一般的常见问题

资讯保安基础

1. 何谓资讯保安 ?

无论对个人或企业来说，资讯形同一种资产。资讯保安乃指对这些资产加以保护，以求达到机密性、完整性和可用性（C-I-A）的目的。

机密性（Confidentiality）: 保护资讯免向未经授权人士披露。

完整性（Integrity）: 保护资讯免受未经授权人士更改。

可用性（Availability）: 让资讯可供已获授权人士在需要时取用。

2. 何谓资讯科技保安 ?

资讯科技保安一词并没有确切的定义，但通常指的是攸关保密性丶完整性和可用性之资讯科技基本建设丶资讯系统及相关资源的保护。

3. 我们如何能确保资讯科技保安 ?

对资讯科技保安使用系统性的方法，常常是一个好的建议。

首先，机构必须订立清楚明确的保安要求。

第二，应发展和强化保安政策和程序。

第三，应执行定期保安风险评估和审计，还有对系统持续监控，以确保适当地推行有效力及有效率的保安政策和程序。

4. 什麽是实体保安 ?

实体保安指的是保护硬件丶电脑设备和其他资讯科技资产免受外来实体的威胁，例如未经授权的接达丶偷窃或遗失在运送到外面场地时的备份媒体。

5. 什麽是应用系统保安 ?

应用系统保安指的是建立在应用系统里面的保安措施，以提供安全的电脑环境。一般应用系统的保安措施包括应用系统认证丶不同阶级用户的接达矩阵丶输入确认以避免可能产生的应用系统缺点，例如缓冲区满溢 (buffer overflow) ，以及应用系统纪录特色 (application logging features) 等等。在应用系统设计阶段时，应用系统拥有者应与发展团队根据应用系统的重要性，还有处理的数据敏感性，共同决定应用系统的保安要求。

6. 保护网络的一般考量是什麽 ?

以下列出一些可提供帮助的网络保护指引：

保持简单网络 (即在安全网络和不安全网络之间保持最少数量的网络介面点)

只允许经授权的通讯进入安全的网络

设定适当的控制，以限制连结到外部 / 不安全的网络

使用多重机制来认证用户( 如 : 密码系统加上事前注册的 IP/IPX 网络，还有事前注册的 MAC 位址 / 终端机号码 )

使用网络管理系统来控制网络

在透过网络传输前，使用经证明过的加密演算法来加密资料

7. 资讯保安管理包含什麽?

资讯保安管理是一项牵涉预防丶侦测丶反应程序的综合体，它是反覆活动和程序的循环，需要无间断的监控和控制。该循环包括以下活动：

评估保安风险 : 执行保安风险评估，以确定威胁丶漏洞和影响。

推行和维护安全的架构 : 定义和发展政策丶分配责任和应用保卫措施。

监控和纪录: 持续地监控和纪录，如此，当应付保安事故时，才能采取适当的安排。

覆检和改善 : 定期执行覆检和保安审计，确保适当的保安控制有符合保安要求。

保安政策

1. 我如何能确认我机构的保安要求 ?

为决定适当的保安标准，机构拥有者应考虑资讯系统和其他资讯科技资产对机构中商业的价值，也应考虑保安事故对机构声誉和适当地持续业务的影响。通常使用称为风险分析的工具来确定哪些资产要保护，它们对适当营运 / 机构交易的相对重要性，以及优先顺序安排保安保护的排名 / 水平。其分析结果将会清楚地制定入机构的保安标准清单内。

2. 何谓保安政策 ? 它与保安标准丶指引及程序的关系是什麽呢 ?

保安政策设定保安规格的标准，并说明了哪一方面是机构最重要的。因此，可视保安政策为必要的基本原则，机构内应处处遵行之，且应符合你的保安要求和机构营业目的与目标。

保安标准丶指引及程序是推行和强化保安政策的工具，应详加说明管理丶营运和技术上的议题。这些文件提供详细步骤和建议，以协助用户和系统管理员遵守保安政策的要求。标准丶指引和程序也许会要求比保安政策更频繁的覆检。

3. 当拟定保安政策时，应该考虑什麽呢 ?

保安政策对机构应是有用及可行的，应考虑以下几点：

保护资产的敏感性和价值

法律要求丶规则和政府法律

机构目标和商业目的

推行丶分布和执行的实用性

4. 当制订保安政策时，应包含什麽呢 ?

制订保安政策需要积极的支援，和来自不同阶级与不同功能之各部门的持续参与，可形成工作团队或专门小组来制订该政策。一般而言，该团队也许包含资深管理层之授权代表丶技术人员丶操作人员和商业用户。资深管理层以机构目标和目的为出发点，能提供全面指引丶评估和决策订定，而技术人员能提供技术支援和不同保安技术机制的可行性。商业用户代表的是可能受政策直接影响的相关系统用户。第三方顾问有时也会涉入，以覆检保安政策草稿。

5. 如何能在我的机构中制订保安政策 ?

首先，确定制订保安政策所需人员。其次，制作所有必要活动丶所需资源及流程表的计画。第三，决定保安要求和根据该要求，制订机构的保安政策。之后，覆检起草的保安政策，并经不同利益关系者同意。在制订保安政策之前，该程序会重复数次。

因科技丶商业环境和保安标准会随时间而改变，应定期覆检保安政策 ( 例如两年一次 ) ，以跟上变化。

6. 保安政策中应包含什麽呢 ?

资讯科技保安政策必须说明能被改变的程序和行为，体认每项保安原则皆有例外也是很重要的。尽可能保持政策的弹性，以让政策长期皆可实行。

资讯科技保安政策主要可包含以下内容：

什麽是政策目的和范围 ?

什麽资讯资源需要受保护 ?

谁会受该政策影响 ?

谁确切有权利和特权 ?

谁能允许权力和特权 ?

什麽是保护资讯资源的最低限度措施 ?

报告保安违规和犯罪的期待和程序

有效保安的特定管理和用户责任

政策有效日期以及修订日期或修检时间

7. 当推行保安政策时，我应考虑什麽呢 ?

有了保安政策，所有员工可清楚地了解保护机构内资讯资产及资源时，可被允许及不被允许的行为，这有助提升所有员工保安意识的水平。此外，保安政策提供发展详细指引和程序的基础，有助支持对严重保安违规事件作出告发的任何决定。

8. 当推行保安政策时，我应考虑什麽呢?

即使保安政策已获得核准，放置保安政策在适当的地方则是另一回事，其需要一系列的步骤：

保安意识和训练

保安意识对确定所有相关人员了解风险且接受丶采用优质保安作业实务是很重要的。培训和教育可提供用户丶发展者丶系统管理员丶保安管理员及任何相关团体推行适当保安措施所需的技巧和知识。

承诺与沟通

除非所有用户和相关团体承诺将会完全遵守任何一项政策，否则无法全面推行。要确保与用户和相关人员建立良好的沟通：

当他们新加入机构时，透过简报或是新进人员培训来介绍政策

邀请他们参与发展政策提案

培训他们遵守政策所需的技巧

令他们感觉到保安措施是为了他们的好处而建立的

定期提醒他们并教导新的议题

确定他们已经签署确认通知协议书

提供他们推行政策的指引

强制执行与矫正

这指的是政策推行时的强制执行权力工作，以及违反该权力时的矫正行动。机构应该设定程序，提供即时支援以调查保安违规。

所有团体的持续参与

一项有效力的保安政策也须依赖用户和企业单位之间持续的资讯交换丶谘询丶协调及合作，注入各方面的知识如标准丶方法丶作业实务守则和其他外部机构来的保安专家，也有助保持最新及恰当的保安政策。

保安风险评估及审计

1. 保安评估指的是什麽 ?

保安评估是评价资讯科技环境的保安状态，包括网络和资讯系统。保安管理员或第三方保安顾问通常会使用专门设计来搜寻保安风险和内部主机及工作站漏洞的软件 ( 称为漏洞扫描器 ) 。此外，作业程序的适当性也在保安评估中核定。

总而言之，在系统发展计画的初期或何时会有重大资讯资产及环境变化，都应执行保安风险评估，以确定需要哪种保安措施。因为保安漏洞随着时间浮现，所以应定时执行保安风险评估，如每两年一次。

2. 什麽是保安审计 ?

以资讯科技保安政策或标准为基础来决定现存保护的整体状态，并证实是否适当地执行现存保护，此过程便称为保安审计，其着重于决定是否依照资讯科技保安政策来安全地保护现有环境。

在执行保安评估或审计之前，机构应定义保安审计的范围丶可用的预算及评估 / 审计的期间。

3. 多久应执行一次保安审计 ?

保安审计只提供特定时间显现系统漏洞的简要印象。因科技与商业环境日新月异，所以不可避免地需要定期和持续覆检。随着企业的重要性不同，保安审计也许需要每年或每两年执行一次。

4. 谁应执行保安审计 ?

因保安审计是一项复杂的难题，且需要有技巧和有经验的人员，所以必须小心计画。建议独立且可信赖的第三者来执行审计。视乎内部员工的技巧和被审计的资讯之重要性 / 敏感性，该第三者可以是企业内另一组别的员工或外部审计团队。

处理保安事故

1. 什麽是资讯科技保安事故 ?

资讯科技保安事故是指资讯系统或网络的不利事件，且引致电脑或网络保安于可行性丶完整性和保密性方面受到威胁。此事故会能导致数据损坏或披露资料。

然而，例如自然灾害丶硬件 / 软件故障，数据线失效或停电等等不利事件通常是排除在外的。

2. 我能如何处理保安事故 ?

处理保安事故是指一系列的持续过程，监控在保安事故发生之前丶发生当时和发生之后的活动。

处里保安事故开始于计画和准备适当的资源，然后发展正确程序，以供遵守，例如升级 (escalation) 和保安事故应变程序。

当发现保安事故时，负责人员遵守事前规定的程序来处理保安事故应变，保安事故应变代表着处理保安事故的活动或行动，并使系统回复正常运作，通常会发展特定事故应变团队以处理保安事故应变。

在事故过后，采取跟进行动来评估该事故，且加强保安保护，以避免历史重演。计画和准备工作将相应地检讨及修改，以确保有足够资源 ( 包括人力丶设备和技术知识 ) ，并妥当地定义程序，以便在未来处理类似事故。

保安意识

1. 如何保护我的网上私隐 ?

当你在网上填写表格或使用即时通讯工具与不明人士聊天时，切勿在网上分享你的个人资料，包括你的名字丶家里住址丶电子邮件地址丶身份证号码丶电话号码等等，除非你有特别理由希望他们知道。当你输入你的个人资料时，应设置适当的保安措施如 SSL。

在网上送出你的个人资料时，请特别三思，因你个人的资料可能会被使用于其他你未打算过的用途。在传送和储存电子邮件之前使用数码签署并加密讯息，以保护你的电子邮件。妥善保管你的个人电脑，因其有可能遭受实体攻击或是遭窃。定期更改密码并将其保密，且不要使用容易猜到的密码，如字典上的字。

2. 如何保护我的电脑数据 ?

用户应该选择难以猜到的密码，并尽可能将其保密。在重设密码之后或收到新密码时，应立刻更改密码。管理员应确定每一个新用户都拿到一个好的初始密码，而不是使用机构内所有员工都知道的预设密码。应设定程序来确定只有真正要求密码的那个人可以得到密码。在任何时候，密码都不应该清楚地在萤幕上显示出来。在储用户密码时，也应使用安全演算法加以加密。

任何时候都应妥善地保护密码。当储存密码于数据库或伺服器时，应利用如接达控制和加密等保安控制来保护密码。因密码是登入系统时重要的凭证，所以当传送经过不可信或不安全的沟通网络时，必需把密码加密。假如密码加密不可行，应推行其他控制如更频繁地更改密码。

3. 如何保护我的电脑数据 ?

你应该考虑以下必做之事：

执行抗电脑病毒丶抗间谍软件和最新恶意程式码定义档及保安修补程式等软件的自动更新功能

安装和执行个人防火墙

确保密码保密和定时更改密码

安全保护可携式储存设备

加密敏感数据

备份重要数据

定期测试数据复原程序

以下是不可做之事 :

不要浏览可疑网站

不要开启从陌生人寄来的电子邮件或附加档

此外，当你使用公共无线网络及 / 或公共电脑设备时，应要小心注意数据的安全。

4. 如何成为一名聪明的互联网用户?

假如你依以下各点来保护你的电脑，你便可以成为一名聪明的网络用户：

安装最新病毒识别码和恶意程式码定义档的抗电脑病毒和恶意程式码侦测和修补软件，并定期扫描全部的系统。

安装个人防火墙软件，保护电脑以避免网络入侵。

使用最新保安修补程式于所有软件和应用系统中。

执行电脑密码保护且定期更改密码，以避免电脑被未经授权的使用。

执行互联网下载的软件是很危险的一件事，要特别注意，除非该软件来源是已知和可信任的。

没必要时不要揭露你的个人资料。

当使用完网络后，要尽快从互联网离线。

5. 当使用公共 / 城市的无线网络时，什麽是个别用户最佳作业实务 ?

时常将城市无线服务视为不可信赖的网络，假如当 SSL 的加密通道不可行时，不要送出你的个人 / 敏感资料。在没有虚拟私有网络 (VPN) 保护或其他类似加密机制确保通讯保密的前提下，从城市无线服务接达到公司的伺服器并不是一项明智之举。在使用 VPN 时，应该停止使用分割通道技术（分割通道允许用户在连接到互联网的同时，保持到一个 VPN 的连接）。

当连接到一个公共热点 (hotspot) 时，用户可能被导向到一个捕获门户(Captive portal) 的网页。攻击者可能会设置虚假的捕获门户网页，以获取敏感资料。因此，通过核实网站的证书，鉴别捕获门户网页的真伪显得尤为重要。

有些作业系统提供为用户创造一个首选无线网络清单。一旦这份清单确定后，该系统将不断寻找清单里的首选网络，并尝试自动连接到首选网络。通过猎取这种个人设备发送出来的资讯，攻击者可以设置一个假的无线接驳点来回应受害者设置的首选网络清单里的无线网络连接请求。这样，用户会自动连接到入侵者的无线网络。为防止这种类型的攻击，首选网络清单功能要被关闭或移除。

应避免电脑与电脑之间的对等无线联网。临机操作模式（Ad-hoc Mode）能使个人无线设备与其他电脑直接无线连接，但这种方式对未授权的连接入只提供最低限度的的保安。为防止攻击者获取资讯资源，个人无线设备应该关闭这个功能。网络资源分享功能也应该关闭。

在连接到城市无线网络服务时，为了保护自己的电脑，个人用户应该运行着带有最新电脑病毒识别码的抗电脑病毒 / 抗间谍软件，应用最新的系统修补程式，以及开启个人防火墙。储存在任何无线设备里的敏感和保密资料，应以严格的加密演算法进行加密。在公共场所连接到互联网时，常用的安全措施如开机密码或系统登入认证丶和密码保护的萤幕的保护装置程式等也应该使用。

6. 当使用即时通讯 (IM) 时，住家用户应采取什麽预防措施 ?

在即时通讯上不要设定自动接收档案传输。

在开启透过 IM 接收的任何档案之前，你应要查证寄送者确实寄送档案给你，此外，在开启该档案前，确定档案已被抗电脑病毒软件扫描过。

绝不点击在 IM 上不信任 / 未知的 URL 连结。

绝不透过 IM 寄出个人或敏感资料，即使有充分理由这样做，也要确定加密该资料。

使用最新修补程式随时更新 IM 软件 ( 和其他系统零件 ) ，开启个人防火墙，安装具有最新病毒识别码和最新恶意程式码定义的抗电脑病毒软件，以及安装侦测和修补引擎。

保安措施

1. 什麽是入侵 ? 什麽是入侵侦测 ?

入侵指的是试图损害资讯系统的可行性丶保密性和完整性的一连串活动。

入侵侦测是发现入侵的方法论，包含外部入侵者侵入系统的侦测与内部用户滥用系统资源。

2. 假如我的网络已经有防火墙，为什麽我需要入侵侦测系统(IDS)/ 入侵防御系统 (IPS)?

防火墙只是整体整合保安系统的一部分，它们有其限制。防火墙无法对所有入侵提出警告，也不能阻止所有保安违规。除非你不断监控入侵，不然你无法知道你的防火墙能否阻挡所有入侵，但可在策略位置安装及使用 IDS / IPS ，每天每分每秒持续收集和检查可疑活动的资讯。 IPS 也提供积极的应变纟系统，以便阻止攻击来源或减低攻击所带来的影响。

3. 什麽是入侵侦测系统的限制 ?

入侵侦测系统不能帮助你解决或修理所有保安事故，也不能告诉你究竟是谁攻击系统或攻击是如何发生的，以及攻击者的意图。它只能提供攻击来源的资料和产生攻击的 IP 位址。为了确定真正的攻击者，你必需分析所有相关纪录。

4. 什麽是网络防火墙 ? 防火墙可以保护我的系统避免什麽 ?

防火墙是在两个网络之间，强制执行接达控制政策的系统。一般而言，防火墙可以阻挡从网络外面到里面的通讯，并准许从里面的资讯交换到外面的世界，以进行沟通。防火墙也可以提供纪录和审计功能，以纪录所有通过的通讯；换言之，防火墙可通过定义接达控制政策来允许或拒绝通讯，以保护内部网络避免外来的攻击。然而，防火墙无法保护那些不通过它的攻击，且不能避免那些包含在网络通讯里面的攻击，如病毒或数据导引式攻击，因防火墙准许这类通讯 ( 例如网上通讯 ) 。适当的防火墙配置对确保有效的保安保护扮演着非常重要的角色。

5. 互联网保安应考虑什麽 ?

互联网是网络中的万维网络，使用 TCP/IP 协定作为沟通工具。互联网的连接在增加资讯的接达方面带来无数的好处；然而互联网深受重大且普遍的保安问题所苦。

其根本的问题在于互联网并没有安全地被设计，许多 T C P / I P 服务对于保安威胁是无力抵抗的，例如窃听和仿冒，只要使用便利可行的软件，人们便可以监控和捕捉电子邮件丶密码和档案传输。

互联网服务需要强大的认证机制和密码使用机制，而这些机制必须在不同机种之间可以互相通用。查询互联网资料或处理交易均需要用户认证，认证的资料也需要审计和备份，且应妥善加密敏感和个人的数据。

总之，互联网保安涵盖广泛的议题，如识别和认证丶电脑病毒保护丶软件执照丶远端接达丶拨接接达丶实体保安丶防火墙推行和其他有关互联网使用方面的议题。

6. 我们要如何知道机构内的资讯是否安全 ?

你应该依据以下各点自行检查，以找出你机构内的资讯是否安全：

我的机构是否有自信，机构内的网络伺服器正妥善地被训练完善的人员保护和管理？

我的机构是否有清楚的政策列明谁被准许接达何种资讯？

我的机构是否已指定人员负责资讯保安管理？

我的机构是否已利用保安工具，例如防火墙和加密工具？

我的机构是否已有计划紧急应变和从灾害中复原，且定期覆检这些计划，以确定它们符合持续业务运作计划？

假如以上五项问题都是负面答案，你的机构将可能依然面临许多保安漏洞的威胁。

7. 当使用对等式 (P2P) 科技时，住家用户应采取什麽保安措施 ?

电脑要安装抗电脑病毒程式和个人防火墙，确定定期更新病毒识别码丶恶意程式码定义，以及侦测修补引擎。

使用最新保安修补程式。

移除电脑所有不必要的用户特权。

为了正常运作，对等式 (P2P) 应用程式需要在防火墙上开启许多连接埠，假如不需要分享档案，应关闭不必要的连接埠区域。

假如需要使用对等式下载，建议你在完成下载后，离开对等式应用程式。

不要从不信任或可疑来源下载档案。

绝不下载儿童色情图片和其他非法物件，包括盗版软件。

8. 如何安全配置无线宽频路由器 ?

更改预设用户名称和密码，因为预设值往往容易被猜出来。有一些制造商也许不会让你更改用户名称，但你至少应要更改密码。

建议用户应关闭 SSID 广播或增加「Beacon Interval」至最大值。

预设的 SSID 应予以更改，新的 SSID 不应以自己的名字或其它个人资料命名，否则将有助攻击者收集你的资料。

如可行的，应避免使用 WEP 和 WPA。假若装置能支援其他的加密模式，应采用 WPA2 或 WPA3。

不应采用共享式密码匙认证，反而应考虑 802.11i 标准中订立的强化相互认证。

建议启动 MAC 位址过滤作为另一层保护。

尽量关闭 DHCP 功能，因为 DHCP 容易让恶意攻击者接达无线网络。

9. 比较因漏洞引起的风险和安装修补程式的风险。假如管理者决定不应用修补程式，又或没有可行的修补程式，有什麽其他可行的常见补救性控制 ?

当评估是否实施一个安全的修补程式时，应该评估安装修补程式所带来的风险。小心地比较保安漏洞所造成的影响和安装修补程式的风险。此时应要准备其他的补救控制措施，可能包括：

关掉与保安漏洞相关的服务或功能

采用或增加接达控制

增加系统的监控以侦测和预防实际的攻击

10. 选择修补程式管理解决方案的标准是什麽 ?

当考虑建立一个健全的修补程式管理解决方案时，除了考虑特定用户和商业需求 ( 包含产品功能和预算限制 ) 之外，机构也应该将以下各点列入考虑因素：

较少漏洞

有些修补程式管理产品的保安漏洞比其他的产品多，机构应选择看起来较不可能成为保安漏洞的解决方案，从而减少修补其软件的次数。首先应先进行一些独立性的产品确认研究，复杂的产品意味着较多的程式和服务，反而可能会带来更多的保安漏洞。选择一个简单但发展成熟的产品可能比较明智。

系统相容性

有一些修补程式管理解决方案是基于代理程式 (agent-based) 的，而有一些则是无代理程式 (agent-less) ，如果代理程式被安装到许多电脑上时，机构应该评估对整个系统的影响（例如表现丶稳定性和相容性）。

供应商对新保安漏洞的反应

机构也关注解决方案供应商对新保安漏洞之修补及更新的回应速度。

简易的部署与维持

修补程式管理的解决方案越容易部署和维持，则机构所付出的成本就越低。

审计追踪

一个良好的修补程式管理解决方案应提供广泛的事件记录功能，协助系统管理员更容易追踪软件修补和修补程式在个别系统的状态。