一、依據
國防部109年4月21日國通資安字第1090084375號令修頒網路管理作業
規定暨本部任務實需辦理。
|
二、目的
為有效規範國軍網路管理程序,落實網段與網路管理作為,特訂定本
規定,律定管理權責及作業流程,確保國軍網路服務品質,提升網路
安全防護強度。
|
三、名詞定義
(一)國軍網路:泛指國軍資訊通信系統( MICS)內使用TCP/IP網
路通信協定標準之網路總稱。
(二)專屬網路:係指國軍網路內,所有自主運作且相互實體隔離之
網路,如捷訊網路、戰情網路及迅安網路等。
(三)國軍資訊網路( MINET,簡稱軍網):指國軍網路內提供國軍
人員行政作業之網路環境。
(四)網路位址(簡稱網址或IP):係指節點設備於國軍網路上之IP
v4位址,任一網址均具唯一性,由四碼組成(例如10.20.55.3
3)。
(五)網段:指各級註冊中心合法註冊使用IPv4位址範圍。
(六)網域名稱解析系統(簡稱 DNS):指提供網域名稱解析為網路
位址(IP)之資訊系統(服務)。
(七)國軍網段管理系統(簡稱MWHOIS系統):為提供國軍網路內網
段註冊、管制、查詢等功能之系統。
(八)軍租軍網網路:委託民間固網公司籌建之國軍專用資訊網路。
(九)國軍網路註冊中心:國軍網路最頂層註冊單位,負責國軍網路
網段、網址規劃、註冊與管理。
(十)第一級註冊中心:負責專屬網路(含軍網)規劃、註冊與管理
,並向國軍網路註冊中心申請網段。
(十一)第二級註冊中心:依需求向第一級註冊中心申請網段,並負
責授權網段規劃、註冊與管理。
(十二)網址需求單位:依需求向第二級註冊中心申請網段,並負責
授權網段規劃、註冊與管理。
(十三)國軍骨幹網路:國軍自建之地面骨幹通信系統,為國軍各專
案網路運作的通資基礎平臺。
(十四)網卡號碼( Media Access Control,簡稱MAC):由十二個
十六位元編碼組成,作為網路封包傳輸之實體位址。
(十五)網路拓譜:網路連結示意圖。
(十六)國軍BNS(簡稱BNS):指國軍用以管理(控)營區內網路動
態之資訊系統。
(十七)行政民網(單一閘口民網):指國軍連結政府網際服務網(
簡稱GSN)用以行政作業之民網環境。
(十八)專線民網(非單一閘口民網):指因特殊目的連結網際網路
服務未納入GSN管控之民網環境。
(十九)動態主機組態協定(簡稱DHCP):指將所屬網段資源,依註
冊之合法使用者配發可使用之IP。
|
四、適用範圍
國軍資訊通信系統(MICS)內使用TCP/IPIPv4網路通信協定標準,以
有線方式連結國軍網路之通資軟硬體設備、武器裝備、單位及人員,
均為納管範圍。
|
五、權責劃分
(一)本部動管處(以下簡稱管理機關):
1.依任務特性擔任專屬網路第一級註冊單位,負責核配專屬網
段管理。
2.依第二級註冊中心權責,負責專屬網路(含軍網)所屬網段
管理。
3.負責所屬單位軍租軍網申請資格初審。
4.綜整所屬單位軍租軍網申請資料向通次室提出複審申請。
5.負責管理、稽核所屬單位軍租軍網設備及資訊安全。
6.負責所屬營區網路管理制度頒訂、督導及考核。
7.負責業管及所屬單位BNS部署、管理與稽核。
8.負責業管及所屬單位網段、網路設備、網路存取規則規劃、
稽核與技術支援。
9.負責業管及所屬單位網路違規通報案件查察、稽核、回復及
管制。
(二)各地區指揮部(以下簡稱管制單位):
1.協助本部管理所屬網路(含軍網)所屬網段管理。
2.協助綜整呈報所屬單位軍租軍網申請作業。
3.負責管理、稽核所屬單位軍租軍網設備及資訊安全。
4.負責所屬營區網路管理制度頒訂、督導及考核。
5.負責業管及所屬單位BNS部署、管理與稽核。
6.負責業管及所屬單位網段、網路設備、網路存取規則規劃、
稽核與技術支援。
7.負責業管及所屬單位網路違規通報案件查察、稽核、回復及
管制。
(三)本部軍網及軍租軍網使用單位(以下簡稱各使用單位)1.依網
址需求單位權責,負責核配之網段管理。
2.負責所屬資訊設備之登錄、IP申請、異動管理作業。
3.負責軍租軍網連網設備保管與繳回。
4.負責軍租軍網申請、異動、註銷呈報。
5.負責所屬BNS維管與稽核。
6.負責所屬網路實體環境、網路存取規則管理及維護。
7.負責所屬網路違規案件查察及回復。
|
六、國軍網路註冊架構
國軍網路註冊架構,劃分為國軍網路註冊中心、第一級註冊中心、第
二級註冊中心及網址需求單位四類(如附件一),相關作業權責說明
如下:
(一)國軍網路註冊中心
1.受理第一級註冊中心網段申請,並依需求配發網段。
2.建置MWHOIS系統,並依所配發之網段,完成登錄及管制。
(二)第一級註冊中心
1.受理第二級註冊中心、網址需求單位網段申請,並依需求配
發或指派網段。
2.依所配發或指派之網段,專屬網路須完成網段使用單位分配
表,軍網須於MWHOIS系統完成登錄及管制。
3.可視實際作業需求將網段管理下授第二級註冊中心配合執行
。
(三)第二級註冊中心(本部)
1.受理網址需求單位網段申請,並依需求配發或指派網段。
2.依所配發或指派之網段,專屬網路須完成網段使用單位分配
表,軍網須於WHOIS系統完成登錄及管制。
(四)網址需求單位(地區、縣市)
1.所配發之網址須使用動態主機組態協定(以下簡稱DHCP)服
務,並以軟、硬體管控,限制使用者自行設定IP,同時建立
網址與使用人員(席位)對應及查察機制。
2.採用之網路設備須具有網管功能,並可設定交換埠使用限制
,連網終端設備(如個人電腦及印表機)必須強制限定IP與
MAC,以防制使用者私自竄改IP。
|
七、軍(專)網網路管理
(一)一般原則
1.各單位區域性網路所需網址,應就整體連網作業所需範圍規
劃後,向上級註冊單位申請。
2.伺服器與用戶端設備須各自配發網段,俾利運用防火牆規則
進行有效防護。
3.單位因組織重整或營區位置調整(如單位改隸或南遷北調)
,原配發網址應繳回原配發單位,後續依所在駐地位置,重
新向國防部或各司令部申請配發新網段。
4.機動部隊與艦艇等單位所需使用動態網址,應檢附單位網址
規劃需求及網路架構報部審查及申請配發。
5.軍網內嚴禁使用網址轉換(Network Address Translation,
NAT)方式作業,若因任務必須採用NAT方式連網時,應檢附
網路架構及網址管控、查核機制報部核定。
6.各項演訓任務臨時性網址,各軍種仍循前五目原則由已分配
網段內自行配發,不足部分向本部申辦另行檢討分配。
(二)網段(址)配發原則
1.軍網網址規劃,以路由集聚( Aggregation)為目標,與地
理位置、網路節點及管理需求密切結合,兼顧目前及未來成
長適當辦理配發。
2.軍(專)網網址均以 10.x.x.x(Class A)網段訂定,以一
組Class C網段為基本配發單位。
3.第二碼係依據作戰區、駐地與國軍光纖站臺與特殊用途為分
配基礎,將全國劃分為臺北特區、臺北、桃園、臺中、臺南
、高雄、花蓮、專網等八大網段,由第一級註冊中心依第二
級註冊中心需求、編制大小及作業所在地,以連續網址寬放
為原則,預劃分配未來可用範圍;第三碼由第二級註冊中心
考量網址需求單位駐地位置、連網主機數量(如附件三)配
發適量網段。
4.網址規劃分配應運用子網段分割技術,達到網址之有效利用
及分隔功能。
5.非屬軍網第二級註冊中心配發者,一律向軍網第一級註冊中
心申請配發。
(三)網段(址)管控流程
1.申請作業
(1)需求單位辦理軍網網段(址)申請作業,應檢附網路位址
需求規劃書(如附件三),函送上層註冊中心核定後配發
。
(2)辦理專網網段(址)申請作業,須擬訂管理要點(如附件
四),並經本部審查後函送通次室審查及核定。
(3)註冊中心負責將申請單位相關資料建置於MWHOIS系統內。
(4)各級註冊中心網段不足時,應向上層註冊中心申請調增,
上層註冊中心完成審核後,配發新增網段。
(5)需求單位申請網段,各註冊中心依權責核復時,並加副知
資電部辦理廣域網路路由調整;資通電軍每月五日傳報上
月路由異動資料予通次室管制。
(6)各級註冊中心須律定MWHOIS系統管理人員一員,人員職務
異動時,須即刻通報國防部系統管理員,俾利權限設定及
管控。
2.異動與撤銷作業
(1)各單位因故必須變更或撤銷現用網段或網址者,應行文上
層註冊中心並辦理MWHOIS系統異動。
(2)各單位如有過多零散不連續網址,可向上層註冊中心申請
轉換為一組連續網址,並繳回舊網址。
|
八、軍租軍網管理
(一)申裝原則
1.為落實資源有效運用,各單位申請連接軍網,以國軍網路為
優先考量,單一營區不得同時申用軍租軍網及國軍網路。
2.共駐營區單位申請軍租軍網以核配一路為原則,由共駐營區
主管單位或網路節點較多單位,構建網路次節點收容,資訊
安全設定與管理由使用單位負責。
3.使用單位申辦軍租軍網新增、異動及註銷作業,統一呈報各
管理機關初審後,轉通次室複審,不得逕向固網公司臨櫃申
請。
4.各使用單位因任務需要申辦短期(演訓)軍租軍網使用,由
各管理機關自籌經費並彙整電路需求,於三週前逕向通次室
提出申請,俾利網路架設施工遂行。
5.若遇特殊情況(如:原有電路無法升速或頻寬已達飽和等)
,申請單位得不受上述原則限制,惟須檢附網路拓樸及網段
規劃等相關文件,函送通次室核配。
6.各單位新申請或升速之電路,原則由單位自行編列預算支付
。
(二)設備管理原則
1.軍租軍網為國軍租用專屬環境,以專機專用網路設備設置於
固網公司機房獨立機櫃內,依專網專用原則以專用設備電路
與國軍專、民網實體隔離,且連接之資訊設備均不得跨網系
混接。
2.軍租軍網連網設備(如數據機、路由器等)須黏貼識別標籤
(如附件五),各使用單位上鎖(或管制區保管),並納所
屬 BNS管控;電路註銷時,設備歸還固網公司,如有遺失,
由使用單位賠償。
(三)對固網公司督導原則
1.固網公司參與軍租軍網管理人員,須經國防部安全查核合格
後,方得執行管理作業。
2.固網公司須管制機房人員進出紀錄,資料保存一年備查。
3.固網公司指派專人管理網管系統及網路設備,依國防部資訊
安全規定,定期更換帳號及密碼,部署防火牆、媒體管控軟
體、防毒軟體、漏洞修補程式等,強化資訊作業安全。
4.通次室定期(每半年)對固網公司機房實施稽核一次。(稽
核表如附件六)
(四)資料管理原則
1.各管理機關建立所屬軍租軍網使用單位電路總表(如附件七
),每半年校正資料一次,於六月三十日及十二月三十一日
前,以國軍電子郵件送通次室備查。
2.通次室綜整各管理機關申辦紀錄與固網公司核校電路實際使
用動態。
(五)申請作業
1.申請作業依任務需求區分為長期及短期(演訓)電路申請,
均於三週前由各管理機關彙整連網需求後,檢附申請表(如
附件八)函送通次室審查。
2.不論申請期程長短,均應於任務完成後,辦理註銷作業;申
請、異動及註銷作業均填具申請表(如附件八)辦理。
3.通次室審核通過後,通知固網公司協助使用單位辦理裝設作
業(申請流程圖如附件九)。
4.各使用單位申請提升頻寬或增加網段時,應檢附網路拓樸圖
,呈報各管理機關辦理初審後,函送通次室審核。
(六)異動作業
1.使用單位執行營區搬遷、基地演訓或組織調整時,呈報各管
理機關轉通次室,辦理移機及網段重新核配事宜。
2.申請表(如附件八)內填註計畫異動後之資料,異動區分欄
填註代碼為U。
(七)註銷作業
1.使用單位組織調整(單位合併、裁撤等因素)時,造成軍租
軍網與國軍網路並存情形,依實際環境、線路品質擇優使用
,呈報各管理機關,轉通次室辦理異動或註銷。
2.申請表(如附件八)內異動區分欄填註代碼為 D,備考欄註
明附掛電話保留做市話或一併註銷。
(八)故障處理
1.使用單位遇故障時,逕向固網公司報修,報修時提供附掛電
話號碼或電路編號、故障情形、報修人員姓名及聯絡電話以
利故障查修,另通報本部資安值日官(軍線:261681)協請
登報於國軍電腦緊急應變中心( MCERT)上,以利本部通報
通次室,逐級管制修復進度。
2.軍租軍網故障原因涉及國軍網路設備時,由通次室協調資電
部、固網公司共同查修,管制故障處理進度。
|
九、營區網路管理
(一)網路分級管理原則
國軍網路依據資訊服務資源與存取行為,劃分網路分級管理原
則,摘述如下:
1.網路IP網段,依資源服務分為公務電腦網段與資訊伺服器網
段兩類,再依作業性質,區分為一般、機敏、系統管理不同
等級網段,分級概念及存取規則說明如后(概念圖及規則表
如附件十):
(1)公務電腦網段:為作業人員使用之公務電腦及週邊設備網
路區段,公務電腦對資訊伺服器存取授權資訊服務,依據
作業性質細分一般及機敏資訊網段,執行分級管控,區分
如下:
a.一般公務電腦網段:收容一般行政公務電腦、印表機等
設備,僅允許存取一般伺服器資訊服務。
b.限制用途電腦網段:收容機敏辦公處所或重要戰備場所
公務電腦、印表機等設備,允許存取機敏伺服器資訊服
務,及有條件存取一般伺服器資訊服務。
(2)資訊伺服器網段為提供資訊服務之網路區段,依據資產與
任務重要性,建立不同安全等級伺服器區域,接受合法公
務電腦網段與其它伺服器區之存取服務要求;資訊服務安
全等級愈高,存取條件愈嚴格,依其作業性質區分如下:
a.一般性服務網段:收容機敏等級較低之通用性資訊服務
(如入口網站、網域名稱伺服器、網頁式郵件系統等)
,採簡易身份、密碼認證,提供一般伺服器資訊服務。
b.限制性服務網段:收容機敏、戰備資訊服務(如戰演訓
系統、資料庫管理系統等),允許存取機敏伺服器資訊
服務,及有條件存取一般伺服器資訊服務。
c.系統管理設備網段:收容網路管理、系統效能監控管理
等專屬網路、伺服器設備或具特殊性用途,不開放外部
存取之專屬性服務(如網管系統、機房環控系統、機房
伺服器監控系統、高級主官在營燈系統、無線網路防護
系統等),允許對各網段執行條件式存取。
2.營區網路依分級原則建立安全存取等級,管理單位建立網路
存取控制(Access Control)機制,同時部署存取端(Acce
ss)至骨幹端(Core)存取過濾機制。
3.網路存取規則應依網路分級存取規則表,於具資訊安全防護
功能設備(如防火牆、具第三層功能之網路設備等)設定正
向表列方式政策,明確定義資訊服務存取對象。
(二)網路實體架構原則
1.軍網(區分行政網及專網)專用設備及電路須依「專網專用
」原則相互隔離,網系內資訊資產(含機櫃、主機、線路、
網路設備及儲存設備等)均不得跨網系混接,並依實況建立
網路邏輯及實體架構圖,適時修訂。
2.營區網路由多個交換器(Switch)以階層式拓樸部署,底層
採效能及背板頻寬較次等之網路設備,收容終端點,再由效
能較佳之交換器收容至較高速之上層網路,架構以三層(含
)以下為原則。
3.營區網路建置採取乙太網路(Ethernet)架構,網路主幹與
中繼採取 1000/100Mbps以上速率、用戶收容以100Mbps以上
為主。
4.網路交換器應支援簡單網路
5.管理協定( SNMP)、終端機管理協定(Telnet、SSH),現
存不具網管功能之交換器(或集線器)應排定時程檢討汰換
。
6.連結軍網資訊設備應設定主機名稱(Hostname),合法提供
連網服務之應用伺服器,應申請完全領域名稱(Full Quali
ty Domain Name, FQDN),命名原則參考附件十一。
7.網路線材以顏色為識別(顏色區別參照國防部頒國軍資訊資
產管理作業規定),每一線路均依編碼原則標示線路起訖端
,以利識別管理。
(三)BNS管理原則
1.單位所屬目錄(Active Directory, AD)伺服器、DHCP伺服
器、具網管功能路由器、交換器均應納入 BNS管控,並完成
相關設定。
2.單位所屬目錄(Active Directory, AD)伺服器應整合BNSA
DGPO程式,以利掌握使用者及IP使用軌跡。
3.單位應檢討伺服器(主機)建置網路位址偵測(Address Re
solution Protocol, ARP)輔助工具,並管控所屬網段。
4.資訊設備(如伺服器、個人電腦、網路印表機、網路監視器
等)連結軍網,須先期於BNS完成IP、MAC及相關資料(如使
用單位、使用者、連結之交換器及埠口等)註冊;未經註冊
之設備連結軍網,系統將自動關閉該交換器連結埠,並通報
國軍電腦緊急應變中心(以下簡稱MCERT)。
5.共駐營區系統部署於最高指揮單位為原則,並為初級管制單
位,共駐單位肇生違規事件,由初級管制單位至 MCERT網站
實施初報以釐清責失,續由肇失單位依指揮體制逐級向上回
報、管辦。
6.各級單位請落實定期監控機制,對交換器或網路位址偵測輔
助工具離線等情事,應依程序主動查察、回報、記錄並恢復
系統功能(如附件十二)。
7.偏遠獨立單位營區及軍租軍網專線單位 BNS納管原則,應依
一級督導一級權責,或協調鄰近單位收容,餘管理原則同上
所述。
(四)營區網路管理執行作法
1.網段權限指派:
(1)由國防部分配本部(含所屬)使用網段,完成路由設定,
並於MWHOIS賦予網段管理權限。
(2)本部依據國防部配發之網段,於MWHOIS指派所屬單位使用
網段,並指定其所屬BNS設定權限。
(3)MWHOIS資訊應依據現況,適時更新,俾確維資料正確。
2.資訊設備申請連結軍網
(1)長期性連結軍網資訊設備,由資訊業管部門至 BNS完成IP
、MAC註冊及交換器埠口設定。
(2)臨時或短期性連結軍網資訊設備,申請單位填寫連接軍網
設備IP申請單(如附件十三),由中校(含)以上權責主
官(管)核准,由資訊業管部門至BNS完成IP、MAC註冊及
交換器埠口設定,申請單統由資訊業管部門存管,紙本保
存一年後銷毀。
(3)確認申請之資訊設備已完成系統設定,設備始可自動取得
IP連結軍網。
(4)無法自動取得IP之資訊設備,依配賦之IP組態紀錄,以人
工手動方式設定,設備始可連結軍網。
(5)連結軍網之設備,均先行於資訊資產管理系統完成帳籍登
載,再行至 BNS完成註冊,未完成相關設定前,設備不得
連接網路線。
3.軍網設備資料異動
(1)申請異動之資訊設備先行離線,資訊業管人員續依連接軍
網設備IP申請單,至BNS完成IP、MAC或交換器異動設定。
(2)確認異動之資訊設備於系統完成後,始可連結軍網重新取
得IP;無法自動取得IP之設備,依新獲配IP組態紀錄,以
人工手動方式設定,始可連結軍網。
(3)資訊設備 IP、MAC及使用位置不變,惟使用者因職務異動
,資訊業管人員僅須至 BNS完成使用(保管)人異動變更
。
4.BNS帳號管理與事件處置
(1)系統管理帳號(申請表如附件十四),應登錄授權管理之
網段、網路設備、網路位址輔助偵測器及申請之IP位址,
以落實管理各項網路資源運用。
(2)私自將未經核定資訊設備連結軍網遭系統偵測、阻斷,且
違規紀錄回傳 MCERT,資訊業管部門應依國軍資安事件通
報應變指導要點完成稽查及資通安全獎懲規定檢討相關責
失議處,並於一個月內辦理結案。
(3)合法設備因系統設定錯誤連結軍網遭系統偵測、阻斷,且
紀錄回傳 MCERT,使用單位檢附佐證資料,由資訊業管部
門完成系統修正,一個月內至MCERT網站辦理結案。
(4)合法設備因系統設定錯誤連結軍網遭系統偵測、阻斷,惟
紀錄無回傳 MCERT,使用單位檢附佐證資料,由資訊業管
部門完成系統修正。
(5)上述事件均由資訊業管部門記錄備查,以為後續稽核、追
蹤之依據;經查獲藉系統設定(如交換器設定透通模式或
停用)刻意規避違規偵測,將依相關規定究責議處。
(6)單位應定期執行系統阻斷功能驗測(交換器、 ARP),有
系統異常應儘速修復。
5.防火牆開通申請
(1)申請單位確認防火牆開通來源端、用戶端、服務埠口及生
效、終止日期,填寫防火牆規則變更申請單(如附件十六
),由權責長官核定後,移交資訊業管部門審查。
(2)資訊業管部門依據網路分級存取規則表及國防部頒國軍資
訊系統防火牆管理暨規則設定作業指導辦理審查、落實執
行。
|
十、民網管理原則如下:
(一)設置原則
1.各單位連接民網,以收容至單一閘口機制為主要手段,並以
連接政府網際服務網( GSN)為優先考量,藉集中控管確保
一致資安防護強度,防止洩(違)密情事發生。
2.各單位民網節點均應收容至指揮部民網單一閘口;設置原則
摘述如后:
(1)指揮部單一閘口統一收容各幕僚單位、直屬單位、地區、
縣市指揮部等民網電腦,各地區指揮部不再另設民網單一
閘口。
(2)各幕僚單位額外新增連接民網單一閘口網路節點需求者,
需填具申請單後,簽奉參謀長(含)以上長官核定後,由
動管處規劃連網架構,需求單位負責新增設備及線路費用
。
(3)如轄屬單位需新增單一閘口網路節點,需呈文至本部簽奉
參謀長(含)以上長官後始可辦理開通使用。
(4)因特殊因素(如任務需求、 GSN線路無法到達等)以單一
閘口以外方式連接民網者,需求單位需檢附連網計畫,送
動管處審查,簽奉副指揮官(含)以上長官核定後,呈國
防部核備。
(二)管理原則
1.民網專用設備及電路須依「專網專用」原則隔離建置,機櫃
、主機、線路、網路設備及儲存設備等資訊資產均不得以任
何型式與軍網(含專網)混(搭)接,且不得使用無線網路
或處理機敏公務。
2.民網電腦使用單位應建立民網使用管制登記簿,並簡述瀏覽
路徑位址(如google.com等),並定期上呈權責長官批示。
3.民網電腦移作其他用途或其他用途電腦移為民網電腦時,均
須執行電腦格式化。
4.連線設備使用合法版權軟體(辦公室套裝軟體應安裝國發會
NDC開放文件格式ODF應用工具),除管理人員外,其他人員
嚴禁更動系統設定。
5.民網電腦不得設定分享並使用後應即登出,長時間不使用應
關機。
6.主機名稱(Hostname)規則同軍網電腦,並納入網域( frc
cei.mnd.gov.tw)管控,未經核定,嚴禁私自部署伺服器主
機或提供資訊系統服務;非閘口或專線民網因考量未建置網
域管理者,應建立電腦管制清冊。
7.應啟用帳密登入,帳號區分「管理者」及「一般使用者」權
限,「管理者」帳號僅供資訊管理員使用,「一般使用者」
帳號僅供瀏覽民網資料使用,以一人核配一帳號為原則,不
得共用帳號;因專案任務需求,得向單位主官及資安長申用
專案帳號,僅供「一般使用者」權限,且專人核配專用帳號
;另均應設定開機保密警語。
8.使用合法授權之作業軟體,並安裝資安防護系統,並定期更
新作業系統及修補程式(含病毒碼);國軍發展之公務軟體
,未經國防部業管單位核定,嚴禁於民網電腦安裝使用。
9.限制連線服務(如下載軟體、不良網站、垃圾郵件等),並
嚴禁瀏覽色情、暴力、違反善良風俗等不當網站;瀏覽器歷
程記錄,保留天數應設定一百八十天以上。
10.各單位須於每季季末( 3、6、9及12月)呈報次季民網IP管
制清冊,內容須述明單位、電腦名稱、 IP、MAC、使用者、
儲位及用途等。
11.嚴禁於民網(戶役政)電腦私自安裝各類型即時通訊軟體(
如Line)、具遠端或資料傳輸(如Teamviewer)或陸港澳地
區發行之高風險程式。
12.如民網電腦因非公務需求不當使用或安裝非奉核軟體而肇生
資安防護系統告警或資安事件,除依「國軍資通安全獎懲作
業規定」議處外,並註銷該電腦IP使用權限並要求單位撤除
電腦。
|
十一、單一閘口外民網管理
(一)各縣市指揮部戶役政系統主機及資料查詢電腦,設置於資訊
室機房內,由資訊官負責管制,使用 VPN電路連線,除每週
固定時段下載戶役政資料及資料查詢外,不得執行其他作業
或瀏覽與戶役政業務無關之網站。
(二)單一閘口外電腦對外應設置防火牆設備,採全面阻擋,例外
開放之規則設定且須指定特定服務開通,除業務所需使用及
漏洞修補及病毒碼更新白名單外,餘不得隨意開放,並需不
定期至電腦緊急應變中心( MCERT)首頁查看行政院技服中
心黑名單並納入防火牆黑名單阻擋。
(三)各單位除每週固定使用時段開啟單一閘口外資訊設備外,餘
時段須將資訊設備全數關機,避免遭受惡意攻擊,另作業系
統需安裝Windows Server2012以上版本,避免肇生資安罅隙
。
(四)防毒軟體應使用集中式端點 c2c安全防護產品賽門鐵克防毒
軟體,並嚴禁於單一閘口內(外)民網環境使用未經奉准開
放使用之移動式儲存媒體(如USB、讀卡機等)。
(五)如戶役政電腦因非公務需求不當使用或安裝非奉核軟體生資
安防護系統告警或資安事件,除依「國軍資通安全獎懲作業
規定」議處外,並由本部辦理該電路註銷作業。
|
十二、防火牆管理原則如下:
(一)組態設定原則
1.採透通模式(Transparent Mode)、橋接模式(Bridge M
ode)或路由模式(Routed Mode)建構(如附件十五),
並設定管理IP,限定僅可由內部特定電腦(如管理員電腦
)連線作業。
2.啟動校時(NTP Client)功能,軍網防火牆須設定指向軍
網路時間同步伺服器(ntp.mil.tw)或其他完成校時之網
路時間同步伺服器;民網防火牆須指向經濟部標準檢驗局
委託中華電信建置之網路時間同步伺服器(clock.stdtim
e.gov.tw);其他網系防火牆亦須建置相關時間校準機制
,俾資安事件稽核及查處。
3.各單位提供之資訊服務,如有不同服務對象(如全軍性服
務、軍種內部服務及單位內部服務),須以服務對象及不
同IP區段設置不同存取規則。
4.防火牆須建置事件紀錄及檢核機制,其中被防火牆阻擋的
行為,包含來源、目的IP位址、目的連接埠、時間等資訊
均須完整記錄,相關紀錄至少須保存 1年;另建置「事件
收容模組( EAM)」伺服器單位,須配合資電部將防火牆
事件紀錄導向該伺服器;民網戶役防火牆須將防火牆事件
紀錄導向本部建置之事件分析器,並於防火牆設定規則允
許事件紀錄回傳本部以利分析。
5.修補程式或更新版本,應利用深夜或假日等網路流量較小
之離峰時間,並定期完成備份作業,備份檔案保存一年以
上。
(二)管理原則
1.防火牆須建置具門禁及溫、濕度管控之空間及環境,確保
實體安全及系統高可用度。
2.防火牆管理帳號申請(異動)須經單位通資業務主管同意
,以最小數建置,並限定專人專用,不得共用帳號。
3.管理員帳號須每季更新密碼,密碼長度並複雜度須符合部
頒國軍資訊安全政策暨相關資安規範;另帳號登入失敗次
數超過三次須發出警訊,並鎖定三十分鐘。
(三)防火牆規則
1.通用原則
(1)以「全面阻擋,例外開放」為原則,開通規則(輸出、
輸入)以白名單方式設定,明確律定各區域間資訊流方
向。
(2)輸入規則須律定來源端、目的端IP與目的端連接埠,不
得以任何或未指定方式(any、all)設定,避免非法連
線隱藏於合法資訊流。
(3)輸出規則僅允許內部合法網段對外部網路連線,內部來
源端不得以任何或未指定方式(any、all)設定,以阻
擋來自內部之偽冒攻擊。
(4)檔案傳輸(如TCP:20、21)、檔案分享(如TCP:139.
445)及遠端連線管理(如TCP:22、3389)等高風險連
接埠,須嚴格審查並奉權責長官核定後始得開通。
(5)「國軍電腦緊急應變中心」發布黑名單資訊後,即向通
資業管主管報備,於防火牆以專屬規則阻擋,並於完成
後簽奉核定,以防範網路零時差攻擊。
2.民網專屬原則
(1)不允許自外部(網際網路)連線至內部(包含防火牆)
進行系統、設備維管作業。
(2)僅允許內部DNS對外部建立網域名稱查詢連線(UDP:53
),限制防火牆系統本身及內部網路電腦主機執行網域
名稱查詢,僅得指向內部DNS。
(3)選擇一個特定IP位址(例如:172.20.20.1),於內部D
NS將黑名單內所有網域(Domain)位址指向此特定IP,
同時於防火牆規則,設定記錄連至此IP的電腦主機,當
有後門程式連線行為時,即會觸發規則並列入紀錄。
3.申請作業
(1)因任務須辦理防火牆規則開通或變更,應填具防火牆規
則變動申請單(如附件十六),於任務執行前一週完成
一般性申請;因緊急任務(如演習、系統緊急測試等)
須立即開通或變更防火牆規則,得由需求單位及業務部
門協調通資部門(跨軍種應由管理機關通資部門相互協
調)優先作業,並於一週內完成正式程序申請。
(2)因民網環境暴露網路攻擊風險下,需常態保持監控並於
遭受攻擊時立即納入防火牆阻擋,攻擊數據統計表併同
防火牆臨時變更申請單於每周五上呈幕僚長以上長官批
示。
(3)內部網段存取外部資訊服務,由通資部門審認後開通;
外部網段存取內部資訊服務,如內部系統非通資部門業
管,須由業管部門附議業務需求,再經通資部門審認後
開通。
(4)規則變更申請須奉單位通資主管(含)以上長官核定;
特殊演訓活動依其相關指導計畫所律定權責辦理。
(5)核定執行之申請單應留存一年,俾後續稽核及查考。
|
十三、其他
(一)本部配合年度資訊安全督考時機,驗證各單位執行成效,並
提列工作檢討會檢討。
(二)本部及各地區定期辦理網路管理教育訓練,提升各單位對網
路管理能量,並蒐整改進建議,持續強化網路安全管理作業
。
(三)凡未依規定肇致相關違犯事件,除依法究辦外,並依陸海空
軍懲罰法及國軍資訊安全相關規定懲處。
(四)網系間資料交換須經跨網系資料交換系統,並經由相關保防
部門及權責長官奉准後始可實施資料交換,資料交換均需以
核可使用之移動式儲存媒體執行作業。
(五)本規定未臻詳盡部份,應遵行部頒「國軍資訊安全政策」、
「國軍資訊資產管理作業規定」、「國軍資通安全責任等級
分級作業指導」、「國軍資安事件通報應變指導要點」、「
跨網系資料交換部署計畫」及「國防部所管特定非公務機關
資通安全管理作業辦法」等規範。
|