财政资讯中心培养资安自主人力，解决过度委外所面临的风险问题

面对层出不穷的资安攻击，如何做好防护一直是企业关注焦点，身为台湾公共财政的最高主管机关财政部，财政资讯中心主任陈泉锡在CyberSec 101资安实务研讨会的防御措施场次上，指出-部门面临过度委外的资安风险，强调资安自主的重要性，同时，也说明他们是如何建立内部同仁相关技术能量。

对于财政资讯中心的资安防护策略，陈泉锡指出，重新找回内部同仁技术自主能力，就是最关键的一件事，将能为组织带来实质的帮助，同时，数位证据保全的执行，也很重要。其实，我们在之前其他的研讨会上，已经听到陈泉锡对于-单位过度委外情形的忧心，因为组织本身没有人能掌握资安，实质的经验也不足，将带来很大的风险。

而在这次活动中，他则是具体说了面对此一情形的防护对策，以及实际经验，让其他人在面对委外管理时，也能有所参考或借镜。

用半年培养新人写程式能力

建立技术自主能力，要从何做起？陈泉锡提供了具体做法，首先，他们从基本的系统规划及程式撰写能力下手，然而，这件事说来容易，做起来也不简单。

因为，若要以现职人员进行培训，反对声浪一定不小，因此，他们从新进人员开始做起，并采专班集训方式，设计了6个月的程式撰写培训课程，之后再将这些人员分配到业务单位。他表示，像是检察官、调查官都有专门的训练，才分配到工作单位，资讯人员同样可以这么做，虽然业务单位会抱怨人力不足，又因为这样的培训卡住人力支援，但他认为这样的制度很有帮助，并能建立同期培训人员的团队情感。目前，他们已经完成两期共26人的培训，现正进行到第三期，而在结训之后，他们也会有成效维持策略。

关于人员培训，陈泉锡指出有3大重点。第一，监督承商系统及程式的品质与安全，其次，要能具备维持系统基本运转的能力，因为过去他们曾遇到委外厂商因价格太低而不愿承作的情形，这样的状况令他有相当深刻的感受，最后，则是对于委外经费与时间的估算，能有合理评估的能力。他并认为，最终目标是希望系统核心部分能自己做，其他部分才交给委外厂商。

打造自家的CSIRT团队，以执行资安健检与渗透测试

面对资安风险与挑战，财政资讯中心采取的第二个发展策略，就是成立资安健检与数位鉴识团队（MOF-CSIRT）。陈泉锡表示，在2016年的一银ATM盗领资安事件中，让他深刻感受到，很多事情只能依赖调查局，事实上，组织本身也应培养相应的单位。

为了组成这样的团队，他们也从财政部所属的不同单位召集，包括财政资讯中心本身业务组，以及综合规划组、资通营运组、关务署、国产属与台湾银行，并设立1个队长与2个小队长，共18名成员，以兼任方式组成。

该团队有那些任务？简单来说，平日可协助财政部及所属机关，执行资安健诊，以及网站及核心系统渗透测试与弱点扫描，以挖掘资安防护的缺失，而且，每周固定进行两次的半日训练及实际操演；当资安事件发生时，则能负责尽速阻断攻击来源，做到数位证据保全，并在必要时，进行初步鉴识，以发掘潜伏的恶意程式。

值得注意的是，财政资讯中心对于这个团队的建立与培训方式，相当重视。例如，陈泉锡表示，他们找来了业界资安专家授课，包括白帽骇客实作训练、以及自行研习漏洞资讯与实作，将心得报告交由老师指导。同时，也借由资安培训委外服务，让成员参与资安健检工具实作的课程，以及网络攻防抢旗赛训练。而且，他们也规划了完善的考核机制，包括从技术测试、贡献度来掌握成员的学习状况。

接下来，就是要验证团队成效。陈泉锡指出，该团队确实带来了帮助，在资安健检稽核方面，他们针对台湾银行、赋税署、财政部印刷厂、国产署中区分署、北区国税局、关务署等所属机关，就找出不少问题。例如，部分电脑安装了未经授权的软件，病毒定义档或Adobe Flash、Java版本未升级至最新，还有像是发现了超过6个月的闲置账号却未停用，以及防火墙规则设定不当、主机特权账号未分权管理，恶意IP地址与网域未阻挡，以及共用资料夹含个资却未设定权限管控等种种问题。

在渗透测试方面，该团队也找出网站未设定X-Frame-Options，若不及早处理，恐怕会有被iframe网页盖台的威胁。简单来说，这将让攻击者可以将另一个网页嵌入，透过iframe覆盖在原本的网页上，让使用者误以为是正常运作的网站，但其实是在iframe的页面上操作，这让骇客能够发动点击劫持攻击，并可窃取账号密码。而他们在发现这个问题之后，随即也要求改善。

面对资安风险与挑战，财政资讯中心打造资安健检与数位鉴识团队，在资安事件发生时能够即时因应与初步鉴识，平日也可执行资安健诊、网站与系统的渗透测试等相关工作。（摄影／罗正汉）

自行开发证据保全之用的USB随身碟与分析工具

关于数位证据保全的工作，陈泉锡从资安事件调查的流程谈起。一旦遭遇骇客入侵或资料外泄，通报就是首要的动作，他同时强调不应立即拔网络线、重开机与重灌系统，这将导致证据被湮灭，造成举证困难。

在事件调查过程中，陈泉锡认为有3大步骤需要注意，从有效方法保全证据开始，接着，是要阻断攻击来源，使被入侵的系统恢复正常运作，然后是追查入侵管道及问题根源，防止再次受骇。

其中，证据保全是相当重要的关键，虽然资安人员的责任是立即解决问题，但数位鉴识人员是站在分析事件原因的角度，厘清问题与责任归属。由于事件一旦发生，都是处于相当紧急的情况，如何做到有效证据保全就是一大挑战，因此，他们团队也尝试运用技术来克服这个困难。

例如，他们打造出一个保全证据的USB随身碟工具，他说，虽然这是很笨的方法，但只要将随身碟插进电脑，就可以自动把证据档案与映像档录下来，能迅速搜集到50多项记录，实用性是足够的。

同时，他们也开发了对应的分析工具，能够分析可疑程式档名、恶意IP、Hash值与IOC的黑名单，以及可疑对外连线埠、蓄意隐藏程序等多种特征，以及异常日志行为等项目，并且能显示风险等级灯号，协助快速判断严重程度或建议作法。

即使没有资安事件，平时也是可以利用这样的工具来检查与分析，陈泉锡认为，这种方式未来-每个单位都可以用得上。另外，对于高权使用者管理的必要性，他表示财政资讯中心在这方面已有规划，像是需区分高权者角色，与制定管理策略与作业查核等。

对应数位证据保全，财政资讯中心的资安团队也开发出证据搜集之用的USB随身碟与分析工具。（摄影／罗正汉）

今年报税系统上线前，财政资讯中心以人海实机压测找问题

说明-委外管理的防护策略之余，陈泉锡还揭露了今年5月所得税报税的资安挑战与应对。

今年由于税法大幅修正，因此系统更动幅度大，还有网络申报软件重写与硬件平台厂商换新的状况，更大的问题在于，今年开放使用者以Windows环境进行线上报税，因此系统要能承载巨大流量，成为他们关注的焦点。

为了避免两年前线上报税的壅塞事件重演，他们先进行了压力测试，得知系统每小时可处理超过8万件，已是去年峰量4倍，另外，也运用了人海实机压测方式，找出实际上线可能遇到的问题。

陈泉锡表示，他们以财政资讯中心与各地区国税局的人力，共进行8次测试情境模拟，最高1千多人同时登入，共发现3项异常连线问题，例如，因为报税系统防火墙白名单未将IPv6地址加入，而导致断线的情况，以及上层主机IPv6地址与报税系统DNS服务器不一致。甚至，在5月1日报税日之前的两天，仍因为报税网站DNS设定为避免放大攻击，而有大量断线情况。最终，所幸透过修改设定回应方式解决。

另外，对于报税网站系统的安全性，负责厂商关贸网络已在自行检测中，发现2个中风险漏洞、4个低风险漏洞，并已修补。接着，财政资讯中心再运用自家的资安健检团队复测，又找到6个高风险漏洞，以及2个中风险漏洞，8个低风险漏洞，可以进一步减少检测上的盲点，强化安全。