目前已發展之政府組態基準(GCB)類別包含作業系統、瀏覽器、網通設備及應用程式。
○
駭客帶來的資安威脅並不會影響日常生活。PEiGogo
╳
駭客可用加密VPN連線串起多個不同網段並增加自身隱蔽性。
○
依「資通安全責任等級分級辦法」規定,A級與B級公務機關在初次受核定或等級變更後之「一年」內,須依主管機關公告項目,完成政府組態基準(GCB)導入作業並持續維運。
○
帳號密碼設定只有自己知道,所以即使密碼很簡單也不怕被破解。
╳
政府機關資安弱點通報機制(VANS)之五大作業流程為資訊資產盤點、資訊資產正規化、資訊資產登錄、弱點比對與修補、資訊資產更新。
○
LOTL技術指駭客使用系統內建的服務或工具進行攻擊。
○
資通安全責任等級為E級或資通安全維護計畫已經併入上級機關辦理,便無須提報資通安全維護計畫實施情形。
╳
Dropbox僅提供檔案儲存服務,不可能被駭客用來遠端操控系統。
╳
監視器之類的IOT設備,只要能用就好,不需要進行更新。
╳
公務機關初次受核定或等級變更後之一年內,C級以上資通安全專責人員每人應持有1張以上資安專業證照與1張以上資安職能評量證書。
○
駭客透過LOTL技術,可以執行不在硬碟中的惡意程式。
○
機關ISMS的「導入」與「驗證」應該放在同一個採購案,以便要求通過驗證,取得證書。
╳
駭客除了直接攻擊機關,也經常透過供應鏈進行攻擊。
○
導入政府組態基準(GCB)時,須以GCB設定值為標準,無論如何都不能變更。
╳
因電力中斷導致系統無法使用,不屬於駭客入侵行為,所以不用通報資安事件。
╳
駭客喜歡用最新議題搭配社交工程郵件進行攻擊。
○
若只是瀏覽網頁並不會遭到挖礦程式所利用。
╳
VANS系統可將已登錄的資訊資產項目與弱點資料庫自動比對,當重大弱點發生時可即時得知與應變處理。
○
公務機關應該在知道資通安全事件後「1小時」內通報。
○
公營事業與政府捐助之財團法人,不是資通安全管理法納管對象。
╳
政府組態基準(GCB)針對Windows Server 2016伺服器劃分不同角色,為方便部署,每個角色所套用群組原則物件皆是相同的。
╳
VANS系統可針對目標主機進行弱點掃描,並產出弱點掃描結果報告。
╳
針對資訊資產弱點進行修補後,不需要再到VANS系統進行資訊資產版本資料更新。
╳
機關首長公務繁忙,不受到資通安全管理法每年3小時資安通識教育訓練的規範。
╳
規模較小且無資訊(資安)人力的機關,無須成立或加入資通安全推動小組。
╳
公務機關資安專責人員要專職擔任,即該人員只能辦理資安業務。
○
TWGCB-ID是我國政府組態基準編碼方式,可快速識別與查找政府組態基準(GCB)設定項目。
○
政府機關資安弱點通報機制(VANS)納管範圍包含Windows平台資通系統與使用者電腦之軟體資產。
○
機關應該要訂定機關內部與對所屬機關的資安稽核機制。
○
評論