【網路技術組公告】有關本校物聯網設備安全管控須知
主旨:物聯網設備安全管控須知
說明:
一、物聯網設備係指為處理公務具網路連線功能之設備,包含無線網路基地台/無線路由器、網路攝影機、網路印表機、門禁系統、環控系統、遙控無人機等。
二、依111年全國大專校院資安長會議紀錄辦理,禁止使用大陸廠牌資通訊設備。
三、單位應建立物聯網設備管理清冊,並不定期更新。
四、設備應具備安全性更新機制,以維持設備之整體安全性。
五、設備應具備身分驗證機制,不得使用出廠預設帳號及弱密碼,並應強化密碼複雜度,如密碼長度至少8碼,且包含英文字母大小寫、數字與特殊符號等多種要素之組合。
六、設備應關閉不必要之網路連線及服務,依業務需求設定適當網路存取限制;無需對外開放連線者,得以防火牆限制僅供內部連線。
七、若設備無法落實本指引第四、五、六條之安全控管規範,應建立補償性管控機制並限制網際網路連線能力,加強存取控制或進行網路連線行為監控。若設備存在已知弱點且無法修補或更新,應訂定汰換期程。
八、採購物聯網設備時,應優先採購取得資安標章之物聯網設備,且須與設備供應商簽訂資訊安全相關協議,其內容得包含服務承諾、安全性更新年限、主動通報設備已知資安漏洞並提出相關應變處置方案等事項,以明確約定相關責任。
九、針對本校出租場域,應於委外契約或場地租借使用規定,明訂不得使用危害國家資安之產品(如大陸廠牌軟體、硬體及服務)。
圖書資訊處 網路技術組 敬啟
瀏覽數: