文 / 精品科技 資訊部 鄭文聖
目前企業較為常見的作業系統大都為微軟Windows及 Red Hat Linux,而經常使用及管理微軟作業系統的人知道,每星期或每天幾乎都有修補檔(Patch)要安裝,防毒軟體更新等,而系統管理人員大都也會乖乖照做,問其原因,普遍回答”Windows很容易中毒”、”Windows容易被攻擊”⋯等,其實所有作業系統均需要被良好的管理,差別在於觀念及做法,下面我們從使用者角度介紹,來看看如何做好個人電腦的資訊安全防護。
一、 使用者篇(個人電腦管理)
每天一早進入公司,第一件事情就是將電腦開機,在開機完成的同時,網路自然也跟著連通,在此同時,是否有想過也是資訊風險開始的同時呢?下面我們就來看看我們一般個人電腦常見的資訊安全風險及需要預防的措施。
1. 社交工程:
社交工程要小心,在某些企業環境裡,可能並沒有強制管制如Skype、Line等通訊軟體,而駭客就會利用此類的軟體傳送一些引起好奇心的不明連結,當點下該連結以後,不明程式已背後悄悄滲透進入你的電腦;而躲在暗處的駭客從此更可在遠端監控你在網路上的一舉一動,
並在你的電腦上大肆搜括你的個人隱私或公司重要的機密檔案。
2. 電腦帳密保管:
企業裡往往因資訊政策的執行,可能會要求使用者每三個月更換一次密碼、密碼也會有安全性複雜度等等等相關的規定,往往使用者可能覺得麻煩,更改完密碼後就隨手抄在桌上避免忘記,而讓有心人可能因此能夠竊取你電腦的重要檔案,或是使用你的身份做其它攻擊或者是竊取的行為,因此使用者需保管好自己的帳號密碼,並且離開座位時也要有習慣將系統鎖定或設定螢幕保護程式。
3. 應用系統更新:
在一般使用者的電腦上,平常基本我們一定皆會有安裝作業系統,而常用的軟體可能會有防毒軟體、Office、Adobe PDF等等的軟體,此類的應用軟體原廠定期皆會釋出更新檔,請使用者更新,就是要修補已知的漏洞,如未定期做更新,駭客就會使用這些漏洞來達到攻擊或入侵的目的。
4. 使用者直覺:
最後最重要的一點,就是使用者對於資訊安全風險的直覺性,在公司裡,一般最常使用的就是瀏覽器、Outlook等工具,有心人士常使用聳動的電子郵件標題、或是偽裝成公司同仁或朋友來夾帶附檔引誘你去開啟,或是在查詢某些資料時,會連進其它不明網站要你下載檔案,
這些都是防不勝防的資訊安全漏洞,更需要使用者有較敏銳的直覺性來做預防。
面對上述所提到的系統管理方式及病毒威脅,身為系統管理人員的我們該如何做好防範及管理,才不會因災難或資安事系發生時而手足無措,進而使得企業核心業務停擺,而影響企業利益,避免從”IT人員”變成”挨踢人員”,接下來將從系統管理者的角度介紹,來看看如何做好伺服器的資訊安全防護。
二、 管理者篇(伺服器管理)
MIS每天一踏入公司開始,必先檢查網路有沒有異常,確認線上系統是否異常等等等例行工作,但當發生異常情況時,輕則可能重開機,重則可能要開始查LOG,封包異常?受到攻擊,內部?還是外部攻擊?應用程式的問題?作業系統更新後造成的問題?如未查出關鍵的環節,就需更多的心力去解決,而許多造成異常前的主因,可能要從安全作業系統開始說起,下面我們來介紹一些基本的伺服器安全管制方式。
1. Windows作業系統
(1) 作業系統更新:安裝完作業系統後,我們會先確認目前安裝的作業系統版本是否有出SP1、SP2等等,及設定好Windows Update更新到目前最新的更新。
(2) 應用程式更新:通常伺服器一般可能會安裝DB、防毒軟體、需服務的應用程式等,皆需先查詢自己安裝的版本是否有出Path做好更新。
(3) 帳號密碼管制:在伺服器上,預先的Administrator帳號需要更改名稱,增加猜測帳號的困難度,並設定密碼複雜度原則、登入次數錯誤鎖定原則、並將上次登入過的帳號做好隱藏。
(4) 權限管制:限制可使用遠端連線的帳號及IP、資料夾分享需分別設定新增/刪除/修改/唯讀等權限控管。
(5) 單純化作業:在伺服器上不隨意使用瀏覽器查詢資料,避免連入不明網站,非必要性軟體,不隨意在伺服器上安裝。
(6) 建立監控機制:由於一個資訊人員需要管理的系統非常的多,無法隨時用人工的方式做服務及系統的監控,就需要額外的工具來監控系統的服務及系統狀態。
2. Linux系統
(1) 系統更新:Kernel是Linux作業系統的核心,它常駐記憶體,用於載入作業系統的其他部分,並實現作業系統的基本功能。由於Kernel控制電腦和網路的各種功能,因此,為了加強系統安全,一定要經常更新系統內核,並將所安裝的應用服務做更新。
(2) 取消不必要的服務:某些版本的Linux系統,安裝完後,預設就會開啟一些網路服務,但這些服務並不一定是我們會使用到的,所以在安裝完後,需先將非必要的服務關閉。
(3) 帳號控管:要建立各別的使用者帳號,並建立複雜度的密碼,不要使用root直接做登入,才可追縱管理者操作的過程。
(4) 權限控管:限制管理者登入的IP,依帳號做好分權管理,並歸併到不同的用戶組中,每個ID皆應有專人負責,如人員異動應立即刪除該帳號。
(5) 增強安全防護:使用SSH將網路上的資訊加密,因此它可以用來安全地登錄到遠端主機上,並且在兩台主機之間安全地傳送資訊,實際上,SSH不僅可以保障Linux主機之間的安全通信,Windows用戶也可以通過SSH安全地連接到Linux伺服器上。
(6) 監控機制:Linux內建已包含許多監控的方式,透過這些機制可讓管理者更能掌握系統狀態。
三、預防及防護篇(企業管理)
當企業面對了網路上層出不窮、推陳出新的安全威脅,只靠傳統被動式防毒軟體外,還能如何有效的做預防呢?提出下面幾點的建議:
- 防毒軟體:雖然傳統的防毒軟體能被動的防禦惡意程式,但對已知的惡意程式還是最有效的管理方式。
- 應用程式行為控管:可限制通訊軟體不得上傳與下載檔案,禁止連線P2P、Share軟體,並限制已知的黑名單網站禁止連結,或限制使用者對外連線的TCP Port,可有效防堵不明程式對外連線,降低機密外洩的風險。
- 裝置控管:可限制使用者禁用如USB、光碟機及私接的內建硬碟等裝置,避免使用者從外部將病毒帶到企業內部。
- 強制執行主機安全性政策:例如使用AD系統,強制性的將安全性政策做派送,協助使用者自動安裝更新及密碼性複雜性原則等。
- 資訊鑑識:可安裝資訊鑑識類的軟體管理記錄,防止存心不良的使用者,否認其所做過的事,並可辨別資訊使用者的身份。
- 強化資訊安全概念:企業可定期舉辦資訊安全的訓練,增加使用者對資訊安全的概念,降低其可能產生的風險。
整體的資訊安全是建構環環相扣的保護機制下,就資訊安全的木桶理論來說,攻擊或破壞者只要找出其中最弱的地方,就會瓦解整個保護機制,而面對資訊安全,也不會有百分之百的安全,如何降低企業產生的風險,必需循環持續修定安全漏洞,這樣的責任是企業必需注意、關心、一起努力的。