高教深耕114年子計畫成果
資安專章
{{ $t('FEZ002') }}深耕辦公室|
高等教育深耕計畫第二期專章-資安強化
第二階段(114至116年)
114年執行成果
1.全校導入資訊安全管理系統ISMS
國立臺北藝術大學(以下簡稱本校)現行組織架構涵蓋教學(七大學院)、行政以及研究中心等單位。114年11月10日統計專職人員合計411人,學生共3,681人。本校資通安全管理組織由林劭仁副校長擔任資安長,並由一、二級主管組成資訊安全管理委員會,至少每一年召開一次資訊安全會議。另由「計算機指導委員會」組成資訊安全推行小組,負責執行ISO27001資訊安全管理審查事項。請參閱圖1。
圖1 TNUA資通安全管理組織
本校於2023年10月18日經行政院核定為C級資安單位。<資通安全責任等級分級辦法>附表5列舉了在管理、技術、認知與訓練三方面必須遵守的應辦事項。本校114年已執行之重點項目請參閱表1。
為提升校內資安水準,電算中心自2010年起導入ISO27001資訊安全管理制度國際標準。本校驗證範圍為:電腦機房、iTNUA 資訊入口網、招生試務系統、學籍管理系統、招生報名系統。核心系統採用中級防護控制措施妥善管理;114年擴大將總務系統、藝付款系統、人學系統、公文管理系統、出納請購與付款防護措施由普級升到中級,其餘則以普級防護措施加以管控。因應ISO27001:2022改版,本校已更新程序文件,接下來擬分年導入全校內稽。
表1 本校114年已執行C級公務機關應辦事項概覽
2.強化本校人員資通安全認知與訓練
近年來,本校積極推動教職員資安教育訓練提升資安意識,包含:
(1)建立資安窗口Line群組,以便即時通報。
(2)新進人員皆須簽署<新進人員資安宣導單>,了解本校資安政策。
(3)社交工程教育訓練,114年一般使用者及主管教育訓練達成率87.1%。
本校設有資安窗口Line群組,除佈達資安訊息外,各單位發生疑似資安事件時可於群組(或分機)通報,再由電算中心同仁判斷是否為資安事件,並進行後續處置。
114年社交工程演練期間為4月至12月。為提升同仁資訊安全意識,今年已舉辦兩場社交工程教育訓練(5/30、7/30),採實體及線上並行。社交工程演練結束後,即向教育部取得社交工程點選/開啟人員名單,並逐一通知被誘騙者。
此外,電算中心資訊專業同仁每年均參加系統開發類進階資安職能訓練,了解OWASP Top10趨勢,強化系統防護。
3.確保資通系統管理量能
近年來網路攻擊事件層出不窮,加上本校電力系統與資通設備老舊故障等因素,危及校園網路與各種校務資訊系統的機密性、完整性和可用性。114學年度第1學期本校資安事件說明如表2。
表2 114學年度第1學期資安事件
本校114年資安攻防演練,目前為前置準備期間,演練日期為7/1~9/26之工作日,演練人員將模擬駭客攻擊本校各個對外系統、網站、服務,檢測本校面對資安事件能否採取妥善的應對措施。
透過資安專章計畫經費挹注,重點改善項目如下:
(1)防火牆事件記錄儲存設備採購。此設備可協助人員確認防火牆的連線紀錄、網路攻擊的軌跡追蹤、攻擊模式的統計與分析。原設備為106年12月購入,於114年3月22日EOS(終止服務),到期後原廠不再提供保固更新服務。新年度已購入新設備以保障校園網路資訊安全。採購案已於114年6月18日開標完成,10月17日完成驗收。
(2)設置集中化雲端管理Wi-Fi基地台(Access Point, AP),可避免學生私自架設AP造成資安漏洞。研究生宿舍四樓無線網路建置已於114年2月竣工完成,該層樓共計設置12顆AP,訊號可涵蓋所有房間。擬於年底前完成研究生宿舍二樓無線網路擴充。
(3)系統開發生命週期之測試階段,執行弱點掃描安全檢測,通過檢測才能正式上線。
(4)系統變更時,均填寫「系統變更維護工作紀錄表」,說明功能測試與安全測試項目內容。
(5)全校各單位網站虛擬化,由電算中心集中管理。
(6)撰寫自動化網路管理程式,包括:
4.落實管理危害國家資通安全產品
本校已於每年全校資安教育訓練時宣導:「資通訊相關採購與維護案,須將資安要求納入委外合約條款中。委外合約之資安規範,範圍涵蓋開發流程、維護流程、資安教育訓練等各方面要求。」且總務處事務組已使用由公共工程委員會提供之採購契約,相關資安規範均已納入。重點包含:
(1)委外廠商遠端維護採「原則禁止、例外允許」的方式辦理。遠端連入校園網路需填寫防火牆開port申請單,敘明來源、目的IP。除申請的維護服務項目外,其餘皆禁止。
(2)遠端存取以短天數為原則。因應資安稽核委員要求,114年起廠商連入校內主機,開放時間由一年縮減為最長一個月。
(3)防火牆設定開通年限,藉以管控委外廠商系統維護人員,每年需重新簽訂保密條款。
(4)廠商出入機房或遠端維護,詳實登載:攜入設備之廠牌、媒體保護管控、人員識別與鑑別紀錄,並定期檢視分析相關紀錄。
(5)發生資安事件時,查核委外廠商是否遵守合約之資安規範。
(6)執行全校IoT盤點並造冊管理,於數發部管考系統填報、汰除。現有未報廢之大陸廠牌資通產品均限制僅能連校內網路,無法出校外。
(7)新簽訂之委外管理標租合約書,一律納入禁用大陸廠牌資通產品之規定。
5.本校資安額外加強作為
資安專章計畫第二階段(114至116年)推動工作持續由電算中心統籌。
圖2 本校多項資安防護措施
本校近年核定給電算中心的資安預算已有增長趨勢,展現了積極作為。
下列防護措施已優於C級公務機關基本要求:
(1)本校核心系統持續通過ISO27001公正第三方驗證。驗證範圍涵蓋電算中心電腦機房、iTNUA資訊入口網、招生試務系統、學籍系統、招生報名系統。
(2)持續維護應用程式防火牆(WAF)。
(3)持續建置、維護入侵偵測及防禦機制(流量監看、log儲存空間管控、攻擊預警等)。
資安強化並不存在零風險的管理制度,惟有善用有限資源有效降低風險,不斷優化資安防護措施與持續教育訓練,我們才能夠因應變化的威脅情勢,達成保護數據資產及增強同仁信任的最終目標。
{{ $t('FEZ003') }}2025-12-22
{{ $t('FEZ004') }}2026-03-05|
{{ $t('FEZ005') }}125|