宣導專區

高教深耕計畫(112-116年) 資安專章，本校提出資安(數位環境整備) 具體策略、措施與績效指標，透過審查機制落實，形成發展韌性校園的正向循環，本校112~113年執行成果說明如下:

• 已建立全校完善的ISMS 制度，並持續推動

  (1)以ISO27001管理框架、控制措施為基礎
  本校核心資通系統連續12 年通過ISO 27001 驗證，今年(113 年)通過ISO27001:2022 改版驗證，ISMS 資訊安全管理制度已於電算中心扎根並順利運作，以此基礎全校導入ISMS 及核心系統持續優化。
  (2)資安長與資安推動全校組織積極參與資安管理辦理情形：
  本校資安推動組織「資訊發展暨資訊安全委員會」組成委員為一級主管，資安長(副校長)主持每年資安管審會議，落實資安管理審查，同時積極參與、協調監督本校各項資安管理事項。
  (3)單位主管的支持與種子人員培育
  在本校「資訊發展暨資訊安全委員會」下另設置「全校導入ISMS 小組」，成員為各行政、教學單位資安聯絡窗口(資安種子人員)，聘請資安顧問進行培訓、輔導，在資安長與單位主管支持、督導下，全校加強資安管理，落實資安管理作為。

• 提升資安管理效能
  為能有效提升管理效能，本校從下列三個面向，落實資通系統集中化管理。
  (1)全校主機虛擬化
  除圖書館外，已完成本校各單位之資訊系統集中電算中心虛擬化管理，透過10 部實體主機同時負責全校208 台虛擬主機之運作，1 部實體主機完成20 部電腦主機運作需求，主機虛擬化達95.2%。
  (2)全校資料統一備份備援
  為能有效完成全校資訊系統備份與異地備援作業，本校依據資安等級，將全校205 台虛擬主機區分核心系統、中級系統、普級系統，進行日備份、週備份、月備份策略，系統資安等級愈高，備份頻率愈高，以達成全校資訊系統資料備份滿六個月的目標。
  (3)全校資安防護集中管理
  為能加強資安防護，各單位之資訊系統在虛擬主機建置時，便統一安裝防毒軟體與MDR；另為能有效使用SSL 憑證，本校購置一張萬用憑證，透過資安設備統一套用到全校網站上，並對含有個資之網站導入WAF 防護，目前已完成73 個網站套用SSL 憑證，12 個網站套入WAF 防護。

• 降低資訊人員負擔
  因為高度集中化管理關係，為能有效掌握資訊系統和設備的狀態，本校已透過下列自動化方式，提供資訊人員相關訊息，減少資訊問題查找的時間。
  (1)全校設備與資訊系統統一監管
  因全校資訊系統與資訊設備眾多，為能了解系統設備運作狀況，透過PRTG 監控系統，集中監控資訊系統之CPU、memory、硬體空間、連線服務、網路流量等狀況，目前設置監控208 個資訊系統、546 台設備、合計5,757 個sensor，以確保當有異常狀況時，可以第一時間告警，即時反應處理。
  (2)資安環境整合管理
  考慮資安環境多元且複雜，已完成藉由AI 大數據分析，整合MDR、防毒軟體、入侵防禦系統等系統，透過單一管理介面盤點系統資產，除駭客攻擊行為的即時告警外，並結合各類資安情資，不定時自動通知系統隱藏風險，減少資訊人員追蹤資安問題的負擔，讓單位更可以防範未然。

1. 不開啟、不轉寄可疑寄件者之信件。
2. 不開啟可疑之信件之連結與附件。
3. 含有個人資料之郵件必須加密傳送。
4. 不使用公務電子信箱帳號登記做為非公務網站的帳號，如社群網站、電商服務等。
5. 使用者辦理公務及重要專案使用之電子郵件信箱，不得轉至外部私人信箱收發公務資訊。
6. 電子郵件進行安全設定。
   1. 闗閉預覽視窗 (關閉信件預覽)
   2. 關閉自動下載圖片 (不自動下載圖檔)
   3. 設定不要自動回覆讀信回條 

※ 教育部每年進行二次社交工程演練  (「社交工程演練」 說明專頁 )

  (模擬駭客攻擊手法假冒寄件者，發送令人感興趣的惡意郵件給本校教職員)

   依規定機關惡意郵件「開啟率」應低於10%；「點閱率」應低於6%

1. 電腦內重要公務資料應定期備份，避免資料損毀。
2. 重要公務資料傳輸、處理及留存，應遵守保密規定
3. 不得使用<即時通訊軟體>傳送公務敏感資料及個人隱私資訊。
4. 定期檢視使用公有雲之必要性，避免存放機敏資料，造成資料外洩的風險，蒐集個資以最小化為原則 ， 謹慎管理雲端檔案存取權限，不任意分享檔案連結或與任何他人共用之設定。
5. 傳送公務資訊應有適當保護，例如加密傳送 。(密碼另行通知)
6. 使用安全密碼(密碼長度最少8碼，含大小寫英數，至少二種條件組合)，定期更換密碼(操作說明)，妥善保管。
7. 勿將個人密碼張貼於個人電腦、螢幕、其它容易洩漏之場所或告知他人。
8. 大陸廠牌資通訊設備勿與公務環境介接，於110年底前完成汰換。(「 限制使用危害國家資通安全產品」說明專頁 )
9. 資安教育訓練
   1. 資安教育訓練時數要求
      1. 一般使用者及主管 : 每人每年接受三小時以上之資通安全通識教育訓練。
      2. 資通安全專職人員以外之資訊人員 (從事資通系統自行或委外開發、維運者) :每人每二年至少接受三小時以上之資通安全專業課程或資通安全職能訓練，且每年接受三小時以上之資通安全通識教育訓練。
   2. 取得資安時數管道
      1. 本年電算中心每年自行辦理2場 (每年4月、11月)
      2. 至數位學習資源整合平台<E等公務園平台>參加線上課程 ❖e等公務園平台建議課程
10. 應遵守個人資料保護法及資通安全管理法相關規定。

物聯網 (如網路印表機、網路攝影機、門禁設備、無線路由器、電子看板、跑馬燈、智能家電、智能燈具、智能插座)

1. 不使用預設帳密，透過<產品使用說明書>更改，攻擊者可透過預設的帳號密碼、密碼猜測或暴力破解等方式，取得設備管理權限。 (攻擊範例 : 網路攝影機、網路印表機、門禁設備)
2. 使用安全密碼 ，安全密碼規則如下 :
   1. 至少8個字元以上
   2. 混合字母大小寫、數字及特殊符號，至少二種條組合
   3. 避免和使用者帳號相同
   4. 避免使用有意義之單字
   5. 避免使用相同密碼於不同網站
3. 定期變更密碼
   1. 設定使用者存取權限。 (攻擊範例 : 網路印表機 )
   2. 關閉設備非必要之功能
   3. 透過安全性設定進行權限控管
   4. 透過其他防護設備限制使用者可存取之服務
   5.  避免將管理介面外露公開網路
4. 檢視設備所提供的功能 (啟用設備上所有安全功能，關閉非必要功能) 。
5. 定期更新軟體及韌體。
6. 定期盤查物聯網設備 (含IP、設備名稱、放置位置)， 盤點範圍含出租場域，若發現已不再使用或非必要之設備， 應下線以防止不必要的資安風險。

1. 應根據廠商專業能力、技術經驗及財務能力，慎選優良廠商。(系統開發建置勿找學生或老師)
2. 委外開發合約，應明訂保固期間、維護方式、教育訓練、資訊安全與個資保護等資安要求，並制定違約罰責。 (建議可參考公共工程委員會提供資訊服務採購契約範本)
3. 限制使用危害國家資通安全產品，行政院要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品(前往說明專頁)。
4. 系統開發與維運需依本校對該系統分級 ( 普、中、高 ) 結果，完成「資通安全責任等級分級辦法」附表十「資通系統防護基準」之該等級全部適用項目要求。
5. 要求承包廠商參與開發之相關工作人員，均須簽訂保密切結書。
6. 在系統初始階段將對廠商資安與個資保護要求納入考量。  ❖例HTTPS傳輸協定、使用TLS1.2以上版本傳輸、弱掃、個資管理 (蒐集、處理、利用與銷毀)
7. 廠商交付之軟硬體及文件，應先行檢查是否內藏惡意程式(如病毒、蠕蟲、木馬、間諜軟體等)，並於上線前應清除正式環境之測試資料與帳號及管理資料與帳號。
8. 承包廠商所開發或維護之系統，於合約有效期間，若發現系統有安全漏洞，應無償配合修改，修改方式交付時間須經本校同意。
9. 終止或解除委託關係，應確認委外廠商返還、移交、刪除或銷毀履行契約而所持有之資料。
10. 參與開發相關人員應遵守個人資料保護法、個資施行細則、資通安全管理法、資安法施行細則及資安責任等級分級辦法等相關規定。
11. 廠商如有違反個人資料保護相關法令而致個人資料被竊取、洩漏、竄改、毀損、滅失或其他侵害之情事，應立即通知本校，並說明違反事項及採行之補救措施意。

1. 加入網域(domain)。(操作說明 win10、win11)

2. 電腦作業系統版本更新至Win10以上，系統修補程式定期更新。( 操作說明 win10、win11 )

3. 安裝學校授權(趨勢)防毒軟體，並且定期更新。 (操作說明 win10、win11、mac)

4. 電腦安裝應用程式、軟體如 Adobe ….定期進行更新，修補漏洞。 ( Adoble安裝、授權與更新)

5. 電腦應使用螢幕保護程式，設定螢幕保護密碼，並將螢幕保護啟動時間設定為10 分鐘以內。 (操作說明 win10、win11)

6. 網路註冊，勿任意加裝無線網路發射器等網路設備。 (有線網路註冊、無線網路註冊) 

7. 不得使用任何有危害本校網路、設備及造成網路壅塞佔用頻寬之軟體，例 P2P軟體 。

8. 上班期間不應連結非公務需要之網站，並避免連結惡意網站或釣魚網站。

9. 不下載安裝來路不明或未授權軟體及檔案。

10. 不使用即時通訊軟體傳輸重要機敏資料檔案。(即時通訊軟體LINE操作安全)