【文／空軍第七通航資中隊蔡亞璇】

近年網路安全及資料外洩等問題，一直困擾政府機關及民間企業，其中駭客（網軍）入侵、病毒感染及惡意程式肆虐等事件層出不窮，因而造成網路中斷、重要資料被竊等情事時有所聞。國軍為政府整體資安防護之一環，依國家安全會議及行政院指導，負責國防網際防護任務，以資安防護為核心，負責規劃、推動國軍資安防護及應變等工作，除落實網路實體隔離作業，建置嚴密的資安防護機制外，另頒布多項資安稽核措施，並主動查察違規事件，以強化我資安整體安全防護強度。當前駭客攻擊手法伴隨科技發展日新月異，加以政府部會、企業及個人迭遭網路駭客侵擾或竊密之資安事件日增，嚴重影響作業安全；另「目標式社交工程攻擊」是當前駭客手法中最新趨勢，以下為常見的攻擊手法：

一、電子郵件夾藏陷阱：
偽冒朋友、同事、長官或廠商等寄件人身分，搭配精心設計或熱門光鮮之主旨，將病毒、蠕蟲或惡意程式等，以附件、網頁元件等方式夾藏在電子郵件中，藉由逼真或誘人的設計，包裹社交工程攻擊的陷阱。
二、網路釣魚：
藉由電子郵件、網頁掛馬或Web2.0 應用（如部落格、論壇、社交網站）等方式，吸引使用者直（間）接連結惡意網頁，或製作假網頁，誘騙使用者輸入帳號、密碼或信用卡等資料，在不知情狀況下載執行惡意程式。
三、網站廣告：
藉由知名網站之廣告或內容服務交由第三方供應商管理之故，於內容服務中置入惡意程式，利用民眾因信任該知名網站而降低戒心，誘使其購買不需要的東西或下載惡意軟體。
四、偽裝安全程式：
偽裝成各種防毒、防駭及軟體修補更新程式等，誆稱電 腦具有風險，驅惑使用者下載安裝，實際上卻將惡意程式隱藏其中。
五、即時通及社交網站：
透過即時通軟體或社交網站，偽冒或盜用受害人身分，主動傳送惡意程式、超連結給線上的連絡人（好友），或進行請求代購遊戲點數、ATM轉帳應急（救難）等各項詐騙，造成病毒擴散、個資外洩或財物損失。
六、於不安全的網路環境守株待兔：
於機場、車站、展場、網咖等場所提供之公用電腦植入後門程式，側錄使用者輸入資料、發動中間人攻擊、主動側錄無線網路封包及伺機植入後門或竊取電腦內資料。
七、以下載軟體為掩護：
利用應用軟體市集、免費工具、檔案、熱門電影或遊戲軟體為幌子，誘騙使用者下載或安裝，植入惡意程式。
八、標籤綁架（Tab-napping）網路釣魚手法：
藉由使用者造訪駭客特製內含惡意程式的網頁，相關惡意程式便可偵測此使用者經常使用或正在使用的網路應用服務（網頁），在使用者點選其它網頁而暫時離開惡意網頁時，惡意網頁會改變其顯示內容，變身為使用者經常或正在使用的網路應用服務（偽冒網頁），以誘騙使用者輸入帳號密碼或其他資訊。此攻擊手法比起傳統常見之釣魚郵件或社交網站惡意連結手法，大幅簡化網釣攻擊程序，且更容易讓使用者上當受騙，意謂此攻擊將比傳統網釣手法運作更具殺傷力，且影響層面廣泛。
九、偽冒或盜用數位簽章：
假藉、偽冒或盜用軟、硬體或防毒軟體公司之數位簽章，致惡意程式可躲避防毒軟體偵測，並降低使用者之戒心，誘騙使用者執行。
參、資安威脅分析與應處
一、網駭模式翻新應變不易：
鑑於資訊科技進步快速，資訊系統所產生之漏洞，易成為駭客（網軍）攻擊之途徑，故資安防護技術亦須與時俱進，本部資安防護人力、經費雖然有限；惟在落實網路實體隔離政策下，逐步建構國軍資安防護機制，並賡續配合行政院「國家資通安全會報」及國家安全會議「國家資通安全指導小組」指導，與政府各部門間採取策略聯防，以達臨機應變即時處置之目標。
二、社交工程攻擊防不勝防：
現今以電子郵件偽冒長官、同僚及部屬身分遂行社交工程，誘使收件人開啟惡意郵件，致使電腦遭植入病毒，進而攻擊特定對象，盜取資料，已成為網際網路最普遍威脅；有鑑於網際網路屬風險較高之作業環境，未經核准切勿於網際網路電腦上傳公務資料，以防杜資料遭竊取情事。
三、網路混接衍生資安罅隙：
網路跨接混用，將使駭客透過網際網路入侵國軍網路，危害國防資訊安全，故應實施「網路實體隔離」作法，並於內部軍網依機敏程度採取「專網專用」措施，以杜絕各式威脅；歷年來管制措施嚴謹，且配合綿密稽核作業，可有效拒止網路惡意行為。
四、資料傳載未按規定管制：
光碟及隨身碟等移動式儲存媒體，具體積小、容量大及攜帶方便等優勢，成為資料傳載之媒介，須加以控管，方不致產生公務資訊外流。近年來國軍全面禁用非公發隨身碟，並輔以移動式儲存媒體管制措施，嚴格限制檔案不當傳載，能有效防制公務資料外洩。
肆、落實資安防護具體作為
為因應資訊科技快速發展所衍生之新型態資安威脅，現階段資安政策係以確保國防資訊不受任何有形及無形之破壞為前提，以維護國軍網路之「機密性」、「完整性」與「可用性」：
一、強化單位資安環境：
各單位應強化軍網網路架構，落實網路惡意行為管控等措施，完善單位資安防護能量及網路異常告警機制，妥善建置資訊存取、交換運用環境，以滿足資訊作業需求。
二、持恆資安教育訓練：
每年配合各級實施高階資安長、資安官資安講習，以強化資安知能；每月並針對資安違規人員，除依資安獎懲規定懲處外，並實施資安違規再教育；另叮嚀所屬資安工作成敗的關鍵在「人」，只有建立正確的共識共行，才能確保各項規範、措施被落實，否則一切均是空談，再多的管制作為都將流於形式。
三、落實儲存媒體管制：
置重點在集中管制、專碟專用、用畢清除及每日清查檢整等作業，以確維資訊安全。
四、精進資訊資產管理：
各單位購辦人員應貫徹禁止採購大陸製電腦及媒體設備等相關規定，並結合資訊資產管理系統，強化網路管理效能。
五、強化民網資安環境：
依規定使用民網，確保網際網路作業環境符合規範要求，嚴禁因貪圖方便、心存僥倖的因素，違規使用民網系統，冀以降低網際網路作業之風險。

國軍資訊安全作為旨在建立安全之資訊作業環境，國軍官兵應落實政策規範及標準化作業程序，按程序、步驟、要領，使用網際網路及資訊媒體設備，以降低資安風險威脅，確保資訊及相關系統之機敏性、完整性與可用性；此外，隨著科技日新月異，智慧型手機功能日趨強大，在使用便利性的背後，同樣隱藏個人隱私、通聯內容及定位等安全威脅。各智慧型手機開放試行單位應對所屬人員加強宣導，使用智慧型手機時，切勿談論公務，並關閉定位功能，於營外使用時，亦應避免運用不明無線網路上網，以防手機資料及帳號遭竊，影響通信安全及洩漏個人隱私。