• 發布單位:TWCERT/CC
• 更新日期:2021-05-07
• 點閱次數:5059

英國國家網路安全中心（National Cyber Security Centre，NCSC）制定小型企業網路安全指南（Small Business Guide: Cyber Security），提出幾個重要構面，協助小型企業以及個體戶提升資訊安全，降低受駭風險。

一、備份資料

所有企業，都應該定期備份其重要最新數據。確保業務在洪水、火災、物理損壞、盜竊或被勒索軟體攻擊的影響下，可迅速恢復並正常運作，備份資料時需要注意的4件事：

1. 確定需要備份哪些資料：缺哪些資料，企業就無法運作。
2. 將備份設備與服務設備分開：3-2-1原則，備份3份，使用2種不同設備，1份離線存放。
3. 考慮雲端服務：使用雲端儲存，參考NCSC雲安全原則。
4. 將備份視為日常業務的一部分：設定自動/人工備份時間，確保需要時擁有最新版本的資料。

二、保護組織免受惡意軟體的侵害

5個易於實施可防止惡意軟體損害您的組織：

1. 安裝（並打開）防病毒軟體：啟用防病毒軟體並即時更新。
2. 防止員工下載不符規定的應用程式：防止員工從未知的供應商/來源下載第三方應用軟體。
3. 保持所有IT設備最新版本：對於所有IT裝置，確保軟體和韌體保持最新版本(修補)。
4. 控制USB（和儲存卡）的使用方式：作為公司的政策，以防止面臨不必要的風險。使用其他方式（如電子郵件或雲端儲存）傳輸檔，不透過USB傳輸檔。
5. 打開防火牆：公司網路和Internet之間建立一個安全防護網。

三、保護智慧型手機（及平板電腦）的安全

保護智慧型手機5個易於實施的步驟：

1. 打開密碼保護：啟動一定強度的密碼。
2. 確保丟失或被盜的設備可被跟蹤、鎖定、清除：利用Web工具，跟蹤設備的位置、遠端鎖定裝置的存取權限、遠端清除設備上儲存的數據、檢索儲存在設備上的資料備份。
3. 保持設備最新版本：設備設置為自動更新安全漏洞。
4. 保持應用程式最新版本：應用程式會修補已發現的安全漏洞。確保員工立即知道更新及如何安裝。
5. 不要連接到未知的Wi-Fi熱點：不要使用未知熱點連接到Internet，可能洩漏個資及機敏資訊。以保護手機（及平板電腦）的安全。

四、使用密碼保護資料

正確實施密碼保護，可防止未經授權的使用者存取您的裝置，有效的使用密碼的7個原則：

1. 確保打開密碼保護：提高密碼複雜度(大小寫、英數字、長度、特殊符號)。
2. 對重要帳戶使用雙重身份驗證（2FA)：傳統帳號密碼外，使用如：OTP(一次性密碼)、晶片卡、生物因子認證器等進行第二重身分驗證。
3. 避免使用可預測的密碼：建議使用3個隨機單詞創建密碼，如teatrainfish。員工不可共用帳戶或密碼來完成工作。
4. 所有的帳戶設定不同的帳號和複雜的密碼，且定期更換密碼。
5. 更改預設密碼：定期檢查設備是否已更新預設密碼。
6. 別在沒有https的網站上輸入個資、密碼，即使有https仍要小心。
7. 避免使用駭客易猜的密碼，例如避免使用以下方式建立密碼：
   • 重複或順序數字密碼
   • 英文單字密碼
   • 鍵盤排列密碼(駭客知道鍵盤排列會符合密碼規則)
   • 生日密碼(實際變動位數只有6位19xx xx xx)
   • 中文姓名拼音/注音密碼(懂中文的駭客也懂)

五、避免網路釣魚攻擊

識別最常見的網路釣魚攻擊的5個步驟：

1. 管理帳戶以減少成功攻擊的影響：員工帳戶權限使用最少權限原則配置。
2. 考慮如何操作：
   • 確保員工瞭解正常的工作方式，以便有能力發現不尋常的請求
   • 員工知道如何處理異常請求，以及從哪裡獲得説明
   • 告訴您的供應商或客戶不會要求您的密碼以及銀行轉帳資訊
3. 檢查網路釣魚的明顯跡象：
   • 許多網路釣魚詐騙源自海外，通常拼寫、語法和標點符號都有差異
   • 指您是有價值的客戶、朋友或同事，均為網路釣魚騙局的一部分
   • 電子郵件要求您限時緊急採取行動的隱性威脅、請立即點擊等字眼
   • 來自組織內高層人士的電子郵件，要求向特定的銀行帳戶付款
4. 報告所有攻擊：若員工認為可能是網路釣魚的受害者，鼓勵通報。採取掃描惡意軟體並儘快更改密碼。
5. 檢查數位足跡：
   • 攻擊者收集組織和員工於網站和社交媒體公開資訊，使網路釣魚更具說服力，避免過度揭露資訊
   • 注意合作夥伴、承包商和供應商是否在網路上洩露本組織的資訊
   • 提醒員工共享個人資訊將影響他們和組織，需有效管理數位足跡