微軟去年中就公告Windows XP今年4月8日停止技術支援後恐產生資安漏洞,行政院資通安全辦公室(以下簡稱資安辦)於3月26日發文建議各級政府單位加強因應,不少政府機關、大學院校也在4月初時,在網站上轉發這份公告,來通知內部各單位。澎湖縣的嵵裡國小自4月8日陸續收到相關公文,最後一封則是在4月21日,嵵裡國小電腦老師黃德文批評:「政府早就知道4月8日XP終止服務,但怎麼等到真正終止服務時,才開始想辦法。」

澎湖縣政府資訊室科長陳富宗表示,這份3月26日發出的XP防護建議公文之前,沒有收到資安辦對於XP終止服務後相關建議的通知。臺北市政府教育局資訊室臨僱管理師許世杰表示,臺北市政府也是在3月26日,第一次收到由資安辦對於XP終止服務的相關通知。

不過,臺北市政府資訊局綜合企劃組組長謝明峯表示,臺北市政府早在2011年2月23日就展開因應措施,提出了Windows 7升級部署規畫藍圖,提醒各單位及早更新或修補。並在2011到2012年間,舉辦5場Windows 7教育訓練,介紹微軟部署工具Sysprep,並於去年5月再次發函提醒所屬單位。

而像黃德文自己也早就得知XP終止服務的消息,但因為先前沒有收到任何通知,只能自行蒐集相關資訊。去年12月,嵵裡國小已自行更新學校班級教室內的電腦加上行政部門所用的35臺電腦,可是,嵵裡國小的人事和出納系統所用的電腦過於老舊而無法執行Windows 7作業系統,還是只能使用Windows XP。直到4月22日,都還沒有收到政府針對這些硬體老舊無法升級的問題,所發布的相關因應措施。

而且,黃德文表示,XP過期後才建置防護措施的意義不大,XP已有相當多的漏洞,所以,防護效果並不明顯。嵵裡國小雖然已經安裝防火牆與防毒軟體,但是,作業系統只要存在漏洞,就可能被駭客入侵,若電腦被植入木馬,不會產生網路流量異常,政府也無法監測出來,所以會產生資安風險。

澎湖縣教育網路中心則計畫於6月6日開設訓練課程協助中小學升級XP,但黃德文認為:「2個月後才升級就太慢了。」,澎湖縣教育網路中心主任林銘志解釋,由於政府預算還沒有下撥,所以直到今年5月到6月才針對XP終止服務後的防護措施,辦理相關的教育訓練。

行政院資通安全辦公室諮議湯德光表示:「原本XP的安全性就不高,但是,我也不確定會發生什麼問題,目前也沒有調查各機關的因應狀況。」不過,湯德光表示:「因為微軟很早就公告要在4月8日終止服務,所以不可以收到公文才開始做相關的安全防護措施,各單位應該在更早之前就要規畫。」

資安辦在提醒公文中附上了一份《因應微軟公司Windows XP作業系統終止支援服務之防護措施建議》的參考文件,文件內提到,根據微軟第15期資訊安全情報報告,XP受到惡意程式感染率相當高,掃描1,000臺XP電腦後發現,含有惡意程式的電腦數量達9.1臺,遠高於Windows 7與Windows 8。因此這份文件提供了多種升級因應措施供各級政府參考。

例如這份建議文件中提出,在XP上安裝之Internet Explorer(以下簡稱IE)也在XP中止後,無法取得更新的修補程式,因此,資安辦建議各級單位在XP環境下停止使用IE,改採其他瀏覽器來降低風險,例如Google Chrome或 Mozilla Firefox。不過,陳富宗表示,實務上,很多學校的行政系統都只支援IE的環境,改用Chrome或是Firefox,反而會衍生瀏覽器相容性的新問題。

 

2014年4月24日更正說明:原提及澎湖縣嵵裡國小直到4月21日才收到這份公文的說法有誤,嵵裡國小電腦老師黃德文澄清,嵵裡國小從自4月8日陸續收到相關公文,最後一封則是在4月21日。另外原文提及嵵裡國小去年12月升級電腦教室和行政部門所用的35臺電腦有誤,嵵裡國小所升級的是班級教室內的電腦與行政電腦,電腦教室皆為Linux平臺,不需升級。特此更正,內文已更新。

熱門新聞

Advertisement