【攻防招募】114年度教育體系資安攻防演練之攻防檢測員招募

發布時間:2025/04/14 10:00

114年度教育體系資安攻防演練之攻防檢測員招募簡章

  • 目的

因應當前資安情勢之嚴峻與挑戰,教育部規劃辦理資安攻防演練,針對教育體系對外網站系統進行滲透測試,以提升教育體系面對網路攻擊時之應處能力,強化資安事件發生時之緊急應變、系統復原及協調管控等能力。同時為提升演練成效及加強技術交流,培養國內資安人才實戰經驗,敬邀本國具有資安專業知能及實務經驗之教學研究界先進共同參與114年教育體系資安攻防演練(下稱本演練)。

  • 辦理單位
    • 指導單位:教育部
    • 主辦單位:教育體系資安檢測技術服務中心(國立陽明交通大學),以下簡稱本中心
  • 對象及資格
    • 招募對象:

為本國國籍且具相當資安專業知能之人員,以擔任資安攻防演練攻防檢測員。

    • 具備以下條件者可無須參與前置測驗:
      • CEH Practical/ECSA(CPENT)/OSCP/OSEP/OSWE等資安相關滲透實務證照
      • 具備國內外資安相關競賽入圍初賽/複賽等具體實績
      • 為教育體系之副級(含)以上資安技術檢測員
      • 曾擔任行政院網路攻防演練攻擊手、教育體系資安攻防檢測員
      • 任職於國家安全局、國防部、法務部調查局、內政部警政署刑事警察局、及國家中山科學研究院等政府機關具備資安實務經驗人員
  • 遴選方式與期程
    • 報名(即日起至114年5月27日(週二)中午12時)
      • 由報名人員線上填列自身及推薦人基本資料於「114年度資安攻防演練之攻防檢測員報名表」(網址:https://forms.gle/2WLkpL7eqh3LELja9),本中心將依此報名資訊聯繫該人員,並副知其推薦人。
        • 演練日程:為114年6月30日(週一)至114年9月12日(週五)之工作天,作業主要集中於週二至週四9:00-16:00,須以單日場次進行勾選(可多選),每人至少參與4場次,每場上限20人,結果通知將一併通知排定結果。
        • 實施據點:台北(共3週)及新竹(共7週),詳細實施地點請至報名表中查詢。
        • 參與報支:參與演練過程中皆提供中午餐點,並依教育部規範報支交通(實報實支)及住宿(單位距離當天據點滿60公里以上方可住宿)費用。
      • 為增進攻防檢測員之技術交流,本次報名亦可填覆是否參與技術交流訓練活動。
        • 本活動日程為114年6月18日(週三)至6月19日(週四),共2天,錄取上限20人,將依人員滲透實務經歷擇優錄取,最終錄取名單由教育部確認。
    • 前置測驗(114年5月28日(週三)至114年6月9日(週一)中午12時)
      • 於報名截止後,本中心將以電子郵件寄發前置測驗相關資訊,若書審符合無須測驗資格之報名者將一併通知。
      • 實施前置測驗須請針對目標主機進行檢測,並撰寫攻擊報告,本中心將依據人員撰寫之報告數量與報告品質進行評選。
      • 最終將依據前置測驗結果呈請教育部確認參與名單。
    • 結果通知(114年6月11日(週三)下午4時)
      • 於遴選完成後,將另行通知遴選結果,並針對通過遴選人員告知線上說明會相關資訊及演練日程排定結果。
      • 若填覆具參與技術交流訓練活動意願,將統一通知交流研討活動報名結果。
    • 說明會(114年6月16日(週一)上午10時至中午12時)
      • 於通過遴選後,將於線上說明會告知攻防檢測員應遵守事項相關守則,須請務必全程參與,若無法參與該說明會將喪失參與資格。
      • 演練過程中為避免影響網站系統維運及人員社交爭議,不採用DoS、DDoS及社交攻擊等手法。
      • 攻擊機統一使用由本中心提供Windows與Kali Linux雙系統予每位攻防檢測員進行實施,但為安全起見,將限制攻防檢測員不得安裝來源不明之程式,但若為具有公信力之開發團體或一般釋出原始碼之exploit code則不在此限。此外,如有重大資安事件釋出之攻擊程式,經本中心確認後亦可做為本次演練使用。
    • 交流研討活動(114年6月18日(週三)至6月19日(週四))
      • 課程日程:114年6月18日(三)至114年6月19日(四) 9:00-17:00 
      • 課程地點:國立陽明交通大學 新竹光復校區 資訊技術服務中心 1樓 訓練教室
      • 課程大綱:
        • 第一天(114年6月18日)網頁漏洞滲透技巧、交流分享時間
        • 第二天(114年6月19日)防護偵測繞過手法、交流分享時間
  • 弱點提繳獎金計算方式
    • 為鼓勵攻防檢測員提繳弱點及提供完整弱點紀錄報告,將依弱點衝擊性累積總積分之排名提供獎金,並於演練結束後依弱點發現紀錄結果提供參與證明書,攻防檢測員亦可申請由教育部採公文方式提供。
    • 攻防演練弱點衝擊性分成重大、高、中、低及資訊類風險5個等級,獎金計算原則及規則如下:

      • 衝擊性弱點依累積分數排名

        衝擊性弱點

        積分

        獎金(排名(人數):元/名)

        重大衝擊性弱點

        15
        • 特優(3名):40,000
        • 優等(3名):20,000
        • 佳作(15名):8,000

        高衝擊性弱點

        8

        中衝擊性弱點

        2

        低衝擊性弱點

        1

        資訊類風險

        0

        規則

        需完成弱點紀錄報告,並累計至少5積分即可列入排名。

        若積分相等,以較高風險程度高者為優先。

        若為常見或共通性框架或軟體之同一中低弱點,積分每人上限30分。

        攻防檢測員不可繳交自單位之漏洞,如有繳交者,該漏洞發現不列入總分。
    • 衝擊性判定高低以下表為主要準則:
      •  

        重大衝擊性

        高衝擊性

        中衝擊性

        低衝擊性

        資訊類風險

        SQL權限

        透過資料庫語法取得資料庫(明文/密文)帳密或資通系統明文帳密

        透過資料庫語法取得資料庫機敏資料或資通系統密文帳密

        透過資料庫語法取得資料庫欄位資料(不含機敏/帳密)

        透過資料庫語法或錯誤訊息取得資料庫欄位名稱

        透過資料庫語法僅取得錯誤或基本訊息

        AP
        讀寫權限

        具有可寫入OS特權路徑之權限

        具有可寫入Web目錄、非OS特權路徑或讀取OS特權路徑檔案之權限

        具有可讀取Web跨目錄或非OS特權路徑檔案之權限

        僅可讀取當前Web目錄檔案之權限

        -

        惡意語法與
        提權

        成功寫入攻擊語法或竄改頁面,且受影響之頁面為任一使用者並可擴散至其他系統

        成功寫入攻擊語法或竄改頁面,且受影響之頁面為任一使用者

        成功寫入攻擊語法或竄改頁面,但受影響之頁面限定已登入之任一使用者

        成功寫入攻擊語法或竄改頁面,但受影響之頁面限定該登入使用者

        攻擊語法須透過其他途徑誘使其他使用者觸發

        寫入攻擊語法取得錯誤或基本訊息

        帳號權限

        取得OS管理者權限或足以證明權限等同system、root或sysadmin之帳號

        取得資通系統防護需求為高等級之管理者(或帳號控管)權限或OS一般使用者權限

        取得資通系統防護需求為中或普等級之管理者(或帳號控管)權限或OS一般使用者權限

        取得資通系統(分級不限)業務單位使用者權限但不具帳號控管功能

        取得資通系統(分級不限)一般使用者權限

        -

        資料外洩與
        存取控管

        取得特種個資(病歷、醫療、基因、性生活、健康檢查及犯罪前科)

        取得國家機密文書(未達解密條件者)

        取得一般個資且重複攻擊成效具有可預期性

        取得一般公務機密文書(未達解密條件者) 

        取得部分一般個資且重複攻擊成效具有不可預期性

        取得非機敏但非公開資料

        取得非機敏但不可進一步利用之資料
  • 聯絡窗口
    • 教育體系資安檢測技術服務中心─資安攻防演練專案
      • E-Mail:taccst.code@nycu.edu.tw
      • TEL
        • (03)571-2121 #52885王小姐
        • (03)571-2121 #52861廖先生
附加檔案大小
114年度教育體系資安攻防演練之攻防檢測員招募簡章.pdf225.4 KB
回上頁
;