主旨：物聯網設備安全管控須知

說明：

一、物聯網設備係指為處理公務具網路連線功能之設備，包含無線網路基地台/無線路由器、網路攝影機、網路印表機、門禁系統、環控系統、遙控無人機等。

二、依111年全國大專校院資安長會議紀錄辦理，禁止使用大陸廠牌資通訊設備。

三、單位應建立物聯網設備管理清冊，並不定期更新。

四、設備應具備安全性更新機制，以維持設備之整體安全性。

五、設備應具備身分驗證機制，不得使用出廠預設帳號及弱密碼，並應強化密碼複雜度，如密碼長度至少8碼，且包含英文字母大小寫、數字與特殊符號等多種要素之組合。

六、設備應關閉不必要之網路連線及服務，依業務需求設定適當網路存取限制；無需對外開放連線者，得以防火牆限制僅供內部連線。

七、若設備無法落實本指引第四、五、六條之安全控管規範，應建立補償性管控機制並限制網際網路連線能力，加強存取控制或進行網路連線行為監控。若設備存在已知弱點且無法修補或更新，應訂定汰換期程。

八、採購物聯網設備時，應優先採購取得資安標章之物聯網設備，且須與設備供應商簽訂資訊安全相關協議，其內容得包含服務承諾、安全性更新年限、主動通報設備已知資安漏洞並提出相關應變處置方案等事項，以明確約定相關責任。

九、針對本校出租場域，應於委外契約或場地租借使用規定，明訂不得使用危害國家資安之產品（如大陸廠牌軟體、硬體及服務）。

圖書資訊處 網路技術組 敬啟