第十六點 金融 FIDO 作業環境之網路管理應符合下列要求： 一、網路應區分網際網路、非武裝區（Demilitarized Zone； 以下簡稱 DMZ）、營運環境及其他（如內部辦公區）等區 域，並使用防火牆進行彼此間之存取控管。機敏資料僅能 存放於安全的網路區域，不得存放於網際網路及 DMZ 等 區域。對外網際網路服務僅能透過 DMZ 進行，再由 DMZ 連線至其他網路區域。 二、金融 FIDO 作業環境與其他網段間之連線必須透過防火牆 或路由器進行區隔與控管；同一網段與其他系統應有存取 控管。 三、系統僅得開啟必要之服務及程式，客戶僅能存取已被授權 使用之網路及網路服務。內部網址及網路架構等資訊，未 經授權不得對外揭露。 四、應檢視防火牆及具存取控制（Access control list，ACL ）網路設備之設定，至少每年一次；針對高風險設定及六 個月內無流量之防火牆規則應評估其必要性與風險；針對 已下線系統應立即停用防火牆規則。 五、為能維持系統可用度，系統維運人員得使用遠端連線進行 系統管理作業，資料傳輸應使用足夠強度之加密通訊協定 ，並不得將密碼紀錄於工具軟體內，惟應避免將連線固定 密碼紀錄於工具軟體內，防止惡意程式竊取；另得評估採 用兩項以上技術或一次性密碼等安全設計，登入金融 FIDO 平臺之作業系統。 六、應管控內部無線網路之使用，不得以內部無線網路直接連 線至金融 FIDO 平臺，並應加強必要防護措施進行隔離或 限制。 七、經由網際網路連接至內部網路進行遠距之系統管理工作， 應遵循下列措施： （一）應審查其申請目的、期間、時段、網段、使用設備、目 的設備或服務，至少每年一次。 （二）應建立授權機制，依據其申請項目提供必要授權，至少 每年檢視一次。 （三）變更作業應加強身分驗證，每次登入可採用照會或二項 （含）以上安全設計並取得主管授權。 （四）應定義允許可連結之遠端設備，並確保已安裝必要資訊 安全防護。 （五）應建立監控機制，留存操作紀錄，並由主管定期覆核。