我先說明一下,因為政委慣例做逐字稿、對外公開,但是公開的時間可以看後續什麼時候要宣布,比如要在 5 月 5 日資安長會議之後才要宣布這個政策,我們就會在資安長會議之後再公開。
當然,逐字稿做成之後,會寄給各位,各位覺得需要增修或者是補正,又或者是任何修改的,都可以在上面編輯。
至少有 10 個工作天。
如果對外宣布的時間要配合政策宣達或者是發函的話,我們可以再往後延。
感謝,以上這就是主席致詞。我們往下。
事情是秉倫發現的,我們就讓他先作簡報。
檢查對象目前會針對 gov.tw 結尾之 domain,這同時也會包含其他四個院及其所屬機關,此外 edu.tw 也要納入檢查範圍,edu.tw 屬於教育部,因此也要拉進來的。由 edu.tw domain 延伸之 subdomain 當中,之前有發現教育部國語小辭典沒有支援 https。
檢查清單來源之前跟政委開會有聊到,或許可以從 TWNIC 或者是 GSN DNS 的 DNS Query log,作為檢查清單,換言之就是有被 Query 過的全部拉出來檢查。
檢查項目第一個是憑證串鏈的完整性,部分瀏覽終端,例如 MacOS 的 Safari 可能沒有內建完整的政府憑證,在這些終端上,使用者會沒有辦法透過 HTTPS 連線進存取,會提示憑證錯誤。其中一個例子是,之前所發現國教院的雙語辭典就有憑證串鏈設定的問題,Safari 瀏覽會就直接壞掉,可能在 Windows 上是正常的,但是可能由於大部分的網站管理人都是使用 Windows 系統,所以沒有發現這樣的問題,會建議他們可以考慮使用 SSL Labs 進行掃描檢查。
下一個 Protocol,Protocol 可能是比較容易被忽略的,因為大部分有上 SSL 的網站,可能因為 Server 沒有更新,所以只有開啟 TLS 1.0 或是 1.1 支援,沒有支援 1.2。目前主流的各大家瀏覽器已經推薦大家把 TLS 版本提升到 1.2 甚至 1.3,因為基本上所有的瀏覽器都是支援 TLS 1.2,除了少數舊系統內建的瀏覽器以外。
因為 TLS 1.1、1.0 已經被卻認為不安全。而 TLS 1.3 已經出來,各機關可以看自己的技術能量來決定是否啟用,我覺得可以考慮支援 TLS 1.3,因為 TLS 1.3 除了安全性比較完整之外,網頁開啟速度也更快。
另外是 HSTS Header,有的網站有設、有的網站沒有設,HSTS Header 的好處是使用者只要曾經去過這個網站,就會自動轉到 HTTPS 上,使用者不需要額外 domain 前輸入 HTTPS,只要打 domain,按照原本的用法就可以轉成 HTTPS。
這個 Header 的時間長度會建議設定 1 年,或者是跟憑證時效相等的時間,最少推薦是 180 天,目前大部分我看到網站不是沒有設定,或是設定時間過短。院內網站首頁,只有設 48 秒,這樣太短,這樣 HSTS Header 就沒有太大的意義。
另外一個是 HTTP 重導向到 HTTPS,再加上前面有說如果前面 HSTS 沒有設的話,使用者進到網站只會看到 HTTP。導向到 HTTPS 的話有一些方法,目前有人看到用 301 Header ,有的人用 meta tag,也有人用 JavaScript 自動轉跳。Google SEO Guideline 提到是建議使用 301 Header 來導向,這樣的 SEO 是最好的,同時導向的時候搭配 HSTS Header 一起用。
其他方法像剛剛所說的 meta refresh tag,Mozilla 的技術文件沒有提出無障礙網站的議題,因為無障礙的裝置可能未必能識別這個 meta tag 來轉跳,甚至有用 JavaScript,這個可能會更不容易被識別,如果假設使用者是停用 JavaScript 的狀態,那就整個不會發生,這個也是在我自己機器人來檢查 HTTPS 轉跳遇到的問題,沒有被 detected 到的話,就會被判定為沒有自動轉跳,視為不安全。使用 JavaScript 或 meta Tag 就未必能被被非典型瀏覽器(無障礙設備)識別,就不會跳過去,即便有啟用 HTTPS,使用者的瀏覽終端也只會使用 HTTP 瀏覽。
MDN 詳細有個文件是在講有關於包含前述所提的各種網頁轉跳的實作,在 HTTP 轉跳 HTTPS 部分,建議使用 301 Header 的方式來轉跳最好。
另外延伸的是,也有機關把 HTTP 關掉,只開 HTTPS,這樣的狀況,如果使用者直接打網址,沒有多打一個「S」,就會開不起這個網站,因為 HTTP 就是完全沒有服務,雖然版本號大於 90 的新版 Chrome 已經透過修改預設行為來解決這件事,新的政策是預設會找 HTTPS,如果找不到才會找 HTTP,類似於預設使用 HSTS,但是由瀏覽器主動設定。
基本為了服務舊的 Browser(沒有預設尋找尋找 HTTPS 的),建議一併啟用 HTTP 來,然後使用 301 Header 轉向 HTTPS,不要用 JavaScript 或者是 meta tag 來做轉跳,除非有什麼特殊的考量。
另外,比較使用者體驗的議題是,可能大部分網站都會設定 www 的 Subdomain,但反之沒有 www prefix 的 domain 就不一定存在,就會發生如果使用者沒有打的話,反而無法打開網頁的狀況。有的機關有導向、有的沒有導向,會建議使用類似 HTTPS 重新導向的方式來實作 www.*.gov.tw 與 *.gov.tw 之間的重導向。
我覺得有一個比較嚴重的問題是 5pc.gov.tw 這個 domain,HTTP 跟 HTTPS 是完全不一樣的行為,這個在 Google SEO 「應避免的常見問題」有提到要保持 HTTP 與 HTTPS 的內容是一致。我不太確定為什麼 5pc.gov.tw 這個 domain 有加密跟沒有加密的導向地方不同,內容也是完全不一樣。
再延伸出來的是,因為去檢查憑證,會發現有些 domain,平常不是對外用的,但他有註冊,可能「default server」沒有關閉,像新北市某個國小的,伺服器上有兩個 Domain,其中一個預設曝露出了伺服器的資訊,某種程度上我覺得也是一個讓攻擊者多一些可用資訊的弱點。該 domain 也沒有上憑證,也沒有轉跳到首頁,這些額外 domain 上也因此沒有安全連線。
會建議這樣的案例,即有多台的 AP server 設計 Load balance 的導向需求,建議這些 Domain 可以設定於內部的 DNS Server 上,不需要暴露於公開的 DNS Server。
接著延伸是找學校這邊,特別是大學端,一些帶有 IP 資訊的 domain。這些可能是基於管理單位的管理需求,例如計算機中心,因而設置了一些帶有 IP 資訊的正解 domain,而這些 domain 對應到的伺服器上沒有關閉 default Server,因此可以透過這些帶有 IP 資訊的 domain 連線到這些網頁伺服器。當然,IP 的使用單位可能有本來自己就在使用的 domain,也有設定 HTTPS,但卻忽略了這些帶 IP 資訊的 domain 可以透過 default server 進行存取,而在這些 domain 出現沒有加密連線的狀況。
我和另外一位同事有聊到 IIS 本身也是可以關閉 default Server 的相關組態;使用 Nginx 的話也可以透過回傳 HTTP 狀態碼 444 來標示不啟用 default server。不過因為這部分並沒有納入 HTTP Status Code 標準中,所以只有 Nginx 能這樣設定
從剛剛帶有 IP 資訊的 domain 延伸出來可以看到一些不該被暴露於公開網路上的資訊,像是 NAS、印表機、網路攝影機、不該被公開存取的文件,如 ESXi 的 infrastructure 機器畫面也可以被公開存取。
甚至是有些鄉公所的網域變成都是監視器的畫面。
接下來可能希望大家討論,怎麼樣來作全面檢查的機制,也就是如何建立比較好,是中央統一管理或者是機關自己掃描,或者是 DNS record 是逐層交付,由每一層 DNS 管理者做掃瞄,看看之後有沒有要訂管考流程,這個管考流程異常可以忍受多久,或者是多久可以掃一次,因為其他比較細部的細節。
另外的延伸是,像剛剛公所的案例,也就是 DNS 管理的議題,其中一個是 DNSSEC,SSL 只是確保使用者跟伺服器的連線是沒有被竊聽、篡改,但是並沒有保證使用者連到的 server 是真的那一台 server,如果假設真的像中國做過 DNS 污染,就是把 DNS 回傳結果之 IP 改掉,就會被導向到其他的地方,看似很像真的網站。
我看大部分的機關已經有做 DNSSEC,但是有些機關的 domain 比較深、比較多層,像國教院雙語辭典,也是之前發現設定是有異常的。我會建議 DNSSEC 也納入設定要求,因為這樣在可以確保連到的 server 是對的,也就是並非被偽造或是透過 DNS 污染而冒名的 server 。
接著是 DNS CAA,這個就比較進階,在 DNS 增加一個紀錄,表示可以幫這個 domain 簽憑證的是特定的機構,這個會稍微比較選擇性的,但如果要求較高的資安等級的話會建議也實作。像之前有發生過根憑證機構賽門鐵克失誤簽發了 Google HTTPS 憑證。若於 DNS 上增加 CAA record 的話,即便是誤簽的憑證也不能被使用,使用者的瀏覽器也會跳出警告。若是被信任的根憑證機構誤發了憑證,如果沒有 DNS CAA 機制的話,這個憑證就會當作是正常的,但是其實是使用了不該被發出來的憑證。
接著想提的是 domain 有沒有什麼退場機制,像剛剛鄉公所其實是沒有在用的,就看有沒有退場機制,讓這些未善盡管理維護的 domain 下架退場。
另外是資管處是否能有產生類似是教戰手冊的文件,看是否可以提供各部會、機關所屬的資訊單位一些指引,因為各機關未必有這麼大的資訊能量、技術能量可以做這件事,是不是可以幫忙製作一下指導的文件,讓他們知道該如何設定處理。
另外,資安處需要幫忙協助的是,幫忙追蹤 Cipher Suites,每年都需要重新 review。今年覺得強度足夠的演算法,說不定過幾年,因為電腦的運算能力變強,演算法的安全性就不足了,我覺得可能要請資安處幫忙追蹤,來調整往後掃描的標準。
另外,因為這次的範圍是 gov.tw 跟 edu.tw,但還有一些像政府的經費辦的活動,也會衍生一些網站,雖然因為網域關係,並不在這次的掃描範圍內。那麼這些是不是應該也要被列管?也就是提供機關在做採購或者是發包的網站時,是不是安全性標準也要符合這套標準?以上到這邊。
要不要補一下脈絡?因為秉倫就直接進來談,今天是 NCC 跟教育部的同事實是第一次到,要不要說一下?
感謝秉倫很詳細分享,現在這個題目其實並不是新的題目,我記得 2016 年 10 月來的時候,當時資安處跟資管處就在推全面導入 HTTPS,當時的概念其實是 HTTPS 在公家機關用得越多,越可以造成很像我們連到 gov 的網站就是這樣安全的期待,這種期待越大,從瀏覽器的角度來看,像 Chrome 的話,你實際輸入網址,他會先試 HTTPS,也就是因為有足夠多的網站來使用 HTTPS 了,也就是戴口罩就會想要讓其他人也想戴口罩的樣子,這個是個常規,那次就滿成功了,至少所有機關的網頁首頁就修改了。
但是我們後來發現一個比較有趣的情況,這些嚴格來講並不是機關的首頁,他們是一些鄉鎮公所,如果只是從網際網路、網域的角度來看,他們 gov 底下的第一級,意思是不是從屬於縣市政府的,也就是「gov.tw」,所以很明顯的是,這些並沒有收到我們的公文,因為如果有的話,他們就會改了,但是沒有改。
第二個,我們也沒有辦法在開場會議之前通知或者是找到,應該是誰告訴他們說你們這些本來是鄉鎮公所的網站,其實都已經變成海康威視了,這個其實是我們一開始會討論這個的題目。
當然後來也發現這邊是 gov 的部分,像 edu 的部分,比如國教院也有一些同樣的情況,國教院有個網站我很熟悉,就是做萌典時候最早看的網站。
像重編國語辭典網站上面直接寫「不安全」,然後就會跳出「no message」,使用者一定會覺得可用性、被侵入等等的不是好兆頭,但是因為是機關網站,或者上層是沒有的,而是「moe.edu」,但是那個也是同樣的情況,也就是跟海康威視的情況類似。
最後再請秉倫輸入「nccu.edu.tw」,上面的「不安全」變成紅字了,是因為可以輸入密碼的欄位,這個是政大的 web mail 網站,你說大家是不是會直接進入這裡,當然不一定會,因為大多是連到「www.nccu.edu.tw」 ,那樣的話倒是沒有問題的,所以我們當時如果是看每個學校的首頁,這個才是首頁,所以我們在檢查的時候才會說政大沒有問題。
但真的沒有問題嗎?因為有些網頁上的連結是連到剛剛的那頁,就是沒有「www」的那頁,所以這樣子會造成破窗效應,也就是連到,然後看到紅字不安全,然後就還是輸入帳號密碼嗎?只要養成這個習慣,之後就有很多攻擊可以做了,所以我們想說既然機器確實是可以自動檢查出這個狀況的,是不是有一套方式告訴政大說把這個 domain 停掉、還是重導向,至少不要冒出紅字不安全,大概一開始的動機是這樣子。
有問題可以先問。
對,這個是事實部分,看第一次來的同仁們,包含 TWNIC。
剛剛談了滿多技術的需求,倒回來,有沒有比如 gov.tw 的系統技術規範,可以在網頁上看到 system requirement 清單,知道比如 compatibility with TLS 1.3 或者是怎麼樣?這樣大家就有遵循的依據了,不管是屬於政府部門或者是非政府部門,只要在 gov.tw 下,這個是國發會,國發會就會有 whois 資訊,也就是必須登記所有權人、註冊人是誰,這樣就負責要通告到相關的域名註冊者,如果有這樣的技術規範,等於政府內部的數位準則都要有參考的依據。
以我的理解,這個在政府網站服務管理規範的概念裡面有提到,還是請國發會的朋友先回應一下。
跟各位與會的長官、同仁說明一下,剛剛提到這個清單的部分,我們之前有大概試做過,和 TWNIC 要過 log 查詢的紀錄、政委辦公室之前提供的工具,掃出來之後的清單還滿完整的,我們想說應該很可以,但是並沒有跟各個機關盤的結果比對過,所以不確定是不是有出入,但是我們看到的量滿大的,應該是滿完整地包含。
像剛剛有提到的是,國發會是不是推動這些 HTTPS 的經驗可以分享,但是這個狀態比較特別的是,之前在推的時候,像這個操作也滿熟悉的,所以其實推的狀況滿好的,幾乎都達到百分之百,只是那個時候的狀態是,我們針對二、三級而已,現在拓展到更下面的所屬,或者是他們上的系統,他們不認為官網的部分會漏掉,最主要是補強這塊。
我們當年機關導入網站安全傳輸通訊協定,這是個函,對不對?
對,我們是用函的方式。
內容有放在國發會或者是 web guide 或者是哪裡嗎?
沒有,那時候是一個說明會的方式。因為有可能是第三方來經營 gov.tw。
我目前也只有在國家安全資通安全會報的會議紀錄裡面看到,但是那個並不是真正意義上國發會的文件。
其實到安全會報上會看到,但是不能期待所有的網站營運者會莫名其妙每天來看國家安全資通會報的紀錄,感謝 Kenny(黃勝雄) 的建議,我們也許在新的技術要求下,因為當年畢竟還在 TLS 1.2 的時代,是不是多少更新一下機關導入網站安全傳輸通訊協定,那個函的事前作業等等的說明,因為這件事其實 PO 完之後,如果是後面在架網站的人,其實不知道這件事,我也沒有辦法知道這件事,至少稍微作一些更新之後,放在政府網站營運交流平台上,至少給他一個網址。
因為並不是只有 HTTPS,還有其他 Protocol,就一併列入,不管是委外或者是內部經營。
沒錯,謝謝。看通傳會、教育部有沒有要詢問的?
因為 edu 的範圍非常大,教育部有沒有想過,這件事要重新讓大家知道、按照這樣的方式在處理的時候,後續要怎麼做?
有關於 edu 這邊的範圍,真的很大,像大專校院、國高中小都在裡面,盤點這邊具體的想法是,因為 edu 跟國發會不太一樣,GSN 是有統一的出口,就是比較有掌控,edu 這邊並沒有,也就是外面往 edu 查詢 DNS 的部分,這個部分是我們跟 TWNIC 共同建立,因此這部分也是我們和 TWNIC 共同蒐集 log,而 log 蒐集完之後,可能要先有一段時間的 log 蒐集,也就是盤點有多少的對口查詢,下一步動作會用 TANET 組織來協助 HTTPS 的盤點跟掃描,因為可能要把所有的 domain name 放進 SSL 裡面去查詢出來之後,所以這個部分,理論上量還是不少。
下一步,因為目前中小學的部分比較有一些著力點的地方,因為中小學的部分是有做向上集中的計畫,現在的 DNS 都集中到管理單位去,像是縣網中心這些單位,因為統一管理的下面有網站、服務及 domain name service,所以他們應該可以著手先把 HTTPS 的問題修好,把網站處理好。
至於大專校院的部分,因為坦白來說,雖然他們其實應該都要修好,但是有滿大的 gap,每個系所教授的一些自主性也滿強的,所以就像剛剛政委所提示的,像政大的網站狀況。
對,像如果現在按「建立帳號」,這四個 button 都是壞的,但是還是不安全的,立刻就會變成不安全。
所以這部分計中(計算機中心)要趕快處理這塊,讓大專校院的部分先從計中開始處理,我們先講大專校院更慘,也就是大學要退場,也就是要求的力道跟完成的配合度,我們再多努力,所以中小學有稍微集中,可以比較快進行,大專校院是計中的部分,可以趕快處理。
如果準備要退場,也沒有修改的能量,是有怎麼樣的程序可以最後把那個網域指到空的 IP,或者是直接停掉?
如果已經退場了,相關的資源就會收回,IP 跟 domain name 就會被收回,現在卡在青黃不接的時候,也就是快退場的人,也就是學校行政人員只剩下 10 個人之類的,也就是在做財務結算的程序,在這個階段是比較尷尬的。
我是不是可以麻煩教育部,因為你們 5 月 5 日要報告,我覺得不是再談 HTTPS,因為從去年到現在,其實整個教育體系的個資外洩非常嚴重,以政大為例,其實政大在一、兩年前因為 mail 的問題,造成政府機密研究委託的資料外洩,您剛剛提的問題,其實在各大專院校都發生過,之前中山也同樣的情況,也就是系所的老師自己架 mail server,也不跟學校的資中來聯繫,這些其實都造成敏感資訊的外洩,以現在來講其實是沒有人對他要求賠償,每次一外洩,甚至幾萬筆以上,這樣子是很不 ok 的。
所以是不是麻煩回去討論一下,5 月 5 日報告的時候,因為 5 月 5 日必須部的資安長報告,並不是只有 HTTPS,而是整個教育體系如何改善的資安的防護跟管理。
你們剛剛提的問題,其實是長久存在的,我只是覺得大學自主是一件事,可是不能因為用大學自主,然後規範就完全不理,國發會其實也有訂定相關的網站規範,資安管理法其實也有要求做這些,如果公立的學校不 follow 這些,其實連合法的程度都沒有,怎麼樣來談大學自主?我相信大學自主也必須要合法。
我覺得剛剛提的是你們現在面對的困難,但是我覺得每次都講這些,並沒有解決問題,可能要麻煩 5 月 5 日報告的時候,你們必須要把這些講清楚,昨天你們又發生一件,好不好?我的建議是這樣子,不然這個問題就永遠放在那裡。
我是覺得像政大不屬於退場的大學,所以以最壞的情況,也就是我們跟政大講了這個,然後包含建立帳號,也就是後台的部分,就像簡處長所說的,其實這個就是之前很多攻擊非常好的入口,如果好比像半年或者是一年都完全沒有任何回應,我們有什麼對策嗎?因為我現在只能想到兩個,一個是我們就公布儀表板、綿羊牆的東西,也就是經通知而未修正,請大家小心,瀏覽器廠商也可以把這些放到名單內等等,可以用一些社群的方法來處理。
第二個是直接把 DNS 收回,但是這個需要法律依據,這個我不是很確定有法律依據這樣做。
那個是 GSN mail 服務的使用規範當中其實是有的,如果一直在傳送垃圾郵件或者是什麼,超過幾次沒有更新的時候,其實是可以先斷線。
因為我覺得 DNS 的部分其實是可以比照類似的,如果 edu 跟 tw 不是透過 GSN 的 DNS,其實回過頭來 edu.tw 的網域是教育部在管還是 TWNIC 在管?如果教育部在管的話,其實相對簡單,可以訂 GSN 一樣的規範,也就是在 TANet 有這樣的規範,如果是 TWNIC 管就要先想一下。
我這邊呼應簡處長剛剛的問題,其實 TANET 有所謂的技術規範,可以把這些整併到技術規範,基本上就提供技術或者是社會期待正當性的法律依據,因為如果有清楚明白的揭露,也就是在 edu 第三層的話,符合哪一些行為要件,就提供技術正當性的法律依據。
檢測的部分,我們有一個檢測網站,也就是開放給使用者自己操作,我們有個網站是 check.twnic.tw,任何網址只要輸入在網站,就會檢查是不是有符合屬於最新規範的通訊要求,包含是不是有符合 HTTPS 的要求,或者是有沒有支援 IPv6,或者是 email server,也就是 DKIM 或者是 DMARC 的這些新防止,也就是沒有造成這些新的要求。
我們其實偶爾會做一些清單盤點,其實通過率滿低的,但是我們沒有公告這些資訊,畢竟還是屬於不算是個資,但是會影響這個名聲,所以各位如果有興趣,都可以查一下,通過檢核的政府網站是滿低的。
這裡講的 DNS 的設定檢測嗎?
不是,這裡包括你的主機有沒有最新資源、protocol 的要求,因為我們會做檢測,是 protocol 本身也要更新,他們也有這個問題,所以像剛剛也有講就是透過⋯⋯
你說那個網站是?
check.twnic.tw。
所以如果把剛剛的政大⋯⋯
像他們沒有檢測資源,你只要輸入的話,就可以檢測網站。
像 nccu.edu.tw。
就可以跟你講說你的分數是幾分。
這樣的意思是,其實不一定要用 Qualys SSL Labs 的 command line?
這個也有 command line?
我們也可以做,只是不方便公布檢測的結果。
當然,理解。
私下提供檢測結果,我們都可以提供。
好,像剛剛的 check,請你輸入 nccu.edu.tw。這個就很明確了,非常明確。
如果沒有購買檢測工具,那就是免費的。
為什麼 trust chain 是綠色的?(笑)
所以我是覺得如果這邊可以把它弄成 command line,因為教育部的打算是要用 command line。
可以,我們可以協助教育部提供的。
我們家的 command line,是要確保不會跑在綿羊牆上,第二個是如果這個檢測有哪一些要客製化的,也會跟 TWNIC 討論。
不過我還是建議要有技術正當性的說明,提供所需要的法律依據。
那個麻煩教育部研究一下,我們不會不教而殺,絕對不會明天就公布了,但也不能拖,所以試著你們現在有這個工具,這個工具之後也會有 command line,如果要加或者是減哪一些項目,跟 TWNIC 講就可以的情況下,看怎麼樣能夠比照類似國發會之前的函跟現在要公布的檢測。
其實以我的理解,在資安處的檢測本來就有加密連線,但是 HTTPS 是順帶一提,也就是所有的東西都要加密連線,而 HTTPS 是舉例而已,並沒有講到那麼清楚,包含版本等等的這些部分,所以如果可以講得比較清楚,而且給他有一定程度的公定力,告訴大家說這個放在 edu.tw 底下,我們可以說一段時間之後,好比像半年或者是一年後如果沒有遵循的話,就可能會發生後果。
也許第四層比較不能要求,但是第三層一定是可以要求,因為第三層是經過 delegation 送出去的,所以一定是可以要求的。
所以那個是你們自行開發的?
我們是自己開發的,你如果要 command line,我們可以客製化給你們,你們用清單,然後跑進去,結果就出來了。
是不是方便 source code 的部分來做,因為有些成大的團隊也有協助做工具的開發,如果有內部處理就比較快一些,不用再透過 TWNIC。
請再跟我們接洽,看怎麼樣到時去協助他們。
這個最後一定要客製化,客製化之後記得把改的部分交回上游看看,看有沒有要參考的部分。
我們會 open 出去。
這個部分謝謝教育部,我想就很清楚了。
想問簡處長,在 5 月 5 日有什麼這上面的東西,比較適合對資訊主管說的?
最主要的是 HTTPS 的部分,我們大概也會提醒個資的部分,大概是這樣。
會放在上午或者是下午?
上、下午的部分,因為上午是對資安長,下午是對資訊主管,但是教育部的報告是在上午,副院長也說要聽。
確認一下,看起來像剛剛黃董所講的,我們需要政府部門、學校部門要有技術規範,政府部門看起來像從前的網站導入技術規範。
更新一下就有了。
教育部這邊如果有用簡單的方法,就可以直接 copy 的話,就告訴所有的學校說要按照同一個標準來做,或者是你們要寫一個標準出來。下一個問題當然是怎麼樣讓大家都知道,政府的部分我們是要在這次會議之後,從院裡面發一個函出去嗎?
不用再發函吧!
我們 5 月 5 日講一下就好了。假設我們這兩個的規範都會在 5 月 4 日上網,好比像 5 月 3 日上網,5 月 5 日直接在簡報裡面提,有個關鍵字就好了,大家就會瞭解到⋯⋯
比如雲林縣政府的斗六市公所,雲林縣政府會通知他嗎?
先前應該是都沒有通知到。
而且不是市公所,而是市代會,縣政府可能根本管不到它。
以發函來講,也不會發到那邊⋯⋯
我是覺得像國發會都有放在網路上,我覺得其實現在在每個場合去提醒大家來看這個連結,並不是什麼一直都在發函,我的看法是這樣。
但是葉寧的意思是告訴斗六或者是那堆海康威視的說如果再不改的話,說不定會跑到綿羊牆上或者是會把網域停掉。
那我覺得應該是在資安長會議,因為各縣市的資安長都會來,提醒他們就可以了。
我同意,但是提醒的時候要包括實際的例子,因為縣市政府慣性可能只到縣府所屬。
我們可以用 sample,像剛才國發會或者是教育部的網址會在那邊,提醒他們要⋯⋯
我的意思是要具體到斗六市的情形,因為縣政府的話,可能回去縣市府的資訊處只會管縣府的網站,並不會管鄉鎮的。
其實不屬於縣府的。
所以這個是我說為何會壞掉。
因為現在在資安管理法,我們讓他還是對縣市政府回報,我們在縣市政府那邊都有提醒這個,所以我的意思是可以 demo 出來,他們就會知道。
麻煩打「haitu.gov.tw」,而且他應該沒有改密碼,像這樣的情況,已經至少四個,或者是更多,我用 whois 的話,並沒有沒有告訴我可以連到誰,因為全部是 GSN,GSN 那邊有比 whois 多的資訊嗎?
剛好一樣多。
我們查一下其實有 GSN 的我們才會 log 出來。
到時他們在註冊的時候就要⋯⋯
對,如果有主機的話,像內政部有權威主機 (Authoritative Server) 的話,在權威主機下的網域就不會。
是不是直接掛在 gov 上?
這個我們會有。
所以會有到什麼程度?承辦人的電話嗎?
會有,但是會有一些出入,像登記的時間跟申請的時間會有出入,但是通知通知到的機關應該是沒有問題。
因為剛剛簡處長的意思是,如果對每個這種說真的滿誇張的情況,都要額外發公文的話,那是滿大的行政成本,葉寧的想法是如果不發公文到海瑞鄉公所的話,我們還真的沒有辦法透過資訊長或者是資安長通知到他們,因為縣市政府的資安長可以通知到早就通知到了。
我想要問的是 GSN 的話,是不是可以比發公文到海瑞鄉公所更快速、有效、安全、便捷等等的方法,因為如果沒有的話,我們一定是發公文。
對,不然真的可以掃一遍之後,把不安全的名單列出來,在資安會議的時候,更有說服力,比如雲林縣資安長立刻知道境內有哪一些單位是有問題的,警覺心就會比較高。
其實我不反對。
對,沒有舉實際的例子,他覺得是隔壁的事情。
以海瑞為例,我覺得有幾個要點出來。
如果我們的能量可以做到直接抓出來的話,那天告訴他們說在某某連結可以找到完整的檢測名單,名單上請你們回去查一下所轄的境內是不是有在上面,會比較警覺一點,不然資訊主管聽過會覺得那個是比如雲林的事情,跟基隆沒有關係。
當然不知道,怎麼可能知道呢?聽起來是一個不對外、只是給 5 月 5 日的出席的人當作附件的綿羊牆,意思是這樣?
我們把這幾個案放在資安長看到,我覺得是很好。
我覺得放兩頁很好,就是最誇張的。像海康威視應該夠誇張了吧!政大我也覺得可以放,為什麼不放?
政大就讓教育部在提的時候當例子,在資安長會議拿出來直接當例子,因為我覺得這個是政大自己要處理,不能全部推給教育部,當然我也覺得教育部也不能說大學自主,就是提出來。
我們先跟政大打個招呼。
打個招呼的話,他到那時候就會修好了。像 HTTPS 的 GSN 一定會公布,可能是公布在 web guide 上,公布之後就會有網址,教育部這邊可以做的是把這個網址當作參考資訊,也就是宣導所有的 edu.tw 都要有同樣的規範,我覺得至少可以提這句,但是要不要點名哪個特別糟糕的案例,我想還是尊重他們。
因為學校端跟憑證端在政府這邊有 GSN 可以處理,學校變成要自費來處理這塊。
很多都是用免費的。
但是有些到後面還是要收費。
三個月換一次。
但是學校的資訊人員都是臨時的。
這個說不定也要放到宣導裡面,因為其實當年國發會的那個函裡面也有講說資安等級在什麼以上建議買真的憑證,如果資安等級沒有這麼高的話,a 免費也很好用,那個函裡面是這樣寫的,所以不妨也通知一下。
如果說他們都沒有做的話,他們一定會反彈回來,就是說要額外的經費,要他們用免費的憑證,當然可以,只是這部分的後續資訊人員要再處理,難度會很高。
不過那個是全自動的。
以前在交大做就是全自動。
應該可以這麼說,交大可以做跟鄉鎮公所會做的成本不一樣。
交大是學生做。
學生也是成本。
這個是我的下一個問題,理論上像中央機關或者是政大,我們把資訊給他以後,大概有能力自己改,可以想像斗六市代會,他們只是找個資訊公司,像某某的地方廠商,我們告訴他們有個指引,或者是告訴他們說在名單上是不安全的,就會自己改嗎?或者是有比較明確的要求是要做哪幾個動作?
對,搞不好廠商就倒了。
對,因為本來就是個成本。
問題這個事情誰要做?
理論上有個通常的方法,也就是如果對方完全什麼都不懂的話,我自己在入閣以前就會說申請 cloudflare 的方案,那個是最簡單的,因為那是一步步帶著你做,大概 5 分鐘就一定會設定好,當然我們在公部門不能推薦特定的廠商,但是我們這邊並沒有什麼類似的服務,所以基本上只有兩個選項,一個是自己想辦法用 Let’s Encrypt ,這個就是大家所講的技術成本有一定的成本,不然還是只能說也可以考慮用 CDN 內建免費的 HTTPS 的服務,可以講到比較描述性的部分,所以是「(如⋯⋯)」之類的,也許可以蒐集幾個。
其實這個可以分兩塊,一個是政府機關,一個是學校,其實剛剛政委講的是偏學校這邊處理,像政府機關的部分,宗彥,是不是可以都可以申請 GCA?是不是包含到市議會都可以?
是不是政府機關可以申請 GCA?
當然。但是我剛剛說 edu 狀況。
對。但是我覺得政府機關的部分可以要求用 GCA,這樣相對容易的,也就是把步驟寫出來,像給市議會,他們大概直接給委會廠商按照這個做,這樣就完成了。
學校比較複雜,因為學校的老師都是兼任的。
這個又回到長久在討論的議題,是不是有必要每個小學或者是國中自己來設一個網站,在之前其實教育部也有在提共用網站的概念,會不會比較快?
國中小都有,但是高中有升學的壓力,所以會有自己的特色系統,這個都有提過。
沒有 HTTPS 也變成一個特色。
就是紅色的不安全,別的網站都沒有的。
他們也想要改,希望我們幫他們做到到位。
所以表示 5 月 5 日資安處,至少在下午的簡報會列步驟出來,至少列一些具體的⋯⋯
如果是 GSN 的話,一定是可以的。
是要在簡報當中出現。
像國發會這邊給我們,也就是沒有 GCA 的申請 GCA,怎麼設定等等。
各部會自己都可以處理。
其實政府機關這邊是掃出來跟他講,他就會去做了,跟教育部不太一樣。
只是要求延伸的時候,是要求必須延伸下去。
往下延伸是?
第三層、第四層或者是開放給第三層廠商介入,剛剛講了除了政府機關之外,像域名註冊所有權人要符合合規的要求。
但是像海瑞鄉在域名是最頂了,但是行政區劃上當然是台中市。
所以要符合合規的要求,其實第三層在很多國家都有強烈的要求,因為某個程度是代表某個等級的政府機構。
我是外行,但是我這樣子來看,我覺得有兩種情形,一個是像海瑞鄉公所,對縣市政府來講是獨立的單位,所以通常在縣市政府的訊息傳達不見得傳達得到他,另一種像國教院的情形,比如各機關的網站除了官網外,會有業務網站或者是類似的情形,但是通常是大家不太會特別認真處理的,但後面還是「.gov.tw」,這情形也有可能發生在中央部會。
因為送域名申請的時候,可以在合規要求當中註明。所以第二個聯繫送達的資料,也就是 whois 這些資料必須精確跟可以送達,必須確定在這邊。
至少海瑞鄉這個是本來在用 GSN 申請的時候看是否可以送達,我們也可以試試看,就挑那幾個海康威視的試試看,如果都沒有辦法送達,別的都不用說。
我想知道的是,是否有自動化的方式我們可以掃出來?
有啊!這個就是自動化掃出來的。
確定是指向同一個 IP,因為我的想法是,這個對我來講,這些是比較立即處理的,如果有 list,我們今天就可以通知,應該不只這四個。
鄉鎮公所應該都有類似的問題,但是因為我稍微掃一下,我沒有全部掃,因為全部掃完之後就會變成 banned IP,所以會沒有辦法掃。
所以你有能量的問題而不能掃?
像掃我們自己學校,掃到被 ban IP,這樣就沒有辦法掃了。
如果從 GSN 掃是比較可行的?
我們是第三層都掃過了,所以是第四層沒有辦法掃。
這個是第三層。
我比較想知道的是並不是有沒有用 HTTPS,而是這種比較誇張的,我比較想要知道的是這種。
我覺得這個分兩層,一個是本來就有的,像剛剛 TWNIC 說第三層都掃過,包含有沒有 www 開頭的,那個其實沒有任何理由,如果沒有開 HTTPS、有開 HTTP,這個無論如何就是資安問題,這個不是海康威視,這個清單是現成的,而且已經在上面了,所以我想資安處要優先處理的話,其實可以全部都處理,就是說在上面,也就是 HTTPS 沒有開,而且 HTTP only,這本來就是資安的。
所以意思是 TWNIC 的清單,可以給資安跟資管處?
都給了。現在只是要不要分成海康跟非海康,我的意見是不要的。
那就是資安跟資管處手上有清單,理論上可以去通知到他們,他們是可以⋯⋯
因為政大也是那樣子找出來的,也是在 TWNIC 名單。
但是海康沒有辦法。
每個弄一下,就知道是不是指向那裡就知道是不是到海康了。所以麻煩資安處把現在手上有的第三層,是不是要包含 edu,或者是只有 gov?
edu 的部分給教育部處理。
第三層請教育部處理,我們面對 edu。
第三層包含有、沒有 www 前綴。
那個是我們本來就有的東西。
還是可以給一次。
因為是包含 www 的前綴跟沒有前綴的版本,因此我才發現政大有前綴是好的,沒有前綴是壞的,所以只要是 HTTP only 的情況,就先行通知,希望 5 月 5 日所有都通知到了,最好全部都修好,5 月 3 日理論上可以再掃一次,因為那個成本很低,因為 gov 麻煩資安處 (協調國發會) 來做這樣的動作,因為有 www 跟沒有 www 的前綴版本,這個是立即可行,第四層以下就麻煩參考即將要上線的公告,然後去說第四層以下,我們之後也會安排類似的掃描之類的,也就是先讓大家知道會有類似這樣的情況發生,我們現在只掃第三層,但是第四層,我才告訴大家之後,也就是 5 月 5 日之後,也會很快有第四層以後了,請大家瞭解,我們的訊息傳達先到這邊,我覺得是滿充足的。
有沒有其他的動議?
因為目前是針對政府機關官網的部分,我認為服務的網站也必須要納入。
所以即使並不是 gov 後綴?
一樣是 gov。
那就是第四層以後了。
還有一個其實政策上有個很明確的,要求大家不要辦活動的時候,直接委託承商,然後用承商的 domain 網站去作活動,像台中市政府的案例,其實有很多的案例都是這樣子。
這個我理解。
那個部分的政策上,有同樣比較明確的講法。
你要不要給個文字?我再請資管處看一下文字。
因為今天的會議會下紀錄,你們就直接共筆在紀錄當中。
OK,OK。
你覺得怎麼樣就寫上去,將來就可以指向是來自於這場會議。
好,第四層以後的掃描方法,就麻煩 TWNIC 給工具的 source code,這邊 edu 說會自己再去找另外一組人馬來執行,而執行的量能是把所有四層以後的都掃一次,多久可以做一次,可能也是一樣 5 月 5 日的時候讓我們知道,我們在可以對外講,也就是最好的狀況是每個月一次,但是如果做不到就是每個月一次,那再跟我們說,因為 GSN 這邊是滿確定每個月做到一次,所以如果教育部這邊也可以做到每個月一次,這樣節奏就比較清楚,也就是 5 月 5 日讓大家知道,6 月初會有第一次掃的全國結果出來,也就是限期改善,看百分比是多少,哪一些沒有改善的,也就是到年底的時候到底要怎麼做等等,就這樣子。
domain 退場的問題要不要討論?
是說有學校關掉就會收回,學校比較久才關得掉,似乎不是我們可以說什麼的,在 GSN 這邊有退場機制嗎?
目前沒有特別的擬訂,但是有機會宣導的時候也會跟大家講這件事,如果是單純的業務網站會自己來做檢核。
活動辦完就收起來。
像 3000.gov.tw 是不是應該要收起來。不過 3000 的承辦人不在桌上,我看還是 500.gov.tw。
這個不是過了嗎?
因為會變成資安的漏洞,海康就是這樣來的。我猜體育署的動滋券小組,應該沒有人在更新這個網站了,所以最簡單的方法就是讓它立刻失效,如果有什麼值得放的,其實 Internet Acrhive 都應該已經有備份了,我覺得這個東西也許可以考慮退場的機制。
我不知道這個算 GSN 或者是 web guide?
對,是掛在我們這邊。但是如果機關沒有來跟我們申請的話,我們不太可能去做這件事的確認,還是要從業務端來做。
當然,但是我是說 GSN 可以擬一個概念,好比像以前曾經有人申請過 gov.tw,現在已經連不到了,也就是服務終止了,然後持續一段時間,或者是已經變成海康威視,我們通知他,他不理我們一段時間,也就是沒有在做本來的服務,服務已經實質停止的情況,這個也可以用機器掃得到,至少對這段是不是有退場的方法?也許可以研擬看看。
我們可以研擬一下。
你們可以申請表考慮寫上起始時間。
但是機關實務上填不出來。
但是像專案性質填得出來。
他們機關有些會疑惑,也就是失效了,還是想要查詢資料,如果填得出來,我們一定照做,這個沒有問題。
當然,像業者的合約就知道,好比像 6 月,6 月之後也可以合理期待這個網站就會倒掉了,然後就會指向未來不知道變成什麼別的東西的網站,這個時候資安的議題才開始出現,也就是現在再過一段時間是不會反對的,沒有人會反對的,像我們看 taiwancanhelp.us 的網站,那個是民間做的,當時集資登廣告的網站。
往下捲,就可以看到大家到底貢獻了多少口罩到外面,本來是有個很漂亮的計數器,而現在變 0 了,如果按 here,就會到衛福部當年的⋯⋯沒了,因為那個是活動網站,用 taiwancanhelp.com.tw 其實有點規避,如果當時是用 mohw.gov.tw,或者是其他的 gov.tw ,GSN 在這種情況,顯然沒有提供服務,而且持續某段時間沒有提供服務,理論上這個網址要收回,要一直到那個 IP,也就是跑去做那個事情的風險存在。
這個分兩塊,像政委提到的,我們在掃的時候,像我們的確就有掃出來,這個部分我們會來處理。
另外,也就是機關在申請的時候,我們就明確講說活動下線的時候要自己注意一下,活動結束的時候要收回,也可以定期的時候可以看一下這件事有沒有完整。
這個都可以在活動的範圍,如果你們保留到 2050 年,我們也瞭解。
我們可以在 5 月 5 日的時候再講一遍,也就是政府機關辦活動,不要用「.com」的網站,第二個是業務網站不用的話就自行收回。
這個是他們會用的 wording。
或者是在某些情況之下就下架。
連續多久連不到。
假設國發會已經訂出新的規則。
對,我們再排一下,因為時間也沒有這麼多,所以如果全部都要講進去,都記不得。
這些都可以放在即將公告 HTTPS 當年的函,變成類似技術的規範,我們已經掃到第三層,很快會掃第四層,我們講到那個網址,絕大部分是連到那個網址,所以大家直接去那個網址看,不管是放在 web guide、NDC,又或者是 GSN,我都沒有意見,都可以,因為都是在 gov 的網站,並不是「.com」。topic 都處理了,今天謝謝大家。