欢迎来到天天文库
浏览记录
ID:5802577
大小:126.00 KB
页数:14页
时间:2017-12-25
《宜兰县立中华国中资通安全管理系统实施原则》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、宜蘭縣立中華國中資通安全管理系統實施原則一、文件目標本文件為本校資通安全系統管理實施原則。二、適用範圍本校校內電腦、資訊與網路服務相關的系統、設備、程序、及人員。本校電腦依區域劃分可區分成「行政辦公室電腦、班級電腦、電腦教室電腦、專科教室電腦、伺服器」。其中電腦(個人電腦、筆記型電腦)並分成作業系統該分割區有啟動還原及無啟動還原兩類。三、實施原則1.網路安全1.1網路控制措施l本校與外界連線,僅限於經由縣網中心之管控,以符合一致性與單一性之安全要求。l學校內特殊系統(例如會計系統、學生學籍、成績原始資料系統等)之資料,當有
2、必要透過網路進行傳輸時,可透過虛擬私有網路(VirtualPrivateNetwork,VPN)或同等連線方式進行。l禁止以電話線連結主機電腦或網路設備。1.2網路安全管理服務委外廠商合約之安全要求l委外開發或維護廠商必須簽訂安全保密切結書[文件編號CHJH-ICS-1]。2.系統安全2.1職責區隔14宜蘭縣立中華國民中學資通安全管理系統實施原則Pagel學校主機電腦依個別應用系統之需要,設置專屬電腦,例如網路服務主機(網站主機、網域主機)。l學校的行政系統主機(例如財務、人事、公文系統等)電腦,由宜蘭縣政府及相關單位統籌
3、管理。1.1對抗惡意軟體、隱密通道及特洛依木馬程式l學校內的個人電腦須:-裝置防毒軟體,將軟體設定為自動更新病毒碼;或由伺服器端進行病毒碼更新的管理-定期(至少每個月)或自動進行如「WindowsUpdate」之程式更新作業,以防範作業系統之漏洞-電腦教室、公用電腦若已安裝還原系統(需設定為開機還原),為因應教學特殊需求,可不安裝防毒軟體,但各種系統更新、漏洞修補程式(如WindowsUpdate)至少每學年更新一次。l學校電腦所使用的軟體須有合法授權。l新系統啟用前,由財產保管人使用最新病毒碼進行掃毒與更新系統密碼程序,
4、以防範可能隱藏的病毒或後門程式。1.2資料備份l學校(或委託)系統管理人員需針對學校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;週期為每二月進行一次。1.3操作員日誌l學校(或委託)系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時,須針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。l日誌內容可包含以下各項:-系統例行檢查、維護、更新活動的起始時間-系統錯誤內容和採取的改正措施。[文件編號CHJH-ICS-3]-紀錄日誌項目人員姓名與簽名欄1.4資訊存
5、取限制l學校內所共用的個人電腦須以特定功能為目的,並設定特定安全管控機制(例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等)。-安裝還原系統,並設定系統碟為開機還原。14宜蘭縣立中華國民中學資通安全管理系統實施原則Page-如需使用公用電腦,需向管理單位申請帳號密碼,權限為限制安裝軟體權限(如WindowsXP系統的Users群組)。-禁止安裝P2P軟體。1.1使用者註冊l學校須定期進行電腦系統(如EIP、校務行政系統、公文系統)使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務
6、的存取,該作業須包括以下內容:-使用唯一的使用者識別碼(ID)。-檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。-保存一份包含所有識別碼註冊的記錄。-使用者調職或離職後,須移除其識別碼的存取權限。-定期(每學年至少一次)檢查並取消多餘的使用者識別碼和帳號。-定期(每學年至少一次)檢查新增之帳號,若有莫名帳號產生,須關閉帳號權限,並依通報程序請求處理(參照本文件2.10段落)。1.2特權管理l學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,須每學年檢查更新並呈報上級知悉,並予以文件化記錄備查。1
7、.3通行碼之使用l管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼須設定有效期限。l資訊系統與服務須避免使用共同帳號及通行碼。l由學校發佈通行碼(Password)制定與使用規則給使用者,[參考優質通行碼設定原則與使用原則,文件編號CHJH-ICS-4],內容須包含以下各項:-使用者須該對其個人所持有通行碼盡保密責任-要求使用者的通行碼設定,避免使用易於猜測之數字或文字,例如生日、名字、鍵盤上聯繫的字母與數字(如12345678或asdfghjk),以及過多的重複字元等。或建議通行碼須包含英文字大小寫、數字、
8、特殊符號等四種設定中的二種。l因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的通行碼。1.4原始程式庫之存取控制l學校與系統廠商間的合約須加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。14宜蘭縣立中華國民中學資通安全
此文档下载收益归作者所有