使用軟件準則
主頁 > 
使用軟件準則
< 返回

使用軟件準則

許多電腦軟件均可作為資訊保安的工具。

要做的事
關掉流動裝置上非使用的無線通訊連接。
要使用抗惡意軟件軟件,並要經常更新。
要先用抗惡意軟件掃描磁碟、光碟及其他儲存媒體(尤其是來歷不明者),然後才開啓使用。
要考慮採用防火牆等保安措施,以保護採用寬頻接駁互聯網的電腦。
要在電腦內應用最新版本的軟件及修正檔案,以堵塞已知的保安漏洞
要定期備份系統及數據,並且妥為保存。利用備份檔案復原流失的數據是最安全及有效的方法。
要按照安裝指示來安裝電腦軟件。
要按照許可證條款及協議來使用電腦軟件。
不要做的事
不要使用非法、不可信賴或令人生疑的來源的電腦軟件及程式。
不要在未取得版權擁有人或特許持有人明確批准前下載電腦程式。

使用開放源碼產品的指引

開放源碼軟件通常指的是軟件的原始碼是開放的,准許任何人讀取、使用和改寫。開放源碼軟件已漸漸獲得接受,即使是企業營運下的環境也接受這趨勢。

要安全地使用開放源碼軟件,以下是一些給用家作指引的保安貼士 :

只從可信任的網站下載開放源碼產品,例如軟件開發者的官方網站,以避免事先置入惡意程式碼的潛在風險。
下載原始碼,而非編譯過的套裝軟件,如此,可核對原始碼是否符合 MD5,SHA-1 或 SHA-256 校驗和( checksum),並分析保安漏洞,和進行編譯,以求符合機構的特殊需求。
詳細研讀產品文件,以獲得保安配置參數的詳細說明。
假如發現產品的保安漏洞,便應檢查是否有既定的通報程序,並確定妥善維護和處理該產品的所有保安議題。
定期檢查一般保安漏洞資料庫,例如 CVE( Common Vulnerabilities and Exposure),此類資料庫發布任何有關開放源碼產品保安漏洞的資訊。

如果你的機構正在使用開放源碼軟件,你應該考慮以下提示 :

制定完善記錄的保安政策,並確定嚴格執行該政策。當企業需要改變時,也須修訂該政策。
採用縱深防禦( defence-in-depth)策略,可完全應付開放源碼產品和網絡之間不同水平所引起的威脅
對機構內員工提供適當訓練,以支援和維護開放源碼產品。把所有作業實務和配置程序進行合適的文件記錄,以避免因職務調動或離職而引起的問題。