職業訓練資訊系統的個人參訓資料並未外洩， 不受職訓e網安全性漏洞的影響

業務單位：職業訓練局

有關報載民眾反映職訓e網學員報名明細資料，可經由修改網址資料隱碼取得其他學員資料乙節，經查職業訓練系統(TIMS)的個人參訓資料並未外洩，且不受職訓e網安全性漏洞的影響，本局業已立即關閉前揭網站，進行查證及系統修正避免類似情形再次發生。

本局於93年建置職業訓練資訊系統(TIMS)，並為便利民眾查詢訓練課程及報名於94年建置職業訓練e網，同時為使網站運作更為友善化，每年均委託專業廠商進行網站系統維運，自系統建置完成以來從無發生學員資料外洩情形，本次獲民眾善意提醒後，本局立刻關閉網站，並進行所有網站及系統安全測試，如確為委外維運廠商之疏失，本局必依合約究其責任，積極維護報名參訓者之權益，並對造成外界疑慮表示誠摯的歉意。

經查職訓e網與職訓業務資訊管理系統（TIMS）分屬不同網站，網站名稱及架構完全獨立，網站及資料庫分別建置於不同硬體設備上，且目前均採用中介區資料庫做為資料交換，並無資料直接互通之問題。

事實上，民眾透過職訓e網執行線上報名功能，在完成報名程序後所產生的報名序號，乃是由職訓e網於民眾完成報名作業後自動產生，此報名序號僅內存於職訓e網，與職訓業務資訊管理系統（TIMS）並無關連。因此，此報名序號並不會造成職訓業務資訊管理系統之資料外洩。

職訓業務資訊管理系統（TIMS）擁有獨立的資料庫，該資料庫所有資料均需登入後才可讀取，且登入的帳號控管與職訓e網的帳號控管亦屬各自獨立，因此，職訓業務資訊管理系統（TIMS）的資料安全性，將不受到職訓e網安全漏洞上之連帶影響。

另外，本次民眾所提獲取學員資料之路徑，係本局於本(97)年1月始正式使用之新網頁，有心人士欲透過此路徑查詢其他學員資料需逐筆修改職訓e網網址資料方得取得。經本局比對該網頁存取數與同時段實際報名人數及取消報名記錄，外洩資料筆數應在10餘筆以內，在此本局再次感謝民眾的提醒，並重申此次事件並未影響所有參訓學員個人資料安全，為提高相關系統安全維護，本局將採以重寫系統並嚴格測試。職訓業務資訊管理系統（TIMS）擁有獨立的資料庫，該資料庫所有資料均需登入後才可讀取，且登入的帳號控管與職訓e網的帳號控管亦屬各自獨立，因此，職訓業務資訊管理系統（TIMS）的資料安全性，將不受到職訓e網安全漏洞上之連帶影響。

• 業務單位:新聞聯絡室
• 發布單位:新聞聯絡室
• 發布日期:2008-07-10
• 點閱次數: