「TANet连线学校资通安全管理规范计画」.docVIP

「TANet連線學校資通安全管理規範計畫 摘要 資訊安全認知 資通安全管理規範(草案). 系統安全管理 網路安全 結論 一、摘要： 「TANet連線學校資通安全管理規範計畫」已於今(95)年3月份分別於台北、台南召開兩場規範說明會，簡介本計畫目前所制訂出 適用於TANet各連線學校ISMS系統的規範草案，為使各個學校相關負責人員能更深入瞭解規範草案制訂之實作，特規劃此系列教育訓練課程。 由於學校單位內業務各不相同，涵蓋對資安需求不同層級的各種校內人員，因此在教育訓練的課程規劃應區分為教師與學生 、行政人員、系所資訊人員、校務系統開發人員、資訊主管、校長與一級主管等不同層級的人員，以使各層級的校內人員瞭解其掌 管業務中的資安認知與知識技能。本次課程首先將針對與校務資訊系統最為相關的「系所資訊人員」與「校務系統開發人員」等技 術人員進行教育訓練，除內容講述外，配合實地演練或案例分析方式進行，以加深參加學員之學習印象。 未來擬根據「TANet連線學校資通安全管理規範」的實施與變動狀況，要求校內人員須定期接受教育訓練，尤其以系所資訊人員及 校務系統開發人員，以使其瞭解目前最新之TANet資安管理規範及其運作，並進行經驗分享，達到各校交流學習的目標。在參與訓練後，學員均可累計研習時數，以確保資安認知與各種知識技能的有效性。 二、 資訊安全認知 何謂資訊安全? 為了發揮資訊的最大價值，就必須有效的防止資訊遭竊取、竄改、毀損、滅失或遺漏，簡言之，就是確保資訊的： (機密性, 完整性, 可用性) 資訊安全三要素 1 Confidentiality 機密性: 保護資訊不被非法存取或揭露 2 Integrity 完整性: 確保資訊在任何階段沒有不適當的修改或損毀 3 Availability 可用性 : 經授權的使用者能適時的存取所需資訊 目前的系統安全技術 1 系統安全需要以全面的觀點來看，制度與管理、技術與工具、訓練(人)缺一不可。 有效的安全認知訓練 員工的安全認知，乃是大企業在推行資訊安全時最難執行，以及最不易了解成效的一部份。推動員工的安全認知，可以使員工了解資訊安全的重要性，主動配合安全規定，養成良好的工作習慣，以下列出三個重要關鍵： (1) 傳遞訊息：宣導員工安全常識之前，必須先決定宣導內容。過多繁複的內容將讓員工不易吸收，然而過於片段的資訊則會不易讓同仁了解實際的目的，因此員工不會確實執行。因此在宣導之前，必須先確認宣導的目標，並使用簡明扼要，不拗口的字句說明，最好可以讓員工朗朗上口，效果更佳。 (2) 傳達機制：為了確保傳達的有效性，必須要引起員工的興趣與注意。常見的作法包含了透過寄給全公司的信件宣導，放在企業內部入口網站的首頁，在重要的出入口張貼宣傳海報等。此外，適當的辦理一些活動，例如舉行有獎徵答競賽、鼓勵員工參與資安口號設計等，均能有效的提高員工的注意力，進而增加他們對資安的認識程度。 (3) 效果評估：透過效果評估，可以了解所有的認知訓練活動成效。 ，成大計中試作後之文件如下 「國立成功大學計算機中心 資安規範參考文件格式」下載 ?? 駭客在入侵一個系統之後，也許以後還會再回去該主機做存取或作為入侵其他主機之跳板。不過，他們也擔心系統管理者發現入侵行為後，修正該項漏洞，使得他們無法重新登入該主機。因此，在他們入侵某主機後，很有可能就安置後門程式，讓自己可以在未來重新獲得存取的權限。 (9)阻絕服務: 駭客可能花了很多心思，都無法入侵目標系統，或者有其他商業或非商業的原因，使他們利用阻絕服務的程式，對目標系統發動阻絕服務攻擊。雖然攻擊結果不致於讓資料流失，但卻讓系統癱瘓或讓網路塞車，而造成該網路系統無法提供服務之目的。 避免系統弱點攻擊之方法如下,關掉不必要之網路服務確保系統設定檔之正確，及所使用之程式為最新或是修正過之版本。 (Windows Update：/)時常檢查日誌檔(Log Files)，觀察是否有不尋常之登錄或存取記錄。 阻絕服務的預防方法 對提供服務的網站而言，尚無有效預防方法（例如好幾百人同時來敲你家的門，除非你都不應門-除非網站不提供服務，否則難以避免騷擾） 消極的預防＆及早發現入侵架設防火牆，或安裝入侵偵測系統積極的預防-建立網路安全概念網路安全跟每台網路上的主機有關（即使駭客的最終目的不是你），若大部分人能做好弱點更正的動作，則攻擊者無法入侵多數機器，以達到利用受害者間接發送大量封包的動作 系統管理建議(cont.) 對於重要檔案定時或不定時備份於其他儲存機制上發現有駭客入侵事實時，將重要稽核檔案立即備份或即時列印，以防駭客竄改稽核記錄。 一旦發現駭客入侵，應立即諮詢有經驗的技術專家，對於入侵的手法進行確認與蒐證，以查核駭客的真實身份發現有入侵行為，應立即與TW-CERT或GS