top of page

數位學習環境下的資安問題,教育單位要如何因應,要注意到的五點有哪些?



資通安全管理法已上線


在現今離不開網路的數位化時代,許多資料、行為都轉由線上進行,因此關於資安的維護越來越需要被重視。而台灣也因應時代演進,在2019年3月1日啟用資通安全管理法規定了各項資訊安全措施的要求與執行標準,要求相關相單位依循,除了公司需要注意到的資安依循事項以外,教育單位也有明確分級並要求必須達到的標準,如下表所示:

分級

標準

相關規範

A級

  1. 臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、國立陽明大學附設醫院

  2. 承接具國家安全機密性或敏感性業務或技術研究之學院或系所

    1. 涉及國家安全資訊、國家機密資訊之領域

    2. 涉及國家安全技術、國家機密技術領域

  3. 辦理大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構

  1. 協助校級單位快速盤點設備及網路應用服務,進而發現潛在漏洞與威脅,藉由標準化校正措施,排除與修補立即風險,分擔學校資訊人員繁重庶務

B級

  1. 辦理專科學校、十二年國教入學考試、甄選、招生工作等輪流辦理之試務機構與學校、各項評鑑工作之評鑑機構

  2. 臺灣學術網路各區域網路中心

  3. 各直轄巿及縣(巿)教育網路中心

  4. 各公私立大學

  5. 大學附設醫院之區域分院及地區醫院

  1. 落實資訊系統分類分級

  2. 導入資訊安全管理制度(ISMS)

  3. 配置一名資訊安全專職人員

  4. 結合學術網路資安監控系統

C級

  1. 各公私立專科學校、各公私立學院

  2. 各公私立高級中等學校、各公私立國民中學、各公私立國民小學

  1. 落實資訊系統分類分級

  2. 導入資訊安全管理制度(ISMS)

  3. 配置一名資訊安全兼職人員

  4. 結合學術網路資安監控系統

資料來源:教育部與所屬機關(構)及學校資通安全責任等級分級作業規定,飛象資訊整理




《數位學習環境下的資安問題》專題講座


為了讓校級單位的資訊人員能夠清楚組織面臨的資安威脅與對應防範措施,飛象資訊特與中華民國數位學習學會於2023年04年13日舉辦《數位學習環境下的資安問題》的線上+線下專題講座,本場活動吸引線上將近百位參加者。其中上半場主題先由淡江大學資訊處張維廷組長分享《從零信任網路談數位學習與校園資訊安全》,接著下半場由飛象資訊資安顧問魏偉城分享《後疫情時代的數位學習資安-淺談校園資訊與個資安全管理難題》。


上半場《從零信任網路談數位學習與校園資訊安全》的主題中,淡江大學資訊處張維廷組長先以AI與人類的區別作為引言,並提供了數種不同的實際網路詐騙案例,這些網路騙局多利用FB、Email、Line等工具向消費者傳遞假訊息,且不限於文字,自動化聊天工具、經過修飾的圖片都是常被使用的方式,而且詐騙業者還會鎖定年幼或年長者這類相對不擅於驗證資訊是否真實的族群,讓假訊息的引導更容易成功,消費者往往便不經意被騙取個資或財物。即使事後透過法律途徑找到詐騙業者,通常也會因為此類網路謠言資訊查證費時較長,而失去取回財物的時機。


後面則分享了零信任網路的架構,利用多種技術與工具,並強制所有訪問都需要進行驗證與授權, 透過建立細膩的訪問控制,減少駭客的攻擊面。最後呼籲組織需重新檢視傳統的資安模式,並強烈建議採用零信任網路,以確保在數位轉型中能維持安全。




下半場《後疫情時代的數位學習資安-淺談校園資訊與個資安全管理難題》的主題中,飛象資訊資安顧問魏偉城舉出了偽造網站、網站遭駭、帶有病毒木馬的軟體載點等數個近期發生案例,說明從網路獲取數位資料檔案時必須確保來源是否安全,切勿隨意點擊陌生的按鈕與連結。接著以學校的組織型態分析安全管理難題與可能切入點,例如若人員較無資訊背景或對於資安管理的敏銳度很低,則建議採取教育訓練,甚至納入新進人員就要設立到職要求等。考量校園文化與安全管理需求,建議採用適應大中小組織的資通安全管理制度,以目標導向發展可覺察(風險認知)、量化、成效與正向循環,且注重行動與結果的運作模式(結果檢核)。


最後建議組織依循ISO27001,這是由國際標準化組織(ISO)與國際電工委員會(IEC)共同提出的國際資案管理標準,提供組織在此標準架構下發展、實施、維護與持續改善資訊安全管理。同時說明行動應用App基本資安檢測方式、網站資安防護措施 (備份還原、程式碼審查、弱點掃描等)、個人電腦基本防護方式(安裝防毒軟體、不使用來路不明的程式與裝置等),以保護資料安全。





OKWASP協助校級單位快速完成資訊系統盤點跟檢測


有鑑於112年教育部發布之第二期高等教育深耕計畫資安強化專章,各大專院校須進行全校範圍的資安管理措施,又各縣市教育局要求國中小須定期進行校園資安評估和風險分析,具有ISO27001的飛象資訊將提供OKWASP弱點掃描工具整合設備端點防護等技術,協助校級單位快速盤點設備及網路應用服務,進而發現潛在漏洞與威脅,藉由標準化校正措施,排除與修補立即風險,分擔學校資訊人員繁重庶務。



教育單位常見的五個痛點

​學校痛點

解決方案

1. ​系所資訊設備眾多、無統一專責單位負責盤點,又各單位資訊素養能力參差,難以統計與管理。

標的探勘,提供自動發現標的,根據各單位設定網段與網域,探尋潛在、未被盤點的設備或網路服務。

2. 需要進行漏洞修補的設備、網路服務眾多,無足夠人力可以完成。

標的排程檢測,提供大規模、雲端化的自動化排程掃描,設定掃描周期,即可自動完程檢測。

3. 設備所檢測的弱點無系統性整合、歸納,耗費大量人力整理及判讀漏洞類型,導致後續修補漏洞速度緩慢。

標的弱點數據整合,提供符合資安國際標準OWASP TOP 10 2021的弱點分類,統計、歸納不同標的之相同弱點,給予建議處置措施。

4. 需要進行漏洞修補的設備、網路服務眾多,無足夠人力可以完成。

標的標準化修補,提供常見弱點的標準化修補服務。

5. 無資安相關背景知識的人員完成符合政府法規規範的數據統整報告。

合規報告輸出,提供合乎政府規範的資安檢核報告及數據追蹤統計,可自系統匯出報告。


OKWASP核心特色

動態追蹤

採用動態應用程式安全測試,自外部攻擊偵測漏洞

達到合規

遵循法規管理,符合國際資安標準OWASP TOP 10 2021

設定排程

設定每月固定掃描日期與時間,系統自動執行

產製專屬報告

結合弱點分析與OWASP TOP 10統計

建立第三方驗證機制

提供認證徽章


▲OKWASP完整掃描報告範例


▲《資通安全管理法》採購指引懶人包─弱點掃描、滲透測試項目國家推薦廠商─飛象資訊



標記:

bottom of page