作者:李墨軒 / 臺灣大學計算機及資訊網路中心程式設計組行政專員
現在資安是大家都要關心的議題,每日都有不同的資安事件可能發生在我們的四周。本篇就來說明,遇到疑似或確認發生資安事件的時候,要如何進行通報與應變的處理。
什麼是資安事件,以及什麼時候要通報?對於資安事件的定義,可參考資安法的解釋:
「資安事件指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。」
當發生或接獲疑似資安事件的時候,應該先確認機密性、完整性及可用性(簡稱CIA)是否有受到影響。CIA其中一項為1級或以上就是資安事件,並且需要通報。根據資通安全事件通報及應變辦法,事件等級判定要先定義系統是否為核心或關鍵基礎設施(簡稱CI),並要先定義可容忍中斷時間(Maximum Tolerable Period of Disruption, MTPD,指業務流程發生中斷後不會導致業務造成無法回復的傷害之最大可容忍的時間)。
|
資安事件等級判斷可參考以下表格:
|
|
等級
|
機密性衝擊
|
完整性衝擊
|
可用性衝擊
|
|
1級
|
非核心輕微洩漏
|
非核心輕微竄改
|
非核心且中斷時間<MTPD
|
|
2級
|
非核心嚴重洩漏、
核心輕微洩漏
|
非核心嚴重竄改、
核心輕微竄改
|
非核心且中斷時間>MTPD、
核心且中斷時間<MTPD
|
|
3級
|
核心嚴重洩漏、
CI輕微洩漏、
個資外洩
|
核心嚴重竄改、
CI輕微竄改
|
核心且中斷時間>MTPD、
CI且中斷時間<MTPD
|
|
4級
|
CI嚴重洩漏、
國家機密洩漏
|
CI嚴重竄改、
國家機密竄改
|
CI且中斷時間>MTPD
|
- 負責人可依據上述內容判斷C I A衝擊等級。若都沒有受到衝擊,則不定義為資安事件,不需要向主管機關通報。
- 當事件確認為資安事件時,需進行通報及應變。校內通報流程為,填寫資安事件通報單,並交給計中,由計中向主管機關進行通報。從確認為資安事件,並向主管機關進行通報需在一個小時內完成。
- 遇到資安事件,在通報的同時要做應變。應變是指臨時的止損措施,也就是在造成資安事件發生的原因消除之前,不要讓損失擴大的處置。教育部要求,平時就要準備網頁的靜態頁面,在發生資安事件時,可以在短時間切換至靜態頁面。以避免有問題的網頁繼續在公開網路上服務。若是無法準備完整網站的靜態網頁,也可以製作維護中的網頁用以切換。只要在維護中的網頁列出單位的聯絡資訊,以維持單位的正常服務。如果發生資安事件的是IoT設備,應變措施可以先限制可連線的IP,以阻斷駭客連線的方式,避免進一步的影響。
- 在通報與應變結束後,需要對事件進行分析及系統復原。事件分析是為了找到發生資安事件的原因,以防止之後類似的事件再度發生。系統復原可以是重灌系統,或是消除有問題的檔案。因為系統重灌是較簡單及保險的方式,建議平常就要定期備份檔案,以維持檔案的正確性。
- 資安事件已經天天發生,沒有人知道什麼時候會遇到。平常做好防護及備份,並且實行演練,在事件發生的時候才能讓服務盡快恢復,也能讓損害降至最低。