問題描述:同仁利用單位事務機或相關類似設備(Ex.影印機、印表機、掃描器等)進行文件掃描後自動傳輸(FTP機制)到個人業務電腦,然同仁之個人業務電腦中所安裝之接收程式(小型FTP服務)因無認證管制且又因使用實體IP,導致掃描後各類業務檔案(疑似有個資及特種個資等)完全暴露於校外(全球)網路之情況,望轉知查照。
改善建議:
1.提高權限管理: 請將個人業務電腦內所安裝之接收程式(小型FTP服務)關閉匿名存取模式,改為使用有帳密認證之存取模式,並確保密碼之複雜度。
2.限制存取權限: 將windows內建防火牆內之輸入規則中,有關接收程式(小型FTP服務)或通訊埠為21的相關規則改成限制來源為僅事務機IP可以連線。
3.資料移出掃描資料夾: 每次完成掃描動作後,請立即將掃描檔案從掃描接收資料夾中移至(移動並刪除)其他非接收程式(小型FTP服務)可存取之資料夾;此改善手法僅解決資料洩漏之風險,仍有可能遭植入病毒或惡意攻擊。
4.將個人業務電腦納入校內虛擬IP(10.1.XX.XX)
4.將個人業務電腦納入校內虛擬IP(10.1.XX.XX)
備註:
1.改善建議第1點如因安裝的程式無法提供,建議更換其他可提供設定帳密認證之FTP服務程式。目前進行事後掃描及抽測,查有部分FTP是有設定帳密,只是仍可被嘗試連線。
2.因此發現之問題在於採用匿名模式且屬於可上傳檔案的權限,目前事後檢測稽核員所提供清單之電腦內,發現有被植入病毒檔案 (如: info.zip ) 或被探測軌跡 (如: __test.txt ),請各單位同仁落實防毒軟體安裝、病毒掃描與清除。
3.使用校內虛擬IP之個人電腦設備,雖不會被校外連線存取,但仍有可能被校內連線存取,建議亦須改善。
4.本次掃描僅顯示當下有開機使用之設備,各單位仍應針對未被掃描之設備採取以上之建議,以防資料、個資外洩。
5.改善建議第2、3點請依附件範例自行設定,第1點因需設定相關事務機,還請聯絡事務機廠商協助處理。
檔案下載