【正文】 否 38 國(guó)、中小學(xué)校 縣市教育網(wǎng)路中心 主管機(jī)關(guān)：教育部 委託、授權(quán) 安排年度之訪視時(shí)程表 書面通知受訪視學(xué)校 繳交系統(tǒng)安全自我檢測(cè)表 訪視結(jié)果報(bào)告由雙方代表認(rèn)可簽字並保存 召開(kāi)結(jié)束會(huì)議，說(shuō)明訪視結(jié)果與建議事項(xiàng) 以自我檢測(cè)表填寫項(xiàng)目為依據(jù)，到校進(jìn)行訪視作業(yè) 推動(dòng)小組尌訪視結(jié)果報(bào)告進(jìn)行審核（教育部授權(quán)） 資安標(biāo)章 是 否 進(jìn)行資安自我檢測(cè) 訪視員檢視自我檢測(cè)表 資通安全推動(dòng)小組 國(guó)中小學(xué)資安建置訪視程序（草案） 39 以網(wǎng)路中心為主的安全集中管理模式 國(guó)中小學(xué) 網(wǎng)路中心 Security Gateway 40 適合網(wǎng)路中心、國(guó)中小環(huán)境 的資安控制項(xiàng)目 CNS 17800 資訊安全政策 安全組織 資產(chǎn)分類與控制 人員安全 實(shí)體與環(huán)境安全 通訊與作業(yè)管理 存取控制 系統(tǒng)開(kāi)發(fā)與維護(hù) 營(yíng)運(yùn)維持管理 遵守法規(guī)要求 篩選與 重新分類 國(guó)中小標(biāo)準(zhǔn) 1. 網(wǎng)路安全 2. 系統(tǒng)安全 網(wǎng)路中心資安管理系統(tǒng)實(shí)施規(guī)範(fàn) 國(guó)中小學(xué)資安管理系統(tǒng)實(shí)施原則 41 網(wǎng)路中心資安管理系統(tǒng)實(shí)施規(guī)範(fàn) ? 文件目的 ? 本文件描述全國(guó)縣（市）教育網(wǎng)路中心在提供國(guó)中、小學(xué)網(wǎng)際網(wǎng)路服務(wù)時(shí)，欲達(dá)到集中管理國(guó)中、小學(xué)之網(wǎng)路安全目標(biāo)，所應(yīng)遵守的資通安全管理系統(tǒng)實(shí)施規(guī)範(fàn)。 ? 章節(jié)（包含建議實(shí)施之控管項(xiàng)目） ? 網(wǎng)路安全 ? 系統(tǒng)安全（應(yīng)用系統(tǒng)、存取控管、系統(tǒng)開(kāi)發(fā)與維護(hù)） ? 實(shí)體安全（資訊資產(chǎn)管理、環(huán)境安全、備份 ..） ? 人員安全（人員安全職責(zé)與分配、資安事件的反應(yīng)處理 ） 42 國(guó)中小學(xué)資安管理系統(tǒng)之實(shí)施 ? 基本資訊安全管理須知 ? 網(wǎng)路安全 ? 系統(tǒng)安全 ? 帳號(hào)密碼管理原則 ? 檔案資料備份原則 ? … ? 實(shí)體安全管理 ? 人員安全管理 ? 資通安全相關(guān)法規(guī) 日常操作原則與程序 ? 電腦病毒 ? 特徵辨識(shí) ? 處理步驟 ? 駭客攻擊 ? 特徵辨識(shí) ? 處理步驟 ? 通報(bào) ? 通報(bào)流程 資安事件處理與通報(bào) 43 國(guó)中小學(xué)資安自我檢測(cè)表 ? 以「 B4國(guó)中、小學(xué)資通安全管理系統(tǒng)實(shí)施原則」文件為依據(jù)所擬定，作為國(guó)中小學(xué)尌其資通安全管理系統(tǒng)之實(shí)施現(xiàn)況，進(jìn)行自我評(píng)量之用途。 □ 是 □ 否 學(xué)校自行管理的資訊應(yīng)用系統(tǒng)包括？ □ 會(huì)計(jì)系統(tǒng) □人事系統(tǒng) □ 學(xué)籍系統(tǒng) □網(wǎng)站服務(wù) □ 電子郵件 □教學(xué)系統(tǒng) □ 視訊系統(tǒng) 所勾選之系統(tǒng)所儲(chǔ)存的資訊當(dāng)有必要和縣 (市 )網(wǎng)路中心進(jìn)行網(wǎng)路傳輸時(shí)，傳輸連線是否為透過(guò)專屬線路完成？如 VPN或GSN等。 49 網(wǎng)路安全 ? 網(wǎng)路控制措施 ? 學(xué)校與外界連線，應(yīng)僅限於經(jīng)由縣網(wǎng)中心之管控，以符合一致性與單一性之安全要求。 ? 應(yīng)禁止以電話線連結(jié)主機(jī)電腦或網(wǎng)路設(shè)備。 ? 學(xué)校的行政系統(tǒng)主機(jī)（例如財(cái)務(wù)、人事、公文系統(tǒng)等）電腦，建議由各個(gè)縣（市）教育網(wǎng)路中心或教育局等單位統(tǒng)籌管理。 ? 新系統(tǒng)啟用前，應(yīng)經(jīng)過(guò)掃毒與更新系統(tǒng)密碼程序，以防範(fàn)可能隱藏的病毒或後門程式。 ? 操作員日誌 ? 學(xué)校 (或委託 )系統(tǒng)管理人員需針對(duì)敏感度高、或包含特殊資訊的電腦系統(tǒng)進(jìn)行檢查、維護(hù)、更新等動(dòng)作時(shí)，應(yīng)針對(duì)這些活動(dòng)填寫日誌予以紀(jì)錄，作為未來(lái)需要時(shí)之檢查。 [參考日誌範(fàn)本，文件編號(hào)A2] ? 紀(jì)錄日誌項(xiàng)目人員姓名與簽名欄 53 系統(tǒng)安全 (4/6) ? 資訊存取限制 ? 學(xué)校內(nèi)所共用的個(gè)人電腦應(yīng)以特定功能為目的，並設(shè)定特定安全管控機(jī)制（例如限制從網(wǎng)路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等）。 ? 檢查使用者是否經(jīng)過(guò)系統(tǒng)管理單位之授權(quán)使用資訊系統(tǒng)或服務(wù)。 ? 使用者調(diào)職或離職後，應(yīng)移除其識(shí)別碼的存取權(quán)限。 ? 定期（建議每學(xué)期）檢查新增之帳號(hào)，若有莫名帳號(hào)產(chǎn)生，應(yīng)關(guān)閉帳號(hào)權(quán)限，並依通報(bào)程序請(qǐng)求處理 54 系統(tǒng)安全 (5/6) ? 特權(quán)管理 ? 學(xué)校的電腦與網(wǎng)路系統(tǒng)資訊具有存取特權(quán)人員清單、及其所持有的權(quán)限說(shuō)明，應(yīng)予以文件化記錄備查。 ? 資訊系統(tǒng)與服務(wù)應(yīng)避免使用共同帳號(hào)及通行碼?；蚪ㄗh通行碼應(yīng)該包含英文字大小寫、數(shù)字、特殊符號(hào)等四種設(shè)定中的三種。 55 系統(tǒng)安全 (6/6) ? 原始程式庫(kù)之存取控制 ? 學(xué)校與系統(tǒng)廠商間的合約應(yīng)加註對(duì)原始程式庫(kù)安全之要求，並防範(fàn)資料庫(kù)隱碼 (SQLinjection)問(wèn)題，針對(duì)存取資料庫(kù)程式碼之輸入欄位進(jìn)行字元合理性檢查。 ? 學(xué)校應(yīng)建立資訊安全事件通報(bào)程序 [參照安全事件通報(bào)程序，編號(hào) A4]以及安全事件通報(bào)單 [參考安全事件通報(bào)單範(fàn)本，文件編號(hào) A5]；通報(bào)程序應(yīng)包括學(xué)校內(nèi)部通報(bào)，以及學(xué)校與所屬縣市教育網(wǎng)路中心的通報(bào)。 ? 所訂出資訊安全事件通報(bào)程序應(yīng)公布於校園內(nèi)使用電腦與網(wǎng)路之場(chǎng)所，提供使用者瞭解。 ? 學(xué)校資訊設(shè)備主機(jī)機(jī)房、電腦教室區(qū)域，應(yīng)設(shè)置滅火設(shè)備，並禁止擺放易燃物、或飲食。 ? 學(xué)校資訊設(shè)備主機(jī)機(jī)房、電腦教室區(qū)域，應(yīng)至少於入出口處加裝門鎖或其他同等裝置。 57 實(shí)體安全 (2/3) ? 纜線安全 ? 學(xué)校資訊設(shè)備主機(jī)機(jī)房、電腦教室區(qū)域內(nèi)應(yīng)避免明佈線。 ? 設(shè)備維護(hù) ? 應(yīng)與設(shè)備廠商建立維護(hù)合約。 58 實(shí)體安全 (3/3) ? 財(cái)產(chǎn)攜出 ? 未經(jīng)授權(quán)不應(yīng)將學(xué)校的資訊設(shè)備、資訊或軟體攜出所在地。 ? 相關(guān)財(cái)產(chǎn)之?dāng)y出應(yīng)依教育部或?qū)W校既有之相關(guān)規(guī)定處理。 ? 學(xué)校提供教職員工或?qū)W生使用的個(gè)人電腦應(yīng)設(shè)定保護(hù)裝置，如個(gè)人鑰匙、個(gè)人密碼以及螢?zāi)槐Ｗo(hù)。 ? 資訊安全教育與訓(xùn)練 ? 使學(xué)校 (或委託 )系統(tǒng)管理人員有足夠能力執(zhí)行日?；A(chǔ)之資安管理系統(tǒng)維護(hù)工作，並使其瞭解資安事件通報(bào)之程序。 60 相關(guān)法規(guī)的認(rèn)知 ? 智慧財(cái)產(chǎn)權(quán) ? 個(gè)人資訊的資料保護(hù)及隱私 ? 電子簽章法 61 後續(xù)推動(dòng)工作 ? 辦理各級(jí)學(xué)校資訊安全稽核，針對(duì)館所、學(xué)院、?？?、高中職、國(guó)中小，依各個(gè)類別至少稽核20個(gè)單位。 ? 國(guó)中小學(xué)資安認(rèn)知推廣活動(dòng) ? 線上學(xué)習(xí)輔助教材 ? 資安認(rèn)知及資安健檢種子教師巡迴教育訓(xùn)練 ? 建立規(guī)劃資安建檢測(cè)驗(yàn)題庫(kù)資料庫(kù) 與相關(guān)推廣活動(dòng) 62 導(dǎo)入之流程 單位內(nèi)部達(dá)成共識(shí) 定義導(dǎo)入的範(fàn)圍 判斷以往有無(wú)落實(shí)執(zhí)行 Yes No 風(fēng)險(xiǎn)評(píng)估 補(bǔ)強(qiáng) (文件化、落實(shí)執(zhí)行 … 等） 建置 (程序、執(zhí)掌責(zé)任、文件化 … 等） 專家、顧問(wèn) 63 小測(cè)驗(yàn) ? 請(qǐng)針對(duì)貴校目前在資訊安全管理上，可能的安全威脅進(jìn)行風(fēng)險(xiǎn)評(píng)鑑與管理 ? 適用範(fàn)圍：學(xué)校電腦機(jī)房 /教室 ? 可能風(fēng)險(xiǎn)：未定期進(jìn)行系統(tǒng)更新或修補(bǔ)作業(yè) ? 違反項(xiàng)目：對(duì)抗惡意軟體、隱密通道及特洛依木馬程式 ? 改善措施：設(shè)定電腦排程，每月自動(dòng)更新。 ? 不使用弱密碼 ? 避免使用重複數(shù)字、字母。 ? 避免使用有意義之字詞。 ? 不提供密碼予他人。 67 設(shè)備管理 ? 安裝防毒和防火牆軟體。 ? 定期更新系統(tǒng)與軟體之修復(fù)檔 (Path)。 ? 不提供給他人使用。 ? 養(yǎng)成關(guān)機(jī)的習(xí)慣。 ? 設(shè)定螢?zāi)槐Ｗo(hù)程式 (要設(shè)定密碼 )。 69 電子郵件管理 ? 不隨意開(kāi)啟來(lái)路不明郵件的附加檔案。 ? 使用垃圾郵件過(guò)濾軟體。 ? 不轉(zhuǎn)寄帶來(lái)好運(yùn)或厄運(yùn)的信件。 ? 不寄送機(jī)敏資料給非相關(guān)人士。 ? 不隨意存取他人傳輸之檔案。 ? 避免於工作時(shí)使用。 ? 定期更新程式。 ? 上網(wǎng)速度越來(lái)越遲緩。 ? 螢?zāi)伙@示異常，例如畫面突然一片空白。 ? 電腦無(wú)故自動(dòng)關(guān)機(jī)或不斷重新開(kāi)機(jī)。 ? 網(wǎng)路流量異常，例如沒(méi)有使用網(wǎng)路服務(wù)或收發(fā)電子郵件，但網(wǎng)路的連線燈號(hào)卻一直閃爍。 ? 勿隨意安裝未經(jīng)許可的電腦軟體。 ? 使用有問(wèn)題立即反應(yīng)。 ? 網(wǎng)路速度時(shí)快時(shí)慢。 ? 視窗下方的工具列出現(xiàn)許多原本沒(méi)有的工具 ? 瀏覽器多出沒(méi)有安裝過(guò)的工具列、搜尋工具，而且無(wú)法移除。 74 電腦作業(yè)威脅 —廣告 /間諜軟體 (2/2) ? 廣告或間諜軟體的防範(fàn) ? 使用防火牆阻擋。 ? 安裝封鎖彈跳視窗功能的工具。 ? 學(xué)習(xí) 資料備份基本技巧。 ? 不知名的 IP來(lái)源與電腦連線。 ? 異常通訊埠開(kāi)啟。 ? 系統(tǒng)帳號(hào)的異常增加。 76 電腦作業(yè)威脅 —駭客入侵 (2/3) ? 駭客入侵的簡(jiǎn)易處理 ? 定期系統(tǒng)備份。 ? 蒐集入侵紀(jì)錄、檔案等軌跡。 ? 分析資料找出入侵方式並改善。 ? 適時(shí)尋求協(xié)助。 ? 檢視權(quán)限設(shè)定。 ? 紀(jì)錄及檢視稽核軌跡。 78 備份管理 ? 不論是紙本或電子檔的 重要資料 ，皆應(yīng)： ? 定期備份。 ? 資料備份原則 ? 資料價(jià)值較高時(shí)應(yīng)優(yōu)先備份。 ? 按所欲備份的資料型態(tài)，選擇方法進(jìn)行備份 (如： 完 全備份、選擇性備份、漸進(jìn)式 (增量 )備份 )。 79 個(gè)人資安觀念 ? 遵守資訊安全政策與規(guī)定。 ? 避免在網(wǎng)路上記錄個(gè)人資訊。 ? 定期接受資安訓(xùn)練。 ? 小心駭客尌在你身邊。 ? 由於沉重的經(jīng)濟(jì)壓力，王小浩被迫鋌而走險(xiǎn)，他在網(wǎng)路上架設(shè)一個(gè)與國(guó)內(nèi)知名的 A銀行網(wǎng)站首頁(yè)完全相同的網(wǎng)頁(yè)，並以該銀行名義，發(fā)出數(shù)十萬(wàn)封偽造的電子郵件， 該郵件標(biāo)題為「銀行系統(tǒng)轉(zhuǎn)換，重新登錄」，要求該銀行的網(wǎng)路銀行用戶，點(diǎn)選該郵件上的網(wǎng)頁(yè)鏈結(jié)，進(jìn)行網(wǎng)路銀行帳戶號(hào)碼與個(gè)人密碼的重新確認(rèn)。隔天黎小芬發(fā)現(xiàn)後，她馬上打電話與該銀行聯(lián)繫，並且向警方報(bào)案處理。 ? 利用騙得的網(wǎng)路銀行帳戶號(hào)碼與個(gè)人密碼，入侵受害者在 A銀行的網(wǎng)路銀行帳戶，已觸犯刑法第 358條之「 無(wú)故入侵電腦罪 」。刑事局偵九隊(duì)昨偵破此一地下投顧犯罪集團(tuán)，將主嫌陳慶興逮捕到案，刑事局呼籲金融、證券公司應(yīng)加強(qiáng)電腦資安，特別是 系統(tǒng)帳號(hào)、密碼不宜明文儲(chǔ)存於網(wǎng)路主機(jī)，以防駭客入侵 ，損害客戶及公司權(quán)益。 ? 觸犯刑法第 359條「 無(wú)故取得、刪除或變更他人電磁紀(jì)錄罪 」。 84 案例三 ? 案例描述 (資料來(lái)源 :2023/08/18 蘋果日?qǐng)?bào) ) ? 小米今年十九歲，是剛要升大二的女生，最喜歡的休閒活動(dòng)尌是看韓劇，因?yàn)殡娨暡サ倪M(jìn)度太慢，乾脆去夜市買整套ＤＶＤ回來(lái)看。 於是，我以買來(lái)的七折價(jià)網(wǎng)拍，並標(biāo)明可面交，三天後有買家出價(jià)競(jìng)標(biāo)，三部韓劇全由同一買家買下，我們約在捷運(yùn)站出口交易，交易當(dāng)天，我依約到達(dá)。 ? 適用法條 ? 賣家行為已違反「 著作權(quán)法 」可處 3年以下有期徒刑、拘役， 或併科 50萬(wàn)元以下罰金 。 ? 網(wǎng)路犯罪行為大約可歸類下列三種 ? 以網(wǎng)路作為犯罪工具 –網(wǎng)路詐欺、網(wǎng)路恐嚇等 ? 以網(wǎng)路作為攻擊標(biāo)的 –竄改檔案、阻斷式服務(wù)攻擊、駭客入侵、電腦病毒等。 86 妨害電腦使用罪主要內(nèi)容 (1/2) ? 第 358條 無(wú)故入侵電腦罪 ? 無(wú)故輸入他人帳號(hào)密碼、破解使用電腦之保護(hù)措施或利用電腦系統(tǒng)之漏洞，而入侵他人之電腦或其相關(guān)設(shè)備者，處三年以下有期徒刑、拘役或科或併科十萬(wàn)元以下罰金。 ? 第 359條 無(wú)故取得、刪除或變更他人電磁紀(jì)錄罪 ? 無(wú)故取得、刪除或變更他人電腦或其相關(guān)設(shè)備之電磁紀(jì)錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬(wàn)元以下罰金。 ? 第 360條 無(wú)故干擾電腦系統(tǒng)罪 ? 無(wú)故以電腦程式或其他電磁方式干擾他人電腦或其相關(guān)設(shè)備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬(wàn)元以下罰金。 87 妨害電腦使用罪主要內(nèi)容 (2/2) ? 第 361條 對(duì)公務(wù)機(jī)關(guān)犯罪之加重 ? 對(duì)於公務(wù)機(jī)關(guān)之電腦或其相關(guān)設(shè)備犯前三條之罪者，加重其刑至二分之一。 ? 第 362條 製作供犯罪程式罪 ? 製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬(wàn)元以下罰金。 ? 第 363條 告訴乃論 ? 第三百五十八條至第三百六十條之罪，須告訴乃論。 88 電腦處理個(gè)人資料保護(hù)法說(shuō)明 (1/3) ? 立法目的 ? 對(duì)公務(wù)與非公務(wù)機(jī)關(guān)蒐集、處理、與利用個(gè)人資料的情形，加以明文規(guī)範(fàn)。 ? 保護(hù)客體 ? 本法保護(hù)客體限於 經(jīng)電腦處理的個(gè)人資料 。 ? 個(gè)人資料包含 :自然人之姓名、出生年月日、身分證統(tǒng)一編號(hào)、特徵、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財(cái)務(wù)情況、社交活動(dòng)、及其他 足以識(shí)別該個(gè)人之資料 。 ? 公務(wù)機(jī)關(guān)係指依法行使公權(quán)力之中央或地方機(jī)關(guān)。 ? 徵信業(yè)、以蒐集或電腦處理個(gè)人資料為主要業(yè)務(wù)之團(tuán)體或個(gè)人。 ? 其他經(jīng)法務(wù)部會(huì)同中央目的事業(yè)主管機(jī)關(guān)指定之事業(yè)、團(tuán)體或個(gè)人。 90 電腦處理個(gè)