轉教育部112年08月16日臺教資通字第1120080723號函

主旨：轉知數位發展部資通安全署(以下簡稱資安署)資安攻防演練常見缺失及資安威脅態樣與建議，詳如說明，請查照並轉知所屬(管)。
說明：依數位發展部資通安全署112年8月14日資安通報字第1122000142號辦理。

-----------------------------------------------------------------------------------------------------

一、112年上半年攻防演練常見缺失如下，請確實檢查並予以補強

（一）使用者帳號密碼被取得，例如：

1.使用預設帳號密碼。

2.帳密或帳密規則揭露於網站、文件或影片等。

3.弱密碼(帳號密碼相同或密碼複雜度≦2種組合)。

（二）資料庫(敏感性資料如密碼或個資)未採取加密儲存或遮罩等保護措施。

（三）發現注入攻擊弱點類型，如SQL Injection、Cross-Site Scripting等。

二、近期資安威脅態樣之防護建議

（一）近期發生勒索病毒跨機關擴散問題，請各機關應全面檢視與自身有網路連線之機關，應確實規劃網路區隔，降低類此情形發生風險。IOT設備應妥善規劃納入資安防護監控範圍，避免暴露於外網。

（三）新建帳號第1次以預設密碼登入資通系統時，應有強制變更密碼機制，各帳號之預設密碼不宜相同，另建議提高其預設密碼複雜度。

（四）資通訊系統之通行碼驗證機制，應避免採用易遭推論方式(如統編、流水號等)進行驗證。

（五）各機關應持續關注資通訊設備(含網通設備)漏洞修補更新訊息，並定期進行漏洞修補，若有停止更新或支援之產品應進行汰換或加強資安防護。

三、其他注意事項

（一）資安事件不限駭侵與否、不限3級以上事件、不限核心系統，皆應依資安法進行資安事件通報。

（二）資安事件通報應由案關系統維運機關辦理(而非使用機關)，並進行後續應變復原及持續精進作業。