Your browser seems not to support the JavaScript. But don't worry, it will not affect the content displays without the JavaScript. If you would like to change the font size, for IE6 you can use the keyboard to hold Alt + V → X → (G)largest (L)large (M)medium (S)small (A)smallest to choose the font size; for IE7 or Firefox you can use the keyboard to hold Ctrl + (+)enlarge (-)shrink the font size. If you want to go back to the previous page you can use the keyboard to hold Alt + (←)left arrow, for print you can use the keyboard to hold Ctrl + P. 跳到主要內容
:::

資通安全弱點通報機制(VANS)專區-FAQ

1.機關應何時完成VANS系統導入作業?

依110年8月23日頒布之「資通安全責任等級分級辦法」修正條文明定如下:
(1)資通安全責任等級 A 級與B級之公務機關:
■初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
(2)資通安全責任等級 A 級與B級之特定非公務機關:
■關鍵基礎設施提供者初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
(3)資通安全責任等級 C 級之公務機關:
■初次受核定或等級變更後之二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
(4)資通安全責任等級 C 級之特定非公務機關:
■關鍵基礎設施提供者初次受核定或等級變更後之二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

2.應辦事項列表中資安弱點通報機制(VANS)應導入範圍為何?是否有建議之上傳頻率?

(1)公務機關 VANS 導入範圍以全機關之資訊資產為原則,有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入;關鍵基礎設施提供者 VANS 之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統。
(2)有關資訊資產上傳頻率,除重大弱點通報或大量資產異動外,建議每個月至少定期上傳 1次,機關如採系統化介接方式,可增加上傳頻率;並應針對發現弱點設定修補期限,未修補前應加強防護及異常偵測,以確保弱點管理之即時性及有效性。

3.填寫弱點改善內容後,資安處是否會管考後續改善結果?

VANS機制主要協助機關進行自我弱點管理,惟若爆發重大弱點時,將參考填復內容以了解機關處理方式與進度。

4.VANS系統是否會揭露機關內各主機安裝之軟體與對應弱點,恐有安全上之疑慮?

VANS系統不會記錄主機資訊,僅顯示全機關資產項目與對應之弱點。

5.因所屬機關使用者電腦數量龐大且沒有納入AD,是否要逐台盤點?

VANS係以全機關資訊資產為範圍,隸屬於機關之資訊資產皆在盤點範圍內,若無AD環境,建議可採用第三方自動化工具執行盤點。

6.工控系統是否納入VANS導入範圍,而工控系統廠商自行開發之程式是否需要盤點?

工控系統以能持續運作為首要目標,若VANS導入作業會影響相關系統運作,建議先評估是否導入。若導入,則自行開發之程式需盤點至VANS系統上進行資產管理。

1.若機關已定期執行弱點掃描與風險評鑑,是否仍需進行資產盤點與風險比對呢?

因弱點掃描與VANS弱點比對之標的、方式、範圍均不同,兩者有互補效果,建議仍需進行資產盤點與風險比對。

2.系統所比對出之弱點,如何得知弱點存在於哪些主機呢?

執行資訊資產盤點作業後所產出之資訊資產清冊中,內容包含各軟體資產對應之主機資訊,可藉由弱點對應軟體資產,再由軟體資產對應主機資訊之方式,找出含有該弱點之主機。

3.伺服器主機與使用者電腦軟體資產是否需分開盤點?

建議分開盤點與產製資訊資產清冊,以利辨別弱點隸屬與後續修補作業。

4.考量作業便利性,是否考慮將資產與主機對應資訊一併記錄至VANS系統上?

若將資產與主機對應資訊一併上傳至VANS系統,資訊恐過於敏感,故規劃採分層式管理,VANS系統中不會記錄主機資訊。

5.無法連線至網際網路之電腦,以及外點單位之電腦,是否仍需盤點並上傳至VANS系統?

VANS係以全機關資訊資產為範圍,故內網或外點單位資訊資產亦須盤點並上傳至VANS系統。

6.手動盤點與彙整的方式較複雜,若有多個分區且電腦數量多,有什麼建議方式嗎?

若有網域環境,建議可透過派送的方式進行盤點,盤點後再一次性地進行彙整。若非網域環境,建議可透過各區的負責人,定期進行盤點後再統一彙整。

7.資通系統或網站上所使用第三方元件(如jQuery)是否也可使用VANS系統檢查有無弱點?

可以。機關盤點資通系統或網站上所使用之第三方元件,並對應至CPE條目後,亦可上傳至VANS系統進行弱點比對。

8.未比對到CPE之資產,是否仍需上傳至VANS系統?

公務機關VANS導入範圍以全機關之資訊資產為原則,關鍵基礎設施提供者VANS之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統,因此未比對到CPE條目之資產仍需上傳至VANS系統。

9.VANS系統弱點比對結果中,有許多微軟產品弱點,若平時已有定期安裝安全性更新(KBID),該如何判斷哪些弱點尚待修補?

(1)若機關已完整安裝安全性更新(KBID),大多數弱點可視為已完成修補,少數非透過安全性更新修復之弱點,建議參考微軟官方所提供之緩解措施進行處理。
(2)可透過VANS系統安全性更新(KBID)與弱點(CVE)關聯分析功能,查看尚待修補之弱點。

10.如何申請VANS系統帳號?

(1)請至資安人員身分驗證(iAuth)系統申請VANS系統機關管理者帳號。
(2)請填寫「附表-資通安全弱點通報系統(VANS系統)機關管理者帳號申請(異動)單」,表單核章後,請掃描並以電子郵件方式向行政院資安處申請,開通完成將以電子郵件寄發通知。

11.一個機關最多可申請幾個VANS系統機關管理者帳號?

一個機關最多可申請2個機關管理者帳號。

12.若「iAuth帳號」已被停用,該如何重新啟用並申請為VANS系統機關管理者呢?

(1)請以申請iAuth帳號時所使用之信箱,寄信至技服中心VANS服務信箱(VansService@nccst.nat.gov.tw),包含以下資訊:
■郵件主旨:請註明「欲重新啟用iAuth帳號並申請為VANS系統機關管理者」。
■郵件內容:請提供「機關名稱」、「iAuth帳號名稱」、「人員姓名」及「聯絡電話」等資訊,以利進行身分核對。
(2)待iAuth帳號重新啟用後,請依VANS系統帳號申請流程進行申請。

13.為何會收到「資通安全弱點通報系統帳號申請補件通知」信件?

若於iAuth系統上申請VANS系統機關管理者帳號,但未於10個工作天內提供「附表-資通安全弱點通報系統(VANS系統)機關管理者帳號申請(異動)單」予行政院資安處,將寄發補件通知信提醒機關儘快提出申請單,否則將於5個工作天後取消該帳號之權限申請。

14.如何申請使用API介接?

請填寫「資通安全弱點通報系統(VANS系統)API介接申請(異動)單」,表單核章後,請掃描並以電子郵件方式向行政院資安處申請,開通完成將以電子郵件寄發通知並提供API傳輸方式、API介接格式及VANS系統對外IP等相關資訊。

15.為何登入VANS系統時顯示個人帳號已被停用,遇到此狀況時該如何解決?

(1)基於安全性考量,超過180天未登入iAuth系統之帳號將被鎖定,使得登入VANS系統時將顯示該帳號已被停用。
(2)遇此狀況時,請寄信至VANS服務信箱(VansService@nccst.nat.gov.tw),確認使用者身分後將協助恢復帳號權限。

16.如何刪除VANS系統機關管理者帳號?

請填寫「資通安全弱點通報系統(VANS系統)機關管理者帳號申請(異動)單」並核章後,提交資安處審查,審核過後由技服中心協助進行後續處理。

1.於系統上傳資訊資產時,資訊資產清單之檔名是否須與範本檔檔名一致?

上傳清單檔名可自行命名,但檔案內的欄位順序須一致,否則系統無法解析。

2.若機關使用者電腦由多人分工管理,當一項資產出現在多台電腦時,該如何填寫弱點改善措施呢?

建議負責管理伺服器主機與使用者電腦之各負責人皆可申請VANS一般使用者帳號,即可進入系統更新資產與填寫弱點改善措施,或以機關為單位,指派專人彙整資料並登入VANS系統填寫弱點改善措施。

3.機關管理者帳號與一般使用者帳號之權限有何差異?

在VANS系統中,除下列2項差異外,其餘權限皆相同:
(1)機關管理者帳號可重新產生API KEY,但一般使用者帳號僅可查看API KEY。
(2)機關管理者帳號可查看機關內各帳號的資產異動歷程記錄,但一般使用者帳號僅可查看自身資產異動歷程記錄。

4.弱點比對通知功能列表顯示的弱點數量,為何與通知展開後顯示的弱點數量不同呢?

弱點比對通知功能列表顯示的是「弱點種類數量」,因此若此則通知內包含重複的CVE編號,則僅會算1個。

5.系統比對出弱點後,下載弱點清單進行改善措施填寫時,若僅填寫部份弱點項目之改善措施,並移除未填寫之項目後,重新上傳至系統,系統會如何處理呢?

弱點清單若僅填寫部份弱點項目之改善措施,並移除未填寫之項目後,重新上傳至系統時,系統只會針對有填寫改善措施的部分進行覆蓋。

6.帳號已具備VANS系統機關管理者權限,但登入VANS系統時顯示「沒有使用系統之權限」,請問該如何解決?

(1)請至資安人員身分驗證(iAuth)系統,於「個人帳號管理-->權限異動申請」功能中,確認所登入之帳號是否已具備VANS系統一般權限。
(2)若尚未具有一般權限,請參閱「資通安全弱點通報系統(VANS系統)帳號申請說明文件」之2.5節,針對該帳號提出一般權限申請。

7.VANS系統「資訊資產管理」功能中,「資通系統資產列表」與「使用者電腦資產列表」功能有何差異?

兩者功能相同,對象不同,分別對應至「資通系統」與「使用者電腦」之資產與弱點,以方便機關區分與管理。

8.透過Web手動上傳並解析成功後會收到解析通知信,但透過API上傳時,解析成功後不會收到解析通知信,此為正常現象嗎?

此為正常現象,透過API上傳時會立刻解析並回傳成功或錯誤之訊息,故不會另外寄信通知。

9.如何申請VANS系統API KEY?

請至VANS系統「設定管理 > 資產管理API設定」產生專屬之API KEY。

10.主管機關如欲使用同一套工具代為上傳所屬機關之CPE資產至VANS系統,並在系統上查看個別機關之資產與弱點內容,請問要如何實作?

VANS系統具有主管機關代所屬機關上傳CPE資產之功能,主管機關使用同一套工具取得所屬機關之資產內容後, 可透過「主管機關API KEY」+「所屬機關OID」+「所屬機關資產」方式代為上傳,即可在系統上查看該所屬機關之資產與弱點內容。惟請留意, 上傳前務必確認「所屬機關OID」正確性,以免所屬機關資產蓋掉主管機關資產。

11.有關VANS系統上傳功能釋疑:
(1)已曾上傳資產至VANS系統,再次上傳時系統會如何處理?
(2)透過API上傳時,系統也是以覆蓋方式處理嗎?
(3)若是透過覆蓋方式上傳,已填寫之改善措施是否也會被覆蓋呢?
(4)為何上傳資產清單後,「資產清單上傳」按鈕會消失不見?

(1)系統會透過覆蓋方式處理,僅留存最後一次上傳之資產。
(2)透過API上傳之資產同樣以覆蓋方式處理,僅留存最後一次上傳之資產。
(3)重新上傳後,系統會依據新上傳之資產進行弱點比對。若已填寫改善措施之弱點項目未變動,則改善措施仍會存在。
(4)資產清單上傳後,為避免重覆進行上傳動作,故VANS系統之弱點比對完成前,會暫時停用「資產清單上傳」功能,待收到「弱點比對完成」通知信後方可執行下一次上傳。

12.VANS系統資產清單為何要同時使用常見格式與CPE格式呢?

常見格式欄位目的為便於使用者查看與辨識資產,CPE格式則供VANS系統進行自動化弱點比對使用。

13.為何部分CPE條目沒有對應之CVE弱點?

當有CVE弱點發生時,NVD將針對受影響之軟體資產編列CPE條目,並將當前可用之版本預編對應之CPE條目,因此可能出現部分版本無對應弱點之情況。

14.是否無法修補弱點時,才會用到填寫改善措施功能?

該欄位主要提供機關管理弱點之用,若遇到未能即時更新軟體版本或經評估後欲接受風險時,可透過填寫改善措施功能記錄弱點處理進度。

15.VANS系統之「查看修補KBID」功能是否已有考量KB取代關係呢?

VANS系統已有考量KB取代關係,請點擊CVE弱點之「查看修補KBID」欄位,彈出清單內容即顯示可修補此弱點之所有KB編號。

16.若不同電腦缺漏相同之安全性更新檔時,系統會如何顯示?

VANS系統係呈現機關整體資產與弱點資訊,未對應至個別電腦,當不同電腦缺漏相同之安全性更新檔時,系統會以機關整體數量資訊(已安裝之安全性更新數量/應安裝之安全性更新數量)呈現。

17.若欲大量移除VANS系統上資產資料,除了透過使用者介面逐筆刪除外,是否有其他方法?

可於VANS系統下載資訊資產清單,移除多餘資料後重新上傳,即可達到大量刪除資產資料之目的。

18.若資產風險列表已出現弱點比對結果,卻沒收到弱點比對通知,有何可能原因?

1.同一項資產的同一個弱點只會於首次比對到時進行1次通知,之後不會再出現相同之弱點通知。
2.可於「設定管理-->通知設定」頁面確認以下幾項設定是否設定完成:
(1)已開啟弱點通知功能
(2)已設定接收弱點通知之電子郵件地址
(3)資產風險列表的弱點CVSS分數高於弱點通知分數門檻

19.上傳已安裝KBID至VANS系統後,要如何查看哪些弱點尚未修補?

可至資訊資產風險列表中,查看各資產「詳細資訊」之「修補KBID」欄位,該數字代表該CVE弱點之「已安裝KBID數量/應安裝KBID數量」,若已安裝KBID數量小於應安裝KBID數量,則表示該弱點尚未修補。

1.導入VANS是否有推薦的共契廠商?

建議可參考共契所列之支援廠商名單。
廠商名單查詢:經濟部工業局軟體採購辦公室

2.共契廠商如何與VANS系統進行介接,相關流程為何?

共契廠商與VANS系統進行介接流程分為3個階段:
(1)評估階段:共契廠商必須滿足下列條件,
■廠商不含陸資
■欲介接之產品已納入共同供應契約電腦軟體採購項目
■欲介接之產品已具備作業系統與軟體資產管理功能
■滿足以上條件者,請寄信至技服中心VANS服務信箱(VansService@nccst.nat.gov.tw)提出介接申請,等待技服中心回覆資格評估結果。

(2)介接階段:通過資格評估後進行以下流程,
■參與介接說明會議
■申請VANS測試站帳號
■系統功能開發與介接測試

(3)測試階段:完成功能開發後進行以下流程,
■提供介接測試檔予技服中心確認檔案格式正確性
■執行CPE轉換正確率測試
■通過測試者提供共契標案資訊予技服中心

3.電腦若已安裝Windows作業系統更新彙總套件,是否仍需安裝個別安全性更新?

(1)因Windows作業系統更新彙總套件已包含先前的安全性更新項目,因此不需要再額外安裝個別安全性更新。
(2)惟Microsoft Office、.NET Framework及Microsoft Silverlight等產品之更新未涵蓋於Windows作業系統更新彙總套件中,故仍需個別安裝。

4.資產比對到CPE條目後,後續會一直變動嗎?

(1)NVD會不定時更新CPE條目,因此進行正規化作業時,請確保使用最新版完整CPE清單進行比對。
(2)已上傳至VANS系統之資訊資產CPE條目有更新時,使用者登入系統後會提示是否以更新的CPE條目取代舊有的。