業務單位: | 資訊中心 網路組 |
承 辦 人: | 張瑋辰 |
分 機: | 2655 |
電子郵件: | This email address is being protected from spambots. You need JavaScript enabled to view it. |
服務名稱: | 系統上線申請 |
1. 服務目的
為提升本校資通系統安全性,並配合資通安全管理法、資通系統資訊安全管理規範之規定,系統與網站上線前須提出申請,經本組審核通過後始可上線,以強化校園網站及主機系統資訊安全。
2. 服務對象
依據資通系統資訊安全管理規範訂定之適用範圍,如:使用本校之網址(Domain name)、IP 及內容出現本校校名之新建置資通訊系統(服務)與網站。
3. 服務流程
新建置資通訊系統(服務)與網站於上線前,需檢附安全性檢測報告(例如OWASP ZAP),並填寫「系統與網站上線申請表」,本組收件後將安排弱點掃描檢測,若檢出中級以上風險將通知單位處理。受測單位修補後通知本組再次複測,經本組確認已無中級以上風險,審核通過後始可上線運行。
4. 修補作業
中級以上風險,除有技術面合理說明、其他因應策略或暫不處理理由,均應進行修補。
受測單位負責人應確實填寫弱點處理報告單,並由受檢單位主管進行確認後,回覆至檢測業務負責人。
5.列管排程
掃描過的主機將會自動列管,不定期進行掃描檢測,若有發現中級以上風險,將通知單位進行修補與複測, 以維持資訊安全。
6.掃描工具與方式
使用業界公信力之網站主機系統安全掃描軟體進行評鑑網站之安全性測試,如:Teanble Nessus Pro、OWASP ZAP,依據服務需求使用主機或網站弱點掃描作業。
* 主機弱點檢測:為主要探測主機狀態、網路埠狀態、作業系統類型、系統服務及應用程式類型等。
* 網站弱點掃描:依據OWASP TOP 10標準等項目進行檢測。