若部份網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
友善列印 :
請利用鍵盤按住Ctrl + P開啟列印功能
字級設定 :
IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,
而IE7或Firefox瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。
跳到主要內容區塊

資安月報

:::
資通安全網路月報(109年6月)

日期:109-07-16
資料來源:資通安全處

<近期政策重點>

一、資通安全管理法及其6項子法自於108年1月1日起施行迄今,為完善法規實務運作,行政院資通安全處(以下簡稱本院資安處)已於本(109)年6月19日函請各機關於同年7月24日前,回復所屬、所監督及所管資通安全管理法納管對象之修正建議,後續本院資安處將據以研修上述法規,並邀集公協會、業者及政府機關召開相關說明會

二、為打造堅韌安全之智慧國家,本院資安處刻正研擬「國家資通安全發展方案(110年至113年)」,並規劃自本年下半年起密集邀請產官學研各界進行研商


<整體威脅趨勢>

事前聯防監控

本月政府領域資安聯防監控回傳之資安監控情資共42,201件監控事件單,近一年資安監控情資統計詳見圖1。本月資安監控情資之威脅種類前3名分別為入侵攻擊類(42%)、掃描刺探類(35%)及惡意程式類(11%)

資安聯防監控資安監控情資統計

圖1 資安聯防監控資安監控情資統計

事中通報應變

本月資安事件通報數量共109件,近一年資安事件通報統計詳見圖2。本月通報數量較上月增加,主要係因地方政府之數位監視器設備主機(DVR)未修改預設密碼,而遭入侵導致,占通報數量的31.78%

資安事件通報統計

圖2 資安事件通報統計

事後資訊分享

某資安責任等級B級機關於本年6月接獲外部情資,表示該機關曾連線至惡意中繼站。經後續調查發現,該機關之系統開發/維護廠商遭入侵,駭客盜用廠商遠端登入之系統帳號密碼入侵機關,同時篡改受害主機防毒路由設定以植入惡意程式,其中並包含具備鍵盤側錄功能的惡意程式,所幸機關擴大調查相關系統日誌紀錄後,確認未有其他資訊設備遭駭。

足資借鏡:
一、機關應不定期稽核遠端存取控管帳號登入情況。
二、落實委外管理(含契約中懲處規定)及稽核。


<國內外重點資安新聞>
一、美國政府裁定中國華為技術及中興通訊對國家安全構成威脅

美國聯邦傳播委員會(FCC)於本年6月30日正式裁定,將中國華為技術與中興通訊列為該國國家安全威脅,禁止使用政府資金向這兩家中企採購;其意味FCC每年83億美元之通用服務基金(Universal Service Fund)不能用於購買、獲取、維護、改進、修正或以其他方式使用華為或中興生產或提供的任何設備或服務。

資料來源:TechNews 科技新報
 

二、澳洲疑遭國家級駭客進行網路攻擊
澳洲總理於本年6月19日表示,該國近期持續遭受國家級駭客網路攻擊,攻擊範圍涉及各級政府機關、教育、醫療、關鍵基礎設施服務提供者及私人民間企業等,並建議各企業應立即強化網路安全防護措施(如將軟體版本更新、多重驗證機制等),以降低攻擊所造成之損害。

資料來源:ZDNetREUTERSBBC News
 

三、全美逾200所警局與情資整合中心之機敏資料外洩

自稱「透明團體」的激進組織DDoSecrets於本年6月中旬,對外釋出1份宣稱來自美國警局與情資整合中心之機敏資料,內容除包含各種執法報告、民眾姓名、銀行帳號及電話號碼等個人資訊;目前美國國家情資整合中心協會(NFCA)已證實上述機敏資料之真實性,並推測係由某承接多個政府機關委外案之網頁服務業者外洩。

資料來源:CyberScoopInfosecurity MagazineSecurity Boulevard


<資安法專區>

一、資通安全維護計畫實施情形:

(一)截至本年6月30日止,各機關提報之108年資通安全維護計畫實施情形中,機關未完成率較高之項目為主要稽核、專職(責)人員及資通安全推動小組等3類(如下)。

1.稽核:資通安全維護計畫之持續精進及績效管理(內稽作業部分)、資通安全維護計畫實施情形之稽核機制及對所屬/所監督/所管機關(構)訂定稽核計畫

2.資安人員:專職(責)人員配置

3.推動小組:資通安全推動小組成立。

(二)改善建議:

1.稽核:機關應每年執行內部稽核作業,檢視資安法規遵循及相關規範要求之落實情形,另,對於所屬機關應事先擬定整體稽核計畫(包含受稽機關之稽核週期、挑選原則、成員規劃及後續追蹤機制等),並據以執行。

2.資安人員:應依法遵要求,依機關資安責任等級儘速配置資安專責(職)人力,如暫以約聘僱或委外人員擔任,至本法施行2年後,應以正式人員配置。下表為截至本年6月30日止,各資安責任等級機關之資安專職人力人數達成率。

資通安全責任等級

機關專職人數達成率

A級(4人)

62.79%

B級(2人)

60.08%

>C級(1人)

53.85%

3.資通安全推動小組:機關皆應設置或參與上級機關資通安全推動小組,由資通安全長召集各業務部門主管/副主管以上之人員代表成立資通安全推動小組,並每年定期召開小組會議。

二、導入政府機關資安弱點通報機制(Vulnerability Alert and Notification System,VANS)作業:

    因資訊資產存在弱點未修補,導致資安事件發生之情形層出不窮,為協助機關落實資安法所定資訊資產盤點及風險評估作業,本院資安處已規劃協助機關導入介接VANS機制,協助機關掌握其資訊資產弱點存在情形,俾加以修補或防護。

    VANS機制係提供資訊資產弱點比對功能,機關上傳所擁有之資訊資產項目及種類,即可即時掌握目前資安弱點分布情形。本年度將協助資通安全責任等級列A級及B級機關啟動導入,規劃於110年輔導A級機關、111年輔導B級及C級機關完成全機關導入。


<近期重要資安會議及活動>

一、本年6月29日召開「109年國家資安資訊分享與分析中心(N-ISAC)全體會員會議」,本次會議除說明N-ISAC執行情形、資安聯防監控中心(N-SOC)推動事項及民間資安防護協處概況外,同時亦請趨勢科技、微軟、安碁、法務部調查局及經濟部就近期勒索病毒案件之資安威脅趨勢及應處進行交流。

二、本院資安處規劃於本年8月7日假台大醫院國際會議中心201室召開「109年中央及地方政府資通安全長及資訊主管會議」,期透過與中央及地方政府機關資通安全長及資訊主管交流機會,同步資通安全防護發展之目標及行動。

三、iThome規劃本年8月11至12日於南港展覽二館舉辦2020資安大會,議程安排「資安政策,有你一咖」,將由本院資安處將說明「資通安全管理法實施現況與檢討」、「下階段國家資通安全發展藍圖規劃」及「資安卓越產業發展方案規劃」等內容。


<資通安全長及資訊主管異動情形>

一、資通安全長異動情形:

(一)行政院資通安全長自本年6月19日起,原由陳副院長其邁兼任,改派為沈副院長榮津兼任,同時亦兼任本院國家資通安全會報召集人。

(二)交通部資通安全長自本年6月5日起,原由王政務次長國才兼任,改派為陳政務次長彥伯兼任。

(三)教育部資通安全長自本年6月12日起,原由范(前)政務次長巽綠兼任,改派為劉政務次長孟奇兼任。

(四)金融監督管理委員會資通安全長自本年6月15日起,原由黃(前)副主任委員天牧兼任,改派為邱副主任委員淑貞兼任。

二、資訊主管異動情形:澎湖縣政府行政處處長自本年6月22日起,原為洪處長棟霖,現由陳處長其育擔任。

:::
通訊地址:100009臺北市中正區忠孝東路1段1號 地圖 | 總機電話:(02)3356-6500  通過A無障礙網頁檢測 更新日期:107-09-20
回到置頂 回到置頂