| 1. |
何 谓 资 讯 保 安 ? |
| |
资 讯 保 安 指 的 是 保 护 各 方 面 资 讯 和 资 讯 系 统 , 免 于 未 经 授 权 的 接 达 、 使 用 、 揭 露 、 中 断 、 修 改 或 毁 坏 , 以 求 达 到 保 密 性 、 完 整 性 和 可 用 性 。
1) 保 密 性 : 仅 允 许 经 授 权 的 人 员 知 道 或 获 得 接 达 到 资 讯 系 统 所 储 存 或 处 理 的 资 讯 。
2) 完 整 性 : 仅 允 许 经 授 权 的 人 员 修 改 资 讯 系 统 所 储 存 或 处 理 的 资 讯 。
3) 可 用 性 : 用 户 可 在 特 定 时 间 内 使 用 资 讯 系 统 。
|
| |
页 首 |
| 2. |
何 谓 资 讯 科 技 保 安 ? |
| |
资 讯 科 技 保 安 一 词 并 没 有 确 切 的 定 义 , 但 通 常 指 的 是 攸 关 保 密 性 、 完 整 性 和 可 用 性 之 资 讯 科 技 基 本 建 设 、 资 讯 系 统 及 相 关 资 源 的 保 护 。
|
| |
页 首 |
| 3. |
我 们 如 何 能 确 保 资 讯 科 技 保 安 ? |
| |
对 资 讯 科 技 保 安 使 用 系 统 性 的 方 法 , 常 常 是 一 个 好 的 建 议 。
- 首 先 , 机 构 必 须 订 立 清 楚 明 确 的 保 安 要 求 。
- 第 二 , 应 发 展 和 强 化 保 安 政 策 和 程 序 。
- 第 三 , 应 执 行 定 期 保 安 风 险 评 估 和 审 计 , 还 有 对 系 统 持 续 监 控 , 以 确 保 适 当 地 推 行 有 效 力 及 有 效 率 的 保 安 政 策 和 程 序 。
|
| |
页 首 |
| 4. |
我 如 何 能 确 认 我 机 构 的 保 安 要 求 ? |
| |
为 决 定 适 当 的 保 安 标 准 , 机 构 拥 有 者 应 考 虑 资 讯 系 统 和 其 他 资 讯 科 技 资 产 对 机 构 中 商 业 的 价 值 , 也 应 考 虑 保 安 事 故 对 机 构 声 誉 和 适 当 地 持 续 业 务 的 影 响 。 通 常 使 用 称 为 风 险 分 析 的 工 具 来 确 定 哪 些 资 产 要 保 护 , 它 们 对 适 当 营 运 / 机 构 交 易 的 相 对 重 要 性 ,以 及 优 先 顺 序 安 排 保 安 保 护 的 排 名 / 水 平 。 其 分 析 结 果 将 会 清 楚 地 制 定 入 机 构 的 保 安 标 准 清 单 内 。
|
| |
页 首 |
| 5. |
何 谓 保 安 政 策 ? 它 与 保 安 标 准 、 指 引 及 程 序 的 关 系 是 什 么 呢 ? |
| |
保 安 政 策 设 定 保 安 规 格 的 标 准 , 并 说 明 了 哪 一 方 面 是 机 构 最 重 要 的 。 因 此, 可 视 保 安 政 策 为 必 要 的 基 本 原 则 , 机 构 内 应 处 处 遵 行 之 , 且 应 符 合 你 的 保 安 要 求 和 机 构 营 业 目 的 与 目 标 。
保 安 标 准 、 指 引 及 程 序 是 推 行 和 强 化 保 安 政 策 的 工 具, 应 详 加 说 明 管 理 、 营 运 和 技 术 上 的 议 题 。这 些 文 件 提 供 详 细 步 骤 和 建 议 , 以 协 助 用 户 和 系 统 管 理 员 遵 守 保 安 政 策 的 要 求 。 标 准 、 指 引 和 程 序 也 许 会 要 求 比 保 安 政 策 更 频 繁 的 覆 检 。
|
| |
页 首 |
| 6. |
当 拟 定 保 安 政 策 时 , 应 该 考 虑 什 么 呢 ? |
| |
保 安 政 策 对 机 构 应 是 有 用 及 可 行 的 , 应 考 虑 以 下 几 点 :
- 保 护 资 产 的 敏 感 性 和 价 值
- 法 律 要 求 、 规 则 和 政 府 法 律
- 机 构 目 标 和 商 业 目 的
- 推 行 、 分 布 和 执 行 的 实 用 性
|
| |
页 首 |
| 7. |
当 制 订 保 安 政 策 时 , 应 包 含 什 么 呢 ? |
| |
制 订 保 安 政 策 需 要 积 极 的 支 援 ,和 来自 不 同 阶 级 与 不同 功 能 之 各 部 门 的 持 续 参 与 , 可 形 成 工 作 团 队 或 专 门 小 组 来 制 订 该 政 策 。 一 般 而 言 , 该 团 队 也 许 包 含 资 深 管 理 层 之 授 权 代 表 、 技 术 人 员 、 操 作 人 员 和 商 业 用 户 。 资 深 管 理 层 以 机 构 目标 和 目 的 为 出 发 点 , 能 提 供 全 面 指 引 、 评 估 和 决 策 订 定 , 而 技 术 人 员 能 提 供 技 术 支 援 和 不 同 保 安 技 术 机 制 的 可 行 性 。商 业 用 户 代 表 的 是 可 能 受 政 策 直 接 影 响 的 相 关 系 统 用 户 。 第 三 方顾 问 有 时 也 会 涉 入 , 以 覆 检 保 安 政 策 草 稿 。
|
| |
页 首 |
| 8. |
如 何 能 在 我 的 机 构 中制 订 保 安 政 策 ? |
| |
首 先 , 确 定 制 订 保 安 政 策 所 需 人 员 。 其 次 , 制 作 所 有 必 要 活 动 、所 需 资 源 及 流 程 表 的 计 画 。 第 三 , 决 定 保 安 要 求 和 根 据 该 要 求 ,制 订 机 构 的 保 安 政 策 。 之 后 , 覆 检 起 草 的 保 安 政 策 , 并 经 不 同 利 益 关 系 者 同 意 。 在 制 订 保 安政 策 之 前 , 该 程 序 会 重 复 数 次 。
因 科 技 、 商 业 环 境 和 保 安 标 准 会 随 时 间 而 改 变 , 应 定 期 覆 检 保 安 政 策 ( 例 如 两 年 一次 ) , 以 跟 上 变 化 。
|
| |
页 首 |
| 9. |
保 安 政 策 中 应 包 含 什 么 呢 ? |
| |
资 讯 科 技 保 安 政 策 必 须 说 明 能 被 改 变 的 程 序 和 行 为 , 体 认 每 项 保 安 原 则 皆 有 例 外 也 是 很 重 要 的 。 尽 可 能 保 持 政 策 的 弹 性 , 以 让 政 策 长 期 皆 可 实 行。
资 讯 科 技 保 安 政 策 主 要 可 包 含 以 下 内 容 :
- 什 么 是 政 策 目 的 和 范 围 ?
- 什 么 资 讯 资 源 需 要 受 保 护 ?
- 谁 会 受 该 政 策 影 响 ?
- 谁 确 切 有 权 利 和 特 权 ?
- 谁 能 允 许 权 力 和 特 权 ?
- 什 么 是 保 护 资 讯 资 源 的 最 低 限 度 措 施 ?
- 报 告 保 安 违 规 和 犯 罪 的 期 待 和 程 序
- 有 效 保 安 的 特 定 管 理 和 用 户 责 任
- 政 策 有 效 日 期 以 及 修 订 日 期 或 修 检 时 间
|
| |
页 首 |
| 10. |
当 推 行 保 安 政 策 时 , 我 应 考 虑 什 么 呢 ? |
| |
有 了 保 安 政 策, 所 有 员 工 可 清 楚 地 了 解 保 护 机 构 内 资 讯 资 产 及 资 源 时 , 可 被 允 许 及 不 被 允 许 的 行 为 , 这 有 助 提 升 所 有 员 工 保 安 意 识 的 水 平 。 此 外 , 保 安 政 策 提 供 发 展 详 细 指 引 和 程 序 的 基 础 , 有 助 支 持 对 严 重 保 安 违 规 事 件 作 出 告 发 的 任 何 决 定 。
|
| |
页 首 |
| 11. |
当 推 行 保 安 政 策 时 ,我 应 考 虑 什么 呢? |
| |
即 使 保 安 政 策 已 获 得 核 准 , 放 置 保 安 政 策 在 适 当 的 地 方 则 是 另 一 回 事 , 其 需 要 一 系 列 的 步 骤 :
保 安 意 识 和 训 练
保 安 意 识 对 确 定 所 有 相 关 人 员 了 解 风 险 且 接 受 、 采 用 优 质 保 安 作 业 实 务 是 很 重 要 的 。 培 训 和 教 育 可 提 供 用 户 、 发 展 者 、 系 统 管 理 员 、 保 安 管 理 员 及 任 何 相 关 团 体 推 行 适 当 保 安 措 施 所 需 的 技 巧 和 知 识 。
承 诺 与 沟 通
除 非 所 有 用 户 和 相 关 团 体 承 诺 将 会 完 全 遵 守 任 何 一 项 政 策 , 否 则 无 法 全 面 推 行 。 要 确 保 与 用 户 和 相 关 人 员 建 立 良 好 的 沟 通 :
- 当 他 们 新 加 入 机 构 时 , 透 过 简 报 或 是 新 进 人 员 培 训 来 介 绍 政 策
- 邀 请 他 们 参 与 发 展 政 策 提 案
- 培 训 他 们 遵 守 政 策 所 需 的 技 巧
- 令 他 们 感 觉 到 保 安 措 施 是 为 了 他 们 的 好 处 而 建 立 的
- 定 期 提 醒 他 们 并 教 导 新 的 议 题
- 确 定 他 们 已 经 签 署 确 认 通 知 协 议 书
- 提 供 他 们 推 行 政 策 的 指 引
强 制 执 行 与 矫 正
这 指 的 是 政 策 推 行 时 的 强 制 执 行 权 力 工 作 , 以 及 违 反 该 权 力 时 的 矫 正 行 动 。 机 构 应 该 设 定 程 序 , 提 供 即 时 支 援 以 调 查 保 安 违 规。
所 有 团 体 的 持 续 参 与
一 项 有 效 力 的 保 安 政 策 也 须 依 赖 用 户 和 企 业 单 位 之 间 持 续 的 资 讯 交 换 、 谘 询、 协 调 及 合 作 , 注 入 各 方 面 的 知 识 如 标 准 、 方 法 、 作 业 实 务 守 则 和 其 他 外 部 机 构 来 的 保 安 专 家 , 也 有 助 保 持 最 新 及 恰 当 的 保 安 政 策 。
|
| |
页 首 |
| 12. |
保 安 评 估 指 的 是 什 么 ? |
| |
保 安 评 估 是 评 价 资 讯 科 技 环 境 的 保 安 状 态 ,包 括 网 络 和 资 讯 系 统 。 保 安 管 理 员 或 第 三 方 保 安 顾 问 通 常 会 使 用 专 门 设 计 来 搜 寻 保 安 风 险 和 内 部主 机 及 工 作 站 漏 洞 的 软 件 ( 称 为 漏 洞 扫 描 器 ) 。 此 外 , 作 业 程 序 的 适 当 性 也 在 保 安 评 估 中 核 定 。
总 而 言 之 , 在 系 统 发 展 计 画 的 初 期 或 何 时 会 有 重 大 资 讯 资 产 及 环 境 变 化 , 都 应 执 行 保 安 风 险 评 估 , 以 确 定 需 要 哪 种 保 安 措 施 。 因 为 保 安 漏 洞 随 着 时 间 浮 现 , 所 以 应 定 时 执 行 保 安 风 险 评估 , 如 每 两 年 一 次 。
|
| |
页 首 |
| 13. |
什 么 是 保 安 审 计 ? |
| |
以 资 讯 科 技 保 安 政 策 或 标 准 为 基 础 来 决 定 现 存 保 护 的 整 体 状 态 , 并 证 实 是 否 适 当 地 执 行 现 存 保 护 , 此 过 程 便 称 为 保 安 审 计 , 其 着 重 于 决 定 是 否 依 照 资 讯 科 技 保 安 政 策 来 安 全 地 保 护 现 有 环 境 。
在 执 行 保 安 评 估 或 审 计 之 前 , 机 构 应 定 义 保 安 审 计 的 范 围 、 可 用 的 预 算 及 评 估 / 审 计 的 期 间。
|
| |
页 首 |
| 14. |
多 久 应 执 行 一 次 保 安 审 计 ? |
| |
保 安 审 计 只 提 供 特 定 时 间 显 现 系 统 漏 洞 的 简 要 印 象 。 因 科 技 与 商 业 环 境 日 新 月 异 , 所 以 不 可 避 免 地 需 要 定 期 和 持 续 覆 检 。 随 着 企 业 的 重 要 性 不 同 ,保 安 审 计 也 许 需 要 每 年 或 每 两 年 执 行 一 次 。
|
| |
页 首 |
| 15. |
谁 应 执 行 保 安 审 计 ? |
| |
因 保 安 审 计 是 一 项 复 杂 的 难 题 , 且 需 要 有 技 巧 和 有 经 验 的 人 员 , 所 以 必 须 小 心 计 画 。 建 议 独 立 且 可 信 赖 的 第 三 者 来 执 行 审 计 。 视 乎 内 部 员 工 的 技 巧 和 被 审 计 的 资 讯 之 重 要 性 / 敏 感 性 , 该 第 三 者 可 以 是 企 业 内 另 一 组 别 的 员 工 或 外 部 审 计 团 队 。
|
| |
页 首 |
| 16. |
什 么 是 资 讯 科 技 保 安 事 故 ? |
| |
资 讯 科 技 保 安 事 故 是 指 资 讯 系 统 或 网 络 的 不 利 事 件, 且 引 致 电 脑 或 网 络 保 安 于 可 行 性、 完 整 性 和 保 密 性 方 面 受 到 威 胁 。 此 事 故 会 能 导 致 数 据 损 坏 或 披 露 资 料。
然 而 , 例 如 自 然 灾 害 、 硬 件 / 软 件 故 障, 数 据 线失 效 或 停 电 等 等 不 利 事 件 通 常 是 排 除 在 外 的。
|
| |
页 首 |
| 17. |
我 能 如 何 处 理 保 安 事 故 ? |
| |
处 理 保 安 事 故 是 指 一 系 列 的 持 续 过 程 , 监 控 在 保 安 事 故 发 生 之前 、 发 生 当 时 和 发 生 之 后 的 活 动。
处 里 保 安 事 故 开 始 于 计 画 和 准 备 适 当 的 资 源 ,然 后 发 展 正 确 程 序, 以 供 遵 守 , 例 如 升 级 (escalation) 和 保 安 事 故 应 变 程 序 。
当 发 现 保 安 事 故 时, 负 责 人 员 遵 守 事 前 规 定 的 程 序 来 处 理 保 安 事 故 应 变 , 保 安 事 故 应 变 代 表 着 处 理 保安 事 故 的 活 动 或 行 动 , 并 使 系 统 回 复 正 常 运 作 , 通 常 会发 展 特 定 事 故 应 变 团 队 以 处 理 保 安 事 故 应 变 。
在 事 故 过 后 , 采 取 跟 进 行 动 来 评 估 该 事 故 , 且 加 强 保 安 保 护 , 以 避 免 历 史 重 演 。 计 画 和 准 备 工 作 将 相 应 地 检 讨 及 修 改 , 以 确 保 有 足 够 资 源 ( 包 括 人 力 、 设 备 和 技 术 知 识 ) , 并 妥 当 地 定 义 程 序 , 以 便 在 未 来 处 理 类 似 事 故 。
|
| |
页 首 |
| 18. |
什 么 是 入 侵 ? 什 么 是 入 侵 侦 测 ? |
| |
入 侵 指 的 是 试 图 损 害 资 讯 系 统 的 可 行 性 、 保 密 性 和 完 整 性 的一 连 串 活 动 。
入 侵 侦 测 是 发 现 入 侵 的 方 法 论 ,包 含 外 部 入 侵 者 侵 入 系 统 的 侦 测 与 内 部 用 户 滥 用 系 统 资 源 。
|
| |
页 首 |
| 19. |
假 如 我 的 网 络 已 经 有 防 火墙 , 为 什 么 我 需 要 入 侵 侦 测 系 统(IDS)/ 入 侵 防 御 系 统 (IPS)? |
| |
防 火 墙 只 是 整 体 整 合 保 安 系 统 的 一 部 分 , 它 们 有 其 限 制 。 防 火 墙 无 法 对 所 有 入 侵 提 出 警 告 ,也 不 能 阻 止 所 有 保 安 违 规 。 除 非 你 不 断 监 控 入 侵 , 不 然 你 无 法 知 道 你 的 防 火 墙 能 否 阻 挡 所 有 入 侵 , 但 可 在 策 略 位 置 安 装 及 使 用 IDS / IPS , 每 天 每 分 每 秒 持 续 收 集 和 检 查 可 疑 活 动 的 资 讯 。 IPS 也 提 供 积 极 的 应 变 糸 系 统 , 以 便 阻 止 攻 击 来 源 或 减 低 攻 击 所 带 来 的 影 响 。
|
| |
页 首 |
| 20. |
什 么 是 入 侵 侦 测 系 统 的 限 制 ? |
| |
入 侵 侦 测 系 统 不 能 帮 助 你 解 决 或 修 理 所 有 保 安 事 故 , 也 不 能 告 诉 你 究 竟 是 谁 攻 击 系 统 或 攻 击 是 如 何 发 生 的 , 以 及 攻 击 者 的 意 图 。它 只 能 提 供 攻 击 来 源 的 资 料 和 产 生 攻 击 的 IP 位 址 。 为 了 确 定 真正 的 攻 击 者 , 你必 需 分 析 所有 相 关 纪 录。
|
| |
页 首 |
| 21. |
什 么 是 网 络 防 火墙 ? 防 火 墙 可 以 保 护 我 的 系 统 避 免 什 么 ? |
| |
防 火 墙 是 在 两 个 网 络 之 间 , 强 制 执 行 接 达 控 制 政 策 的 系 统 。 一 般 而 言 ,防 火 墙 可 以 阻 挡 从 网 络 外面 到 里 面 的 通 讯 , 并 准 许 从 里 面 的 资 讯 交 换 到 外 面 的 世 界 , 以 进 行 沟 通 。防 火 墙 也 可 以 提 供 纪 录 和 审 计 功 能 , 以 纪 录 所 有 通 过 的 通 讯 ; 换 言 之 , 防 火 墙 可 通 过 定 义 接 达 控 制 政 策 来 允 许 或 拒 绝 通 讯 , 以 保 护 内 部 网 络 避 免 外 来 的 攻 击 。 然 而 , 防 火 墙 无 法 保 护 那 些 不 通 过 它 的 攻 击 , 且 不 能 避 免 那 些 包含 在 网 络 通 讯 里 面 的 攻 击 , 如 病 毒 或 数 据 导 引 式 攻 击 , 因 防 火 墙 准 许 这 类 通 讯 ( 例 如 网 上 通 讯 ) 。 适 当 的 防 火 墙 配 置 对 确 保 有 效 的 保 安 保 护 扮 演 着 非 常 重 要 的 角 色。 |
| |
页 首 |
| 22. |
保 护 网 络 的 一 般 考 量 是 什 么 ? |
| |
以 下 列 出 一 些 可 提 供 帮 助 的 网 络 保 护 指 引 :
- 保 持 简 单 网 络 (即 在 安 全 网 络 和 不 安 全 网 络 之 间 保 持 最 少 数 量 的 网 络 介 面 点)
- 只 允 许 经 授 权 的 通 讯 进 入 安 全 的 网 络
- 设 定 适 当 的 控 制 , 以 限 制 连 结 到 外 部 / 不 安 全 的 网 络
- 使 用 多 重 机 制 来 认 证 用 户( 如 : 密 码 系 统 加 上 事 前 注 册 的 IP/IPX 网 络 , 还 有 事 前 注 册 的 MAC 位 址 / 终 端 机 号 码 )
- 使 用 网 络 管 理 系 统 来 控 制 网 络
- 在 透 过 网 络 传 输 前 , 使 用 经 证 明 过 的 加 密 演 算 法 来 加 密 资 料
|
| |
页 首 |
| 23. |
什 么 是 实 体 保 安 ? |
| |
实 体 保 安 指 的 是 保 护 硬 件 、 电 脑 设 备 和 其 他 资 讯 科 技 资 产 免 受 外 来 实 体 的 威 胁 , 例 如 未 经 授 权 的 接 达 、 偷 窃 或 遗 失 在 运 送 到 外 面 场 地 时 的 备 份 媒 体 。
|
| |
页 首 |
| 24. |
什 么 是 应 用 系 统 保 安 ? |
| |
应 用 系 统 保 安 指 的 是 建 立 在 应 用 系 统 里 面 的 保 安 措 施 , 以 提 供 安 全 的 电 脑 环 境 。一 般 应 用 系 统 的 保 安 措 施 包 括 应 用 系 统认 证 、 不 同 阶 级 用 户 的 接 达 矩 阵 、 输 入 确 认 以 避 免 可 能 产 生 的 应 用 系 统 缺 点 , 例 如 缓 冲 区 满 溢 (buffer overflow) , 以 及 应 用 系 统 纪 录 特 色 (application logging features) 等 等 。 在 应 用 系 统 设 计 阶 段 时 , 应 用 系 统 拥 有 者 应 与 发 展 团 队 根 据 应 用 系 统 的 重 要 性 , 还 有 处 理 的 数 据 敏 感 性 , 共 同 决 定 应 用 系 统 的 保 安 要 求 。
|
| |
页 首 |
| 25. |
互 联 网 保 安 应 考 虑 什 么 ? |
| |
互 联 网 是 网 络 中 的 万 维 网 络 , 使 用 TCP/IP 协 定 作 为 沟 通 工 具 。 互 联 网 的 连 接 在 增 加 资 讯 的 接 达 方 面 带 来 无 数 的 好 处 ; 然 而 互 联 网 深 受 重 大 且 普 遍 的 保 安 问 题 所 苦 。
其 根 本 的 问 题 在 于 互 联 网 并 没 有 安 全 地 被 设 计 ,许 多 T C P / I P 服 务 对 于 保 安 威 胁 是 无 力 抵 抗 的 , 例 如 窃 听 和 仿 冒 , 只 要 使 用 便 利 可 行 的 软 件 ,人 们 便 可 以 监 控 和 捕 捉 电 子邮 件 、 密 码 和 档 案 传 输 。
互 联 网 服务 需 要 强 大 的 认 证 机 制 和 密 码 使 用 机 制, 而 这 些 机 制 必 须 在 不 同 机 种 之 间 可 以 互 相 通 用 。查 询 互 联 网 资 料 或 处 理 交 易 均 需 要 用 户 认 证 , 认 证 的 资 料 也 需 要 审 计 和 备 份 , 且 应 妥 善 加 密 敏 感 和 个 人 的 数 据 。
总 之 , 互 联 网 保 安 涵 盖 广 泛 的 议 题,如 识 别 和 认 证 、 电 脑 病 毒 保 护 、 软 件 执 照 、 远 端 接 达 、 拨 接 接 达 、 实 体 保 安 、 防 火 墙 推 行 和 其 他 有 关 互 联 网 使 用 方 面 的 议 题 。
|
| |
页 首 |
| 26. |
如 何 保 护 我 的 网 上 私 隐 ? |
| |
当 你 在 网 上 填 写 表 格 或 使 用 即 时 通 讯 工 具 与 不 明人 士 聊 天 时 , 切 勿 在 网 上 分 享 你 的 个 人 资 料, 包 括 你 的 名 字 、 家 里 住 址 、 电子 邮 件 地 址 、 身 份 证 号 码 、 电 话 号 码 等 等 , 除 非 你 有 特 别 理 由 希 望 他 们 知 道 。 当 你 输 入 你 的 个 人 资 料 时 ,应 设 置 适 当 的 保 安 措 施 如 SSL。
在 网 上 送 出 你 的 个 人 资 料 时 , 请 特 别 三 思 , 因 你 个 人 的 资 料 可 能 会 被 使 用 于 其 他 你 未 打 算 过 的 用 途 。 在 传 送 和 储 存 电 子 邮 件 之 前 使 用 数 码 签 署 并 加 密 讯 息 , 以 保 护 你 的 电 子 邮 件 。 妥 善 保 管 你 的 个 人 电 脑 , 因 其 有 可 能 遭 受 实 体 攻 击 或 是 遭 窃 。 定 期 更 改 密 码 并 将 其 保 密 , 且 不 要 使 用 容 易 猜 到 的 密 码 , 如 字 典 上 的 字 。
|
| |
页 首 |
| 27. |
如 何 保 护 我 的 电 脑 数 据 ? |
| |
用 户 应 该 选 择 难 以 猜 到 的 密 码 , 并 尽 可 能 将 其 保 密。 在 重 设 密 码 之 后 或 收 到 新 密 码 时 ,应 立 刻 更 改 密 码 。 管 理 员 应 确 定 每 一 个 新 用 户 都 拿 到 一 个 好 的 初 始 密 码 , 而 不 是 使 用 机 构 内 所 有 员 工 都 知 道 的 预 设 密 码。 应 设 定 程 序 来 确 定 只 有 真 正 要 求 密 码 的 那 个 人 可 以 得 到 密 码 。 在 任 何 时 候 , 密 码 都 不 应 该 清 楚 地 在 萤 幕 上 显 示 出 来 。 在 储 用 户 密 码 时 , 也 应 使 用 安 全 演 算 法 加 以 加 密 。
任 何 时 候 都 应 妥 善 地 保 护 密 码 。 当 储 存 密 码 于 数 据 库 或 伺 服 器 时 ,应 利 用 如 接 达 控 制 和 加 密 等 保 安 控 制 来 保 护 密 码 。 因 密 码 是 登 入 系 统 时 重 要 的 凭 证 , 所 以 当 传 送 经 过 不 可 信 或 不 安 全 的 沟 通 网 络 时 ,必 需 把 密 码 加 密 。 假 如 密 码 加 密 不可 行 , 应 推 行 其 他 控 制 如 更 频 繁 地 更 改 密 码。
|
| |
页 首 |
| 28. |
如 何 保 护 我 的 电 脑 数 据 ? |
| |
你 应 该 考 虑 以 下 必 做 之 事 :
- 执 行 抗 电 脑 病 毒 、 抗 间 谍 软 件 和 最 新 恶 性 程 式 码 定 义 档 及 保 安 修 补 程 式 等 软 件 的 自 动 更 新 功 能
- 安 装 和 执 行 个 人 防 火 墙
- 确 保 密 码 保 密 和 定 时 更 改 密 码
- 安 全 保 护 可 携 式 储 存 设 备
- 加 密 敏 感 数 据
- 备 份 重 要 数 据
- 定 期 测 试 数 据 复 原 程 序
以 下 是 不 可 做 之 事 :
- 不 要 浏 览 可 疑 网 站
- 不 要 开 启 从 陌 生 人 寄 来 的 电 子 邮 件 或 附 加 档
此 外 , 当 你 使 用 公 共 无 线 网 络 及 / 或 公 共 电 脑 设 备 时 , 应 要 小 心 注 意 数 据 的 安 全 。
|
| |
页 首 |
| 29. |
如 何 成 为 一 名 聪 明 的 互 联 网 用 户? |
| |
假 如 你 依 以 下 各 点 来 保 护 你 的 电 脑 , 你 便 可 以 成 为 一 名 聪 明 的 网 络 用 户 :
-
安 装 最 新 病 毒 识 别 码 和 恶 性 程 式 码 定 义 档 的 抗 电 脑 病 毒 和 恶 性 程 式 码 侦 测 和 修 补 软 件 ,并 定 期 扫 描 全 部 的 系 统 。
- 安 装 个 人 防 火 墙 软 件 , 保 护 电 脑 以 避 免 网 络 入 侵 。
- 使 用 最 新 保 安 修 补 程 式 于 所 有 软 件 和 应 用 系 统 中 。
- 执 行 电 脑 密 码 保 护 且 定 期 更 改 密 码 , 以 避 免 电 脑 被 未 经 授 权 的 使 用 。
- 执 行 互 联 网 下 载 的 软 件 是 很 危 险 的 一 件 事 , 要 特 别 注 意 , 除 非 该 软 件 来 源 是 已 知 和 可 信 任 的 。
- 没 必 要 时 不 要 揭 露 你 的 个 人 资 料 。
- 当 使 用 完 网 络 后 , 要 尽 快 从 互 联 网 离 线 。
|
| |
页 首 |
| 30. |
资 讯 保 安 管 理 包 含 什 么? |
| |
资 讯 保 安 管 理 是 一 项 牵 涉 预 防 、 侦 测 、 反 应 程 序 的 综 合 体 , 它 是 反 覆 活 动 和 程 序 的 循 环 , 需 要 无 间 断 的 监 控 和 控 制 。 该 循 环 包 括 以 下 活 动:
- 评 估 保 安 风 险 : 执 行 保 安 风 险 评 估 ,以 确 定 威 胁 、 漏 洞 和 影 响 。
- 推 行 和 维 护 安 全 的 架 构 : 定 义 和 发 展 政 策 、 分 配 责 任 和 应 用 保 卫 措 施 。
- 监 控 和 纪 录: 持 续 地 监 控 和 纪 录 , 如 此 , 当 应 付 保 安 事 故 时 , 才 能 采 取 适 当 的 安 排 。
- 覆 检 和 改 善 : 定 期 执 行 覆 检 和 保 安 审 计 , 确 保 适 当 的 保 安 控 制 有 符 合 保 安 要 求 。
|
| |
页 首 |
| 31. |
我 们 要 如 何 知 道 机 构 内 的 资 讯 是 否 安 全 ? |
| |
你 应 该 依 据 以 下 各 点 自 行 检 查 , 以 找 出 你 机 构 内 的 资 讯 是 否 安 全 :
- 我 的 机 构 是 否 有 自信 , 机 构 内 的 网 络 伺 服 器 正 妥 善 地 被 训 练 完 善 的 人 员 保 护 和 管 理 ?
- 我 的 机 构 是 否 有 清 楚 的 政 策 列 明 谁 被 准 许 接 达 何 种 资 讯 ?
- 我 的 机 构 是 否 已 指 定 人 员 负 责 资 讯 保 安 管 理 ?
- 我 的 机 构 是 否 已 利 用 保 安 工 具 , 例 如 防 火 墙 和 加 密 工 具 ?
- 我 的 机 构 是 否 已 有 计 划 紧 急 应 变 和 从 灾 害 中 复 原 , 且 定 期 覆 检 这 些 计 划 , 以 确 定 它 们 符 合 持 续 业 务 运 作 计 划 ?
假 如 以 上 五 项 问 题 都 是 负 面 答 案, 你 的 机 构 将 可 能 依 然 面 临 许 多 保 安 漏 洞 的 威 胁 。
|
| |
页 首 |
| 32. |
一 般 机 构 的 网 络 与 无 线 网 络 的 差 别 是 什 么 ? |
| |
无 线 局 部 区 域 网 络 (WLAN) 是 一 种 使 用 高 频 无 线 波 的 局 部 区 域 网 络 , 而 非 使 用 电 线 作 为 设 备 之 间 沟 通 的 桥 梁 。 WLAN 是一 种 弹 性 的 数 据 沟 通 系 统 ,用 来 作 为 有 线 LAN 的 替 代 品 或 是 延 伸 。 无 线 资 讯 的 沟 通 使 人 们 更 容 易 地 及 自 由 地 互 动 。 随 着 科 技 的 进 步 , 无 线 接 达 能 力 已 使 得 越 来 越 多 办 公 室 或 公 共 场 所 部 署 该 项 科 技。
WLAN 以 IEEE 802.11 标 准 为 基 础 , 之 后 , 例 如 802.11a、802.11b 和 802.11g 等 不 同 的 标 准 进 化 来 支 援 不 同 的 频 率 范 围 和 频 宽 。 有 两 个 IEEE 相 关 的 标 准 :-802.1X 和 802.11i 。 802.1X 是 一 项 连 接 埠 接 达 控 制 规 约 , 提 供 IEEE 网 络 的 保 安 架 构 , 包 含 以 太 网 和 无 线 网 络。 而 802.11i 标 准 是 创 造 来 作 为 与IEEE 802.1X 一 起 操 作 的 无 线 规 格 保 安 功 能 。
WLAN 应 该 与 足 够 的 认 证 和 传 送 加 密 措 施 一 起 使 用,并 搭 配 适 当 的 保 安 管 理 过 程 和 作 业 实 务 。
|
| |
页 首 |
| 33. |
当 使 用 公 共 / 城 市 的 无 线 网 络 时 , 什 么 是 个 别 用 户 最 佳 作 业 实 务 ? |
| |
- 时 常 将 城 市 无 线 服 务 视 为 不 可 信 赖 的 网 络 , 假 如 当 SSL 的 加 密 通 道 不 可 行 时 ,不 要 送 出 你 的 个 人 / 敏 感 资 料 。 在 没 有 虚 拟 私 有 网 络 (VPN) 保 护 或 其 他 类 似 加 密 机 制 确 保 通 讯 保 密 的 前 提 下 , 从 城 市 无 线 服 务 接 达 到 公司 的 伺 服 器 并 不 是 一 项 明 智 之 举 。在 使 用 VPN 时 , 应 该 停 止 使 用 分 割 通 道 技 术 ( 分 割 通 道 允 许 用 户在 连 接 到 互 联 网 的 同 时 , 保 持 到 一 个 VPN 的 连 接 )。
- 当 连 接 到 一 个公 共 热 点 (hotspot) 时 ,用 户 可 能 被 导 向 到 一 个 捕 获 门 户(Captive portal) 的 网 页 。 攻 击 者 可 能 会 设 置 虚 假 的 捕 获 门 户 网 页, 以 获 取 敏 感 资 料 。因 此,通 过 核 实 网 站 的 证 书 , 鉴 别 捕 获 门 户 网 页 的 真 伪 显 得 尤 为 重 要。
- 有 些 作 业 系 统 提 供 为 用 户 创 造 一 个 首 选 无 线 网 络 清 单 。 一 旦 这 份 清 单 确 定 后 , 该 系 统 将 不 断 寻 找 清 单 里 的 首 选 网 络 , 并 尝 试 自 动 连 接 到 首 选 网 络 。 通 过 猎 取 这 种 个 人 设 备 发 送 出 来 的 资 讯 , 攻 击 者 可 以 设 置 一 个 假 的 无 线 接 驳 点 来 回 应 受 害 者 设 置 的 首 选 网 络 清 单 里 的 无 线 网 络 连 接 请 求 。 这 样 , 用 户 会 自 动 连 接 到 入 侵 者 的 无 线 网 络 。 为 防 止 这 种 类 型 的 攻 击 , 首 选 网 络 清 单 功 能 要 被 关 闭 或 移 除 。
- 应 避 免 电 脑 与 电 脑 之 间 的 对 等 无 线 联 网 。 临 机 操 作 模 式(Ad-hoc Mode)能 使 个 人 无 线 设 备 与 其 他 电 脑 直 接 无 线 连 接 , 但 这 种 方 式 对 未 授 权 的 连 接 入 只 提 供 最 低 限 度 的 的 保 安 。 为 防 止 攻 击 者 获 取 资 讯 资 源 , 个 人 无 线 设 备 应 该 关 闭 这 个 功 能 。 网 络 资 源 分 享 功 能 也 应 该 关 闭。
- 在 连 接 到 城 市 无 线 网 络 服 务 时 , 为 了 保 护 自 己 的 电 脑 ,个 人 用 户 应 该 运 行 着 带 有 最 新 电 脑 病 毒 识 别 码 的 抗 电 脑 病 毒 / 抗 间 谍 软 件 , 应 用 最 新 的 系 统 修 补 程 式, 以 及 开 启 个 人 防 火 墙 。 储 存 在 任 何 无 线 设 备 里 的 敏 感 和 机 密 资 料 , 应 以 严 格 的 加 密 演 算 法 进 行 加 密 。 在 公 共 场 所 连 接 到 互 联 网 时 , 常 用 的 安 全 措 施 如 开 机 密 码 或 系 统 登入 认 证 、 和 密 码 保 护 的 萤 幕 的 保 护 装 置 程 式 等 也 应 该 使 用 。
|
| |
页 首 |
| 34. |
当 使 用 即 时 通 讯 (IM) 时 , 住 家 用 户 应 采 取 什 么 预 防 措 施 ? |
| |
- 在 即 时 通讯 上 不 要 设 定 自 动 接 收 档 案 传 输 。
- 在 开 启 透 过 IM 接 收 的 任 何 档 案 之 前 ,你 应 要 查 证 寄 送 者 确 实 寄 送 档 案 给 你 , 此 外 , 在 开 启 该 档 案 前 , 确 定 档 案 已 被 抗 电 脑 病 毒 软 件 扫 描 过。
- 绝 不 点 击 在 IM 上 不 信 任 / 未 知 的 URL 连 结 。
- 绝 不 透 过 IM 寄 出 个 人 或 敏 感 资 料 , 即 使 有 充 分 理 由 这 样 做 , 也 要 确 定 加 密 该 资 料。
- 使 用 最 新 修 补 程 式 随 时更 新 IM 软 件 ( 和 其 他 系 统 零 件 ) , 开 启 个 人 防 火 墙 , 安 装 具 有 最 新 病 毒 识 别 码 和 最 新 恶 性 程 式 码 定 义 的 抗 电 脑 病 毒 软 件 , 以 及 安 装 侦 测 和 修 补 引 擎。
|
| |
页 首 |
| 35. |
当 使 用 对 等 式 (P2P) 科 技 时 , 住 家 用 户 应 采 取 什 么 保 安 措 施 ? |
| |
- 电 脑 要 安 装 抗 电 脑 病 毒 程 式 和 个 人 防 火 墙 , 确 定 定 期 更 新 病 毒 识 别 码 、 恶 性 程 式 码 定 义, 以 及 侦 测 修 补 引 擎。
- 使 用 最 新 保 安 修 补 程 式 。
- 移 除 电 脑 所 有 不 必 要 的 用 户 特 权 。
- 为 了 正 常 运 作 , 对 等 式 (P2P) 应 用 程 式 需 要 在 防 火 墙 上 开 启 许 多 连 接 埠 ,假 如 不 需 要 分 享 档 案 , 应 关 闭 不 必 要 的 连 接 埠 区 域 。
- 假 如 需 要 使 用 对 等 式 下 载 , 建 议 你 在 完 成 下 载 后 , 离 开 对 等 式 应 用 程 式 。
- 不 要 从 不 信 任 或 可 疑 来 源 下 载 档 案 。
- 绝 不 下 载 儿 童 色 情 图 片 和 其 他 非 法 物 件, 包 括 盗 版 软 件 。
|
| |
页 首 |
| 36. |
当 使 用 FON 时 , 用 户 要 如 何 保 护 自 己 ? |
| |
- 改 变 预 设 设 定 值 , 例 如 管 理 密 码 和 WPA 加 密 匙 , 以 加 强 FON 接 达 点 的 保 护。
- 应 在 连 接 于 家 居 网 络 的 所 有 电 脑 装 置 安 装 防 火 墙 , 以 抵 御 可能 来 自 私 人 无 线 局 部 区 域 网 络 的 攻 击 。
- 在 连 接 到 FON Wi-F 网 络 之前 , 应 装 设 和 运 行 充 足 的 保 安 措 施 ( 如 安 装 抗 电 脑 病 毒 软 件、 最 新 的 保 安 修 补 程 式 及 个 人 防 火 墙 )。
- 应 采 用 加 密 技 术 保 护 储 存 于 流 动 装 置 的 敏 感 或 机 密 资 料 , 以 及 为 连 接 至 公 司 伺 服 器 的 通 讯 或 其 它 交 易 服 务 提 供 保 障 。
- 接 驳 点 必 须 时 常 安 装 最 新 的 修 补 程 式 , 如 你 正 使 用 La Fonera 路 由 器 , 应 确 保 从 FON 提 供 的 自 动 固 件 更 新 功 能 操 作 正 常。
|
| |
页 首 |
| 37. |
如 何 安 全 配 置 无 线 宽 频 路 由 器 ? |
| |
- 更 改 预 设 用 户 名 称 和 密 码 , 因 为 预 设 值 往 往 容 易 被 猜 出 来 。 有 一 些 制 造 商 也 许 不 会 让 你 更 改 用 户 名 称 , 但 你 至 少 应 要 更 改 密 码 。
- 建 议 用 户 应 关 闭 SSID 广 播 或 增 加 「Beacon Interval」至 最 大 值 。
- 预 设 的 SSID 应 予 以更 改 , 新 的 SSID 不 应 以 自 己 的 名 字 或 其 它 个 人 资 料 命 名 , 否 则 将 有 助 攻 击 者 收 集 你 的 资 料 。
- 尽 可 能 避 免 使 用 WEP 。 如 果 装 置 支 援 的 话 , 应 采 用 WPA2 或 WPA。
- 不 应 采 用 共 享 式 密 码 匙 认 证 , 反 而 应 考 虑 802.11i 标 准 中 订 立 的 强 化 相 互 认 证 。
- 建 议 启 动 MAC 位 址 过 滤 作 为 另 一 层 保 护 。
- 尽 量 关 闭 DHCP 功 能 , 因 为 DHCP 容 易 让 恶 意 攻 击 者 接 达 无 线 网 络 。
|
| |
页 首 |
| 38. |
比 较 因 漏 洞 引 起 的 风 险 和 安 装 修 补 程 式 的 风 险 。 假 如 管 理 者 决 定 不 应 用 修 补 程 式 , 又 或 没 有 可 行 的 修 补 程 式 , 有 什 么 其 他 可 行 的 常 见 补 救 性 控 制 ? |
| |
当 评 估 是 否 实 施 一 个 安 全 的 修 补 程 式 时 , 应 该 评 估 安 装 修 补 程 式 所 带 来 的 风 险 。 小 心 地比 较 保 安 漏 洞 所 造 成 的 影 响 和 安 装 修 补 程 式 的 风 险 。 此 时 应 要 准 备 其 他 的 补 救 控 制 措 施 , 可 能 包括 :
 关 掉 与 保 安 漏 洞 相 关 的 服 务 或 功 能- 采 用 或 增 加 接 达 控 制
- 增 加 系 统 的 监 控 以 侦 测 和 预 防 实 际 的攻 击
|
| |
页 首 |
| 39. |
选 择 修 补 程 式 管 理 解 决 方 案 的 标 准 是 什 么 ? |
| |
当 考 虑 建 立 一 个 健 全 的 修 补 程 式 管 理 解 决 方 案 时, 除 了 考 虑 特 定 用 户 和 商 业 需 求 ( 包 含 产 品 功 能 和 预 算 限 制 ) 之 外 , 机 构 也 应 该 将 以 下 各 点 列 入 考 虑 因 素 :
较 少 漏 洞
有 些 修 补 程 式 管 理 产 品 的 保 安 漏 洞 比 其 他 的 产 品 多 , 机 构 应 选 择 看 起 来 较 不 可 能 成 为 保 安 漏 洞 的 解 决 方 案 ,从 而 减 少 修 补 其 软 件 的 次 数 。 首 先 应 先 进 行 一 些 独 立 性 的 产 品 确 认 研 究 , 复 杂 的 产 品 意 味 着 较 多 的 程 式 和 服 务 , 反 而 可 能 会 带 来 更 多 的 保 安 漏 洞 。 选 择 一 个 简 单 但 发 展 成 熟 的 产 品 可 能 比 较 明 智。
系 统 相 容 性
有 一 些 修 补 程 式 管 理 解 决 方 案 是 基 于 代 理 程 式 (agent-based) 的 , 而 有 一 些 则 是 无 代 理 程 式 (agent-less) , 如 果 代 理 程 式 被 安 装 到 许 多 电 脑 上 时, 机 构 应 该 评 估 对 整 个 系 统 的 影 响(例 如 表 现、 稳 定 性 和 相 容 性 )。
供 应 商 对 新 保 安 漏 洞 的 反 应
机 构 也 关 注 解 决 方 案 供 应 商 对 新 保 安 漏 洞 之 修 补 及 更 新 的 回 应 速 度 。
简 易 的 部 署 与 维 持
修 补 程 式 管 理 的 解 决 方 案 越 容 易 部 署 和 维 持 , 则 机 构 所 付 出 的 成 本 就 越 低 。
审 计 追 踪
一 个 良 好 的 修 补 程 式 管 理 解 决 方 案 应 提 供 广 泛 的 事 件 记 录 功 能 , 协 助 系 统 管 理 员 更 容 易 追 踪 软 件 修 补 和 修 补 程 式 在 个 别 系 统 的 状 态 。 |
English
