资安管理办法

资安管理办法

ID:43615913

大小:210.54 KB

页数:19页

时间:2019-10-11

资安管理办法_第1页
资安管理办法_第2页
资安管理办法_第3页
资安管理办法_第4页
资安管理办法_第5页
资源描述:

《资安管理办法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、咼雄市立林園咼級中學資通安全管理系統實施辦法中華民國101年6月07日高雄市立林園高級中學資通安全管理系統實施辦法一、目標依教育部資通安全系統管理實施原則。二、適用範學校內電腦、資訊與網路服務相關的系統、設備、程序、及人員。三、實施原則1.網路安全1.1網路控制措施•學校與外界連線,應僅限於經由高雄市教育網路中心之管控,以符合一致性與單一性之安全要求。•學校內特殊系統(例如會計系統、學生學籍、成績原始資料系統等)之資料,當有必要透過網路進行傳輸時,建議透過虛擬私有網路(VirtualPrivateNetwork,VPN)或同等連線方式進行;若無透過網路進

2、行傳輸需求,則建議區隔於網路之外。•應禁止以電話線連結主機電腦或網路設備。1.2網路安全管理服務委外廠商合約之安全要求•委外開發或維護廠商必須簽訂安全保密切結書(文件編號A・1、A・6)。2.系統安全2.1職責區隔•學校主機電腦可依個別應用系統之需要,設置專屬電腦,例如網路服務主機(電子郵件、網站主機)、教學系統主機(例如隨選視訊主機)。•學校的行政系統主機(例如財務、人事、公文系統等)電腦,建議由高雄市教育網路中心或教育局等單位統籌管理。1.1對抗惡意軟體、隱密通道及特洛依木馬程式•學校內的個人電腦應:裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由

3、伺服器端進行病毒碼更新的管理定期(至少每個月)進行如「WindowsUpdate」之程式更新作業,以防範作業系統之漏洞-電腦教室若已安裝還原系統(需設定為開機還原),為因應教學特殊需求,可不安裝防毒軟體,但各種系統更新、漏洞修補程式(如WindowsUpdate)至少每學期更新一次。•學校內個人電腦所使用的軟體應有授權。•新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。2.3資料備份•學校(或委託)系統管理人員需針對學校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;建議週期為每週進行一次。2

4、.4操作員日誌•學校(或委託)系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。•日誌內容可包含以下各項:系統例行檢查、維護、更新活動的起始時間系統錯誤內容和採取的改正措施。[參考日誌範本,文件編號心2紀錄日誌項目人員姓名與簽名欄2.5資訊存取限制•學校內所共用的個人電腦應以特定功能為目的,並設定特定安全管控機制(例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等)。安裝還原系統,並設定系統碟為開機還原。-禁止安裝P2P軟體。2.6使用者註冊•

5、學校應制定電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:使用唯一的使用者識別碼(ID)。檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。保存一份包含所有識別碼註冊的記錄。・使用者調職或離職後,應移除其識別碼的存取權限。定期(建議每學期)檢查並取消多餘的使用者識別碼和帳號。-定期(建議每學期)檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理(參照本文件2.10段落)。2.7特權管理•學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備

6、查。2.8通行碼之使用•管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼應設定有效期限。•資訊系統與服務應避免使用共同帳號及通行碼。•由學校發佈通行碼(Password)制定與使用規則給使用者,[參考優質通行碼設定原則與使用原則,文件編號,內容應包含以下各項:使用者應該對其個人所持有通行碼盡保密責任要求使用者的通行碼設定,避免使用易於猜測之數字或文字,例如生日、名字、鍵盤上聯繫的字母與數字(如12345678或asdfghjk),以及過多的重複字元等。或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。•因特殊需要擁有多個帳

7、號時,可考慮使用一組複雜但相同的通行碼。2.9原始程式庫之存取控制•學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。2.10通報安全事件與處理•資訊安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。•學校應建立資訊安全事件通報程序[參照安全事件通報程序,編號2以及安全事件通報單[參考安全事件通報單範本,文件編號》・5;通報程序應包括學校內部通報,以及學校與高雄市教育網路中心的通報。•當學校內部無法處理之資通

8、安全事件,應通報高雄市教育網路中心。•所訂出資訊安全事件通報程序應公布於校園內使

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。