五穀國小資訊安全通報事件處理流程

| | | 引用 (0)
Ø  資訊安全事件包括:系統被入侵、對外攻擊針對性攻擊、散播惡意程式、中繼站、電子郵件社交工程攻擊、垃圾郵件、命令或控制伺服器、殭屍電腦、惡意網頁、惡意留言、網頁置換、釣魚網頁、個資外洩以及通訊中斷等。

Ø   本校資訊安全事件等級,由輕微至嚴重區分等級如下:

l   符合下列任一情形者,屬0級事件:

(1) 未確定事件或待確認工單:來自不同計畫所使用新型技術(A-SOC miniSOC,…)所產生之工單,但其正確性有待確認。

(2) 其他單位所告知教育部所屬單位所發生未確定之資安事件。

(3) 教育部及區、縣網路中心檢舉信箱通告之資安事件。

l   符合下列任一情形者,屬1級事件:

(1) 非核心業務資料遭洩漏。

(2) 非核心業務系統或資料遭竄改。

(3) 非核心業務運作遭影響或短暫停頓。

l   符合下列任一情形者,屬2級事件:

(1) 非屬密級或敏感之核心業務資料遭洩漏。

(2) 核心業務系統或資料遭輕微竄改。

(3) 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。

l   符合下列任一情形者,屬3級事件:

(1) 密級或敏感公務資料遭洩漏。

(2) 核心業務系統或資料遭嚴重竄改。

(3) 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

l   符合下列任一情形者,屬4級事件:

(1) 國家機密資料遭洩漏。

(2) 國家重要資訊基礎建設系統或資料遭竄改。

(3) 國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

Ø   本校任何人於校內發現異常情況或疑似資安事件,應立即向資訊組長(教師)通報,資訊組長(教師)儘速處理並研判事件等級。

Ø   資訊組長(教師)當發生研判事件等級3(含)以上之事件,應立即通報資訊業務主管及校長,並以電話聯絡教育局()資訊安全管理單位,由校長儘快召集會議研商處理的方式。(資安事件通報程序,附件1)

Ø   本校發生內部無法處理之資通安全事件,應通報新北市教育局資訊安全管理單位協助處理。

Ø   資安通報依情報來源分為「告知通報」與「自行通報」,若收到「告知通報」事件通知,由資安業務承辦人登入教育機構資安通報平台,完成通報及應變作業。

Ø   資安事件須於發生後1小時內進行通報,012級事件於事件發生後72小時內處理完成並結案(包括通報與應變)34級事件於事件發生後36小時內完成並結案。

Raid server boot failed again

| | | 引用 (0)

2016/10/26 做完 apt-upgrade 後 reboot fail

同樣卡在 initramfs , Raid5 server degrade

進入後 mdadm --detail /dev/md0 ,device 0(sda1) was moved....

mdadm --detail /dev/md127 , sda is spared....

原先 sda 規劃為 sda1(md0),sda2(md127),設定異常

解決方法:

mdadm --remove /dev/md127 /dev/sda

mdadm --add /dev/md0 /dev/sda1

mdadm --add /dev/md127 /dev/sda2

系統馬上自動 rebuild md0 並將 /dev/sda2 上線為 md127 的 spare

Raid server boot failure.....

| | | 引用 (0)

2016/10/15  web server boot failure

訊息: 啟動後卡在 initramfs 重新啟動後 Raid 5 系統自動 degrade

原因:

系統由 sda2 sdb2 sdc2 sdd2(spare) 組成 RAID5,但 sda2 故障,自動 degrade

然後自動將 sda2 remove,並安排 spare sdd2 上線 rebiuld system

解決步驟: 

關機移除 sda ,並更換 500G 硬碟(sata 排線順序不可更動)

重新 fdisk sda 為sda1 sda2, 並 mkfs 為 ext3 後加入 Raid5 為 spare.....

mdadm --add /dev/md0 /dev/sda1 

mdadm  -add /dev/md127 /dev/sda2

mysql not work

| | | 引用 (0)

2016/10/26 on app2 server

訊息: mysqld_safe Can't log to error log and syslog at the same time

雖然至 my.cnf 修改 errlog 設定,還是 job fail to start ....

查詢 /var/log/mysqld/error.log

找到真正的原因是 /var/lib/mysql-files 目錄不存在

重建後 service mysqld start 就 OK 了.......

■作業依據:

個人資料保護法第17條:公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:

一、 個人資料檔案名稱。
二、 保有機關名稱及聯絡方式。
三、 個人資料檔案保有之依據及特定目的。
四、 個人資料之類別。


個人資料保護法之特定目的及個人資料之類別 ( 民國 101 年 10 月 1 日 修正 )。


■公告日期:2015-05-13

■保有機關:苗栗縣五穀國民小學

■聯絡方式

地  址:苗栗縣公館鄉五穀村260號
電  話:037-226731
電子郵件:school@ms.wugues.mlc.edu.tw


■資料內容:

單位名稱

個人資料檔案名稱

保有依據

特定目的

個人資料類別

教務組

學生基本資料

苗栗縣國民中學學生學籍管理辦法

苗栗縣國民小學學生學籍管理辦法

一五八學生資料管理

識別類(C○○一 辨識個人者、C○○三 政府資料中之辨識者);
特徵類(C○一一 個人描述);
家庭情形(C○二三 家庭其他成員之細節)

教務組

學生成績資料

苗栗縣國民中小學學生成績評量辦法

苗栗縣國民中小學學生學籍及成績電子資料管理規範

一五八學生資料管理

識別類(C○○一 辨識個人者);
教育、技術或其他專業(C○五七 學生紀錄)

健康中心

學生健康檢查紀錄表

學生健康檢查實施計畫

一五八學生資料管理

識別類(C○○一辨識個人者);
特徵類(C○一一個人描述、C○一二身體描述);
家庭情形(C○二三家庭其他成員之細節);
健康與其他(C一一一健康紀錄)

教導處

學生輔導資料記錄表

國民教育法施行細則

一五八學生資料管理

識別類(C○○一辨識個人者);
特徵類(C○一一個人描述、C○一二身體描述、C○一三習慣、C○一四個性);
家庭情形(C○二三家庭其他成員之細節);
社會情況(C○三一住家及設施、C○三五休閒活動及興趣);
教育、技術或其他專業(學生紀錄)

教導處

學生輔導記錄

國民教育法施行細則

一五八學生資料管理

識別類(C○○一辨識個人者);
特徵類(C○一一個人描述、C○一四個性)

人事室

公務人員履歷資料

人事管理條例、行政院暨所屬各機關人事行政資訊化統一發展要點、行政院及所屬各機關人事資料統一管理要點

○○二人事管理

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);
教育、技術或其他專業(C○五二資格或技術);
受僱情形(C○六一現行之受僱情形、C○六三離職經過、C○六五工作紀錄、C○七二受訓紀錄 )

人事室

差勤資料

公務人員請假規則、教師請假規則

○○二人事管理

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);
受僱情形(C○六一現行之受僱情形、C○六五工作紀錄 )

人事室

機關員工聯絡資訊

行政院及所屬機關人事資料統一管理要點

○○二人事管理

識別類(C○○一辨識個人者)

人事室

退休撫卹資料

公務人員退休法及其施行細則、公務人員撫卹法及其施行細則、學校教職員退休條例及其施行細則、學校教職員撫卹條例及其施行細則

○九七退撫基金或退休金管理 

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);
家庭情形(C○二一家庭情形);
受僱情形(C○六一現行之受僱情形、C○六二僱用經過、C○六三離職經過、C○六四工作經驗、C○六八薪資與預扣款 )

人事室

平時考核資料

公立高級中等以下學校教師成績考核辦法、公務人員考績法及其施行細則、行政院及所屬各機關公務人員平時考核要點

○○二人事管理

識別類(C○○一辨識個人者);
受僱情形(C○六五工作紀錄 )

人事室

福利資料

行政院所屬各級人事機構人員設置管理要點、全國軍公教員工待遇支給要點、中央公教人員急難貸款實施要點、中央各機關學校員工文康活實施要點 

○○二人事管理

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);
家庭情形(C○二一家庭情形、C○二三家庭其他成員之細節);
財務細節 (C○八七津貼、福利、贈款 )

人事室

保險資料

公教人員保險法及其施行細則、全民健康保險法

○六四保健醫療服務

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);
家庭情形(C○二一家庭情形、C○二三家庭其他成員之細節);
受僱情形(C○六一現行之受僱情形、C○六八薪資與預扣款 )

教務組

代課教師資料

中小學兼任代課及代理教師聘任辦法

一○九教育或訓練行政

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);
特徵類(C○一一個人描述);
教育、技術或其他專業(C○五二資格或技術)

總務處

教職員工薪津資料

公立學校教職員敘薪辦法、全國軍公教員工待遇支給要點

一二九會計與相關服務

識別類(C○○一 辨識個人者、C○○三 政府資料中之辨識者);
受僱情形(C○六八 薪資與預扣款)

總務處

家長會資料

苗栗縣各級學校學生家長會設置辦法

○○二人事管理

識別類(C○○一 辨識個人者、C○○三 政府資料中之辨識者);
特徵類(C○一一 個人描述);
家庭情形(C○二三 家庭其他成員之細節)

財務細節 (C○八七津貼、福利、贈款 )

訓導組

志工名冊

志願服務法

一○九教育或訓練行政

識別類(C○○一辨識個人者、C○○三政府資料中之辨識者);

訓導組

學生保險資料

苗栗縣各級學校辦理學生團體保險辦法

一五八學生資料管理

識別類(C○○一辨識個人者);
特徵類(C○一一個人描述、C○一二身體描述);
家庭情形(C○二三家庭其他成員之細節);
健康與其他(C一一一健康紀錄)

資料來源:

法務部法規查詢系統http://mojlaw.moj.gov.tw/index.aspx

苗栗縣政府法規查詢系統http://law.miaoli.gov.tw/glrsnewsout/index.aspx

台南市教育局個資保護專區http://www.tn.edu.tw/pinfo/index.html

一、    目標

本規範為規定五穀國小(以下簡稱本校)資通安全管理作業實施方法,以增進資訊作業之安全性,確保學校各項資料之機密性、完整性與可用性。

二、    適用範圍

本校電腦、資訊與網路服務相關的系統、設備、程序、及人員。

三、    實施規定

1.            網路安全

 

1.1        網路控制措施

l  學校與外界連線,應僅限於經由教網中心之管控,以符合一致性與單一性之安全要求。

l  學校內特殊系統(例如會計系統、學生學籍、成績原始資料系統等)之資料,當有必要透過網路進行傳輸時,建議透過虛擬私有網路(Virtual Private Network, VPN或同等連線方式進行;若無透過網路進行傳輸需求,則建議區隔於網路之外。

l  應禁止以電話線連結主機電腦或網路設備。

 

1.2        網路安全管理服務委外廠商合約之安全要求

l  委外開發或維護廠商必須簽訂安全保密切結書。

 

2.            系統安全

2.1        職責區隔

l  本校伺服主機電腦可依個別應用系統之需要,設置專屬電腦,例如網路服務主機(電子郵件、網站主機)、教學系統主機(例如隨選視訊主機)。

l  本校的行政系統主機(例如財務、人事、公文系統等)電腦,由市教育網路中心或教育處等單位統籌管理。

 

2.2        對抗惡意軟體、隱密通道及特洛依木馬程式

l  本校的個人電腦應:

-          裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理

-          設定並進行「Windows Update」之程式更新作業,以防範作業系統之漏洞

l  學校內個人電腦所使用的軟體應有授權。

l  新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。

 

2.3        資料備份

l  系統管理人員需針對學校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;週期為每週進行一次。

 

2.4        操作員日誌

l  系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。

 

2.5        資訊存取限制

l  本校校內之所有電腦設備應以教育及行政辦理功能為目的,並設定特定安全管控機制(例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取、禁止下載或操作線上遊戲、禁止瀏覽違法、暴力、色情網站或處理及存取相關資料等)。

 

2.6        使用者註冊

l  學校應制定電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:

-          使用唯一的使用者識別碼(ID)。

-          檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。

-          保存一份包含所有識別碼註冊的記錄。

-          使用者調職或離職後,應移除其識別碼的存取權限。

-          每學期檢查並取消多餘的使用者識別碼和帳號。

-          每學期檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限。

 

2.7        特權管理

l  學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。

 

2.8        通行碼之使用

l  管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼應設定有效期限。

l  資訊系統與服務應避免使用共同帳號及通行碼。

l  由學校發佈通行碼(Password)制定與使用規則給使用者,內容應包含以下各項:

-          使用者應該對其個人所持有通行碼盡保密責任

-          要求使用者的通行碼設定,避免使用易於猜測之數字或文字,例如生日、名字、鍵盤上聯繫的字母與數字(如12345678 asdfghjk),以及過多的重複字元等。或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。

l  因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的通行碼。

 

2.9        原始程式庫之存取控制

l  學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。

 

2.10    通報安全事件與處理

l  資訊安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。

l  本校任何人於校內發現異常情況或疑似資安事件應立即向資訊組通報,資訊組儘速進行處理並研判事件等級

l  事件影響等級說明:

資訊安全事件依影響等級區分為4個級別,由重至輕分別為「4級」、「3級」、「2級」及「1級」。

4級事件,符合下列任一情形者:

l  機密資料遭洩漏。

l  關鍵業務系統或資料遭嚴重竄改。

l  關鍵業務系統運作停頓,無法於可容忍中斷時間內回復正常運作。

3級事件,符合下列任一情形者:

l  敏感資料遭洩漏。

l  關鍵業務系統或資料遭竄改。

l  關鍵業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

2級事件,符合下列任一情形者:

l  限閱等級資料之關鍵業務系統或資料遭洩漏。

l  關鍵業務系統或資料遭輕微竄改。

l  關鍵業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正

   常運作。

1級事件,符合下列任一情形者:

l  非關鍵業務系統或資料遭洩漏。

l  非關鍵業務系統或資料遭竄改。

l  非關鍵業務運作遭影響或短暫停頓可立即修復。

l  資訊組當發生研判事件等級3()以上之事件,應立即通報資訊業務主管及本校校長,並以電話聯絡教育網路中心資安業務承辦人,儘快研商處理方式

l  當學校內部無法處理之資通安全事件,應通報嘉義市教育網路中心協助處理。

l  所訂出資訊安全事件通報程序應公布於校園內使用電腦與網路之場所,提供使用者瞭解。

l  資安事件如需對外通報,由資訊組登入教育機構資安通報平台進行通報(網址:https://info.cert.tanet.edu.tw) 

3.            實體安全

3.1        設備安置及保護

l  學校重要的資訊設備(如主機機房)應置於設有空調空間。

l  學校資訊設備主機機房、電腦教室區域,應設置滅火設備,並禁止擺放易燃物、或飲食。

l  學校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況。

l  學校資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖或其他同等裝置。

 

3.2        電源供應

l  學校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS電源保護措施,以免斷電或過負載而造成損失。

 

3.3        纜線安全

l  學校資訊設備主機機房、電腦教室區域內應避免明佈線。

 

3.4        設備與儲存媒體之安全報廢或再使用

l  所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫。

 

3.5        設備維護

l  應與設備廠商建立維護合約。

l  廠商進入安全區域需簽訂安全保密切結書。

 

3.6        財產攜出

l  未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。

l  當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。

l  相關財產之攜出應依教育部或學校既有之相關規定處理。

 

3.7        桌面淨空與螢幕淨空政策

l  結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料(例如公文、學籍資料等)及資料的儲存媒體(如USB隨身碟、磁碟片、光碟等),妥善存放。

l  學校提供教職員工或學生使用的個人電腦應設定保護裝置,如個人鑰匙、個人密碼以及螢幕保護。

 

4.            人員安全

4.1        將安全列入工作執掌中

l  應將資訊安全納入教職員手冊說明中,以強化工作上之資訊安全意識。

l  因業務需要將機敏資料交付委外廠商時(如辦理保險、校外教學業務等),廠商必須簽訂安全保密切結書。

 

4.2        資訊安全教育與訓練      

l  本校系統管理人員有足夠能力執行日常基礎之資安管理系統維護工作,並使其瞭解資安事件通報之程序。

l  本校鼓勵並安排資訊組長/老師/系統管理人員、以及所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認知。

 

5.            相關法令網路資源

5.1        智慧財產權

l  經濟部智慧財產局 http://www.tipo.gov.tw/

l  著作權法 http://www.tipo.gov.tw/copyright/copyright_law/copyright_law_92.asp

 

5.2        個人資訊的資料保護及隱私

l  電腦處理個人資料保護法www.fpppc.gov.tw/bulletin/menu4-7/93year/pcinfo.doc

 

5.3        電子簽章法

l  電子簽章法
http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05.htm

l  電子簽章法施行細則http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05_p01.htm

l  核可憑證機構名單
http://www.moea.gov.tw/~meco/doc/ndoc/s5_p07_p03.htm

 

四、    本規範經校長核可後公布實施,修正時亦同

條碼合併列印無法成功讀取

| | | 引用 (0)

今天製作模範生線上投票通知,發現 free 3of9字型條碼機讀不到

解決方式:

word 合併列印時後面加空白

如 *100001*_(底線是空白),讓條碼長比正確......

2016-3-7

但是 office 2013 合併列印還是不行

預設文字間距導致條碼無法讀取

非得用 office 2010 不可

 

預計成效:學校電子郵件+無線網路認證+VPN使用同一帳號密碼登入

1.電腦教室安裝 pfsense 2.2.3,並安裝 freeradius2 server, pptpd 認證指向 freeradius2

2. monowall 無線認證與 pptp vpn 也預定以 freeradius 認證指向電腦教室 pfsense freeradius2 server(測試完成)

3.學校電子郵件 openwebmail 改用 pfsense freeradius server 認證(已測試),步驟如下:

a. apt-get install libpam-radius-auth

b. vi /etc/pam_radius_auth.conf,將 radius server 指向 pfsense

c. vi /etc/pam.d/openwebmail ,加入  auth sufficient pam_radius_auth.so 使 openwebmail 使用 radius 認證

d. cd /usr/lib/cgi-bin/openwebmail/etc/defaults,vi auth_pam.conf, 將 servicename 改成 openwebmail,即將openwebmail 認證改至 pam.d 下的 openwebmail 認證即可

 

 

本校VPN連線設定

| | | 引用 (0)

教育部自由軟體教材下載,歡迎老師多加利用

四年級教材下載

五年級教材下載

六年級教材下載

 

http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/25.0.1/linux-x86_64/xpi/zh-TW.xpi

發生原因為 stud_seme_score 資料表未設定  

PRIMARY KEY  (`seme_year_seme`,`student_sn`,`ss_id`),
UNIQUE KEY `sss_id` (`sss_id`)

登入 mysql 處理步驟

0.先刪除重複資料 sfs3/modules/score_input/check_error_0106.php

1.更名  stud_seme_score 為 stud_seme_scor_old

2.  CREATE TABLE IF NOT EXISTS `stud_seme_score` (
  `sss_id` bigint(20) unsigned NOT NULL auto_increment,
  `seme_year_seme` varchar(6) NOT NULL default '',
  `student_sn` int(10) unsigned NOT NULL default '0',
  `ss_id` smallint(5) unsigned NOT NULL default '0',
  `ss_score` decimal(4,2) default NULL,
  `ss_score_memo` text,
  `teacher_sn` smallint(6) NOT NULL default '0',

  PRIMARY KEY  (`seme_year_seme`,`student_sn`,`ss_id`),
  UNIQUE KEY `sss_id` (`sss_id`)
) ENGINE=MyISAM;

3. 還原原先資料INSERT stud_seme_score SELECT * FROM stud_seme_score_old

-----  問題排除 -----------

為支援本校各項成果資料統計
資訊組提供各處室資料統計網路圖表繪製服務
目前提供繪製類別為長條圖與圓形圖
製作的圖表在 Android 手機下也可正確顯示
也可支援手機 QRCode 讀取

展示範例請點選 這裡-展示範例

因使用 Google Chart API, 在Windows 7 下 Internet Explorer 10 無法顯示
請改用 Firefox 或 Google 瀏覽器觀看

如果同仁在家電腦需要緊急協助

在可上網的情況下請先下載執行 TeamViewer

並設定成"僅執行"-"個人非商業用圖"

然後將出現的 ID 與密碼記下,撥電話給資訊組

資訊組即可遠端切入您的電腦代為操控

 

學生教學用電子郵件帳號啟用

| | | 引用 (0)
為方便學生學習電子郵件收發
本校三至六年級學生已開設電子郵件帳號

帳號格式為 學號@ms.wugues.mlc.edu.tw
密碼為 身份證字號,英文字母為大寫

請電腦任課教師務必將學生電子郵件收發列入學習內容