2-4 案例分享

穩步前行，永續安全

身為台灣公益發展的領頭羊組織，伊甸基金會以合法合規為擬訂資訊安全政策的重要基底，除有法規小組定時檢視法遵風險與實踐，同時自治理層至管理層，均以風險管理概念落實資訊安全管理，發展期間亦歷經從無到有、從有到好的階段性歷程，現今已是許多公益組織請益的對象。

如同許多中大型組織在面臨的階段難題，隨著組織規模日益增大，資訊部門的工作夥伴，無可避免地需要面對更大規模的整體盤點、向內溝通資源挹注與管理重點，其中會涉及許多專業評估與技術，伊甸基金會的資訊處夥伴實際的評估與投入重點如下：

1.核心重點評估：運用資安防禦矩陣，盤點需補強處

2.網路安全措施

(1)基本防禦措施

內外網段隔離：多據點的組織建制VPN互連降低風險。

伺服器網段：伺服器、DMZ、使用者互相隔離。

次世代防火牆：條例及進階防護功能設置。

(2)補強措施

最小化開放原則：網路條例、存取控制、權限。

伺服器網段隔離：敏感系統、老舊系統、危險系統、對內系統、對外系統、資料庫。

應用程式防火牆：防火牆對漏洞攻擊、駭客工具入侵防護。

3.電腦設備防護

(1)基本防禦措施

防毒軟體：如同預防針,對使用者的基礎防護。

電腦權限：適度的權限設定降低風險。

系統更新：即時修補漏洞及重大更新。

網域管理：透過GPO、WSUS有效管理電腦設備。

(2)補強措施

電腦資產管理系統：定期主動及被動監管組織電腦狀態。

一台都不能少：須確保沒有電腦成為破口。

EDR、MDR：加強應對APT攻擊、駭客潛伏、內網橫移。

政府組態基準(GCB)：作業系統GPO、網路設備組態參考。

4.用戶安全

(1)基本防禦措施

帳密安全：制定實施密碼複雜性原則。

惡意郵件防護：防垃圾郵件、病毒郵件、釣魚郵件等。

資安意識宣導：定期辦理組織內資安宣導。

(2)補強措施

密碼強制變更：預設密碼、未符合原則等。

社交工程攻擊演練：融入組織管理、提高警覺、鑑別。

多因子驗證：透過宣導與稽核，將多因子驗證列為工作規範。

特權帳號、高風險人員：鎖定IP、多因子驗證。

5.資訊系統安全

(1)基本防護措施

個資及敏感資料加密

弱點掃描及修補（免費工具：ZAP）

網頁平台版本更新

系統功能權限控管

系統外包安全性要求

(2)補強措施

使用安全的開發環境及工具，維持更新。

應用程式防火牆防護

6.備份備援

採用備份 3-2-1原則

擬定勒索加密對策：快照、防竄改備份系統、離線備份。

備援方案：準備備援設備、異地備援。

給其他組織的真心分享

1. 需要分步驟展開資安管理，包括：系統防禦、風險評估、員工教育。

2. 資安沒有完成的一天，需要持續防護。

3. 沒有100%的資安防護，增加入侵難度、縮小被駭損失。

4. 最壞的打算跟應變計劃，備份備援、擬定應變計畫。