台北市政府招標資安演練及稽核,預算1,176萬

臺北市政府資訊局委託聯合採購發包中心代辦,5月27日招標「109-111年紅隊演練暨第三方資安稽核及驗證服務」,預算11,764,000元,擴充900萬元。

台北市政府資訊局表示,資訊局負責臺北市政府 之資訊安全整體策略及管理政策制定、市政骨幹網路之安全防禦、監控,此案透過委由第三方廠商進行專業資安服務,以攻擊者或白帽駭客的策略、技巧及程序(Tactics, Techniques, Process, TTP)與資訊局議定之重要資訊資產作為標的,在有限時間且不影響市府系統運作前提下,不限制其攻擊手法以達成資訊局指定之任務(如從網際網路成功控制內部核心系統),並經由演練結果檢視市府既有防禦設備之有效性、管理制度及程序的落實性、監控範圍之合理性及反應時間之適切性。

另,除技術演練外,此案亦將藉由NIST CSF(Cyber Security Framework)評估資訊局建構資安防護機制之成熟度,並持續導入與擴大 ISO 27001 核心資通系統驗證,持續完善市府資安管理制度。

根據招標文件,紅隊演練範圍為市府各機關之網域 ( *.gov.taipei、*.taipei.gov.tw、*.tcg.gov.tw) 及內部相關之網路、資通訊設備,至少需分為情蒐及初步探勘、演練執行、複測及結案報告四階段,初測演練範圍(授權得標廠商所能進行演練之範圍)不得少於250 個 IP、演練執行階段不得少於 20 個IP。如於情蒐及初步探勘無法順利由網際網路取得市府系統之權限作為起始入侵點,應與機關確認後變更執行方式(例如從內部網路發起演練)。

紅隊演練之任務目標包括下列項目:

1.控制特定帳號:如取得高階管理者存取權限,包括使用撞庫攻擊或滲透 mail server、AD Server、LDAP,以嘗試取得目標帳號密碼。

2.取得特定資料:如取得機敏資料(個人資料)、應用程式原始碼,包括攻擊VPN、企業網路服務,取得控制權後,再嘗試取得特定資料。

3.控制特定伺服器:如取得指定目標之伺服器控制權,包括攻擊可透過網際網路存取之服務,取得權限後,透過內部網路進而取得其他伺服器權限。

4.市府其他機關核心系統。


(演練範圍及任務目標,仍以招標單位公告為準)