宜蘭縣大湖國民小學資通安全管理系統
中 華 民 國 107 年5月30 日修正
宜蘭縣大湖國民小學資通安全管理系統實施原則
一、 文件目標
為避免本校內部使用相關資訊設備時,因個人操作疏失或其他相關因素導致重要資料外洩或電腦網路設備受損,特訂立此實施辦法。
二、 適用範圍
1. 學校內電腦、資訊與網路服務相關的系統、設備、程序、及人員[1]。
2. 學生用電腦:電腦教室提供學生上電腦課操作使用之電腦設備。
3. 教師用電腦:教職員工個人專用的教學或行政用電腦設備
4. 教師公共電腦:辦公室內供所有老師或專科教室供任課老師共同使用的電腦。
三、 實施原則
1. 網路安全
1.1 網路控制措施
l 學校與外界連線,僅限於經由縣網中心之管控,以符合一致性與單一性之安全要求。
1.2 網路安全管理服務委外廠商合約之安全要求
l 委外開發或維護廠商必須簽訂安全保密切結書(文件編號A-1)。
2. 系統安全
2.1 職責區隔
l 學校主機電腦可依個別應用系統之需要,設置專屬電腦,例如網人事、主計、文書等電腦
l 學校的行政系統主機(例如財務、人事、公文系統等)電腦,由宜蘭縣或其他教育網路中心或宜蘭縣政府相關單位統籌管理。
2.2 對抗惡意軟體、隱密通道及特洛依木馬程式
l 個人電腦部份:
– 11.裝置防毒軟體,並設定自動更新病毒碼
– 2.自動進行「Windows Update」之程式更新作業,以防範作業系統之漏洞
電腦教室部份
電腦教室因使用chrome box系統,學生每次登入即還原學生自己原先內容=力不用設定相關還原措施。
l 學校內個人電腦所使用的軟體應有授權。
l 新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。
2.3 資料備份
l 學校(或委託)系統管理人員需針對學校重要系統(例如系統檔案、應用系統、資料庫等)在可接受的風險範圍內定期進行備份工作,或採用自動備份機制。
2.4 操作員日誌
l 學校資訊業務負責人需每月針對學校網頁伺服器進行檢查、維護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。
l 日誌內容包含以下各項:
– 系統例行檢查、維護、更新活動的起始時間
– 系統錯誤內容和採取的改正措施。[參考日誌範本,文件編號A-2]
– 紀錄日誌項目人員姓名與簽名欄
2.5 資訊存取限制
l 學校內所共用使用之個人電腦應以個人帳號密碼登入各自使用的空間,以符合資訊安全原則
2.6 使用者註冊
l 學校應制定電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:
– 使用唯一的使用者識別碼(ID)。
– 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
– 保存一份包含所有識別碼註冊的記錄。
– 使用者調職或離職後,應移除其識別碼的存取權限。
– 定期(建議每學期)檢查並取消多餘的使用者識別碼和帳號。
– 定期(建議每學期)檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理(參照本文件2.10段落)。
2.7 特權管理
l 學校的伺服器重要系統資訊具有存取特權人員清單、及其所持有的權限說明,應每一學年列一份清單,並予以文字化記錄備查。
2.8 通行碼之使用
l 資訊系統與服務應避免使用共同帳號及通行碼。
l 由學校發佈通行碼(Password)制定與使用規則給使用者,[參考優質通行碼設定原則與使用原則,文件編號A-3],內容應包含以下各項:
– 使用者應該對其個人所持有通行碼盡保密責任
– 要求使用者的通行碼設定,避免使用易於猜測之數字或文字,例如生日、名字、鍵盤上聯繫的字母與數字(如12345678 或 asdfghjk),以及過多的重複字元等。或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。
l 因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的通行碼。
2.9 原始程式庫之存取控制
l 學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。
2.10 通報安全事件與處理
l 資訊安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。
l 學校應建立資訊安全事件通報程序[參照安全事件通報程序,編號A-4]以及安全事件通報單[參考安全事件通報單範本,文件編號A-5];通報程序應包括學校內部通報,以及學校與宜蘭縣屬教育網路中心的通報。
l 當學校內部無法處理之資通安全事件,應通報宜蘭縣網路中心。
l 所訂出資訊安全事件通報程序應公布於校園內使用電腦與網路之場所,提供使用者瞭解。
3. 實體安全
3.1 設備安置及保護
l 學校重要的資訊設備(如主機機房)應置於設有空調空間。
l 學校資訊設備主機機房、電腦教室區域,應設置滅火設備,並禁止擺放易燃物、或飲食。
l 學校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況。
l 學校資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖並在出入管表進行登記, 以符資訊安全原則。。
3.2 電源供應
l 學校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失。
3.3 纜線安全
l 學校資訊設備主機機房、電腦教室區域內應避免明佈線。
3.4 設備與儲存媒體之安全報廢或再使用
l 所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫。
3.5 設備維護
l 應與設備廠商建立維護合約。
l 廠商進入安全區域需簽訂安全保密切結書。
3.6 財產攜出、攜入
l 未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。
l 當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。<span style=”mso-fareast-font-family: 標楷體; mso-hansi-font-family: 標楷體; mso-