行政院近日舉行資安實兵演練,從國安局、調查局及各大學徵召網路高手,一同組成「駭客部隊」,實際攻擊行政院旗下33個二級部會網站。結果發現,多數機關最常犯的毛病是網頁未做好權限控制,也有不少「好奇寶寶」公務員,喜歡開啟不明郵件。官員說,演練結果顯示,政府網站資安管理還算及格,但仍有一些缺點要改進。在這項測試中,33個機關有25個機關共67個網站或系統,存在108個弱點,最大宗風險主要是,網頁未做好權限控制,可能造成機密敏感資訊外洩,及網站未過濾特殊字元,導致攻擊者在沒有帳號密碼下,仍可繞過驗證登入進而操作系統。
行政院長江宜樺昨天聽取「2013年網路攻防演練辦理報告」,這是政府首度大規模舉辦,也是國內少見的大型網路攻防實戰演練。演練時間是在去年11至12月,目的是找出政府資安漏洞外,也盼培養各機關在面對網路攻擊時的應變能力。
政院官員表示,這場演練所費不貲,花了快一年時間準備。在演練過程中,來自官方與民間的30位網路好手組成「攻擊組」,政院所屬的33個二級部會則是「防禦組」,在攻防過程中,還有「裁判組」從旁確認,攻防兩造都是照著遊戲規則走。
官員說,為徹底找出各機關網站弱點,這回不採模擬情境,而是直接連上各機關網站實際攻擊。為避免造成無法修復或難以掌控的後遺症,所有攻擊手走過的路徑都會被記錄,且攻擊手均點到為止,只留下「到此一遊」痕跡,不會有狠毒的破壞。
行政院本次演練項目有三,一是情境演練,讓各機關熟悉面對網路攻擊時,可採取的標準作業程序;二是實兵演練,即真正的攻防;三是社交工程郵件演練,即隨機寄發引人注目,但內容可能含有惡意程式的電子郵件給各機關,測試機關人員的資安意識。
行政院長江宜樺昨天聽取「2013年網路攻防演練辦理報告」,這是政府首度大規模舉辦,也是國內少見的大型網路攻防實戰演練。演練時間是在去年11至12月,目的是找出政府資安漏洞外,也盼培養各機關在面對網路攻擊時的應變能力。
政院官員表示,這場演練所費不貲,花了快一年時間準備。在演練過程中,來自官方與民間的30位網路好手組成「攻擊組」,政院所屬的33個二級部會則是「防禦組」,在攻防過程中,還有「裁判組」從旁確認,攻防兩造都是照著遊戲規則走。
官員說,為徹底找出各機關網站弱點,這回不採模擬情境,而是直接連上各機關網站實際攻擊。為避免造成無法修復或難以掌控的後遺症,所有攻擊手走過的路徑都會被記錄,且攻擊手均點到為止,只留下「到此一遊」痕跡,不會有狠毒的破壞。
行政院本次演練項目有三,一是情境演練,讓各機關熟悉面對網路攻擊時,可採取的標準作業程序;二是實兵演練,即真正的攻防;三是社交工程郵件演練,即隨機寄發引人注目,但內容可能含有惡意程式的電子郵件給各機關,測試機關人員的資安意識。
文章標籤
全站熱搜
留言列表