:::
花蓮縣政府教育處 RSS訂閱
日期從
關鍵字
110448

公告 教育部學術資訊安全監控中心及中華資安監控中心,通報花蓮縣少數國中小學校,有疑似網路物聯網設備可能存在資安風險,詳如說明請查照。

一、依據國家高速網路與計算中心南區教育部學術資訊安全監控中心 ASOC 通報郵件辦理。 

二、 ASOC 發現花蓮縣所屬轄下單位 IP ,疑似有網路物聯網設備(如網路印表機、網路攝影機、網路 IP 分享器),可能存在資安風險       

IP MAC 產品 / 主機 所屬交換器位置
210.240.53.202 E8:9C:25:60:DF:98 ASUS Wireless Router RT-AC52 網點位置-總務處交換器 DGS-1100-16 (IP:10.101.172.22) 第 16 Port
10.100.65.29 08:6A:C5:53:52:D7 電腦主機(被安裝中國軟體, 植入名為灰鴿子的遠端遙控程式,讓中國政府自由操控設備主機) 網點位置-機房-L3 (IP:10.100.64.1)第 5 Port

 

三、建議措施 :

行政院指示:公務用之資通訊產品不得使用大陸廠牌,為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,重申相關原則

   (一)公務機關使用資通訊產品(含軟體、硬體及服務)相關原則

  1. 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
  2. 個人資通訊設備不得處理公務事務,亦不得與公務環境介接。
  3. 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接
  4. 資通訊產品定義:參考資通安全管理法第 3 條用詞定義,包含軟體、硬體及服務等項,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等。
  5. 各機關無法於期限內完成汰換作業或有窒礙難行之處,須填報正當理由。

   (二)設備廠牌為大陸高風險產品,使用實體對外 IP 連線,皆存在資安風險,請採取適當管控措施,以提升學術網路資訊安全。

   (三)請確認該裝置是否需要讓外部 IP 存取,避免非經授權之系統存取;若否,則建議移至內部網路(虛擬 IP)並限制特定 IP 才可管理該系統與使用服務。

   (四)個人電腦疑似可能存在資安風險者建議重新安裝作業系統並將版本更新為最新狀態。

   (五)網路 IP 分享器建議管理 IP 改為內部虛擬固定 IP(10.100.x.x),並將韌體版本更新,關閉 DHCP(自動配發 IP)功能,強化登入管理介面帳密複雜程度。

主辦單位: 教育部學術資訊安全監控中心
承辦單位: 教育網路中心
發布者: 陳毓倫
連絡電話: 03-8462860#509
傳真號碼: 03-8577524
公告時間: 2024-07-09 15:28:00
最後修改: 2024-07-09 16:41:09
點閱數: 245