教育體系的特性不同於一般企業或公務機關,其所面臨的資安問題也不太一樣,為建立教育體系資安資訊分享交流及分析防護機制成效,教育部在近年來成立資安資訊分享與分析中心(A-ISAC),及學術資訊安全維護中心(A-SOC),其中,A-SOC分成南區與北區,分別委託國網中心與台大計資中心負責維運。
在日前舉辦的台灣學術資訊安全國際研討會上,台大計中程式設計師李美雯指出,北區A-SOC除了觀察、處理資安事件,也協助進行數位鑑識,其曾經鑑識過的資安事件包括:某大學數位圖書館主機被當成IRC/惡意程式中繼站、駭客入侵XX大學課程查詢系統,並竄改開課資料、某大學主機被駭客當作跳板,透過該主機提供的VPN服務進行線上遊戲點數卡詐騙,駭客並假造來源IP為該大學主機的IP,藉此隱匿足跡。
由此來看,主機管理已成為學術機構主要的資安問題。由於校園主機數量多且分佈範圍廣,幾乎校內各個單位或系統都有主機,也有自己的管理者,各個管理者管理嚴謹度不一,導致某些疏於管理的主機,容易被駭客當成中繼站或跳板。
另外,網站管理也是校園資安的一大問題。對此,教育部委託成大資通安全研發中心提供網站弱點掃描服務,該中心專案經理鍾沛原表示,教育體系網站的弱點主要有SQL-Injection、XSS、目錄索引、備份檔案,若進一步從網站開發工具來比較,使用套件工具開發的網站資安風險較高(表1)。
表1、網站開發工具比較
|
具有XSS弱點
|
具有SQL-Injection弱點
|
具有XSS和SQL-Injection弱點
|
網站總數
|
含弱點之網站比例
|
ASP.NET
|
6
|
5
|
5
|
58
|
28%
|
JSP
|
0
|
1
|
0
|
2
|
50%
|
PHP
|
4
|
5
|
2
|
45
|
24%
|
套件工具
|
5
|
1
|
1
|
13
|
54%
|
註1:僅計算SQL-Injection及XSS弱點。
註2:套件工具共有6種,套件工具中單一網站最高有超過30筆以上之XSS弱點。
資料來源:成大資通安全研發中心,《資安人》整理,2012/6。
為因應個資法通過,成大資通安全研發中心也新增了網站個資檢測的服務,只要是.edu.com的網站都可來申請,檢查項目包括身份證字號、信用卡、室內電話、手機、地址、及E-mail。鍾沛原指出,就個資種類來看,洩露比例最高的是手機,其次則是E-mail,但若比較2010與2011年的檢測結果,2011年教育體系網站洩露個資的比例大幅降低,意味著大多數教育體系網站管理者會根據檢測結果進行改善,降低網站外洩個資的風險。
最後,李美雯認為,計算機中心人力不足,無法做好有效管理;校風自由開放,不能設下太多的管理規則,否則容易引起使用者(包括學生和教授)反彈,也是教育體系常見的資安問題之一。