2004年資安問題總覽
DESCRIPTION
2004年資安問題總覽政府和政黨網站被駭TRANSCRIPT
2004 年台灣網路安全現況
台灣的資訊安全問題與隱憂政府機關與黨政機構被攻擊的情況日益嚴重
財政部賦稅署 (7/20 04:00) 國防部軍事新聞通訊社 (7/19 20:00) 民進黨中央黨部 (6/22) 行政院某某局 (5/31) 國民黨中央黨部 (5/8)
台灣的資訊安全問題與隱憂資安自覺不夠網路安全部署只做了一半網路架構一團混亂無線網路的危機
新聞事件分析 單位 : 國防部軍事新聞通訊社 時間 : 93.7.19 20:00 安全問題發生點 : SQL Injection
國防部軍事新聞通訊社被入侵
新聞事件分析 單位 : 財政部賦稅署 時間 : 93.7.20 04:00 安全問題發生點 : SQL Injection
財政部賦稅署被入侵
財政部賦稅署網頁依舊有漏洞
新聞事件分析 單位 : 民進黨中央黨部 時間 : 93.6.22 安全問題發生點 : SQL Injection
民進黨中央黨部被入侵
民進黨中央黨部被入侵
2004 國慶大戰 時間點
兩岸國慶 (10/1, 10/10) 人馬
大陸華夏駭客 L2y 台灣 Zuso 駭客 ik
行為 華夏駭客在 9/28—9/30, 陸續換掉台灣各大縣市政府網站 Zuso 駭客在 10/1 號一口氣換掉大陸 8 大網站懲戒大陸駭客
大陸 10/1 被換網頁站台 http://www.yqcqtax.gov.cn/ 山西省楊泉市國家稅務局 http://www.gysfj.gov.cn/ 安徽省捐楊縣司法局 http://www.ya.gov.cn/ 福建省永安市 http://www.whcg.gov.cn/ 伍漢城管 http://www.12369.gov.cn/ 中國環保熱線 http://www.yzjd.sztb.gov.cn/ 深峻市交通局 http://www.shnhgh.gov.cn/ 上海南匯規劃局 http://www.sdny.gov.cn/ 山東省農業信息網
台灣縣市政府網站問題點 大多已購買資安設備 大多已作過系統安全修補 問題點
SQL Injection 問題 防治方式
弱點掃描服務 滲透測試服務 程式碼檢驗服務
刑法部分條文修正草案(電腦網路犯罪部分 )
刑法部分條文修正草案(電腦網路犯罪部分 ) 刑法部分條文修正草案有關電腦網路犯罪部分之修正,於九十二年六月三日經立法院三讀通過 本次修正係為因應電腦與寬頻網路快速普及後,新型態電腦犯罪案例層出不窮,現行刑法已無法有效規範新型態之電腦網路犯罪
刑法部分條文修正草案(電腦網路犯罪部分 ) 修正重點
(一)刪除現行刑法中將電磁紀錄擬制為動產之規定,另增訂保護電磁紀錄之條文,以使刑法理論更為周延; (二)增訂妨害電腦使用罪章,針對無故入侵電腦、無故取得刪除變更電磁紀錄、無故干擾他人電腦及製作專供電腦犯罪之程式等行為予以處罰,將電腦安全、電磁紀錄之支配及電腦運作效能等法益正式納入刑法保護; (三)為加強保護公務機關電腦,特別對入侵或干擾公務機關電腦等行為加重處罰; (四)部分條文採告訴乃論之設計,以紓解訟源。
刑法部分條文修正草案(電腦網路犯罪部分 ) 案例
建中學生入侵總統府網站案 修正前法律 無法可管 修正後法律 干擾公務機關 , 無故變更電磁紀錄等
案例 車諾比電腦病毒案 (陳盈豪 CIH 案 ) 修正前法律 現行法為告訴乃論,卻無人願意提出告訴 修正後法律 製作專供電腦犯罪之程式
資訊安全相關證照介紹
BS7799 BS7799( 國際資訊安全稽核規範 )
全名是 BS7799 Code of Practice for Information Security ,
由英國標準協會 British Standards Institution 在 1995 年提出、修訂,為目前國際上最知名的安全規範, 被 ISO (International Organization for Standardization) 接納成為國際標準。 (ISO 17799, CNS17800) 包含了所有企業安全政策,從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。
CISSP 國際資訊安全管理師,為全球資訊界公認之權威性專業證照。涵蓋的範圍
資訊安全管理實務 資訊安全系統架構及模式 法令、調查及道德守則 操作安全、密碼學、實體安全 應用系統發展安全 企業備援計劃 資料存取控制系統及方法 資料通訊
CERT/CC CERT/CC(緊急應變專業證照 )
CERT/CC 位於美國賓州匹茲堡卡內基美隆大學的軟體工程研究所 內。 該中心成立於 1988 年,提供專業技術建議並協調整合資安問題之回應;辨識入侵活動的發展;與包
含 AusCERT 在內之資安專家共同合作,針對資安問題提出解決之道;以及將資訊發佈至廣大的社群。 CERT/CC同時也分析產品最易受攻擊的弱點,發表技術文件資料與進行教育訓練課程。
CISA美國資訊系統稽核師
由美國資訊系統稽核與控制協會 (Information Systems Audit and Control Association, ISACA)於 1978 年建立全球認可的資格認證。
CEH CEH( 駭客殺手證照 )
國際電子商務顧問局 (EC-Council) 規劃 包括不同層面的網路攻擊及防禦,對數十種駭客和預防工具作出深入介紹及應用。 目前亞洲地區最熱門的證照之一
資訊安全相關技術與產品介紹
資訊安全
技術層
資訊安全教育訓練Authentication / PKI / SSO
資訊安全標準
滲透測試
風險評估
事件反應報告分析
SSL
防火牆/ VPN/Anti-Virus
入侵偵測實體環境安全
管理層
決策層
頻寛管理
Physical
Data link
OS/Network
Transport
Application
Operation
Strategy
資訊保全
稽核及管理
資訊安全防護入侵者取得管理者權限外來使用者取得未經授權檔案的能力‘
外來使用者取得讀取未經授權檔案的能力
郵件炸彈攻擊阻斷攻擊
合法使用者有能力讀取未經授權的檔案
合法使用者有能力寫入未經授權的檔案
123456
外來使用者有能力未經授權登入系統
潛在入侵損害衝擊等級示意圖資料來源 CCIMB (2002) Characterization of Attack Potential, Version 0.5, CCIMB
資訊安全技術與產品 網路端考慮
防火牆 (Firewall) 網路型入侵偵測 (IDS) GateWay 型入侵防護 (IDP) 防毒Gateway (Anti-virus) VPN / 內容過濾
使用者終端考慮 個人防駭 (RDP) 個人防毒 (Personal Anti-
Virus) 個人資料加密 (SecureFile,
Token)
資安服務 弱點掃描服務 滲透測試服務 程式碼檢驗服務 網站協同監控服務 資安代管服務 資安預警服務 資安政策規劃服務
資訊重點網站 CA 駭客畫面 查詢真實IP