您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

臺中市政府主管法規共用系統

列印時間:113.11.23 09:02

歷史法規

法規名稱: 臺中市政府網頁應用程式防火牆服務管理要點
民國 108 年 07 月 24 日
圖表附件:
法規內容:

一、臺中市政府(以下簡稱本府)為妥善管理共構網路網頁應用程式防火
    牆服務(以下簡稱本服務)資源,供本府所屬機關申請運用,特訂定
    本要點。


二、本要點之主管機關為本府,管理機關為臺中市政府資訊中心(以下簡
    稱資訊中心)。


三、本要點用詞定義如下:
    (一)共構網路:係指本府所屬機關以虛擬私有網路(Virtual Private
        Network)與臺灣大道市政大樓介接共構之網路。
    (二)網頁應用程式防火牆(Web Application Firewall,以下簡稱WAF)
        :係指提供網頁應用程式超本文傳輸協定(HyperText Transfer 
        Protocol)的過濾、監視及阻擋惡意連線行為,保護標的為建置
        於本府共構網路之網站系統。
    (三)WAF規則:係指WAF防護核心基礎,當網際網路使用者瀏覽網站系
        統之行為觸發特定規則時,WAF將依規則阻斷後續動作。
    (四)申請機關(以下簡稱機關):係指欲申請本服務之本府所屬機關
        。
    (五)機關窗口專責人員(以下簡稱窗口):係指機關應指定專人作為
        本服務申請及聯絡窗口。
    (六)申請網站系統(以下簡稱網站系統):係指機關自行或委外建置
        之網站系統,欲申請本服務者。
    (七)透通模式(Transparent):係指網站系統經資訊中心核准後,需
        進行兩週的學習模式,將針對該網站觸發WAF規則行為進行統計及
        記錄,期間觸發WAF規則行為不作阻擋。
    (八)阻擋模式(Blocking):係指經透通模式評估無問題後,WAF針對
        惡意行為進行阻擋,若使用者所瀏覽之網站系統頁面遭阻擋,將
        跳出WAF阻擋提示頁面。
    (九)通用憑證(Wildcard SSL Certificates):係指網域名稱為「主
        機名.taichung.gov.tw」之安全通訊協定(Secure Socket Layer
        ,以下簡稱SSL)憑證,其中主機名為由英文字母、數字及「-」
        之任意組合,惟「-」不可為主機名的開頭或結尾。


四、本服務申請條件及方式如下:
    (一)網站系統主機應置於本府共構網路環境內,且該網站系統已屬正
        式上線對外服務狀態,始能申請本服務。
    (二)本服務防護範圍僅為由網際網路(Internet)至機關網站系統之
        外對內連線行為,本府共構網路內部連線行為不在防護範圍。
    (三)針對使用HTTPS網站系統,機關需提供SSL憑證安裝於WAF,以解
        密連線流量,依網域名稱型式的不同,SSL憑證可由以下兩種方
        式取得:
        1.屬於「主機名.taichung.gov.tw」型式者,機關逕向政府憑證
          管理中心(Government Certification Authority)申請或使
          用本服務所提供之通用憑證。
        2.非屬於「主機名.taichung.gov.tw」型式者,機關逕向政府憑
          證管理中心申請。
    (四)機關應填妥「臺中市政府網頁應用程式防火牆服務申請單」(以
        下簡稱申請單,如附件)並核章後,送資訊中心申請。
    (五)本服務申請經資訊中心核准後,為避免影響網站系統運作,需經
        兩週透通模式確認無誤判行為,始能啟用阻擋模式。


五、本服務例外處理申請程序如下:
    (一)網站系統語法觸發部分WAF規則,經機關及其維護廠商評估放行後
        可承擔資安風險者,始能申請。
    (二)機關應填妥申請單並敘明放行WAF規則或暫停理由及期間,向資訊
        中心申請。


六、機關申請本服務,應配合事項如下:
    (一)指定窗口並知會資訊中心,異動時亦同。若因異動時未主動告知
        資訊中心致機關權益受損,資訊中心一概不負責。
    (二)本服務申請程序應由窗口統一申請,不接受機關內部個別申請。
    (三)若使用者瀏覽網站系統頁面遭阻擋而向資訊中心反應時,由資訊
        中心產出阻擋事件報告予機關判定是否為正常行為,機關應於一
        週內確認並回覆。


七、機關有下列情形之一,資訊中心得終止服務:
    (一)違反機關配合事項,經資訊中心通知改善,屆期未改善者。
    (二)網站系統運作情形與申請時有所差異(如網站系統改版、停用、
        網址異動或IP異動),未事前告知資訊中心者。
    (三)其它重大違反本要點行為者。
    (四)由機關填具申請單向資訊中心申請服務終止者。
    符合前項前三款情形,經資訊中心知會窗口後得逕為終止本服務。


八、通用憑證使用方式如下:
    (一)通用憑證僅提供網域名稱為「主機名.taichung.gov.tw」型式且
        使用本服務之網站系統申請使用。
    (二)申請本服務核准後,資訊中心寄送通用憑證電子檔案及相關說明
        文件至申請者電子郵件信箱,相關安裝作業應由機關自行負責。
    (三)通用憑證最大效期為2年,資訊中心將於效期結束前一個月寄送新
        通用憑證予機關,有效通用憑證取得由資訊中心負責。
    (四)通用憑證為本府重要機敏資訊,機關需負保管責任,倘若因通用
        憑證使用不當或外洩造成本府損失,機關應追究失職人員責任。


九、本要點奉核定後實施,如有未盡事宜,得隨時修正補充之。
資料來源:臺中市政府主管法規共用系統