一、服務目的:
資訊中心採用 HCL AppScan Standard 提供"校內應用程式弱點掃描服務",確保本校資訊安全的的合規性、符合個資法規定,降低資料外洩風險。
二、適用對象:校內各單位官網及服務網站。
(1)申請方式:
- 承辦人員或管理者登入校務行政資訊入口網 → 資訊服務 → 弱點掃描服務登錄系統。
- 可安排每年定期弱點掃描,並作為網站管理、採購驗收紀錄及管理者異動交接之依據。
(2)說明手冊:
系統使用說明請參照官方[弱點掃描申請說明文件],登錄排程後,即可自動加入掃描排程(按先後順序執行掃描)。
網頁應用程式弱點掃描申請與執行流程
(一)申請前評估作業
-
安全等級事前判斷
各單位於申請「網頁應用程式弱點掃描」前,建議自行判斷該單位網站之安全等級。 -
機敏資料檢視
檢視網站是否涉及機敏資料,包含個人資料或其他具敏感性之資訊。 -
機敏資料認定依據
機敏資料之認定,應依據「法務部個人資料保護資訊網站」公告之機敏資料定義進行判斷。 -
安全等級選擇
各單位綜合上述因素後,選擇欲進行弱點掃描之網站安全等級(安全等級區分請參考附表)。
(二)弱點掃描與結果處理
-
受理申請與掃描執行
本中心於接獲申請後,將依申請單位所選定之安全等級,執行對應等級之弱點掃描作業。 -
弱點檢測依據標準
弱點掃描與防護項目係參考 OWASP(開放式 Web 應用程式安全專案)最新公布之十大網頁應用程式弱點,並以教育部與資安院的標準為依規。 -
掃描結果判定
弱點掃描完成後,掃描結果是否通過安全等級,應以實際提供之網站安全掃描報告(範例檔案)為準。 -
合格證書核發
伺服器通過該安全等級之弱點掃描標準,本中心將核發弱點掃描合格證書作為證明。
表一:弱點風險等級說明表(含嚴重Critical)
| 弱點之風險等級 | 意義(網路與實務常見定義) |
|---|---|
| 嚴重(Critical) | 存在極高風險且可立即被利用之弱點,通常無須驗證或僅需極少條件即可造成系統全面入侵、敏感或個資大量外洩、權限完全被接管(如:RCE、未授權存取、資料庫全洩)。 |
| 高度(High) | 存在高度資安風險之弱點,已具備明確攻擊途徑,可能導致系統遭入侵、資料外洩或服務中斷,但通常仍需特定條件或操作。 |
| 中度(Medium) | 存在間接性資安風險,需結合其他弱點、錯誤設定或特定情境才可能被利用,對系統安全有潛在影響。 |
| 低度(Low) | 對系統影響有限,短期內不易被利用,但仍可能降低整體安全防護水準。 |
| 參考資訊(Informational) | 不構成實質弱點,屬於設定建議或資訊揭露提醒,建議調整以提升安全性或符合最佳實務。 |
業務承辦人連絡方式
- 連絡人:吳京剛
- 電子郵件:louiswu@ntnu.edu.tw
- 連絡電話:校本部分機:5551
- 常見問題可洽資訊中心網站文字客服
注意事項
-
網頁弱點掃描類似電腦防毒軟體:通過掃描 不代表網站永遠安全,僅表示掃描當下達到一定安全標準。
-
建議申請單位:
-
定期重複掃描
-
程式修改後再次掃描,確保改版不引入新漏洞。
-
-
若掃描期間系統異常,應先通知本中心暫停掃描,待系統恢復正常後再繼續。
-
本校新建或現有網站,需符合「國立臺灣師範大學校園伺服器管理實施細則」相關規定。
資安弱掃標準風險揭露與責任承擔說明書
| 危害類型(風險) | 風險內容 | 影響程度 |
|---|---|---|
| 法遵 | 弱點未修補即上線,可能違反資通安全管理法及防護基準。 | 🔴 高 |
| 技術 | 弱點可能被駭客利用,導致入侵、資料外洩或網站被植入惡意程式。 | 🔴 高 |
| 營運 | 系統遭攻擊可能造成服務中斷、登入異常或資料損毀,影響校務運作。 | 🟠 中高 |
| 名譽 | 資安事件曝光,可能降低家長與學生信任,影響校譽。 | 🔴 高 |
| 外包 | 弱點掃描未通過仍驗收,可能降低廠商責任與安全品質,增加維護成本。 | 🟠 中 |
弱點掃描驗收標準
- 弱掃要求為法律遵循事項,並非技術單位單方面的堅持。
- 可避免主管、承辦人因系統弱點而承擔後續行政責任。
- 確保廠商依約完成系統安全加固,維持系統品質與可持續維運性。
各單位若需申請放寬→請填寫「弱點處理報告單」並承擔風險
(1)承辦單位須提出放寬申請,填寫「弱點處理報告單」(含理由與必要性) (弱點掃描處理單填寫方式)。
(2)「弱點處理報告單」必須由承辦單位主管親簽,確認願意承擔弱點未修補所伴隨的法律、營運與資安風險。
(3)資訊中心提供技術意見,但不承擔弱點未修補的後續責任。
(4)以上所述,業務單位必須填寫「弱點處理報告單」並由單位主管蓋章(非代理章或甲章) 後送至本中心。
(5)收單評估後會核發合格證書證明。