資訊安全政策
1.目的:
本安全政策係以本校之核心業務為主,並依據ISO-27001/CNS-27001為標準作為發展本校資通安全管理制度之承諾。為達到資通安全之管理需求,依據本安全政策規劃及推動資通安全管理制度,並視實施成效做為進一步擴展之參考。冀望資通安全管理制度之實施,可促使本校各項電子化作業之設計開發、使用管理及營運維護等工作的安全性,以及保障本校資訊之機密性、完整性、可用性及遵循性。
2.政策:訂定「ISO-27001年度資安績效衡量表」公布資訊安全政策及目標。
3.目標:
3.1依據資訊安全管理標準ISO-27001/CNS-27001驗證之精神及要求,建置與累積導入ISMS經驗與能力。
3.2防範本校業務運作遭受資訊安全事件之影響,並保障本校資訊系統中各項資產均能達成機密性、完整性與可用性的要求。
3.3確認網路管理相關應用系統正確執行,業務處理符合資訊網路組及校務資訊組需求,程式原始碼保管及進出管控完善。
3.4確保資訊機房安全管理周全,各項軟硬體設施保管及進出管控完善。
4.範圍:
本校建置資通安全管理系統之實施範圍,涵蓋本校所有管理之系統和設備的日常操作、機房實體環境管理、應用軟體開發、資料儲存管理、人員安全管理等各種層面。範圍內之資訊資產泛指相關之資料紀錄和文件、電腦主機與相關資訊設備、實體運作環境、所屬之人員及各種應用軟體系統
各單位及所屬網站導入HTTPS
依據
依行政院國家資通安全會報第31次委員會議決議、教育部107年3月21日臺教資(五)第1070041450號函及108年10月24日臺教資(五)字第1080154973號函辦理。
說明
1.各單位網站應導入HTTPS,以保護傳輸安全。加密後的網站,會採用SSL/TLS來傳送加密封包,如瀏覽HTTPS網站時,瀏覽器會出現安全(Secure),並且網址是以https開頭。
2.網站如仍有開放http://...(port:80),應在訪客瀏覽網站時,設定自動轉址至https://...
3.委外建置之網站應在招標規格中,規範廠商需購買及安裝SSL憑證,並導入HTTPS。。
SSL憑證取得
1.付費憑證:可洽如 TWCA (台灣網路認證公司),效期可依需求購買。
2.免費憑證:Let's Encrypt,效期僅3個月。
不得使用有資安疑慮的資通訊產品
1.不得採購大陸品牌資通訊產品(含硬體、軟體及服務),如果有特殊原因必須使用,必須簽請本校資安長核可。
2.自行或委外營運、提供公眾活動或使用的場地新增規定,也不得使用大陸品牌資通訊產品。
3.大陸品牌資通訊產品應立即停止與公務環境介接,並盡速完成汰換。
4.大陸品牌眾多,機關環境常見大陸品牌包含但不限於以下所列(如遇無法判斷者,建議請廠商提供證明或上網搜尋該品牌資訊):
*.海康威視(Hikvision)
*.華為(Huawei)
*.大疆創新(DJI)
*.普聯(TP-Link)
*.歐加(OPPO)
*.小米(MI)
*.大華(Dahua)
*.高巨創新(EMO)
各單位一般同仁配合事項
公務電腦安全防護事項
確認開機密碼8碼以上。
確認作業系統、瀏覽器、JAVA版本(有安裝者)為最新版。
確認開啟防火牆。
確認無安裝Adobe Flash程式或已移除。
確認安裝防毒軟體並設定排程掃毒。
若有安裝 Adobe Reader者請更新至最新版,並確認自動更新有開啟。
完成3小時資安通識教育訓練及測驗。
勿將帳號、密碼紀錄張貼在桌面螢幕。
勿安裝來路不明或未經授權的軟體。
一般性資安宣導
存放於資訊設備之機敏性檔案非經核可不得攜出,且應設密碼保護,以防止資料外洩。
如發現電腦出現異常狀況(例如:檔案被加密、中毒、遭到入侵等),應立即將電腦關閉並將網路斷線,並於發現後一小時內通報專責人員處理。
個人電腦使用者應定期將重要之資料進行備份。
禁止使用點對點(Peer to Peer, P2P)類型的傳輸軟體(如BitComet、Ares Galaxy、BitTorrent、e-Donkey、迅雷…等類型軟體)下載檔案及分享檔案。
因業務需要須開啟網路芳鄰分享檔案時,應將存放機密資料的資料夾或是檔案加密保護,以確保資料存取之安全。
郵件收發軟體應設定純文字閱覽信件,關閉郵件預覽及不自動下載HTML郵件中的圖片功能,並注意發信時間及內容是否異常,不隨意點開附件。
如需使用外來的可攜式資訊設備或可攜式儲存媒體,必須先進行掃毒,確認其不含病毒與惡意程式後方可進行資料之讀取及寫入作業。
列印、影印或傳真機密性文件後,應立即將文件取走,並予以適當保存。
勒索病毒
勒索軟體事件簡述
使用者開啟不明郵件附檔或瀏覽可疑網頁,導致勒索程式加密硬碟中各類檔案(包含網路磁碟)造成無法開啟,並進行勒索行為。如需解密檔案,唯一的方式需支付一定金額給駭客,以取得解密金鑰,且不保證能夠順利解密成功,可能導致檔案遺失又折損金錢。因此,一旦檔案被加密,這些被加密的檔案可以說是完全無法救回。
預防方法
不要開啟來路不明的郵件及附件檔案。
不要瀏覽可疑的網頁,如色情網站、侵權影音網站等。
定期更新作業系統、防毒軟體、常用套件如Java、Adobe Reader等。
定期”離線”備份重要檔案(備份於外接硬碟或其他媒體,且於備份完成後離線,可視檔案之重要性備份於多處)。
保持良好的網路使用習慣,Facebook、Line等社群軟體的連結切勿因好奇而隨意亂點。
受害範圍
受害者電腦內的檔案Word(doc、docx)、Excel(xls、xlsx)、PowerPoint(ppt、pptx)、JPG圖檔等。
受害者電腦連結的網路芳鄰、網路磁碟機等共享的檔案。
被攻擊後的應變措施
立即切斷受駭PC的網路,避免災情擴大。
進行資安事件通報。
搶救還沒被加密的檔案。
避免惡意程式遺留,建議重灌電腦。
資安通報
發現資通安全事件
若單位或外部人員發現或疑似發生資通安全事件時,應迅速通報本校資通安全事件通報窗口(security@isu.edu.tw),並告知直屬單位主管。
若由教育機構資安通報平台或其他資安情資機構通知發現或疑似資通安全事件時,由本校資通安全事件通報窗口通知「資安事件發生單位」處理,並副知其單位主管。
資通安全通報
本校權責人員於完成資通安全事件等級之判斷及相關評估後, 三、四級資安事件應盡速進行通報執行秘書或資通安全長核准,一、二級資安事件則通報單位主管核准。
「資安事件發生單位」網管人員於收到本校資通安全事件通報窗口通知後,實施應變措施,儘速完成損害控制、復原與事件之調查及處理作業,並將事件發生之事實、可能影響之範圍、損失評估、判斷支援申請、採取之應變措施等事項,詳細記錄於「資通安全事件處理報告單」。
網管人員接獲資安通報信件時請依法定時限內回復「資通安全事件處理報告單」之核章掃描檔。
第一級或第二級資通安全事件,於知悉該事件後七十二小時內。
第三級或第四級資通安全事件,於知悉該事件後三十六小時內。
本校於知悉資通安全事件後應於一小時內依主管機關指定之方式及對象,進行資通安全事件之通報。
事件經初步判斷認為可能屬重大資安事件或事態嚴重時,應即向資通安全長報告,由資通安全長成立「緊急處理小組」,立即協助進行處理;接獲本校所屬機關或受託廠商所通報之資通安全事件時,亦同。
本校於接獲所屬機關之資通安全事件通報後,應於以下時限內,完成資通安全事件通報等級及相關事項之審核並得依審核結果變更其等級:
通報為第一級或第二級之資通安全事件,於接獲通報後八小時內。
通報為第三級或第四級之資通安全事件,於接獲通報後二小時內。
委外廠商管理
本校於委外辦理資通系統之建置、維運或提供資通服務之情形時,應於合約中訂定委外廠商於知悉資通安全事件時,應即向本校之權責人員或窗口,以指定之方式進行通報。