【攻防招募】115年度教育體系資安攻防演練之攻防檢測員招募

發布時間:2026/04/07 9:00

115年度教育體系資安攻防演練之攻防檢測員招募簡章

  • 目的

因應當前資安情勢之嚴峻與挑戰,教育部規劃辦理資安攻防演練,針對教育體系對外網站系統進行滲透測試,以提升教育體系面對網路攻擊時之應處能力,強化資安事件發生時之緊急應變、系統復原及協調管控等能力。同時為提升演練成效及加強技術交流,培養國內資安人才實戰經驗,敬邀本國具有資安專業知能及實務經驗之教學研究界先進共同參與115年教育體系資安攻防演練(下稱本演練)。

  • 辦理單位
    • 指導單位:教育部
    • 主辦單位:教育體系資安檢測技術服務中心(國立陽明交通大學),以下簡稱本中心
  • 對象及資格
    • 招募對象:

為本國國籍且具相當資安專業知能之人員,以擔任資安攻防演練攻防檢測員。

  1. 具備以下條件者可無須參與前置測驗:
    • CEH Practical/ECSA(CPENT)/OSCP/OSEP/OSWE等資安相關滲透實務證照
    • 具備國內外資安相關競賽入圍初賽/複賽等具體實績
    • 為教育體系之副級(含)以上資安技術檢測員
    • 曾擔任行政院網路攻防演練攻擊手、教育體系資安攻防檢測員
    • 任職於國家安全局、國防部、法務部調查局、內政部警政署刑事警察局、及國家中山科學研究院等政府機關具備資安實務經驗人員
      ※無須參加前置測驗,仍須通過本中心後續綜合評量之遴選。
  • 遴選方式與期程
    • 報名(即日起至115年5月25日(週一)中午12時)
      • 請報名人員於「115年度資安攻防演練之攻防檢測員報名表」線上填寫本人及推薦人基本資料,本中心將依報名資料聯繫該人員。
        ※報名表單:https://forms.gle/VLvxcycoPcZPDFNcA
        • 演練日程:115年7月6日(週一)至115年9月18日(週五)之工作日,作業主要集中於週二至週四9:00-16:00,須以單日場次進行勾選(可多選),每人至少參與4場次,每場上限20人,錄取通知將一併告知場次排定結果。
        • 實施據點:台北(共3週)及新竹(共7週),詳細實施地點請參閱報名表單。
        • 參與報支:相關費用採實報實銷,若無提供相關票據,本中心將不予報支。
          • 交通費:
            • 高鐵:若為實體票證,請於實體票證上簽名,並以實體信件寄回。若為電子票證,請於電子票證上電子簽名,並以電子郵件回傳。
              ※乘坐高鐵建議購買電子票證,報支較為便利。
            • 台鐵、客運:以台鐵票價報支。
            • 汽車:3/每公里報支
            • 計程車:恕無法報支。
          • 住宿費:機關所在地距離檢測單位距離超過六十公里,得以報支住宿費,以每日2,800元為補助上限,多於費用需自行吸收,需提供住宿收據,收據上日期需為入住當日日期(檢測第一天之日期)並輸入國立陽明交通大學之統一編號(87557573),以上皆符合,則達到報支要點,否則本中心有權不予報支。
            ※部分第三方訂房平台所開立之住宿收據無法提供統一編號,致使本中心無法辦理報支作業,建議逕向飯店訂房。
            ※相關報支規定請詳閱115年教育體系資安攻防演練差旅建議
        • 注意事項:
          • 報名時勾選之場次將視為可配合參與之時段,請預留所勾選之日期。錄取後,每人至多可申請調整2場演練場次,且僅限調整至未額滿之場次;如因個人因素致實際參與場次未滿4場,本中心將不予核發參與證明及獎金。
          • 演練場次須全程參與當日演練內容,始列入場次計算。如因緊急事由需遲到或早退,應事先通知本中心並提出正當理由之相關證明,否則該場次將不列入場次計算
          • 本中心僅提供演練場域,如有心臟病、高血壓、孕婦、氣喘、癲癇、身體頸椎曾經受傷及其他不適症者,請自行斟酌參與。如於演練期間遇緊急情形,本中心將於知悉後以請求最快可提供醫療服務之醫療院所請求支援為原則進行緊急處理,其相關醫療協助或服務之衍生費用由該參訓人員自行負擔。
      • 為增進攻防檢測員之技術交流,本次報名亦可填覆是否參與技術實務研習訓練課程。本活動日程為115年6月17日(週三)至6月18日(週四),共2天,錄取上限20人,將依人員滲透實務經歷擇優錄取,最終錄取名單由教育部確認。
    • 前置測驗(115年5月27日(週三)至115年6月4日(週四)中午12時)
      • 於報名截止後,本中心將以電子郵件寄發前置測驗相關資訊。
      • 實施前置測驗須請針對目標主機進行檢測,並撰寫攻擊報告,本中心將依據人員撰寫之報告正確度與撰寫品質等擇優進行評選。
      • 最終將依前置測驗結果呈請教育部核定參與名單。
    • 結果通知(115年6月9日(週二)下午4時)
      • 本中心將綜合考量報名者之資安滲透相關經歷、前測評量結果、報名場數及過往參與攻防演練之紀錄等,進行多方評估遴選,並依結果擇優錄取。
      • 於遴選完成後,將以信件通知通過之人員,並告知線上說明會相關資訊及演練日程排定結果,未錄取之人員將不另行通知。
      • 凡填覆有意願參與實務研習訓練課程者,將一併通知課程報名結果。
    • 說明會(115年6月15日(週一)上午10時至中午12時)
      • 於通過遴選後,將於線上說明會告知攻防檢測員應遵守相關事項及守則,請務必全程參與,若無法全程參與該說明會將喪失參與資格。
      • 演練過程中為避免影響網站系統維運及人員社交爭議,嚴禁採用DoS、DDoS及社交攻擊等手法。
      • 攻擊機由本中心統一提供,每位攻防檢測員使用 1 台具 Windows 與 Kali Linux 雙系統之設備進行實施,為安全起見,將限制攻防檢測員不得安裝來源不明之程式,若為具有公信力之開發團體或一般釋出原始碼之exploit code則不在此限。此外,如有重大資安事件釋出之攻擊程式,經本中心確認後亦可做為本次演練使用。
    • 技術實務研習訓練課程 (115年6月17日(週三)至6月18日(週四))
      • 課程日程:115年6月17日(三)至115年6月18日(四) 9:00-17:00 
      • 課程地點:國立陽明交通大學 新竹光復校區 資訊技術服務中心 1樓 訓練教室
      • 課程大綱:
        • 第一天(115年6月17日)網頁漏洞滲透技巧、交流分享時間
        • 第二天(115年6月18日)防護偵測繞過手法、交流分享時間
  • 弱點提繳獎金計算方式
    • 為鼓勵攻防檢測員提報弱點並提供完整之弱點紀錄報告,本中心將依弱點衝擊性累積總積分排名核發獎金,並於演練結束後,依弱點發現紀錄結果核發參與證明書;攻防檢測員如有需要,亦得申請由教育部以公文方式提供。
    • 攻防演練弱點衝擊性分成重大、高、中、低及資訊類風險5個等級,獎金計算原則及規則如下:

      • 衝擊性弱點依累積分數排名

        衝擊性弱點

        積分

        獎金(排名(人數):元/名)

        重大衝擊性弱點

        15
        • 特優(3名):50,000
        • 優等(3名):25,000
        • 佳作(15名):12,000

        高衝擊性弱點

        8

        中衝擊性弱點

        2

        低衝擊性弱點

        1

        資訊類風險

        0

        規則

        需完成弱點紀錄報告,並累計至少5積分即可列入排名。

        若積分相等,以較高風險程度高者為優先。

        若為常見或共通性框架或軟體之同一中低弱點,積分每人上限30分。

        攻防檢測員不可繳交自單位之漏洞,如有繳交者,該漏洞發現不列入總分。
    • 衝擊性判定高低以下表為主要準則:
      •  

        重大衝擊性

        高衝擊性

        中衝擊性

        低衝擊性

        資訊類風險

        SQL權限

        透過資料庫語法取得資料庫(明文/密文)帳密或資通系統明文帳密

        透過資料庫語法取得資料庫機敏資料或資通系統密文帳密

        透過資料庫語法取得資料庫欄位資料(不含機敏/帳密)

        透過資料庫語法或錯誤訊息取得資料庫欄位名稱

        透過資料庫語法僅取得錯誤或基本訊息

        AP
        讀寫權限

        具有可寫入OS特權路徑之權限

        具有可寫入Web目錄、非OS特權路徑或讀取OS特權路徑檔案之權限

        具有可讀取Web跨目錄或非OS特權路徑檔案之權限

        僅可讀取當前Web目錄檔案之權限

        -

        惡意語法與
        提權

        成功寫入攻擊語法或竄改頁面,且受影響之頁面為任一使用者並可擴散至其他系統

        成功寫入攻擊語法或竄改頁面,且受影響之頁面為任一使用者

        成功寫入攻擊語法或竄改頁面,但受影響之頁面限定已登入之任一使用者

        成功寫入攻擊語法或竄改頁面,但受影響之頁面限定該登入使用者

        攻擊語法須透過其他途徑誘使其他使用者觸發

        寫入攻擊語法取得錯誤或基本訊息

        帳號權限

        取得OS管理者權限或足以證明權限等同system、root或sysadmin之帳號

        取得資通系統防護需求為高等級之管理者(或帳號控管)權限或OS一般使用者權限

        取得資通系統防護需求為中或普等級之管理者(或帳號控管)權限或OS一般使用者權限

        取得資通系統(分級不限)業務單位使用者權限但不具帳號控管功能

        取得資通系統(分級不限)一般使用者權限

        -

        資料外洩與
        存取控管

        取得特種個資(病歷、醫療、基因、性生活、健康檢查及犯罪前科)

        取得國家機密文書(未達解密條件者)

        取得一般個資且重複攻擊成效具有可預期性

        取得一般公務機密文書(未達解密條件者) 

        取得部分一般個資且重複攻擊成效具有不可預期性

        取得機敏且非公開資料

        -
  • 聯絡窗口
    • 教育體系資安檢測技術服務中心─資安攻防演練專案
      • E-Mail:taccst.code@nycu.edu.tw
      • TEL
        • (03)571-2121 #52885王小姐
        • (03)573-1729 廖先生
        • (03)513-1267 呂小姐
        • (03)513-1268 陳小姐
附加檔案大小
115年度教育體系資安攻防演練之攻防檢測員招募簡章.pdf260.4 KB
回上頁
;