依據行政院資安處近兩年重大事件通報的統計數據,分析事件的根本原因,如設定弱密碼、權限設定不當等,許多狀況都是人為疏失而導致。在推動資安管理的落實上,資訊人員及同仁自身有無資安意識,應是當前各機關維護資訊安全的關鍵。慈大學電算中心再次辦理資安課程,鼓勵大家持續精進,提升同仁的資安意識,以做好資安防護工作。
政府在2018年實施資通安全管理法,核定納管機關與資安責任等級,建立國內資安的通報制度,要求各機關配合資安通報。為持續精進同仁的資安觀念,確保學校運作順暢,此次邀請東華大學及花蓮區域網路中心,負責資訊安全業務推廣的何振揚技術師,前來講述『資通安全與資安管理大挑戰』。主要是介紹行政院資通安全管理法及教育體系所屬資通安全責任等級,並說明資訊安全與風險、資訊安全範圍弱點與常見資安威脅的種類,課程中也提醒個人常使用FB的隱私與個資設定,減少不必要的資訊透露、定位及廣告干擾等,讓同仁們在面對風險日增的資安威脅也能預先做好防駭的措施。
資安管理與落實是目前現階段各機關推動資安的重點,近兩年來從資安通報事件統計分析,可以包含三大方面:首先,是人員操作不當的面向,誤將收集個資Email寄出、公告,或是誤放連結;第二,人員設定不當的面向,包括權限設定錯誤或開啟不當設定選項,導致他人可公開檢索,以及敏感資料傳送未進行遮罩、加密保護;第三,網站設計漏洞的面向,存在程式漏洞等。
此外,還有仍存在弱密碼的問題,這不僅是人員缺乏意識,在管理面與系統面,其實也都沒有做好防護所造成。行政院自2019年也多次來函調整「資安服務採購契約範本」,讓機關據以要求廠商負起資安責任,並要求各單位預設禁止遠端存取,而在網站建置時就導入資安概念。這次的課程中,講者也針對人員操作及設定不當的面向,模擬製作範例,逐一操作設定,並提醒系統及個人資料的保護與備份,期能減少人員的作業疏失。
慈大電算中心在課程開始前也針對110年教育體系重大資安事件相關原因分析,並提出建議措施,也陸續開設一系列資安課程進行宣導,再次提醒同仁宜定期變更密碼,增加密碼複雜度,同時禁止使用與帳號名稱相同、身分證字號、學校/機關代碼、易猜測之弱密碼或其他公開資訊等。
主管機關要求各單位主管及一般使用者,每年需接受資通安全教育法定時數3小時的訓練,提昇對資訊安全的意識及保護,面對資安威脅推陳出新及不斷變更入侵手法,而資訊安全防護工作更不能鬆懈。參與研習同仁表示,透過課程對資安有更深一層了解,更了解到備份檔案重要性,還要不嫌麻煩定期更新密碼,還有同仁說下課後便立刻到FB把廣告關掉。
撰文、攝影/慈濟大學
