為配合教育部推動各校全面導入資通安全管理的政策,電算中心於11月22日舉辦了「資訊人員資訊安全進階實務課程」。此次課程旨在加強校內一般資訊人員資安意識,落實一般資訊人員管理相關資通系統安全的教育訓練,以符合《資通安全管理法》的相關規定。校內各行政、教學及研究單位代表踴躍參與,透過課程增強資安專業知識與實務操作能力,以全面提升校園資訊系統的防護水準。
課程特邀請恆逸資訊教育訓練中心的李覲講師授課,李講師以其豐富的實戰經驗及專業知識,從近期的資安新聞事件切入,剖析如社交工程、勒索病毒及生成式 AI(如 ChatGPT)詐騙的最新手法。他指出,根據 iThome 2023企業資安大調查,社交工程仍是排名首位的攻擊手段,而生成式 AI 的出現則帶來全新的威脅,例如利用 AI 自動生成語意流暢的釣魚郵件,模擬企業高層指令,甚至結合語音模擬技術進行詐騙,顯著提高了攻擊的精準度與可信度。講師強調,應對這些攻擊的關鍵在於員工資安素養的提升,透過教育訓練與模擬演練強化防範,是當前應對資安挑戰的首要策略。
此次課程涵蓋多個重要主題,包括駭客攻擊的新興手法、社交工程攻防實務、勒索病毒的預防與應急措施,以及行動裝置安全等。其中,針對常見的社交工程手法,如釣魚郵件、假冒網站、Deepfake 詐騙等,講師透過實例與模擬演練,幫助參與者掌握攻擊模式與應對技巧。在勒索病毒議題中,李講師強調「3-2-1 備份原則」的重要性,建議將資料保存為三個副本並分散存放,確保關鍵數據在遭遇攻擊或錯誤操作時能快速恢復,保障系統的正常運作。
此外,講師針對2024年的資安趨勢進行了深入分析與提醒。他特別指出,生成式 AI 正成為駭客的主要輔助手段,不僅能自動生成針對性攻擊內容,還能提高攻擊的效率與規模;以雲端服務供應商為跳板的供應鏈攻擊,以及針對區塊鏈技術的新型勒索手法,也逐漸成為攻擊焦點。例如,供應鏈攻擊可能造成多層級系統的連鎖癱瘓,而區塊鏈勒索方式則利用分布式技術隱藏資金流向,增加追蹤與防範的難度。講師提醒,數位轉型帶來便利的同時,各單位應提前規劃資安策略,並落實防範措施,才能有效應對日益複雜的資安威脅。
課程結束後,參與者回饋問卷表示收穫豐富,不僅對釣魚攻擊的防禦技巧及備份策略有了更深入的理解,還對生成式 AI 的潛在威脅與未來趨勢有了更全面的認識。電算中心將持續推動相關資安教育訓練,並協助各單位深化資安實務執行,期望共同打造一個安全穩健的校園資訊環境。
(撰文、照片:電算中心 教學支援組)
