Download
1 / 32
320 likes | 382 Vues
資安事件通報與應變. 基隆市教育網路中心 講師:王言俊. 學術單位資安等級分類. A 級單位 ( 重要核心 ) : 1. 負責教育政策審定單位 ,如:教育部。 2. 凡涉及各相關部會委託研究具國家安全機 密性或敏感性之數位資料之執行單位。如: 國科會。 3. 教學醫院。. B 級單位 ( 核心單位 ) : 1. 凡涉及社會秩序運作及民眾隱私等機敏系統 之學研機構。 2. 各大學(含科技大學)。 3. 台灣學術網路各區域網路中心暨各縣市 教育網路中心。 C 級單位 ( 重要單位 ) : 各技術學院及專科學校。
E N D
資安事件通報與應變 基隆市教育網路中心 講師:王言俊
學術單位資安等級分類 • A級單位(重要核心): 1.負責教育政策審定單位,如:教育部。 2.凡涉及各相關部會委託研究具國家安全機 密性或敏感性之數位資料之執行單位。如: 國科會。 3.教學醫院。
B級單位(核心單位): 1.凡涉及社會秩序運作及民眾隱私等機敏系統 之學研機構。 2.各大學(含科技大學)。 3.台灣學術網路各區域網路中心暨各縣市 教育網路中心。 • C級單位(重要單位): 各技術學院及專科學校。 • D級單位(一般單位): 各高中職(含)以下學校。
學術單位資安事件等級分類 • 四級事件: 1.國家機密資料遭洩漏。 2.國家重要資訊基礎建設系統或資料遭竄改。 3.國家重要資訊基礎建設運作遭影響或系統停頓,無法 於可容忍中斷時間內回復正常運作。 • 三級事件: 1.密級或敏感公務資料遭洩漏。 2.核心業務系統或資料遭嚴重竄改。 3.核心業務運作遭影響或系統停頓,無法於可容忍中斷 時間內回復正常運作。
例1:某國中教務處註冊組長的電腦遭竊,內含學生個 資等機敏資料,因涉及個資法,符合三級事件的1. 例2:某高職因停水空調水塔缺水,使得機房溫度升高, 造成伺服器及網路設備當機,對外網路中斷。符 合三級事件的3. • 二級事件: 1.非屬密級或敏感之核心業務資料遭洩漏。 2.核心業務系統或資料遭輕微竄改。 3.核心業務運作遭影響或系統效率降低,於可容忍中斷時 間內回復正常運作。 例1:某國中網站的公告系統資料庫疑似遭SQL Injection 置入Javascript字串,導致系統無法正常登入,調用 備份之資料,還原資料表,僅影響數筆資料。修改公 告系統的程式碼與資料庫後解決此問題。符合二級事 件中的2.與3.
例2:某國小網站疑似遭駭客入侵置入惡意程式,致使網例2:某國小網站疑似遭駭客入侵置入惡意程式,致使網 站被迫暫時關閉修補漏洞。符合二級事件中的3. • 一級事件: 1.非核心業務資料遭洩漏。 2.非核心業務系統或資料遭竄改。 3.非核心業務運作遭影響或短暫停頓。 例1:某國小專任辦公室公用電腦發現受BotNet感染濫發 垃圾郵件,經掃毒軟體掃描後已清除BotNet。符合 一級事件中的2. 例2:某國中校護用的電腦一旦連上網路就慢到不行,經 防毒軟體檢測亦無改善,重新安裝作業系統並將資 料備份回去後就一切正常。符合一級事件的1.2.3.
註一:一般主管指的是校長、各處室主任。 資訊人員與資安人員在中小學是重疊的,所以訓練時數取最大值8小時。 一般使用者即一般教職員。
通報應變流程說明 • 依來源區分 - 告知通報(來自A-soc、Abuse、ICST、NTU-soc、Mini-soc、 NCKU、NTHU…的告知) - 自行通報(自行發現) • 依處理方式區分 - 通報應變同時處理 - 通報應變分開處理 • 依資安事件等級區分 -一、二級資安事件(輕微) - 三、四級資安事件(嚴重)
資安事件通報處理時效 • 無論級別,通報時限均為1個小時內。 • 處理時間: ■一、二級資安事件為72小時內完成。 事件單成立一個小時,後每12個小時會寄通 知信,逾時(72小時)每12個小時寄逾時通知。 ■三、四級資安件為36小時內完成。 事件單成立一個小時,後每12個小時會寄通 知信,逾時(36小時)每12個小時寄逾時通知。
通報應變同時處理流程(一、二級) • SMS簡訊 • 區縣市網人員 • 資安通報應變小組 • 教育部相關人員
通報應變分開處理流程(一、二級) • SMS簡訊 • 區縣市網人員 • 資安通報應變小組 • 教育部相關人員 • SMS簡訊 • 區縣市網人員
資安事件簡訊告知 Tanet Cert在確認收到資安事件告知後,除了Email外,還會發送簡訊到學校及市網中心資安聯絡人的手機裡。收到簡訊毋須回復。
資安事件通報網站 • 教育機構資安通報平台網站 https://info.cert.tanet.edu.tw OID碼如:2.16.886.101.90001.20002.20071.20001
如果忘記當初設定的密碼為何,點擊「忘該密碼」,Cert系統會自動將重設後的密碼發送至當初指定的信箱內。如果忘記當初設定的密碼為何,點擊「忘該密碼」,Cert系統會自動將重設後的密碼發送至當初指定的信箱內。 如果連當初指定的信箱都不知道,請電洽或Email 詢問。
Tanet Cert登入後的畫面,如果有新進資安告知,會在上圖綠色框線處顯示。 上圖紅色框線處即機關名稱和單位資安聯絡人基本資料,如果有異動請點擊「修改個人資料」進行修改。
為避免發生資安事件時聯絡不到負責人,建議最少要留下兩位聯絡人。為避免發生資安事件時聯絡不到負責人,建議最少要留下兩位聯絡人。 密碼要8碼(含)以上,文數字混合,其中必需包含大寫的英文字母。 切記,每次修改完資料均要變更密碼。
自行通報表單填寫 依序輸入如圖所示的各項次。 如果不知道或是沒有就填寫「無」(例如:IPS/IDS) 或填寫系統內建(如Windows作業系統內建的防火牆。 210.240.35.202 Asus EeePC WinXP SP3 Avast 10.3.2.1 Windows Defender
事件分類只能在INT與DEF中任選一項。 一般來說,個人電腦發生的事件為INT,若是Server,則INT或DEF均有可能,若不幸兩者兼有,請選擇你覺得比較嚴重的一類。 一般PC遭BotNet入侵,對外發送垃 圾信,造成本校對外網路流量異常。 本校MRTG顯示某辦公室流量異常 經檢查係教務處幹事用的電腦遭 BotNet入侵,對外發送垃圾件。
依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現,毋須填寫。依據事件的機密性、完整性和可用性衝擊填寫。切記不可填0級。填寫完畢後資安事件綜合評估等級會自行出現,毋須填寫。 是否需要支援,預設是「否」。如有需要請勾選「是」及期望的支援方式(電話告知或是Email告知) 1級:輕微資安事件 1. 本校對外網路流量異常。 2. 本校其它電腦可能也受BotNet感染。
1.重新安裝作業系統並安裝防毒軟體。 2.倒回備份的資料。 是否同時進行通報流程與應變流程。無論是否完成通報流程,應變流程均需填寫。
告知通報表單填寫 新進告知通知報圖例。點擊工單編號(數字)後會出現通報流程表單,表單分為兩大項,第一項是發生資安事件之機關聯絡資料(毋須填寫,會自動顯示;第二項是因外在因素產生資安事件時的通報事項(共七項)。
210.240.35.193 http://test.cccs.kl.edu.tw IBM Server X3200 FreeBSD 7.1 Perl 5.8.8 PacketFilter
對網站各項服務無明顯破壞。 經Tanet Cert告知本校Server遭入侵成為駭客中繼站。經查係該Server的Perl版本較舊,駭客利用其堆疊溢位漏洞進行攻擊,使該Server成為中繼站。 更新Perl版本後已無此一問題。
2級:一般資安事件 本校Server成為駭客中繼站,但該Server僅存放學校網頁,無個資外洩問題,故影響範圍不大,亦無損失。
建議通報流程與應變流程一起完成。 將Tanet Cert告知的駭客IP加入PacketFilter中。並將本Server的Apache停用,中斷port 80(駭客進入的port)通連。再利用portupgrade升級Perl 5.8.8至5.1x.x版,升級完畢後重啟作業系統。
查詢所屬單位的OID: http://oid.nat.gov.tw/ 點擊「組織與團體性識別碼OID查詢」 自行輸入關鍵字,如:基隆市。
資訊安全相關網站 • 台灣學術網路危機處理中心 http://cert.tanet.edu.tw • 行政院國家資通安全會報技術服務中心 http://www.icst.org.tw • 教育部資訊安全服務網 http://cissnet.edu.tw • 資安人- http://www.isecutech.com.tw • iThome - http://www.ithome.com.tw/ • 微軟資訊安全首頁 http://www.microsoft.com/taiwan/security/
