水利署電子報水利署電子報

　　APT攻擊在近幾年受到政府機關與一般企業資安人員所關注，尤其在2011年RSA、Sony與Apple等國際知名公司相繼遭受APT攻擊而發生資安事件，甚者，連資安等級要求最高的美國軍火大廠洛克希德馬丁(Lockheed Martin)與CIA亦遭到APT攻擊，一時之間APT攻擊造成眾多資安人員人心惶惶。
　　APT(Advanced Persistent Threat，進階持續性威脅)通常意指一個團體（如政府），其具有能力與意圖並以持續性與有效性的方式針對特定個體。APT通常指網路威脅，特別指網際網路相關的間諜活動並使用許多的訊息收集技術來存取敏感性資料，其也同樣適用其他傳統間諜活動或威脅。其他公認的攻擊媒介包含受感染的媒體、供應鏈的交易與社交工程（節錄於維基百科）。APT不像傳統的惡意程式攻擊，其特色有：

• 　　Advanced：用系統漏洞（零時差攻擊Zero-day Attack）進行攻擊；
• 　　Persistent：持續且低調隱密，不易與正常行為區分；
• 　　Threat：通常有特定組織參與其中，且主要目的是竊取具有價值的資訊。

　　依據趨勢科技統計，超過 90% 的針對性攻擊都始於網絡釣魚email，其會針對目標單位設計特定電子郵件（如與目標相關的資訊，甚至進行個人化，例如針對公務機關發送主旨係關於政府改造議題的電子郵件），以誘騙對方開啟惡意附件檔案，或點選郵件中連結以連上具有惡意程式或攻擊系統漏洞的網站，進而滲透整個單位。 

　　因此，依據行政院國家資通安全會報訂定之「政府機關（構）資訊安全責任等級分級作業施行計畫」與「103年經濟部及所屬機關（構）防範惡意電子郵件社交工程演練計畫」，本署配合訂定「103年水利署及所屬機關防範惡意電子郵件社交工程演練計畫」，以據此辦理「水利署103年度資安教育訓練與防範惡意電子郵件社交工程宣導講習」，規劃舉辦3梯次講習，每梯次時間為3小時(台北、台中與新店辦公區各一梯次)，參訓對象為本署(具有公務電子郵件帳號)同仁及各所屬機關負責資訊業務的同仁與主管。

　　講習成果：本次資安講習，各單位人員踴躍出席，三個梯次共計有205人參加，於課後並安排參訓人員填寫測驗卷，各單位平均分數統計如下表。
   　為強化本署資訊安全防護能力，除了在機房端將持續加強各項資訊安全防護措施外，亦希望藉由辦理資安教育訓練與防範惡意電子郵件社交工程宣導講習提供內部同仁網路使用之安全觀念以及業務同仁與資訊同仁雙向交流機會，相信在本署同仁共同努力之下，達到水利署資訊安全之目標。