縣網中心為協助本縣各校建立資安管理制度,參酌教育部「國中、小學資通安全管理系統實施原則」與「縣(市)教育網路中心及國中、小學資訊安全實體防護績效評核指標」等規定,研擬本縣國中小校園網路存取管理參考規範(草案),請參閱並提供修正意見。
嘉義縣國中小校園網路存取管理參考規範(草案)
壹.依據
一. 教育部國中、小學資通安全管理系統實施原則
二. 教育部所屬機關及各級公私立學校資通安全工作事項(教育部96.07.06台電字第0960103352號函)
貳.目標
本規範提供各校建立及實施校園網路存取管理制度之參考
參.適用對象
本規範適用對象為嘉義縣教育網路連線之縣屬國民中小學;縣立高中得視需要參酌本規範
肆.管理原則
一.基本原則
1. 校園內各種資訊設備(含師生個人持有之資訊設備),其有連網之必要者,應經網管人員同意,並依本規範納入管理。無連網之必要,或未經網管人員同意者,不應任意連接校園網路。
2. 校園內連網之資訊設備,依使用需求劃分為以下類別,分別訂定管理措施:
(1) 伺服器主機
提供校內或校外使用者各種網路服務資源之伺服器主機。依照該服務之使用者特性,再區分為:
A. 公共服務伺服器主機
指開放外部網路對其進行資訊存取及資料傳輸之網路服務伺服器,如學校網站(WWW)、電子郵件(Email)等。
B. 內部服務伺服器主機
指專供校內使用者對其進行資訊存取及資料傳輸之內部網路伺服器,如行政應用服務伺服器、虛擬光碟伺服器、無硬碟系統伺服器等。
(2) 個人電腦
提供校內使用者直接操作,以存取該電腦上之資源,或透過該電腦存取其他伺服器主機上之網路資源。依照該個人電腦使用狀況,再區分為:
A. 專用電腦
其主要用途,係提供特定使用者專用之個人電腦,例如:教師個人自備或配發之筆記型電腦;人事、主計及其他行政人員專用之行政用個人電腦等。
B. 公用電腦
其主要用途,係提供不特定之使用者輪流使用之個人電腦,例如:電腦教室教學用電腦;辦公室公用行政電腦等。
(3) 連網設備
具有特定專屬用途,且連接網路環境之設備,例如:網路印表機、錄影監視系統、網路電話等。此類設備未必具有一般電腦之外觀或構造,但可設定其IP位址並經由網路進行存取。
(4) 連線閘道設備
指提供網路連線服務之閘道設備,如路由交換器、防火牆、NAT伺服器、IP分享器等。
3. 校園網路IP之配置及管理應依照下列原則:
(1) 校園網路真實IP應按照縣網中心規定之IP網段,由網管人員統一管理配置,並登錄IP使用清單報縣網中心備查。
(2) 校園網路真實IP位址之配置,除供特定用途網路設備(如路由交換器、防火牆、網路電話)使用外,以供開放校外存取之公共服務伺服器使用為原則。未使用之真實IP,得限制其對外存取。
(3) 校內一般連網設備應以使用虛擬IP為原則,並經由防火牆轉址(NAT)後連接網際網路。虛擬IP之配置得採用自動取得IP(DHCP)方式。
4. 校園網路IP存取管制設施之配置,依下列原則辦理:
(1) 本縣教育網路介接TANet骨幹網路之介面配置骨幹防火牆(含IDP入侵偵測防禦模組),並由縣網中心制定存取管理政策。
(2) 各校應配置校園網路防火牆設備以管制校內網路存取,除自行購置者外,得由網路中心統一提供具備簡易防火牆功能之存取伺服器。
(3) 各校路由設備應將虛擬IP限制於內部網路存取使用,不得任意流出至外部網路,並於校園網路防火牆設置存取管理政策。
(4) 各校真實IP之存取以由縣網中心統籌於骨幹防火牆管制為原則,但自備校園網路防火牆之學校由該校自行管理。
二.伺服器主機網路存取管理
1. 公共服務伺服器主機
(1) 校內架設提供公共服務之伺服器主機前,應經校長或校長授權之負責人員(主任或網管人員)同意,並填寫網域名稱註冊申請表向縣網中心申請合法之網域名稱(Domain Name)。未經申請程序而自行架設之伺服器主機不得以學校名義對外提供公共服務資源,否則網管人員得視情況拒絕其連線,其涉及違法行為者,由架設者自行負擔一切責任。
(2) 凡具敏感性、或涉及師生個人資料(如人事、會計、學籍等)之資訊,於上載至公共服務伺服器(包含網站公告及電子郵件遞送)前,應經校長或校長授權之負責人員同意,必要時應予以加密。
(3) 專供校內使用之資訊,不宜放置於公共服務伺服器上。公共服務伺服器不宜兼作為內部服務伺服器使用,若確有必要,應界定管理規範並加強存取控管。
(4) 校內架設之公共服務伺服器應備有安全防護機制,如軟體或硬體式防火牆、防毒系統等,並應限制其開放之網路服務埠(Port)及主機管理權限存取來源。
(5) 公共服務伺服器主機系統上線前應經弱點掃描(可委請縣網中心執行),無重大安全性漏洞後始開放服務,並應設定更新機制,確保其作業系統安全及病毒碼有效。
2. 內部服務伺服器主機
(1) 校內架設專供內部服務使用之伺服器主機時,應優先考慮使用虛擬IP,以避免外部使用者不當存取。但若有跨IP網段存取之必要,必須配給真實IP位址時,網管人員得就可用IP範圍內配置之。
(2) 無存取網際網路資源需求(含使用虛擬IP)之內部服務伺服器,網管人員無需向縣網中心通報。但使用真實IP之內部服務伺服器主機有存取網際網路資源之需求時,應由網管人員檢核無誤後開放該主機對外存取權限,並列入IP清單向縣網中心通報備查。
(3) 凡具機密性、敏感性,或載有師生個人隱私(如人事、會計、學籍、成績等)之電子資料,應以經由內部服務伺服器存取為原則,避免儲存於公共服務伺服器上。重要之行政應用伺服器(如學籍成績管理系統)以視為內部服務伺服器為原則,並以限供校內使用者存取為宜。
三. 個人電腦網路存取管理
1. 基本原則:
(1) 作為伺服器主機使用之電腦設備,不得兼作個人電腦使用。
(2) 存取敏感性重要資料(如人事、會計、學籍等行政事務),應儘量使用專用之個人電腦,避免在公用之個人電腦上操作。
(3) 存取一般性重要資料(如命題、成績等教學事務),應使用專用之個人電腦、或專供教師共用之公用電腦,避免使用學生用之公用電腦。
(4) 個人電腦以使用虛擬IP為原則,並透過校園防火牆管制其連線。
2. 專用個人電腦之管理:
(1) 供特定事務使用之專用個人電腦,有依IP驗證其使用者來源之必要者,得由網管人員配置真實IP並登錄於IP清單,經檢核無誤後開放其對外存取權限,並通報縣網中心備查。
(2) 專用個人電腦應設置帳號密碼管制,避免未經授權之使用。
(3) 經由自動取得IP機制使用虛擬IP之專用個人電腦,可考慮於防火牆上設定其對應之網卡位址(Mac Address),以防止冒用或未經允許之存取。
(4) 專用個人電腦應由其使用人負責管理,除因公務需要由學校提供具合法授權之軟體外,若自行安裝其他軟體,由使用人負擔相關責任。
3. 公用個人電腦之管理:
(1) 公用個人電腦應以使用虛擬IP為限,使用者不得任意更動其IP配置。
(2) 公用個人電腦若設置有還原機制,應定期更新其映像檔,確保作業系統安全與病毒碼有效;更新期程以每個月執行一次為原則,最長不得超過三個月。
(3) 供行政使用之公用電腦,應設置密碼,或以其他方式限制其使用對象與範圍。
(4) 供學生使用之公用電腦,其預設之登入帳號權限應予以限制。
(5) 除因教學需要、或經網管人員同意者外,不得利用公用個人電腦架設網路伺服器;確有必要者,應於使用完畢後移除之。
四. 其他連網設備及閘道設備存取管理
1. 校園內非屬電腦及伺服器之其他設備,應經網管人員同意後始可連接校園網路,並以使用虛擬IP為原則。
2. 為保障連線通話品質,網路電話閘道設備得優先配置真實IP。使用縣網中心規劃提供之LOXA VOIP系統者,由縣網中心逕行設定對上游語音交換閘道之存取規則;自行選用其他VOIP系統者,應由網管人員備妥使用IP清單並註明上游語音交換閘道位址送縣網中心備查。
3. 專供校內使用之連網設備,若有跨網段存取需求者,得由網管人員配給真實IP,且無需通報縣網中心。
4. 校園網路對外介接之閘道設備(路由設備或路由交換設備),以由縣網中心統一管理為原則,一律使用校園IP網段中最後一個可用真實IP,以茲識別;自行架設防火牆者,閘道設備應置於防火牆之外,以便縣網中心進行線路狀態監測。若因校內網路管理需要,必須變更配置方式時,應先以書面檢附調整後之網路架構圖(含IP配置方式)報縣網中心備查。
5. 具真實IP網路位址轉換(NAT)功能之閘道設備,應由網管人員填報使用真實IP清單通報縣網中心備查,並應限制外部使用者直接對閘道設備IP進行存取。閘道設備本身兼有提供虛擬伺服器(Port Mapping或IP Mapping)服務者,應另行比照公共服務伺服器申請開放外部使用者存取。
五.管理權限與存取管理
1. 帳號管理
(1) 校園網路各項伺服器主機、各種連網設備及閘道設備,其系統管理與重要服務操作權限應設置帳號密碼加以控管,且管理密碼應符合安全性要求並定期更換;網管人員應將各項主機設備管理人員名單造冊列管,相關人員經管之帳號密碼應於職務異動時列入移交。
(2) 存放有敏感性重要資料之專用個人電腦,應設置帳號密碼以管制使用者登入。
(3) 學校對外往來使用之公務帳號,其密碼應定期更換,並以至少每學期更換一次為原則。遇經管承辦人職務異動時,應考慮更換密碼。
2. 共用權限
(1) 帳號密碼均由專人使用為原則,不宜共用。但因故必須由多人共同持有一組帳號密碼使用權限時,應建立帳號密碼持有人名冊。
(2) 多人共用帳號權限時,若有一或數人職務異動,應即考慮更換密碼,並更新持有人名冊。若任一持有人發現密碼可能外洩(如:電腦中毒、遭植入木馬程式)時,亦應即考慮更換密碼。
(3) 多人共用帳號權限時,密碼之選取應特別注意其安全性要求,不宜使用校名簡稱或電話號碼等易於猜測之字眼,且不應重複使用相同之密碼。
3. 遠端管理
(1) 管理人員對重要伺服器主機進行系統管理或檔案傳輸等操作時,以由校內執行為原則,若必須由校外(家中)進行遠端管理操作時,宜對其存取來源之IP範圍予以設限。
(2) 因系統特性限制,無法經常更動密碼者,應從嚴限制其遠端管理操作IP來源,必要時以禁止校外使用者登入為宜。
(3) 由校外對網站服務系統執行遠端管理操作時,應儘量採用SSL等加密方式,以避免帳號密碼於傳輸過程中遭人截取。
(4) 網管人員應填造伺服器主機外部使用帳號管理清冊,並定期送縣網中心備查。
伍.附則
一. 本規範由嘉義縣教育網路中心依本縣教育網路連線架構及設備配置狀況擬定,各校得依實際需要選擇適用。
二. 未適用本規範之連線學校,仍應遵循TANet及本縣教育網路相關連線及存取管理措施之規定。