按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

小型企業網路安全指南

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-05-07
  • 點閱次數:3111
小型企業網路安全指南 CYBER SECURITY TWCERT/CC

英國國家網路安全中心(National Cyber Security Centre,NCSC)制定小型企業網路安全指南(Small Business Guide: Cyber Security),提出幾個重要構面,協助小型企業以及個體戶提升資訊安全,降低受駭風險。

一、備份資料

所有企業,都應該定期備份其重要最新數據。確保業務在洪水、火災、物理損壞、盜竊或被勒索軟體攻擊的影響下,可迅速恢復並正常運作,備份資料時需要注意的4件事:

  1. 確定需要備份哪些資料:缺哪些資料,企業就無法運作。
  2. 將備份設備與服務設備分開:3-2-1原則,備份3份,使用2種不同設備,1份離線存放。
  3. 考慮雲端服務:使用雲端儲存,參考NCSC雲安全原則。
  4. 將備份視為日常業務的一部分:設定自動/人工備份時間,確保需要時擁有最新版本的資料。

二、保護組織免受惡意軟體的侵害

5個易於實施可防止惡意軟體損害您的組織:

  1. 安裝(並打開)防病毒軟體:啟用防病毒軟體並即時更新。
  2. 防止員工下載不符規定的應用程式:防止員工從未知的供應商/來源下載第三方應用軟體。
  3. 保持所有IT設備最新版本:對於所有IT裝置,確保軟體和韌體保持最新版本(修補)。
  4. 控制USB(和儲存卡)的使用方式:作為公司的政策,以防止面臨不必要的風險。使用其他方式(如電子郵件或雲端儲存)傳輸檔,不透過USB傳輸檔。
  5. 打開防火牆:公司網路和Internet之間建立一個安全防護網。

三、保護智慧型手機(及平板電腦)的安全

保護智慧型手機5個易於實施的步驟:

  1. 打開密碼保護:啟動一定強度的密碼。
  2. 確保丟失或被盜的設備可被跟蹤、鎖定、清除:利用Web工具,跟蹤設備的位置、遠端鎖定裝置的存取權限、遠端清除設備上儲存的數據、檢索儲存在設備上的資料備份。
  3. 保持設備最新版本:設備設置為自動更新安全漏洞。
  4. 保持應用程式最新版本:應用程式會修補已發現的安全漏洞。確保員工立即知道更新及如何安裝。
  5. 不要連接到未知的Wi-Fi熱點:不要使用未知熱點連接到Internet,可能洩漏個資及機敏資訊。以保護手機(及平板電腦)的安全。

四、使用密碼保護資料

正確實施密碼保護,可防止未經授權的使用者存取您的裝置,有效的使用密碼的7個原則:

  1. 確保打開密碼保護:提高密碼複雜度(大小寫、英數字、長度、特殊符號)。
  2. 對重要帳戶使用雙重身份驗證(2FA):傳統帳號密碼外,使用如:OTP(一次性密碼)、晶片卡、生物因子認證器等進行第二重身分驗證。
  3. 避免使用可預測的密碼:建議使用3個隨機單詞創建密碼,如teatrainfish。員工不可共用帳戶或密碼來完成工作。
  4. 所有的帳戶設定不同的帳號和複雜的密碼,且定期更換密碼。
  5. 更改預設密碼:定期檢查設備是否已更新預設密碼。
  6. 別在沒有https的網站上輸入個資、密碼,即使有https仍要小心。
  7. 避免使用駭客易猜的密碼,例如避免使用以下方式建立密碼:
    • 重複或順序數字密碼
    • 英文單字密碼
    • 鍵盤排列密碼(駭客知道鍵盤排列會符合密碼規則)
    • 生日密碼(實際變動位數只有6位19xx xx xx)
    • 中文姓名拼音/注音密碼(懂中文的駭客也懂)

五、避免網路釣魚攻擊

識別最常見的網路釣魚攻擊的5個步驟:

  1. 管理帳戶以減少成功攻擊的影響:員工帳戶權限使用最少權限原則配置。
  2. 考慮如何操作:
    • 確保員工瞭解正常的工作方式,以便有能力發現不尋常的請求
    • 員工知道如何處理異常請求,以及從哪裡獲得説明
    • 告訴您的供應商或客戶不會要求您的密碼以及銀行轉帳資訊
  3. 檢查網路釣魚的明顯跡象:
    • 許多網路釣魚詐騙源自海外,通常拼寫、語法和標點符號都有差異
    • 指您是有價值的客戶、朋友或同事,均為網路釣魚騙局的一部分
    • 電子郵件要求您限時緊急採取行動的隱性威脅、請立即點擊等字眼
    • 來自組織內高層人士的電子郵件,要求向特定的銀行帳戶付款
  4. 報告所有攻擊:若員工認為可能是網路釣魚的受害者,鼓勵通報。採取掃描惡意軟體並儘快更改密碼。
  5. 檢查數位足跡:
    • 攻擊者收集組織和員工於網站和社交媒體公開資訊,使網路釣魚更具說服力,避免過度揭露資訊
    • 注意合作夥伴、承包商和供應商是否在網路上洩露本組織的資訊
    • 提醒員工共享個人資訊將影響他們和組織,需有效管理數位足跡
回頁首