全校物聯網設備資通安全改善事項說明

致本校教職員工生

為強化物聯網設備防護,避免設備遭到侵害攻擊他人衍生法律相關問題與風險,請依循下列說明與防護基準與稽核缺失進行處理。

物聯網設備請遵循下列要求完成相關防護基準設定:
    1.    更新至最新韌體
    2.    修改預設密碼,請勿使用系統出廠之預設密碼
    3.    限定IP連線範圍,需設定可連線之IP範圍或特定IP,不允許所有IP連線
    4.    關閉物聯網設備不需要或使用不到之服務或協定。
    5.    不得使用主動連線至使用者電腦,物聯網設備不得主動發起連線請求至使用者電腦。如印表機或其他物聯網裝置掃描到FTP、網路芳鄰等…由物聯網設備主動連線到個人電腦之事實。
    6.    物聯網設備如需綁定電子郵件信箱或相關帳號,不得使用公用/共用帳號進行綁定,應以該設備管理人或設備IP管理人所對應之帳號(三者應屬一致)進行綁定作業。

未經上述防護基準設置者,如遭本中心相關機制偵測或資安通報,將會針對該設備管理人及IP封鎖或網路孔封鎖,待矯正預防後再行開通放行。

 

109年底教育部進行資通安全稽核,本校物聯網設備也被列出以下幾點缺失需要進行改正,也是非營利組織OWASP(Open Web Application Security Project)IoT TOP 10 攻擊指標中所歸類出的弱點:

    1. 可猜測或硬編碼的密碼  (Weak Guessable or Hardcoded  Passwords):使用容易被暴力破解的弱密碼、已公開的可用密碼或不可更改的憑證資料,包括硬體或客戶端軟體中,出廠已寫死密碼的後門程式,這些後門程式會授予未經授權的訪問權給已部署的系統。

    2. 不安全的更新機制  (Lack of Secure Update Mechanism) :缺乏安全更新設備的能力。這包括缺少設備上的韌體驗證、缺少安全的傳輸(在傳輸過程中未加密)、缺少防護滾動機制以及缺少自動安全性更新通知。

    3. 不安全的預設值  (Insecure Default Settings):因裝置限制或系統在購置時帶有不安全的預設值或缺乏能夠透過修改設定限制使系統更為安全的操作人員。

其他OWASP IoT TOP 10 可參閱網站說明。

 

所有行政同仁、系辦與教師,務必針對自身保有的物聯網設備(任何連接到網際網路的硬體)進行強化密碼複雜度、更新設備韌體(若設備老舊無法更新請儘快編列預算更換)、修改預設密碼與變更預設設定、限制可讀取的IP範圍等防護措施,以利教育部進行後續複查要求。

參考資料:
萬物聯網的資安威脅─談物聯網資安防護之道
為什麼硬體設置可能造成物聯網 (IoT) 設備崩潰?
臺灣物聯網資安認驗證