五、安全系統設計原則
(一)具機密或個人隱私資訊之應用系統(AP),傳輸時應設計加密機制
(如 SSL 或 https 等),必要時應針對資料內容加以保護,例
如:資料庫加密,並記錄傳輸的相關資訊,包含傳輸來源、接收目
的位址、傳送時間與傳輸成功或失敗等資訊。
(二)應視系統需求,進行會談期逾時(Session timeout) 控制,以防
止未經授權使用者的存取。
(三)輸入應用系統之資料,儘可能實施合理性檢查,以確保資料之正確
與完整性。
(四)系統內部之處理作業宜建立檢核點或驗證資料正確性之作業程序,
避免系統處理失誤。
(五)作業系統或應用程式應安裝安全修補,以防止資訊系統的弱點被不
當利用。
(六)系統開發應避免將連線密碼直接明寫於程式碼中,且連線帳號應限
制權限,避免使用最高權限帳號,例如:sa、root、admin 進行連
線。