校園資訊安全事件處理作業程序

交大校園資訊安全事件處理作業程序

第一條    目的

隨著資訊化社會的來臨,網路之普及應用,許多政府、教育機關與民間企業都相繼採用電腦設備,透過網路處理業務及對外提供服務,如果沒有完善之資通安全防護措施,易於遭受電腦駭客入侵或受病毒感染,將影響國家社會安全,故擬定此作業程序。

第二條    依據

本中心資安通報處理流程,依據教育機構資通應變手冊(第一版)執行(99年6月29日),規範由本中心依實際作業需求訂定之。

第三條    適用範圍

適用對象為本校教職員生,範圍包含行政單位、教學單位,宿舍網路、研究中心、產學中心及FTTB等。

第四條    說明

  1. 資安事件訊息來源
    1. 教育機構資安通報平台(https://info.cert.tanet.edu.tw/),以手機簡訊及Mail通知聯絡人(資安業務負責人)。
    2. 教育部資訊及科技教育司,以E-mail通知。
    3. 警察局來函,以電子公文管理系統或實體紙本公文傳遞。
    4. 校園內部防火牆PaloAlto Firewall及FireEye APT Firewall偵測
  2. 資安事件分類
    1. IP使用單位
      以上來源依據通知內容,判斷IP是否為本校所使用,確認為本校IP後,將分類為行政單位、教學單位,宿舍網路、研究中心、產學中心及FTTB等。
    2. 事件內容分類(由教育機構資安通報平台區分資安事件分類)
      1. INT(入侵攻擊):
        • 系統入侵(資訊設備遭惡意使用者入侵)
        • 對外攻擊(對外部主機進行攻擊行為)
        • 針對性攻擊(針對特定個人的資訊洩漏與身分盜取)
        • 散播惡意程式(主機對外進行惡意程式散播)
        • 中繼站(主機成駭客之中繼站,接收惡意程式連線)
        • 社交工程攻擊(帳號遭盜用對外發動社交工程攻擊)
        • Spam(資訊設備從事Spam Mail散播行為)
        • C&C(主機疑似為駭客之Botnet C&C Server)
        • Bot(資訊設備疑似成為駭客所控制之Botnet成員)
      2. DEF(網頁攻擊):
        • 惡意網頁(網頁遭駭客置換或放置不當內容)
        • 惡意留言(網頁遭駭客放上惡意留言)
        • 網頁置換(網頁遭駭客置換)
        • 釣魚網站(主機遭駭客置入釣魚網站)
        • 資安事件處理
    3. 資安事件處理執行程序
      1. 教育機構資安通報平台:
        發文給系所、行政等單位,通知該單位主管及網管人員。由平台負責人上線通報處理情形,視主機情形及攻擊類型判別是否於第一時間內封鎖其IP,並請網管人員將主機離線處理,並主動詢問是否需中心協助作業,待主機處理完成後再上線。如需中心派人員前往處理(包含監看Process Explorer、安裝防毒軟體、重灌系統等),務必確實填寫服務紀錄單,紀錄處理情形。
      2. 警察局來函(電子公文系統或紙本公文)
        待負責人處理後回覆電子公文,若查案有需要進行資安數位鑑識,校方將配合進行內部調查。後續處理流程如1項。
      3. 教育部資訊及科技教育司(E-mail通知)
        由負責人通報處理情形,視主機情形及攻擊類型判別是否於於第一時間內封鎖其IP,並用此封E-mail轉知連絡各系所、行政單位等網管人員,將主機離線處理,待主機處理完成後再上線。後續處理流程如1項。
      4. 校園內部防火牆主動式偵測
        防火牆負責人員監看系統,並結合Splunk自動產生報表,視主機情形及攻擊類型判別是否於第一時間內封鎖其IP並通知資安負責人,連絡各單位網管人員處理,後續處理流程如1項,處理完畢後,再通知防火牆負責人解鎖單位IP。

第五條    資安事件處理原則

  1. 經教育機構資安通報平台提報之IP,經查證屬實,依據國立交通大學第23次行政會議,第一次違反資安規範較輕者,將給予警告處分並block IP位址2周。第一次違反且情節較重或再犯者,將視情況嚴重程度依校規處分,並block IP位址1個月。
  2. 資安通報平台案件正式寄送函文通知案發單位,警方來函為保護校內人員個資(因應新版個資法)避免爭議,須與該單位網管協助查證過後,IP使用人瞭解涉及資安事件之實情,再配合提供資訊。

第六條    網路之使用均須遵守「國立交通大學校園網路使用規範」(100年9月16日100學年度第3次行政會議通過)。

  1. 網路使用者禁止濫用或干擾網路系統,不得為下列行為:
    1. 散布電腦病毒,或其他干擾,或破壞系統機能之程式,進而導致流量異常。
    2. 擅自截取網路傳輸訊息。
    3. 以破解、盜用或冒用他人帳號及密碼等方式,未經授權使用電腦或網路資源。
    4. 任意將帳號借予他人使用,或故意洩漏他人之帳號及密碼。
    5. 隱藏帳號或使用虛假帳號。但經明確授權得匿名使用者不在此限。
    6. 擅自窺視他人之電子郵件或檔案。
    7. 以任何方式濫用網路資源,包括以電子郵件大量傳送廣告信,連鎖信或無用之信息,或以灌爆信箱,佔用資源等方式,影響系統之正常運作。
    8. 以電子郵件、線上談話、電子佈告欄或類似功能之方法散佈詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。
    9. 利用校園網路資源從事非教學研究等相關之活動或違法行為。

第七條    依循ISO27001國際資安管理規範之標準,本中心將提供安全檢查紀錄表供全校各單位使用,每學期將會同所屬之網管人員,不定期進行資安與智財權防護檢核。