【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
vm 問題 在 [問題] 虛擬機器(VMWARE)玩RO的問題- 看板RO - 批踢踢實業坊 的推薦與評價
各位先進安安
版上有人用VMWARE玩RO的嗎
因為種種原因我要在虛擬機裡面玩
RO成功運行 但當登入之後不久就會斷線
有大大成功能長時間遊玩的嗎
求各位先進給點成功經驗m(_ _)m
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.100.158.188
※ 文章網址: https://www.ptt.cc/bbs/RO/M.1517154620.A.ED6.html
※ 編輯: nodefence (122.100.158.188), 01/29/2018 13:29:00
... <看更多>