0

發掘潛在資安風險 教育部培育攻防技術人才

為強化學校資安防護工作及管理人員的資安專業技能,教育部委託國立陽明交通大學辦理「教育體系資安檢核技術服務計畫」,完成數十件資安技術檢測,協助發現多項資訊作業環境內的重大風險,提升資安防護水準,並另已針對教育體系人員辦理5場次核心進階技術課程,共逾70位人員完成培訓,強化教育體系專業技術人才能量。

隨著教育環境智慧連網及物聯網(IoT)設備日趨增加,大量應用資通系統輔助教學業務推動,學校重要資通系統及網路環境已成為駭客攻擊目標,搭配日新月異的攻擊手法,造成教育體系資安風險大幅提升,相關安全及隱私問題更引起外界重視。另我國資通安全管理法於108年正式施行,要求政府機關、學校應強化資安防護工作,以及管理人員的資安專業技能,因此,教育部致力於建立教育體系資安技術檢測機制,並投入資安技術人才培育及傳授資安防護知能,期能逐步提升全國教育體系資安防禦能量。

自108年5月起,教育部委由國立交通大學辦理「教育體系資安檢測技術服務計畫」,並由教育體系資安檢測技術服務中心進行作業推動,以資安技術面為主軸,培育教育體系專業技術人才,協助辦理教育體系資安技術檢測作業,以檢視教育機關(構)、學校資安法落實情形。

因應近年資安攻防技術人才需求大增,教育部針對教育機關(構)、學校人員辦理資安技術檢測教育訓練,培養人員資安檢測進階技能,從各項工具應用、上機演練至實務測驗,育成人員惡意程式檢測、系統滲透測試及網路架構安全檢測等能力。推動迄今,陸續已完成5場次實務課程,共有逾70位人員完成培訓,強化教育體系專業技術人才能量。

此外,教育部每年也規劃針對所屬公務機關、所管財團法人辦理資安稽核,包含由受訓合格技術檢測員執行實地技術檢測,協助機關發現潛在風險,內容含括七大檢測項目:使用者電腦安全檢測、網路惡意活動檢測、核心資通系統安全檢測、網路架構檢測、目錄伺服器安全防護檢測、物聯網設備檢測及組態設定安全檢測。目前已完成數十件技術檢測案,並提供檢測報告,由受檢單位擬定改善措施,持續改善教育體系資安水準。

經逐步累積資安技術檢測作業經驗,教育體系資安檢測技術服務中心彙整了常見的資安缺失與安全漏洞,向全國教育機關(構)、學校辦理說明會提供精進建議,110年度已辦理3場次,藉由推廣資安防護知識,期避免資安事件發生,建構教育體系資通安全環境。

未來教育部也將持續攜手專業團隊,協助教育體系發掘潛在資安風險、培育攻防技術人才,以強化及增進整體資安防護能量。

117