據資通安全署(簡稱資安署)最新發布的 12 月資通安全網路月報,透過 113 年對政府機關網站的實兵演練,發現三大主要資安弱點,其中以加密機制失效、注入攻擊及無效存取控管最為常見。
資安署指出,部分機關在處理敏感資料時,僅使用 PDF 軟體的遮罩功能進行保護,這種做法容易遭到破解。建議機關在遮蔽敏感資料後,應進一步將文件轉換為圖片格式,以確保資料安全。
在注入攻擊方面,許多政府網站的輸入功能仍存在安全漏洞,未能有效過濾特殊字元如引號、尖括號等符號,致使駭客有機可趁。針對此問題,資安署建議機關應強化輸入驗證機制,並確實過濾所有潛在危險字元。
資安監控數據顯示,12 月份共計蒐整 8 萬 3,105 件資安聯防情資,較 11 月減少 1 萬 3,070 件。其中,資訊蒐集類攻擊佔 52%,主要透過掃描、探測及社交工程手法進行;入侵攻擊類次之,佔 21%;入侵嘗試類則佔 16%。
值得關注的特別案例:
- 近期發現駭客以行政陳情為幌子,運用第三方郵件服務針對特定機關發動魚叉式攻擊。駭客夾帶看似正常的陳情文件,實則植入惡意程式,藉此竊取機敏資料。
- 某機關遭駭客利用先前外洩的 VPN 帳密成功入侵,並竊取內部資料,突顯了 VPN 存取控管的重要性。
參考來源:資安人
政府機關常見資安弱點與解決方案
-
加密機制失效:強化金鑰保護與硬體加密
機關文件除了可以圖片格式進一步保護資料安全外,若軟硬體缺乏完整的金鑰管理與硬體加密,也使駭客容易突破防線,竊取敏感資訊。建議應定期更新金鑰、加密軟體及演算法,以確保加密機制發揮最大功效。
✅ 解決方案:Thales HSM
提供完整的金鑰保護機制與最高安全等級的硬體加密,有效確保機敏資料安全。Thales HSM 所具備的 FIPS 140-3 驗證規格、防篡改設計與存取控制機制,可防止未授權存取,並支援 PKI、數位簽章、區塊鏈應用與最新加密演算法,提升機關整體安全性。
-
網站漏洞引發注入攻擊:強化 Web 防禦機制
SQL 注入攻擊主要透過惡意 SQL 查詢竄改或存取敏感資料,因此若網站未能有效過濾特殊字元,便容易遭受此類攻擊。建議應導入有效的防禦及輸入篩選機制,並定期進行安全測試及漏洞修復,避免網站成為攻擊者突破口。
✅ 解決方案:Imperva WAF
透過即時流量監控、行為分析及特徵比對偵測 SQL 注入攻擊,並自動攔截惡意請求。內建的安全規則、機器學習與虛擬修補機制,則可有效防止資料庫遭受未授權存取與惡意操作,有效阻擋 SQL 注入、XSS 等攻擊,確保網站與應用程式安全。
-
無效存取控管:強化存取控制及 MFA 驗證
無效存取控管可能導致未授權存取、權限濫用、帳號未即時停用、日誌監控不足及內部威脅風險,進而引發資料外洩、違反合規與系統漏洞,提高資安事件發生的可能性。建議採用零信任架構,實施 MFA 多因素驗證、強制最小權限、定期變更密碼等方式,以提升存取安全性。
✅ 解決方案: TOPPAN IDGATE
TOPPAN IDGATE 提供強大的身份驗證與權限管理,整合 MFA 多因素驗證、SSO 單一登入及存取稽核機制,確保只有授權用戶可存取系統。其零信任架構與即時監控,則能有效防範未授權存取與帳號濫用風險。
-
社交工程攻擊增加:提升電子郵件安全和資安意識
政府單位可能遭受釣魚郵件、假冒其他單位或合作機構詐騙(BEC)等社交工程攻擊,使機關人員點擊惡意連結或下載附加檔案,導致帳號被盜或內部系統遭滲透。建議可透過員工資安意識訓練、、電子郵件過濾方案等方式加以因應。
✅ 解決方案:Proofpoint 電子郵件安全、資安意識培訓
Proofpoint 利用先進的威脅偵測技術,結合機器學習與行為分析,可識別並攔截釣魚郵件、偽造信件及社交工程攻擊,即時保護用戶免受網路詐騙與未授權存取風險。並具備資安意識培訓解決方案,讓機關員工能有效識別釣魚攻擊,降低社交工程風險。
-
VPN 存取控管不足,確保遠端連線安全
VPN 存取控管不足可能導致未授權用戶或攻擊者進入內網,提升政府機關遭受滲透的風險;而 VPN 缺乏多重驗證與存取紀錄,則使機關難以及時偵測異常登入行為。針對 VPN 安全議題,資安署建議各機關採取「原則禁止、例外允許」的嚴格管理方針,並建議應強化 VPN 密碼控管機制、定期稽核 VPN 存取記錄,並加強加密傳輸與異常行為監控,確保機關資源存取安全。
✅ 解決方案:Array SSL VPN
Array 透過 APV 系列負載平衡器與 SSL VPN,提供 Software Token 支援多重認證與細部存取控制,確保登入安全,並結合加密技術與流量監控,強化 VPN 存取控管,確保只有授權用戶可安全存取內部資源;同時具備完整的 VPN 存取紀錄,即時監控異常行為。
強化資安,從主動防禦開始!
亞利安科技深耕資安領域近 20 年,致力於引進全球頂尖的資安解決方案,透過完整的產品線提供客戶及經銷夥伴專業的服務與支援。無論是前端的身份認證、Web 應用服務,到後台的系統與資料庫,甚至擴及公有雲環境、外部供應鏈,皆能帶給客戶完整的保護。我們將持續提供領先的資安方案,協助企業應對日益複雜的資安挑戰,全面守護雲端、網路、資料與應用程式。