搜索
980115.ppt©CCISA(KJF)p1一、前言二、資訊安全事故情境分析框架初探三、資訊安全風險評鑑循環性取徑實作簡析-根基於給水廠液氯處理系統四、資訊安全風險管理剖繪芻議五、結論重要民生基礎建設資訊安全風險評鑑[CNS(ISO/IEC27005:2008-06-15)]初探中華民國九十八年三月十五日中華民國資訊安全學會樊國楨980115.ppt©CCISA(KJF)p2國票公司一百億風暴事件簿1.1988~1993年:楊瑞仁先生於23歲時之1988年進入國票總公司擔任作業部交易員,1993年5月調職板橋分公司,升任交易員。2.1994年:楊瑞仁先生察覺公司存在內部控制之脆弱性,開始偽造商業本票。3.1995年:3.1楊瑞仁先生於1995年7月31日自國票公司離職。3.21995年8月2日,調查局追查高興昌公司炒股案,意外查出楊瑞仁先生盜領N.T.$38,700,000,000.元商業本票。3.31995年8月5日,國票客戶擠兌逾N.T.$26,000,000,000.。3.41995年8月7日,財政部與中央銀行會商,由中國國際商業銀行等5家銀行支援國票公司以度難關。3.51995年8月9日,國票公司板橋分行王慶祥經理跳樓身亡。980115.ppt©CCISA(KJF)p3國票公司一百億風暴事件簿(續)4.1996年:4.11996年8月13日,法院判楊瑞仁先生13年有期徒刑,併科N.T.$3,000,000,000.罰金。4.21995年12月13日,國票公司民事賠償勝訴,楊瑞仁先生應賠償國票公司N.T.$10,220,000,000.。5.1998年:5.12008年8月,楊瑞仁先生與國票公司達成協議,出獄後6年半內先償還國票公司N.T.$4,000,000,000.,其餘N.T.$6,200,000,000.。5.22008年11月28日,劉承武檢查官,最後追出之金額為N.T.$11,655,000,000.。楊瑞仁先生也和國票公司簽定了第1階段的清償計畫,將以開設網路公司進行電子商務,在6年半內,先償還N.T.$4,000,000,000.。6.資料來源:成章瑜等(2008)台灣史上最大金融罪犯楊瑞仁出獄了百億大盜-獄出告白,商業週刊,1099期,頁68~78,2008年12月。980115.ppt©CCISA(KJF)p4國際金融票券金融公司一百億風暴事件1.1994年9月11日,楊瑞仁先生萌生偽票交易意念,3天後(1994年9月14日)楊瑞仁先生偽造的第1筆N.T.$300,000,000元的商業本票,被用來作案的公司行號是台灣石材公司。2.楊瑞仁先生突破層層關卡的關鍵因素:2.1利用電腦偽造交易,再予以刪除。2.2利用人頭戶盜領資金。2.3利用票券業「代客兌償」的漏洞。3.據估計,自1994年9月14日起,至1995年8月4日止,楊瑞仁先生總共偽造了上千張商業本票,總面額達N.T.$38,755,000,000元,扣除續作或是以票易票等重複金額,實際詐領之金額為N.T.$9,801,614,259元,案發後尚未到期的商業本票面額為N.T.$10,220,000,000元。4.國票事件,其板橋分公司共有3人涉案。5.資料來源:刁明芳(1997)一百億國票風暴,天下文化出版股份有限公司。980115.ppt©CCISA(KJF)p5台灣銀行信託部營業部國票板橋分公司正副主管營業股國票總公司作業部營業員交割員國票之支存帳戶股票市場人頭帳戶其他金融機構假成交單盜製之商業本票交割員(楊某)假成交單盜製之商業本票營業員(楊某)主管(楊某)盜製之商業本票副主管(楊某)交易刪除畫面假交易之賣出成交(4)將盜製之商業本票賣給台銀信託部(2)列印假交易之融資性商業本票賣出成交單(1)盜製商業本票a.盜取空白本票b.盜刻客戶章c.盜蓋保證章、簽證章(3)立即將假交易從電腦刪除(14)回籠買進成交單假交易之賣出成交附條件買回交易賣出成交(8)根據楊某所言列印置附條件買回交易賣出成交單a.人頭戶名稱b.該款項撥款帳戶c.天期、利率(9)依附條件買回交易解約(交易到期)程序列印買進成交單(10)依據買進成交單撥款(7)電話偽稱該款項為楊某人頭戶買票金額(6)台銀營業部電話照會款項入帳(5)撥款$(12)炒作股票$(11)撥至人頭戶$(13)還款給台銀信託部,以贖回本票$國票事件作業流程示意980115.ppt©CCISA(KJF)p6雙時間關係資料庫邏輯設計1.處理:1.1新增(Insert)。1.2刪除(Delete)。1.3修改(Modify)。1.4萃取(Retrieve)。2.時間:2.1處理時間。2.2有效時間。3.資料來源:Bjork,L.A.(1975)GeneralizedAuditRequirementsandConceptsforDatabaseApplication,IBMSystemsJ.,Vol.14,No.3,pp.229~245.980115.ppt©CCISA(KJF)p71995~2000之回顧1.認知:自1997年起,定期辦理資訊安全訓練推廣活動。2.行政規定:2.11999年9月15日,台八十八經字第三四七三五號函訂頒「資訊安全管理要點」。2.21999年11月16日,以(88)會訊字第05787號函頒「資訊安全管理規範」。980115.ppt©CCISA(KJF)p8發動攻擊所需具備之知識門檻示意圖資料來源:StephenD.Crocker,(2004),ProtectingtheInternetFromDistributedDenial-of-ServiceAttacks:AProposal,ProceedingsoftheIEEE,Vol.92,No.9,September2004,pp.1375-1381,Fig.3.高低電子郵件繁殖的惡意程式碼(emailpropagationofmaliciouscode)偷竊/進階掃描技術(“stealth”/advancedscanningtechniques)使用NNTP做廣泛之分散式攻擊(widespreadattacksusingNNTPtodistributeattack)在DNS基礎建設上廣泛攻擊(widespreadattacksonDNSinfrastructure)可執行程式碼攻擊[executablecodeattacks(againstbrowsers)]自動廣泛攻擊(automatedwidespreadattacks)GUI入侵工具(GUIintrudertools)攔截會談(hijackingsessions)網際網路社交工程攻擊(Internetsocialengineeringattacks)封包欺騙(packetspoofing)自動化探索/掃描(automatedprobes/scans)widespreaddenial-of-serviceattacks在沒有原始碼狀態下分析程式碼脆弱性之技術(techniquestoanalyzecodeforvulnerabilitieswithoutsourcecode)分散式阻斷服務攻擊(DDoSattacks)蠕蟲增殖(increaseinworms)精密的指令及控制(sophisticatedcommand&control)防鑑識技術(Anti-forensictechniques)居家使用者目標(homeuserstargeted)分散式攻擊工具(distributedattacktools)持續增加的大規模木馬程式分佈(increaseinwide-scaleTrojanhorsedistribution)視窗版的可遠端控制木馬(後門)程式[Windows-basedremotecontrollableTrojans(BackOrifice)]入侵者知識(IntruderKnowledge)攻擊精密度(AttackSophistication)19902004980115.ppt©CCISA(KJF)p9網路黑手黨例-大隻佬6號(Sobig.F)惡意程式1、2003年8月18日,有人盜用之信用卡帳號在Easynews網站開戶,加入專看色情資訊的討論群組。7分鐘後,一則訊息上網,使用者開啟此訊息乍看是色情圖片之附檔,立刻被大隻佬6號(Sobig.F)入侵,大隻佬6號就此進入數位社會。2、2002年1月9日大隻佬1號問世以來,到2003年7月14日大隻佬5號被破解時,大隻佬已越來越難處理,此惡意程式入侵後下載鍵盤偵測程式並安裝後門。3、2003年8月19日16時55分,大隻佬6號已成為數位空間世界級威脅之一。4、2003年8月21日14時,大隻佬6號最後之區塊被解碼,得知2003年8月22日22時,所有被大隻佬6號入侵的電腦將從分布在美國、加拿大與南韓20部伺服機之一聯繫並被引導至一個網站下載程式。5、2003年8月22日,經由美國聯邦調查局、微軟公司之協助的國際合作,終於將大隻佬6號第2階段攻勢所繫之20部伺服機失能,唯大隻佬6號當天晚上究竟要下載什麼,則未得知。6、微軟公司懸償U.S.$250,000,徵求大隻佬6號法律證據,業界相信大隻佬6號是一椿涉及金錢的「網路黑手黨」之行動。980115.ppt©CCISA(KJF)p10駭客(Hacker)源池簡述1.1971年五朔節(MayDay),國際青年會線(YouthInternationalPartyLine,簡稱YIPL)於美國紐約格林威治成立;數年後,YIPL轉型成為技術助理計畫(TechnologicalAssistanceProgram,簡稱TAP),由聚集在破解電話系統之飛客(Phreaks)成長為專注於資訊技術的駭客社群。2.1976年:2.1美國聯邦調查局(FederalBureauInvestigation,簡稱FBI)舉辦並創建4星期之電腦犯罪訓練課程。2.2美國AbrahamRibicoff推動聯邦系統保護法(FederalSystemsProtectionAct),於1986年成為電腦詐欺與濫用法(ComputerFraudandAbuseAct,簡稱CFAA)。3.1984年,美國舊金山舉行第1次駭客會議(HackerConference)。980115.ppt©CCISA(KJF)p11建立我國通資訊基礎建設安全機制計畫1.2000年5月,國家安全會議奉總統指示,研提「建立我國通資訊基礎建設安全機制」建議書。2.2000年8月30日,總統核定「建立我國通資訊基礎建設安全機制」建議書,並轉送行政院規劃辦理。3.2001年1月17日,行政院第2718次院會核定通過,2000年4月24日行政院院長核定第1次修訂,2000年6月6日行政院院長核定第2次修訂第1期(2001~2004年)之「建立我國通資訊基礎建設安全機制計畫」,並成立行政院國家資通安全會報負責推動。980115.ppt©CCISA(KJF)p12建立我國通資訊基礎建設安全機制計畫(續)4.2002年2月13日,行政院國家資通安全會報(91)資安發字第0140號函,律訂3,713個重要政府機關與20個影響國家安全、社會安定的國家重要基礎建設資訊系統之資通安全整體防護體系及管理措施。5.2004年3月30日,行政院國家資通安全會報公布第2期(2005~2008年)之「建立我國通資訊基礎建設安全機制計畫」。6.2005年9月28日,行政院國家資通安全會報資安發字第0940100802號函,公布預定2006年1月正式實施「政府機關(構)資訊安全責任等級分級作業施行計畫」。7.2006年10月25日,行政院國家資通安全會報資安發字第0950100631號函,核定「政府機關(構)資訊安全責任等級分級(A級單位:61、B級單位:294、C級單位:756、D級單位:5686,合計6797個單位)結果」。980115.ppt©CCISA(KJF)p13建立我國通資訊基礎建設安全機制計畫(續)8.2007年2月15日,行政院國家資通