第三章 研究方法
3.1 維護環保署「環境奈米科技知識平台」功能正常運作、網站管理、
系統維護及確保資訊安全,並統計分析平台瀏覽資訊
本團隊協助維護環保署「環境奈米科技知識平台」(http://ehs.epa.gov.tw/)網 站正常運作,並配合環保署網頁檢核,定期維護更新中英文網頁資料、於網頁 紀錄更新日期、更新科普知識與補充常見問題 (Q&A)內容、後台上稿等維護 工作,並依據平台瀏覽人數、來源等資訊進行統計評析,同時維護平台資訊安 全。本年度主要為維護網站運作,依環保署及招標須知的要求,本年度的工作 內容如下:
1. 維護「環境奈米科技知識平台」網站正常運作。
2. 配合環保署網頁檢核,定期進行以下工作:
-維護更新中英文網頁資料,並於網頁紀錄更新日期。
-更新科普知識及補充常見問題(Q&A)內容。
3. 依據平台瀏覽人數、來源等資訊進行統計評析,並確保平台資訊安全。
4. 104 年環境奈米科技論壇資料上傳。
5. 報告及文獻資料的分類統計分析。
6. 一個月進行一次無障礙檢測。
7. 一季進行一次資安弱點掃瞄。
在資訊安全的部份,本計畫委託資訊科技公司執行「實體及環境安全管 理」、「系統存取控制管理」、「系統發展及維護之安全管理」、「人員管理 及資訊安全教育訓練」及「網路安全稽核管理」等工作事項,以維持本專案之 資訊安全無慮,環境奈米科技平台的資訊安全計畫架構圖如圖 3.1.1 所示。
圖 3.1.1 環境奈米科技平台的資訊安全計畫架構圖
1. 實體及環境安全管理
系統伺服主機、設備安置於環保署主機房,並由本團隊的委外專業廠商,遵 循環保署的資訊安全政策及資訊安全管理規範等相關規定,配合監資處進行例 行性和不定期的檢測作業。
2. 系統存取控制管理
登入各作業系統時,依各級人員執行任務所必要之系統存取權限,由系統 管理人員設定賦予權限之帳號與密碼,並定期更新。各單位之重要資料如需委 外建檔者,不論在環保署內或環保署外執行,均須簽訂適當之安全管制條款,
防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
3. 系統發展及維護之安全管理
在資訊系統規劃之需求分析階段,即將資訊安全納入考量;系統之維護、
更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、木馬後門程 式及電腦病毒等危害系統安全。對於系統建置開發之軟硬體系統及維護人員,
應規範及限制其可接觸之系統與資料範圍,並於使用完畢後立即取消其使用權 限。定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可 迅速回復正常作業。
4. 人員管理及資訊安全教育訓練
對處理敏感性、機密性資料之人員及因工作需要須賦於系統管理權限之人 員,應妥適分工,分散權責並建立評估及考核制度,及視需要建立人員相互支
援制度。依角色及職能為基礎,針對不同層級人員,視實際需要辦理資訊安全 教育訓練及宣導,促使計畫執行人員瞭解資訊安全的重要性,各種可能的安全 風險,以提高計畫執行人員的資訊安全意識,促其遵守資訊安全規定。本計畫 已於 9 與 10 月對計畫執行人員分別各進行 1 場次的資訊安全教育訓練。
5. 網路安全稽核管理
網路安全稽核事項
(1) 對於通過防火牆之連線記錄資訊,均應予記錄。
(2) 伺服主機應記載各項連結服務的作業紀錄(system log)。
‐ 作業日誌
每個系統所提供之查詢及操作(新增/刪除/修改)皆會被記錄在作業日誌 中,如資訊服務網的查詢功能、登記管理系統的內容更新維護、通關查詢系 統的查詢功能,系統會將使用者執行作業功能名稱、使用者資訊、執行時間
、所執行的動作及所執行的 SQL 語法等記錄於作業日誌中。稽核人員可以隨 時透過系統來針對『作業功能名稱』、『使用者資訊』、『執行時間』及『操作 動作(含所執行的 SQL)』等資訊進行查詢及追蹤。
‐ 系統日誌
使用者對於系統登出、登入的系統動作皆會被記錄在系統日誌中,包 括使用者登入帳號、使用者登入時間、使用者登出時間等內容。系統管理 者能透過系統日誌所提供的訊息,提早及事先採取預防或補救措施。稽核 人員可以隨時透過系統來針對『使用者登入帳號』及『使用者登入時間』
等資訊進行查詢及追蹤。圖 3.1.2 為稽核作業示意圖。有了上述這些日誌,
稽核人員便能隨時登入系統進行稽核作業,檢查是否有不正常的登入(如短 時間內重覆登入存取)或系統異常操作等造成服務中斷或系統資料異常的情 形發生。系統日誌與作業日誌將強化環保署的作業記錄機制,提升稽核各 資訊系統的便利性,充分掌握系統運作時的安全性、可靠性。
網路入侵之追查
對入侵者的追查,除使用系統指令執行反向查詢外,並聯合相關單位(
如中華電信),追蹤入侵者;若入侵者之行為觸犯法律規定,構成犯罪事實
,應立即通知有關單位,請其處理入侵者之犯罪事實調查。
圖 3.1.2 稽核作業示意圖