來源：參考國內外高階資訊安全管理規範及近期各單位雲端系統稽核實務建議。

威脅對象（校園內部風險）： 校內教職員工因工作需求安裝之未經審核瀏覽器外掛、免費第三方協作工具，以及因欠缺權限管理導致的帳號憑證外洩風險。

一、主題面向簡介

隨著數位教學與行政作業普及，教職員常使用瀏覽器擴充套件或第三方協作工具提升效率。然而，這些第三方軟體未經嚴格安全審核，可能在背景進行數據側錄或攔截工作階段資料，導致帳號遭劫持風險，需建立軟體採購與使用指引。

二、漏洞嚴重性

部分擴充套件要求過高存取權限，如讀取所有網站資料，可能導致工作階段資訊外洩。此外，缺乏透明隱私政策的協作工具，可能將公務文件或個資上傳至不明伺服器，構成嚴重的機關資料外洩風險。

三、同仁怎麼做（日常設備操作三招）

第一招：精簡擴充功能與盤點：建立明確的定期稽核與複核機制，全面檢視並清理長期未更新或開發者不明的擴充套件，確保瀏覽器環境僅保留必要且高信任度的工具，從源頭杜絕無效權限帶來的潛在風險。

第二招：落實權限階級化（RBAC）：嚴格實施基於角色之存取控制，依據職能明確定義並指派權限級別。確保軟體存取遵循最小權限原則，嚴禁權限過度授與。

第三招：API安全治理與監控（含MFA）：全面盤點系統對外串接之所有API接口，嚴格限縮連線IP位址；全面啟用系統操作稽核日誌，詳細記錄敏感資料的讀取、修改與匯出軌跡；並針對關鍵業務系統強制實施多因子身份驗證，以確保即便憑證外洩，仍能防範非法入侵。