弱點掃描服務
本校各單位應用系統(網站)無論是自行或委外開發者,皆應通過安全性檢測(如弱點掃描等)並持續維護,降低遭受入侵、竄改或刪除之風險。
並且針對安全性檢測結果「高」風險(含)以上弱點執行修補作業,或提出改善計畫。
改善追蹤作業說明,請參見
弱點掃描介紹
一、建議掃描時機
(一) 網站服務公開上線前:依附表十資通系統防護基準規定,在系統發展生命週期測試階段,應執行「弱點掃描」安全檢測。
(二) 被開立DEF(網頁攻擊警訊)資安事件單者
(三) 定期掃描
二、「主機」與「網站」弱掃差異
建議網站弱點掃描與系統弱點掃描應同步執行。儘管兩者部分檢測內容有所重疊,惟其著眼層面及涵蓋範圍各有側重,併行執行可提升弱點覆蓋率與偵測完整性,進而強化整體資安防護成效。
弱點掃描係透過自動化工具執行,惟部分結果可能出現誤判情形。建議可透過不同平台或工具交叉執行掃描,以比對並補強各自結果,作為風險評估與修補參考之依據。
| 系統弱掃 | 網站弱掃 | |
| 對象 | 伺服器,涵蓋作業系統 | 針對網站應用程式 |
| 主要檢測內容 | CVE漏洞、過舊元件、不安全協定等 | SQL Injection、XSS、權限繞過、弱驗證、CSRF等 |
三、弱掃前置作業
(一) 備份:弱掃前,請備份網站,因弱掃可能造成資料遺失毀損等狀況。
(二) 防火牆設定白名單:將執行弱掃之IP設定為白名單。
(三) 執行弱掃時間
- 執行掃描前,請各單位務必與計中確認執行時間,建議至少於預計掃描日前一至二週提出申請,以利安排作業時程。
- 因弱點掃描作業將可能影響網站服務效能,建議請儘可能排定於非必要服務時段執行,以降低對使用者之影響。
- 倘若無法避開服務時段,建議請於執行前公告網站弱點掃描之時間,並提醒使用者該時段網站服務可能暫受影響,以利使用者事先知悉並配合。
本校主機型弱點掃描服務
自114年起,只要是列入本校資通系統清冊之系統皆執行主機定期掃描,無須額外申請。
定期掃描:每季(3個月)一次。
申請方式
接受額外申請:請填寫申請表且用印後,擲送電算中心網路研發組。申請後如欲異動,請重新繳交表單。
申請表 https://moltke.nccu.edu.tw/formservice_SSO/link.jsp?viewdetail=QP-C04-03-06
諮詢窗口
校內分機 67181
教育體系網站弱點掃描服務
本平台僅供教育部體系網站弱點掃描之服務。
掃描前請先通知網站管理者,並確保網站已完成備份。
使用平台
申請方式
本服務採申請制。
請填寫申請表且用印後,擲送電算中心網路研發組。申請後如欲異動,請重新繳交表單。
申請表 https://moltke.nccu.edu.tw/formservice_SSO/link.jsp?viewdetail=QP-C04-03-06
諮詢窗口
校內分機 63380