主旨:關於115年度教育部教育體系資安攻防演練各單位應配合事項,請查照並配合辦理。
說明:
一、依據教育部「教育部115年度國私立大專院校 資安攻防演練計畫」及相關作業規定辦理。教育部為落實資通安全管理法及資通安全事件通報及應變辦法,每年對教育體系國立大專院校及私立大專院校實施資安攻防演練,並由教育體系資安檢測技術服務中心(TACCST)協助辦理,以了解受測單位遭受資安攻擊時之內外部防護與通報應變情形,強化資安防護、緊急應變、系統復原及協調管控能力。
二、115年度演練作業期間為115年7月至9月之工作日;範圍標的為使用本校校名、網域名稱或IP位址,且可由外部 Internet 連線之資訊服務,本年度實施範圍主要為網站及主機。依說明會Q&A,雲端服務網站及測試網站若符合前開條件,亦屬演練範圍;物聯網及網通設備(如 NAS、監視器、印表機、門禁等)不納入本次攻防演練範圍。
三、為提升本校資安防護能力及應變效能,請各單位務必配合下列事項辦理,以確保演練期間資訊安全,避免因疏忽導致弱點遭揭露,影響本校整體資安防護表現:
(一)盤點對外服務網站及主機
請檢視所屬系所、實驗室、教師個人、活動及專案網站,確認網站首頁、URL、服務埠、IP位址與業務單位等資訊正確。若同一IP有多個網站,請依網頁位址分別管理;若多筆IP對應同一服務,請完整列示。若清冊填報後始新上線網站,請即時通知圖資處,以利彙整補報。
(二)檢查網站與應用程式弱點
請即刻檢查所屬對外服務型網站及網頁應用程式,特別注意修補程式碼中可能存在之 SQL Injection、XSS 等常見漏洞,並針對 OWASP 前十大網站應用程式及 API 弱點自查與修補。
(三)關閉測試與內部使用資源
請移除測試網站、測試帳號、預設頁面、開發遺留功能及無實際需求之公開服務;內部使用網站不得暴露於網際網路。確需保留之外部服務,請強化身分驗證、密碼複雜度、權限控管及存取限制。
(四)檢視防火牆與日常防護設定
請重新檢視防火牆、入侵防禦系統、防毒軟體及網站主機安全設定是否合宜,並於演練期間維持正常連線與日常防護作業,勿刻意阻撓資安攻防演練。
(五)備份重要資料並確認復原能力
演練過程不會刻意破壞網站,亦不採用 DoS、DDoS 及社交攻擊等手法;惟為避免非預期狀況造成服務異常、資料毀損或設定變更,請各單位於演練期間每日備份重要資料,並確認可依需要完成復原。
(六)配合弱點修補、通報及應變作業
若演練期間接獲攻擊成功或弱點通知,請各單位即時配合圖資處查明影響範圍、修補弱點、回報處理情形。平台登錄的作業會由圖資處系統發展組進行處理,請各單位配合完成應變處置並回報圖資處。依演練規定,通報登錄應於知悉後1小時內完成;1、2級事件應於72小時內完成應變處置,3、4級事件應於36小時內完成應變處置。本演練平台與 TACERT 教育機構資安通報平台為獨立平台,演練發現之弱點依攻防演練平台通報及應變回報作業辦理。
(七)配合今年度抽測與複測作業
本年度新增抽測作業,將針對過去發現之弱點驗證確認,並以較高衝擊性弱點為優先抽測項目。若抽測仍可複現弱點,將依規定實施演練通知並納入評量計分。重大、高及中衝擊性弱點修補後,也將進行複測;若複測未通過,將列入防護能力評量。
四、115年度防護成熟度評量分為系統盤點能力、通報應變作業、防護能力及弱點複測等4項,其中系統盤點能力占20%、通報應變作業占20%、防護能力占50%、弱點複測占10%。請各單位務必確實盤點、及早修補、即時回報,以維護本校整體資安表現。
五、演練後將依演練總報告及評量結果撰寫防護改善報告。依本年度作業期程,115年12月10日開始確認演練總報告並上傳改善報告,116年1月12日為改善報告提繳截止日。屆時如需各單位提供補充說明或改善佐證,請配合辦理。
六、如有相關疑問或需協助,請洽圖資處承辦人員:
系統發展組李先生,校內分機:30234
資安網路組張先生,校內分機:30232
敬請各單位確實依上述事項辦理,於演練期間保持警覺,避免因疏忽造成資安事件或影響本校整體資安防護評量。
相關附件請參考連結:115年度教育部教育體系資安攻防演練各單位應配合事項