【ISMS】114-115年度教育部資通安全實地稽核與技術檢測:共同發現事項與改善建議
114-115年度教育部資通安全實地稽核與技術檢測
共同發現事項與改善建議
請資安窗口協助轉達教職員,落實校園資通安全管理與防護措施。
1
系統與設備盤點管理
- 落實核心資通系統盤點: 核心資通系統應與資產清冊所列資訊一致,每年應至少檢視1次分級妥適性並留下紀錄。
- 確實執行防護基準評估: 機關系統不宜全訂為「普級」,若防護基準調整後降為普級要求,仍必須落實相關資安評估。
- 物聯網設備納管: 盤點單位內所有物聯網設備(如監視器、印表機等)並列入資訊資產清冊,且須定期更新。
2
帳號與存取權限管控
- 定期清理異常帳號: 已逾期之臨時或緊急帳號、以及資通系統之閒置帳號,應即時盤點且立即刪除或禁用。
- 落實最小權限原則: 僅允許使用者依機關任務及業務功能,完成指派任務所需的授權存取;包含目錄伺服器管理也應避免留有閒置預設帳號或開放過於寬鬆的存取網段。
- 密碼安全與防護: 物聯網設備嚴禁使用弱密碼或出廠預設密碼;系統密碼應強制使用最低密碼複雜度,並依規定變更密碼。
- 遠端連線管控: 針對內部同仁或委外廠商的遠端存取來源,應限制於機關已預先定義及管理之存取控制點。
3
系統防護與維運作業
- 備份與營運持續: 系統應訂定可容忍中斷時間要求(RTO)及可容忍資料損失時間要求(RPO),定期執行程式碼與各式資料備份;高等級系統應建立資料異地備份機制。
- 修補安全漏洞: 系統應定期安裝更新檔案與修補元件漏洞(如防範 SQL 注入式攻擊等);使用者輸入資料的合法性檢查應置放於伺服器端。
- 錯誤訊息與日誌處理: 系統發生錯誤例外時,應顯示一般化之訊息,避免洩露詳細系統資訊;並應訂定日誌記錄原則且保留日誌至少6個月。
- 系統帳戶鎖定: 系統應實作帳戶鎖定機制,防止自動化程式進行登入或密碼暴力破解攻擊。
- 時戳及校時機制: 系統內部時鐘應定期與基準時間源(校時主機)進行同步。
4
端點設備與網路安全
- 軟體與作業系統更新: 公務電腦請移除不必要的閒置軟體,並針對已終止支援(EOL)之作業系統或軟體進行升級與更新。
- 惡意中繼站(C2)阻擋: 網路資安設備應即時更新並確實阻擋惡意中繼站連線,並特別留意 IPv6 及非單一對外出口線路的防護設定。
- 網路與設備韌體更新: 應留意重要資安設備與物聯網設備之安全漏洞資訊,定期更新韌體版本;並停用不安全的網路服務。
5
委外廠商與採購規範
- 委外合約終止處置: 委外關係終止或解除時,必須確認委外廠商已返還、移交、刪除或銷毀履行契約而持有之資料。
- 設備採購限制: 公務用資通訊產品應落實禁止採購與使用大陸廠牌之相關規範。
6
其他共通發現
- 請參考附件內容。
相關管理辦法
- 資通安全責任等級分級辦法(附表十資通系統防護基準)
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304 - 全國大專校院資安長會議、大專校院資安長會議紀錄、 全校落實資通安全管理之優先執行策略(111年版)、 國立大專校院資通安全維護作業指引
https://isms.ntut.edu.tw/p/406-1119-154020,r2318.php - 本校資通安全管理規範、本校資通安全維護計畫 (校園入口網>雲端資料夾)
- 本信附件共同發現事項改善重點與稽核結果分析
