網路安全管理作業程式（版本4）

1. 作業流程圖：

網路安全管理作業程序

2. 作業程序：

   1. 設定網路安全管理規定

      1. 網路使用者安全管理

         1. 本校網路須經授權始可使用，已授權的使用者，僅能在授權範圍內存取網路資源。

         2. 不得將自己的登入身分識別與密碼交付他人使用。

         3. 禁止以任何方法竊取他人的登入身分識別與密碼。

         4. 禁止以任何儀器設備或軟體工具竊聽網路上的通訊。

         5. 不得以任何手段蓄意干擾或妨害網路的正常運作。

         6. 應遵守上述網路安全規定，並確實瞭解其應負的責任，如有違反網路安全情節，依相關法規辦理。

         7. 使用瀏覽器應先評估所瀏覽網頁之安全性，並將適度調整瀏覽器安全性設定（如將「網際網路」之安全層級設定為「中」以上）。

         8. 有關本校使用網路、電子郵件等之相關規定，請參閱「ISMS-W-002一般資訊設備安全管理作業標準書」。

         9. 資訊系統使用權限之申請程序應依據「ISMS-P-013帳號密碼及存取控制管理程序書」之規定辦理。

      2. 網路傳輸及存取控制管理

         1. 「密」等級（含）以上資訊未經密碼保護禁止使用公眾網路傳送。

         2. 廠商或專案相關外部人員對內部需進行資訊存取作業時，應遵循「ISMS-P-018委外作業管理程序書」之規範予以控管，避免重要資訊被經由網路外洩。

         3. 對於開放提供外部單位存取之服務，必須限制使用者之網路功能以確保網路安全。

         4. 網路路由之規劃必須確保任何網路連線或資訊傳輸符合網路存取之安全需求。

      3. 網路服務安全管理

         1. 只開放必須的網路服務功能與通訊協定。如需異動，由相關人員進行安全評估，確定可行且無安全上的顧慮後，填寫「ISMS-P-012-01防火牆連線服務異動申請單」且經權責主管核准後方得開放。

         2. 對所有必須開放的網路服務功能與通訊協定應於防火牆安全設施中管制。

         3. 網路系統管理人員應配合資訊安全政策與規定，隨時檢討及調整網路設備的設定，以反應最新狀況與需求。

      4. 網路防毒安全管理

         1. 使用者如需使用外來的可攜式設備或儲存媒體，必須先進行掃毒的動作，以避免電腦、系統與網路受到惡意程式威脅。

         2. 本校全體員工應使用由本校所提供之電腦防毒軟體，並安裝於所使用之個人電腦中，自動或定期檢查硬碟及儲存媒體之檔案，確保無電腦病毒潛伏於個人電腦與儲存媒體中。

         3. 收取郵件時，若收到來路不明之電子郵件，應立即刪除，並禁止開啟來路不明之檔案或電子郵件及其附加檔案。

         4. 系統管理者或個人電腦使用者應將重要資料定期備份。

         5. 電子郵件之使用規範，應依據「ISMS-W-002一般資訊設備安全管理作業標準書」之規定辦理。

         6. 系統伺服主機須由系統管理者評估其需要，若需要則必須即時安裝防毒軟體。

         7. 本校個人電腦應安裝防毒軟體，並定期更新病毒碼及掃毒程式。

         8. 各系統伺服主機與個人電腦需由各系統管理者及個人電腦使用者自動與定期執行病毒碼更新作業，並應設定排程自動執行掃毒作業。

         9. 如遇疑似惡意程式感染情況，防毒軟體無法處理或作業仍不正常時，使用者應立即通報資訊人員處理；資訊人員確認為惡意程式感染事件後，應判斷感染途徑及其惡意程式名稱，並應協助使用者將惡意程式移除或隔離。

         10. 當惡意程式無法移除或隔離時，資訊人員應立即將電腦關機，並中斷網路連線，如無法短時間內處理，則重新安裝作業系統並利用備份還原資料。

         11. 如遇重大惡意程式感染事件，業務承辦人員應依據「ISMS-P-009資訊安全事件管理程序書」之規定通報相關人員。

      5. 弱點掃描安全管理

         1. 為確保本校各項資訊系統能持續提供穩定的服務，必須定期執行弱點掃描作業，預先找出各項資訊系統潛在的弱點，並擬定對策執行預防措施，以降低威脅及衝擊所造成的風險。

         2. 每年由資通安全處理小組定期針對電腦機房重要伺服器主機、網路設備等，辦理弱點掃描，並於掃描後提出弱點掃描報告。

         3. 弱點掃描完成後，弱掃人員須將安全弱點記錄於「ISMS-P-012-02資訊設備重大弱點補強紀錄表」中，交付各系統管理者，由各系統管理者自行或視需要取得委外服務廠商之協助，以確認弱點是否確實存在。

         4. 針對弱點掃描報告，應親自或委由專業服務廠商，於重大弱點發現或公布時，立即進行威脅比對作業，以判別弱點與威脅是否已造成資訊安全事件，若造成資安事件則依據「ISMS-P-009資訊安全事件管理程序書」之規定辦理各項資安事件通報與處理。

         5. 對於可取得相關廠商提供安全性修補程式之弱點，得依循下列作業進行修復與測試。

            1. 系統管理者應自行或委由廠商依據所知悉之弱點，進行弱點補強作業，並將補強結果記錄於「ISMS-P-012-02資訊設備重大弱點補強紀錄表」中。

            2. 於修補弱點前應進行技術風險評估，並依據弱點影響性、資產重要性及弱點修復作業的可行性（例如評估部署對於網路服務效能的影響、對於停機或重新開機時間的影響等），以進行修補優先次序規劃。

            3. 弱點修補人員應確認安全性修補程式的來源及可靠性，避免自不明網站或郵件中下載取得。

            4. 對於重大之弱點，系統管理者須於弱點公告或弱點掃描報告提出後盡速完成修補作業或提供其他足以降低弱點風險的控制方法。

            5. 弱點報告產出後，檢核人員須立即以系統區分將安全弱點列表並交付各系統管理者，由系統管理者或委外廠商對所負責之系統主機進行弱點修補作業。

            6. 系統管理者接到所負責系統主機之安全弱點列表後，須立即檢視弱點是否確實存在，並視需要取得委外服務廠商之協助進行弱點修補作業。

            7. 系統管理者需進行安全性修補程式部署前之規劃準備，包含確認部署的範圍、安全性修補程式的相依性與部署順序，及可否合併部署以減少系統重新啟動之衝擊等。

            8. 安全性修補程式部署前，亦應考慮復原程序，包括確認是否可以解除安裝部署、安排必要的程序以防電腦在部署修補程式後停止回應，以及進行適當的資料或系統備份及還原程序等。備份作業應依據「ISMS-P-015資訊備份管理程序書」之規定辦理。

            9. 系統管理者須盡可能將安全程式部署的嚴重性、緊急性及潛在的負面影響告知業務相關人員。

            10. 若進行修補之標的為重要之線上系統時，於正式部署作業前，盡可能於相似的環境進行接受度測試，以確認安全性修補程式可以在正式作業環境中正確運作。

            11. 部署時之相關變更注意事項，依據「ISMS-P-014系統發展與維護管理程序書」之變更管理相關章節辦理。

            12. 於部署作業完成後，系統管理者應檢閱變更內容。包括查看相關設備之事件及系統紀錄檔，找出安全性修正程式部署之成功或失敗等相關資訊。必要時，得使用弱點掃描報告來監視更新部署狀況。

         6. 殘餘弱點之安全管理作業

            1. 系統弱點若因故無法成功修補，系統管理者須依據修補作業實際情形，將無法補強的原因以及因應控制措施，詳實記錄於「ISMS-P-012-02資訊設備重大弱點補強紀錄表」以利後續追蹤控管。

            2. 對於修補作業後仍有殘餘重大弱點之重要設備，應說明其他因應措施以降低弱點風險，並將此結果記錄於「ISMS-P-012-02資訊設備重大弱點補強紀錄表」中備查。

            3. 弱點掃描人員應利用弱點掃描報告之統計結果，分析弱點改善之狀況，並於會議中提出檢討。弱點若無法限期處理及改善，則依據「ISMS-P-008矯正及預防管理程序書」之相關規定執行矯正與預防措施，進行問題矯正及風險預防的作業。

      6. 網路入侵偵測安全管理

         1. 應於網路入口處，部署網路入侵防護系統，進行入侵偵測與防護。

         2. 網路系統管理人員應配合資訊安全政策及規定，隨時檢討及調整網路入侵系統的設定，以反應最新的狀況與需求。

      7. 佈線安全管理

         1. 網路通訊設備於安裝時，應注意機房之電力線路架構，應執行網電線路區隔，以防相互干擾。

         2. 易遭受破壞之線路設施應妥善保護（如光纖），以免因其他工程裝設而影響網路之運作。

         3. 線路應採用天花板高架或佈建於高架地板下，以防止線路遭破壞或損毀。

         4. 線路配置需注意維護安全與方便，應避免糾結與裸露。線路如需異動，須經由專責人員執行。

      8. 網路相關紀錄與蒐證安全管理

         1. 內、外部網路管理人員進行網路維護作業後，應使用相對應之表單以建立相關紀錄，作為日後稽核與蒐證之依據。

         2. 網路管理人員應定期檢視網路存取之紀錄，並留存查核紀錄。

      9. 網際網路應用系統之安全

         1. 為保護網際網路上傳輸而涉及應用服務的資訊，免於詐欺行為、契約爭議及未經授權的揭露與修改，網路管理人員應定期執行弱點掃描或滲透測試服務，並將其技術脆弱點進行修補，以確保重要資訊之機密性及完整性。

         2. 網際網路應用系統所提供各項服務之資訊，若涉及機密資料時應啟動安全之加密防護機制（如：VPN、SSL等），確保資料安全及未經授權的揭露與修改。

         3. 網際網路應用系統若須進行系統變更作業時，應依「ISMS-P-014系統發展與維護管理程序書」之相關規定提出申請及審核，確保應用系統變更受到適切之監督及管制。

   2. 設置網路通訊基礎架構

本校網路通訊基礎架構（Network Infrastructure）之設置、維護及更新，由資通安全處理小組負責規劃，並呈送權責主管及相關單位審核後安裝建置。

3. 規劃網路區隔

規劃適當網路區隔之管理機制，以防止不當網路存取行為與流量散佈。

1. 內部網路之使用，應對使用狀況與條件區分不同網路區段，以便進行網路存取控管，各區段應以特定的安全設施（如：防火牆及網路閘門）加以保護，以降低可能的安全風險。

2. 內部網路之使用，應鑑別主機與使用者之工作內容，並賦予適當網路區段之IP位址，以供網路存取控制管理考量。

3. 對外網際網路服務與內部網路使用需求應設定適當存取控制機制，防止機密性資訊外洩。

4. 非經授權嚴禁使用無線網路及私有有線設備與網路介接。

1. 網路頻寬管理

   1. 配置相關管理系統以進行網路流量之監控，並執行紀錄，保障網路頻寬之正常使用。

   2. 禁止網路使用者將網路資源使用於私人用途。

   3. 網路系統管理人員如發現網路流量異常，應立即分析網路異常原因並採取適當之矯正措施，並將結果記錄於「ISMS-P-009-01資訊安全事件報告單」中備查。

2. 網路通訊設備管理

   1. 確保網路通訊設備之機密性、完整性及可用性，應依據「ISMS-P-003資訊資產管理程序書」之規定予以控管。

   2. 網路通訊設備之維護改善，應留有紀錄備查。

   3. 網路通訊設備於安裝上線前，應進行安全與作業影響評估，並考慮是否請廠商提供到場協助，做為第二線技術支援。

   4. 廠商到場進行網路設備安裝、維護工作時，應派員全程陪同監控。

   5. 廠商之維護方式以到場服務為原則。但若有實際需要需做遠端連線測試時，須依據「ISMS-P-018委外作業管理程序書」之規定予以控管。

   6. 網路通訊設備安裝應考慮裝置場地之安全性，儘可能設置於有門禁管制之地點，並考慮通風散熱問題。

   7. 為維持網路持續正常運作，各重要網路通訊設備應規定委外維護廠商於契約規定時間內修復，或以備品更換。

   8. 重要網路通訊設備應透過不斷電系統提供電力，以達穩壓及防止不正常的跳電狀況。

   9. 網路通訊設備應由專人負責維護故障叫修之相關工作，並紀錄維護狀況。

   10. 網路通訊設備之維護管理作業，應依據「ISMS-P-016資訊設備維護與管理程序書」之規定辦理。

3. 異常處理

經查核結果若發生異常，由系統管理者依據「ISMS-P-008矯正及預防管理程序書」之相關規定執行矯正與預防措施，進行問題矯正及風險預防的作業。

7. 紀錄保存

相關業務承辦人員應參照如下規範，妥善保存各項紀錄。

編號	表單名稱	保存地點	保存期限
1	防火牆連線服務異動申請單	資科中心	至少1年
2	資訊設備重大弱點補強紀錄表	資科中心	至少1年

3. 控制重點：

為使本校網路安全之管理有一明確規範，以確保資料透過網路進行傳輸時之安全性，並透過程序化之安全控管機制，以防止未經授權的系統存取，使網路正常運作，特制定本程序書。

4. 依據及相關文件：

   1. ISMS-W-002一般資訊設備安全管理作業標準書

   2. ISMS-P-013帳號密碼及存取控制管理程序書

   3. ISMS-P-018委外作業管理程序書

   4. ISMS-P-009資訊安全事件管理程序書

   5. ISMS-P-015資訊備份管理程序書

   6. ISMS-P-014系統發展與維護管理程序書

   7. ISMS-P-008矯正及預防管理程序書

   8. ISMS-P-003資訊資產管理程序書

   9. ISMS-P-016資訊設備維護與管理程序書

5. 使用表單：

   1. ISMS-P-012-01防火牆連線服務異動申請單

   2. ISMS-P-012-02資訊設備重大弱點補強紀錄表

   3. ISMS-P-009-01資訊安全事件報告單