校園通用資安管理原則(網路管理者/網路安全管理者)
2018/3/7 上午 09:42:00

網路管理
一、 應充分掌握並運用電腦及網路系統容量使用狀況的資訊,分析及找出可能危及系統安全的瓶頸,預先規劃補救措施。
二、 單位宜根據組織安全防護需求、網路服務 ( 設備 ) 重要性來建立弱點掃描機制與相關弱點修補機制。
三、 宜針對重要網路設備或網路服務系統毀損或失效來制訂相關復原計畫與執行步驟。
四、 宜監控單位人員網路資源運用情形,以避免出現網路資源被錯誤使用 ( 例如發送垃圾郵件、病毒郵件等 ) 。
五、 可定期檢視單位內是否有人員自行建置之對外連線網路,並評估該對外連線是否會對單位資訊安全造成危害,如經評估會造成資安危害,應採取適當防護措施。
六、 單位內部網路應視網路架構、網路服務特性、與服務主機架構來選擇適當之安全防護措施 ( 例如防火牆、入侵偵測 / 防禦系統、防毒閘道等 ) 來構建安全防護網。
七、 建有無線網路環境之單位應建立適當安全防護措施,以避免對內部網路與重要資訊系統造成安全危害。
八、 建議定期瀏覽資安相關網站或論壇 ( 例如國家資通安全會報技服中心網站 ) 以獲得新的網路安全相關訊息或知識。
九、 宜定期檢視網路設備與網路服務主機之異常作業相關紀錄以確認是否有未發現或潛在之安全威脅與弱點。
十、 宜將網路安全管理相關作法與活動進行文件化,讓網管人員、維護人員與網安管理人員有更具體之作業指引。


密碼使用原則
一、 當發現網路管理者密碼可能遭到破解或竊取之可疑跡象時,應立即變更密碼。
二、 在網路設備完成安裝作業後,應立即變更該設備之預設密碼。
三、 應設定高防禦強度之管理者密碼,以下為建議設定原則:
‧ 密碼建議設定至少八碼以上。(本校程序書規定系統管理人員之密碼長度應至少10碼)
‧ 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。
‧ 密碼沒有明顯意義。
四、 妥善保管帳號及密碼,不隨意透漏或提供給他人使用。
五、 應定期 ( 例如每月、每季等 ) 變更管理者密碼 。(本校程序書規定重要系統每四個月變更一次)


智慧財產權
一、 應尊重智慧財產權, 單位使用、複製及修改網路應用服務相關軟體,應依著作權法相關規定辦理。
二、 應定期清查單位內之網路應用服務相關軟體使用情形,以確認人員未使用非法或未經授權軟體,以落實使用合法軟體。

轉載自教育部資訊安全服務網 http://cissnet.edu.tw/Page/Detail/127