編章節內容

名  稱:

證券暨期貨市場各服務事業網路安全防護參考指引 

修正日期: 民國 113 年 04 月 19 日
主題分類: 資訊作業
   第 二 章 網路架構與網路安全管理
第 4 條
(網路架構定義)
一、透過網路架構規劃協助組織在規劃業務運作系統架構時能夠更加全面
    性考量業務維運與資通安全。
二、網路架構圖應呈現組織維持業務運作之必要網路環境設備(如:防火
    牆、路由器、交換器、系統設備、線路配置、伺服器與服務、無線網
    路),另針對網段、路由規劃、主機 IP 位址、備援線路應有相關檔
    案紀錄。
第 5 條
(網路區域劃分)
一、為確保網路架構安全,應獨立劃分各工作區域並落實網段隔離。
二、網段應以維持業務運作劃分區域:如非軍事區(Demilitarized Zone
    ,DMZ)、營運區(Production,Prod.)、測試區(Unit Test,UT  或
    User Acceptance Test,UAT)及其他等網段。
三、組織應定義外部網路與內部網路,外部網路連接網際網路,內部網路
    區域為組織人員與內部服務的伺服器配置區域。由外部網路到內部網
    路的流量需要經過存取控制,僅限於組織內人員公務用或資訊服務供
    應商申請核准後使用,避免非允許的服務進入。
四、組織之內部網段宜規劃以虛擬區域網路(Virtual Local Area 
    Network,VLAN)區隔,區域劃分方式可依據組織內部單位、部門、業
    務性質等,並限制不同 VLAN 間的存取。
五、組織應使用適當方式隔離限制存取與特定服務,且資訊人員應視區隔
    方式,定期檢視防火牆規則或存取控制清單(Access Control List,
    ACL)。
第 6 條
(網路設備防護基準)
一、組織應避免使用生命週期終止(End of Service,EOS/End of Life,
    EOL) 之網路設備,並針對 EOS/EOL  之網路設備擬定汰除相關計畫
    。
二、組織應定期檢視官方發布之軟體、韌體、弱點修補程式之更新,經過
    評估後將網路設備更新至最新版本或廠商建議版本。
三、組織經由網際網路連線至內部網路進行遠距之系統維護,應落實身份
    認證機制。
四、組織所有網路設備之防護基準應依「證券暨期貨市場各服務事業資通
    系統安全防護基準參考指引」。
第 7 條
(無線網路)
一、組織如有提供內部無線網路使用,其存取保護應採用現行公開資訊已
    認可且無弱點之安全協定,並比照組織內部網路管理程序,僅限於組
    織內人員公務用或資訊服務供應商申請核准後使用。
二、組織如有提供外部無線網路使用,其存取保護應採用現行公開資訊已
    認可且無弱點之安全協定。
三、組織應建立無線網路密碼原則,以降低密碼破解之風險。
第 8 條
(外部設備存取內部網路)
組織如允許組織人員或資訊服務供應商使用外部設備存取內部網路,應提
出申請並檢視設備安全性與相關授權,並限制存取範圍。