主旨:重申本校各單位所屬物聯網設備應落實帳號密碼及連線服務安全管理,請查照並確實辦理。
說明:
一、依教育部臺教資(四)字第1100128345號函文及本校資通安全管理程序要求,各單位資通系統及資訊之盤點範圍,至少應包含學校採購及公務使用之物聯網設備,並應落實帳號密碼、存取權限、服務開放及設備維護等安全控制措施,以降低資通安全風險。
二、請各單位全面檢視所屬或管理之物聯網設備,包括但不限於印表機、網路攝影機、網路儲存設備(NAS)、門禁設備、環控設備、錄影主機及其他連網設備,均不得使用廠商預設密碼、弱密碼或共用密碼。
三、各單位所屬物聯網設備應關閉不必要之連線服務。若因業務需要啟用 FTP、檔案分享、網路分享或遠端管理功能,應設定專屬帳號、強密碼及適當存取權限,不得開放無密碼 FTP 連線、匿名登入、公開網路分享或未授權存取。
四、請各單位指定專人定期檢視設備帳號、密碼、韌體版本、連線服務及存取權限。如設備已無使用需求,應即下線或移除網路連線;如設備已逾使用年限、無法更新韌體或無法符合基本資安要求,請評估汰換。
五、為維護本校整體資通安全,圖書暨資訊處將視資安檢測、弱點掃描或異常連線情形,通知相關單位改善。經通知後仍未改善,且有危害校園網路安全之虞者,必要時將暫停該設備之網路連線,俟完成改善後再予恢復。