资通安全处理小组演练剧本.docVIP

附件二 資通安全處理小組演練劇本 判定參考案例1（電腦中毒或被植入間諜軟體） 情境 A 機關接獲技術服務中心入侵事件警訊，發現內部一名員工電腦中毒，對外進行攻擊行為。此電腦為平時該員工處理一般性業務使用，並無存放機敏性公務資料。A 機關資訊人員，針對受駭電腦進行解毒程序處理，原電腦的使用者則使用備用電腦繼續辦公。A機關資訊人員依通報應變作業規定登入通報應變網站進行通報作業。 解 析 機密性：因此次電腦中毒未造成資料外洩情形，選擇「無需通報」。 完整性： 此電腦為一般性業務使用，但其系統已遭變更竄改，故選擇「1 級」。 可用性： 因此次電腦中毒並無影響平常工作業務，故選擇「無需通報」。 綜合評估 因第二項目為「1 級事件」，第一、三項目為「無需通報」，故綜合評估此資安事件為「1 級事件」。 判定參考案例2（電腦中毒或被植入間諜軟體） 情境 B 機關有100 台電腦中毒，其中有5 台電腦存有核心業務資料。這種病毒僅會將電腦硬碟內資料刪除，估計共有100 台電腦資料遭刪除，核心業務因此也受到影響。透過解毒程序處理後，系統已於3 小時後完全恢復，遭病毒刪除資料亦已救回。 解析 機密性： 電腦存放資料雖遭刪除，但並未洩漏出去，故選擇「無需通報」。 完整性： 因電腦資料已遭刪除，且刪除資料為核心業務資料，經B 機關自行判斷後認定資料遭刪除情形屬輕微，故選擇「2 級」。 可用性： 因此次電腦中毒事件造成核心業務中斷3 小時，經通報單位自行判斷後，判定為在可容忍時間內恢復正常運作，故選擇「2 級」。 綜合評估 因第一項目為「無需通報」，但第二、三項目為「2 級」，故綜合評估此資安事件為「2 級事件」。 判定參考案例3（電腦中毒或被植入間諜軟體） 情境 C 機關有100 台電腦中毒，其中首長及其幕僚使用的電腦亦遭感染，檔案伺服器似乎也遭感染。部份員工及首長等人所使用之電腦中，有存放核心業務資料。經檢測病毒後研判為USB 隨身碟病毒，此病毒會感染USB 隨身碟，及其他插入受感染USB 隨身碟的電腦，並會將遭感染電腦的檔案，透過網路上傳至駭客電腦，因此評估至少已有多筆機敏資料遭竊取。透過解毒程序處理後，中毒系統已於2 小時後完全恢復。 解析 機密性：經查網路連線後，發現電腦存放資料已遭洩漏，其中包含敏感及密級公務資料，故選擇「3 級」。 完整性：因這種病毒僅對中毒電腦進行系統竄改，並無對公務資料進行竄改，且一般公務電腦應無運作核心業務，在此情形下，系統中毒時應選擇「1級」。但此情境中描述檔案伺服器亦遭感染中毒，由於伺服器通常會搭配運作核心業務，故判定此情形為核心業務系統遭病毒輕微竄改系統檔案，選擇「2 級」。綜合此兩點判斷，應將完整性所造成的衝擊影響選為「2 級」。 可用性：因電腦中毒後，共花費2 小時進行解毒程序，經通報單位自行判斷後，判定為在可容忍時間內恢復正常運作，故選擇「2 級」。 綜合評估 因第一項目為「3 級」，第二、三項目為「2 級」，故綜合評估此資安事件為「3 級事件」。 判定參考案例4（電腦中毒或被植入間諜軟體） 情境 D 機關有10 台電腦中毒，其中首長及其幕僚使用的電腦亦遭感染。經檢測病毒後研判為USB 隨身碟病毒，此病毒會感染USB 隨身碟，及其他插入受感染USB 隨身碟的電腦，並會將遭感染電腦的檔案，透過網路上傳至駭客電腦，因此評估至少已有多筆機敏資料遭竊取，其中甚致包含國家機敏資料。經重新安裝電腦系統後，始解除中毒情形，原電腦的使用者則使用備用電腦繼續辦公。 解析 機密性： 經查網路連線後，發現電腦存放資料已遭洩漏，其中包含國家機密資料，故選擇「4 級」。 完整性： 因這種病毒僅對中毒電腦進行系統竄改，並無對公務資料內容進行竄改，且一般公務電腦應無運作核心業務，在此情形下，系統中毒時應選擇「1級」。 可用性： 電腦中毒後，需等待電腦系統重新安裝，但因該單位有備用電腦可供使用，故選擇「無需通報」。 綜合評估 因第一項目為「4 級」，第二項目為「1 級」，第三項目為「無需通報」，故綜合評估此資安事件為「4 級事件」。 判定參考案例5（網頁遭置換或竄改） 情境 E 機關網站主機遭駭客入侵，並將網站首頁置換為惡意網頁，網站主機內有存放一般公務用資料，網站主機主要用途是放置單位形象網頁。E 機關人員一發現網站遭置換後，馬上將網站備份程式復原至網站主機，同時進行全面系統檢測。 解析 機密性： 由於網站主機遭入侵，一般公務資料可能已遭洩漏，故選擇「1 級」。 完整性： 網站主機首頁被置換為惡意網頁，且網站主機主要用途是放置單位形象網頁，並無用來執行或運作其他核心業務，故判定為非核心業務系統遭竄改，選擇「1 級」。 可用