壹、目的

財團法人中興工程顧問社(以下簡稱本社)為維持本社資通系統之正常運作,有效管理本社資通設備,確保及監控系統與資料之安全性,特訂定「系統與網路安全管理要點」(A-IS-P0203(以下簡稱本管理要點)。

貳、依據

「資通安全管理辦法」(A-IS-A0101)

參、範圍

本社實施資通安全管理系統範圍之相關資通資產。

肆、名詞定義

一、  HTTPS:超文本傳輸安全協定(HyperText Transfer Protocol Secure)是一種透過計算機網路進行安全通訊的傳輸協定。

二、  資安事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。

三、  資訊部門:本社資訊部門為企劃處。

四、  系統管理人員:係指資通系統業務權責部門承辦人或保管人。

五、  系統開發人員:資通系統業務權責部門因業務需要,針對已標準化之執行流程,提出電腦化之系統建置需求,委託資訊部門或外部廠商開發或維護。

六、  稽核軌跡:系統使用紀錄,如人員登出入紀錄。

伍、資通安全管理

一、  系統、網路存取政策

透過公眾網路傳送涉及本社員工權益、營運機密等敏感性或機密性資訊,建議採用https(SSL)之加密機制,以保護資料的完整性及機密性,並保障連線之安全性。

除開放公眾瀏覽與下載之系統外,本社提供外部連結之系統均需建立個別之安全機制,以保障網路的安全性。

二、  資安事件處理

() 安全作業規定

人員作業時應具備高度之危機意識,如有發現疑似資安事件時,儘速通報「策略推動組」處理,並依「資通安全事件管理要點」(ISMS-02-XX辦理。

() 電腦病毒及惡意軟體之防範

1.     病毒防護軟體由本社資安專責人員、機房管理人員或本社授權之維護人員統一進行規劃評估與建置。

2.     本社連外網路應建置防火牆,機房管理人員須監控非法入侵之行為,並留下證據作為法律控訴之證物。

3.     本社人員應使用合法授權之軟體。

4.     本社使用之個人電腦需安裝本社規定的防毒軟體。

5.     資安專責人員人員應注意病毒防護與更新資訊。

6.     本社人員發現電腦疑似中毒情形時,需通知電腦維護人員協助處理。

() 可攜式程式碼的使用規範

本社不限制使用者端電腦可攜式程式碼的使用。對於來自網際網路外部惡意的攻擊行為之主機,透過其網路行為與程式特徵碼的辨識,由防火牆與使用者端防毒軟體進行攔阻與監控。

三、  作業存取控制管理

本社業務系統之存取管制必須考慮業務和安全的需求,同時符合資通安全政策。

() 電子化辦公系統

人員使用電腦設備執行業務,應遵守本社資通安全相關規定,以保障本社資通作業環境之安全。此外,應遵守下述規定:

1.         為避免電腦不使用時被盜用,使用者應設定螢幕保護裝置功能,並啟用閒置時間超過15分鐘後以密碼保護。

2.         訪客或外單位人員如需使用本社內部網路,須告知機房管理人員或經系統帳號及密碼驗證,透過本社相關安全機制通過才可使用。

() 電腦帳號管理

1.         人員(含委外廠商人員)有操作資通系統之作業需求時,應填寫「系統帳號使用申請表」(A-IS-P0203-001)或依本社相關規定辦理,經業務承辦人員或業務單位主管授權同意後,由機房管理人員依權限配發帳號及密碼。

2.         使用者帳號名稱不應帶有足以辨識使用者權限的資訊。

3.         作業系統中只允許必要之帳號存在,非必要之帳號應予刪除或停用。避免使用訪客(guest)與匿名(anonymous)帳號。

4.         機房管理人員每年應至少1次清查使用者帳號,確保使用者帳號資料之正確性與使用必要性,辦理帳號停用或權限調整,清查結果應呈報資訊部門主管審核。

() 通行碼之使用

本社人員使用帳號、通行碼登入系統時,應盡到善良使用者的責任,並遵守密碼長度(8碼以上)及複雜度原則(英文大小寫、數字及特殊字元),至少每90天變更1次,且密碼不得與帳號相同;此外,應保持高度之警戒心,防範不法人士以社交工程方法騙取帳號及通行碼入侵。

() 系統維護帳號及系統特許權限帳號管理

本社各系統及設備授權委外廠商辦理,委外廠商人員於合約簽訂時簽署保密合約後,由「策略推動組」人員審查控管。

1.         應嚴格管控系統之權限,僅授權予必要人員,並將系統權限授權資料建檔,以備日後之查考。

2.         人員(包含本社員工及委外廠商人員)新申請、離職或職務異動時,應填寫「帳號權限變更申請表」(A-IS-P0203-002),並會相關機房管理人員處理,以留存帳號申請、異動及註銷之紀錄。

3.         系統的維護及特許權限,應每年至少清查1次,清查的結果應記錄於「帳號清查表」(A-IS-P0203-003),並送單位主管審核。

() 使用者身分鑑別

為保護資通系統之安全,本社非公開資訊之應用服務應採用使用者帳號、通行碼登入管控,作業記錄(Log)應包含使用者登入之資訊及網路IP位址。

四、  網路管理

() 網路使用規定

本社人員使用網路時應於授權範圍內存取網路資源,遵守安全相關規定,以保護本社網路之安全。此外,應遵守下述規定:

1.        利用個人電腦進行檔案分享功能提供他人存取檔案時,應僅針對必要對象開放使用權限,避免將權限完全開放。

2.        密級資訊避免明文資料外,例如:以電子郵件傳送時,須加密處理。

() 網路存取管制

1.     外部網路存取管控

為管制外部網路存取,如需透過防火牆存取內部網路時,應填寫「網路資通設備服務申請表」(A-IS-P0203-004),經本社資訊部門主管授權同意後由機房管理人員進行設定。

網路服務連結申請經審核通過後,申請人應隨時注意使用期間(時段)之必要性,遇有系統續用、調整、停用或使用屆期時,應主動申請網路服務續用、調整或撤銷。機房管理人員對於限期之網路服務連結申請應列管措施,遇有屆期或逾期者,則主動關閉網路服務,另行通知;對於職務異動或服務內容變動者,應主動檢討其申請或使用之網路服務,查有非必要對其開放之網路服務時,應通知後取消該網路服務。

1.     診斷保護

本社伺服主機及網路設備設置於電腦機房,機房管理人員對電腦機房之實體安全機制及相關設備的DiagnosticConsole埠,應妥善保護傳輸線之安全性。

2.     無線網路存取

為防護本社資通安全管理系統實施範圍的安全,本社提供之無線網路服務分為內部網路與訪客網路兩種,內部網路存取僅限本社員工以及經申請授權之外部人士(含維護廠商)使用;其餘人員僅可使用訪客網路。

非經事先申請,不得攜帶個人電子設備連結本社內部網路;倘若透過個人電子設備致使本社密級資料外者,需負起法律相關責任。

3.     外部存

非經機房管理人員之同意,本社不開放由本社以外網段連結進行維護作業存取;非本社員工需經機房管理人員之同意,始得開放由外部網路連結進行維護作業。

本社員工如因業務需要進行遠距工作者,透過安全之虛擬私人加密連線機制(:SSL-VPN),由外部網路連線至本社內部網路,並進行適當的存取權限控管。

() 網路服務的安全

為管理本社網路服務的安全性,應在防火牆僅開放必要之服務設定,其他非必要的服務一律阻絕,以達到網路服務的安全。

() 主機及網路管理

為方便監控管理電腦主機與網路,應透過自動化告警機制來檢視網路狀況。

() 系統開發人員及機房管理人員的權責

1.     機房管理人員負責建立及維護本社網路系統使用者帳號,並記錄網路系統異常狀況及相關維護資料。此外,應定時檢視本社網路、設備使用現況,及網路設備現況評估,如發現異常狀況應依「資通安全事件管理要點」(ISMS-02-XX處理。

2.     未經權責主管人員許可,不得閱覽、增加、刪除或修改其他網路使用者之私人檔案。

3.     登入主機或網路系統時應保留所有登出入系統紀錄,不得新增、刪除或修改稽核資料檔案,避免於安全事件發生後造成追蹤查詢之困擾。

4.     應定期檢查及刪除閒置不用的帳號。

5.     每位網路使用者原則僅核發一個使用者帳號,如有特殊情形(如系統測試、免費軟體下載…等用途),得建立匿名或多人共享的帳號,並留存使用紀錄。

6.     應監控網路的運作,如遇安全事件,即時啟動緊急應變處理程序。

五、  伺服器主機管理

() 系統軟體安裝管理

1.     主機系統中啟動的應用服務,如非必要,不得以Administratorroot權限的帳號來執行,降低應用系統被入侵的風險。

2.     系統開發人員於安裝系統軟體或應用軟體時,應僅針對必要使用之部分進行安裝,主機系統則應僅啟動必要之服務。如需使用免費軟體,必須先確定安全之下載網站並進行安全性測試,確定安全無虞。

3.     新建置或安裝之軟體,安裝完成後應立即更新廠商預設之密碼。

4.     系統管理工具需進行下列安全管控:

(1)     嚴格限制及控制系統公用程式之使用,將有權使用系統公用程式的人數限制到最小的數目。

(2)     應用系統作業應不具有系統公用程式之權限。

(3)     移除非必要的公用程式及系統軟體。

(4)     嚴格限制與嚴密控制可能竄改系統設定之公用程式的使用。

() 作業安全管理

1.     系統開發人員負責主機系統中系統軟體與應用軟體的修補程式是處於最新之狀態。

2.     系統開發人員、系統管理人員、機房管理人員未經業務權責部門主管許可,不得閱覽、增加、刪除或修改其他使用者上傳之私人檔案;如有發現可疑之資安事件,依照本社「資通安全事件通報及應變管理程序」之規定辦理。

3.     系統管理人員登入主機系統時應保留所有登出入系統紀錄,不得新增、刪除或修改稽核資料檔案,避免於安全事件發生後造成追蹤查詢之困擾。

4.     應建置系統開發與測試環境,與提供服務之作業環境區隔,避免因系統軟體或應用軟體之開發、測試影響作業環境之正常運作。

六、  電腦機房監控

電腦機房之監控包含網路效能、網路事件、安全攻擊事件、溫溼度、機房數位視訊錄影、機房門禁系統及各相關主機、網路設備之監控。

系統監控與稽核軌跡(Log Trail)之稽查應包括下列項目:

() 使用者帳號系統登入的記錄,確定使用者帳號是否有不正常使用的情形。

() 系統特許權限帳號使用的情形及配置情形。

() 系統存取失敗情形。

() 主機事件紀錄的稽核記錄。

() 系統監控與稽核軌跡之稽查至少應每季定期執行,並留下稽查記錄,作為資通安全管理系統有效性查核之證據及日後查考之用途。

七、  第三方服務的管理

參照「資通委外安全管理要點」(A-IS-P0208辦理。

陸、系統安全稽核

一、  稽核監控系統與事件紀錄管理

() 網路與安全監控系統

應設置防火牆及入侵偵測系統對網路事件進行監控,並應定期檢視相關紀錄以達到監控的目標。

() 主機稽核系統

系統管理人員登入主機時應保留所有登出入紀錄,不得新增、刪除或修改稽核資料檔案,避免於安全事件發生後造成追蹤查詢之困擾。

二、  弱點掃描/滲透測試/資安健診

為強化資通系統的安全,降低系統軟體已被揭露的漏洞或是應用軟體留下的後門,甚或是不當引入的木馬程式造成之安全危機,執行弱點掃描、滲透測試與資安健診是必備的防護手段。弱點掃描、滲透測試與資安健診辦理方式與追蹤如下:

() 弱點掃描與滲透測試的方法與策略

弱點掃描與滲透測試的策略為對各主機系統服務進行檢測,偵測不當的服務與軟體的弱點或後門,模擬外部惡意攻擊者所能接觸到的範圍,可以真實檢測出目前實際暴露在網際網路可能被利用的弱點。

弱點掃描之頻率為全部核心資通系統每年辦理1次或視情況不定期執行。滲透測試之頻率為全部核心資通系統每2年辦理1次或視情況不定期執行。

() 弱點掃描與滲透測試的後續處理

1.    弱點掃描結果初步分析。

2.    弱點掃描與滲透測試報告應按風險高低分類,做為漏洞或弱點修補優先順序之重要參考依據。

3.    漏洞及弱點修補評估。

4.    辦理漏洞或弱點修補前,應與各相關系統開發人員討論初步掃描分析結果,評估漏洞修補之影響範圍、修補方法,施作時程等,並完成掃描報告與修補建議。

5.    建議方式可為更新patch、關閉服務、更新軟體版本、限制服務提供目標、修改程式…等方法,另於評估過程亦應確認弱點是否為誤判,必要時得以人工檢視進行。

6.    漏洞及弱點修補。

7.    針對高風險弱點項目,應個別擬定預訂修補期限,並責成系統管理或維護相關人員於限期內完成修補工作。

8.    修補成效分析。

9.    對於弱點掃描與滲透測試的結果、修補的結果、修補的時效性,以及各次弱點的分佈及關連性做整個弱點管理的成效分析報告,藉由此成效報告確認整個弱點修補的有效性管理。

() 資安健診的方法與策略

1.    2年至少辦理1資安健診,檢測項目包括:

(1)     網路架構檢視。

(2)     網路惡意活動檢視。

(3)     使用者端電腦惡意活動檢視。

(4)     伺服器主機惡意活動檢視。

(5)     目錄伺服器設定及防火牆連線設定檢視。

2.         資安健診前檢測單位應與本社確認健診項目、範圍、方式及時程,並經本社同意後始得為之。

3.         檢測單位於健診完畢後,應於本社要求期限內交付「資安健診報告」,並提出具體可行之改善建議,以提供後續架構調整、系統強化作業之參考。

輸出文件/紀錄

一、  系統帳號使用申請表(A-IS-P0203-001)。

二、  帳號權限變更申請表(A-IS-P0203-002)。

三、  帳號清查表(A-IS-P0203-003)。

四、  網路資通設備服務申請表(A-IS-P0203-004)。