您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

::: 回首頁 / 網站導覽 / English / 常見問答 / 雙語詞彙
小 中 大
進階搜尋
:::
:::

資安訊息

發布日期:114-06-23

發布單位:保安警察第一總隊

114年第1次政府資通安全防護巡迴研討會重點摘要
一、113年政府資安威脅分析與建議防範措施
113年納管機關資安事件通報統計
非法入侵為大宗主因:多 113年度資安事件分類佔比為使用/下載來源不明之應用程式套件、社交工程、弱密碼/密碼遭暴力破解、作業系統漏洞等

113年3級以上資安事件樣態
機密性
網站查詢權限設定不當,供應商未依規格書撰寫程式致個資外洩。(計1件) 
網站存在系統漏洞,攻擊者可利用漏洞取得個資。(計1件)
供應商遭駭:駭客透過廠商VPN帳號進入機關系統查詢個資。(計1件) 
社交工程:機關同仁因社交工程導致帳密遭到竊取,駭客並利用該帳密登入內部系統取得個資。(計1件) 
人員疏失: 誤將未遮蔽之個資公開、誤上傳民眾之個資於公開網站、 辦理活動未將敏感資訊遮蔽、將含有個資資料寄送給民眾、 誤將機敏資料上傳至公開網站等。(計5件)

可用性
機房起火致設備異常,因電力室內之配電盤燒毀,造成網路內外服務中斷。(計1件) 
資料庫主機異常及設定問題,導致HIS醫療資訊系統無法作 業使用。(計2件) 
市電瞬斷影響核心系統可用性中斷。(計1件) 
全球性當機,影響機關CI核心業務可用性(計5件)
資安事件案例-供應商遭駭
駭客利用廠商VPN帳號登入後,再透過 機關人員帳號進入系統查詢病患資料, 致個資外洩,通報3級資安事件。

建議防範措施
對於每一種允許之遠端存取類型,均應先取得授權,建立使用限制、組態需求、連線需求及文件化。 
機關應加強遠端存取控制機制,依「原則禁止、例外允許」方式辦理 
若需允許外部遠端維護,應加強防護措施,如採VPN並啟用多因子認證機 制等,以強化遠端登入身分鑑別。
資安事件案例-機敏資訊上傳公開網站致外洩
某縣政府接獲協力廠商告知該府SOC月報疑似遭上傳至VirusTotal網站,內容包含該府網段資訊等機敏資訊,經查為該府SOC廠商不慎將 該報告上傳至網站上,致機敏資料外洩,爰通報3級資安事件。

強化措施參考
確認資料機敏性資料,避免將機敏資訊上傳至公開系統。 
如需檢測是否為惡意檔案,建議優先使用我國自有之VirusCheck,如需使用VirusTotal,應透過檔案Hash值檢查。
針對文件機敏性分級,如設置TLP (Traffic Light Protocol)分級。 
注意廠商委外管理,針對機敏資訊應加強管理與防護。

二、113年資安稽核與網路攻防演練
113年資安稽核共同發現事項
策略面 
業務持續運作演練未納入業務單位角色,範圍未涵蓋全部核心系統 
管審會議出席率偏低,且未由各業務單位主管親自出席
管理面
資訊系統或資訊資產漏未盤點,如未完整納入OT或IoT設備
資安要求未完整訂於RFP或契約書
技術面
弱點掃描等安全性檢測,複測後仍有高風險漏洞,且未有相關弱點修補紀錄
未落實遠端連線「原則禁止、例外允許」 管理原則

113年網路攻防演練常見弱點說明
針對主要弱點類型列出前3名常見發現事項樣態及案例
加密機制失效
樣態:系統說明文件洩漏帳號通行碼或個人資料等機敏資訊
案例:透過Google Hacking查找系統申請帳號之操作說明,並使用PDF軟體複製圖片,發現原已遮罩之帳號通行碼
檢測方式:透過PDF軟體複製圖片檢視敏感資料是否遮罩
改善建議:透過Windows系統「剪取工具」合併圖層來遮罩敏感資料
注入漏洞(XSS攻擊)
樣態:網站未妥善處理輸入內容,可輸入惡意指令並當成javascript語句執行
案例:嘗試於網頁上欄位輸入攻擊語法成功觸發XSS攻擊語法,並顯示攻防演練圖示
檢測方式:透過以下常見XSS語法輸入於網頁輸入框進行驗證:

改善建議:
輸入驗證與過濾:
1.檢查資料格式:EX:電話號碼欄位只接受數字並符合特定格式。
2.防止頁面上的 JavaScript 存取 Cookie。
輸出前編碼:
 讓瀏覽器將使用者輸入的內容只當作「文字」 而不是「程式碼」來執行。
設定CSP標頭(Content-Security-Policy) :
 只允許載入來自信任網站的腳本可以有效防止來自外部的惡意腳本。

注入漏洞(SQL Injection)
樣態:網站使用URL傳遞查詢條件,透過工具獲取潛在資訊
案例:目標網頁,發現網址參數網頁應用程式中的 SQL 注入點,進行Query
檢測方式:透過SQL Injection檢測工具進行資料庫內容枚舉與提取,取得使用者、密碼雜湊、權限、角色、資料庫、資料表和資料列
改善建議:
1.使用參數化查詢或預處理語句將 SQL 語 句和使用者輸入的數據分開處理
2.過濾或轉譯特殊字符:如單引號 '、雙引 號 "、分號 ;、等號 = 、註解符 --、/* 等
限制存取功能失效
樣態:未限制存取來源或無權限控管,導致任一使用者皆可存取特定頁面
案例:瀏覽網站複製檔案下載連結,並嘗試修改路徑,成功取得系統非公開資料目標網頁,發現網址參數為網頁應用程式中的 SQL 注入點,進行Query
檢測方式:逐一頁面進行權限控管檢查,依系統角色差異,明確區分存取來源為訪客(未登入)、一般使用者及管理者等權限
改善建議:避免不當人員存取系統或機敏資料,應設定資料存取權限控管,加強路徑驗證,實施最小權限原則

三、資安法規遵循事項
A級95個 B級323個 C級988個 D級5355個 E級901個,總計7,662個納管機關(包含公務機關及特定非公務機關)
公務機關應每二年提交資通安全責任等級

注意事項
  • 行政院所屬機關函送行政院核定
  • 地方政府應送數位發展部核定;府會及其他四院送數位發展部備查
  • 地方議會應由地方政府統一彙送
  • 原則每2年核定一次,如有新設、裁撤或資通業務調整者,請於1個月內完成提報
各機關維運自行或委外設置、開發之資通系統,其資安責任等級應至少為C級以上

四、第七期國家資通安全發展方案(114年至117年)
全社會資安防禦 
提升關鍵基礎設施資安韌性
壯大我國資安產業 
AI新興資安科技應用與合作

五、資安人才培育
資通安全概論預計115年起改用新版

六、危害國家資通安全產品重點工作
禁用DeepSeek(含禁止廠商使用DeepSeek製作書面履約成果)

資料來源:114年第1次政府資通安全防護巡迴研討會重點節錄