主旨:關於114年度教育部資安攻防演練各單位應配合事項,敬請查照並配合辦理。
說明:
一、依據教育部「114 年度教育體系資安攻防演練計畫」及相關作業規定,教育部將於 114 年 7 月至 9 月期間,對國立及私立大專校院執行資安攻防演練作業。演練對象涵蓋網站、主機及具對外連線服務之系統,旨在強化各校資安防護、通報與應變能力。
二、演練時程與對象:
(一)演練期間:114 年 7 月至 9 月之工作日(配合本校暑假作息)。
(二)參與對象:全校所有對外服務型網站(如系所、實驗室網站、教師個人及活動網站等)、主機、NAS 等資訊設備,凡以本校校名、網域名稱、IP 位址可識別之各類網站與系統,且可由外部 Internet 連線之服務皆屬範圍。
三、為提升本校資安防護能力及應變效能,請各單位務必配合下列事項辦理,以確保演練期間資訊安全,避免因疏忽導致弱點遭揭露,影響本校評分及資安整體表現:
(一)盤點並檢視服務型網站與系統:
1、請即刻檢查所屬對外服務型網站(如系所網站、實驗室網站等)及網頁應用程式,特別注意修補網頁程式碼中可能存在之 SQL Injection、XSS 等常見漏洞。並特別針對 OWASP 前十大網站應用程式及API弱點進行自查與修補。
2、亦請移除測試用帳號與系統、預設頁面及開發遺留功能,並強化密碼複雜度。請確保網站首頁可正常開啟,建議主動關閉長期未維護或無實際需求之網站。
3、定期更新 NAS 及連網設備韌體與安全性修補,關閉不必要服務(如 Telnet/SSH)。
(二)審查連外權限與必要性:
請各單位盤點並檢視所屬之網路儲存設備(NAS)與其他連網裝置,評估是否有開放校外存取之必要。若無必要,應立即關閉對外存取權限,並設定存取白名單,以避免遭攻擊者掃描存取。
(三)每日備份與災後復原準備:
演練期間建議各單位每日進行網站與系統資料備份,並完成復原流程演練,確保於演練過程中若發生非預期異常,能及時回復服務。
(四)如遭攻擊成功,請依規定時限完成通報與應變:
1、若演練期間接獲攻擊成功通報,須自知悉時起 1 小時內於平台登錄資安事件,並依事件等級:
(1) 1、2 級事件於 72 小時內。
(2) 3、4 級事件於 36 小時內。
完成應變處置並回報。若複測未通過,將於兩週後再次實施複測,並視為新事件計算。
2、平台登錄作業將由圖資處系統發展組協助辦理,惟仍請各單位配合完成應變處置,並回報相關資訊予圖資處。
四、本次演練列入教育部評量計分項目,相關結果將做為後續獎勵及稽核依據。請各單位高度重視,落實防護及通報作業,以確保校內資安整體防護能量與演練表現。
五、如有相關疑問或需協助,請洽圖資處承辦人員:
系統發展組李先生,校內分機:30234。
資安網路組張先生,校內分機:30232。
六、敬請各單位確實依上述事項辦理,於演練期間保持警覺,避免因疏忽造成資安事件,影響本校評分及整體資安表現。