我國資通安全的現況和政策建議我國資通安全的現況和政策建議以地方政府為例--以地方政府為例

賴溪松賴溪松國立成功大學電機工程學系教授

TWISC@NCKU主任Tel: (06)276-1204 Fax: (06)276-1221Tel: (06)276-1204, Fax: (06)276-1221E-mail: laihcs@eembox.ncku.edu.tw

htt // t k d thttp://crypto.ee.ncku.edu.tw03/25/2008

OutlineOutline1 地方政府資通安全服務中心簡介1. 地方政府資通安全服務中心簡介2. 我國地方政府網站安全現況3. 我國地方政府資通安全的策略與建議4 結論4. 結論

2

1 地方政府資通安全服務中心1. 地方政府資通安全服務中心簡介簡介

1.1 國家資通安全規畫架構1.1 國家資通安全規畫架構1.2 地方政府資通安全中心簡介1.3 地方政府資通安全服務中心前身

3

1.1國家資通安全架構國家安全會議顧問國家資通安全會報國家資通安全會報

執行長：行政院NICI小組總召集人兼副執行長：總統府國家安全會議派員兼

行政院主計處電子處理資料中心主任兼

標

準

稽

核

資訊蒐

法

規

通

報

國家資通安

綜

合準

規

範

組

核

服

務

組

蒐集分析組

規

偵

防

組

報

應

變

組

安全應變中

合

規

劃

組

經濟部

研考會

國防部

主計處

國防部

交通部

國科會

中科院

工研院

法務部

內政部

國防部

組 組 組 組

研考會

組 中心

組

科技顧問組

國防部

交通部

財政部

交通部

經濟部

財政部

工研院

資策會

相關公協會

民間業者

國防部

交通部 中央政府單位技術服務中心 支援

地方政府單位支援

4

地方政府資通安全服務中心

1 2 地方政府資通安全服務中心簡介1.2.地方政府資通安全服務中心簡介根據行政院研考會地方政府根據行政院研考會地方政府資通安全服務計畫成立地方政府資通安全服務中心

專案委託專案委託

地方政府資通安全服務中心組織構圖5

1 3 地方政府資通安全服務中心前身1.3 地方政府資通安全服務中心前身

90年 91年 92年 93年 94年 95年 96年

區域聯防 地方政府資通安全

從區域聯防型態轉型為地方政府資通安全

資安技術服務與資安事件處理

執行支援性任務工作

漏洞檢測工作

教育訓練工作教育訓練工作

6

地方政府資通安全服務計畫地方政府資通安全服務計畫95年度地方政府資通安全服務計畫95年度地方政府資通安全服務計畫

從原先90-94年區域聯防方式轉為協助更進一步的資安技術服務

任務支援性工作，如：SQL Injection檢測更為深入的資安技術服務與資安事件處理與善後事宜宜

資安防護技能之教育訓練

96年度地方政府資通安全服務計畫96年度地方政府資通安全服務計畫延續95年任務支援性工作，由SQL Injection改為Cross Site Script(XSS)漏洞檢測Cross Site Script(XSS)漏洞檢測強化資安事件處理機制

更專業的資安諮詢服務管道更專業的資安諮詢服務管道

為各縣市政府舉辦XSS漏洞說明暨教育訓練會7

2 我國地方政府網站安全2. 我國地方政府網站安全現況與建議現況與建議

2.1 我國地方政府網站安全現況2.2 執行過程發現問題

8

a 什麼是 SQL Injectiona.什麼是 SQL Injection正常連線

1.接受連線

登入程式

2 檢查帳號Admin

2. 檢查帳號3. 檢查密碼4.驗證使用者身份

******

4. 驗證使用者身份5. 進入會員系統

SQL Injection

Admin ‘‐‐ 1.接受連線

登入程式SQL Injection

Admin  ‐‐2. 檢查帳號

9

b Cross Site Scripting(XSS)b. Cross-Site Scripting(XSS)著名的W b A 駭客攻擊手法著名的Web Apps駭客攻擊手法

SQL InjectionCross-Site Scripting (XSS)

XSS攻擊透過伺服器向使

使用者端伺服器端

用者端下手*

SQL Injection攻擊攻擊

由伺服器攻擊資料庫資料庫

*也可以攻擊網站管理者

10

*也可以攻擊網站管理者或進階攻擊伺服器端

2 2 我國地方政府網站安全現況2.2 我國地方政府網站安全現況95年度95年度

25縣市政府主網站SQL Injection檢測j96年度

個縣市政府網站 檢測98個縣市政府網站XSS檢測

11

地方政府資通安全服務計畫地方政府資通安全服務計畫

95年度95年度25縣市政府主網站SQL Injection檢測

第一次檢測：100%的網站存在漏洞第二次檢測： 80%的網站存有中高風險漏洞

96年度98個縣市政府網站Cross Site Scripting檢測98個縣市政府網站Cross-Site Scripting檢測

第一次檢測： 74%的網站存在漏洞第二次檢測 60%的網站存在漏洞第二次檢測： 60%的網站存在漏洞

12

95年度SQL I j ti 檢測範圍95年度SQL Injection檢測範圍

檢測範圍為25縣市的主網站的主網站

共25網站

13

95年度SQL I j ti 檢測統計資料95年度SQL Injection檢測統計資料

40

原因分析：(1) 改版

期初檢測20

1715第一次檢測

(1).改版(2).變更設定

期中檢測 513

37 高風險

中高風險第二次檢測

高風險中高風險低風險369

2

低風險低風險

期末剩餘弱點129

46

2

期末剩餘弱點

140 200 400 600 800 1000 1200 1400 1600 1800

96年度XSS檢測範圍96年度XSS檢測範圍檢測範圍為25縣市的下列網站檢測範圍為25縣市的下列網站:

縣市政府主網站

警察局網站

衛生局網站衛生局網站

稅捐稽徵處網站

期初檢測96個網站期初檢測96個網站期末檢測98個網站期末檢測98個網站

15

96年度XSS檢測結果96年度XSS檢測結果第一次檢測第一次檢測

時間為民國96年6月21日起至7月29日發現2111個URL存有XSS漏洞

第二次檢測第二次檢測

時間為民國96年11月1號起至12月31日發現320個URL存有XSS漏洞因網站持續改版，使得檢測的漏洞數量很難降低

16

96年度XSS檢測結果( t )96年度XSS檢測結果(cont.)

縣市類型 第一次檢測 第二次檢測

主網站 1807 141稅捐稽徵處 213 61警察局警察局 54 63衛生局 37 55衛生局 37 55總數 2111 320

17

2 3 執行過程發現問題2.3 執行過程發現問題2 3 1 執行地方政府資通安全服務計畫2.3.1 執行地方政府資通安全服務計畫

發現問題

2.3.2 地方政府單位反映資安相關問題

18

2.3.1 執行地方政府資通安全服務計畫發現問題服務計畫發現問題

網站改版狀況a. 網站改版狀況b. 網頁版本控制c. 漏洞修復狀況

19

網站改版狀況a. 網站改版狀況95年度25縣市政府主網站SQL I j ti95年度25縣市政府主網站SQL Injection檢測

全面改版比率為24%部分更動比率為28%部分更動比率為28%

96年度98個縣市政府網站Cross-Site S i ti 檢測Scripting檢測

全面改版比率為15% + 6%(預估)( )部分更動比率為2%

20

b 網頁版本控制問題b. 網頁版本控制問題在95年度執行SQL I j ti 漏洞追蹤修在95年度執行SQL Injection漏洞追蹤修復時發現大量網頁版本控制問題。

網站維護人員在網頁被檢測出有漏洞時，並未修復該網頁的漏洞問題就把網頁下線。

當後來發現仍需該網頁時，並未檢測或修復漏洞問題又將網頁上線。漏洞問題又將網頁上線

在96年度經大力宣導網頁版本控制問題後有明顯改善後有明顯改善。

21

95年度SQL Injection檢測發現％

大力宣導及追蹤及協助修補

期末檢測期初檢測120

100

改版更新

例

80

漏洞

比例

60

ctio

n漏

40

QL

Inje

c

20

存在

SQ

月0

2 3 4 5 6 7 8 9 10 11 12 1 2 3

存

22

漏洞修復狀況c. 漏洞修復狀況各縣市大多為被動地修補漏洞 告知1個各縣市大多為被動地修補漏洞，告知1個漏洞，只補1個漏洞，不能舉一反三

23

2.3.2 地方政府單位反映資安相關問題資安相關問題

建議統一對外窗口與工作要求建議統一對外窗口與工作要求已知有本計畫執行檢測項目、技術服務中心攻防演練 管家 無障礙網頁 PDA版本 手防演練、e管家、無障礙網頁、PDA版本、手機上網等等

資安經費補助資安經費補助常因經費問題造成修補漏洞執行上的困難

基層單位能量不足人員能量不足、經費不足人員能量不足 經費不足

24

2.3.2 地方政府單位反映資安相關問題( t )資安相關問題(cont.)基層地方政府資通安全能量仍不足基層地方政府資通安全能量仍不足

單位對資安重視程度落差

資訊人員無一條鞭制度無法升遷，同時經費不固定 人員不足 卻需

中

同時經費不固定、人員不足，卻需支援眾多資訊系統。

中 .46%　偏低　.

24%

　中高　.10%

　低　.20%

大多數地方政府機關人員對本身高

0%25

大多數地方政府機關人員對本身單位資通安全防護較無信心

3.我國地方政府資通安全的策略與建議與建議

1 中央政府多已通過ISMS認證 可考慮讓地方1. 中央政府多已通過ISMS認證，可考慮讓地方政府通過CNS相關之認證。應擴大地方政府的服務範圍 除漏洞檢測外連2. 應擴大地方政府的服務範圍，除漏洞檢測外連同資安認知、教育訓練、技術訓練等面向一同考量考量。

3. 資安技術服務可區分成A, B, C級，讓各單位有基本的C級處理能力，各區建立B級處理能力，全國建立國家級A級處理能力。

4. 建議仿照CMMI的推動方式，針對資訊廠商進行資安能力提升。行資安能力提升

5. 提昇民間資安能力。26

4 結論4. 結論國家衛生研究院研究論文『評估全民健保的十年經國家衛生研究院研究論文『評估全民健保的十年經驗』：1997年統計台北市比台東市人民多10.65年壽命壽命推測原因：醫療資源不平均策略：廣涉醫療院所、推動全民健保

2007年統計台北市比台東市人民多10.03年壽命推測原因：生活習慣與健康認知差異

全民健保在台東地區投入醫療資源有效拉低兩地區的醫療資源，將其平均壽命為提升0.62年。但生活習慣的改變比醫療資源的投入更重要習慣的改變比醫療資源的投入更重要。

引用來源：自由時報, 生活習慣差健保10年破功, 02/27/2008, h // lib i /2008/ /f b/27/ d lif 9 h

27

http://www.libertytimes.com.tw/2008/new/feb/27/today‐life9.htm中國時報,東部人壽命較短健保10年沒改善, 02/27/2008, http://health.chinatimes.com/contents.aspx?cid=5,63&id=421