強化資通安全管理量能

第一節 緣起

政府為積極推動資通安全政策及加速建構環境以保障資通安全,總統府於民國 10766日公告《資通安全管理法》,此法係屬我國資安領域重要法律改革,協助公務機關認知自身資通安全風險並加以因應,訂定及實施資通安全維護計畫以確保其資通安全,並於子法《資通安全責任等級分級辦法》明確規範公務機關得妥適辦理資通安全維護事務,強化資通安全管理能量。

  《資通安全管理法》第10條明定,公務機關應符合組織所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。其主要目的如下:

  • 一、評估組織資通安全管理現況:確認組織目前之資通安全管理現況,識別組織具有多少未做到《資通安全管理法》所要求的項目。
  • 二、規劃組織資通安全管理實作:針對未符合《資通安全管理法》的部份進行建置、規劃及執行;而已經具有實作的部份應持續執行,並檢討改善精進方向。

  教育部1101230日臺教資(四)字第1100179797號函,發布「國立大專校院資通安全維護作業指引」,要求大專院校依《資通安全管理法》第10條訂定、修正及實施資通安全維護計畫,適用範圍應涵蓋全校各系、院、所教學單位及各行政單位,並應注意下列事項:

  • 一、資通安全長之配置:各校置資通安全長,宜指派主任秘書以上人員兼任,以落實推動及監督校內資通安全相關事務。
  • 二、資通安全推動組織:各校資通安全推動組織宜由資通安全長召集全校各單位主管或副主管組成,每年至少召開會議一次。
  • 三、資通系統及資訊之盤點:各校辦理資通系統及資訊之盤點,盤點範圍應包含全校各單位。各校每年提交之「資通系統資產清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統。
  • 四、內部資通安全稽核:各校辦理內部資通安全稽核,稽核範圍應包含全校各單位。各校得就資通系統(保有個人資料)風險高低、教學單位特性評估訂定推動先後順序,分年分階段規劃辦理,並明訂於各校資通安全維護計畫。

  還有,教育部於11195日召開「111年全國大專校院資安長會議」,針對大專院校資安事件案例及因應作為進行說明,並敦請各校資安長針對校內資安重要議題進行督導。主要資安議題如下:

  • 一、備妥網頁遭竄改應變機制

  萬一發生校內行政單位或系所網頁遭竄改資安事件,應迅速進行應變處理,故平時即須備妥網頁遭竄改應變機制,以利於發現網頁遭竄改後10分鐘內切換為維護公告頁面,現已納入本校(政治大學)每年資安內部稽核業務持續運作演練(BCP)演練情境。

  • 二、落實管理全校物聯網設備

  建立全校物聯網設備清冊,盤點範圍包含學校採購、公務使用之物聯網設備,以落實全校物聯網設備管理,並加強設備連線控管、變更設備預設帳密、修補設備重大安全漏洞。

  • 三、限制大陸廠牌資通訊產品

  依行政院秘書長1091218日院臺護長字第1090201804A號函要求,公務用之資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌,已列管者儘速汰換。針對學校出租場域,於學校委外契約或場地租借使用規定,明訂不得使用危害國家資安之產品(如大陸廠牌軟體、硬體及服務)。

  • 四、強化全校性資安防護

  針對教育部辦理對國立大專校院之資安稽核計畫(包含技術檢測及實地稽核),稽核範圍為全校已不再限於資訊單位,並於接受稽核時,由最高管理階層據實說明全校資安管理制度、資安事件應變機制及相關防護措施辦理情形。

教育部更直接指示,第二期高等教育深耕計畫(112-116年)為協助大學建立持續性與永續性的教研環境,不因資安事件受影響而中斷教學與研究,爰規劃資安強化專章,引導學校提出「資安(數位環境整備)」具體策略、措施與績效指標,透過審查機制督導學校落實,並結合大數據追蹤回饋,形成發展韌性校園的正向循環。

  因此,本校參照資通安全管理法及其子法要求,推動資通安全管理,以資通安全責任等級分級辦法就管理面、技術面及認知與訓練面研提規劃推動之策略及擬定相關績效指標,撰寫此章資安強化(數位環境整備),發展韌性校園」。

  以下章節之安排如下:第二節簡述政大在資訊安全推動之歷程;第三節詳述政大在高等教育深耕計畫(112-116年)裡所規劃推動資訊安全之應辦事項標。

 

第二節 國立政治大學資訊安全推動之路一路走來

  國立政治大學依據上述之相關規定,已訂定本校資通安全維護計畫,其內容如下

  • 一、學校核心業務及非核心業務
  • (一)核心業務及其重要性

  本校核心業務,依「國立政治大學組織規程」第3條確認之,而核心資通系統及其重要性如表1

1:核心資通系統及其重要性

核心資通系統

重要性說明

業務失效影響說明

最大可容忍中斷時間(工作日)

政大入口網站

為本校依組織法執掌,足認為重要者

政治大學首頁為本校對外訊息揭露之重要窗口,及本校眾多服務系統的唯一入口。

一旦遭受破壞將導致業務運作受到影響或中斷,且本校聲譽亦將受到波及。

5小時

TANet及骨幹網路

為本校依組織法執掌,足認為重要者

一旦遭破壞,將導致本校行政業務無法執行。

5小時

學籍系統

為本校依組織法執掌,足認為重要者

因學籍系統存放有本校學生之個人資料,一旦遭破壞,如未經授權的資訊揭露(資料外洩),將導致本校信譽受損。

12小時

電子郵件系統

為本校依組織法執掌,足認為重要者

一旦遭破壞,將影響本校行政業務資訊之傳遞。

9小時

  • (二)非核心業務及說明

  本校之非核心業務及其資通系統,詳見本校每年盤點校內各單位系統所建立之「資通系統資產清冊」。

  •  
  • 二、本校資通安全政策及目標

  為確保本校所屬之資訊資產的機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,並衡酌本校之業務需求,訂定本校「資通安全政策」。政策適用範圍為本校之全體人員、委外服務廠商與訪客等。本校資通安全政策至少每年審查乙次,以反映政府法令、技術及業務等最新發展現況,確保維持營運和提供服務之能力。

  本校資通安全政策目標為:

  • (一)保護本校資通業務之安全,避免未經授權的存取,確保其機密性。
  • (二)保護本校資通業務之安全,避免未經授權的修改,確保其正確性與完整性。
  • (三)建立本校資通業務永續運作計畫,確保業務活動之持續運作。
  • (四)確保本校資通業務之執行須符合相關法令或法規之要求。
  • 三、本校資通安全推動組織

  為確保本校各單位各項資訊作業及個人資料之蒐集、處理、利用、傳送、儲存及流通之安全,並保障本校教職員工生之權益,特依本校組織規程第八條規定,設資訊安全暨個人資料保護推行委員會。本校資通安全推動組織遵循「國立政治大學資訊安全暨個人資料保護推行委員會設置辦法」設置。

  本委員會置委員25人,包括業務主管副校長、教務長、學務長、總務長、研發長、國合長、主任秘書、圖書館館長、人事室主任、主計室主任、資科系主任、資管系主任、電子計算機中心主任、各學院院長及法律專長教師一名組成。以本校資通安全長(業務主管副校長)為召集人,電子計算機中心主任為執行秘書。每學期至少開會一次,必要時得召開臨時會議,開會時得邀請有關單位人員列席。

  • 四、本校專職(責)人力及經費配置
  • (一)專職人力及資源之配置

  本校依資通安全責任等級分級辦法之規定,屬資通安全責任等級C級,最低應設置資通安全專職人員1人。本校現有資安專職人員1名,負責以下業務:

  1. 資通安全防護業務,負責資通安全監控管理機制,資通安全防護設施建置。
  2. 推動資通系統防護需求分級、資通安全管理系統導入及驗證、內部資通安全稽核、機關內部教育訓練、業務持續運作演練等業務之推動。
  3. 資通安全管理法法遵事項業務,負責本校法遵義務執行事宜。

  本校承接教育部台北第二區網中心計畫,計畫經費另配置1名資安人員,負責第二區網中心資安業務,含政大及台北第二區網中心資通安全事件通報。

  本校資安專職(責)人員專業職能之培養乃依據資通安全責任等級分級辦法之規定。例如,本校資安專職(責)人員持有資通安全專業證照及證書各1張以上,並持續維持證照及證書之有效性。

  • (二)經費之配置

  本校在資通安全資源之需求乃配合機關預算規劃期程,向本校電子計算機推展委員會提出,由電子計算機推展委員會視整體資通安全資源進行分配,決議後,經呈校長核可後執行之。

  • 五、本校資通安全責任等級分級與資訊及資通系統之盤點
  • (一)本校資通安全責任等級分級

  教育部110616日臺教資(四)字第1100079966A號函所示,依據資通安全責任等級分級辦法第6條,具維運自行或委外設置、開發之資通系統,經行政院核定為資通安全責任等級「C」級機關。

  • (二)本校資訊及資通系統盤點

  本校資通系統盤點與評估乃依據「資通安全責任等級分級辦法」之規定,每年進行一次全校資通系統盤點,包含落於各校IP網段內、或使用各校網域名稱之資通系統。並分別就機密性、完整性、可用性、法律遵循性等構面,評估自行或委外開發之資通系統防護需求分級。

  • 六、本校資通安全風險評估

  目前本校各單位定期執行資訊資產盤點及風險評估作業,並依據本校「資訊安全暨個人資料保護稽核實施作業要點」每學年度擇定若干單位,由本校稽核小組執行校內資安暨個資稽核作業。

  稽核實施之對象,以重點單位為優先,每二年需重新稽核一次;而其他(教學及行政)單位輪流進行。重點單位:秘書處、教務處、學務處、總務處、研發處、國合處、圖書館、會計室、人事室、電算中心、國關中心、校務研究辦公室、稽核室。

  • 七、本校資通安全防護及控制措施

  目前本校依據資通安全風險評估結果、核心資通系統之防護基準,採行相關之防護及控制措施。本校核心資通系統已通過ISO27001CNS27001驗證,防護及控制措施詳如本校資通安全管理系統文件。

  • 八、本校資通安全事件通報、應變及演練相關機制

  本校資通安全事件發生時,遵循本校「資訊安全事件處理要點」進行通報及應變處理。除校內流程,尚依教育部「臺灣學術網路各級學校資通安全通報應變作業程序」,於教育機構資通安全通報平台進行通報、應變作業。

  目前本校每年度依照教育部指示執行通報平台之通報應變演練作業,並依本校資通安全政策目標每年選定核心資訊系統執行業務持續營運演練。

  • 九、本校資通安全情資之評估及因應

  本校接獲資通安全情資時,即時評估該情資之內容,並視其對本校之影響、本校可接受之風險及本校之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。

  • 十、本校資通系統或服務委外辦理之管理

  對於各機關委外辦理資通服務或資通系統之建置、維運或涉及個人資料蒐集、處理及利用應注意事項,本校訂定「國立政治大學資通服務委外合約書附則」為本校各單位擬定相關合約之參考,並在合約中要求廠商團隊成員簽署合約商及個人保密切結書。

  • 十一、本校資通安全教育訓練

  本校依照資通安全責任等級分級辦法C級應辦事項規定,要求主管、一般人員完成每年3小時資安通識教育訓練課程、專職人員以外的資訊人員完成每兩年3小時以上的資安專業課程、資安專職人員每年12小時以上資安專業課程。

  • 十二、本校公務機關所屬人員辦理業務涉及資通安全事項之考核機制

  目前本校人員業務涉及資通安全事項之考核,乃依據國立政治大學職員獎懲辦法及「公務機關所屬人員資通安全事項獎懲辦法」辦理之。

  • 十三、本校資通安全維護計畫及實施情形之持續精進及績效管理機制
  • (一)資通安全維護計畫之實施

  為落實資通安全維護計畫,使本校之資通安全管理有效運作,本校訂定各階文件、流程、程序或控制措施時,將評估是否與本校之資通安全政策、目標及本安全維護計畫之內容相符,並保存相關之執行成果紀錄。

  • (二)資通安全維護計畫之持續精進及績效管理

  目前本校每學期召開「資訊安全暨個人資料保護推行委員會」,每年至少一次於該委員會確認本校資通安全維護計畫實施情形,確保其持續適切性、合宜性、有效性。

  • 十四、本校資通安全維護計畫實施情形之提出

  本校依據資通安全管理法第12條之規定,向上級或監督機關提出資通安全維護計畫實施情形,使其得瞭解本校之年度資通安全維護計畫實施情形。

  • 十五、本校限制大陸廠牌資通訊產品

  依據行政院秘書長1091218日院臺護長字第1090201804A號函規定,本校在1101231日前已將校內使用中之大陸廠牌資通訊產品進行汰換,往後將持續向校內宣導,除不應該採購大陸廠牌資通訊產品,並應於委外契約或場地租借使用規定,要求對外出租場域亦不得使用大陸廠牌資通訊產品(包含軟體、硬體及服務)。

  本校業已於111718日完成接受教育部稽核,並持續進行稽核報告中待改善事項之矯正。2說明有關本校近2年執行《資通安全責任等級分級辦法》C級應辦事項規定及情形。

2: 本校近2年執行《資通安全責任等級分級辦法》C級應辦事項情形

面向

應辦事項

辦理內容

110

111

執行情形

管理面

資通系統分級及防護基準妥適性

初次受核定或等級變更後之一年內,針對自行或委外開發之資通系統,依附表九完成資通系統分級;其後應每年至少檢視一次資通系統分級妥適性;並應於初次受核定或等級變更後之二年內,完成附表十之控制措施。

V

V

全校每年至少檢視一次資通系統分級妥適性及控制措施符合情形

導入資訊安全管理系統(ISMS

初次受核定或等級變更後之二年內,全部核心資通系統導入 CNS 27001 ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,並持續維持導入。

V

V

本校核心系統導入ISO27001資訊安全管理系統標準並持續維持驗證有效性。

資通安全專責人員

初次受核定或等級變更後之一年內,配置一人;須以專職人員配置之。

V

專職人員1

內部資通安全稽核

每二年辦理一次

V

V

每年辦理

業務持續運作演練

全部核心資通系統每二年辦理一次

V

V

每年擇定核心系統辦理;各核心系統至少每2年辦理1

技術面

網站安全弱點掃描

全部核心資通系統每二年辦理一次

V

V

依各核心系統需求不同,每月至每半年辦理一次

系統滲透測試

全部核心資通系統每二年辦理一次

109
執行

年底前完成

每二年辦理一次

資通安全健診作業

每二年辦理一次

109
執行

年底前完成

每二年辦理一次

資安弱點通報機制

一、 初次受核定或等級變更後之二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

二、 本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

--

規劃中

應於112823日前完成導入

(修法後2年內

資通安全防護

防毒軟體、網路防火牆、電子郵件過濾機制

初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。

V

已設置前述資安防護設備,並持續使用及更新

認知與訓練

資通安全專職人員

每年12小時以上資安專業課程

V

V

每年參與相關專業課程

資通安全專職以外資訊人員

23小時以上資安專業課程

每年3小時以上資安通識教育訓練

V

V

電算中心定期辦理相關專業課程

一般使用者及主管

每年3小時以上資安通識教育訓練

V

V

提供線上課程

資通安全專業證照及職能訓練證書

初次受核定或等級變更後之一年內,至少一名資通安全專職人員,分別持有證照及證書各一張以上,並持續維持證照及證書之有效性。

V

本校專職人員1名,並持有證照及證書各1張,且持續參與稽核維持其有效性。

 

第三節 政大高教深耕計畫規劃推動資訊安全之應辦事項

  本校高教深耕計畫所規劃推動資安強化之應辦事項,除使其符合資通安全法規範要求之最低標準,期望於5年計畫執行期間,增加投入資安防護的設備及服務、人力,強化並落實至全校之資訊安全軟硬體環境及管理措施,以期建立持續性與永續性的教研環境,不因資安事件受影響而中斷教學與研究,形成發展韌性校園的正向循環。本章節將針對本計畫指標中更強化全機關資安管理能量、全校資通系統清查、政大資安人才培育計畫、更完備政大資安環境,執行方式進行更詳盡的說明。

  • 一、高教深耕計畫於更強化全機關資安管理能量

  依據教育部1101230日臺教資(四)字第1100179797號函,發布「國立大專校院資通安全維護作業指引」,要求大專院校依資通安全管理法第10條訂定、修正及實施資通安全維護計畫,且適用範圍應涵蓋全校各系、院、所教學單位及各行政單位;資訊安全管理系統(ISMS)適用範圍應至少包含全校範圍內之核心資通系統、保有個資或防護需求中等級以上之資通系統,及其相關網路與資訊機房活動。

  的確,隨著資訊化的發展,現今不論是行政單位、各系所教學研究單位多有自行委外或開發所需之網站或資通訊系統、採購相關資通設備,若無相對應之資安意識進行防範,恐成為駭客攻擊之目標,甚至作為跳板成為攻擊校內其他系統的管道。本校高教深耕計畫為貫徹將資通安全維護計畫推行實行全校,規劃增加投入之人力、資源,以期共同提升校內各單位之資安能量,以達全校資安之全方面防護。

  • (一)招募專業資安顧問及人力

  招募具系統管理、資安及法律相關知識,且具備ISO 27001:2013主導稽核員證書之專業證書,並具輔導機關通過財團法人全國認證基金會認證之實務經驗之顧問,對全校資安之推動給予輔導及建議。另規劃聘請資安專業顧問團隊並增聘專任助理1名,協助全校資安制度的導入及稽核,以下將詳述原因及工作內容。

  • (二)執行全機關資安輔導

  無論是為遵循資通安全法的規範、委外或開發資通系統的防護基準控制措施、本校資訊安全管理制度等等,針對系統的管理面、技術面的要求可以說是相當多面向且繁瑣。還有,自98年起本校核心資通系統「網路骨幹服務」與「政大首頁」持續導入教育體系資訊安全管理制度且每年通過認證。110年新增核心資通系統「學籍系統」及「電子郵件系統」,導入本校資訊安全管理系統,且核心系統通過財團法人全國認證基金會(以下簡稱TAF)認證之機構鑑定,取得ISO27001證書,並持續每年驗證維持其證書有效性。111年本校資訊安全暨個人資料保護推行委員會第18次會議決議,新增核心系統「iNCCU愛政大」。

  由此可見,目前校內單就資訊安全管理制度之導入且通過驗證的範圍,仍僅為電算中心業管之核心系統,更遑論是全校範圍內之核心資通系統、保有個資或防護需求中等級以上之資通系統的導入,務必須投入相應之人力及時間成本。

  • (三)提升全機關資安稽核專業性

  依據教育部1101230日臺教資(四)字第1100179797號函,發布「國立大專校院資通安全維護作業指引」,要求各大專院校應注意,辦理內部資通安全稽核,稽核範圍應包含全校各單位。各校得就資通系統(保有個人資料)風險高低、教學單位特性評估訂定推動先後順序,分年分階段規劃辦理,並明訂於各校資通安全維護計畫。

  維護本校資訊安全及個人資料保護之確實運作,本校自民國94年即訂定「資訊安全稽核實施作業要點」,並因應後續個人資料保護加入稽核範圍,於民國110年修正要點名稱為「資訊安全暨個人資料保護稽核實施作業要點」,每年擇定若干單位做為受稽單位,另以任務編組方式成立稽核小組,執行資安暨個資稽核作業。

  政大校內稽核自94年以來每年進行,已達17年之久,而校內人員異動以及新單位的成立,導致稽核人力及專業度不足,一直是執行稽核的困難,且因應資安法的推行及主管機關教育部的稽核,本校的稽核項目亦隨之增加,期透過外部專業顧問的加入及輔導,提供實務經驗分享或培訓,提升政大稽核小組之專業能力。

  • 二、高教深耕計畫於全校資通系統清查

  本校遵循「資通安全責任等級C級之公務機關應辦事項」規定,每年進行一次全校資通系統盤點,包含落於本校IP網段內或使用本校網域名稱之資通系統,以及本校採購、公務使用之物聯網設備,並每年依時程回報行政院資通安全處本校資通安全維護計畫實施情形。

  而全校資通系統盤點最困難的一點是校內無人管理之網站及設備,即使透過自動化工具針對全校網段掃描,亦需投入人力針對掃描結果分析並找出聯絡窗口,以確認網站所屬單位,故規劃聘用兼任助理2名以落實全校性系統及設備清查,並依盤點結果適度降低資通系統數量:

  • (一)規劃整併校內網站,對於校內無資訊人力或廠商維護之網站,建議單位委外維護或改用本校統一管理之模組化網站。
  • (二)將調查本校因應臨時需求建置網站(如活動專用網站),若專案期限已至,應進行下架或限制僅單位內存取。
  • 三、高教深耕計畫於政大資安人才培育計畫

  根據知名資訊媒體對台灣企業的資安大調查統計:企業資安風險有超過5成來自於員工疏忽及缺乏資安意識。資訊安全需要透過不斷分享、說明且融入日常活動中,提升員工資安意識,始得達成資訊安全適當防護!當然政府機關也是如此,只有不斷提升全校職員工資安意識,才能有效的預防資安事件發生。

  因此,在資通安全責任等級分級辦法公務機關應辦事項規定中,亦針對機關內不同類型人員規定了應接受的資安教育訓練時數。

  • (一)資通安全專職人員:每年12小時以上資安專業課程。
  • (二)資通安全專職以外資訊人員:每23小時以上資安專業課程、每年3小時以上資安通識教育訓練。
  • (三)一般使用者及主管:每年3小時以上資安通識教育訓練。

  為符合前項規定並加強本校人員資安意識,除電算中心定期辦理之說明會及教育訓練,規劃聘用專任助理1名及兼任助理2名,期望透過學生的創造力辦理適用全校之資安專業及通識課程(含業務持續運作演練教育訓練),並製作成數位教材供全校教職員工生學習使用,辦理以下課程:

  1. 資安通識教育訓練

規劃每年辦理至少4場資安通識課程,以實體或數位課程形式提供校內資訊人員、教職員,依自身業務需求獲取更多資安專業知識。上課對象包括但不限於校內行政單位、系所行政人員、教學助理、學生等。

  1. 提升資通安全專職人員及資訊人員資安職能

除了前述基礎的通識課程,亦針對執行政大內部稽核之稽核員、資通安全專職以外資訊人員,規劃每年辦理至少4場資通安全專業課程,提供更專業的資訊安全知識。

  1. ISO 270001資訊安全管理系統主導稽核員訓練課程

為更進一步提升本校校內資安稽核員專業能力並增加稽核專業人才,規劃購買「ISO 27001:2022 LA國際認證課程」培訓校內稽核人才,本課程最後一天需參加考試,考試通過得以取得ISO 27001:2022主導稽核員證書,代表具備國際認證的資安稽核員身分,且取得證書後須每年參加至少1次稽核活動以維持證書有效性,故參加課程之人員需參與校內每年度之資安稽核作業。亦針對已持有舊版(如ISO 27001:2013)證書之資安稽核員辦理相關轉版課程,以更新證書版本。

  • 四、高教深耕計畫於更完備政大資安環境

  完善的資安軟硬體環境,在網際網路普及的現在,已是維持一個機關基本運作及資安防禦能力的基礎。硬體包含網路設備、資安設備、機房的維運等,以持續維持網路通訊服務及各系統的可用性;軟體則包含各式資安防護軟體,以預防各種資安攻擊及威脅。

  因應政府全力推行發展國安及產業兼具的資安政策,機關為符合現行政策及法律規定,所需投入資安防護的設備及服務、人力亦須有所增加,為符合前述需求,本校於高教深耕計畫第二期執行期間,規劃強化本校之資訊安全軟硬體環境如下:

  • (一)更新機房環境設備

機房之空調設備老舊,目前冰水主機散熱鰭片運作成效不彰,容易造成空調故障失效,恐生機房內伺服器設備過熱故障之虞。雖目前採用灑水降溫方式取代鰭片散熱,作為應變措施。因此,本校規劃將更換新的冰水主機方為長久之策,以期機房維運維持全年98%以上之可用性。

  • (二)建置資通安全弱點通報系統

  資通安全弱點通報系統(Vulnerability Analysis and Notice System,以下簡稱VANS)結合資訊資產管理與弱點管理,掌握整體風險情勢,並可協助機關進行資產盤點與風險評估。

  資通安全責任等級分級辦法C級公務機關應辦事項規定:「本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。」本條款為110823日資安法修法新增規範,意即本校應於112823日完成VANS系統導入作業,並持續提交資訊資產盤點資料,以維護本校電腦設備中軟體無高風險弱點,持續維持版本更新狀態。

  因本校全機構之資訊資產數量眾多,若以人力盤點方式進行,恐造成各單位業務負擔。因此,本校規劃購買坊間資通安全弱點通報系統,以快速依主管機關指定之方式提交資訊資產盤點資料。

  • (三)建置系統日誌管理主機

  本校規劃建置系統日誌管理主機,集中管理自多台系統主機擷取的日誌資料,提供記錄監控、收集、標準化、聚合等服務,並得以儲存長時間的日誌資料。內建的統計資料、儀表板和報告可減輕需求和稽核的負擔,更快速檢視高風險事件,若發現可疑活動亦可即時警示管理者。幫助本校系統留存6個月以上之日誌紀錄並自動審查紀錄事件,並符合資安法規定附表十資通系統防護基準。

  • (四)擴充網路防火牆系統架構

  本校規劃持續更新校園網路邊際防火牆並建置其自動備援架構,以維持其可用性(High AvailabilityHA),以達成最少的服務中斷時間。規劃三年內完成更新。

  • (五)維持系統安全弱點掃描及漏洞修補

  依資通安全責任等級分級辦法C級公務機關應辦事項規定,核心系統需每2年辦理一次弱點掃描。為提供校內更全面的資安防護,政大自96年即自行購置弱點掃描軟體,106年更是全面更新為新版具應用程式面掃描功能之弱掃系統,供全校有開發網站及系統之單位申請使用並定期掃描,以修補風險漏洞、維護本校各式網站及系統主機之資安防護。

  • (六)擴大資通安全健診檢測範圍

  資安健診的範圍則更加廣泛,係透過整合各項資通安全項目(網路架構、網路惡意活動、使用者端電腦、伺服器主機惡意活動、目錄伺服器設定及防火牆連線設定等)檢視服務作業,提供受檢單位資安改善建議,藉以落實技術面與管理面相關控制措施,以提升網路與資訊系統安全防護能力。

  依據「資通安全責任等級C級之公務機關應辦事項」規定,應每2年辦理一次資通安全健診,且範圍需涵蓋全機關。惟預算有限,其中使用者電腦惡意檢測項目,政大過往執行範圍僅有本校電算中心公務電腦。而在111年度教育部對本校資安稽核實地稽核改善報告中提到,本校執行資安健診檢測台數就全校台數之佔比過低,建議辦理資通安全健診規劃時,考量實際狀況以達管控之效。

  因此,未來資安健診檢測電腦範圍,將逐年納入校內行政單位、院系所之公務電腦。

  • (七)系統滲透測試

  不同於弱點掃描,滲透測試是以駭客思維嘗試入侵企業網站、資訊系統、設備等軟硬體,找出各種潛在的漏洞,目的在於驗證與評估資訊系統與硬體安全性,並徹底修補可能導致入侵的漏洞。

  依資通安全責任等級分級辦法C級公務機關應辦事項規定,政大每2年應委託專業檢測公司,為本校核心系統進行滲透測試,以確保政大核心系統無潛在漏洞。

  • (八)校務系統異地備援擴充

  本校異地備援系統於110年初步建置,置於達賢圖書館。第一階段置於異地之系統僅有校務系統資料庫、部份校務系統虛擬主機、版控虛擬主機,空間用量現已達七成,且仍陸續增加中。目前尚未建置異地備援機制的有:校務系統虛擬主機備份空間、校園授權軟體系統、公用檔案FTP等其它重要系統與資料,急需規劃與建置。細部說明如下:

  1. 擴充備援空間:受限現行異地之空間與容量,無法將完整的校務系統及其它重要主機與資料同步至異地,亦無法增加其它新的mirror空間,故擬擴充異地存放空間,以擴充備援置異地之項目及備份代數。
  2. 資料交換的即時性:因應擴充備援置異地之項目及備份代數,將有更多的資料量需即時傳輸,擬新增10G網路交換器作為異地端資料交換使用,此項能避免於大量資料傳輸時影響到圖書館原有頻寬,亦能縮短RTORPO數值,提升災難復原與持續營運管理之效能。

  另外,因本校所屬機房,包含上述達賢圖書館備援機房均處於校區附近,為預防天然災害、重大意外等問題發生時,能夠儘快於短時間內恢復資訊系統服務,謹參考目前政府針對公務機關列有異地備援建議距離30公里的規範,並納入交通地理位置、現場環境及合作模式等因素,未來本校將考量與台灣聯合大學系統聯盟之友校為標的,進一步評估是否有互相於雙方機房購置設備建立交換備援機制之作法,以提高雙方重要校務資訊系統服務品質。

  • (九)校務系統虛擬環境備份軟體(Veeam)、政大雲負載平衡軟體VPX續約

  現行校務系統虛擬環境使用Veeam軟體備份至本校異地,該軟體為契約買斷制,將於114年期滿。因維護廠商已於111年起改為僅提供訂閱制服務,故本校現行契約期滿後,僅能重新採購訂閱制服務,將大幅提升成本。如能在現行契約期間內請購以延長買斷制服務續約,不僅可節省經費,亦利後續備份維運。

  另,負載平衡軟體VPX協助本校政大雲虛擬桌面資源分派,原廠商服務契約亦將於111年底到期,為使政大雲能保有完整原廠服務,期能順利續約保固。

  • (十)校務系統暨政大雲虛擬化叢集主機汰換

  政大雲虛擬化叢集主機群早期於105年採購建置,為Windows 7系統,其GPU主機現已超過保固年限,且原廠也不再提供保固服務,故目前將部份政大雲虛擬桌面暫置於校務系統主機群資源內,惟因政大雲虛擬桌面陸續升級為Windows 10系統,其資源與校務系統主機群內的所需服務與需求與日俱增,現已造成校務系統主機群集資源不敷使用。經審慎評估,擬規劃將校務系統主機群服務遷移至未來新購的主機群,釋出原有的GPU資源作為完整政大雲的GPU桌面支援,並將105年採購之虛擬化叢集架構主機退為二線備用。

  • (十一)人力擴編

  本校電算中心應用系統組現行編制均以應用系統程式開發人員為主,除校務系統開發與維運外,也需辦理主機管理、資料庫維護與更新、資料介接與交換、政大雲管理、校園門禁管理等工作。現因應資安法及相關規定,工作範疇又新增核心系統ISMS驗證與管理、異地備援建置與管理、弱點掃描管理與修補、端點入侵偵測防護與管理、應用系統程式安全化檢組增修、災難復原與持續營運管理等,範圍廣泛且深具資安專業性及複雜性。考量本組現行人力及工作量已達飽荷,難以應付因應資安法等規定延伸之工作,故擬擴編「資安執行與落實」人員1名、「源碼、弱掃、端點檢測防護補強與管理」人員1名、「系統安全化模組開發」人員1名、「校務系統與政大雲主機硬體維運」人員1名,共計4名。