國立高雄大學
防範惡意電子郵件社交工程演練改善計畫
壹、 前言 有鑑於電子郵件社交工程對資通安全之威脅日深,教育部於 98 年度曾 對本校實施兩次電子郵件社交工程演練,測試結果開啟惡意電子郵件者 有升高的趨勢且開啟人數與點閱率人數逼近受測人員之半數,經教育部 評比演練結果未達標準,列為持續改善之機關。根據來文之數據顯示, 本校同仁對於電子郵件社交工程之攻擊方式警覺性不足。為使校內同仁 重視電子郵件社交工之危害,重視使用者輕忽之結果易成為駭客入侵之 弱點。為提高本校同仁資安意識,強化同仁之警覺性,爰訂「國立高雄 大學年度防範惡意電子郵件社交工程演練改善計畫」並據以施行。 貳、 依據 一、 96 年 2 月 15 日行政院核定修正之「建立我國資訊基礎建設安全機 制計畫」辦理。 二、 國家資通安全會報 96 年 10 月 5 日資安發字第 0960100562 號函「防 範惡意電子郵件社交工程施行方案」辦理。 參、 目的 為提高本校同仁警覺性以降低電子郵件社交工程攻擊風險,特訂定本執 行方案,規範校內社交工程防制目標、舉辦相關資安教育訓練及宣導、 規劃辦理演練作業,以強化校內同仁資安意識並檢驗電子郵件社交工程 防制成效。 肆、 施行對象 以本校職員工同仁為演練宣導對象,教員同仁為宣導對象。 伍、 年度目標 配合國家資通安全會報方案計畫之總體規劃,擬定年度預計達成之目標 為: 一、 惡意郵件開啟率降至 10%以下。 二、 惡意郵件點閱率降至 6%以下。 陸、 施行 一、 加強宣導:本館將不定期以電子郵件方式發送社交工程相關之知 識、防範方法等文宣以強化同仁之警覺性。 二、 教育訓練:每年至少兩次定期辦理電子郵件社交工程與資訊安全講 習之教育訓練,邀請校內或校外學有專精之講師到校進行講演,以 增進同仁資訊安全等相關知識。 三、 自我演練:仿照教育部之演練作法,每季一次針對校內同仁進行電子郵件社交工程演練。使校內同仁於頻繁的演練中熟悉駭客各種攻 擊詐騙之手法,達到知己知彼防範之效。 柒、 獎懲建議 一、 對自我演練與教育部演練結果,未通過演練之同仁採記點之方式。 已被記點之同仁將強制參加教育訓練。 二、 對於連續記點兩次之同仁,將考量限制收取外部信件。 三、 符合下列之情形者,建請人事室作為年度考核之依據。 1. 教育部社交工程演練連續兩次未達標準者。 2. 已遭記點未參與教育訓練者。 3. 連續記點多次仍未改善者。
