政府機關網站資訊安全之檢討與加強措施蘇珠香-溪湖地政事務所.pptVIP

公務機密 政府機關網站資訊安全之檢討與加強措施◎ 蘇珠香 轉載清流月刊 溪湖地政事務所政風室輯印97.12 政府機關網站資訊安全之檢討與加強措施 壹、前言 　　行政院國家資通安全會報於九十一年八月發布警訊：中國大陸駭客自九十年十一月至九十一年七月間，透過電信業者之備用主機為跳板，入侵政府機關網站，竊取機密性資料。行政院因此下令各機關應重視資訊安全，與本案相關之部會主管應特別加強督導。 　　隨著網路技術與通訊科技不斷地推陳出新，無論是公營機關或私人企業，均有可能面臨資訊安全的衝擊，不僅是機關的正常運作、企業的永續經營受到影響，甚或國家的安全亦受到威脅。本案的發生不但發出警訊，更暴露資訊安全的漏洞與疏失，如何加強資訊安全工作，尤其是網路安全管理，為當前重要課題。 政府機關網站資訊安全之檢討與加強措施 貳、駭客入侵方式 　　本案發生後，刑事局偵九隊等單位緊急派員在被入侵之電腦內加灌防堵駭客程式，隔絕對外網路，以防範再度入侵。駭客入侵方式如下： 　一、駭客利用系統弱點（如微軟IIS）入侵備份主機系統，並在此主機內植入後門程式泝，建立入侵基地。 　二、駭客由此入侵基地利用所植入之後門程式，以密碼猜測的方法嘗試入侵所連接的客戶主機。 　三、一旦入侵成功即為客戶主機的合法使用者，甚或取得客戶主機系統管理者的讀取權限，即在客戶主機內蒐集讀取所需要的資料，並將之傳回入侵基地。 　四、入侵基地的後門程式將收集到的資料傳回駭客，並在攻擊基地清除入侵的痕跡與證據。 政府機關網站資訊安全之檢討與加強措施 參、檢討與加強防範措施 　一、相關被入侵之機關網站未確實依據「行政院及所屬各機關資訊安全管理要點」第柒章網路安全管理第二十二、二十三、二十四及二十六點之規定，對重要性、機密性資料嚴加管理，以致造成機密資料外洩。其次被入侵主機之測試帳號均甚簡單，例如通行碼 及密碼 多設成12345或原來設定的帳號（如webmaster、ftp、administrator、account、root、web、admin等）。駭客因此取得這些主機通行碼／密碼，顯然係管理者警覺性不足，而予入侵機會，應引以為鑑。前述相關要點如下： 　　「二十二、各機關利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研擬妥適的安全控管措施。 政府機關網站資訊安全之檢討與加強措施 二十三、各機關開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加 密、身分鑑別 、電子簽章 、防火牆 及安全漏洞偵測 等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 　　二十四、各機關與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與機關內部網路之資料傳輸與資源存取。 　　二十六、各機關利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公布。機關網站存有個人資料及檔案者，應加強安全保護措施，防止個人隱私資料遭不當或不法之竊取使用。」 政府機關網站資訊安全之檢討與加強措施 二、本案經檢討後建議加強以下防範措施： 　（一）全面檢討網路及系統安全性，針對漏洞追蹤改善： 　　1.立即協調資訊單位檢查所有服務主機，並依特性分別訂定安全等級。 　　2.建議視資訊系統建置情形指派管理人員，依安全等級定期記錄檢查。 　（二）成立網路安全小組：訂定主機安全等級，加強資訊安全稽核。 　（三）資訊單位定期進行弱點掃瞄 　　1.至少每季或半年做一次通盤性弱點掃瞄 。 　　2.對較嚴重的特定弱點或病毒，則不定期依需要掃瞄。 政府機關網站資訊安全之檢討與加強措施 四）加強宣導一般人員對資訊安全的認知： 　　1.個人電腦應安裝防毒軟體。 　　2.不隨便開啟來路不明的E-Mail或下載來路不明的檔案。 　（五）提升系統管理人員資訊安全管理能力 　　1.主機建立系統稽核檔，避免被植入後門或木馬程式 。 　　2.即時更新作業系統及應用程式之修補程式。 　　3.注意網路上相關安全議題，及早防範。 　　4.按時分析系統紀錄檔。 　　5.加強系統管理者對主機系統紀錄（Log）之解讀能力。 政府機關網站資訊安全之檢討與加強措施 六）加強網路安全管理 　　1.採用防火牆保護。 　　2.隔離外部及內部網路，且避免攻擊者以間接方式入侵內部網路。 　　3.開放外界連線使用之資訊系統，儘可能以代理伺服器（Proxy Server）提供存取。 　（七）落實系統取存控制 　　1.系統存取權限應嚴格控管