7. 附錄
7.10 資通系統防護基準
系統防護需求 分級
控制措施 高 中 普
構面 措施內 容
存 取 控 制
帳號管 理
一、 逾 越 機 關 所 定 預 期 閒 置 時 間 或 可 使 用 期限時,系統應自動 將使用者登出。
二、 應 依 機 關 規 定 之 情 況及條件,使用資通 系統。
三、 監 控 資 通 系 統 帳 號,如發現帳號違常 使用時回報管理者。
四、 等級「中」之所有控 制措施。
一、 已 逾 期 之 臨 時 或 緊 急 帳 號 應 刪 除 或 禁 用。
二、 資 通 系 統 閒 置 帳 號 應禁用。
三、 定 期 審 核 資 通 系 統 帳號之建立、修改、
啟用、禁用及刪除。
四、 等級「普」之所有控 制措施。
建立帳號管理機制,包含帳 號之申請、開通、停用及刪 除之程序。
最小權 限
採最小權限原則,僅允許使用者(或代表使用者行為 之程序)依機關任務及業務功能,完成指派任務所需 之授權存取。
無要求。
遠端存 取
一、 應監控資通系統遠端連線。
二、 資通系統應採用加密機制。
三、 資通系統遠端存取之來源應為機關已預先定義及 管理之存取控制點。
四、 等級「普」之所有控制措施。
對於每一種允許之遠端存 取類型,均應先取得授權,
建立使用限制、組態需求、
連線需求及文件化,使用者 之權限檢查作業應於伺服 器端完成。
稽 核 與 可 歸 責 性
稽核事 件
一、 應定期審查稽核事件。
二、 等級「普」之所有控制措施。
一、 依規定時間週期及紀 錄留存政策,保留稽 核紀錄。
二、 確保資通系統有稽核 特定事件之功能,並 決定應稽核之特定資 通系統事件。
三、 應稽核資通系統管理 者帳號所執行之各項 功能。
稽核紀 錄內容
一、 資通系統產生之稽核紀錄,應依需求納入其他相 關資訊。
二、 等級「普」之所有控制措施。
資通系統產生之稽核紀錄 應包含事件類型、發生時 間、發生位置及任何與事件 相關之使用者身分識別等 資訊,並採用單一日誌紀錄 機制,確保輸出格式之一致
性。
稽核儲 存容量
依據稽核紀錄儲存需求,配置稽核紀錄所需之儲存容量。
稽核處 理失效 之回應
一、 機關規定需要即時通 報之稽核失效事件發 生時,資通系統應於 機關規定之時效內,
對 特 定 人 員 提 出 警 告。
二、 等級「中」及「普」
之所有控制措施。
資通系統於稽核處理失效時,應採取適當之行動。
時戳及 校時
一、 系統內部時鐘應依機關規定之時間週期與基準 時間源進行同步。
二、 等級「普」之所有控制措施。
資通系統應使用系統內部 時鐘產生稽核紀錄所需時 戳,並可以對應到世界協調 時間(UTC)或格林威治標準 時間(GMT)。
稽核資 訊之保 護
一、 定 期 備 份 稽 核 紀 錄 至 與 原 稽 核 系 統 不 同之實體系統。
二、 等級「中」之所有控 制措施。
一、 應運用雜湊或其他 適當方式之完整性 確保機制。
二、 等級「普」之所有控 制措施。
對稽核紀錄之存取管理,僅 限於有權限之使用者。
營 運 持 續計畫
系統備 份
一、 應將備份還原,作為 營 運 持 續 計 畫 測 試 之一部分。
二、 應 在 與 運 作 系 統 不 同 處 之 獨 立 設 施 或 防火櫃中,儲存重要 資 通 系 統 軟 體 與 其 他 安 全 相 關 資 訊 之 備份。
三、 等級「中」之所有控 制措施。
一、 應定期測試備份資 訊,以驗證備份媒體 之可靠性及資訊之 完整性。
二、 等級「普」之所有控 制措施。
一、 訂定系統可容忍資料 損失之時間要求。
二、 執行系統源碼與資料 備份。
系統備 援
一、 訂定資通系統從中斷後至重新恢復服務之可容 忍時間要求。
二、 原服務中斷時,於可容忍時間內,由備援設備取 代提供服務。
無要求。
識 別 與 鑑別
內部使 用者之 識別與 鑑別
一、 對 帳 號 之 網 路 或 本 機 存 取 採 取 多 重 認 證技術。
二、 等級「中」及「普」
之所有控制措施。
資通系統應具備唯一識別及鑑別機關使用者(或代表機 關使用者行為之程序)之功能,禁止使用共用帳號。
身分驗
一、身分驗證機制應防範自動化程式之登入或密碼更 換嘗試。
二、密碼重設機制對使用者重新身分確認後,發送一
一、使用預設密碼登入系統 時,應於登入後要求立 即變更。
號 登 入 進 行 身 分 驗 證 失敗達三次後,至少十 五 分 鐘 內 不 允 許 該 帳 號 繼 續 嘗 試 登 入 或 使 用 機 關 自 建 之 失 敗 驗 證機制。
四、基於密碼之鑑別資通系 統 應 強 制 最 低 密 碼 複 雜度;強制密碼最短及 最長之效期限制。
五、使用者更換密碼時,至 少 不 可 以 與 前 三 次 使 用過之密碼相同。
六、第四點及第五點所定措 施,對非內部使用者,
可 依 機 關 自 行 規 範 辦 理。
鑑別資 訊回饋
資通系統應遮蔽鑑別過程中之資訊。
加密模 組鑑別
資通系統如以密碼進行鑑別時,該密碼應加密或經雜 湊處理後儲存。
無要求。
非內部 使用者 之識別 與鑑別
資通系統應識別及鑑別非機關使用者(或代表機關使用者行為之程序)。
系 統 與 服 務 獲 得
系統發 展生命 週期需 求階段
針對系統安全需求(含機密性、可用性、完整性),以檢核表方式進行確認。
系統發 展生命 週期設 計階段
一、 根據系統功能與要求,識別可能影響系統之威 脅,進行風險分析及評估。
二、 將風險評估結果回饋需求階段之檢核項目,並提 出安全需求修正。
無要求。
系統發 展生命 週期開 發階段
一、 執行「源碼掃描」安 全檢測。
二、 具 備 系 統 嚴 重 錯 誤 之通知機制。
三、 等級「中」及「普」
之所有控制措施。
一、 應針對安全需求實作必要控制措施。
二、 應注意避免軟體常見漏洞及實作必要控制措施。
三、 發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代 碼,不包含詳細之錯誤訊息。
系統發 展生命 週期測 試階段
一、 執行「滲透測試」安 全檢測。
二、 等級「中」及「普」
之所有控制措施。
執行「弱點掃描」安全檢測。
系統發 展生命 週期部 署與維
一、 於系統發展生命週期之維運階段,須注意版本控 制與變更管理。
二、 等級「普」之所有控制措施。
一、於部署環境中應針對相 關資通安全威脅,進行 更新與修補,並關閉不 必要服務及埠口。
運階段 二、資通系統相關軟體,不 使用預設密碼。
系統發 展生命 週期委 外階段
資通系統開發如委外辦理,應將系統發展生命週期各階段依等級將安全需求(含機 密性、可用性、完整性)納入委外契約。
獲得程 序
開發、測試及正式作業環境應為區隔。 無要求。
系統文 件
應儲存與管理系統發展生命週期之相關文件。
系 統 與 通 訊 保 護
傳輸之 機密性 與完整 性
一、 資 通 系 統 應 採 用 加 密機制,以防止未授 權 之 資 訊 揭 露 或 偵 測資訊之變更。但傳 輸 過 程 中 有 替 代 之 實體保護措施者,不 在此限。
二、 使用公開、國際機構 驗 證 且 未 遭 破 解 之 演算法。
三、 支 援 演 算 法 最 大 長 度金鑰。
四、 加 密 金 鑰 或 憑 證 週 期性更換。
五、 伺 服 器 端 之 金 鑰 保 管 應 訂 定 管 理 規 範 及 實 施 應 有 之 安 全 防護措施。
無要求。 無要求。
資料儲 存之安 全
靜置資訊及相關具保護需 求 之 機 密 資 訊 應 加 密 儲 存。
無要求。 無要求。
系 統 與 資 訊 完 整性
漏洞修 復
一、 定期確認資通系統相關漏洞修復之狀態。
二、 等級「普」之所有控制措施。
系統之漏洞修復應測試有 效性及潛在影響,並定期更 新。
資通系 統監控
一、 資通系統應採用自 動化工具監控進出 之通信流量,並於發 現不尋常或未授權 之活動時,針對該事 件進行分析。
二、 等級「中」之所有控 制措施。
一、 監控資通系統,以偵 測 攻 擊 與 未 授 權 之 連線,並識別資通系 統之未授權使用。
二、 等級「普」之所有控 制措施。
發現資通系統有被入侵跡 象時,應通報機關特定人 員。
軟體及
一、 應定期執行軟體與 資訊完整性檢查。
一、 使用完整性驗證工 具,以偵測未授權變
無要求。