安資捷股份有限公司

  • 增加字體大小
  • 預設字體大小
  • 減少字體大小
Home 台銀採購專區 個資安全防護包

個資安全防護包

gov101_01_fig_01

台銀 101 年電腦軟體標:LP5-101002 第六組 173 項次

本項個資安全防護包,共有 5 個模組,分別為(a)個資流程清查模組、(b)個資風險評鑑模組、(c)個資自動盤點模組、(d)個資郵件危機意識演練防護模組、(e)網站個資安全檢測模組。詳見下面說明。

gov101_01_fig_02
圖1 個資安全防護包各模組導入順序建議

快速連結:(a)個資流程清查模組、(b)個資風險評鑑模組、(b1)個資法規遵循評鑑模組、(b2)個資資安驗證模組、(b3)個資 APT 風險鑑識模組、(c)個資自動盤點模組、(d)個資郵件危機意識演練防護模組、(d1) 個資郵件 APT 危機防護模組、(e)網站個資安全檢測模組 (e1)網站個資掃描盤點檢測模組、 (e2)網站個資系統弱點檢測模組

(a)個資流程清查模組

  • 個資清查掌全貌,對症下藥見績效
    企業或機關的個人資料以各種型態(如:檔案、資料庫、表單、報表等)散落在各作業流程、電腦設備、資訊系統、儲存媒體、文件櫃或檔案室中。企業或機關該如何在千頭萬緒的個資防護要求下,著手規劃可以符合個資法要求也能強化個資保護的行動方案?首要應該先針對業務流程與個資進行完善清查與風險評鑑,方能根據風險所在與高低,對症下藥進行風險處理與管理,善用預算資源創見績效。
  • 模組簡介

    本項模組就是對企業或機關內擁有的個資進行完整詳細的清查,讓個資在組織內的實際運用現況透過「個資流程圖」全盤呈現出來。接續運用風險評鑑技術,量化個資的詳細風險現況,提交「個資風險評鑑報告」,以利企業或機關依據個資風險大小與風險所在,提出有效的個資風險處理方案,並依風險大小排定風險處理的優先 次序。企業或機關後續可考量進一步導入符合國內外標準精神的【個人資訊管理系統(PIMS)】、【資訊安全管理系統(ISMS)】或進行【個資法遵循性評鑑】, 以持續的監控及改善組織對個人資料的保護,善盡保護及管理的個資法定責任。

  • 作業流程與個資之清查
    個人資料的「蒐集」、「處理」、「利用」及「國際傳輸」與企業或機關之【作業流程】息息相關,透過作業流程的分析,將可清查出下列與個資相關之資訊,詳見《圖2》所示:
pia-fig-1
圖2 個資流程圖(範例)
  • 圖示說明
    • 個資處理的相關【人員、資訊系統與儲存所】
    • 個資呈現的方式【表單、報表、螢幕、資料庫、磁帶等】
    • 個資流動之關聯及儲存的個資項目實際內容
    • 個資蒐集與國際傳輸的位置
    • 內部處理與外部處理之邊界(信任邊界)
  • 授權方式/交付項目
    • 本模組授權方式
      可支援【3個】 (含以下)作業流程
    • 本模組交付內容
      個資流程圖
      個資檔案清冊

(b)個資風險評鑑模組

  • 模組架構
    安資捷所提供之「(a) 個資流程清查模組」與「(b) 個資風險評鑑模組」,將依據 ISO/IEC 27005:2008 之風險管理程序作為理論基礎,整體進行的步驟及相關產出文件,詳見《圖3》所示。另可根據需求增購  (b) 之擴充模組,詳見 (b1)、(b2) 與 (b3)  說明。
pia-fig-2
圖3 個資清查暨風險評鑑服務服務流程圖
  • 預期效益
    • 全盤瞭解單位個資現況
      透過【個資流程圖】可以讓負責管理個資之相關人員,全盤掌握個資在企業機關中的儲存位置、處理人員與系統、個資蒐集來源、傳送與交換的目的 及 個資的數量。
    • 提出符合單位需求的改善建議
      鑑於個資的清查與風險評鑑都是依據企業機關的現況來進行分析與評估,因此本專案依據目前面臨的真實風險所相對提供的改善建議,乃依據風險高低之等級相互呼應,助於確保提出的改善建議最能符合企業機關需求與成效。
    • 運用外部顧問專業技能與經驗降低人員訓練成本與提高專案品質
      本項服務中的相關工作需要高度的資安專業能力與豐富經驗,並對於個人資料保護法與 國內外資安相關標準要求(ISO 27001 或者 BS 10012)與其實作方法要相當瞭解及熟悉。因此企業機關可運用外部顧問之專業技能與經驗,以最有效率與品質水準的要求下,提出企業機關因應個資法實施後所應改善及調整的工作計畫,助於降低內部人員之訓練成本並確保專案成效與品質。
  • 授權方式
    • 本模組為【a模組】個資流程清查模組之擴充延伸模組,建議先行具備【a模組】之授權。 本模組授權方式:一次性授權
    • 可支援【3個】(含以下)作業流程
  • 交付項目
    • 個資風險評鑑報告
    • 個資風險處理建議

(b1)個資法規遵循評鑑模組

  • 模組架構
    安資捷所提供之「(b1) 個資法規遵循評鑑模組」,將於風險評鑑作業後,依據個人資料保護法及施行細則為基礎,進行設定範圍內的個資法遵循性評鑑作業並產出相關文件,詳見圖4所示。
gov101_01_04
界定個資法遵循性評鑑作業範圍, 依照範圍的大小及複雜度估算評鑑所須的人天數(參考ISO27006要求)。
圖4 個資法遵循評鑑模組服務服務流程圖
  • 預期效益
    • 全盤控管單位的個資現況
      透過外部評鑑, 全盤檢視個資在企業機關中的風險、作業落實度、流程有效性及與個資管理目標的達成度。
    • 提出符合單位需求的改進機會
      針對個人資料保護法及施行細則,,提出企業機關內可以再優化的空間,以持續改善的精神不斷的強化企業機關的個資安全。
    • 展現對於個資法規的良善管理作為
      本項服務中的評鑑工作結合了驗證機構的專業稽核師與法界專家進行評鑑作業,評鑑結果具備公正性與可信度,,也可使企業機關能夠及時的進行預防與矯正措施, 避免誤觸法規, 為最佳的對於個資法規的良善管理作為的展現。
    • 展現企業機關對個資管理的承諾
      通過安資捷個資聯盟之國際知名驗證機構的個資法遵循性評鑑,可以展現企業機關的管理階層對個資管理的承諾、增加相關團體的信心、增加客戶信心、提升形象與知名度、展現對個資管理的持續優化的機制。
  • 授權方式
    • 本模組為【b模組】個資風險評鑑模組之擴充延伸模組,建議先行具備【b模組】之授權。
    • 本模組授權方式:每年授權(評鑑證書的有效期一年)
  • 交付項目
    • 評鑑報告
    • 評鑑證書

(b2)個資資安驗證模組

  • 模組架構
    安資捷所提供之「(b2) 個資資安驗證模組」,將於風險評鑑作業後,依據 ISO/IEC 或 CNS 27001 之資訊安全管理系統(ISMS)國際或國家標準為基礎,進行導入設定範圍內的驗證、定期複核並產出相關文件,詳見圖5所示。
gov101_01_05

界定個資法遵循性評鑑作業範圍, 依照範圍的大小及複雜度估算驗證及定期複核所須的人天數(參考ISO27006要求)。
圖5 個資資安驗證模組服務服務流程圖
  • 預期效益
    • 全盤控管單位資安與個資現況
      透過外部稽核,全盤檢視資安及個資在企業機關中的風險、作業落實度、流程有效性及資安與個資目標的達成度。
    • 提出符合單位需求的改進機會
      針對 ISO/IEC 或 CNS 27001 標準,提出企業機關內可以再優化的空間, 以持續改善的精神不斷的強化企業機關的資訊與個資安全。
    • 展現對於個資法規的良善管理作為
      本項服務中的稽核工作亦將針對個資法施行細則中【第12條】的【十一個】適當安全維護措施、安全維護事項或適當之安全措施做出對應的查檢,使企業機關能夠及時的進行預防與矯正措施,避免誤觸法規,為最佳的對於個資法規的良善管理作為的展現。
    • 展現企業機關對資安與個資管理的承諾
      通過安資捷個資聯盟之國際知名驗證機構的驗證,可以展現企業機關的管理階層對資安與個資管理的承諾、增加相關團體的信心、增加客戶信心、提升形象與知名度、展現對資安與個資管理的持續優化的機制。
  • 授權方式
    • 本模組為【(b) 模組】個資風險評鑑模組之擴充延伸模組,建議先行具備【b 模組】之授權。
    • 本模組授權方式:每年授權(若通過驗證及定期複核,授權使用 ISO/IEC 或 CNS 27001證書)
  • 授權方式
    • 稽核報告
    • 證書(若通過或須換發)

(b3)個資 APT 風險鑑識模組

  • 如何確定機關單位是否被植入惡意程式?

    根據美國國會資安委員會發布的報告,高達【96% 】的機關單位被植入惡意程式卻不知不覺,直到被外部告知已遭到駭客入侵後才後知後覺。Verizon 與美國秘密特工處調查發現,僅有極少數的資安入侵活動,是在數小時內被發現,但超過八成是活動數週或數月後才曝光。在這個資安攻防嚴重失衡的年代,身為資訊安全管理者,您需要更有效的 APT 風險鑑識工具,平時或者機動檢視 APT 攻擊所潛伏的網路間諜活動,並降低個資與機敏資料外洩風險所帶來的衝擊。

    由於 APT 攻擊大多是國家資助或企業級的組織型駭客所發起,它們多半配備精良的資訊攻擊武器,導致所植入的惡意程式或木馬,不但機關單位現有之防毒軟體難以偵測,通常僅能事後仰賴有經驗的人員或者顧問判讀龐雜的軌跡紀錄(Log)進行調查,往往耗日費時又為時已晚。

    因此,面對 APT 疑似 或者 已經 或者 屬於高風險之受駭電腦的惡意程式清查,對資安人員而言,主要難題有下列三點:
    一、無法快速清查受害範圍。
    二、無法完整且正確、有效識別潛藏的惡意程式。
    三、缺乏清楚完整的鑑識報告。這些課題都迫切需要有效的自動化工具來解決。
  • 模組簡介
    本模組採用安資捷個資聯盟之 Xecure Lab 的 XecRay APT 風險鑑識架構,透過自主研發的 APT DNA 鑑識技術,能全自動化分析受駭主機中的 APT 惡意程式行為。不需仰賴傳統惡意程式的特徵資料庫比對方法,透過創新的掃描技術,即可有效識別已知與未知的潛伏惡意程式與木馬。將可協助資安人員、事件應變人員、IT人員快速調查隱蔽於電腦中的惡意程式與木馬。
    • 本模組如同綠色軟體,不需安裝,USB 模式隨插隨掃。
    • 軟體執行不需常駐,符合鑑識調查需求。
    • 操作簡單,全程自動化處理並運行快速。
    • 針對需調查的主機、電腦,將具備本模組之USB 插入欲檢查之電腦裝置,即自動化的進行掃描,並快速的呈現惡意程式鑑識報告。
    • 本模組之記憶體鑑識結果畫面如【右圖】。
    gov101_01_06
  • 模組功能特色
    • 主機系統資訊盤點
    • APT惡意程式檢測
    • 全自動化記憶體鑑識
    • 全自動化攻擊特徵分析
    • 惡意程式網路活動分析
    • 隱藏式間諜軟體偵測
    • 支援端點離線分析
    • 端點資安應變處理報告
    • 全中文化分析報告
    本模組 XecRay 詳細鑑識分析結果與縱深防禦情報匯出,詳見右圖!
    gov101_01_07
  • 縱深防禦/情資綜效
    • 可準確檢測出受駭裝置被植入的 APT 惡意/後門/木馬程式,並可分析出該 APT 惡意程式相關的中繼站資訊。這些情資可自動匯出網路活動特徵 ( 例如:Snort Rule),透過與機關單位現有其它之網路監控、防護設備進行縱深防禦整合,以增強機關單位的 APT 自我防禦能量。
    • 同時本模組 XecRay 可分析出惡意程式的行為,例如:修改的作業系統機碼、注入的執行檔、生成的額外檔案…等等行為軌跡。適當運用這些入侵/惡意軌跡資訊整合至主機型入侵防禦系統(HIPS)、端點防護工具,將可以積極防止機關單位內 APT 攻擊的蔓延。
    • 本模組亦可整合【(d1) 個資郵件 APT 危機防護模組(XecMail)】,將該模組所發現之可疑惡意文件送至本模組 XecRay 進行惡意行為分析,助於更詳盡的風險鑑識報告,整合架構如右圖。
    • 本模組可以擴充【企業版】,搭配 AD 或第三方軟體派送佈署於端點電腦設備中,定時啟動排程掃描,集中彙整成機關 APT 健檢報告,以瞭解整體 APT 活動受害範圍,以便後續的應變作業。
    gov101_01_08
  • 授權方式
    • 【兩套】個資 APT 風險鑑識模組
  • 交付項目
    • 個資郵件 APT 風險鑑識模組 (XecRay 軟體授權)
    • 安裝與教育訓練課程(三小時)

(c)個資自動盤點模組

  • 個資清查掌全貌,自動盤點見績效
    企業或機關的個人資料以各種型態(如:檔案、資料庫、表單、報表等)散落在各作業流程、電腦設備、資訊系統、儲存媒體、文件櫃或檔案室中。企業或機關該如何在千頭萬緒的個資防護要求下,著手規劃可以符合個資法要求也能強化個資保護的行動方案?首要應該先針對分散於各地的電子型態個資進行完善清查,方能根據個資所在與風險高低,對症下藥進行相對風險處理與管理,善用預算資源創見績效。
  • 模組運作架構
gov101_01_fig_03
圖6 自動化個資盤點運作架構圖
  • 特色效益
    • 完整瞭解【機敏個資】儲存的現況
      避免人工盤點的遺漏,導致個資衝擊風險
    • 降低【個資盤點】人力負擔
      提高 DBA /程式設計師 生產力與績效
    • 加速【個資盤點】速度
      從【數個月】到【數天】即可完成。
    • 提高個資風險評鑑的【正確性】與【完整性】
      個資盤點報告為個資風險評鑑的重要參考資訊
  • 授權方式
    本模組授權方式:一次性授權,以下擇一
    • 【3個/單次】(含以下) Oracle、 MS-SQL 、DB2 … 資料庫
    • 【5台/單次】(含以下) 檔案伺服器(Windows 平台) 與【300台】(含以下) PC/NB (Windows 平台)
    • 其他組合(客製組合)

(d)個資郵件危機意識演練防護模組

  • 傳統迷思
    • 輕忽威脅:根據 Xecure Lab 分析研究結果,成功攻陷 Google 的極光行動、 EMC/RSA 的 SecurdID 被竊、Sony PSN 的億筆個資外洩 等等資安事件中,「社交工程惡意郵件」都是 APT (進階持續性威脅) 有心組織人士的重要成功滲透手段,千萬不能輕忽,否則 MIS 一世英明,將因為某位同仁的不小心開啟而毀於一旦。
    • 配合形式:多數政府機關、企業單位,可能形式上配合上級或稽核單位需求,雖然固定每年自辦或者委外進行「電子郵件社交工程演練」,但是因為【演練信件強度】參差不齊、【演練方式受限傳統】及【演練週期過長】,導致演練成效難以持續落實。
  • 嶄新作法
    • 密集演練、立即提醒:「關鍵三分鐘」往往是同仁開啟習慣調整改變的最大挑戰,然而我們面對的外部攻擊威脅卻是狂派團隊、持續不斷、一旦鎖定、絕不罷休的 APT 攻擊。因此,嶄新電子郵件社交工程演練在週期上建議「每月四封 或者 每週一封」,一旦點選演練信件,立即警示畫面提醒,將能強化印象,持續有效!
    • 演練成績、自動通知:演練後的成績公布,往往讓承辦人員左右為難,透過系統【自動分權】寄發成績給當事人、主管與承辦人,面面兼顧,簡易方便!
    • 主管成績、另行計算:根據單位機關的組織文化與管理哲學,另行統計計算主管演練成效。
  • 特色效益
    專為防護目的而全新開發之社交工程演練系統,蒐集演練記錄並分析以下【四種】行為模式:
    • 習慣行為:分析同仁錯誤之【Client 組態設定】,助於避免誤會,同時判斷【開信習慣】,快速矯正根治。
    • 衝動行為:瞭解每位同仁之點閱連結與開啟附件之【類別與屬性分析】,助於提醒矯正,對症下藥。
    • 散播行為:過濾關鍵同仁中樂於分享之【轉寄信件】行為分析,佐以輔導提醒,降低風險。
    • 成癮行為:特殊個案之【成癮行為】分析,重點對象之強化教育,密集觀察與主官關懷,調整改變去癮。
  • 授權方式
    • 【500個】(含以下) 電子郵件帳號。
    • 【每週一封】個資危機意識演練郵件,為期一年(或 每年 52 封之週期性組合方式)。
  • 交付方式
    • 【每月】交付演練統計彙整報表及明細報表(PDF檔案格式)。

(d1) 個資郵件 APT 危機防護模組

  • APT 目標式攻擊、捷報連連,不可輕忽!
    近年新型態攻擊【先進持續性威脅 (APT:Advanced Persistent Threat)】問題日益嚴重,目標性、持續性的針對性惡意郵件攻擊紛紛成功直擊各國知名企業,政府機關、軍火商、能源單位,美國更因而將資訊攻擊列入武裝衝突法考量,APT問題刻不容緩。
    在 2011 年的重大 APT 事件包括全世界動態密碼鎖巨擘 EMC/RSA 遭一封惡意郵件成功入侵而導致 SecurID 關鍵技術遭竊,後續損失達 6 千 6 百萬美元;韓國最大金融機構農協銀行遭入侵,後續發現 2百餘台電腦遭駭,鍵盤側錄超過 1千頁敏感資料;日本國會2千筆帳密外洩,經調查高達60餘台電腦已被入侵。面對有組織、有計劃的針對性駭客攻擊,如果沒有相對應的防禦設備,您寶貴的資訊資產無疑是不設防的門戶大開,重要的機敏資料,公司核心競爭優勢不斷遭敵對陣營竊取,進而打擊您的業務,削弱組織單位的競爭力。
  • 現有資安防護、已遭妥協失效,不能不防!
    APT 是經過完整情蒐,結合漏洞、後門與社交工程手法的客製化目標式攻擊,主打資訊系統中最弱的一環【人性】攻擊。傳統的被動式資安防禦設備如防毒軟體、防火牆、IDS、IPS、DLP 均可被駭客輕易地繞過或穿透。
    面對最容易輕忽也最難阻擋的 APT 郵件威脅,機關單位需要更積極有效的 APT 防禦系統,透過【即時阻擋、威脅分析、活動監控、情資回饋】的主動式、自動化防禦,填補現有資安設備無法解決 APT 惡意郵件的防護缺口,以大幅降低機關單位內機敏/個資等有價資料外洩的風險。
gov101_01_09 gov101_01_10

傳統資安防禦機制對於【APT 惡意攻擊】往往失效,輕易被突破跳過

安資捷個資聯盟之 Xecure Lab APT 防禦系統能有效【填補】既有資安防護漏洞,有效降低資安風險。

  • 模組功能
    電子郵件是最經常用於 APT 活動的攻擊管道,安資捷個資聯盟之 Xecure Lab 資安團隊調查過去五年上萬餘次的 APT 活動,有高達 97% 的攻擊手法是使用目標式郵件搭配惡意文件。本擴充模組可精準地偵測並即時攔阻APT 攻擊郵件,在第一時間阻擋駭客攻擊,並掌握攻擊駭客活動趨勢,徹底杜絕資料外洩問題。本模組採獨家研發的偵測引擎,不同於傳統特徵碼( Signature )或沙盒( Sandbox )的偵測技術,不需頻繁的更新特徵資料庫,不需要任何微調與白名單訓練,讓機關單位沒有零時差之漏洞修補空窗期,便可於機關單位周邊防護即時阻擋 APT 攻擊郵件,準確偵測出已知與未知的零時差( Zero Day )漏洞文件與惡意程式,不耽擱機關單位內的重要公務信件往返,也避免同仁對於惡意郵件的無可適從。

    gov101_01_11

    【視覺化】的 APT 攻擊分析表與駭客【活動來源】地理資訊圖

    • 先進惡意偵測技術
      本模組之 XecMail 偵測引擎,能自動化分析 eml 檔頭、內文與附件檔案。加上獨家研發的 APT DNA 偵測引擎 XEA 技術,可分析任何型態的惡意文件,包括常見的 PDF、RTF、DOC、XLS、PPT 等文件,甚至是近年常見的在開啟文件時要求【輸入密碼】的 Office文 件。
    • 完整事件通報功能
      本模組針對所發現的惡意郵件將進行即時攔截與隔離,並提供事件檢視與檢索功能。觸發事件可制定通報,亦可透過 Syslog 與 SIEM/SOC 進行通報整合。
    • 彈性佈署整合架構
      本模組支援下列【三種】佈署架構:
      1.郵件攔阻模式(Inline block):以 MTA 方式運作,可以分析並阻擋惡意信件。
      2.郵件側錄模式(Sniffer Mode):Sniffer 所有進入郵件,可分析但不阻擋惡意信件。
      3.郵件檢查模式(BCC Mode):將特定信箱郵件 BCC 或人工轉寄的方式送入系統分析。
  • 縱深防禦/情資綜效
    本模組亦可整合【(b3) 個資 APT 風險鑑識模組(XecScan)】,將可疑惡意文件送至該模組進行惡意行為分析,助於更詳盡的風險鑑識報告。
  • 授權方式
    • 可支援【50個】郵件帳號的個資 APT 郵件危機防護
  • 交付項目
    • 個資郵件 APT 危機防護模組 (XecMail 軟體授權)
    • 安裝與教育訓練課程(三小時)

(e)網站個資安全檢測模組

  • 網站安全弱點,個資安全風險
    政府機關(構)為因應與配合行政院研考會所編撰之「Web 應用程式安全參考指引( http://www.icst.org.tw )」以及「網站個資不當揭露」的嚴重性,期待快速有效地針對政府機關(構)既有與未來開發建置的網站定期或者不定期自動檢驗其可能的原始程式弱點與漏洞、網站個資掃描盤點檢測、網站系統弱點檢測以及網站安全個資稽核紀錄檢測等等,本 (e) 模組乃一套有系統有效益的「Web 網站個資安全檢測」,可提早發現程式漏洞,評估網站個資風險,助於提早進行網站應用程式改寫與修補動作。另可根據需求選購 (e) 之擴充模組,詳見 (e1)與(e2) 說明。
  • 模組功能
    • 本項模組針對 OWASP 「跨網站腳本攻擊(XSS)」、「SQL Injection資料隱碼攻擊」、「命令注入攻擊 (Command Injection)」、「惡意檔案執行(Malicious File Execution)」、「不安全的物件參考(Insecure Direct Object Reference)」等等 網站應用程式原始碼弱點安全問題之檢測 (http://www.owasp.org)。
    • 提供「網站個資安全原始碼檢測結果報告」,其中包含原始碼「弱點深度分析」與「弱點嚴重性分析」等風險高低評估計分與圖表,協助政府機關自行程式開發人員 或者委外開發承商,規畫安排程式原始碼弱點安全問題修復的優先順序。
    • 「網站個資安全原始碼檢測結果報告」提供完整的程式原始碼弱點安全問題,清楚標明程式原始碼弱點安全問題的結果與源頭,協助政府機關自行開發、委外開發或 專案管理人員了解【網站安全原始碼弱點】安全問題之發生程式行數與弱點來源,其中包含下列資訊:
      • 程式源碼弱點掃描統計數據、弱點分類圖表、弱點細節。
      • 程式源碼弱點所在之程式源碼片段、行數。
      • 導致程式源碼弱點之函式名稱以及變數等。
      • 程式源碼弱點安全漏洞說明與修復建議,協助程式開發人員修補漏洞。
    • 支援 Web 應用程式開發語言:
      • PHP:PHP4、PHP5
      • Java/ISP/J2EE:JSP 1.x、JSP 2.x、Java 5.x、Java 6.x
      • 傳統 ASP 語言
      • MS .Net 架構 (ASP.Net、VB.Net、C#.Net)
  • 授權方式
    • 本模組授權方式:一次性授權
      針對【單一】 Web 網站應用程式專案,程式原始碼行數必須低於【10 萬】行(含以下)之【一次性】原始碼弱點分析授權
  • 交付項目
    • 網站個資安全原始碼檢測結果報告

(e1)網站個資掃描盤點檢測模組

  • 網站安全弱點,個資安全風險
    政府機關(構)為因應與配合行政院研考會所編撰之「Web 應用程式安全參考指引( http://www.icst.org.tw )」以及「網站個資不當揭露」的嚴重性,期待快速有效地針對政府機關(構)既有與未來開發建置的網站定期或者不定期自動檢驗其可能的原始程式弱點與漏洞、網站個資掃描盤點檢測、網站系統弱點檢測以及網站安全個資稽核紀錄檢測等等,本 (e1) 模組乃一套有系統有效益的「網站個資掃描盤點檢測模組」,助於提早發現網站各種靜態或者動態網頁中有無機敏個資之不當揭露,評估網站個資風險,提早進行網站個資內容調整,避免不當個資外洩。另可根據需求選購 (e1) 之擴充模組,詳見 (e)與(e2)說明。
  • 模組運作架構
    gov101_01_12
    圖7 個資安全防護包各模組導入順序建議
  • 模組功能
    • 掃描樣式:身分ID、姓名、電話、地址、護照、電郵、卡號等個資欄位
    • 客製樣式:機敏關鍵字、黑白名單、正規表示式、以檔找檔 等等
    • 檔案格式:MS-Office、Open Office、PDF、網頁(HTML)、Text、電子書、壓縮檔案
  • 特色效益
    • 完整瞭解【機敏個資】儲存的現況
      避免人工盤點的遺漏,導致個資衝擊風險
    • 降低【個資盤點】人力負擔
      提高 DBA /程式設計師 生產力與績效
    • 加速【個資盤點】速度
      從【數個月】到【數天】即可完成。
    • 提高個資風險評鑑的【正確性】與【完整性】
      個資盤點報告為個資風險評鑑的重要參考資訊
  • 授權方式
    本模組為一次性授權,針對【單一】 網站網址,該網址內之網頁可檢測檔案數量必須低於【2 萬】個(含以下)之【一次性】網站個資掃描盤點檢測軟體授權。
  • 交付項目
    網站個資掃描盤點檢測結果報告(修補前後)

(e2)網站個資系統弱點檢測模組

  • 網站安全弱點,個資安全風險
    政府機關(構)為因應與配合行政院研考會所編撰之「Web 應用程式安全參考指引( http://www.icst.org.tw )」以及「網站個資不當揭露」的嚴重性,期待快速有效地針對政府機關(構)既有與未來開發建置的網站定期或者不定期自動檢驗其可能的原始程式弱點與漏洞、網站個資掃描盤點檢測、網站系統弱點檢測以及網站安全個資稽核紀錄檢測等等,本 (e2) 模組乃一套有系統有效益的「網站個資系統弱點檢測模組」,助於提早發現網站整體服務架構之作業系統、作業平台、網路服務中有無安全弱點漏洞,評估網站架構個資風險,提早進行網站暨網路架構之弱點修補或者強化,降低網站入侵與個資外洩機率。另可根據需求選購 (e2) 之擴充模組,詳見 (e)與(e1)說明。
  • 模組功能
    • 網路型弱點掃描架構,支援 Windows、Unix Like、智慧手機、平板電腦 等設備。
    • 支援網路設備之弱點掃描,至少包含 Router、Switch、Printer、IP Camera 等。
    • 提供 LAN 智能化自動掃瞄(Auto-Discovery),以及手動輸入【主機/IP】、【IP範圍】、【IP列表】方式。
    • 提供 TCP/UDP 通訊埠掃描與 SNMP/NFS/RPC/Finger 查詢。
    • 提供 ARP-MAC 位址查詢以及列表匯出功能。
    • 提供多執行序 HTTP、HTTPS 協定檢查,以及支援 HTTP 代理掃描。
    • 提供 MSSQL,MySQL 等資料庫檢查功能。
    • 提供網站瀏覽器(IE、Firefox、Chrome、Opera等)檢查功能。
    • 提供 P2P(Mule、Torrent、Foxy等)檢查功能。
    • 提供 Telnet、FTP、SSH、DNS、NetBIOS、SMTP、IMAP、POP3、Proxy、LDAP 等協定檢查。
    • 提供線上更新功能。
  • 特色效益
    • 提供可客製化及自訂之PDF格式報表。
      提供弱點資訊詳細描述與說明、弱點修補方式及各項因應方案。
    • 支援 IPv4/IPv6 雙協定
      可以同時掃描使用 IPv4 以及 IPv6 協定的 IP 位址主機以及設備。
    • 支援弱點排除功能
      對於疑似誤判以及不予修正的弱點,可以將弱點排除,稽核報告便不會出現該弱點。
    • 支援 CVE、CVSS
      弱點資訊採用 CVE (Common Vulnerabilities and Exposures) 說明,弱點評分採用 CVSS V2 (The Common Vulnerability Scoring System)分數
  • 授權方式
    一年使用軟體授權,針對網站與網站整體架構內【128 】個 IP(含以下) 主機、網路設備之軟體授權。
  • 交付項目
    Formasa Auditor 軟體授權書。