電子郵件社交工程

壹、 依據
一、 96年2月15日行政院核定修正之「建立我國通資訊基礎建設安全機制計畫」（94年至97年）辦理。
二、 國家資通安全會報96年10月5日資安發字第0960100562號函「防範惡意電子郵件社交工程施行方案」辦理。
三、 依教育部98年3月17日台電自第0980034942號函「98年度學術機構分組防範惡意電子郵件社交工程演練計畫」辦理。

貳、 目的
為提高本校教職同仁警覺性以降低社交工程攻擊風險，特訂定本執行方案，訂定本校社交工程防制年度目標、舉辦相關資安教育訓練與宣導、規劃辦理演練作業，以強化本校教職同仁資安意識並檢驗本校宣導社交工程防制成效。

參、 施行對象
本校專任之教職員工，具本校電子郵件帳號者。

肆、 年度目標
依據教育部訂定之B級單位之標準：預計於99年度惡意郵件開啟率、點閱率分別降至16%及9%以下，預計於100年度(含以後年度)惡意郵件開啟率、點閱率分別降至10%及6%以下。

伍、 防範作為
一、 系統調整
1. 透過電子郵件系統架構之調整，啟動SMTP認證寄信機制，提供教職同仁校外SMTP寄信服務。透過垃圾郵件防禦系統，加強「寄件者偽裝網域」信件之防禦與隔離。
二、 教育訓練
1. 資安教育訓練應納入社交工程防制有關之認知宣導，並著重攻擊實例說明。
2. 本校專任之教職員工每年至少需接受1小時社交工程防制宣導講習，並配合人事室辦理全校性教育訓練。
3. 對本校專任之教職員工推廣「網路文官學院」相關e-Learning課程，加強推廣教育訓練(http://elearning.nat.gov.tw)。

陸、 演練執行方式：
1. 本校由圖書資訊處負責統籌演練作業。目前均參與教育部的統一演練。
2. 演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等，均需為可控制、有限度之滲透入侵。
3. 郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或word附檔。
4. 以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附連結或檔案時，應留下紀錄，俾利後續統計惡意郵件開啟率及點閱率。
5. 惡意郵件開啟率：開啟惡意郵件之人數 / 參演人數。
6. 惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數 / 參演人數。
7. 惡意郵件開啟下降率：–(本次惡意郵件開啟率–比較基準) / 比較基準。原則上，比較基準為前次演練之惡意郵件開啟率。
8. 惡意郵件點閱下降率：–(本次惡意郵件點閱率–比較基準) / 比較基準。原則上，比較基準為前次演練之惡意郵件點閱率。

電子郵件社交工程宣導影片
http://youtu.be/zA-H0BXdmx0 (行政院國家資通安全會報技術服務中心 提供)