主旨：「109 年度臺灣學術網路防範惡意電子郵件社交工程演練」宣導公告

說明：

一、依教育部臺教資(四)字第 1090071941 號函，「109 年度臺灣學術網路防範惡意電子郵件社交工程演練服務計畫」訂於 6 月-11 月期間進行 2 次演練。

二、上半年演練已經開始進行，敬請各位主管及同仁們對不認識之寄件者的信件務必提高警覺，非公務信件最好刪除。

三、本年度演練受測人員：

       (一)主管、一般行政人員、教師。

       (二)演練提報名單：本校 109 學年度在職教職同仁。

       (三)「具備本校郵件帳號相關人員」，身分不侷限於正職人員。

       (四)不包含本校學生。

四、演練時程： 109 年 6-11 月期間進行 2 次演練，上半年演練已於 6 月初開始，下半年演練於 9 月-11 月期間進行。

五、演練方式：教育部集中辦理，隨機選取(主管占 40%/一般行政人員占 60%)，每人每次演練寄送 10 封。

六、宣導課程分兩階段辦理：

       (一)第一階段（演練時）：針對所有行政人員，全面性實施教育訓練。

       (二)第二階段（演練後）：針對測試成功之人員再次進行個別教育訓練加強宣導，以強化其警覺性。

七、演練型態

       (一)由教育部資科司以偽冒公務、個人或公司行號等名義發送公務、個人或公司行號等名義發送惡意郵件給演練對象，郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或 WORD 附加檔。

       (二)本項測試作業之測試信件寄件人名稱均為偽造，用來測試受測人對寄件人名稱是否合理的辨識能力。

八、測試成功定義

       (一)開啟信件：信件透過預覽或點開方式開啟，且信件本文內所含圖片亦完成圖片下載之動作，始認定為測試成功。若郵件系統預設之安全設定為「不會自動下載圖片」，即使預覽功能設定為開啟，或直接打開測試信件，因無下載圖片之動作，不會造成安全漏洞，將不會記錄為測試成功。

       (二)轉寄信件：無論在各種郵件系統開信(Outlook 、 Webmail)或轉寄至其他信箱(如:gmail 、 yahoo 、 hotmail 等)，都會被登錄為測試成功。

       (三)點選連結：點選信件內文中之連結網址，將被記錄為測試成功。請注意，即使在純文字模式下開啟信件不會觸發信件連結，可達到防止惡意信件的目的，但卻又將信件內文中的連結網址複製到瀏覽器中開啟，同樣會被記錄為測試成功。

       (四)開啟附檔：開啟信件內文中之附檔，將被記錄為測試成功。

九、詳細說明及108 年演練郵件範本請參閱附加檔

十、本項公告資訊，轉貼自台南藝術大學資訊處公告資訊。