-
-
一、網路架構圖
應呈現證券商維持業務運作之必要網路環境設備(如:防火牆、路由器、交換器、系統設備、線路配置、伺服器與服務、無線網路),另針對網段、路由規劃、主機IP位址、備援線路應有相關檔案紀錄。
-
二、網路區域劃分
-
(一)為確保網路架構安全,應獨立劃分各工作區域並落實網段隔離。
-
(二)網段應以維持業務運作劃分區域:如隔離區(非軍事區,Demilitarized Zone, DMZ)、營運區(Production, Prod.)、測試區(Unit Test, UT或User Acceptance Test, UAT)及其他等網段。證券商應每半年檢視DMZ區之防火牆規則,並留存相關檢視紀錄。
-
(三)證券商應定義外部網路與內部網路,外部網路連接網際網路,內部網路區域為組織人員與內部服務的伺服器配置區域。由外部網路到內部網路的流量需要經過存取控制,僅限於內部人員公務用或資訊服務供應商申請核准後使用,避免非允許的服務進入。
-
(四)證券商之內部網段區域劃分方式可依據組織內部單位、部門、業務性質等,並規範不同網段(VLAN)間的存取。
-
(五)證券商應使用適當方式隔離限制存取與特定服務,且應視區隔方式,定期檢視防火牆規則或存取控制清單(Access Control List, ACL)。
-
三、內部網路與外部網路管理
-
(一)證券商如有提供內部無線網路使用,其存取保護應採用現行公開資訊已認可且無弱點之安全協定,並比照內部網路管理程序,僅限於內部人員公務用或資訊服務供應商申請核准後使用。
-
(二)證券商如有提供無線網路供內/外部人員使用,無線網路存取保護應採用現行公開資訊已認可且無弱點之安全協定。
-
(三)證券商應建立無線網路密碼原則,以降低密碼破解之風險。
-
(四)證券商如允許內/外部人員使用外部設備存取內部網路,應提出申請並檢視設備安全性與相關授權,並限制存取範圍。