HOME 回資訊服務處首頁 Login
ITs通訊
搜尋電子報


含詳全文
訂閱電子報
請輸入E-Mail
 
 
2017.02.16 2017年第3期 設為首頁 | 加入最愛 | RSS 訂閱
最新電子報 | 上一期 | 下一期 | 各期電子報


   
中央研究院資訊服務處通訊
中央研究院資訊服務處發行
2017年第3期   民國106年2月16日
行政院函,為防止公務資料外洩,請同仁使用機關配發之電子信箱收發公務所需資訊

 總統府函轉本院,行政院秘書長106年1月12日院臺護字第1050190287號函「為防止公務資料外洩,同仁應使用機關配發之電子 信箱收發公務所需資訊,不得使用非公務信箱進行公務郵 件收發等事宜,請查照。」 ,來函內容如下,請周知辦理:

一、依據105年12月29日資安即國安工作會議結論辦理。

二、考量電子信箱已成為網路犯罪者主要攻擊媒介之一,且目前政府機關為利公務所需,均已配發公務用之電子信箱,機關同仁執行公務均應使用前揭信箱收發公務所需資訊,不宜使用非公務信箱收發,以避免肇生公務資訊外洩之情事。

三、為提升政府整體資通安全防護,並避免網路犯罪之侵害,各機關同仁不應逕行轉發公務電子郵件至非公務信箱處理公務;另公務名片之電子信箱聯絡資訊均應使用公務信箱。

Top

106年資訊處推廣課程公告

上課日期

課程名稱

建議對象

地點

2017/1/17(二)
2017/1/20(五)
14:00-17:00
ACCESS 表單查詢與報表設計 對資料表建立與資料表間的關聯已有概念者 人文館
遠距會議室
2017/01/23(一)
14:00-17:00
MAC系統操作入門 想要學習MAC作業系統者 人文館
遠距會議室
2017/02/15(三)
2017/02/21(二)
14:00-17:00
Word 長篇排版原理與操作 有接觸過基礎排版者 人文館
遠距會議室
2017/02/20(一)
2017/02/22(三)
14:00-17:00
Excel常用函數解析(一) 具備Excel基礎認知者 人文館
遠距會議室
2017/03/15(三)
14:00-17:00
Office範本製作與自動化設定 具備office基礎觀念者 人文館
遠距會議室
2017/04/12(三)
14:00-17:00
Adobe Acrobat 建立PDF相關功能 對 Acrobat Adobe DC 相關應用有興趣者,適合初階至初進階使用者的學習內容 人文館
遠距會議室
2017/04/26(三)
2017/05/03(三)
2017/05/10(三)
2017/05/17(三)
09:00-17:30
Python與大數據與物聯網的實作 需有簡單程式設計基礎,如C/Java、Python並具有高中代數基礎觀念者 人文館
遠距會議室
2017/04/28(五)
14:00-17:00
使用GanttProject進行專案與時程管理 希望將工作項目有效的進行時程管理之使用者 人文館
遠距會議室
2017/05/15(一)
2017/05/18(四)
14:00-17:00
Excel 2013 大數據資料統計與分析(二) 1 熟悉EXCEL 2013使用的同仁
2. 想進一步使用EXCEL 2013樞紐分析功能的同仁
3 想學習PowerPivot進行資料分析的同仁
人文館
遠距會議室
2017/06/06(二)
14:00-17:00
使用GIMP美編軟體進行文宣設計 有需要進行文宣美編設計者 人文館
遠距會議室
2017/06/27(二)
2017/06/30(五)
14:00-17:00
Excel巨集辦公室自動化(三) 孰悉Excel基礎操作之使用者 人文館
遠距會議室

推廣課程聯絡窗口:

中央研究院資訊處 資訊訓練與推廣服務
Email:train@sinica.edu.tw
TEL:02-2789-8863

Top

近期惡意信件整理
 惡意電子郵件主要利用網路使用者的好奇心及其他人性弱點,以聳動的標題、關鍵字或內容,誘使使用者開啟藏有惡意程式碼、附件,或是惡意外部連結的電子郵件;有時,該郵件並會結合新聞時事,或是假冒使用者所認識的往來對象來寄送郵件。使用者於開啟惡意電子郵件後,所使用的電腦設備將可能被植入後門或木馬程式,造成機敏資料外洩之風險。

 同仁除了應定期對所使用電腦之作業系統(如Windows)及應用軟體(如Office、Java等)進行修補程式之更新外,另於開啟電子郵件時,亦請特別留意含有以下所列主旨、內容及附件之郵件:

一、資訊服務處資安組彙整近期院內同仁收到之惡意信件主旨及附檔名供參考:

  • Purchase Order SMT #36535823 & SMKT-8837524
  • Fattura TIM linea Fissa - Gennaio 2017 - scadenza 10/01/2017
  • RE: Order FYI
  • LOS
  • Returned mail: Data format error
  • Mail System Error - Returned Mail

二、有關惡意信件判斷方式可參閱ITs通訊「近期惡意信件案例分析」一文。

Top

資安通報
 資安通報資訊,主要根據「國家資通安全會報技術服務中心」所發布的資安消息而來,舉凡病毒漏洞、弱點檢測、微軟資安等均為通報的主要內容,近期值得同仁關注的資安通報如下,請使用者留意,並儘速更新相關程式及軟體!
Top

完成ebrary 綜合全文電子書資料庫等3資料庫續訂

 資訊服務處已於1月中完成106年度ebrary 綜合全文電子書資料庫的訂續作業,目前此資料庫的電子書已累積13萬8仟多冊,歡迎本院同仁繼續使用。

 Ulrich's Periodical Directory(全球期刊出版目錄資料庫)及PQDT(美加地區博碩士論文摘要資料)106年度的續訂作業亦已完成,同仁皆可透過本院圖書館入口網站之線上資料庫點選使用。

 同仁如對上述資料庫有任何疑問,請逕來電(02-2789-8838)洽詢資訊服務處圖書組管沛緹小姐。

Top

近期協助人文組各所完成「圖資相關電子資料庫」之建置、更新等安裝作業

 資訊服務處近期協助人文組各所完成以下資料庫之建置、更新等安裝作業。此項作業由資訊服務處圖書組收件及協調建置相關連絡事宜,並由系統科同仁及廠商負責資料上傳、安裝及設定等作業。

一、建置安裝:4個單位6個資料庫

  1. 史 語 所 :「西域文物考古全集數據庫」(http://westernregions.ihp.sinica.edu.tw/)
  2. 人文聯圖:「使信月刊」(http://shihsin.hslib.sinica.edu.tw/login_shihsin.htm)
  3. 近 史 所 : 「古今圖書集成」(http://gjtsjc.mh.sinica.edu.tw/erclient/setup.html)
  4. 文 哲 所 : 「永樂大典」(http://yongle.litphil.sinica.edu.tw/erclient/setup.html)
                  「全清經解」(http://quanqing.litphil.sinica.edu.tw/erclient/setup.html)
                  「四部叢刊」(http://sibucongkan.litphil.sinica.edu.tw/erclient/setup.html)

二、更新安裝:3個單位3個資料庫

  1. 史語所:「中國譜牒庫」、「中國方志庫」資料內容更新。
  2. 人社中心及人文聯圖共同採購之「中國時報五十年」索引錯誤也完成修正更新。

 以上資料庫請同仁連線本院圖書館服務最新消息查看及線上資料庫清單中連線使用。若有伺服主機無法連線,請洽詢資訊服務處電子服務台:https://itsdesk.sinica.edu.tw/ticket/ticket.php

Top

105年度圖資會議資料寄發及上網

 105年度「圖資相關電子資料庫」業務會議及「圖資相關電子資料庫採購與維運評估小組」會議之紀錄,以電子郵件方式寄發與會人員存參。另相關會議文件亦放置於「圖書館」服務網頁內(院首頁圖書館圖書館導覽→院內圖書館館際協調會→「圖資相關電子資料庫」業務會議)供同仁參閱 。

Top

一項資料庫開放使用

 以下資料庫開放使用,歡迎試用 :

Top

2017年資安趨勢分析

壹、 前言
 回顧去年資訊科技與資訊安全的相關新聞,雖然有讓人耳目一新的資訊科技與應用,卻也出現腥風血雨的資安問題。現在讓我們先回顧一下臺灣地區去年所發生的幾件重大資安事件,從勒索病毒肆虐、物聯網相關議題延燒、第一銀行ATM盜領事件,乃至於行政院公布資通安全管理法草案,不僅在臺灣資訊界及資安界引起關注,甚至於全臺灣民眾皆爭相討論這些相關議題,此亦加速民眾對於資訊安全知識的渴求,也相對有助於提升民眾的資安意識。本文將延續去年的主題,藉由2016年發生過的資訊安全事件,期對2017年資安趨勢進行整理與分析。

貳、 勒索病毒持續發威
 筆者去年曾在本通訊《2016資安趨勢分析(2016年ITs通訊第10期)》中提及,2016年為勒索軟體之年(詳見參考資料來源1),那新的一年會有什麼變化呢?大多數資安廠商分析2017年資安趨勢時,依然將勒索軟體視為重要且需要持續重視的資訊安全威脅事件。


圖1勒索病毒家族成長趨勢(圖片來源:參考資料2)

 根據趨勢科技的預測,勒索軟體的成長高峰期已過,接下來應會進入穩定期,並讓病毒蔓延至更多的平台(詳見參考資料來源2)。事實上,去年勒索軟體已經將觸角伸至Mac OS X,且在去年年初就已爆發勒索軟體KeRanger成功感染Mac OS X的案例(詳見參考資料3來源)。更甚者,資安專家已經研究出如何讓勒索病毒成功感染行動裝置及穿戴式裝置(詳見參考資料來源4至6)。幸運的,雖已證明技術上可行,但目前為止尚未出現行動裝置用戶受害的案例,推測其原由應該是投資報酬率並不吸引惡意人士進行攻擊。另外,於去年跨年前夕亦傳出LG智慧電視遭到勒索軟體Cyber.Police綁架的新聞,遭到惡意軟體感染的智慧電視型號是LG 50GA6400,內建是使用Android系統平臺的Google TV,也是LG智慧電視最後一代使用Google TV的產品。目前,Google TV已經在2014年6月宣布停止開發,已經由Android TV取代。


圖2 資訊人員Darren Cauthon家中的LG智慧電視感染Cyber.Police勒索軟體(圖片來源:參考資料7)

 由以上種種跡象顯示,勒索軟體的來源不再以單一方式進行,已發展成多元的攻擊模式,幾乎防不勝防,不僅增加使用者在使用資訊產品時的困擾,而產品安全性的保護更成為資訊廠商更重大的挑戰。

參、 物聯網話題延燒

 物聯網讓生活物品藉由網路彼此相連在一起,進而使物件有全球性的整合,這些技術的出現更提升了智慧化的服務,也是目前科技界的熱門話題。物聯網不全然是新興的科技,惟因近期科技的腳步終於發展至可以實現的階段,因此相關的討論及應用技術如雨後春筍般的呈現在世人眼前。物聯網就是「物物相連的網路」,在生活中的各種物體上安裝RFID (Radio Frequency Identification,無線射頻識別系統)感測器或是無線通訊晶片,讓物體透過網際網路連結起來,可以回傳物體的狀態,也能提供人類對物體進行控制。更進一步,物聯網將與媒體網際網路、服務互聯網和企業互聯網構成未來互聯網,其應用範圍可包含運輸、零售、健康照護、能源管理、建築等等,相當廣泛(詳見參考資料來源8)。

 趨勢科技資深協理張裕敏曾表示,越受歡迎且越多人愛用的新興科技,就是駭客努力鑽研的新領域,物聯網當然也難逃此劫,只要物品可以連上網路,即有資料外洩、服務阻斷及未經授權存取行為等等的風險。從特斯拉電動車不斷的被挑戰安全性問題(詳見參考資料來源9)、日本松下航空電子系統(Panasonic Avionics)開發的機上娛樂系統(In-Flight Entertainment Systems)被資安公司IOActive指出存在安全缺陷(詳見參考資料來源10),到運動手環被植入病毒藉此竊取使用者的信用卡密碼等(詳見參考資料來源11),再加上前一章節所述智慧電視感染勒索軟體,都再再顯示駭客的活動範圍越來越廣。


圖3 各種連網設備可能會面臨的攻擊(圖片來源:參考資料12)

 物聯網裝置之所以會成為目標,有幾個可能原因。第一是物聯網裝置從原本的不連網硬是加上連網功能,各廠商為了搶市場先機,將原本的產品加上網路功能,甚至App控制功能,而求快的結果就是犧牲資安考量,加上沒有足夠的資安人員檢視安全性。第二為產品的更新機制問題,早期物聯網裝置需要使用者自行下載韌體更新,有些裝置甚至必須回原廠才能進行更新。不少使用者在沒有便利更新機制的情況之下,會選擇不予更新,因此暴露了更多的安全性問題,廠商也相對面對嚴峻的挑戰。第三是「敵暗我明」,資訊安全本身為攻擊者與防禦者之間的資訊不對稱戰爭,防禦者通常憑藉著自己的知識跟想像進行防禦,但對於攻擊者的思維與手法難以掌握,唯有了解攻擊者才有機會化解不對稱的情形(詳見參考資料來源13)。

 另外,亦有人討論物聯網的信任管理議題。有學者認為,物聯網的信任管理在資料流、資料探勘、服務水準,甚至使用者隱私保護及資安等方面都要扮演重要的角色。物聯網系統應該建構完善的信任管理,以期達到「信任」、「安全性」及「隱私」兼顧的狀態,確保物聯網系統與該系統的使用者無論在接受度或使用率都能達到最佳的狀態,至於以上所述,因此有了物聯網信任管理模型(詳見參考資料來源8)的出現。

肆、 財務部門提高警覺

 相較於勒索軟體,「變臉詐騙(Business Email Compromise)」及「商業流程入侵(Business Process Compromise)」更是在去年讓全球企業財務部門避之唯恐不及。變臉詐騙為攻擊者駭進某個企業電子帳號,再透過該帳號指示某員工將一定金額匯至指定帳戶。商業流程入侵則利用入侵企業的系統,攔截或竄改交易資料,並讓企業執行錯誤的資料,讓網路犯罪集團藉此獲利。上述兩種攻擊行為皆可造成受害者龐大的金額損失,後者更可將損失金額拉高至8,100美元(詳見參考資料來源14)。


圖4 2016上半年遭變臉詐騙的地區(圖片來源:參考資料14)

 變臉詐騙實際上使用的手法即為電子郵件社交工程,請各位讀者再回想一下前年6月日本年金機構發生的125萬筆國民個資外洩事件,即為機構內員工不慎打開惡意電子郵件所致(詳見參考資料來源15)。商業流程入侵則需要對機構處理金流的流程有更深一層的知識,只要掌握關鍵流程,大把鈔票就能手到擒來。企業對於這兩類攻擊難以防範的原因,不外乎未有偵測到任何病毒或與病毒有關的異常行為。要針對這類攻擊進行防範,企業可採取應用程式控管等資安技術機制,並加強端點防護以及落實內部資安政策及作業程序。

伍、 漏洞排名爭奪戰

 
圖5 2016漏洞數量排名(圖片來源:參考資料來源16)

 2016年Android系統的漏洞數量及排名皆大躍進,一舉奪下寶座,去年冠軍Mac OS X則跌至第11名,漏洞數量也較去年減半,但根據ZDI (Zero-Day Initiative)漏洞懸賞計畫的發現,Apple產品被新發現的漏洞數亦有成長趨勢。

 2017年除了固定先發名單Adobe產品之外,面對Apple產品的安全性漏洞,已經不能抱著僥倖的心態。因為惡意人士已經將焦點放在Apple產品平台的漏點,加上Apple產品的市佔率逐年提高,同時代表漏洞所影響的人數將逐年攀升,歹徒們更是蓄勢待發。除了企業需補強漏洞防堵技術,使用者本身也應妥善保護自己的個人電腦及行動裝置,養成隨時將系統更新至最新版的習慣。

陸、 新法規上路

 歐盟於去年六月通過通用資料保護法規(General Data Protection Regulation, GDPR),預計於2018年上路,屆時凡是需要蒐集、處理及儲存歐盟人民個人資料的企業機構,若違犯該法規將可能被處以該公司全球營收的4%罰鍰。該法對於企業的規範要求計有:設置資料防護長、使用者須被告知最新權益、企業只能蒐集絕對必要的資訊等,該法的出現迫使企業必須重新檢討資料處理流程以期能符合新的規範(詳見參考資料來源2及17)。

 國內於去年九月公布了資通安全管理法草案,以資通安全管理為核心,共有總則、公務機關規範條款、非公務機關規範條款、罰則和附則,草案明訂公務機關要訂定資安維運計畫,並進行資安事件通報。對於績效優良的公務機關應予獎勵,但公務機關所屬人員未遵守資安義務,導致國家或社會受有重大損害時,除依法追訴外,並追究其行政責任,另行政院將統一訂定資安風險評估準則供公務機關使用(詳見參考資料來源18)。

柒、 結語

 近期發生的重大資安事件,一再凸顯隱私議題為社會大眾最為關心的課題,就連本屆美國總統大選也與此議題有所牽扯。為了不讓我們的隱私無故公諸於世,我們需妥善管理身邊的所有資訊設備,養成良好的使用習慣;企業無論是面對內憂或者外患,或是面對自家出產的資訊設備,未來將面臨諸多安全性挑戰,皆有待企業一一克服。筆者於去年提及之資安情資交換,依然是一項不容忽視的議題,去年9月行政院資通安全處曾提及建立情報驅動之國家層級資安聯防架構(詳見參考資料來源19),顯示政府在資安威脅情資分享有了構想,但離真正落實似乎尚有一段長遠的路要走。

參考資料來源

  1. 林子煒,《2016資安趨勢分析》,中央研究院資訊服務處ITs通訊,2016年第10期. URL: http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3590
  2. 趨勢科技全球技術支援與研發中心,《資安攻防新層次—趨勢科技2017年資安預測》,趨勢科技,2016
  3. iThome,《勒索軟體KeRanger為何瓦解OS X安全神話》(2016/03/22). URL: http://www.ithome.com.tw/news/104773
  4. Trendlabs Security Intelligence Blog, “Ransomware Moves to Mobile” (2015/05/26) URL. http://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-moves-to-mobile/
  5. iThome,《賽門鐵克:智慧手錶也將成勒贖軟體下一波目標》(2015/08/12) URL. http://www.ithome.com.tw/news/98034
  6. Symantec Security Response, “The dawn of ransomware: How ransomware could move to wearable devices” (2015/08/06) URL. http://www.symantec.com/connect/blogs/dawn-ransomwear-how-ransomware-could-move-wearable-devices
  7. iThome,《驚!家中電視螢幕跳出FBI付款通知,原來是LG智慧電視感染Cyber.Police勒索軟體》(2016/12/30) URL. http://www.ithome.com.tw/news/110705
  8. 許建隆、林子煒,《物聯網(IoT)之發展與信任挑戰》,主計月刊,第726期,頁22-27,2016
  9. TechOrange科技報橘,《【下一站:地獄?】特斯拉最大漏洞被駭,你的無人車就是駭客的玩具遙控車》(2016/09/20) URL. https://buzzorange.com/techorange/2016/09/20/tesla-has-been-hacked/
  10. threatpost, “Panasonic, IOActive Clash on Vulnerability Report” (2016/12/21) URL. https://threatpost.com/panasonic-ioactive-clash-on-vulnerability-report/122663/
  11. Alexandra Burlacu, “Warning: Your Wearable Device Can Track Your ATM PIN And Give It Away,” Tech Times. (2016/07/07) URL. http://www.techtimes.com/articles/168856/20160707/warning-your-wearable-device-can-track-your-atm-pin-and-give-it-away.htm
  12. Joe Hanson, “The 10 Challenges of Securing IoT Communications,” PubNub. (2015/05/04) URL. https://www.pubnub.com/blog/2015-05-04-10-challenges-securing-iot-communications-iot-security/
  13. Allen Own,《IoT設備商別成為幫兇—從Dyn DDoS攻擊事件看IoT安全》(2016/12/26) URL. http://devco.re/blog/2016/12/26/a-look-into-the-growth-of-IoT-DDoS-attacks/
  14. TrendLabs, “Enterprise Network Protection: Business Email Compromise,” TrendMicro, 2016
  15. 林子煒,《你該面對的電子郵件社交工程之威脅與災難》,中央研究院資訊服務處ITs通訊,2015年第16期. URL:  http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3390
  16. CVE Details, “Top 50 Products By Total Number Of "Distinct" Vulnerabilities in 2016” (2017/01/16) URL. https://www.cvedetails.com/top-50-products.php?year=2016
  17. Wikipedia, “General Data Protection Regulation” (2017/01/16) URL. https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
  18. iThome,《搶先了解!資通安全管理法草案架構與法條》(2016/10/10) URL. http://www.ithome.com.tw/news/108923
  19. 簡宏偉,《當前資安情勢與未來推動重點》,行政院資通安全處(2016/09/22) URL. http://www.ey.gov.tw/DL.ashx?u=%2FUpload%2FRelFile%2F19%2F741464%2F1ea97c3e-c045-4352-b500-dd9b7cc4fd97.pdf
Top

  創刊日期:74年10月15日
  發行人 :王大為
    
  總編輯 :江世民
  編輯小組:葛行慧
    
  網站技術:網頁技術及出版組
  出版日期:民國106年2月16日
    
  服務專線:(02)2789-9866
  E-mail:publish@gate.sinica.edu.tw


訂閱與取消訂閱 | 各期通訊 | 中研院資訊服務處 | 中央研究院

本電子報所有文字、圖片版權為中央研究院所有,未經許可請勿轉載。
如對本報有任何意見,請
與我們聯繫。
   
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。