跳到主要內容區塊

ntuccepaper2019

專題報導

教育體系資安檢核
  • 卷期:v0057
  • 出版日期:2021-06-20

作者:童鵬哲 / 臺灣大學計算機及資訊網路中心資訊網路組 / 計畫研究專員


資訊系統帶給現代人十分便利的生活,在TANet學術網路中,不僅使用資訊系統於校務行政上,更大量用於研究方面使用,讓伴隨而來的資訊安全相關風險大幅增加。透過導入相關資安作為與資安檢核,有效將人為設定因素,造成之資安風險降低,並持續進行滾動式調整,進而提升資安防護能量。

前言

資訊系統帶給現代人十分便利的生活,在TANet學術網路中,不僅使用資訊系統於校務行政上,更大量用於研究方面使用,讓伴隨而來的資訊安全相關風險大幅增加。近年來,資安事件日趨多元與複雜,資料外洩事故頻傳,使資安重要性與日俱增,如:逾14萬台網路攝影機發動史上最大近1Tbps流量之DDoS攻擊,國內則有icatch網路攝影機遭破解並利用於DDoS攻擊、駭客入侵一銀ATM、中油、醫院遭駭客勒索等資安事件。
有鑑於資安問題之重要性,行政院推動資通安全管理法,除明確規範公務機構應遵循之資訊安全法令外,更將民間關鍵基礎設施業者納入,並於107年6月6日由總統府公告資通安全管理法全文。而行政院也於同年11月21日頒布相關子法,包含資通安全管理法施行細則、資通安全責任等級分級辦法…等,並於同年12月05日函定自108年01月01日施行。

 

資安法與技術面管理

依據資通安全責任等級分級辦法,本校列為資通安全責任等級B級之公務機關,其中,資通安全責任等級分級辦法第11條規定之應辦事項,技術面需執行安全性檢測、核心資通安全系統、資通安全健診、資通安全威脅偵測管理機制、資通安全防護以及政府組態基準(GCB),可以參考下圖說明。

參考來源:教育體系資安檢核技術服務中心[1]

教育體系與學術網路環境,於民國99年開始便已建立有能遵循資安法規範之資安事件通報流程、SOC監控與情資交換體系,能協助學術網路環境抵禦外來攻擊與內部惡意連線,並透過資安事件通報流程,有效處理學術網路環境內之資安威脅。
然而,為了能更符合資安法對於教育體系的法遵要求,以及依據資通安全管理法第13條第1項與第17條第3項,主管機關得以檢核與監督所屬機關資通安全維護計畫之實施情形,若發現有缺失者,得要求限期改善。

 

教育體系資安檢核

        教育體系資安檢核與技服中心所推行的資安健診[2]相似,但不同的地方在於多了核心資通安全系統檢測與物聯網設備檢測。教育體系資安檢核目前包七大項目:使用者電腦安全、網路惡意活動、核心資通系統安全、網路架構、目錄伺服器安全、物聯網設備或組態設定安全。

a. 使用者電腦安全檢核:針對使用者電腦進行弱點掃描、挑選高風險者進行深度掃描(包含防毒軟體、patch是否更新、惡意程式檢測…等)。
b. 網路惡意活動檢視:惡意中繼站連線行為偵測。
c. 核心資通系統安全檢測:核心資通系統內網滲透測試、核心資通系統防護基準檢測。
d. 網路架構檢測:驗證網路與系統之管理措施、網路與系統安全措施以及活謊強規則…等。 e. 網域主機安全防護檢測:防毒軟體檢測、安全性更新檢視、惡意程式檢視…等。
f. 物聯網設備檢測:網路攝影機檢測、門禁系統檢測、網路印表機檢測、無線AP/路由器檢測、環控系統檢測…等。
g. 組態設定安全檢測:作業系統組態檢測、瀏覽器組態檢測、應用程式組態檢測、網通設備組態檢測。

 

政府組態基準

政府組態基準(Government Configuration Baseline,GCB) 目的在於規範資通訊設備的一至性安全設定,以避免設備遭駭客入侵利用,並造成資安事件之風險。GCB是資安檢核針對安全性設定的重要基礎,有關政府所制定的GCB內容與檔案,皆放置於技服中心網站(https://www.nccst.nat.gov.tw/GCB)。
目前,GCB有分成幾大項目:作業系統、瀏覽器、網通設備、應用程式。以作業系統來說,便有分成好幾種類,Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016,下表舉windwos 10 之GCB設定為例。而瀏覽器也有依廠牌進行各別GCB之說明設定,包含Internet Explorer 11、Google Chrome、Mozilla Firefox、Microsoft Edge,下表以Internet Explorer 11之GCB設定進行說明,詳細請參考下表。


項次

項目     

項數

合計

1

Windows10 Account Settings

9

345

2

Windows10 Computer Settings

291

3

Windows10 User Settings

12

4

Windows10 Firewall Settings

33

  •  

項次

項目     

項數

合計

1

Internet Explorer 11 Computer Settings

148

154

2

Internet Explorer 11 User Settings

6

  • 資料參考來源:技服中心整理[3]

GCB乃屬通用之規範,單位套用前仍需詳細評估自身使用環境之需求,經多方參照與詳細比對各項設定後再行套用較為適宜,若經評估需pass之設定,應有相關配套措施及備註說明,以利後續稽核之備查。

 

自我檢核常用工具

資安檢核通常會請外面合格之廠商(如:有參與共同供應契約之廠商)協助進行檢測,或是由主管機關所委託之團隊,依主管機關之要求進行資安檢核。倘若使用者或機關內之管理人員,想先行了解與掌握機關環境內之合規狀況,也可透過自行檢測掌握相關狀況。
自行檢測除可購買付費之商用軟體進行檢測之外,也可透過網路上一些開源工具進行相關檢核,如:port scan、漏洞探測、惡意流量分析、防火牆規則測試、弱點滲透測試,或GCB導入之狀況。
相關開源工具如: a. Port scan : nmap、shodan。
b. 漏洞探測:openvas、nessus。
c. 惡意流量分析:Snort、Suricata。
d. 防火牆規則測試:nmap、openvas。
e. 弱點滲透測試:metasploit、sqlmap。
f. 主機GCB規則導入與分析:LGPO(群組原則匯入程式)。

 

結語

在萬物皆連網的時代,資安議題無所不在,但歸咎其根本原因,大設多與使用者定或環境安全性防護設定未完善有關,而透過資安法的規範、資安健診、GCB導入以及資安檢核,應能有效將人為設定因素,所造成之資安風險降低,同時,快速掌握環境內之風險狀況。當有資安事件發生時,也能快速進行應變處理,以期將傷害降低。後續,也能持續審視環境內之安全性設定與架構,隨時進行滾動式調整,進而提升資安防護能量。

 

參考文獻

[1]. 教育體系資安檢核技術服務中心:https://www.taccst.moe.edu.tw/

[2]. 行政院國家資通安全會報技術服務中心. NCCST,資安健診相關說明: https://www.nccst.nat.gov.tw/SecurityRFP?lang=zh

[3]. 行政院國家資通安全會報技術服務中心. NCCST,GCB相關文件:https://www.nccst.nat.gov.tw/GCB