Embed Size (px)
Citation preview
前言:
1.當駭客很簡單。
2.駭客軍團非常龐大。
只要有心,人人都可以是駭客。
被攻擊者不是弱點最多,只是比較倒楣
小心下一個就是你!!
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
系統漏洞
作業系統本身的漏洞,如windows、Red hat等,若無定期修補,則門戶大開,駭客可透過此漏洞入侵網站。
系統漏洞(續)
駭客行為:
1、入侵網站竊取機密資料,如學籍資料等。
2、控制此電腦,必要時可由此台電腦攻擊其他電腦。
3、入侵郵件伺服器,透過此伺服器寄發垃圾郵件。
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
網頁弱點 網頁撰寫人員的疏失或專業知識不足,導致網頁不安全,開啟網站大門,讓駭客有機可乘,入侵網站竊取資料或修改網頁。WhiteHat Security調查,全世界將近一億個網站中大約就有7000萬個網站含有惡意程式碼。
資料來源:
資安之眼
http://www.itis.tw/
網頁弱點(續)
駭客行為:
1、入侵網站竊取個人資料販賣牟利,如教務系統。
2、入侵系統修改成績或選課資料。
3、於網頁內插入惡意程式碼,導致連上該網站就會中毒。
[個人資料保護法]每人每一事件賠償新台幣500元以上、2萬元以下計算,單一原因事實請求損害賠償總額最高以2億元為限
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
師大被駭網站(好心駭客型) 文創中心網站被駭客入侵
師大被駭網站(好心駭客型)(續) 進修推廣部網站被駭客入侵
師大被駭網站(好心駭客型)(續) 工教系網站被駭客入侵
師大被駭網站(好心駭客型)(續) 國語中心網站被駭客入侵
師大被駭網站(好心駭客型)(續) 地科系網站被駭客入侵
師大被駭網站(好心駭客型)(續) 技職中心網站被駭客入侵
師大被駭網站(好心駭客型)(續) 科教所網站被駭客入侵
師大被駭網站(惡意駭客型) 英語系網站被駭客入侵植入惡意程式碼
師大被駭網站(惡意駭客型)(續)
教務處網站被駭客入侵植入惡意程式碼
師大被駭網站(惡意駭客型)(續) 教政所網站被駭客入侵植入惡意程式碼
師大被駭網站(騙取個資型) 資工系網站被駭客入侵植入釣魚網站,騙取該銀行帳號密碼。
師大被駭網站(騙取個資型)(續)
資教所網站被駭客入侵植入釣魚網站,騙取ebay帳號密碼。
師大被駭網站(癱瘓網站型)(續)
公關室網站癱瘓事件
事件發生過程:
公關室網站流量暴增,導致網頁伺服器負載過大,網頁無法開啟。
原因:
駭客利用網頁漏洞,上傳一程式於公關室網站,而該程式經過測試,會產生一賣禁藥(Viagra, Levitra, and Cialis)的網頁。駭客將此網址貼到大型入口網站,導致全世界的人若有瀏覽如yahoo等網站,均會自動連結到公關室被植入的網頁。
結果:
連線IP來至世界各地,連線數過多,導置網頁無法開啟,無法有效阻擋。
師大被駭網站(對外攻擊型)(續)
心輔系老師網站攻擊事件
事件發生過程:
疑似中毒對外進行攻擊。被檢舉並通報警察局,由警察局通知教育部,並由台大區網中心派員進行封包偵測。
結果:
主機已監控近一個月,還在監控中,無法重新安裝。
師大被駭網站(續)
伺服器被駭客攻擊所造成的問題:
1.服務中斷。
2.導致學生或老師抱怨。
3.導致他人上網中毒,帳號密碼被竊。
4.需要花時間重灌。
5.損害賠償。
6.法律訴訟。
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
資訊中心提供服務-弱點掃描服務
•資訊中心針對網頁弱點提供掃瞄服務:
網頁弱點掃描軟體-IBM AppScan
•需上網填報各單位伺服器資料,每年掃描乙次。
(每年皆會有新弱點產生,每年至少須重新掃描乙次)
http://apx.itc.ntnu.edu.tw/IPMgr/
或聯絡資訊中心林柏宏先生,電話:8627,
e-mail:[email protected]
•若有需要,可隨時寄信通知,會針對個案進行掃描。
資訊中心提供服務-弱點掃描服務(續)
• 請負責伺服器同仁或廠商一定要依照掃描結果修補漏洞。
• 除了網頁維護外,也必須針對作業系統簽維護,須定期更新系統漏洞、設定防火牆等。若是網站遭人入侵,須有能力重新安裝系統。
• 新網站建置,合約上可增加“廠商須針對所交付之系統進行技術安全稽核,以確保系統之安全,並提供相關安全稽核報告”,作為驗收條件之一。
• 針對作業系統維護,可於合約上加註“作業系統維護包含整體系統安裝、設定、備份、效能分析及調校、安全防護、修補程式更新、問題診斷、故障排除等。並配合本校資訊安全事件通報及弱點掃描修補,需隨時予以處理。”
資訊中心提供服務-網頁空間申請
•提供網頁空間申請,以靜態網頁為主(使用html、php,無資
料庫 ) 申請網址:http://www.itc.ntnu.edu.tw/service1640.php
•使用資訊中心靜態網頁的好處
無網頁弱點、架構簡單、備份單純、技術性低(找人方便)、
修改方便、不須管理主機、無資料庫毀損問題。
使用本中心網頁空間建置網站單位,掃描結果皆沒有問題。
如教務處、學務處等
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告(詳掃描報告) 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
資訊安全線上課程資料
• 資訊中心已完成共12堂資訊安全教育訓練影音課程,包含系統管理、駭客攻擊手法、安全網頁撰寫(Secure Web
Programming)等課程。
http://isms.ntnu.edu.tw/edu.htm (限師大IP)
• 另[公務員資訊學習網]及[e等公務員]亦有相關網站建置、網頁撰寫及系統管理等數位課程可自行參考。
資訊安全線上課程資料(續) 系統管理 網站 課程名稱 時數
公務員資訊學習網http://itschool.dgbas.gov.tw/ Windows Server 2003 系統環境維護(一) 1:50
公務員資訊學習網http://itschool.dgbas.gov.tw/ Windows Server 2003 系統環境維護(二) 2:22
公務員資訊學習網http://itschool.dgbas.gov.tw/ Windows Server 2003 系統環境維護(三) 2:30
公務員資訊學習網http://itschool.dgbas.gov.tw/ Linux基本操作 6:00
公務員資訊學習網http://itschool.dgbas.gov.tw/ Liunx(Ubuntu9.10)簡介 1:00
公務員資訊學習網http://itschool.dgbas.gov.tw/ Linux Server FTP 1:30
公務員資訊學習網http://itschool.dgbas.gov.tw/ Linux Server DNS 2:30
公務員資訊學習網http://itschool.dgbas.gov.tw/ Linux Server WEB 2:30
公務員資訊學習網http://itschool.dgbas.gov.tw/ Apache架站實務 4:00
e等公務員http://elearning.hrd.gov.tw Linux 基本操作(主計處電子處理資料中心提供) 2:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm 應用程式安全 3:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm UNIX伺服器系統安全 3:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm Windows作業系統安全管理 3:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm Linux伺服器系統安全管理 3:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm 系統安全漏洞研習 3:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm 駭客攻擊技術實作與演練 3:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm 網路型攻擊手法分析 3:00
資訊安全線上課程資料(續) 網頁程式撰寫 網站 課程名稱 時數
公務員資訊學習網http://itschool.dgbas.gov.tw/ PHP入門 3:00
公務員資訊學習網http://itschool.dgbas.gov.tw/ JSP與MySQL資料庫程式設計 6:00
公務員資訊學習網http://itschool.dgbas.gov.tw/ Java Script與Ajax 2:00
e等公務員http://elearning.hrd.gov.tw PHP應用入門(研考會提供) 4:00
e等公務員http://elearning.hrd.gov.tw PHP應用開發(研考會提供) 4:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm Secure Web Programming研習 7:00
資料庫聯結 網站 課程名稱 時數
公務員資訊學習網http://itschool.dgbas.gov.tw/ Access 2003資料庫設計(初階) 3:13
公務員資訊學習網http://itschool.dgbas.gov.tw/ Access 2003資料庫設計(進階) 2:20
公務員資訊學習網http://itschool.dgbas.gov.tw/ Access 2007 資料庫規劃王 7:00
公務員資訊學習網http://itschool.dgbas.gov.tw/ MySQL 實務應用 4:00
e等公務員http://elearning.hrd.gov.tw MySQL入門指引(研考會提供) 4:00
e等公務員http://elearning.hrd.gov.tw MySQL進階管理(研考會提供) 3:00
e等公務員http://elearning.hrd.gov.tw MySQL資料庫操作實務(研考會提供) 4:00
臺師大資訊中心課程 http://isms.ntnu.edu.tw/edu.htm IIS與SQL Server安全 3:00
網頁製作軟體 網站 課程名稱 時數
公務員資訊學習網http://itschool.dgbas.gov.tw/ FrontPage 2002網頁製作基本操作 2:00
公務員資訊學習網http://itschool.dgbas.gov.tw/ Dreamweaver網頁製作 5:00
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
網頁設計廠商資料
詢問各單位,提供配合度高廠商資料如下:
•翊凱資訊 http://www.e-kai.com.tw/ekai/
•銳綸數位 http://www.rulingcom.com/main.php
•創意引晴 http://funwish.net/
•思果數位 http://www.igd.tw/
(若有其他優質廠商,也請各單位推薦)
內容大綱: 1.系統漏洞 2.網頁弱點 3.師大被駭網站 4.資訊中心提供服務 5.如何閱讀弱點掃描報告 6.資訊安全線上課程資料 7.網頁設計廠商資料 8.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題 --留言版問題 --資料備份問題 --專案計劃結束後沒有人維護的問題
網站智財權問題
網站智財權問題(續)
Dear sir,
本公司網站服務客戶-曼都國際股份有限公司,日前於“yahoo奇摩”網路搜尋“曼都髮型”時,發現有一連結,web.ed.ntnu.edu.tw/~xxxxx/
eduationmarketing/marketingplan/94-2-3.pdf 為貴校相關路徑,因該篇文章非為本公司所有與製作,並以本公司商標為主,已造成混淆視聽之困擾,請貴校協助予以移除,以免困擾。
Thanks & Best regards
-----------------------------------------
Jason Weng
國眾電腦股份有限公司 網路服務事業部
網站智財權問題(續)
注意事項:
1.網路上的照片、小圖示不要隨便拿來用。
2.不要拿有版權的音樂當作網站背景音樂。
3.網路上的文章不要隨意擷取。
校園保護智慧財產權專區
http://www.ntnu.edu.tw/IPR/
帳號密碼管控問題 1.維護廠商離職員工利用網站伺服器當作ftp server,放置
個人電影、音樂檔。
2.教務處帳號密碼外洩,導致教務處所有網頁皆被植入惡
意程式碼,只要開啟網頁就會中毒。
帳號密碼管控問題(續)
注意事項:
1.密碼高複雜度,7碼以上,包含特殊字元、大小寫等。
2.定期變更密碼。
3.遠端連線工具(FTP等)需設定防火牆,控管可讀取的IP。
4.離職員工的帳號密碼需刪除。
5.外包廠商須簽保密協定。
範本http://www.itc.ntnu.edu.tw/service3420.php
機密資料外洩問題
機密資料外洩問題(續)
電腦處理個人資料保護法
個人資料:指自然人之姓名、出生年月日、身分證統一編號、特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動 及其他足資識別該個人之資料。
「非公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但能證明其無故意或過失者,不在此限。」
目前「個資法」規定之賠償範圍是有上限的,每人每一事件賠償新台幣500元以上、2萬元以下計算,單一原因事實請求損害賠償總額最高以2億元為限。
機密資料外洩問題(續)
注意事項:
1.修補系統及網頁漏洞。
2.機密資料放置於需帳號密碼登入的網頁。
3.離職員工的帳號密碼需刪除。
4.外包廠商須簽保密協定。
留言版問題 留言版內容沒有定期清理,遭人貼上不當留言,或使用工具自動留言。
留言版問題(續)
注意事項: 定期上留言版,檢查是否有不當留言。
設定帳號密碼或使用數字驗證碼。
資料備份問題
事件: 1.網站被駭客入侵修改網頁,資料沒有備份,不知
如何再修改,或費時費力。
2.刪錯網頁資料,資料沒有備份,欲哭無淚。
注意事項:
1.定期備份網頁資料。
2.異地備份,分散風險。如儲存在別台電腦或隨身碟。
專案計劃結束後沒有人維護的問題
事件: 專案結束後,無人進行維護,也無相關經費支援。但網站
不能關閉,造成資安漏洞。
注意事項:
1.可選擇於網站建置時使用靜態網頁。
2.於專案結束後,將網站轉成靜態網頁資料,除了可持續
展示專案成果,也不會有後續維護問題。(須預留經費,
或於網站建置合約上註明)
Q&A
