資安演練與稽核
為協助各機關強化資通安全防護作為,行政院國家資通安全會報自90年起每年辦理資安外部稽核,就受稽核機關之稽核結果提出應改善事項,供其據以精進各項資安防護措施,並從各受稽核機關提出共同發現事項,作為持續精進各級公務機關資安防護作為之準據;另自102年起每年辦理網路攻防演練,協助機關發現及改善網站系統弱點,促使各機關更熟悉處理資安事件之通報及應變程序。於稽核及演練作業完成後,彙整執行成果及建議事項,透過資通安全長會議及全國巡迴說明會加強宣導,持續改善提升機關資安防護水準。
資通安全外部稽核
我國自90年起每年選定重要機關辦理資安外部稽核協助各機關強化資安防護工作,於資安稽核作業辦竣後,將稽核共同發現事項及改善建議,函請各機關據以檢討調整並納入資通安全維護計畫,另透過資通安全長會議或全國巡迴說明會加強宣導。
資安外部稽核作業分2階段進行,第1階段為技術檢測,分為8大項目,針對受稽機關之核心資通系統、使用者電腦及資料庫進行弱點檢測。
表1、稽核作業檢測項目
項次 | 檢測項目 | 檢測子項 |
---|---|---|
1 | 使用者電腦安全檢測 | 使用者電腦弱點掃描 |
使用者電腦安全防護檢測 | ||
2 | 物聯網設備檢測 | |
3 | 網域主機安全防護檢測 | 防毒軟體檢測 |
安全性更新檢測 | ||
惡意程式檢測 | ||
4 | 資料庫安全檢測 | |
5 | 核心資通系統安全檢測 | 核心資通系統內網滲透測試 |
核心資通系統防護基準檢測 | ||
6 | 網路架構檢測 | |
7 | 組態設定安全檢測 | 作業系統組態檢測 |
瀏覽器組態檢測 | ||
網通設備組態檢測 | ||
應用程式組態檢測 | ||
8 | 網路惡意活動檢視 | 惡意中繼站連線阻擋檢測 |
APT網路流量檢測 |
第2階段為實地稽核,由行政院國家資通安全會報組成稽核小組,至受稽機關進行實地訪視及審查,實地稽核分策略面、管理面及技術面等3個構面,共9個稽核項目。
表2、實地稽核構面及項目
構面 | 稽核項目 |
---|---|
策略面 | 一、核心業務及其重要性 |
二、資通安全政策及推動組織 | |
三、專責人力及經費配置 | |
管理面 | 四、資訊及資通系統盤點及風險評估 |
五、資通系統或服務委外辦理之管理措施 | |
六、資通安全維護計畫與實施情形之持續精進及績效管理機制 | |
技術面 | 七、資通安全防護及控制措施 |
八、資通系統發展及維護安全 | |
九、資通安全事件通報應變及情資評估因應 |
本署持續落實資通安全管理法規定,對公務機關實施資安稽核,協助機關及早發現風險避免可能危害;另本署仍持續按資通安全管理法分層監督管理機制,強化上級機關對所屬機關之第二方稽核能量,協助上級機關對其所屬或監督機關落實資通安全管理法遵事項,維護國家整體資通安全發展環境。
網路攻防演練
為提升我政府機關資安防禦及應變能力,我國自102年起每年辦理網路攻防演練,採電子郵件社交工程演練及實兵演練方式進行,電子郵件社交工程演練模擬駭客實際攻擊手法,寄送仿真的社交工程郵件及手機簡訊,檢視受測對象之警覺性;資通系統實兵演練,納入開放網頁軟體安全計畫(OWASP)所公布最新版本之10大資安弱點及10大物聯網資安弱點進行測試,發現網站系統弱點,並結合資通安全事件通報流程,提升機關資安防護水準及資安人員意識。
行政院國家資通安全會報自108年每2年辦理1次跨國網路攻防演練(Cyber Offensive and Defensive Exercise,CODE),該演練有別於過去以情境演練,採實兵演練方式辦理,邀請國內外政府機關資安專家,與我國專家組成之防禦隊伍共同進行技術工防,提升彼此資安專業技術與應變能力。