國立彰化師範大學電子計算機中心電腦教室資訊安全計畫

九十四年一月三日電子計算機中心會議通過

壹、計劃依據：

依據行政院核定之「行政院所屬各機關資訊安全管理要點」及相關規定與法規擬訂本計劃。

貳、計畫目標：強化資訊安全管理，確保電腦教室資料、系統、設備、電源供應及網路安全。

参、計畫範圍：

一、電腦教室之管理

二、工讀生人員管理之調派

三、電算中心監視系統維護

 肆、權責分工

資訊系統組長：統籌規劃本組資訊安全計畫

寶山校區組員：負責本中心寶山校區本組相關業務之資訊安全計畫。

進德校區組員：負責本中心進德校區本組相關業務之資訊安全計畫。

 伍、計畫評估與修正

本計劃每年定期重新評估乙次，並視需要得隨時修正之，以反映政府法令、技術及業務等最新發展狀況，確保資訊安全實務作業之有效性。

陸、系統及網路安全之管理

一、電腦病毒及惡意軟體之防範

(一)電腦病毒及惡意軟體之控制

1.採行必要的事前預防及保護措施，防治及偵測電腦病毒、特洛依木馬及邏輯炸彈等惡意軟體的侵入。

2.事前預防重於事後補救的原則，採行適當及必要的電腦病毒偵測及防範措施，促使管理人員正確認知電腦病毒的威脅，提升管理人員的資訊安全警覺，健全系統存取控制機制。

(二)建立軟體管理政策，規定使用者應遵守軟體授權規定，禁止使用未取得授權的軟體。

(三)選用信譽良好、功能健全的電腦病毒防治軟體，並依下列原則使用：

1.電腦病毒防治軟體應定期更新，並在廠商的指導下使用。

2.使用防毒軟體事前掃瞄電腦系統及資料儲存媒體，偵測有無感染電腦病毒。

3.視需要安裝可偵測軟體是否遭更改的工具軟體，並偵測執行碼是否遭變更。

4.謹慎使用可掃除電腦病毒及回復系統功能的解毒軟體；使用前充分瞭解電腦病毒的特性，以及確定解毒軟體的功能。

5.定期檢查軟體及檢查重要的系統資料內容，如發現有偽造的檔案或是未經授權的修正事項，立即調查，並找出原因。

6.對來路不明及內容不確定的磁片，在使用前詳加檢查是否感染電腦病毒。

7.建立防治電腦病毒攻擊及回復作業的管理程序，並訂定相關人員的責任。

8.為使電腦病毒影響機關正常運作之程度降至最低，建立妥適的業務永續運作計畫，將必要的資料及軟體加以備份。

二、日常作業之安全管理

(一)進出人員身份認確

1.需進入電腦教室，必需先予確認身份，確認無誤方可進入，並作相關資料記錄，由專人負責保管記錄表，以便日後查閱。

2.非上班時間，只允許登記在電算中心人員進出，並配合使用刷卡系統。

3.維護廠商需配帶識別證、或穿著該公司的制服，始可進入維護且需遵守本校電算中心所頒定「電腦教室管理準則」。

(二)攝影機即時監控

在重要的入口、偏僻角落及在電腦教室內，均裝設數位攝影機，於系統主機可保留一星期之內錄影畫面，若有突發狀況時，供可相關單位調閱。

三、電腦媒體與資料文件之安全管理

(一)電腦媒體之安全管理

1.可隨時攜帶及移動的電腦媒體（如磁帶、磁碟及電腦輸出報告等媒體），要帶離辦公場所時，需經授權始得為之，並予使用紀錄，以備日後稽核。

2.避免使用有明顯用途標示的資料儲存系統；電腦媒體儲存的資料內容，不在媒體外部以明顯方式標示，防止被輕易地辨識。

3.可重複使用的資料儲存媒體，不再繼續使用時，儲存的內容將全部消除。

4.儲存媒體，依照製造廠商提供的保存規格，存放在安全的環境。

5.重要儲存媒體實體做異地存放。

6.不再使用之重要媒體，給予銷毀。

(二)系統文件之安全

1.系統流程、作業流程、資料結構及授權程序等系統文件，由系統負責人負責管理，以防止不當利用。

2.系統文件的安全保護措施如下：

(1)鎖在安全的儲櫃或其他安全場所。

(2)發送對象應以最低必要的人員為限，且應經文件管理者之授權。

(3)電腦產製的文件，與其他應用檔案分開存放，且建立適當的存取保護措施。

四、電腦系統實體管理

(一)系統更新

主機系統定期維護更新，並定期實施必要之系統檢測，以利系統正常運作並防止外人入侵。

(二)套裝軟體之變更

套裝軟體，應儘可能不要變更或修改，如因特殊需要須修改，則以考量以下的事項：

1.是否會破壞系統內建的安全控制，以及危害鑑別系統真確性作業的風險。

2.取得套裝軟體開發廠商的同意。

3.考量以標準化的系統更新方式，請廠商進行必要的變更。

4.考量如自行變更套裝軟體，日後進行軟體維護的可能性。

5.裝軟體如須變更，保留原始的軟體，並將變更的資料予以記錄，以備日後軟體再更新之用。

五、環境安全管理

(一)軟硬體設備擺設場所及電腦教室，符合基本之環境安全需求，並隨時配合校方進行消防、國安等演習，以符合現實之需要。

(二)電腦教室設備安置地點之保護

1.電算中心教學用之電腦，置放於電腦教室，並設置身份確認窗口，非本校教職員工生，未經許可不得善用電腦教室之電腦。

2.電算中心教學用之電腦，安置遵循的原則如下：

(1)需要特別保護的設備，考量與一般的設備區隔，安置在獨立的區域。

(2)檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等可能的風險。

(3)電腦作業區，禁止抽煙及飲用食物。

(4)在特定的作業環境下，考慮使用防塵套、鍵盤保護膜等，以利保護電腦。

(5)除考量同一樓層地板可能導致的的危險外，亦考量鄰近建築樓層地板可能導致的危險。

六、設備安全管理

(一)定期進行財產設備之查核，善盡財管管理人及使用人之良善管理責任，配合門禁管理防止設備財產遭受損失。

(二)電腦設備維護

1.電算中心教學用之電腦，由專職清潔人員負責電腦外表之清理，隨時保持整潔。

2.共用之電腦設備(如伺服器、電腦網路等)，由本組接洽合格之專業廠商，依法簽訂相關維護合約，定期實施保養，妥善地維護設備，以確保設備的完整性及可以持續使用。

3.設備維護的原則如下

(1)依據廠商建議的維修服務期限及說明，進行設備維護。

(2)設備的維護只能由授權的維護人員執行。

(3)將所有的錯誤或是懷疑的錯誤，予以明確記載。

(4)廠商執行本部電腦設備維護時，須有相關系統負責人員陪同在場。

(5)本校電算中心與廠商所簽訂電腦作業相關維護合約，均應將保密條款列入。

(三)電源供應

1.電腦教室專用之電源插座，不得使用於電腦以外之設備，以免耗用電腦不斷電電源，造成跳電當機，影響電腦正常作業。

2.謹慎使用電源延長線，預防電力無法負荷導致火災等危害安全之情事。

3.每間教室配置滅火器，以防意外發生時之需，定時間做滅火器測試，以利滅火器即時發揮效用。

七、人員進出管制

(一)人員進出時皆須以本中心規定進行查核，並隨時與校警隊保持聯繫以防突發狀況發生。

(二)非上班時間，只允許登記在電算中心人員進出，配合刷卡認證辨識系統。

八、財產移轉之安全管理

(一)電腦、資料或軟體之移轉，均應列帳管理。

(二)電腦、資料或軟體，在沒有管理人員書面授權的情形下，嚴禁攜出辦公室。

(三)相關財產移轉時需確實點交，並盡好善良保管人之責任。

 

柒、系統備份、資料備份及異地儲存

一、系統備份，

軟體以專人負責保管並保存，電腦教室之個人電腦裝置系統還原卡，於固定期限內電腦自動將還原最初設定。

二、資料備份

各電腦裝置系統還原卡外，另準備一台與教學電腦資料相同之電腦存放，以防止硬體發生故障，導致資料毀損。

三、異地儲存

教室之系統均留存一備份以備不時之需，本組相關機密文件視情況得備份之，並與教室分開擺置以降低風險。

捌、緊急事故通報機制

一、資訊安全事件之通報

(一)建立資訊安全事件的正式通報程序及管道，訂定通報之後應採行之行動及措施。

(二)如發現或懷疑有資訊安全事件時（包括系統有安全漏洞、受威脅、系統弱點及功能不正常事件等），依事前訂定的通報管道，迅速通報權責主管單位及人員立即處理。

(三)與本校電算中心簽訂資訊安全協定的外部人員，明確告知各種資訊安全事件的反應及報告程序，使其瞭解相關的處理程序。

二、資訊安全弱點之反應

(一)工作人員應隨時注意資訊系統或資訊服務施設內部之安全弱點、可能面臨的威脅，並迅速告知直屬業務主管或是系統服務廠商。

(二)系統安全上的弱點，應由專業人員處理，不應任由系統使用者自行修改。

三、軟體功能不正常之反應

(一)建立使用者發現軟體功能有異常時，迅速告知電算中心現場人員處理。

(二)軟體功能不正常之反應及處理程序：

1.注意螢幕上出現的徵兆或訊息。

2.立即停止使用電腦，並迅速告知電算中心現場人員處理。

3.檢視軟體功能不正常的設備，再次啟動前，以離線方式處理。

四、在任何狀況下，使用者不應自行移除功能不正常的軟體；系統回復作業應由電算中心現場人員負責處理。

玖、緊急應變計畫：

一、相關系統及資料需在第一時間內以先前之備份回存。

二、設法找出資安事件發生之原因及來源。

三、須即時往上通報。

壹拾、備援計畫：

重要系統平時除須備份外，另需準備一備用系統，以便於資安事件發生時能將系統停擺時間降至最低。

壹拾壹：回復計畫：

一、重要系統需定期建立備份。

二、定期演練備份回存事宜。

三、演練時須擬定不同狀況以應付不同之突發狀況。