弱點掃描

資通系統弱點掃描服務說明

  1. 服務目的
    為提升本校資通系統安全性,並配合行政院資通安全管理法資通系統資訊安全管理規範之規定,執行本校主機/網站系統弱點掃描檢測,強化校園網站及主機系統資訊安全。
  2. 服務對象
    依據資通系統資訊安全管理規範訂定之適用範圍,如:使用本校之網址(Domain name)、IP 及內容出現本校校名之系統。
  3. 服務流程
    由單位填寫並繳交服務申請單,經確認單位已完成系統備份作業,由網路組統一辦理執行弱點掃描檢測,初掃完成後將檢測結果通知網站系統管理單位申請人,請各單位主機系統負責人員於期限內進行弱點修補,修補完成後由網路組統一進行複掃作業。
  4. 修補作業
    • 高風險弱點修補,除有技術面合理說明或其他因應策略,並經受檢單位主管確認者外,均應進行修補;中低風險若未完成修補,需自行評估風險後提報受檢單位主管。
    • 高風險弱點未完成修補期間,應每日自行檢查及確認網站運作狀況,並留存檢查及修補記錄。
    • 針對高風險弱點,受測單位負責人應確實填寫弱點處理報告單,並由受檢單位主管進行確認後,回覆至檢測業務負責人。
    • 本次檢測之各項弱點,將於下次進行弱點掃描時再次進行追蹤與確認。
  5. 掃描工具與方式
    使用業界公信力之網站主機系統安全掃描軟體進行評鑑網站之安全性測試,如:Nessus、OWASP-ZAP、OpenVAS、Acunetix、DVM等,依據服務需求使用主機或網站弱點掃描作業。

    • 主機弱點檢測:為主要探測主機狀態、網路埠狀態、作業系統類型、系統服務及應用程式類型等。
    • 網站弱點掃描:依據OWASP TOP 10標準等項目進行檢測。