Month: 2021-09
| 文章 | 留言 |
|---|---|
|
854292021928070 時間:2021-09-27 19:00 【無資安意識的政府 還需要駭客嗎】 ➡️五倍券網路登記,民眾為搶限量優惠, 短時間內大量連線湧入網站,造成網站大當機, 其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP), 原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。… 更多 OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。 ➡️另一個事件,教育部學習歷程檔案遺失事件, 108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據, 因此這些檔案對於學生來說相當重要, 這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。 資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。 五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。 這兩個事件,都透露出政府資安存在很大隱憂。 政府的智慧化其實代表著, 未來會有更多的政府服務, 會透過科技工具來完成, 而資安的概念不是只有IT人員需要, 而是在整個政策規劃、管理及驗收各單位都需要的概念, 五倍券為了特殊目的在短時間開發出來的系統, 這個系統在規劃的同時是否考量資安相關問題, 在驗收的程序中是否有特別針對資安進行測試。 而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符 這些過程都是可以發現資安問題的關卡。 因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外, 政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估, 以確保政府資訊安全。 說個笑話, 國防部 沒想到誤觸雄三飛彈會射出去 經濟部 沒想到椅子滑會造成核電廠停電 教育部 沒想到手滑會讓學習歷程檔案全消失 #原來滑一滑就能滅國了 #教育部應保證學習歷程檔案不會再遺失 #政府資安真的不能等 圖片
|
教育部長的能力就是將假博士論文封存30年。 |