【资讯处-公告】教育部来函说明外部远端存取连线服务等相关连线之控制措施,请查照。

  • 2021-03-15
  • SystemAdmin

【资讯处-公告】教育部来函说明外部远端存取连线服务等相关连线之控制措施,请查照。

 

教育部来函内文

一、考量近期迭发生机关远端存取机制,遭骇客利用入侵机关资讯环境或成为攻击跳板,致发生资通安全事件,为降低资安风险,请各校应避免远端存取连线服务(如RDP)未经管理曝露在外,且开放内部同仁及委外厂商进行远端维护资通系统时,应采「原则禁止、例外允许」方式办理。

二、若因地理限制、处理时效及专案特性等因素须开放远端存取服务,宜至少办理下列防护措施:

  (一)参考资通安全管理法施行细则第4条、资通安全责任等级分级办法附表十之远端存取相关规定,建立管理机制并落实办理。

  (二)开放远端存取期间原则以短天期为限,于结束远端存取期间后,应确实关闭网络连线。

  (三)建立适切之身分验证管理(如定期变更密码、采用多重认证技术等)、日志纪录保存、异常行为管理等机制。

 

校内采取之控管措施:

一、本校于2020-03-20起,已公告管制远端存取连线服务RDP、SSH及Telnet。

(一)、校内人员采用VPN进行连线管制。

(二)、计画及合约厂商以「校园网络特殊需求开放申请单」进行来源IP、允许期间之例外开放管制措施。