104年度台湾学术网路（私立大学校院）.doc

104年度臺灣學術網路(私立大學校院) 防範惡意電子郵件社交工程演練服務計畫 104年5月 目的 　　為提高教育體系各學校人員警覺性以降低社交工程攻擊風險，特訂定本計畫，舉辦相關資安教育訓練與宣導、規劃辦理演練服務作業，以強化人員資安意識並檢驗機關宣導社交工程 各私立大學校院。 演練說明 演練方式 區分為納入本部集中辦理演練或各單位自行辦理演練，各單位擇一種方式辦理演練。 2. 自行辦理演練者，亦請參照本部演練時程自行規劃辦理，將演練計畫函送本部備查。演練結束後，將演練結果於104年6月底前及104年9月底前再函送本部彙整辦理評量。 教育訓練 依103年6月23日行政院頒「國家資通安全通報應變作業綱要」辦理，各機關應按其資安等級，每年定期舉辦防範惡意電子郵件社交工程演練。 資安教育訓練應納入社交工程防制有關之認知宣導，並著重攻擊實例說明，各機關學校人員每年至少需接受1小時社交工程防制宣導講習。 宣導課程應分兩階段辦理： 第一階段（於演練作業辦理前）：各機關學校應針對單位所有行政人員，全面性實施教育訓練。 第二階段（於演練作業完成後）：針對開啟惡意郵件比例較高、點閱惡意郵件所附連結或檔案之人員再次進行教育訓練加強宣導，以強化其警覺性。 演練時程 1. 提報演練名單：如採納入本部集中辦理者，請於5月20日前提報至少1/2行政人員（如附件1），演練名單資料請上傳本部網路硬碟(網路硬碟系統操作說明如附件2)。 2. 各機關學校自行辦理宣導教育訓練：5月中旬前(全部行政人員)。 3. 本部進行第1次集中演練： 5月下旬及6月上旬。 4. 納入本部演練單位針對開啟惡意郵件或點閱惡意郵件附件內容人員，進行加強宣導：8 ~ 9月上旬。 5 本部進行第2次集中演練：9月。 社交工程郵件型態 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象，郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或word附檔。 當各單位收件人開啟郵件或點閱郵件所附連結或檔案時，即留下紀錄，俾利進行後續各單位惡意郵件開啟率及惡意連結(或檔案)點擊率之統計。 統計之主機位置為13，請各單位資安人員協助豁免該IP的可能的連線阻擋，以利統計。 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件的內容請參閱教育部本部104年4月份郵件樣版，請各單位資安人員協助暫時豁免內容相關主題的垃圾郵件過濾處理。 自行辦理演練者參照本部作法規劃社交工程郵件型態。 評量標準 各單位之惡意郵件開啟率及惡意連結(或檔案)點擊率計算方式如下： 惡意郵件開啟率： 開啟惡意郵件之人數 / 機關提報人數。 惡意連結(或檔案)點擊率： 點閱惡意郵件所附連結或檔案之人數 / 機關提報人數。 各單位之惡意郵件開啟率應低於10%以下；惡意連結(或檔案)點擊率應低於6%以下。 自行辦理演練者於演練結束後，將演練結果（範例如附件3,EXCEL檔）分別於104年6月底前及9月底前函送本部彙整辦理評量。 演練結果： 預定於7月及10月，由本部資訊及科技教育司彙整演練報告，陳報行政院資通安全辦公室，並選取成績優良單位及待改善單位。 演練成績優良單位，將依權責辦理相關人員敘獎事。 三、演練成績不佳單位，加強對同仁資安教育訓練。  附件1：受測人員電子郵件帳號列表 教育部104年度臺灣學術網路防範惡意電子郵件社交工程演練 機關名稱：　　　　　　　　　　 機關編制內行政人員（含約、聘僱、及技工友，不含工讀生）共　　員 編號 職稱 姓名 電子郵件帳號 備考 註： 資料請依格式上傳，未依格式製作致無法演練單位不予計分，表格不足使用請依格式製作。 為利演練計畫進行，本表格收集之資訊為各機關公務使用之公開郵件帳號及姓名，相關資料將在演練計畫完成後3個月內銷毀。 為例資料彙整便利，請使用Word檔(.doc / .docx) 或 Excel檔(.xls / .xlsx)。 附件2網路硬碟系統快速操作說明 登入方式 網址: 2/login.aspx?admin 輸入您的帳號與密碼 帳號:moeccsec，密碼為2013secmoecc。 如果有操作與使用方面的問題可打分機 7712-9090李紀緯 點選左上角的moeccsec資料夾 檔案命名原則： 104年度+學校名稱+社交工程演練名單+V+版本編號 使用瀏覽選擇自本機電腦找出要上傳的檔案，之後再上傳 上傳完成後選擇右上角的登出離開系統 附件3：自行辦理演練者演練結果表（範例） 電子郵件帳號 單位名稱 職稱 姓名 測試名稱 點選開啟時間 動作名稱 IP Address XYZ1@.tw XX科技大學 行政助理 洪XX 怠速罰單