close
位置: [資安通識](103年度)社交工程防制宣導 > 測驗(「社交工程防治宣導」課後測驗)
成績: 100 分 (成績列入記錄, 及格)
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
|
【本站文章版權所有,歡迎非商業性「部份」轉載(請勿全文轉載),轉載請註明作者姓名標示(皮膚科王修含醫師)與出處(skin168.net/ skin168.com/ skin168.org),禁止更動內文,並提供有效的本站超連結。】
參考資料:
資安防護
常見的社交工程攻擊方式有哪些?應如何防範?
出處:行政院國家資通安全會報 www.nicst.ey.gov.tw
社交工程 (Social Engineering) 係利用人性弱點,應用簡單的溝通和欺騙技倆,以獲取帳號、通行碼、身分證號碼或其他機敏資料,來突破校園的資通安全防護,遂行其非法的存取、破壞行為。
常見的社交工程攻擊方式如下︰
●利用電話佯裝資訊人員,騙取帳號及通行碼。
●偽裝委外廠商之維護人員或上級單位人員,乘機騙取帳號及通行碼。
●利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼,如網路釣魚。
●利用電子郵件誘騙使用者開啟檔案、圖片,以植入惡意程式、暗中收集機敏性資料。
●利用提供工具、檔案、圖片為幌子,誘騙使用者下載,如偽裝的修補程式 、 p2p 下載軟體、工具軟體等,乘機植入惡意程式、暗中收集機敏性資料。
●利用即時通訊軟體如 MSN ,偽裝親友來訊,誘騙點選來訊中之連結後中毒。
社交工程雖然利用人性弱點來騙取機敏資料,讓人覺得防不勝防,但如果能隨時提高警覺,不未經確認即提供資料、不開啟來路不明的電子郵件及附加檔案、不連結及登入未經確認的網站、不下載非法軟體及檔案,就能避免社交工程的攻擊傷害。
法規名稱: 法務部防範電子郵件社交工程施行計畫
修正時間: 中華民國103年3月6日
一、為提高法務部(以下簡稱本部)及所屬機關人員資安警覺性以降低電子郵件社交工程攻擊風險,規範電子郵件社交工程防制年度目標、舉辦相關資安教育訓練及宣導、規劃辦理演練作業,以強化人員資安意識並檢驗各機關宣導電子郵件社交工程防制成效,特訂定本施行計畫。
二、本施行計畫演練時間係採無預警不定期方式,每年至少辦理兩次電子郵件社交工程演練。
三、參與電子郵件社交工程演練之機關為本部及所屬機關,各機關參與演練人數為具有公務電子郵件人數之四分之一以上。
四、本施行計畫之教育訓練要點如下:
(一)依行政院國家資通安全會報函頒之「政府機關(構)資訊安全責任等級分級作業施行計畫」,各機關應按其資安等級,每年定期舉辦資安教育訓練。
(二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並著重攻擊實例說明。
(三)強制要求本部及所屬機關個人電腦之電子郵件軟體,關閉郵件自動預覽功能,並將郵件設定為純文字閱覽模式,可在第一時間讓使用者再次確認該封郵件是否為社交工程電子郵件,避免誤點閱該郵件。
(四)每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練(含在每人每年三小時資安教育訓練課程內),課程結束後需通過測驗方核給時數。
五、本施行計畫之演練作業要點如下:
(一)本部資通安全處理小組在本項演練作業中共分三組分工執行各項任務:應用系統組、設備網路組及使用稽核組。各組權責分工及組織架構如附圖一。
(二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等,均需為可控制、有限度之滲透入侵,並由使用稽核組規劃執行。
(三)由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工程演練工具及惡意郵件範本(如附件一),郵件主題分為政治、公務、健康養生、休閒娛樂、情色等類型,郵件內容包含連結惡意網址或惡意附加檔案。
(四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結或檔案時,應留下紀錄,俾利後續統計惡意郵件開啟率及點閱率。
(1)惡意郵件開啟率:開啟惡意郵件之人數/參演人數。
(2)惡意郵件點閱率:點閱惡意郵件所附連結或檔案之人數/參演人數。
附件一-演練郵件範本
附圖一-法務部資通安全處理小組組織架構圖(電子郵件社交工程演練作業)
六、電子郵件社交工程年度演練基準,依本部資通安全會報會議決議之開啟率、點閱率定之。
七、電子郵件社交工程演練結果處理如下:
(一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並將演練情形報告彙整後,於每次演練完成後一個月內送行政院國家資通安全會報備查。
(二)本部及所屬機關(單位)演練未達基準者,應提出檢討及改善計畫(格式如附件二)。前開計畫,本部所屬機關應報部核定;本部各單位應簽陳部次長核定,並將計畫影本副知本部資訊處;當年度兩次演練皆未達基準之待改善機關(單位),所屬機關取評比最末三名,本部各單位取評比最末一名,由機關首長(單位主管)至本部資通安全會報提報檢討及改善措施。
(三)各機關(單位)對演練時開啟或點閱社交工程電子郵件人員,由首長(單位主管)予以口頭告誡,並強制要求參加至少一小時之補強教育訓練及測驗;演練成績未達基準之機關(單位),首長(單位主管)須併同出席補強教育訓練以督促機關(單位)內部之改善作為。當年度兩次演練均開啟及點閱演練郵件,且合計達三封(含)以上未改善者,得移送考績會議處。
(四)各機關(單位)演練時開啟或點閱社交工程電子郵件人員如因故無法參加補強教育訓練者,應於一週內自行至本部數位學習平台或相關公務人員數位學習平台網站完成相關課程,並經測驗合格後方算完成。未完成者停止其電子郵件之使用至完成為止。已參加補強教育訓練,但測驗仍不合格者比照辦理。
(五)為鼓勵表現良好之機關,本部得視其歷年表現狀況及下列條件, 予以獎勵:
1.該年度兩次演練,以有效電子郵件帳號數為基準,計算演練結果均合格者,依兩次演練之開啟率平均值由低至高及有效電子郵件帳號數由高至低排序,取前三名為績優,將函請該機關對辦理本項演練有功人員予以敘獎鼓勵。
2.為鼓勵維持防範電子郵件社交工程良好表現,機關連續三年開啟率及點閱率皆保持為零者,列為績優機關,並予以敘獎鼓勵。
〔立法理由〕
一、配合行政院於一百零二年九月九日函頒「國家資通安全通報應變作業綱要」,並簡化演練情形報告內容,爰修正第一款規定。
二、為統一本部演練未達基準機關(單位)應提出之檢討及改善計畫格式,並增訂本部各單位如於年度兩次演練均未達基準且評比最末者,亦須比照本部所屬機關由首長至本部資通安全會報提報檢討與改善措施之機制,爰修正第二款規定,並酌作文字修正。
三、針對演練成績未達基準之機關(單位),要求機關首長(單位主管)須併同出席補強教育訓練,以督促機關(單位)內部之改善作為,爰修正第三款規定。
四、第四款酌作文字修正。
五、為鼓勵本部所屬機關保持防範電子郵件社交工程之良好表現,爰修正本點第五款相關敘獎標準。
八、本施行計畫第七點第二款「待改善機關」評選方式如下:
(一)符合「待改善條件」者為待改善機關,若無機關符合,則待改善機關以從缺計。對於達待改善條件之機關,續按「評選項目」之評選順序依次比較,選取待改善機關前三名。
(二)待改善機關評選流程如附圖二。
(三)待改善機關評選標準及項目如附表。
附圖二-待改善機關評選流程
附表-待改善機關評選標準及項目表
全站熱搜
留言列表
