https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

教育網站個資檢測 手機、E-mail最容易洩露

2012 / 07 / 02
廖珮君
教育網站個資檢測  手機、E-mail最容易洩露

教育體系的特性不同於一般企業或公務機關,其所面臨的資安問題也不太一樣,為建立教育體系資安資訊分享交流及分析防護機制成效,教育部在近年來成立資安資訊分享與分析中心(A-ISAC),及學術資訊安全維護中心(A-SOC),其中,A-SOC分成南區與北區,分別委託國網中心與台大計資中心負責維運。

 

在日前舉辦的台灣學術資訊安全國際研討會上,台大計中程式設計師李美雯指出,北區A-SOC除了觀察、處理資安事件,也協助進行數位鑑識,其曾經鑑識過的資安事件包括:某大學數位圖書館主機被當成IRC/惡意程式中繼站、駭客入侵XX大學課程查詢系統,並竄改開課資料、某大學主機被駭客當作跳板,透過該主機提供的VPN服務進行線上遊戲點數卡詐騙,駭客並假造來源IP為該大學主機的IP,藉此隱匿足跡。

 

由此來看,主機管理已成為學術機構主要的資安問題。由於校園主機數量多且分佈範圍廣,幾乎校內各個單位或系統都有主機,也有自己的管理者,各個管理者管理嚴謹度不一,導致某些疏於管理的主機,容易被駭客當成中繼站或跳板。

 

另外,網站管理也是校園資安的一大問題。對此,教育部委託成大資通安全研發中心提供網站弱點掃描服務,該中心專案經理鍾沛原表示,教育體系網站的弱點主要有SQL-InjectionXSS、目錄索引、備份檔案,若進一步從網站開發工具來比較,使用套件工具開發的網站資安風險較高(表1)。

 

1、網站開發工具比較

 

具有XSS弱點

具有SQL-Injection弱點

具有XSSSQL-Injection弱點

網站總數

含弱點之網站比例

ASP.NET

6

5

5

58

28%

JSP

0

1

0

2

50%

PHP

4

5

2

45

24%

套件工具

5

1

1

13

54%

1:僅計算SQL-InjectionXSS弱點。

2:套件工具共有6種,套件工具中單一網站最高有超過30筆以上之XSS弱點。

資料來源:成大資通安全研發中心,《資安人》整理,2012/6

 

為因應個資法通過,成大資通安全研發中心也新增了網站個資檢測的服務,只要是.edu.com的網站都可來申請,檢查項目包括身份證字號、信用卡、室內電話、手機、地址、及E-mail。鍾沛原指出,就個資種類來看,洩露比例最高的是手機,其次則是E-mail,但若比較20102011年的檢測結果,2011年教育體系網站洩露個資的比例大幅降低,意味著大多數教育體系網站管理者會根據檢測結果進行改善,降低網站外洩個資的風險。

 

最後,李美雯認為,計算機中心人力不足,無法做好有效管理;校風自由開放,不能設下太多的管理規則,否則容易引起使用者(包括學生教授)反彈,也是教育體系常見的資安問題之一。