發表文章

目前顯示的是 四月 29, 2009的文章

資訊安全管理系統標準化系列討論會心得報告

資訊安全管理系統標準化系列討論會-「推動資安治理」行動方案初探。
第一場:如何提升政府資通安全通報應變能力-行政院研究發展考核委員會-吳啟文
1、政府機要和次機要人員是對岸駭客鎖定目標,
這也是資訊安全人員無法也沒有權限去檢查這些人的電腦。
2、USB隨身碟的資料,只要一中毒,插入家用電腦,隨身碟內的資料就會被複製一份到家用電腦,電腦一上網,隨身碟的資料就會透過電腦送到駭客的電腦裏。3、學校資安事件:電腦被偷,電腦裏面有存在個人資料,例如學生資料、老師資料等。個人資料保護法己經通過,這些資料被偷走,也會有問題,因為損及他人的個人資料。4、公務人員分為四類:主管人員、非主管人員、資訊人員、資安人員,其中主管人員和非主管人員要上資安課程,可以透過線上學習。資訊人員和資安人員一定要上實體資訊安全課程。5、政府資通安全管理的3E策略:技術工程、執行管理、教育宣導。我覺得這三個方面是執行資安工作的一個很好依據。讓我們在所有資安工作中,可以分為這三類。6、資通安全不完全是「技術」問題,更重要的是「管理」議題,如何建立資安政策、規範及相關規定,以皮甘何落實執行,並建立資安意識定期演練。>>管理層面的資安,是所有資安的開始,如果管理階層不想要投入太多資安量能的話,從事資安的工作者,也不會想要多做些什麼,上面沒有支持,也不會有太多資源,最終會成為空談。7、資安通報與威脅情資分享平台-資訊交換文件-各種單位分組-各單位:透過xml的技術,讓固定格式的文件可以有效率的通知大家,各種資安事件的發生和警告。8、日本的隨身碟管理:日本機密公務單位,只要人員上班,一定要到固定地點領取專門隨身碟,上班一定要在個人電腦上插上隨身碟,才能工作,因為所有的電腦工作,都是經過隨身碟的加密系統,所以隨身碟離開電腦後,整台電腦的資料都會被鎖死,達到資安的工作。這樣的技術台灣也有開發,不過都是外銷到國外使用,國內沒有這樣的市場。
第二場:資訊安全治理與整合性風險管理-行政院海岸巡防署通電資訊處資通安全科-鄭博文科長。本討論是由鄭科長對海岸巡防署的資訊安全工作的經驗分享,大綱如下:一、組織架構暨資安分工簡介海巡署的單分依署、總局、地區局來劃分四種等級,透過不同的等級來執行資安工作。這樣的分類方法,如同政府單位與學術單位依組織影響社會的層級來分級執行資安工作。去年完成資安監控中心(SOC)。並持續增加資安證書。…

出差的早餐

平常台北桃園的通勤,很難有時間和機會在其他地方吃早餐,所以只能趁出差的時候,到不同的早餐店去吃早餐。這幾天看到甜甜圈專賣店有推出新的早餐口味,特地去網路上查了一下。想說今天到台北出差的時候,順便去吃吃看。結果竟 然沒有找到那一家,同樣的地點,網路上是寫DD,結果變成MD甜甜圈,搞不懂為什麼會變成MD,MD沒有賣我要吃的早餐,MD的早餐只是甜甜圈+咖啡,那有人類早餐是吃甜食的啊。只好到附近的伯朗咖啡去吃早餐,其實要去伯朗之前,也是萬分考慮,因為我的原則是不要吃重覆的早餐店,伯朗早餐己經在過去吃過,不過看在有無線網路的份上,還是去吃好了。結果到了伯朗咖啡店,竟然不能使用無線網路。只收得到基地台,但是不能上網。心想,要不要我出馬去處理無線網路的問題,做好我網路工作者的本份。不過後來想想,算了。看看一些影片好了,整個伯朗咖啡店只有我一個人在吃,可以盡情的把筆電的聲音開到最大聲。慢慢吃個早餐,真的是一天最大的享受。