資安法規
對應 DBSAFER 功能
控制措施 01:對資通系統之存取採取多重認證技術。
- Access Control Preferences(存取控制偏好設定)
- SecureConnect 2FA(安全連線雙重驗證)
- Secure Login Options(安全登入選項)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
- Real-Time Command Monitor(即時指令監控)
在DBSAFER的設定檔中設定密碼的長度、複雜度,另外也可以設定登入時需經過二次驗證(OTP、電子郵件)。
控制措施 02:資通系統應具備唯一識別及鑑別其單位使用者(或代表其單位使用者行為之程序)之功能,禁止使用共用帳號。
- Access Control Preferences(存取控制偏好設定)
- SecureConnect 2FA(安全連線雙重驗證)
- Secure Login Options(安全登入選項)
- Password Rule Setting(密碼規則設定)
- Admin Action Tracker(管理員行為追蹤)
- Policy Violation Report(政策違規報告)
除了設定安全帳號(PC Agent)密碼之外,並且新增登入MAC address的檢查。確認帳號、密碼、MAC Address三個條件都符合才可放行。
控制措施 03:身分驗證機制應防範自動化程式之登入或密碼更換嘗試。
- SecureConnect 2FA(安全連線雙重驗證)
- Password Rule Setting(密碼規則設定)
- Access Control Preferences(存取控制偏好設定)
- Secure Login Options(安全登入選項)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
設定登入完帳號密碼後需強制手動輸入二次驗證才可以登入成功。
控制措施 04:密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記。
- SecureConnect 2FA(安全連線雙重驗證)
- Secure Login Options(安全登入選項)
- Password Rule Setting(密碼規則設定)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
DBSAFER 的 AuthManager 具備強大的密碼重設機制,可確保使用者在重新進行身份確認後,獲取一次性及具有時效性的符記(OTP),防止未經授權的密碼變更行為。
1. SecureConnect 2FA(安全連線雙重驗證)
• 當使用者申請密碼重設時,系統可要求雙重驗證(2FA),確保密碼重設請求來自合法用戶。
• 支援 OTP(一次性密碼)、電子郵件或簡訊驗證碼,確保密碼重設過程的安全性。
• OTP 具有時效性,過期後將自動失效,防止重放攻擊。
2. Secure Login Options(安全登入選項)
• 允許設定密碼重設的驗證方式,確保使用者需透過額外身份驗證後,才能獲得密碼重設權限。
• 可配置密碼重設通知,當密碼變更時,系統可自動發送通知給使用者,防止帳號遭劫持。
3. Password Rule Setting(密碼規則設定)
• 確保密碼重設後的新密碼符合安全策略,例如最小長度、特殊字元要求,防止弱密碼攻擊。
• 強制使用者在密碼重設後立即變更密碼,以確保安全性。
4. Access Control Preferences(存取控制偏好設定)
• 允許設定密碼重設的額外安全驗證方式,如設備識別、地理位置限制,以降低風險。
• 針對特權帳戶(如管理員帳號)可設定更嚴格的密碼重設流程,確保不被惡意利用。
5. Policy Violation Report(政策違規報告)
• 監測是否有異常的密碼重設請求,如短時間內多次申請重設、異常 IP 來源發起重設。
• 當偵測到可能的帳號劫持或密碼攻擊時,系統可自動封鎖並通報管理員。
6. Admin Action Tracker(管理員行為追蹤)
• 記錄所有密碼重設相關的管理員操作行為,確保變更過程透明可稽核。
• 當管理員執行密碼重設時,系統會記錄詳細資訊,如操作時間、變更目標帳戶、驗證方式。
控制措施 05:使用預設密碼登入系統時,應於登入後要求立即變更。
- Password Rule Setting(密碼規則設定)
- Secure Login Options(安全登入選項)
- SecureConnect 2FA(安全連線雙重驗證)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
管理員重設完密碼後告知使用者一次性密碼,使用者在輸入完一次性密碼後需重設密碼再可進行後續動作。
控制措施 06:身分驗證相關資訊不以明文傳輸。
- Secure Login Options(安全登入選項)
- SecureConnect 2FA(安全連線雙重驗證)
- Password Rule Setting(密碼規則設定)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
從登入安全帳號(PC Agent)開始,所有的操作都以加密方式傳遞資料。
控制措施 07:具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用其單位自建之失敗驗證機制。
- Secure Login Options(安全登入選項)
- Password Rule Setting(密碼規則設定)
- SecureConnect 2FA(安全連線雙重驗證)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
DBSAFER可設定當身分驗證失敗達五次時最長可鎖定24小時都不可登入。
控制措施 08:使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。
- Password Rule Setting(密碼規則設定)
- Secure Login Options(安全登入選項)
- SecureConnect 2FA(安全連線雙重驗證)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
DBSAFER的密碼設定最低長度為4碼、最長為31密碼,並可搭配英數、符號的密碼規則。
控制措施 09:密碼變更時,至少不可以與前三次使用過之密碼相同。
- Password Rule Setting(密碼規則設定)
- Secure Login Options(安全登入選項)
- SecureConnect 2FA(安全連線雙重驗證)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
DBSAFER預設為每次重設的密碼都不可與前一次相同,且 Enterprise Manager settings 也可限制 manager account 及 Cert ID不可重覆使用最近 N 次的密碼。
控制措施 10:資通系統應遮蔽鑑別過程中之資訊。
- Secure Login Options(安全登入選項)
- SecureConnect 2FA(安全連線雙重驗證)
- Password Rule Setting(密碼規則設定)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
DBSAFER可設定敏感資訊(身份證號碼、帳號、姓名)的資料庫欄位以*號顯示。
控制措施 11:資通系統如以密碼進行鑑別時,該密碼應加密或經雜湊處理後儲存。
- Password Rule Setting(密碼規則設定)
- Secure Login Options(安全登入選項)
- SecureConnect 2FA(安全連線雙重驗證)
- Access Control Preferences(存取控制偏好設定)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
DBSAFER 透過 AES-256 加密、SHA-256 日誌封存、存取控制與雙重驗證,確保密碼安全保存,防止未授權存取與資訊洩漏。
控制措施 12:資通系統應識別及鑑別非其單位使用者(或代表其單位使用者行為之程序)。
- AccessGuard(存取控制)
- SecureConnect 2FA(雙重驗證安全連線)
- Admin Action Tracker(管理員操作追蹤)
- DBAccessShield(資料庫存取安全)
- Real-Time Command Monitor(即時指令監控)
- Access Event Watcher(存取事件監控)
- Policy Violation Report(政策違規報告)
DBSAFER可與AD/LDAP 整合登入者若非為同步後的帳號則拒絕存取。
外部使用者透過WORKS提出申請單,申請有效期限的帳號。
1. AccessGuard(存取控制) ✅ (核心功能)
限制非其單位使用者的存取,透過 IP 限制、設備驗證、帳號管理 確保只有授權人員可存取系統。
2. SecureConnect 2FA(雙重驗證安全連線) ✅
強制使用 OTP 或 MFA(多因素驗證)識別與鑑別使用者,確保只有合法身份的使用者可登入系統。
3. Admin Action Tracker(管理員操作追蹤) ✅
監控管理員與特權帳號的行為,確保帳號未遭濫用或被未授權人員操作。
4 .DBAccessShield(資料庫存取安全) ✅
監測所有數據存取行為,防止非其單位使用者進行未授權的資料存取或異常操作。
5 .Real-Time Command Monitor(即時指令監控) ✅
識別異常指令與可疑行為,例如非其單位使用者透過指令試圖存取機敏數據或修改系統設定。
6 .Access Event Watcher(存取事件監控) ✅
偵測並記錄所有登入行為、來源 IP、登入設備,分析非其單位使用者或不明身份的存取行為。
7. Policy Violation Report(政策違規報告) ✅
當系統偵測到非其單位使用者試圖存取或異常行為時,自動產生警報並通知管理員。
控制措施 13:針對系統安全需求(含機密性、可用性、完整性),進行確認
- DBAccessShield(資料庫存取安全)
- Data Masking(資料遮罩)
- End-to-End Encryption(端對端加密)
- Connection Monitor(連線監控)
- Real-Time Command Monitor(即時指令監控)
- Policy Violation Report(政策違規報告)
- Secure Log Seal(安全日誌封存)
- Audit Log Encryption(日誌加密)
- Admin Action Tracker(管理員操作追蹤)
DBSAFER 透過存取控制、資料加密、異常偵測與日誌管理,確保系統機密性、可用性與完整性,防止未授權存取、錯誤操作與數據篡改。
1. DBAccessShield(資料庫存取安全)
限制未經授權的資料存取,確保機密資訊僅限於授權使用者查閱。透過 IP、帳號、應用程式控制存取來源,防止內部資料外洩。
2. Data Masking(資料遮罩)
對敏感資料(如 身份證字號、帳戶、信用卡資訊)進行遮罩,防止非授權使用者查看完整數據。
3. End-to-End Encryption(端對端加密)
透過 TLS/SSL 加密 確保資料在傳輸過程中不被攔截,防止未授權存取。
4. Connection Monitor(連線監控)
監測 DBMS、FTP、終端機連線狀態,若發生異常可即時通知管理員,確保系統持續運行。
5. Real-Time Command Monitor(即時指令監控)
偵測系統關鍵指令(如 大規模刪除、系統崩潰風險操作),防止惡意或錯誤操作影響可用性。
6. Policy Violation Report(政策違規報告)
分析系統異常行為,確保存取策略符合業務需求,避免因錯誤設定導致系統可用性降低。
7. Secure Log Seal(安全日誌封存)
防止日誌紀錄被篡改,確保所有系統活動的可追溯性。
8. Audit Log Encryption(日誌加密)
加密系統日誌,確保所有存取紀錄與安全事件不可變更,維護完整性。
9. Admin Action Tracker(管理員操作追蹤)
監控管理員行為,確保變更與配置調整符合安全政策,避免惡意或錯誤設定影響系統完整性。
控制措施 14:執行「源碼掃描」安全檢測。
DBSAFER 無直接掃描源碼安全漏洞的功能。
DBSAFER 可監控開發過程,確保程式碼存取安全與變更管理的合規性。
建議:可以使用第三方工具(CodeStrike、Review Assistant、Reshift…等)進行源碼掃描檢測,並且可以整合至自動化部屬管道(CI/CD)進行安全檢測,若發現異常則可以在部屬至生產環境前進行阻擋及修復。
控制措施 15:資通系統不使用預設密碼。
- AccessGuard(存取控制)
- AuthManager(身份驗證與授權管理)
DBSAFER 透過 AuthManager 和 AccessGuard 確保系統不使用預設密碼,並提供嚴格的密碼政策與存取控制機制。
《AccessGuard(存取控制)》
1. 禁止使用預設密碼
• 在系統初始設定時,強制要求變更預設密碼,確保所有帳戶均使用獨特且安全的密碼。
• 針對資料庫與 IT 系統的管理員帳戶,禁止弱密碼(如 “admin123″、”password” 等)。
2. 密碼策略與強制變更
• 透過 Password Rule Setting 設定密碼複雜度,要求使用大小寫字母、數字及特殊字符組合。
• 設定密碼有效期限,要求使用者定期更換密碼,以減少密碼洩露的風險。
《AuthManager(身份驗證與授權管理)》
3. 強化身份驗證
• 支援多重身份驗證(MFA),如 OTP(一次性密碼)、生物辨識(指紋、人臉辨識)。
• 可設定 雙因子驗證(2FA),確保即使帳戶密碼洩漏,仍需額外身份驗證才能存取系統。
4. 存取控制與監控
• 透過 RBAC(角色基礎存取控制)與 ABAC(屬性基礎存取控制) 限制存取權限。
• 監控並記錄所有帳號的變更與存取行為,如有異常行為可立即封鎖或發送警報。