肆、資通安全評估作業
一、資訊架構檢視
1.檢視網路架構之配置、資訊設備安全管理規則之妥適性等,以評估
可能之風險,採取必要因應措施。
2.檢視單點故障最大衝擊與風險承擔能力。
3.檢視對於持續營運所採取相關措施之妥適性。
4.適時參考金融資安資訊分享與分析中心(F-ISAC)所發布之資安威
脅情資及資安防護建議,並採取相關措施。
5.檢視伺服器應依資通系統分類或系統功能或服務特性進行網段區隔
。
6.檢視邊界防護設備(包含閘道器、路由器、防火牆、防護裝置等設
備)與外部網路連接之網點,是否設立防火牆控管內外部網路資料
傳輸及資源存取,並限制非必要之連線對象與服務。
二、網路活動檢視
1.檢視網路設備、伺服器及物聯網設備之存取紀錄及帳號權限,識別
異常紀錄與確認警示機制。
2.檢視資安設備(如:防火牆、入侵偵測或防禦、惡意軟體防護、資
料外洩防護、垃圾郵件過濾、網路釣魚偵測、網頁防護等)之監控
紀錄,識別異常紀錄與確認警示機制。
3.檢視網路是否存在異常連線或異常網域名稱解析伺服器(Domain
Name System Server ,DNS Server)查詢或監控進出之通訊流量,
並比對是否為已知惡意 IP 、中繼站或有符合網路惡意行為的特徵
。
4.檢視是否訂定偵測偽冒網站之處理措施。
三、網路設備、伺服器、終端設備及物聯網設備等設備檢測
1.辦理網路設備、伺服器、終端設備及物聯網設備等設備的弱點掃描
與修補作業。
2.檢測終端機及伺服器是否存在惡意程式。
3.檢測系統帳號登入密碼複雜度;檢視外部連接密碼(如檔案傳輸(
File Transfer Protocol, FTP )連線、資料庫連線等)之儲存保
護機制與存取控制。
4.辦理物聯網設備檢測作業時,依據「建立證券商資通安全檢查機制
」辦理。
四、可由外部 Internet 直接連線之網路設備、伺服器及物聯網等設備,
應辦理下列事項:
1.進行滲透測試。
2.進行伺服器應用系統之程式原始碼掃描或黑箱測試。
3.檢視伺服器目錄及網頁之存取權限
4.檢視是否建立對外網站網頁防竄改機制。
5.檢視系統是否有異常的授權連線、CPU 資源異常耗用及異常之資料
庫存取行為等情況。
五、客戶端應用程式檢測
證券商與客戶端之應用程式應採加密連線,並針對證券商交付給客戶
之應用程式進行下列檢測:
1.提供 https、SFTP 者應進行弱點掃描。
2.程式原始碼掃描或滲透測試。
3.敏感性資料保護檢測(如記憶體、儲存媒體)。
4.金鑰保護檢測。
5.採最小權限原則,僅允許使用者依任務及業務功能所需完成指派之
授權存取控管。
六、安全設定檢視
1.檢視伺服器(如網域服務 Active Directory )有關「密碼設定原
則」與「帳號鎖定原則」設定。
2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠,連
線設定是否有安全性弱點。
3.檢視系統存取限制(如存取控制清單 Access Control List)及特
權帳號管理。
4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更
新狀態。
5.檢視金鑰之儲存保護機制與存取控制等安全措施。
6.檢視從外部網路連線至公司內部網路時需確認使用者身分。
七、資通系統可靠性與安全性侵害之對策
1.公司應就提升資通系統可靠性研擬相關對策,其內容包括:
(1)提升硬體設備之可靠性:包含預防硬體設備故障與備用硬體設備
設置之對策。
(2)提升軟體系統之可靠性:包含提升軟體開發品質與提升軟體維護
品質對策。
(3)提升營運可靠性之對策。
(4)故障之早期發現與早期復原對策。
(5)災變對策。
(6)備份之系統備份媒體,須擬定驗證計畫,並驗證備份媒體之可靠
性及資訊之完整性。
2.公司應就資通安全性侵害,研擬相關對策,其內容包括:
(1)資料保護:包含防止洩漏、防止破壞篡改與相對應檢測之對策。
(2)防止非法使用:包含存取權限確認、應用範圍限制、防止非法偽
造、限制外部網路存取及偵測與因應之對策。
(3)防止非法程式:包含防禦、偵測與復原對策。
3.檢視資通系統是否符合「建立證券商資通安全檢查機制」及主管機
關相關函文之要求。
4.檢視資通系統之 SWIFT 系統是否符合 SWIFT 公布之 Customer
Security Programme(CSP )規範與臺灣證券交易所及中華民國證
券商業同業公會相關函文之要求,若與本辦法資通安全評估作業衝
突,依 SWIFT 公布為主。
第一類、第二類及第三類資通系統應依前項評估項目全部納入資通安
全評估作業以確保評估作業之有效性。
|