資安公文宣導

[ ISMS ]

行政院訂定「受託者資通安全聯合查核指引」

說明：

一、行政院訂定「受託者資通安全聯合查核指引」，自即日起生效，試行1年，請查照並轉知所屬。

二、有關上述指引之詳細內容，請參閱附檔。

三、本指引適用對象為「資通安全管理法」納管之公務機關。

[ 資訊安全指引 ]

主旨：檢送教育部制定「教育體系遠距教學之資訊安全指引」

說明：

一、為強化各級學校師生遠距教學軟體與設備之資安防護，教育部訂定「教育體系遠距教學之資訊安全指引」，以作為校園內實施遠距教學時考量網路安全因素與預防措施之參考原則。

二、教育體系遠距教學之資訊安全指引資訊內容詳如附件，請參閱並依指引遵守相關規則。

[ 資安採購 ]

行政院有關大陸廠牌資通訊產品盤點結果中，屬「在臺陸資廠商」之產品採購。

說明：

依據行政院秘書長110年9月23日院臺護長字第1100186822號函辦理。

各機關應於110年12月31日前完成汰換大陸廠牌資通訊產品。

評估結果屬「在臺陸資廠商」，非屬本次盤點及汰換範圍。

如辦理採購時，涉及經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」，應確實於招標文件中載明不允許在臺陸資廠商(陸資資訊服務業者)參與。

詳細公文請參考附檔。

參考資料：

關於「具敏感性或國安(含資安)疑慮之業務範疇」採購工程會解釋函令

經投審會核准之陸資投資資訊產業事業清冊(統計至110年8月31日)

[ ISMS ]

為降低資安風險，請落實資通系統及資訊之盤點。

說明：

近期學校經外界通報多起漏洞情資，為避免敏感資訊外洩，請各校應依資通安全管理法及其子法各項規範要求辦理安全防護及控制措施。

資通系統盤點範圍至少包含行政、教學單位自行或委外開發之資通系統，以及學校採購及公務使用之物聯網設備。

針對前開盤點之資通系統清單，應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及依業務需求設定適當網路存取限制。

資通系統避免軟體常見漏洞，落實漏洞修復並定期更新。

未依前述規定辦理，致使學校發生資安事件，情節重大者，學校應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。

詳細資料請參閱附檔。

參考資料：

公務機關所屬人員資通安全事項獎懲辦法。

[ 資安維運 ]

本校近期發生諸多起SMB(Port 445)暴力破解之網路攻擊行為，為提升校園網路資安管理及降低資安事件發生機率，本中心將加強校園網路防火牆管控措施，詳如說明。

說明：

　一、近期本中心發現多起利用SMB(Port445)之網路攻擊行為，皆影響本校正常網路之使用及可用性，著名例子為2017年的WannaCry勒索軟體病毒便是利用SMB之漏洞入侵電腦主機達成檔案加密行為。

　二、為有效阻擋惡意連線及維持網路穏定性，將針對以下二方面進行校園網路防火牆出入口規則之調整。

　1.封鎖校外網路連接本校各單位之目的Port：445。

　2.封鎖本校各單位連接至校外(含國外)IP位址之目的Port：445。

　三、各單位可採取以下措施，以減少主機被入侵或遭植入惡意程式(病毒)之機率

　1.作業系統需每月排程定期更新。

　2.安裝防毒軟體定期排程掃毒(本校有提供賽門鐵克及卡巴斯基防毒軟體可下載安裝使用) 。

　3.主機內部帳號需設定嚴謹密碼管控(密碼需數字+英文至少8個字以上)。

　4.各項設備請勿使用預設帳號及密碼，如網路印表機或影印機等。

　5.便攜式儲存設備(如usb隨身碟)不共用，防止病毒交叉感染。

　6.如有NAS設備(QNAP或Synology等)，定期更新韌體，避免被當成駭客跳板。

　7.如設備無外部連網需求，建議可申請虛擬IP位址，可減少被外部主機攻擊機會。

　四、上述管控措施預計於110年10月21日啟用，若仍有類似連線需求，建議改採VPN等替代方式進行。