网路安全管理细则　

第一节 通则
本细则主要介绍各机关(构)在建立和使用与网路连线之资讯系统时必须整体考量的安全注意事项。

1.1 为防止政府各机关(构)资讯系统及其资料遭到不明入侵者经由网路侵入,使资讯系统及其资料遭致不当使用、泄漏、窜改、破坏等情事。以确保与网路连线之资讯系统及其资料的安全,并维护机关业务的正常运作以及机密资料的完整性、隐密性,特订定此管理细则以供依循。

1.2 本细则之适用对象为行政院所属各机关(构)。
　
1.3 各机关(构)应制定网路安全政策并定期检讨修正，以因应网路安全技术的更新与反应各机关(构)现况的需求。

1.4 各机关(构)网路安全应考量范围基本上包括网路安全教育训练、人员的管理、网路安全管理、上网之控制、拨接存取网路资源的控管、网路服务程式控管、紧急事故应变与灾害复原处理,以及网路安全稽核等。

1.5 各机关(构)针对网路安全维护之成本效益与网路使用者方便性，建立网路安全机制。

1.6 各机关(构)人员管理应依资讯安全管理细则第三章第四节有关人员管理部份实施执行。

第二节 网路安全教育训练
为确实执行网路安全要求，相关人员必须接受网路安全教育训练。

2.1 各机关(构)须提供机关(构)主管、网管人员和其他相关人员定期教育训练。

2.2 教育训练内容应涵盖网路安全的趋势、网路安全可能之漏洞、网路遭受入侵管道与破坏实例、紧急事故应变措施与灾害复原处理原则，以及与所有人员有关之电脑网路安全须知等。

2.3 对各机关(构)主管、网管人员有关网路安全控管、网路攻击种类、病毒种类与可能感染途径、网路系统架构、网路安全政策制定等技术，定期实施教育训练。

2.4 对一般相关人员则针对网路安全需求及其所应负之安全责任等做为教育重点。

第三节 人员管理
人员管理在网路安全中，属于制度面的考量。经由制度的建立，可减少因人为疏失所引起的安全问题。

网路合法使用者

3.1 各机关(构)网路的合法使用者,在经许可的范围内对网路所提供的资源有存取的权利。

3.2 合法使用者应遵守各机关(构)所制定的网路安全政策，并确实了解自己所应负的责任。如有违例，则应撤消其对网路资源存取的权利，并依网路安全有关违例部份惩处。

3.3 合法使用者不允许将自己的登入身份与登入网路密码供他人使用。

3.4 合法使用者禁止以何方法窃取其他合法使用者的登入身份与登入网路密码。

3.5 合法使用者禁止存取网路上未经许可的档案或企图获得存取的权限。

3.6 合法使用不准持有色情或猥亵档案，并禁止在网路上散播色情文字、图片、影像、声音等。

3.7 合法使用者禁止发送电子邮件去骚扰其他使用者，而导致别人不安与焦虑。

3.8 合法使用者禁止发送匿名或伪造电子邮件。

3.9 合法使用者禁止以任何手段蓄意干扰或防害网路系统的正常运作。

3.10 经由合法电脑主机或网路设备连接各机关(构)内部网路时，合法使用者必须确实遵守网路安全政策所规定之程序。

3.11 合法使用者禁止使用任何仪器设备或软体工具窃听网路上的通讯。

网路系统管理者

3.12 拥有主机之各机关(构)主管，有权赋予系统最高权限(super-user privilege)给任一可信赖者。

3.13 网路系统管理者应负责网路安全政策的制定与执行及网管工具系统设定与操作，以确保各机关(构)内部系统主机与资料的安全与完整。

3.14 网路系统管理者应负责产生帐号给合法使用者。除非有特殊情况，不得产生匿名或共享帐号。

3.15 若使用者己不再是合法使用者，网路系统管理者应负责将使用者帐号移除。

3.16 网路系统管理者未经许可禁止阅览使用者私人档案，如有可疑的安全违例，网路系统管理者得以使用自动搜寻工具检查档案。

3.17 网路系统管理者未经使用者同意，不可增加、删除、修改私人档案。如有特殊紧急状况，必须删除私人档案，则须先知会档案拥有者。(电子邮件是可接受的知会管道之一)  

3.18 对任何网路安全违例事件，网路系统管理者应立即向紧急应变小组反应。

3.19 网路系统管理者只能由系统终端机登入主机，并须保留所有登入、登出记录。

3.20 网路系统管理者不得新增、删除、修改稽核资料档案，以避免安全违例发生时，追踪查询的困扰。 　

3.21 各机关(构)离职人员应依资讯安全管理细则第三章第四节有关人员离职部份实施执行。

　

　第四节 网路安全管理
随着开放系统与网际网路的日益普及,电脑入侵与资料窃取破坏的事件有日益增多的趋势;小则造成各机关(构)的损失与不便，大则危及国家社会的安全。因此网路安全管理在现今任何网路系统中己是不容忽视的一环。

登入网路密码管理

4.1 使用者登入代码和登入密码对每一合法使用者是绝对唯一。

4.2 登入密码至少由六位字母与数字符号构成。

4.3 登入密码档案必须储存于安全隐蔽之处，并加密处理。

4.4 登入密码需定期更改，以提高安全性。

4.5 尝试登入数次失败后，应暂停使用者帐号，并将失败登入记录于稽核档中，以便日后查询。

4.6 成功登入后，系统应显示上次登入与登出的日期和时间。

4.7 使用者在规定期限内若无使用其帐号，网路系统管理者应暂停使用者之帐号。

主机之安全防护

4.8 对于各机关(构)存放机密文件、资料的大型主机或伺服器主机(如Domain Name Server等)，除了作业系统的安全设定外，应采用动态密码辨识系统(one -time password)作为身份辨识的依据，防止远端拨接或远端登入资料透过电话线或网路线传送时被偷窥或截取(如一般网路服务HTTP 、Telnet、FTP等的登入密码)，使非法者假冒合法使用者登入主机进行偷窃、破坏等情事。

网际网路

防火墙

防火墙简单的说即为管制各机关(构)网路使用的一种手段。它是一个介于内部网路或主机与外界网路的装置，用来控制、筛检网路上的交通，并可对某些特定的网路位址做封包过滤与连线管制。

4.9 各机关(构)与外界网路连接的网点应加装防火墙，藉以控管外界与政府各机关(构)内部网路之间的资料传输与资源的存取。

4.10 防火墙应安装网路服务的转送伺服器即所谓的代理伺服器(Proxy Server)以提供Telnet、FTP、WWW、Gopher等网路服务的转送与控管。

4.11 各机关(构)防火墙的安装与网路架构设置，应依照该机关(构)资料的安全等级与预算做最有效率的配置。

4.12 各机关(构)防火墙应由网路系统管理者执行控管的设定，并依据该机关(构)所制定的安全政策，亦即存取资源的管控策略，它包含了身份辨识的机制、进入服务(incoming service)、连外服务(outgoing service)与稽核上的需求以及那些资源可被读取、更改、删除、下载或上载等行为规范以及那些人拥有这些权限等资讯。

4.13 网路系统管理者应由系统终端机登入防火墙主机，禁止采取远端登入，以避免登入资料遭窃取进而危害网路系统的安全。

4.14 各机关(构)在防火墙设置完成时，应测试防火墙运作的正常性。如有缺失，应立即修正，直到达成规画之目标。

4.15 由于各机关(构)安全政策的更新与网路设备的变动，网路系统管理者应对防火墙系统的设定或允许权限上做适当的调整，以反应现状。

4.16 各机关(构)对防火墙系统软体，应定期做版本升级，以因应新而未知的网路攻击。

软体输入控制

4.17 各机关(构)网路使用者禁止使用非法软体。

4.18 经由网际网路下载的软体，需由网路系统管理者测试、扫瞄，并确认安全无误后方可安装、执行。

4.19 各机关(构)应在网路上各档案伺服器安装防毒软体，防止病毒在网路上扩散。
4.20 防火墙对病毒或「特洛依木马型程式」不能做有效防御，因此网路使用者应定期使用电脑病毒扫瞄工具执行病毒扫瞄，并了解病毒与恶意执行档可能入侵的管道，并加以防范。

4.21 使用者如侦测到病毒入侵，应马上通知网路管理者。网路管理者须告知使用者受病毒感染的资料及程式，避免病毒的扩散。

4.22 如有机器遭受病毒感染，应立即与网路离线，直到网管人员确认病毒已移除，才可重新与网路连线。

资讯布告栏

4.23 对外开放的资讯系统最好能安装在一部专用主机上，以防火墙与各机关(构)内部网路区隔，提高内部网路的安全性且方便一般民众查询各机关(构)所提供的资讯。

4.24 禁止将各机关(构)机密文件或资料存放于对外开放的资讯系统中。网路系统管理者应负责监视、查核有无违例事件发生。

4.25 对外开放的资讯系统应对蓄意破坏者以发送作业系统指令或传送大量资料(如电子邮件、注册或申请资料)而导致系统瘫痪作有效的防范，以免影响各机关(构)服务品质。

4.26 对外开放的资讯系统所提供的网路服务(FTP,Gopher,HTTP等)，应做适当的存取控管，以维护系统的正常运作。

4.27 对于开放资讯系统中，存放一般民众申请或注册的私人资料档案应作加密处理，并妥善保管，以防别有用心者窃取、移作他途，而侵犯民众的隐私权。

网路服务管理

4.28 各机关(构)提供给内部人员与各机关(构)业务有关人员经由远端登入内部网路系统的网路服务，应作严谨的身份辨识(如动态密码辨识系统)或经由防火墙代理伺服器(Proxy Server)做控管。

电子邮件

4.29 各机关(构)电子邮件服务，应依据各机关(构)所制定的安全政策实施。

4.30 机密性电子邮件的传送应做加密处理，以防止网路窃听。

4.31 为防范冒名顶替电子邮件的发送者，而达到不可否认的目地，应以电子签章方式签发。

4.32 对于电子邮件所夹带档案，应经由网路系统管理者检视无误后方可使用。

4.33 对于来路不明的电子邮件，应交由网路系统管理者处理，以免随意打开邮件启动恶意执行档，而使网路系统遭到破坏。

全球资讯网路

4.34 各机关(构)内部所使用的浏览器应作防火墙代理伺服器设定。

4.35 各机关(构)内部所使用的浏览器应设定为对所下载的每一档案做病毒或恶意内容的扫描。

4.36 由于网路新技术的不安全性(如Java,JavaScript,ActiveX等)，各机关(构)内部所使用的浏览器应关闭这些新技术的支援服务，以确保内部网路的安全。

4.37 HTTP伺服器应透过组态的设定，使其启动时不具有系统管理者身份。

4.38 应对HTTP伺服器可存取的范围限制在档案系统的某一特定区域。

4.39 对于通用闸通道介面手稿(Common Gateway Interface Script)的执行与使用应予严密监控。由于多数HTTP伺服器支援此项服务，系统依远端使用者提供的资料(如表格)来启动手稿的执行并将执行结果传回远端使用者。如果手稿有弱点，使不法者利用它们来执行任意系统指令，以获取系统内重要资讯或破坏系统，因此对于通用闸通道介面手稿的不当执行应予防范。

网内网路

政府应建置认证系统，并由专属部门担任认证中心角色，为政府内部人员或与政府业务有关的一般民众提供认证服务，以便提供通讯资料的完整性、来源确认和不可否认等安全功能。

4.40 各机关(构)内部的公文电子化，需要电子签章的安全机制，以便政府内部人员进行公文的签核或机密文件的调阅。

4.41 各机关(构)之间资料如透过专线传送(封闭网路系统)，则视资料的安全等级，根据相关安全条文做适当加解密。

4.42 各机关(构)之间机密资料如透过网际网路(开放网路系统)传送，应经由虚拟私人网路(VPN)，以确保机密资料的隐密性与一致性。

　第五节 紧急事故应变与灾害复原处理
由于科技不断进步，各种防范措施难免有百密一疏的缺憾，因而遭受不法者入侵。因此各机关(构)应制定意外处理步骤与灾害复原的计画，使伤害程度减至最低。

网路设备备援与系统备份

5.1 为维持各机关(构)网路的持续正常运作，各重要网路设备应有备援。

5.2 各机关(构)网路硬体设备应加装不断电系统以防止不正常的断电状况。

5.3 为确保各机关(构)内部网路与外界的服务持续畅通，内部网路与外界网路的连接应有一或一个以上的替代路径。

5.4 各机关(构)对网路系统中各主要主机伺服器(包括防火墙主机)应有备援主机，以应主要主机无法正常运作时之用。

5.5 各机关(构)对网路系统中之防火墙与各主机应定期做系统备份，包括完整系统备份，系统架构设定备份以及稽核资料备份。

5.6 各机关(构)系统备份资料应存放在远离原系统的另一安全场所。

紧急事故应变

5.7 各机关(构)内部网路如已被入侵或有可疑的侵入应采取下列步骤:  

不要惊慌，因大部份的入侵对系统是没有恶意的。
立即拒绝入侵者任何存取动作，防止灾害继续扩大。当防护网被突破时，应内定拒绝任何存取。
切断入侵者的连接，如无法切断则必须关闭防火墙。
全面检讨安全措施及修正防火墙，以防御类似的入侵与攻击。
以适当的形式记录入侵的各个层面。
向各机关(构)主管安全人员做入侵报告或向电脑紧急反应小组(CERT)报告。
灾害复原
5.8 对于灾害复原所应采取的措施包括:  

关闭受侵害的主机，并立即与网路离线。
让备份主机上线。
通知主机供应商提供必要的回复协助。
将完整的系统备份资料存回主要的主机上，并测试其功能，直至完全回复止，最后再将主要主机重新上线。
测试
5.9 对于紧急事故应变骤与灾害复原处理计画应实际测试并针对缺失予以修正。

　

　第六节 网路安全稽核
安全稽核是系统安全的最后一道防线，它可侦知违反系统安全策略的事件，以达到吓阻不法及入侵侦测的双重目地外并可对未来稽核查询系统加入经验法则加强其入侵侦测的能力。正确完整的稽核记录对于网路安全是一项非常有用的工具，它可以协助重建事件的真象，让管理者检视系统安全的弱点，并据以评估违反安全策略事件所造成的损害。

安全稽核

6.1 安全稽核的资讯应包括日期、时间、使用者、身份辨识确认、事件类别(如变更安全设定、重新启动关机、程序追踪等)、成功或失败、物件名称等。

6.2 各机关(构)对于网路系统管理者或安全主管的动作均须作详细记录。

6.3 各机关(构)对于通过防火墙之来源端主机IP位址、目的端主机IP位址、来源通讯埠编号、目的地通讯埠编号、通讯协定、登入登出时间、存取时间以及所采取的行动应予确实记录。

警示系统

警示功能可以让网路系统管理者在某些特定事件发生时、获得警示讯号、并立即采取有效防范措施以减少安全违例事件的发生。

6.4 各机关(构)应依据安全政策设定警示事件，例如当有人连续尝试侵入时、系统便发出警示讯号等。

6.5 警示系统的功能应包括:  

记录警示事件于警示档
发送电子邮件给网路系统管理者
在系统终端机上显示讯息
发送一SNMP警示讯号到网路管理系统
启动管理控制台的警示器
执行一特定应用程式
追查入侵者
6.6 对于入侵者的追查，除了利用稽核档案所提供的资料外，并可配合系统指令执行反向查询，并连合相关单位(如电信公司)，追踪入侵者。

6.7 入侵者若触犯任何法律并构成犯罪事实，各机关(构)应立即告知检警宪调单位，并由其特设单位来处理入侵者犯罪问题。