【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
同時也有1部Youtube影片,追蹤數超過4萬的網紅吳老師教學部落格,也在其Youtube影片中提到,公訓處EXCEL進階課程分享 今天來到公務員訓練處教課,窗外就是101大樓,邊上課邊欣賞美景真的再愜意不過。 來這上了好多次課,每次心情都不同,也許漸漸熟悉這裡的生態,所以上課的步調也就更能掌握。 最早來這裡都是坐文湖捷運來到山下,要爬15分鐘的山坡,每次都是氣喘吁吁的,雖然有健身的功效,但似乎會...
vm虛擬機 在 OSSLab Geek Lab Facebook 的精選貼文
最近新聞報導:國教署學習歷程檔案(類似高中三年成績單)遺失損毀。計有學校81校、學生7,854人、資料2萬5,210件.
發生原因為某大學團隊為了資安,將系統搬移到新機房運作十餘天之後,因系統更新而重新開機
(因其中有三台硬碟在一開始建立時,模式設定錯誤,系統更新重新開機後,硬碟被還原" "並且沒有做異地備份")
就新聞字義上 OSSLab Geek Lab推判
為了讓重新開機機器恢復到初始資料 (類似還原卡功能),把VM硬碟格式設定為"獨立非持續性".
這樣當關閉或重設虛擬機器時,當下run快照檔將會刪除。
在VMFS6上其快照檔案格式為 vmdk-sesparse.REDO
(當VM關機後 如圖已經驗證過 確實在VM關機狀況下 此檔案立刻會被刪除, 如果是這樣狀況,是當初架設規劃或動到的人規劃錯誤.. )。
其實虛擬化檔案系統VMFS 在thin 格式時候需要做容量回收。
因此vm檔案(VMDK) 在當初意外發生時後,其實有很大機率可以恢復成功.但根據新聞系統 9.5 就開始出問題..到現在已經超過 21天,處理此狀況變得異常複雜。
如果當下把這原始LUN立刻Unmount,確實dd備份好 ,自己處理不行後,把原始LUN再交給專業資料救援公司.相信成功機率一定非常高。
更多VMware救援真實案例
https://www.osslab.com.tw/?s=vmfs
#OSSLab #專業的來 #成績單
vm虛擬機 在 Facebook 的最佳解答
悠關升大學的重要「 #高中學習歷程檔案 」竟然因為廠商疏失,造成118校、上萬名高中職生上傳到系統的 #資料遺失!!
廠商說:
「公版模組目前搬移到集中機房,但因其中有 3 台 VM 的硬碟在我一開始建立的時候,模式設定錯誤,系統更新重開機後硬碟被還原了。大概有 118 校要進行資料搬移,目前已經重新設定硬碟並掛載,預估會在本周六完成,本人疏忽造成不便請見諒。」(自由時報 https://reurl.cc/RbjyKg )
我辦公室一早看到新聞,立刻追蹤教育部處理狀況,教育部回覆了4點資訊(請見文後),但仍未回覆大家最想知道的關鍵問題:
⁉️資料到底有沒有備份?
⁉️到底資料回不回的來?
⁉️如果回不來,再重新上傳是不是會影響公平性?
⁉️萬一學生未保存上傳檔案或資料,要如何補救?
⁉️老師協助再認證的程序怎麼處理?
教育部一方面說正在想辦法回復資料,一方面又通知學校協助學生確認資料、重新上傳。
但,這一來一回的時間差,會不會又產生新的問題:
⁉️資料重複不知道要用哪份?
⁉️新資料會不會覆蓋舊資料(但明明應該是以最原本的資料回復是最公平的方法)?
這些,教育部仍未回應。
我的辦公室目前正在緊急追蹤確認,一定會督促教育部仔細小心的處理完整。學習歷程檔案悠關學生升學權益與公平性,一點錯都不能有!!
----
至於教育部一手掌握全國高中職生學習歷程檔案,辦理「資源向上集中計畫」說要提升資安,卻連 #最基本的資料保存 都做不好,這更是嚴肅的重大問題。
全國高中職生「高中學習歷程檔案」影響升學,事關重大;依規定,更要保留到高中畢業後的5年時間。
這麼重要的資料,照理說系統資訊多做兩三、個備份都是應該。但目前看教育部的回覆和處理,疑似根本完全沒有備份!!
再者,依教育部的回覆,系統9月22日已經無預警斷線了,代表 #系統早就有問題,卻完全沒有警覺,沒有即時備份資料,預做準備。
另外,在「伺服器轉移至新機房前」前,依照 #資訊的基本常識與處理程序,也要 #另外多備份一份,以防止資料遺失。但照目前資料遺失的狀況,看起來是委辦廠商連基本的安全處理都沒做到,教育部也沒有盡到監督的責任。
以上各種問題,我都會一一監督教育部必須要快速改進。麻煩大家還有發現什麼狀況,也請隨時讓我知道!
---------
教育部今天上午的回覆:
1、配合教育部資訊資源向上集中計畫提升資安,國教署規劃學生學習歷程檔案校內模組公版分階段進行向上集中作業,於110年9月起,將原放置於中華電信Hicloud雲端機房之系統資料,轉移至國教署租賃之文心機房。
2、日前因主機維護工程作業疏失,於110年 9月 22日無預警斷線,經緊急搶救,已於110年 9月 24日恢復上線服務。
3、因伺服器轉移至新機房,須重新設定備份機制,但其中3台虛擬機器硬碟模式設定錯誤,導致系統重新開機後,硬碟資料還原,經盤查,計有118所高級中等學校學生在110年9月5日至22日間上傳之部分檔案遺失。
4、現已完成系統虛擬機器設定,且於110年9月24日恢復上線服務,並請學校協助通知學生確認資料之完整性及可用性。
vm虛擬機 在 吳老師教學部落格 Youtube 的最佳解答
公訓處EXCEL進階課程分享
今天來到公務員訓練處教課,窗外就是101大樓,邊上課邊欣賞美景真的再愜意不過。
來這上了好多次課,每次心情都不同,也許漸漸熟悉這裡的生態,所以上課的步調也就更能掌握。
最早來這裡都是坐文湖捷運來到山下,要爬15分鐘的山坡,每次都是氣喘吁吁的,雖然有健身的功效,但似乎會影響到上課的品質,所以之後就開車來這裡,
但比較擔心經過高速公路與建國高架道路會有塞車的問題,都要提早出門。
大約八點以後出門一定塞車,今天出門就遇到北上車禍,塞到不行,所幸沒塞很久。
今天人數較以往50幾人比較算是迷你的,但也有30人左右,雖說30人也不算少,
但也許是和之前比較,感覺有點空曠,不過並不影響教學品質。
介紹GOOGLE試算表的妙用
雲端時代來臨,沒上雲端就會被綁在一台電腦上,
無法隨時隨地使用資源,上雲端只要有網路有裝置,
包括智慧型手機、平板電腦等,就可以隨時存取並修改檔案,
配合雲端列印,更可以達到處處是辦公室的境界。
如何上GOOGLE雲端:
1.請用GOOGLE瀏覽器
2.需要一個以上的GOOGLE帳號
3.將EXCEL檔案上載到GOOGLE雲端空間
優點:
1.如果你電腦沒有EXCEL軟體,可以用GOOGLE試算表工作。
2.如果你的檔案是EXCEL2010而你電腦只有EXCEL2003,可以用GOOGLE轉成2003版本。
3.如果你想在妳的ANDROID手機隨時看到試算表資料,上傳到雲端就可以同步。
4.如果你的EXCEL檔有加密碼,上傳到GOOGLE也會自動破解。
吳老師 100/12/07
01_開場與問卷
02_下載與相關說明
03_課程大綱說明
04_REPT函數說明
05_LEFT函數說明
06_RIGHT函數說明
07_LEN函數說明
08_MID函數說明
09_TRIM函數&SUBSTITUBE函數說明
10_綜合練習題解法一
11_綜合練習題解法二
12_IF函數&AND函數說明
13_OR函數說明
14_綜合練習題一增檢體重
15_綜合練習題二長青安養中心
16_日期的格式化秘訣
17_日期比較
18_DATEDIF函數說明
19_DATEDIF範例
20_DATEDIF範例
21_EDATE函數說明
22_WEEKDAY函數說明
23_YMD與TIME函數
24_NETWORKDAY與WORKDAY函數說明
25_綜合練習題年曆之一
26_綜合練習題年曆之二
27_GOOGLE是算表的使用介紹
28_SUM函數與SUMPRODUCT函數說明
29_SUMIF函數
30_ROUND函數
補充資料:
EXCEL函數與VBAGOOGLE論壇
http://groups.google.com/group/labor_excel_vba?hl=zh-TW
下載檔案:
http://goo.gl/omjw8
吳老師教學網:
http://3cc.cc/10g
部落格:
http://terry55wu.blogspot.com/
論壇:
http://groups.google.com/group/labor_excel_vba?hl=zh-TW
溫馨考場論壇:
http://123.205.192.177/uc/bbs/index.php/
EXCEL,VBA,函數,台北市公務人員訓練處,吳清輝老師,程式設計,線上教學,e化創新,雲端計算,虛擬電腦,吳老師提供
vm虛擬機 在 [請益] 想玩VM/PVE 硬體大方向要怎麼選擇? - PC_Shopping 的必吃
如題舊電腦也快不行了,最近幾個月應該要組新電腦了但這次我想玩一些不一樣的想用Proxmox VE這套軟體做整機的虛擬化把NAS、個人環境、測試環境整合在 ... ... <看更多>
vm虛擬機 在 VMware Taiwan - 【一秒完成虛擬機器複製必殺秘技!】... 的必吃
一秒完成虛擬機器複製必殺秘技!】 暨上回透過文章分享【實務vSphere必知六招】後,本次顧老師特別介紹在VMware vSphere 虛擬化架構環境內,有哪一些技法可以協助快速 ... ... <看更多>