本中心於2008年起採用 IBM Security AppScan Family提供本校專屬的網頁應用程式弱點掃描服務,以確保本校機敏資料的安全性,並能符合個人資料保護法所訂定之相關規範。
本校各單位皆能向本中心申請網頁應用程式弱點掃描,在系統上線前先確認相關應用程式是否有漏洞,如此便能加強系統的安全性,大幅度降低資料外洩的可能性。
校內現有各單位官網及各服務網站,亦請管理者上網登錄(校務行政資訊入口網>資訊服務>弱點掃描服務登錄系統),除可安排每年定期進行弱點掃描外,亦有助於確認單位網站管理者及保存網站基本資訊,以及當管理者異動時之業務交接。
未來各單位有新網站開發需要進行弱點掃描者,請至該網站登錄,即可自動加入弱點掃描排程。
弱點掃描服務登錄系統網站的使用說明請參照[說明文件]
說明
業務單位申請網頁應用程式弱點掃描前,需先判斷欲進行弱點掃描之等級。檢視標準有:
- 檢視需掃描之網頁應用程式是否涉及機敏資料;
- 且應參照「法務部個人資料保護資訊網站」中之規範的機敏資料定義;
考慮上述幾項因素後,業務單位選擇須進行弱點掃描之網頁應用程式之等級(安全等級區分表請見以下附表)。本中心在接到申請需求後,將依照申請者提出之弱點掃描等級需求,進行不同安全等級的掃描。若伺服器通過弱點掃描,本中心將提供合格證書證明。弱點掃描中之弱點防護項目係參考 OWASP 機構最新公佈之10大網頁應用程式弱點,本中心將持續蒐集國內外最新資訊,評估後適時更新安全等級必須通過的弱點防護項目。
附表:網頁應用程式弱點掃描安全等級區分表
掃描結果是否有通過安全等級, 請參考送掃網站的安全報告。
弱點之風險等級 | 意義 |
高度 | 有立即資安風險 |
中度 | 有間接資安風險 |
低度及參考資訊類 | 建議修改以增加安全性 |
安全等級 | 通過標準 | 適用對象 |
A | 無「高、中、低度,及參考資訊類」風險 | 網站是以程式開發,連結資料庫,資料含有個資及機敏資料。 |
B | 無「高、中、低度」風險 | 網站是以程式開發,連結資料庫,資料含有個資。 |
C | 無「中、高度」風險 | 一般純靜態網頁之網站,或網站是以程式開發,連結資料庫,資料不含個資或機敏性資料。 |
假設因業務需求或不可抗因素, 無法將所有的風險修改完成, 業務單位必須填寫弱點掃描處理報告單並由單位主管蓋章(非代理章) 後送至本中心
待本中心評估後會核發合格證書證明 (弱點掃描處理單填寫方式)。
注意事項
- 網頁應用程式弱點掃描服務和電腦防毒軟體的概念類似,電腦裝有防毒軟體不代表永遠不會被病毒入侵。通過網頁應用程式弱點掃描並不代表被掃描的網頁應用程式就是永遠絕對安全的,通過安全掃描代表這個網頁應用程式在被掃描的當下有一定的安全品質。因此建議申請單位除了定期申請重複掃描以外,假如網頁應用程式有任何程式上的修改,也應申請複掃,以確保程式的改版並不會造成新的資安漏洞。
- 掃描時若系統有運作不正常的狀況,應通知本中心暫停掃描,經廠商或是開發人員調校系統使之回復正常運作後,再通知本中心繼續完成相關的安全性掃描。
- 本校新建置或是正在運作中的網站,應符合「國立臺灣師範大學校園伺服器管理實施細則」之相關規定。
業務承辦人連絡方式
- 連絡人:謝宜霖
- 電子郵件:lilian790120@ntnu.edu.tw
- 連絡電話:校本部分機:5537
- 前往常見問題