资安服务之常见问题

資安服務之常見問題製作：資通安全區域聯防總中心資通安全區域聯防高屏區中心鄭進興教授方家慶先生吳啟常先生2大綱„資安服務常遭遇的問題„常見之不當安全設定„建議„結論„資訊安全服務相關的單位3資安服務所遭遇的問題„服務單位的資訊人員對該單位網路架構不熟悉„無法確知主機及其IP對應„對於網路元件(例如防火牆，Router，IDS等設備)的設定不熟悉„因為資訊人員流動率高且為兼任，導致保管上常有困難„服務單位未能訂立資訊安全政策方針„對於機房所在地的管理，少數單位對進入機房的人員沒有控管„服務單位的經費大多不充足,無法網路架構擬定最佳的安全政策，例如:所使用的系統版本老舊，無法購買周邊的安全設備，如防火牆4資安服務所遭遇的問題(cont.)„上級長官對資訊安全的重視„這常會影響資訊安全負責人員的態度„政府網路架構並未有效管理„應整合成較大的區域網路，以編列經費及人員以求專業管理„遇到問題一時找不到申告單位„包含未能清楚了解發生的問題，導致技服單位難以及時判斷病因5資安服務所遭遇的問題(cont.)„服務單位的負責人對該單位的系統維護技術有限„網路設定及電腦主機維護由廠商維護„廠商的單位並不固定，有時甚至電腦維護與網路維護廠商也不相同„當維護廠商更換時，無法將之前的系統狀況移交清楚„負責單位的維護人員往往由行政人員兼任，對於網路安全設定不熟悉„負責人員對資訊安全的認知薄弱，技術上不足更造成無法徹底落實政府政策„因政府單位編制在資訊安全及設備上是有限的，加上負責的人員也都有各自的行政工作6常見之不當安全設定„使用系統建置之預設值„在WindowsNT/2000的環境下，系統預設會以C$、D$等型式將各槽的資料利用網路芳鄰進行分享，將會使得內部資料外洩。„修正方式:將C$等預設分享錄關閉。(下列三中方式中的任一種均可)„點選『本機磁碟(C:)』的圖示，按右鍵選『共用』，關閉共用資料夾„登入系統後，執行netsharec$/delete„新增登錄檔中的登錄值7常見之不當安全設定(cont.)„點選『本機磁碟(C:)』的圖示，按右鍵選『共用』，關閉共用資料夾8常見之不當安全設定(cont.)„帳號未設定密碼保護與密碼未定期更新„未設定密碼將會使得任何人均可任意進出此電腦進行資料存取動作。若Administrator帳號未設定密碼，會使得電腦內部資料毫無保護„密碼設定為『永不過期』，會使得一旦駭客得知此系統某些帳號與密碼，便可不斷的利用此帳號密碼進行攻擊行為„修正方式:„建立安全規範，要求所有使用者必須設定密碼„系統管理者必須設定密碼最大存留期限(如42天)，強迫使用者必須定期更改密碼9常見之不當安全設定(cont.)„Guest帳號開啟„開啟Guest帳號將會導致任意使用者均可利用網路探查系統分享之資料文件。若分享之文件中包含機密資料，將會造成資訊外洩。„修正方式:關閉或移除Guest帳號。10常見之不當安全設定(cont.)„Windows系統的修正檔(Patch)„Windows系統每隔一段時間就會出修正檔(Patch)以修正系統的漏洞或程式的bug，許多使用者會忽略安裝這些修正檔的重要性，因而造成損失。從IE5.0開始微軟提供了由瀏覽器直接下載安裝這些修正檔的服務，使用者安裝這些修正檔也變得更加簡便。„WindowsUpdate網址：常見之不當安全設定(cont.)„設定使用權限„IIS提供了三種權限選擇-無、指令、指令及執行檔。一般不建議選取第三項，意即使用者可透過網頁的介面執行執行檔，而對WebServer執行一些逾越權限的動作。12常見之不當安全設定(cont.)„關閉不必要的服務13常見之不當安全設定(cont.)„取消不必要的對應檔„在應用程式設定中，提供了許多的應用程式對應，而這些dll檔的對應有許多都被發現存在著bufferoverflow等漏洞，例如有名的「紅色警戒」病毒–CodeRed就是利用ida/idqbufferoverflow這個漏洞造成巨大破壞，因此如非必要，請取消這些對應檔。14常見之不當安全設定(cont.)„不要保留IISSample„IISSample是IIS在一開始安裝後所提供給使用者的範例。然而在這些範例裡面卻存在著許多安全上的漏洞，包括了一些CGI的script等等。一般來說都用不到這些Sample，所以建議一並將之移除。15常見之不當安全設定(cont.)„強化日誌檔的管理„IIS的日誌檔(logfile)提供管理員作為日後查詢的憑據，十分的重要。„IIS的日誌檔預設儲存在C:\WINNT\system32\LogFiles„觀察日誌檔內的資訊GET/c/winnt/system32/cmd.exe/c+dir404–„設定日誌檔的存檔規則，以適合自己的WebServer，方便管理及查詢。16„使用Windows系統„系統管理員或應用程式管理員的密碼不應空白或過於簡單„系統應安裝防毒軟體，並定時更新病毒檔案„系統所開放的服務檢視„建立使用者存取控制權限„系統的安全設定，例如以IIS作為Web伺服器,並未修補可能造成的漏洞„定時進行系統修補檔更新建議17„使用UNIXLike系統(如UNIX,FreeBSD,Linux)„系統管理員或應用程式管理員的密碼不應空白或過於簡單„儘可能熟悉管理系統指令„了解系統服務管理方式及安全設定方式„雖然FreeBSD及Linux為免費的，其更新版本及修補檔容易取得，管理者應定期進行維護建議(cont.)18„確切了解網路架構、設備與系統，以求有較管理„做好資訊安全的防護即可避免資料的損毀及免除當駭客攻擊的對象或跳板„常注意所用軟體的更新及資訊安全相關的訊息結論19資訊安全服務相關的單位„行政院國家資通安全會報技術服務中心„()„推動資通安全關鍵技術研發及學術研究„協助發展我國資通安全相關產業„負責籌組資通安全技術服務團„蒐集最新資通全相關技術„負責資通安全基礎宣導及舉辦教育訓練會„接受申告之掃描服務20資訊安全服務相關的單位(cont.)„技術服務中心資安論壇網站„(forum.icst.org.tw/phpBB2/index.php)„公佈最新資訊安全相關訊息„資訊安全基礎知識討論„提供系統安全及漏洞相關討論„提供資訊安全工具討論„提供資訊安全活動討論21資訊安全服務相關的單位(cont.)„中華民國資訊安全學會„()„從事資訊安全之研究„協助政府研議資訊安全相關標準„鼓勵學術單位從事該指定領域之研究„舉辦國內資訊安全教育訓練會„參與國際性資訊安全學術活動22資訊安全服務相關的單位(cont.)„資通安全區域聯防中心„()„接受並處理政府及學術單位之資安服務申請„訂定資安相關文件„蒐集資安相關的軟體工具„舉辦國內資訊安全教育訓練會23資訊安全服務相關的單位(cont.)„台灣電腦網路危機處理中心„()„接受並處理各單位之資安服務申請„公佈最新資訊安全相關訊息„舉辦資訊安全相關之訓練會„提供技術討論專欄之資訊24資訊安全服務相關的單位(cont.)„網路安全危機處理研發中心„(gsn-cert.nat.gov.tw)„公佈最新資訊安全相關訊息„電腦緊急事故處理建議„與學者專家或業者合作，尋求電腦弱點的解決方案„舉辦資訊安全相關之訓練會