【最新消息|資安專區|個資保護|校園網路|ODF推廣|學習園地】
資通安全專區
- 一階文件
- 二階文件
- 四階文件
- D-001-資通安全組織成員表
- D-002-資訊資產清單
- D-003-資訊資產清單風險評估表
- D-004-風險評鑑彙整表
- D-005-風險改善計畫表
- D-006-人員資通安全守則
- D-007-保密切結書
- D-008-電腦安全自我檢查表
- D-009-機房進出人員管制表
- D-010-人員進出機房登記表
- D-011-巡查紀錄表
- D-012-遠端連線申請表
- D-013-委外廠商查核項目表
- D-014-委外廠商保密切結書
- D-015-稽核項目紀錄表
- D-016-矯正與預防處理單
- D-017-資通安全管理制度內部稽核報告
- D-018-利用或傳遞個人資料申請表
- D-019-電子信箱申請表
- D-020-無線網路申請表
- D-021-帳號清查紀錄表
- D-022-備份狀況紀錄表
- D-023-備份回復測試紀錄表
- D-024-消防檢查紀錄表
- 資通安全聯絡窗口
- 圖書館資訊組長彭孟凱、聯絡電話:06-2131928#532
- 廣告信檢舉 (abuse):abuse@tngs.tn.edu.tw
- 資安通報 (security):security@tngs.tn.edu.tw
資安宣導
- 2023/08/30 國教署指示:重申「資通訊產品帳號權限與密碼管理原則」
- 依資通安全管理法暨資通安全責任等級分級辦法附表10、資通系統防護基準辦理。
- 因近日教育體系資安威脅情資頻傳,請強化教職員之資安防護知能,並於辦理資訊業務時,參考帳號權限與密碼管理原則,落實管理資通系統,以避免資安事件發生。
- 2023/08/14 數位發展部資通安全署112年上半年資安攻防演練常見缺失及資安威脅態樣之防護建議
- 112年上半年攻防演練常見缺失如下,請確實檢查並予以補強
- 使用者帳號密碼被取得,例如:
- 使用預設帳號密碼。
- 帳密或帳密規則揭露於網站、文件或影片等。
- 弱密碼(帳號密碼相同或密碼複雜度≦2種組合)。
- 資料庫(敏感性資料如密碼或個資)未採取加密儲存或遮罩等保護措施。
- 發現注入攻擊弱點類型,如SQL Injection、Cross-Site Scripting等。
- 使用者帳號密碼被取得,例如:
- 近期資安威脅態樣之防護建議
- 近期發生勒索病毒跨機關擴散問題,請各機關應全面檢視與自身有網路連線之機關,應確實規劃網路區隔,降低類此情形發生風險。
- IOT設備應妥善規劃納入資安防護監控範圍,避免暴露於外網。
- 新建帳號第1次以預設密碼登入資通系統時,應有強制變更密碼機制,各帳號之預設密碼不宜相同,另建議提高其預設密碼複雜度。
- 資通訊系統之通行碼驗證機制,應避免採用易遭推論方式(如統編、流水號等)進行驗證。
- 各機關應持續關注資通訊設備(含網通設備)漏洞修補更新訊息,並定期進行漏洞修補,若有停止更新或支援之產品應進行汰換或加強資安防護。
- 其他注意事項
- 資安事件不限駭侵與否、不限3級以上事件、不限核心系統,皆應依資安法進行資安事件通報。
- 資安事件通報應由案關系統維運機關辦理(而非使用機關),並進行後續應變復原及持續精進作業。
- 112年上半年攻防演練常見缺失如下,請確實檢查並予以補強
- 2023/02/02 教育部指示:加強落實資通系統及資料庫主機資通安全及資料備份作業
- 加強落實資通安全管理及防護,防止個人資料檔案遺失、遭竊或外洩,以保障教職員工與學生權益,檢附「學校資通系統及資料庫主機資通安全及資料備份注意事項」。
- 有關檔案備份:
- 自動化作業:備份至其他電腦或 NAS時,應至少備份3代以上,每日確認備份作業是否成功。
- 人工作業(備份檔案離線存放):可準備兩個USB隨身碟或行動硬碟等,先檢視主機需備份資料是否正常,備份檔案拷貝及加密後,拔出電腦妥善保管。建議至少每週一次,輪流進行以上步驟。
- 應定期規劃備份還原演練作業,以確認備份資料有效性。
- 有關NAS的安全防護:
- NAS管理系統要定期更新,以避免系統漏洞未及時修補,讓駭客有可趁之機。
- 應該停用系統內建的最高權限管理員帳號(如admin),以自建的帳號代替。最高權限管理員帳號的密碼應有一定複雜度,並定期更換,例如:至少8碼以上,英數字均有。
- 通常NAS內建有防火牆,建議設定開啟;並檢查NAS預設提供的網路服務,請關閉不必要的服務。
- 定期檢查NAS的磁碟狀態,避免硬碟損壞數量超過磁碟陣列容錯能力而未更換,進而造成資料損失。
- 目前許多NAS支援直接備份到雲端空間(Google Drive、Microsoft OneDrive、Dropbox、其他外部儲存空間),但請特別注意資料安全性。由於雲端儲存空間常有被攻擊而洩露資料之事件發生,因此未加密之資料,不應備份到雲端;如果要備份到雲端,就應先進行檔案加密,加解密金鑰請勿一併置於雲端空間,應妥善保管於學校端。
- 有關系統安全:
- 學校資通系統及資料庫主機之作業系統應定期升級及更新。使用長期維護版本,且應在維護期間內。
- 學校資通系統及資料庫主機之作業系統內建防火牆應完整啟用,並只開放有使用到之服務埠,且安裝有防毒軟體。伺服主機上軟體安裝以最小化為原則,即除所提供服務必須要用到的軟體外,不應隨便安裝應用軟體,更不應當成工作站或個人電腦使用。
- 學校資通系統及資料庫主機之服務連線,包括WEB服務、FTP服務(不應使用無加密之FTP服務)、資料庫連線等均應啟用TLS 1.2以上之協定,並應關閉SSL所有版本(1.0、2.0、3.0),及TLS 1.0、1.1。
- 2022/07/15 國教署指示:加強落實資通安全及個人資料保護相關規範
- 依據資通安全管理法之資通安全責任等級分級辦法,經行政院核定為C或D級,應辦理相應之資安應辦事項。
- 考量國立高級中等以下學校因人力、物力不足,經教育部向行政院爭取,基於五大核心資通系統向上集中之前提,得報請行政院核定為D級。學校應加強配合五大核心資通系統向上集中作業,提升整體資通安全防護能量。
- 重申教育部110年6月29日臺教資(四)字第1100085899A號函,因教育體系近期發生多起因管理不當導致重大資通安全事件,學校加強檢核自身資通安全防護及相關措施如下:
- 因管理不當導致發生資通安全事件,將以不遮蔽學校名稱方式作為教育體系內部案例宣導。
- 針對發生重大資通安全事件之學校,將辦理或配合教育部資安專案實地稽核,未落實稽核缺失改善者,將循相關機制予以懲處。
- 依教育部110年9月8日臺教資(四)字第1100122001號函,學校使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並依學校建置公告、資料收集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。
- 學校如發生資通安全事件,應依資安法規範辦理資安通報。
- 學校全體同仁踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。
- 2022/01/18 國教署指示:加強落實資通安全及個人資料保護相關規範
- 依據資通安全管理法之資通安全責任等級分級辦法,應辦理相應之資安應辦事項。
- 配合國教署五大核心資通系統向上集中作業,提升整體資通安全防護能量。
- 學校人員使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險。使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並依據公告、資料蒐集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。
- 如發生資通安全事件,應依資安法規範辦理資安通報。
- 全體同仁應踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。
- 2021/11/30 教育部制定「教育體系遠距教學之資訊安全指引」
- 強化各級學校師生遠距教學軟體與設備之資安防護,作為學校實施遠距教學時考量網路安全因素與預防措施之參考原則。
- 2021/09/16 國教署指示:強化個人資料保護,建立網站公告內容審查機制
- 為促進個人資料之合理利用,於網站發布公告內容,應避免存有特定個人之資料(例如:姓名、出生年月日、就學資料、聯絡方式或其他得以直接或間接方式識別該個人之資料);如有者,應儘速下架,並將暫存網頁之資料移除。
- 如發生個人資料外洩時,應依「臺灣學術網路各級學校資通安全通報應變作業程序」規定,於知悉後1小時內,至臺灣學術網路危機處理中心完成資通安全事件通報。
- 為強化對教職員工、學生個人資料之保護,確實檢視每次規劃發布之網站公告是否涉及個人資料,以避免個人資料公開或外洩,本校建立網站公告內容發布之內部審查流程如下:
- 涉及利用個人資料之必要時,公告資料須以遮罩處理,去除個人資料之識別,經單位主管審查通過,始得公告,必要時得請資訊組協助事先檢核。
- 蒐集個人資料時,依個人資料保護法之規定,明確告知當事人蒐集資料之範圍、期限、對象、地區及方式,以「最小化」原則辦理,調查發布前須經測試,檢查適當性及避免錯誤設定,經單位主管審核通過後,始得公告實施。
- 2021/04/19 國教署指示:加強落實資通安全管理法暨個人資料保護法等相關規定
- 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事,為機先防範類此事件發生,學校應全面檢視下列事項:
- 公告資料已逾公告期限者,應於期限屆至後關閉或下架。
- 上傳或公告於機關網站之資料應具有必要性,如涉及個人資料者,應適當予以去識別化。
- 學校網站張貼連結網址者,應加強審核是否涉及不當公開個人資料情事。
- 如發生資通安全事件,應依資通安全事件通報及應變辦法進行資通安全事件之通報。
- 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事,為機先防範類此事件發生,學校應全面檢視下列事項:
- 2021/03/02 行政院資通安全處指示:加強遠端存取控制機制相關事宜
- 委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理。
- 開放遠端存取期間原則以短天期為限,並建立異常行為管理機制。
- 於結束遠端存取期間後,應關閉網路連線,並更換遠端存取登入密碼。
- 未依前述規定辦理遠端存取控制措施,致機關發生資安事件,情節重大者,機關應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。
- 不得任意使用TeamViewer等遠端桌面高風險軟體從校外連線校內電腦。(參考資料)
- 2021/01/14 行政院資通安全處指示:機敏資訊之傳輸、處理及留存時,應恪遵相關保密規定
- 機關處理國家機密文書,應依「國家機密保護法」及其他相關法規辦理;處理一般公務機密文書,除依法規外,應依「文書處理手冊」辦理。
- 資通訊系統經機關評定為「高」等級之系統防護需求者,應依「資通安全責任等級分級辦法」規定,其靜置資訊及相關具保護需求之機密資訊應加密儲存。如發現機敏資訊有遭洩漏外洩情形,應依「資通安全事件通報及應變辦法」進行通報,並依限完成事件損害控制、復原、調查及改善。所保有之個人資料如有被竊取、洩漏、竄改或其他侵害者,應依「個人資料保護法」規定,於查明後以適當方式通知當事人。
- 2020/12/18 行政院指示:為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,重申相關原則
- 公務機關使用資通訊產品(含軟體、硬體及服務)相關原則
- 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
- 個人資通訊設備不得處理公務事務,亦不得與公務環境介接。
- 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。
- 公務機關於110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含硬體、軟體及服務)作業,並配合擴大盤點,盤點範圍為全機關(非機關內部之資訊單位或特定單位),其中「大陸廠牌認定方式」及「資通訊產品定義」,說明如下:
- 大陸廠牌認定方式:由填報機關「從嚴認定」,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,渠等產品均須納入填報範圍。
- 資通訊產品定義:參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等項,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等。
- 各機關無法於期限內完成汰換作業或有窒礙難行之處,須填報正當理由,後續由本院協助評估其妥適性或其他可行作法。
- 相關報導:
- 政院通令公務機關︰中製資通產品 年底前汰除 (自由時報、2021/01/26)
- 資安大漏洞》228個公務機關 採購中國資通產品 (自由時報、2020/06/01)
- 公務機關使用資通訊產品(含軟體、硬體及服務)相關原則
- 2019/04/24 行政院頒訂「各機關使用具危害國家資通安全風險之產品原則」
- 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
- 個人資通訊設備不得處理公務事務,亦不得與公務環境介接。
- 各機關應就已使用或採購之大陸廠盤資通訊產品列冊管理,且不得與公務環境介接。
- 2017/01/12 行政院指示:為防止公務資料外洩,同仁應使用機關配發之電子信箱收發公務所需資訊
- 電子信箱已成為網路犯罪者主要攻擊媒介之一,且目前政府機關為利公務所需,均已配發公務用之電子信箱,機關同仁執行公務均應使用前揭信箱收發公務所需資訊,不宜使用非公務信箱收發,以避免肇生公務資訊外洩之情事。
- 為提升政府整體資通安全防護,並避免網路犯罪之侵害,同仁不應逕行轉發公務電子郵件至非公務信箱處理公務;另公務名片之電子信箱聯絡資訊均應使用公務信箱。
- 教育體系電子郵件服務與安全管理指引
教育訓練
- 依據資通安全責任等級分級辦法,有關資通安全教育訓練要求:
- 一般使用者及主管:每年3小時以上之資通安全通識教育訓練
- 資安人員:每年12小時以上資安專業課程訓練或資安職能訓練
- 線上課程:
- 「e等公務園+學習平臺」(https://elearn.hrd.gov.tw),建議有「我的e政府公務帳號」者使用
關鍵字搜尋「資安」,推薦課程:社群媒體與物聯網使用安全(3小時)、勒索軟體介紹與防護(1小時)、電子郵件社交工程介紹與防護(1小時)、110年政府機關資安威脅與防護重點(1小時)、智慧政府發展與資訊安全(3小時)、雲網安全:在家不隔離-居家也可以安全(1小時)、行動支付安全(1小時)、資通安全管理法介紹(1小時)、最佳密碼建議(1小時)、5G網路、應用與資安議題(1小時)、物聯網安全概論(1小時)、重大政策議題-資訊科技(1小時) - 「教育部磨課師平臺」(https://moocs.moe.edu.tw/),建議有「教育雲端帳號」者使用
關鍵字搜尋「資訊安全」,推薦課程:資訊安全基礎認知(3小時)、校園常見資安事件與防毒軟體應用(2小時)、資通安全導入實作分享(2小時)、資通安全文件管理(3小時)、近期資安及個資案例分析與檢討(2小時)、資訊安全的意涵與防範(1小時)、網路社群的隱私與保護(1小時)、透視網路詐騙與防範(1小時)、智慧型手機安全管理(1小時)、社群服務使用的個資保護(1小時),以下為進階課程:機器學習在資訊安全的運用(6小時)、資訊安全入門與實務(9小時)、資訊安全導論(6小時)、資訊安全與身份辨識(6小時)
- 「e等公務園+學習平臺」(https://elearn.hrd.gov.tw),建議有「我的e政府公務帳號」者使用
組態基準
- 作業環境
- 作業系統更新:設定→更新與安全性→Windows Update。
- 安裝防毒軟體,更新病毒碼,設定排程定期掃描。
- 電子郵件附件及下載檔案在使用前需檢查有無惡意軟體。
- 不點選未受信任的網站及連結,不轉發非業務相關郵件。
- 設定螢幕保護:設定→個人化→鎖定畫面→螢幕保護程式設定→10分鐘+登入密碼。
- 重要資料備份:至少每月一次。
- 機敏性資料妥善保存於上鎖置物櫃。
- 非經核准,不可安裝非公務用軟體。
- 密碼安全
- 密碼包含大小寫英文字母、數字和符號,長度8碼(含)以上。
- 資訊系統禁止共用帳號密碼。
- 定期更改密碼(每6個月更新一次),請參考密碼安全設定手冊。