【資訊處-公告】教育部來函說明外部遠端存取連線服務等相關連線之控制措施,請查照。

【資訊處-公告】教育部來函說明外部遠端存取連線服務等相關連線之控制措施,請查照。



教育部來函內文

一、考量近期迭發生機關遠端存取機制,遭駭客利用入侵機關資訊環境或成為攻擊跳板,致發生資通安全事件,為降低資安風險,請各校應避免遠端存取連線服務(如RDP)未經管理曝露在外,且開放內部同仁及委外廠商進行遠端維護資通系統時,應採「原則禁止、例外允許」方式辦理。

二、若因地理限制、處理時效及專案特性等因素須開放遠端存取服務,宜至少辦理下列防護措施:

  (一)參考資通安全管理法施行細則第4條、資通安全責任等級分級辦法附表十之遠端存取相關規定,建立管理機制並落實辦理。

  (二)開放遠端存取期間原則以短天期為限,於結束遠端存取期間後,應確實關閉網路連線。

  (三)建立適切之身分驗證管理(如定期變更密碼、採用多重認證技術等)、日誌紀錄保存、異常行為管理等機制。



校內採取之控管措施:

一、本校於2020-03-20起,已公告管制遠端存取連線服務RDP、SSH及Telnet。

(一)、校內人員採用VPN進行連線管制。

(二)、計畫及合約廠商以「校園網路特殊需求開放申請單」進行來源IP、允許期間之例外開放管制措施。